logoRevisjon og regnskap

Logg på for å laste ned PDF
Revisjon

CISA

Torkil Hindberg

Manager, Advisory KPMG

IT-revisjon - effektiv revisjon med merverdi

Kontroll av input og output uten å ha god kjennskap til systemene kan føre til manglende kvalitet på og manglende effektivitet i gjennomføringen av revisjonen. IT-revisjon, som vurderer hvordan IT-systemene støtter opp under regnskapsavleggelsen, er, etter artikkelforfatterens mening, hensiktsmessig for de fleste revisjonsoppdrag.

IT-systemer har historisk ofte blitt behandlet som en «black box» av revisor. Sannsynligvis skyldes dette manglende kunnskap om IT-systemer. Å kontrollere input og output uten å ha noen nærmere kjennskap til eller kontroll av systemene vil imidlertid kunne medføre både manglende kvalitet på, og manglende effektivitet i gjennomføringen av revisjonen.

I finansiell revisjon skal revisor bekrefte at selskapets regnskapspåstander ikke er vesentlig feil gjennom å oppnå revisjonsmålsettingene. IT-revisjon som en del av finansiell revisjon, er betegnelsen på metoder og revisjonshandlinger hvor man vurderer hvordan IT-systemene støtter opp under regnskapsavleggelsen. IT-revisjon vil være hensiktsmessig og effektivt i de fleste revisjonsoppdrag, men dette må ikke forstås som at IT-revisjonen bestandig må gjennomføres av en IT-revisor. Det er fullt mulig, og sannsynligvis mest effektivt, at de enkleste IT-revisjonshandlingene utføres av en «vanlig» revisor, alene eller under veiledning av en IT-revisor. Dette betyr at IT-revisjon gjennomføres istedenfor andre revisjonshandlinger og ikke i tillegg til eksisterende revisjonshandlinger, noe som gir et stort effektivitetspotensial.

IT-revisjon involverer tre parter; kunden, revisjonsteamet og IT-revisoren. Det er svært viktig at både kunden og revisjonsteamet opplever merverdi med IT-revisorens arbeid. Revisjonsteamet trenger sikkerhet for at regnskapspåstandene er riktige (revisjonsmålsettingene oppnådd), mens kunden både må ha sikkerhet for at behandlingen av data skjer på riktig måte, og også behov for forbedringsinnspill i forhold til hvordan systemene kan benyttes mer effektivt og/eller i forhold til smartere og bedre kontroller i transaksjonsflyten. Fokuset i IT-revisjonshandlingene må altså være på bekreftelse av revisjonsmålsettinger og ikke operasjonelle IT-forhold som har liten eller ingen innvirkning på regnskapet.

Når og hvordan skal man involvere en IT-revisor?

IT-revisor er en spesialist som tas med i revisjonen hvis det foreligger spesifikk risiko knyttet til hvordan IT-systemene anvendes for å avlegge et riktig regnskap. IT-revisoren er spesialist på å forstå og håndtere risikoen som et IT-systems funksjonalitet og anvendelse har på kvaliteten i regnskapsavleggelsen. Involveringen av IT-revisoren kan være forskjellig - dette kommer an på kompleksiteten i problemstillingene. Risikovurdering i forhold til hvordan IT-systemene støtter virksomheten og regnskapsavleggelsen sier noe om risikoen for feil i regnskapet. I mange tilfeller kan det være nyttig at IT-revisoren bare er med i planleggingen for å avklare hvilken risiko IT-systemene innebærer og hvordan dette kan håndteres. Revisjonshandlingene kan, basert på dette, gjennomføres av «vanlige» revisorer hvis kompleksiteten i handlingene ikke er høy.

Ved å involvere IT-revisoren allerede i planleggingen vil man håndtere IT-risikoen i en tidlig fase slik at man sikrer en effektiv revisjonstilnærming. En IT-revisors involvering i planleggingen kan være fra bare en halv times diskusjon med revisjonsteamet til aktiv deltakelse i kartlegging av hvordan IT-systemene påvirker regnskapet, hvilke IT-relaterte kontroller på selskapsnivå som finnes og hvordan kvaliteten på disse påvirker risikoen for feil i regnskapet og til slutt revisjonstilnærmingen - dvs. hvilke konkrete revisjonshandlinger som skal utføres.

Test av kontroller er den mest effektive formen for revisjon. Den mest effektive formen for kontrolltesting er gjennom test av automatiske kontroller i IT-systemene. Årsaken til dette er at automatiske kontroller fungerer på samme logiske måte hver gang, så fremt funksjonaliteten i IT-systemet ikke er endret. På denne måten kan man teste integriteten i hele populasjonen eksempelvis for en transaksjonsstrøm ved bare å teste et sample. Mange av disse kontrollene er standardkontroller i IT-systemene. Et eksempel på en standardkontroll er at det ligger inne en sperre som sikrer at man ikke kan fakturere en vare før den er levert. Denne typen kontroller kan fint testes av en ordinær revisor, alene eller med støtte fra en IT-revisor. Ved tilpassede kontroller og mer komplekse transaksjonsstrømmer vil det være behov for å involvere en IT-revisor i testingen.

Detaljtester og analyse som substanskontroll kan være utfordrende å gjennomføre på grunn av store datamengder. Ved å anvende dataanalyse for å gjennomføre substanshandlingene har man mulighet til en mer effektiv revisjonshandling med bedre sikkerhet. I KPMG benytter vi dataanalyseverktøyet IDEA. Dette kan benyttes av en «vanlig» revisor for de enkleste handlingene og med støtte fra IT-revisjon hvis problemstillingene er mer komplekse. Fordelen med dataanalyse i IDEA er at man kan importere hele populasjonen man ønsker å utføre revisjonshandlingen på til IDEA og gjennomføre de revisjonshandlingene man ønsker på alle relevante data.

Kommunikasjonen med kundene om hvordan vi mener IT-systemene støtter regnskapsavleggelsen, kan være utfordrende, da problemstillingene ofte ligger i et grenseland mellom økonomi og IT. Det kan derfor være nyttig å benytte en IT-revisor for å utarbeide de IT-relaterte forholdene som revisor ønsker å ta opp i brev til ledelsen. Et oppsummeringsbrev eller en presentasjon av den gjennomførte IT-revisjonen, der man tar opp og kommer med forslag til forbedringer på mindre kritiske forhold og kanskje operasjonelle problemstillinger, gir kunden en merverdi.

IT-revisor bør være med i hele revisjonsprosessen, fra planlegging via test av kontroller og substanstester til avslutning i de tilfeller der risikoen for feil i regnskapet som følge av IT-systemenes funksjonalitet og anvendelse er høy. Involveringen vil variere i omfang og må bestemmes ut fra hva som gir mest sikkerhet og kvalitet i revisjonen.