Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen Nasjonal fagkonferanse i offentlig revisjon 2014
Agenda Bakgrunn Internkontroll ISSAI Risikobildet Vurderinger mht revisjonshandlinger Konsekvens ved svakheter i ikt-kontroller Aktuelle revisjonshandlinger/gjennomføre en revisjon 2
I media Mørketallsundersøkelsen 2014 Ca 900 virksomheter. Enkelte har opplevd datainnbrudd. 50 prosent av de 100 virksomhetene som samarbeider med Nasjonal Sikkerhetsmyndighet (NSM), ble det oppdaget datainnbrudd i 2013. Anbefaler tiltak 1. Forsøke å unngå hendelser, ev minske konsekvensene. 2. Bidra til å oppdage hendelsene. http://www.aftenposten.no/nyheter/iriks/oppdaget-datainnbrudd-i-annenhver-bedrift-7715679.html 3
I media NSM - sikkerhetsmåned Dobling av alvorlige angrep siste år. Mange aner ikke at de er rammet. Regnskapsdata har også en verdi. http://www.aftenposten.no/nyheter/iriks/-unodvendig-lett-a-stjele-vare-verdier-7729038.html 4
Bakgrunn
Internkontroll Revisor bør opparbeide seg en forståelse av den interne kontrollen som er relevant for å sikre et korrekt regnskap. Kontroller i og rundt IT-systemer er en viktig del av virksomhetens internkontroll. Hvis revisor kan bygge på den interne kontrollen kan revisjonen effektiviseres. 6
ISSAI (ISA + PN = ISSAI) ISSAI 1315(2012), pkt. 18., 20., og 21. Revisor skal opparbeide seg en forståelse av de delene av informasjonssystemet, herunder de tilknyttede forretningsprosessene, som er relevante for finansiell rapportering, Revisor skal opparbeide seg en forståelse av kontrollaktiviteter.. forståelse av hvordan enheten har håndtert risikoer som følge av bruk av IT.. ISSAI 1330(2012) pkt. 14. "skal revisor teste kontrollene minst en gang hver tredje revisjon" 7
Risikobildet Overføring fra andre system Fysisk sikring Applikasjon Agresso/SAP. Fysisk tilgang Regnskapet, data i database DB ansvarlig Server Serveransvarlig 8
Vurderinger mht revisjonshandlinger Tar med de aller mest viktige elementene knyttet til integritet i data En minimums liste over revisjonshandlinger Fokus er integritet avstemminger tilganger/arbeidsdeling logger (kompenserende kontroll) 9
Revisjonshandlinger omfatter: 1. Dataflyt mellom applikasjoner (applikasjonskontroll) 2. Informasjonssikkerhet (generelle kontroller) Fysisk sikkerhet Sikring av database og server 3. Applikasjonskontroller (applikasjonskontroll) 4. Arbeidsdeling (generelle kontroller) 5. Endringshåndtering (generelle kontroller) 10
Konsekvens ved svakheter i ikt-kontroller 11
Aktuelle revisjonshandlinger
Aktuelle revisjonshandlinger 1. Dataflyt mellom applikasjoner Oversikt over dataflyt Avstemme 13
1. Dataflyt mellom applikasjoner skisse 1. Oversikt over dataflyt Oversikt over dataflyt - 2013 SAP lønn Agresso økonomi Overføringer Overføringer: - Fastlønn, 1. gang i mnd - Variabel lønn, 3 ganger i mnd 14
1. Dataflyt mellom applikasjoner avstemming 2. avstemminger SAP Lønn Fil for overføring - oppsummering Agresso regnskap Import av fil: oppsummering --------------------------------------------- ID: 05012013-01 Dato: 05.01.2013 Antall bilag 117 Sum 4 822 389,00 ID: 05012013-01 Dato: 05.jan.2013 Antall bilag 117 Sum 4822389 3. Konklusjon Ingen avvik.. 15
Aktuelle revisjonshandlinger 2. Informasjonssikkerhet a) Fysisk sikkerhet Tilgangskontroll(adgangskontroll) og logging b) Sikring av database og server Tilgangskontroll og logging 16
Ansatt nå I hht stilling 2. a) Fysisk sikkerhet 1. Hvem har tilgang? Søk: Sone 4 - serverrom Rapport Kort nr Navn Soner 0014 Gunn Olsen Alle 0155 Halvor Pettersen Alle 0176 Anders Bakke Alle 0215 Felleskort serverrom 4 3. Kontrollere logg Logg over tilganger Søk Kort nr: 0176 Dato: 2013 Sone: Sone 4 - serverrom ---------------------------------------------------------- Resultat: Kort nr. Dato Sone - Ingen treff! 2. Kontroll/avstemme Navn Stilling Revisors merknad Halvor Pettersen Tekniker/montør Ja Ja Ok. Gunn Olsen Tekniker/nettverk Ja Ja Ok. Anders Bakke Support/applikasjon Ja Nei Ny stilling i IKT. SJEKKES Felleskort serverrom - - Felleskort, SJEKKES Logg over tilganger Søk Kort nr: 0215 Dato: 2013 Sone: Sone 4 - serverrom ---------------------------------------------------------- Resultat: Kort nr. Dato Sone - Ingen treff! 17
