3 2 | T Ö L V U M Á L Inngangur Alþjóðlegir endurskoðunarstaðlar gera kröfu til þess að upplýsinga endur- skoðun (IT-audit) sé hluti af endurskoðunarvinnu hjá þeim fyrirtækjum sem á annað borð þurfa á þjónustu endurskoðanda að halda. Hér á Íslandi eru tilteknar lögformlegar kröfur sem ákvarða nauðsyn áritaðra ársreikninga en í mörgum tilfellum er endurskoðunin að kröfu 3ja aðila eins og banka eða fjármálastofnana jafnvel þó hún sé ekki bein lagaleg skylda. Hins vegar er það ljós að í þeim tilvikum þar sem endurskoðunar er krafist þá er það í flestum tilvikum jafnframt hluti af þeirri vinnu að framkvæma upplýsingaendurskoðun sem almennt er nefnd tölvuendurskoðun. Það eru nokkrar ástæður fyrir tilvist þessara staðla að því er varðar tölvuendurskoðun, en segja má að þær séu tvíþættar. Annars vegar hefur flækjustig og magn upplýsinga í fjárhagskerfum nútímans aukist svo mjög að væri hefðbundnum aðferðum endurskoðunar beitt yrði það mjög kostnaðarsamt og tímafrekt. Hins vegar er það staðreynd að í upplýsingakerfum og þá sérstaklega fjárhagskerfum er að finna mjög marga eftirlitsþætti sem endurskoðendur geta, ef vel tekst til, reitt sig á við mat á endurskoðunaráhættu. Séu þeir þættir til staðar í upplýsingakerfum fyrirtækja sem endurskoðendur geta reitt sig á er bæði hægt að framkvæma endurskoðun á ódýrari hátt og einnig skapa meiri vissu um áreiðanleika þeirra fjárhagsupplýsinga sem áritun er gefin fyrir. Framkvæmd tölvuendurskoðunar er samkvæmt tilteknum verkferlum sem miða að því að draga fram þau atriði sem minnst er á hér að ofan. Þau atriði sem gagnast helst við framkvæmd endurskoðunar er einkum að finna í eftirlitsþáttum í fjárhagskerfunum sjálfum en til þess að þau atriði hafi gildi þarf að liggja fyrir að ákveðnir grundvallarþættir í stjórnun, umsýslu og framkvæmd kerfisstjórnunar séu í lagi og til staðar. Þættirnir eru: Almennur rekstur tölvukerfa, breytinga- og verkefnastjórnun og svo aðgangur að kerfum og gögnum. Því miður hefur reynslan kennt okkur að hérlendis eru þessir þættir oftar en ekki unnir með svo óformlegum hætti að mjög erfitt er að byggja á eftirlitsþáttum í fjárhagskerfum þar sem grunnforsendur skortir til þess. Sem dæmi má nefna að aðgangsstýringar í fjárhagskerfum eiga að styðja við þá grunnmeginreglu að sami aðili sjái ekki um bókun, samþykkt og greiðslu reikninga. Sé hins vegar aðgangur að fjárhagskerfum öllum opinn er engin leið að sannreyna þá reglu hvað þá heldur að leggja traust sitt á þá þætti. Oftast er þó um tiltölulega einfaldar aðgerðir að ræða eigi úr þessum grunnþáttum að bæta. Það er í stuttu máli að setja sér skriflegar verklagsreglur og fylgja þeim svo með sannreynanlegum hætti. Hér að neðan er tekið saman fyrir þá aðila, sem bara ábyrgð á upplýsingakerfum, haldbær gátlisti til að tryggja áreiðanleika í rekstri upplýsingakerfa með tilliti til þeirra áhersluþátta sem koma fram í tölvuendurskoðun. Sé vilji til þess geta kerfisstjórar eða aðrir þess til bærir aðilar notað þetta yfirlit til að standa klárir á sínu sé tölvuendurskoðun þáttur í endurskoðun fyrirtækis þess er þeir starfa hjá. Stjórnkerfi og ábyrgð Ábyrgð og völd kerfisstjóra: Starfslýsing kerfisstjóra getur verið af mörgum toga. Starfslýsing viðkomandi getur verið allt frá „Sjá um tölvumálin“ í að vera svo nákvæm að segja m.a „Kerfisstjóri skal taka afrit af öllum gögnum fyrirtækisins kl. 2 hvern föstudag áður en hann fer í kaffi“. Það sem skiptir máli í þessu samhengi er að verkefni og ábyrgð séu ljós. Þegar eitthvað fer ekki eins og ætlast er til og það tengist upplýsingatæknimálum þá virðist vera sem kerfisstjóri beri alltaf ábyrgð á öllu með örgjörva án þess að það sé nauðsynlega tiltekið í starfslýsingu hans. Hlutverk yfirstjórnar: Það ber stundum á þeim misskilning að upplýsingatæknikerfi séu tilgangur í sjálfu sér. Þetta kemur stundum berlega í ljós þegar taka á í notkun nýjar útgáfur af viðskiptahugbúnaði. Í seinni tíð er slíkur hugbúnaður með veflausnum sem geta opnað fyrir Guðjón Viðar Valdimarsson, M.Sc. og faggiltur innri endurskoðandi CIA CISA Tölvuendurskoðun er orðin fastur hluti af árlegri endurskoðun hjá flestum fyrirtækjum fyrir kerfisstjóra Tölvuendurskoðun

Síða 1
Síða 2
Síða 3
Síða 4
Síða 5
Síða 6
Síða 7
Síða 8
Síða 9
Síða 10
Síða 11
Síða 12
Síða 13
Síða 14
Síða 15
Síða 16
Síða 17
Síða 18
Síða 19
Síða 20
Síða 21
Síða 22
Síða 23
Síða 24
Síða 25
Síða 26
Síða 27
Síða 28
Síða 29
Síða 30
Síða 31
Síða 32
Síða 33
Síða 34
Síða 35
Síða 36
Síða 37
Síða 38
Síða 39
Síða 40
Síða 41
Síða 42
Síða 43
Síða 44
Síða 45
Síða 46
Síða 47
Síða 48
Síða 49
Síða 50
Síða 51
Síða 52
Síða 53
Síða 54
Síða 55
Síða 56