Kontakt oss Tips oss Nettstedskart In English
Presserom
Rapporter
Revisjonsmetodikk
Internasjonalt arbeid
Jobb i Riksrevisjonen
Om Riksrevisjonen
 
Skip Navigation LinksHovedside > Revisjonsmetodikk > Fagartikler
Hvordan integrere IT-revisjon? 
 
Vi har fått ny metodikk for regnskapsrevisjon, men denne gir begrenset veiledning i hvordan IT-revisjon skal være integrert. IT-revisjon er ikke en egen revisjonstype, men begrepet benyttes fordi det beskriver en annen tilnærming til revisjonen.

Tekst: rådgiver Anne Marie Hausland, Riksrevisjonen 

I gjennomføring av IT-revisjon følger man metodikk for regnskapsrevisjon. Men på IKT-området må man forholde seg til risikobildet på en annen måte. Derfor er det utarbeidet flere veiledninger som kan være til hjelp ved gjennomføring av IT-revisjon.

Som eksempel på IT-revisjonsveiledning kan nevnes CobiT som er utgitt av ISACA. Denne gir veiledning i IT-revisjon generelt og mer konkret på flere områder. Av andre veiledninger kan nevnes Federal Information System Controls Audit Manual utgitt av GAO (Government Accountability Office - den amerikanske riksrevisjonen).

Sist, men ikke minst, må også nevnes Auditing E-Government og Auditing IT Service Management som begge er utgitt av INTOSAI Standing Committee on IT Audit hvor Riksrevisjonen i Norge har vært koordinator for utarbeidelsen.

Veiledningene bygger opp om påstander på IKT-området, for eksempel konfidensialitet, tilgjengelighet og integritet av informasjon. Men metodikk for regnskapsrevisjon og de tilhørende påstandene vil likevel alltid ligge i bunn. IT-revisjonsveiledningene kommer i tillegg.
 

IKT - omfattende og utfordrende

IKT i en virksomhet kan være svært sentralt og omfattende. For eksempel i trygdeetaten hvor det i St.prp nr. 1 (2005-2006) blant annet fremgår ”Trygdeetaten forvalter ordninger av stor samfunnsmessig betydning. Sikring av pensjons- og stønadsutbetalinger er en hovedutfordring. Etaten er derfor avhengig av en høy grad av sikkerhet i og rundt sine IT-systemer for å levere rett ytelse til rett tid. Beredskapsbestemmelsene i folketrygdloven stiller klare krav til trygdeetaten for å sikre at driften kan fortsette mest mulig normalt under en krise.”

Utviklingen på IKT-området gjør at dette blir mer og mer sentralt i virksomheten. IKT er ikke lenger bare brukt for å støtte opp om sekundæroppgaver som for eksempel lønnsutbetaling. I dag benyttes IKT i større og større grad for å støtte opp under virksomhetens primæroppgaver. For eksempel tilrettelegger flere statlige virksomheter for kontakt med sine brukere via internett. Jo mer sentralt IKT i en virksomhet er, jo viktigere blir det at IT-revisor er en sentral aktør i revisjonsarbeidet.


IT-revisjon integrert i regnskapsrevisjon

Hvordan vil så IT-revisjon kunne være integrert i gjennomføring av regnskapsrevisjonen?
For å kunne integrere er det viktig at generalist og IT-revisor har den samme forståelse av enkelte begrep som brukes i IT-revisjon.

Først og fremst er det viktig å ha kunnskap om de forskjellig typene av IT-kontroller. Vi skiller mellom applikasjonskontroller og generelle IT-kontroller. Det er også naturlig å skille mellom generelle IT-kontroller på virksomhetsnivå og generelle IT-kontroller på applikasjonsnivå.

For å få et helhetlig bilde er det også viktig å vite hvordan de forskjellige typene av IT-kontroller påvirker intern kontroll. Dessuten hvordan IT-kontrollene kan gjøre seg gjeldende i de enkelte prosessene.


