logoRevisjon og regnskap

Logg på for å laste ned PDF
Revisjon

Han er medlem av The IIAs Advanced Technology Committee, som står bak utarbeidelsen av GAIT-metodikken (og GTAG-serien av IT-revisjonsveiledninger).

CISA, CIA, CGAP

Stig J. Sunde

Riksrevisjonen, metodeseksjonen for Regnskaps- og IT-revisjon

Risikobasert revisjon:

Generelle IT-kontroller og regnskapsrevisjon

The Institute of Internal Auditors" Advanced Technology Committee lanserte i januar 2007 GAIT-prinsippene og -metodikken, en risikobasert tilnærming til evaluering av generelle IT-kontroller.

I landskapet plasserer den seg som et hjelpemiddel mellom COSO-rammeverket og COBIT-rammeverket, og bidrar til bedre spissing av hva som bør fokuseres på i revisjonen av generelle IT-kontroller relatert til regnskapet. Hensikten er å vurdere internkontrollen rundt den finansielle rapporteringen. Dette har sitt utspring i Sarbanes-Oxley Act (SOX) som gjelder for alle selskaper i verden listet på amerikanske børser. Alt arbeidet som legges ned for å imøtekomme kravene i SOX etablerer seg som en god praksis, og blir dermed relevant for oss som er utenfor SOX-området.

Mer om GAIT

GAIT består av fire prinsipper relatert til evalueringen av IT i forhold til kontroll over den finansielle rapporteringen. Videre består den av en metodikk for hvordan man tilnærmer seg dette i praksis.

La oss begynne med GAITs fire prinsipper:

  1. Identifiseringen av risikoer og relaterte kontroller i generelle IT-kontrollprosesser (for eksempel endringshåndtering, tilgangskontroll, drift mv.) må være en fortsettelse av topp-ned og risikobasert tilnærming anvendt for å identifisere viktige kontoer, risikoer ved disse kontoene, og nøkkelkontroller i forretningsprosessene.

  2. Prosessrisikoene ved generelle IT-kontroller som må identifiseres, er de som påvirker kritisk IT-funksjonalitet i viktige finansielle applikasjoner (økonomisystemer i videste forstand) og tilhørende data.

  3. Prosessrisikoene ved generelle IT-kontroller som må identifiseres eksisterer i prosesser og på ulike lag av IT- programkoder i applikasjoner, databaser, operativsystemer og nettverk.

  4. Risikoer i prosessene av generelle IT-kontroller reduseres ved innfrielse av IT-kontrollmålsetninger, og ikke individuelle kontroller.

Prinsipp 1: I vår norske revisjonsverden har vi også en risikobasert tilnærming i vurderingen av virksomheter vi reviderer. Identifiseringen av viktige kontoer er en viktig del av den finansielle revisjonen. Det første prinsippet innebærer at vi tar utgangspunkt i hva finansielle revisorer identifiserer som viktige kontoer, med tilhørende risikovurderinger og nøkkelkontroller. Vi har nok en utfordring med å få koblet dette videre mot IT-revisjonene våre, spesielt synliggjøre koblingen så konkret som prinsippet her indikerer. Figur 1 viser topp-ned tankegangen i den risikobaserte tilnærmingen.

Med fokus på kontrollen over den finansielle rapporteringen er det naturlig at vi med prinsipp 2 begrenser oss til viktige finansielle applikasjoner. Her vil vi likevel få tolkningsutfordringer mht. når transaksjoner oppstår. Integreringen av systemer i dag er slik at økonomiske transaksjoner oppstår allerede i flere forsystemer til selve økonomisystemene. Skal vi bekrefte regnskapet, må vi også gjøre oss opp en mening om disse forsystemene, og hvordan de påvirker viktige finansielle kontoer. Spørsmålet her er: Hva er risikoen for en vesentlig feil i den finansielle rapporteringen som følge av feil i generelle IT-kontroll-prosesser?

Prinsipp 3 bryter IT ned på de ulike lagene som applikasjoner, databaser, operativsystem og nettverk. Generelle IT-kontroller må eksistere på alle disse lagene/nivåene i systemene, og må sees i sammenheng (svakheter ett sted kan til en viss grad kompenseres et annet sted). Vi vet at svake kontroller i og rundt databaser gjør at all verdens kontroller bygget inn på applikasjonslaget i praksis har null verdi. Tall kan endres rett i databaser av databaseadministratorer eller andre med utvidede rettigheter, uten at noen nødvendigvis oppdager dette. Vi har sett eksempler på dette i våre revisjoner.

Prinsipp 4 er interessant. Å innfri IT-kontrollmålsetninger reduserer risikoen for feil i de generelle IT-kontrollprosessene. GAIT-metodikken hjelper oss med å identifisere IT-kontrollmålsetningene for de finansielt viktige applikasjonene. Men kontroller i de generelle IT-kontrollprosessene er vanskelig å koble direkte til risikoer for vesentlige feil i den finansielle rapporteringen. Individuelle kontroller bidrar til at relevante IT-kontrollmålsetninger innfris, og dermed at kritisk IT-funksjonalitet fungerer konsekvent. Denne kritiske IT-funksjonaliteten er nødvendig for at også nøkkelkontroller i forretningsprosesser skal fungere konsekvent. Det er nøkkelkontroller i forretningsprosessene som må være til stede for å sikre at vesentlige feil ikke oppstår i den finansielle rapporteringen.

Altså må de generelle IT-kontrollene fungere som forutsatt først, for at man i det hele tatt kan stole på kontroller bygget inn i forretningsprosessene (det vil si i praksis bygget inn i applikasjonene).

Jeg anbefaler å se nærmere på GAIT-metodikken: www.theiia.org/guidance/technology/gait/.

Her finnes hele metodikken med gode forklaringer på praktisk tilnærming, samt et par eksempler på GAIT-scenarier. Andre kilder er: www.ITRevisjon.org og www.NIRF.org. Om IT-kontrollmålsetninger over den finansielle rapporteringen anbefaler jeg også

«IT Control Objectives for Sarbanes-Oxley» som kan lastes ned gratis fra internettsidene til www.isaca.org