Revisor opdeler it-kontroller i to hovedgrupper: generelle it-kontroller og applikationskontroller. Disse kontroller sikrer, at informationer i systemerne er nøjagtige og beskyttede mod uautoriseret adgang og manipulation.

Generelle it-kontroller

Generelle it-kontroller er politikker og procedurer, der gælder for mange af virksomhedens applikationer og systemer, og som hjælper med at sikre sikker og kontinuerlig drift af it-systemerne. De omfatter normalt kontrol med:

• Drift af datacentre og netværk: Her sikres, at netværk og datacentre fungerer korrekt og er beskyttet mod fejl eller nedbrud.
• Systemsoftware: Kontrol med anskaffelse, ændringer og vedligeholdelse af systemsoftware.
• Adgangssikkerhed: Sikring mod uautoriseret adgang til systemer og data, hvilket forhindrer uautoriserede ændringer.
• Programændringer: Procedurer, der sikrer, at ændringer i softwareprogrammer kun foretages med godkendelse og overvågning.

Disse kontroller sikrer blandt andet mod:

• Fejl i systemer eller programmer, som kan føre til unøjagtige transaktioner.
• Uautoriseret adgang til data, som kan ødelægge eller ændre data, fx ved bogføring af ikke-godkendte transaktioner.
• Tab af data, som kan gøre det umuligt at afslutte årsregnskabet korrekt.

Applikationskontroller

Applikationskontroller er mere specifikke kontroller, der vedrører enkelte it-systemer og deres behandling af data. De sikrer, at transaktioner er korrekte, fuldstændige og godkendte. Eksempler på applikationskontroller er:

• Kontrol af matematisk nøjagtighed af beregninger.
• Inddatavalidering for at sikre, at input i systemerne er korrekt.
• Kontrol med nummersekvenser, så der ikke mangler transaktioner i regnskabet.
• Maksimum- og minimumkontroller, som sikrer, at værdierne i systemet holder sig inden for acceptable grænser.

Revisors arbejde med it-revision

I revisionsprocessen vurderer revisor, hvordan virksomheden anvender it, og om it-anvendelsen er væsentlig for virksomhedens drift og regnskabsaflæggelse. Hvis it-anvendelsen vurderes som betydelig, vil revisor foretage en grundig vurdering af både generelle it-kontroller og applikationskontroller.

Planlægning af it-revisionen

Ved planlægningen af it-revisionen vurderer revisor:

• Omfanget af it-anvendelse i virksomheden, herunder hvor afhængig virksomheden er af it-systemerne.
• Kompleksiteten af it-systemerne: Jo mere komplekse systemer, desto større risiko for fejl, der kan påvirke regnskabet.
• It-brugeres omfang og antal: Hvor mange medarbejdere er afhængige af it i det daglige, og hvor omfattende er databehandlingen?

Hvis virksomheden anvender it i et begrænset omfang, kan revisor nøjes med nogle få forespørgsler og observationer, mens en virksomhed med stor it-afhængighed kræver en mere detaljeret it-revision. Revisor vurderer også, om der er en risiko for økonomiske tab eller ødelæggelse af data, som kan medføre, at årsregnskabet ikke kan aflægges korrekt.

It-kontroller og outsourcing

I tilfælde af outsourcing af it-ydelser skal revisor have adgang til at revidere virksomhedens it-systemer, selvom de driftes af en ekstern serviceleverandør. Revisor skal sikre sig, at serviceleverandørens it-kontroller er tilstrækkelige og kan dokumenteres, typisk via en erklæring fra serviceleverandørens revisor, som udarbejdes i overensstemmelse med ISAE 3402-standarden.

Opsummering

Revisors arbejde med it-revision er afgørende for at sikre, at virksomhedens it-systemer fungerer effektivt og sikkert, og at de understøtter et korrekt regnskab. Både generelle it-kontroller og applikationskontroller er vigtige for at imødegå risici som datafejl, uautoriseret adgang og mangelfuld transaktionsbehandling. Revisor skal sikre sig, at virksomhedens it-kontroller er tilstrækkelige, enten via egne revisioner eller via erklæringer fra serviceleverandørers revisorer.