Generelle IT-kontroller

Som betegnelsen indikerer, er generelle IT-kontroller av mer generell karakter. Vi har generelle IT-kontroller på virksomhetsnivå og på applikasjonsnivå.

Generelle IT-kontroller på virksomhetsnivå omfatter hele virksomheten. For eksempel er styring av IKT-virksomheten, nettverkssikkerhet, tilgangskontroller i forhold til nettverket og beredskapsplanlegging typisk generelle IT-kontroller på virksomhetsnivå.

Når det gjelder generelle IT-kontroller på applikasjonsnivå gjelder dette mer begrensede deler av virksomheten, som regel i forhold til en bestemt applikasjon eller et system. For eksempel tilgangskontroller i tilknytning til et økonomisystem. For å få tilgang til økonomisystemet må man først ha tilgang til nettverket (generelle IT-kontroller på virksomhetsnivå), før man kan få tilgang til økonomisystemet (generelle IT-kontroller på applikasjonsnivå).


Applikasjonskontroller

Applikasjonskontroller er maskinelle og manuelle kontroller direkte i tilknytning til en applikasjon eller et system. Et eksempel på en maskinell applikasjonskontroll kan være at det i applikasjonen, f.eks i et lønnsystem, er lagt inn en kontroll mot beløp. Dersom beløpet overstiger en viss sum så skal det reageres på en eller annen måte. Reaksjonen til applikasjonen kan være at man ikke får lest inn eller registrert transaksjonen i det hele tatt, eller at det blir registrert/lest inn, men avvist og kommer ut på feilliste. Behandling og oppfølging av denne feillisten er eksempel på en manuell applikasjonskontroll. Applikasjonskontrollene er som regel en del av flere kontroller i en rutine, i en prosess.


Sammenheng IT-kontroller og intern kontroll

Kvaliteten av intern kontroll i en prosess vil bli påvirket av kvaliteten på aktuelle applikasjonskontroller. Men kvaliteten på applikasjonskontrollene kan bli påvirket av kvaliteten på de generelle IT-kontrollene. I verste fall kan svakheter ved de generelle IT-kontrollene undergrave den intern kontroll som er etablert i forbindelse med applikasjonen/systemet.



 

Prosesser og applikasjonskontroller

Som nevnt er det viktig å vite hvordan de forskjellige typene av IT-kontroller gjør seg gjeldende i de enkelte prosessene i virksomheten.

Når det gjelder applikasjonskontrollene er disse ofte en del av en rutine i en prosess. For eksempel vil det i tilknytning til en stønadsprosess i trygdeetaten være tilknyttet applikasjonskontroller som del av rutinen (Prosess 1, se figur 2).

Applikasjonskontroller kan i enkelte tilfeller også gjøre seg gjeldende i en IKT-utviklingsprosess (IKT-prosess, se figur 2). Det kan for eksempel være implementering/endring av applikasjonskontroller i tilknytning til en ny eller endret applikasjon. Applikasjonskontrollene vil i dette tilfellet være med å bidra til at virksomheten når sitt mål med applikasjonsutviklingen.

Kvaliteten av de implementerte applikasjonskontrollene vil påvirke måloppnåelse i forhold til selve IKT-utviklingen. I tillegg vil kvaliteten av de implementerte applikasjonskontrollene påvirke kvaliteten av intern kontroll i den rutine/prosess som har tatt eller skal ta i bruk applikasjonen.

De samme applikasjonskontrollene vil dermed kunne påvirke virksomhetens måloppnåelse på to forskjellige måter. På den ene siden vil applikasjonskontrollene i seg selv bidra til at virksomheten når sine mål. På den annen side vil applikasjonskontrollene som del av intern kontroll bidra til virksomhetens måloppnåelse.