Ansatt nå I hht stilling 2. a) Fysisk sikkerhet 4. Konklusjon Navn Stilling Revisors merknad Halvor Pettersen Tekniker/montør Ja Ja Ok. Gunn Olsen Tekniker/nettverk Ja Ja Ok. - Ny stilling i IKT. - Ikke benyttet tilgangen. Anders Bakke Support/applikasjon Ja Nei - Bør deaktiveres. - Felleskort. - Ikke benyttet tilgang. Felleskort serverrom - - - Bør deaktiveres. Rapportere identifiserte avvik. Ingen regnskapsmessig betydning. 18
Ansatt nå I hht stilling 2. b) Sikring av database og server - servere 1. Hvem har tilgang? 3. Kontrollere logg 2. Kontroll/avstemme Initialer AD Navn Stilling Revisors merknad - Default bruker Administrator - - - - - Deaktivert. adm-kry Knut Ryen Nei - Sluttet. SJEKKES adm-lan Leif Andersen Nettverk/support Ja Ja Ok. adm-aba Anders Bakke Support/appliasjon Ja Ja Ok. 19
Ansatt nå I hht stilling 2. b) Sikring av database og server - servere 4. Konklusjon Initialer AD Navn Stilling Revisors merknad - Default bruker Administrator - - - - - Deaktivert. - Sluttet. - Tilgang har ikke vært benyttet. adm-kry Knut Ryen Nei - - Bør deaktiveres. adm-lan Leif Andersen Nettverk/support Ja Ja Ok. adm-aba Anders Bakke Support/appliasjon Ja Ja Ok. Rapportere identifiserte avvik. Ingen regnskapsmessig betydning. 20
Ansatt nå I hht stilling Rettigheter 2. b) Sikring av database og server - databaser 1. Hvem har tilgang? 2. Kontroll/avstemme Initialer Navn Stilling Revisors merknad System - - - - Change - Default systembruker TNI Turid Nilsen Regnskap Ja Ja Change adm-bso Bjørg Solheim Appliasjon/backup Ja Ja Read test - - - - Read - Testbruker? SJEKKES Ole (ekstern) - - - - Change - Ekstern? SJEKKES 21
2. b) Sikring av database og server - databaser 3. Kontrollere logg 22
Ansatt nå I hht stilling Rettigheter 2. b) Sikring av database og server - databaser 4. Konklusjon Initialer Navn Stilling Revisors merknad - Default systembruker. System - - - - Change - Har ikke vært pålogget. - Benyttes som backup hvis behov for endringer i TNI Turid Nilsen Regnskap Ja Ja Change databasen. OK. adm-bso Bjørg Solheim Appliasjon/backup Ja Ja Read OK. - Dette er en testbruker. - Har bare lesetilgang. - Har ikke vært pålogget. test - - - - Read - Bør deaktiveres - Ekstern konsulent. - Benyttet i fbm oppgradering av database. - Ikke endret noe data. Ole (ekstern) - - - - Change - Bør deaktiveres. Rapportere identifiserte avvik. Ingen regnskapsmessig betydning. 23
Aktuelle revisjonshandlinger 3. Applikasjonskontroller Tilgangskontroll og logging 24
Brukeradministrasjon Logg administrasjon Endre faste data Endre variable data (legge inn faktura mm) Remittere Utbetaling i bank BrukerID Ansatt nå I hht stilling 3. Applikasjonskontroller (applikasjonskontroll) 1. Hvem har tilgang? 2. Kontroll/avstemme Navn Per Wold X X PWO Turid Nilsen X X TNI Petter Kvalheim X PKV Geir Reitan X GRE Anders Bakke X ABA Bjørg Solheim X X BSO Ola Hansen X OHA Navn Stilling Revisors merknad Per Wold Øk. Sjef Ja Ja OK Turid Nilsen Regnskap Ja Ja OK Petter Kvalheim Regnskap Ja Ja OK Geir Reitan Regnskap Ja Ja OK Anders Bakke Support/appliasjon Ja Ja OK Bjørg Solheim Applikasjon/backup Ja Ja Endre faste data?? Ola Hansen Regnskap Nei - Sluttet, SJEKKES 25
