3 2 | T Ö L V U M Á L Inngangur Alþjóðlegir endurskoðunarstaðlar gera kröfu til þess að upplýsinga endur- skoðun (IT-audit) sé hluti af endurskoðunarvinnu hjá þeim fyrirtækjum sem á annað borð þurfa á þjónustu endurskoðanda að halda. Hér á Íslandi eru tilteknar lögformlegar kröfur sem ákvarða nauðsyn áritaðra ársreikninga en í mörgum tilfellum er endurskoðunin að kröfu 3ja aðila eins og banka eða fjármálastofnana jafnvel þó hún sé ekki bein lagaleg skylda. Hins vegar er það ljós að í þeim tilvikum þar sem endurskoðunar er krafist þá er það í flestum tilvikum jafnframt hluti af þeirri vinnu að framkvæma upplýsingaendurskoðun sem almennt er nefnd tölvuendurskoðun. Það eru nokkrar ástæður fyrir tilvist þessara staðla að því er varðar tölvuendurskoðun, en segja má að þær séu tvíþættar. Annars vegar hefur flækjustig og magn upplýsinga í fjárhagskerfum nútímans aukist svo mjög að væri hefðbundnum aðferðum endurskoðunar beitt yrði það mjög kostnaðarsamt og tímafrekt. Hins vegar er það staðreynd að í upplýsingakerfum og þá sérstaklega fjárhagskerfum er að finna mjög marga eftirlitsþætti sem endurskoðendur geta, ef vel tekst til, reitt sig á við mat á endurskoðunaráhættu. Séu þeir þættir til staðar í upplýsingakerfum fyrirtækja sem endurskoðendur geta reitt sig á er bæði hægt að framkvæma endurskoðun á ódýrari hátt og einnig skapa meiri vissu um áreiðanleika þeirra fjárhagsupplýsinga sem áritun er gefin fyrir. Framkvæmd tölvuendurskoðunar er samkvæmt tilteknum verkferlum sem miða að því að draga fram þau atriði sem minnst er á hér að ofan. Þau atriði sem gagnast helst við framkvæmd endurskoðunar er einkum að finna í eftirlitsþáttum í fjárhagskerfunum sjálfum en til þess að þau atriði hafi gildi þarf að liggja fyrir að ákveðnir grundvallarþættir í stjórnun, umsýslu og framkvæmd kerfisstjórnunar séu í lagi og til staðar. Þættirnir eru: Almennur rekstur tölvukerfa, breytinga- og verkefnastjórnun og svo aðgangur að kerfum og gögnum. Því miður hefur reynslan kennt okkur að hérlendis eru þessir þættir oftar en ekki unnir með svo óformlegum hætti að mjög erfitt er að byggja á eftirlitsþáttum í fjárhagskerfum þar sem grunnforsendur skortir til þess. Sem dæmi má nefna að aðgangsstýringar í fjárhagskerfum eiga að styðja við þá grunnmeginreglu að sami aðili sjái ekki um bókun, samþykkt og greiðslu reikninga. Sé hins vegar aðgangur að fjárhagskerfum öllum opinn er engin leið að sannreyna þá reglu hvað þá heldur að leggja traust sitt á þá þætti. Oftast er þó um tiltölulega einfaldar aðgerðir að ræða eigi úr þessum grunnþáttum að bæta. Það er í stuttu máli að setja sér skriflegar verklagsreglur og fylgja þeim svo með sannreynanlegum hætti. Hér að neðan er tekið saman fyrir þá aðila, sem bara ábyrgð á upplýsingakerfum, haldbær gátlisti til að tryggja áreiðanleika í rekstri upplýsingakerfa með tilliti til þeirra áhersluþátta sem koma fram í tölvuendurskoðun. Sé vilji til þess geta kerfisstjórar eða aðrir þess til bærir aðilar notað þetta yfirlit til að standa klárir á sínu sé tölvuendurskoðun þáttur í endurskoðun fyrirtækis þess er þeir starfa hjá. Stjórnkerfi og ábyrgð Ábyrgð og völd kerfisstjóra: Starfslýsing kerfisstjóra getur verið af mörgum toga. Starfslýsing viðkomandi getur verið allt frá „Sjá um tölvumálin“ í að vera svo nákvæm að segja m.a „Kerfisstjóri skal taka afrit af öllum gögnum fyrirtækisins kl. 2 hvern föstudag áður en hann fer í kaffi“. Það sem skiptir máli í þessu samhengi er að verkefni og ábyrgð séu ljós. Þegar eitthvað fer ekki eins og ætlast er til og það tengist upplýsingatæknimálum þá virðist vera sem kerfisstjóri beri alltaf ábyrgð á öllu með örgjörva án þess að það sé nauðsynlega tiltekið í starfslýsingu hans. Hlutverk yfirstjórnar: Það ber stundum á þeim misskilning að upplýsingatæknikerfi séu tilgangur í sjálfu sér. Þetta kemur stundum berlega í ljós þegar taka á í notkun nýjar útgáfur af viðskiptahugbúnaði. Í seinni tíð er slíkur hugbúnaður með veflausnum sem geta opnað fyrir Guðjón Viðar Valdimarsson, M.Sc. og faggiltur innri endurskoðandi CIA CISA Tölvuendurskoðun er orðin fastur hluti af árlegri endurskoðun hjá flestum fyrirtækjum fyrir kerfisstjóra Tölvuendurskoðun

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 49
Blaðsíða 50
Blaðsíða 51
Blaðsíða 52
Blaðsíða 53
Blaðsíða 54
Blaðsíða 55
Blaðsíða 56