Prosesser og generelle IT-kontroller på applikasjonsnivå

Generelle IT-kontroller på applikasjonsnivå har ofte tilknytning til en bestemt prosess (Prosess 2, se figur 2), men kan også ha tilknytning til flere prosesser. IT-kontrollene kan være plassert i en annen ”felles” IKT-prosess. f. eks i tilknytning til aktiviteter i en IT-avdeling (IKT-prosess, se figur 2). Eksempel på generelle IT-kontroller på applikasjonsnivå er tildeling av brukeridenter i trygdeetatens saksbehandlingssystem Infotrygd, som skjer i IT-avdelingen (brukerhjelpen).

Også generelle IT-kontroller på applikasjonsnivå vil kunne påvirke virksomhetens måloppnåelse på to forskjellige måter. For eksempel dersom virksomheten har implementert nytt operativsystem med målsetting å bidra til at de tilknyttede systemene/applikasjonene skal få redusert ”nedetid” (nedetid er den tid systemet/applikasjonene er utilgjengelig for bruk). Implementeringen vil i seg selv bidra til å nå virksomhetens mål om kontinuitet i de aktuelle systemene.

I tillegg vil kontinuiteten kunne bidra til større sikkerhet for at de implementerte applikasjonskontrollene virker som forutsatt ved at systemet/applikasjonen i mindre grad er utsatt for ”heng” (heng vil si at systemet/applikasjonen låser seg). Kontinuiteten vil i dette tilfellet kunne påvirke kvaliteten på applikasjonskontrollene, som igjen vil påvirke kvaliteten av intern kontroll i prosessen.


Prosesser og generelle IT-kontroller på virksomhetsnivå

De generelle IT-kontrollene på virksomhetsnivå vil ofte være egne prosesser som i seg selv bygger opp om virksomhetens mål (IKT-prosess, se figur 2) . For eksempel i trygdeetaten hvor det fremgår viktigheten av kontinuitet, informasjonssikkerhet og beredskap i tilknytning til de samfunnskritiske systemene. Krav til trygdeetaten på dette området er blant annet nedfelt i folketrygdloven. I tillegg stilles det stadig krav til utvikling av systemene. Eksempler på IKT-prosesser er informasjonssikkerhet, beredskap, daglig drift/vedlikehold, utvikling og styring av IKT-virksomheten.

I tillegg vil disse IT-kontrollene kunne påvirke intern kontroll i virksomhetens øvrige prosesser. For eksempel dersom virksomheten ikke har tilfredsstillende informasjonssikkerhet. Det kan være manglende rutiner i forbindelse med tilgangskontroller generelt. Denne svakheten gir i seg selv manglende måloppnåelse. Men i tillegg vil det kunne påvirke intern kontroll i andre prosesser i virksomheten. Dermed vil måloppnåelsen i tilknytning til de andre prosessene også bli berørt.


 

Formål med IT-revisjonen

Som nevnt vil IT-kontrollene kunne påvirke virksomhetens måloppnåelse på to måter. På den ene siden vil IT-kontrollene påvirke intern kontroll i rutine/prosess og derigjennom virksomhetens måloppnåelse. På den andre siden vil IT-kontrollene i seg selv påvirke måloppnåelsen. Formålet med IT-revisjonen vil da kunne være i forhold til vurdering av intern kontroll eller i forhold til vurdering av måloppnåelse.



IT-revisjon - vurdering av intern kontroll

IT-revisors vurdering av intern kontroll innebærer å vurdere hvordan de generelle IT-kontrollene og applikasjonskontrollene vil påvirke risikobildet for IKT-prosessene og/eller de øvrige prosesser. IT-revisjonen vil i de fleste tilfeller knyttes opp mot både det regnskapstekniske og mot kontroll av disposisjonene.