3. Applikasjonskontroller (applikasjonskontroll) 3. Kontrollere logg Logg over pålogginger Legg inn søkekriterier Brukerid: OHA Dato/år: 2013 -------------------------------------- Rapport: Logg over pålogginger Legg inn søkekriterier Brukerid: BSO Dato/år: 2013 -------------------------------------- Rapport: Logg over endringer Legg inn søkekriterier Brukerid: BSO Dato/år: 2013 -------------------------------------- Rapport: Brukerid: Dato: Brukerid: Dato: Brukerid: Endring Dato: - ingen treff! BSO 26.11.2013 BSO Aktivering av logg for loggen 26.11.2013 BSO 27.11.2013 BSO Aktivering av logg for pålogginger 27.11.2013 --- --- 26
Ansatt nå I hht stilling 3. Applikasjonskontroller (applikasjonskontroll) 4. Konklusjon Navn Stilling Revisors merknad Per Wold Øk. Sjef Ja Ja OK Turid Nilsen Regnskap Ja Ja OK Petter Kvalheim Regnskap Ja Ja OK Geir Reitan Regnskap Ja Ja OK Anders Bakke Support/appliasjon Ja Ja OK - Har bare aktivert logger. - Bør ikke ha tilgang Bjørg Solheim Applikasjon/backup Ja Ja til faste registre. - Sluttet. - Ikke vært pålogget. Ola Hansen Regnskap Nei - - Bør deaktiveres. Rapportere identifiserte avvik. Ingen regnskapsmessig betydning. 27
Aktuelle revisjonshandlinger 4. Arbeidsdeling Ser de ulike tilgangsområdene i sammenheng Liste over tilganger "avstemme mot ikt-ansatte" Logg som viser hvem som har gjort hva 28
Fysisk tilgang Nettverk/servere Databaser Applikasjoner 4. Arbeidsdeling 1. Arbeidsdeling Navn Rolle Revisors kommentar Halvor Pettersen Tekniker/montør X OK Gunn Olsen Tekniker/nettverk X OK Leif Andersen Nettverk/support X OK Anders Bakke Support/applikasjon X X SJEKKES Bjørg Solheim Applikasjon/backup X X SJEKKES Per Wold Øk. Sjef X OK Turid Nilsen Regnskap X X SJEKKES Petter Kvalheim Regnskap X OK Geir Reitan Regnskap X OK Anders Bakke Support/appliasjon X OK 29
Fysisk tilgang Nettverk/servere Databaser Applikasjoner 4. Arbeidsdeling 2. Sjekke ut og kontrollere logg Navn Rolle Revisors kommentar Halvor Pettersen Tekniker/montør X OK Gunn Olsen Tekniker/nettverk X OK Leif Andersen Nettverk/support X OK - Brukeradm i applikasjon. - Brukes ved fravær. Anders Bakke Support/applikasjon X X - OK! - Kan endre faste data i app. - Jf forrige RH. Har ikke gjort endring av faste data. - Bør ikke ha tilgang til faste Bjørg Solheim Applikasjon/backup X X registre. Per Wold Øk. Sjef X OK Turid Nilsen Regnskap X X SJEKKES Petter Kvalheim Regnskap X OK Geir Reitan Regnskap X OK Anders Bakke Support/appliasjon X OK 30
Fysisk tilgang Nettverk/servere Databaser Applikasjoner 4. Arbeidsdeling 3 Konklusjon Navn Rolle Revisors kommentar Halvor Pettersen Tekniker/montør X OK Gunn Olsen Tekniker/nettverk X OK Leif Andersen Nettverk/support X OK - Brukeradm i applikasjon. - Brukes ved fravær. Anders Bakke Support/applikasjon X X - OK! Bjørg Solheim Applikasjon/backup X X - Kan endre faste data i app. - Jf forrige RH. Har ikke gjort endring av faste data. - Bør ikke ha tilgang til faste registre. Per Wold Øk. Sjef X OK Turid Nilsen Regnskap X X - Benyttes som backup hvis behov for endringer i databasen. - Ikke loggget på databasen i 2013. Petter Kvalheim Regnskap X OK Geir Reitan Regnskap X OK Anders Bakke Support/appliasjon X OK Rapportere identifiserte avvik. Ingen regnskapsmessig betydning. 31
Aktuelle revisjonshandlinger 5. Endringshåndtering Avstemme regnskapet 32
5. Endringshåndtering 1. Oppgradering av database 2. Avstemme data Rapport fra regnskapet Type: Aggregert rapport Kjørt: 10.nov.13 Bruker: PWO Rapport fra regnskapet Type: Aggregert rapport Kjørt: 26.nov.13 Bruker: PWO 3. Konklusjon Ingen avvik.. Antall bilag: 15 283 Sum beløp: 124 587,50 Antall bilag: 15 283 Sum beløp: 124 587,50 33
Oppsummering
Konsekvens ved svakheter i ikt-kontroller 35
Oppsummert IKT er en del av Internkontroll og IKT er noe regnskapsrevisor må forholde seg til. Det er et krav i standardene (ISSAI). God internkontroll kan effektivisere revisjonen. Det er forholdsvis enkelt Tilgangskontroll og arbeidsdeling Avstemminger Logger 36
Spørsmål borre.lagesen@riksrevisjonen.no 37