For eksempel dersom et av virksomhetens mål er å utbetale korrekt pensjonsstønad til riktig tid iht gjeldende lover og regler. Rutinene på pensjonsstønadsområdet består blant annet av applikasjonskontroller i tilknytning til saksbehandlingssystemet Infotrygd. For å vurdere risikobildet vil IT-revisor blant annet foreta en vurdering av de maskinelle kontrollene i Infotrygd.

Formålet med IT-revisjon vil her være å bidra med en vurdering av hvordan de maskinelle kontrollene i applikasjonen påvirker den interne kontrollen og risiko i tilknytning til prosessen. IT-revisjonen vil da være en integrert del av den risikovurderingen som gjøres på prosessen.

For å få et helhetlig bilde av intern kontroll er det nødvendig også å vurdere de generelle IT-kontrollene. Vesentlige svakheter kan i verste fall undergrave den intern kontroll som er etablert i og rundt applikasjonen. De generelle IT-kontrollene vil i liten grad påvirke regnskapstransaksjonene direkte, men svakheter vil likevel påvirke risikoen på IKT for hele eller deler av virksomheten og kan da indirekte påvirke regnskapstransaksjonene.


IT-revisjon - vurdering av måloppnåelse

IT-revisors vurdering av måloppnåelse kan innebære vurderinger i forhold til virksomhetens overholdelse av regelverk, om disposisjonene er akseptable og hvordan den har forholdt seg til stortingets vedtak og forutsetninger. Det vil si vurderinger i forhold til kontroll av disposisjonene. Men vurderingene kan også være i forhold til det regnskapstekniske.

For eksempel hvis vi har at virksomhetens måloppnåelse er avhengig av at det implementeres bestemte maskinelle kontroller i en applikasjon. Formålet med denne IT-revisjonen vil da først og fremst være å si noe om virksomhetens måloppnåelse i forhold til implementeringen av disse bestemte maskinelle kontrollene. Men resultatet av IT-revisjonen vil i neste omgang også påvirke risikobildet på den prosessen/rutine som applikasjonen bygger opp under.

I virksomheter hvor IKT står sentralt, vil det være av vesentlig betydning at informasjonssikkerheten er tilfredsstillende. Dette gjelder for eksempel i trygdeetaten som har samfunnskritiske systemer, jf omtale i St.prp. nr. 1. Ett av virksomhetens mål kan da være at de skal ha en tilfredsstillende informasjonssikkerhet. Formålet med IT-revisjonen her vil først og fremst være å si noe om virksomhetens måloppnåelse i forhold til informasjonssikkerheten.

Resultatet av IT-revisjonen vil i neste omgang påvirke vurdering av intern kontroll i forhold til øvrige prosesser i virksomheten.


Strategisk analyse

Jo mer avhengig virksomheten er av IKT for å nå sine mål, jo viktigere blir IT-revisors rolle i gjennomføring av revisjonen. For eksempel ved revisjon av trygdeetaten/NAV som har store og komplekse samfunnskritiske IT-systemer. Det er av vesentlig betydning for denne virksomheten at IT-systemene er oppe og går og at det er etablert tilfredsstillende informasjonssikkerhet i henhold til lover og regler.

For å ha fokus på IKT i revisjon av slike virksomheter, er det viktig at IT-revisor sammen med generalisten bidrar allerede i den overordnede risikovurderingen. Videre at IT-revisor er en sentral bidragsyter ved vurderingene som gjøres i strategisk analysen av virksomheten. Det er her IT-revisor og generalisten sammen kan begynne å identifisere hvor det er aktuelt å gjennomføre IT-revisjon. På denne måten kan IT-revisjon integreres og settes i sammenheng med den øvrige revisjonen.



Artikkelen er også publisert i Observasjonsposten nr. 6/2005
Sist endret: 06.07.2006 16:34
 
Riksrevisjonen, Pilestredet 42, Postboks 8130 Dep 0032 Oslo | Sentralbord: 22 24 10 00 | Telefaks: 22 24 10 01 | Send e-post | Org.nr: 974 760 843