IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL



Like dokumenter
Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet

Innledning til IT-revisjon

Internkontroll Styring og kontroll. Økonomisk kriminalitet: Straff. Økonomisk kriminalitet. Økonomisk kriminalitet Misligheter

COSOs komponeter De fire siste. Risikovurdering. Hva er risiko? Hva mer enn kontrollmiljøet inngår i interkontrollbegrepet iflg COSO?

Revisjon av informasjonssikkerhet

Bokføringsloven. Transaksjonsdata og faste opplysninger. Er data som forventet? Kontroller i IT-systemer. Bokføringen styres av kravet til

IT-risikoer og kontroller

IT er ikke bare for IT-revisorer

IT-risikoer og kontroller

NKRFS fagkonferanse 2014

IT-revisjon i kommunal sektor. Lena Stornæs

IT-risikoer og kontroller. Prosessen risikostyring av IT. IT-risikoer. Hunton, J.E. kap 3

Prosessen risikostyring av IT. IT-risikoer og kontroller. Forretningsrisiko. IT-risikoer. Revisjonsrisiko. Sikkerhetsrisiko

Egenevalueringsskjema

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

Forord Del1 Innledning 1 Om revisjon, god revisjonsskikk og revisjonsstandarder 2 Behovet for revisjon og revisors rammebetingelser

Veiledning om revisors attestasjon av registrering og dokumentasjon av enhetens regnskapsopplysninger i samsvar med ISAE


IKT-revisjon som del av internrevisjonen

Norsox. Dokumentets to deler

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Akelius Revisjon. Dokumentasjon ved revisjon av små foretak

Styreskolen. Prodekan Lars Atle Kjøde. Universitetet i Stavanger uis.no

Foretakets navn : Dato: Underskrift :

Internrevisjon og intern kontroll i statlige virksomheter

Evaluering av It-systemer i et forvaltningsperspektiv. Drift, vedlikehold og videreutvikling av IT-systemet

INTERNASJONAL STANDARD FOR ATTESTASJONSOPPDRAG (ISAE) 3402 ATTESTASJONSUTTALELSER OM KONTROLLER HOS EN SERVICEORGANISASJON. ISAE-ens virkeområde...

Intern kontroll i finansiell rapportering

Internkontroll i Gjerdrum kommune

Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk

Internkontroll og informasjonssikkerhet lover og standarder

Egenevalueringsskjema

Innhold. Forord Innledning og sammendrag Innledning Sammendrag 13

Tlf : Fax: Munkedamsveien 45 Postboks 1704 Vika 0121 Oslo Til sameiermøtet i Sameiet Siriskjeret 4-6 Revisors beret

Revisjon av IKT-området i en mindre bank

SENSORVEILEDNING TIL


Mislighetsrevisjon Sykehuset Innlandet HF

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

DOKUMENTASJON AV BALANSEN OG INTERNKONTROLL ADRA AS


IT-revisjon, Rev2403

Innhold. Forord Innledning og sammendrag Innledning Sammendrag 13

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Uavhengig revisors beretning

Applikasjonskontroller ISA315.A97. Er data som forventet? Kontroller i IT-systemer. Applikasjon: En IT-anvendelse med brukerformål

Ny Norsk Bokføringsstandard NBS 5 Dokumentasjon av balansen ( )

BDO AS Munkedamsveien 45 Postboks 1704 Vika 0121 Oslo Uavhengig revisors beretning Til generalforsamlingen i Global Infrastruktur 2007 AS Uttalelse om

Innhold. Del I Introduksjon til virksomhetsstyring og internkontroll

Atea Unified Storage. Hvilke byggeklosser består dette av og hvordan innføre det i din virksomhet? Arild S. Birkelund arild.birkelund@atea.

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen


Retningslinje for risikostyring for informasjonssikkerhet

Hva betyr «Just-in-time» privileger for driftspersonalet?

Oppgave 1. i) Kvalitetsmål for regnskapet:

Regnskapssystemer. Avgrensning. Regnskapssystemer fortsettelse av forrige forelesning. Prinsippiell struktur Datakvalitet Behandlingsregler

Elektroniske regnskapsdata: Standardiserte formater, XBRL Kryptering og signering Altinn og Brønnøysundregistrene. Risiko

Kvalitet og programvare. Når bare det beste er godt nok. Produktet prosessen eller begge deler?

HELSE VEST OPPSUMMERING AV REVISJONEN FOR 2017 HAUGESUND,

Elektroniske regnskskapsdata: Standardiserte formater, XBRL Kryptering og signering Altinn og Brønnøysundregistrene

Internkontroll. SUHS-konferansen 2016


God kommunal revisjonsskikk NKRF Fagkonferanse

IT I PRAKSIS!!!!! IT i praksis 20XX

Test og kvalitet To gode naboer. Børge Brynlund

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

Nytten ved å jobbe systematisk med intern kontroll Revisjonsdirektør Solbjørg Lie

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet

EFFEKTIVISER OG MODERNISER PERIODEAVSLUTNINGEN

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Forvaltningsrevisjon IKT sikkerhet og drift 2017

SA 3801 Revisors kontroll av og rapportering om grunnlag for skatter og avgifter

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Revisjon av deler av regnskap

Kragerø Revisjon AS 1

Nye revisjonsstandarder. NKRF fagkonferanse juni

Til forstanderskapet i Sandnes Sparebank. Vi har revidert Sandnes Sparebanks årsregnskap, som består av:

Telemark Utviklingsfond. Årsmelding 2015

IT-Ledelse, 15.februar. Kritiske utfordringer i IT-ledelse. Kritiske utfordring: Forretningsrelasjoner. Faglærer : Tom Røise. IMT1321 IT-Ledelse

Agenda. IT i Oslo kommune. IT-revisjon i regnskapsrevisjonen. IT-revisjon i forvaltningsrevisjonen. Oslo kommune Kommunerevisjonen

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge


Fra frisk BRIS til MOTVIND - Revisjon av en IT-anskaffelse i Trondheim kommune

Finansiell revisjon Frøya kommune Oppdragsansvarlig revisor Wenche Holt Medarbeider Gunnhild Ramsvik

Styring og intern kontroll.

Internrevisjon et samarbeid på tvers

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Et revisjonsblikk på internkontroll

Nettverk for virksomhetsstyring. Møte 6. juni 2014

IT Service Management

Landbruks- og matdepartementet

Deloitte. Deloitte AS Dronning Eufemias gate 14 Postboks 221 Sentrum NO-0103 Oslo Norway Tlf: Faks: Ti

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen


KRS 5: Endring av regnskapsprinsipper, regnskapsestimater og korrigering av tidligere års feil


KU og regnskapsrevisjon i kommunene

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren april 2015

Transkript:

IT-revisjon Klassisk IT-revisjon Cobit ITIL Dokumentasjon av balansen Nøyaktighet og gyldighet har dere drøftet Fullstendighet har de fleste ikke tenkt på (utfordring: gjeld) Kilder BOL 11, FOR-01.12.2004 nr 1558 NOU 2002:20 Tvedt: Ny bokføringslov Norsk regnskapsstiftelse GBS RF-1052 (Avstemmingsskjema for egenkapital m.v.) Jf Revisors håndbok ISA500 p. 9: revisjonsbevis Ikke bare sitater fra loven Eksempler og konkretisering Praktiske utfordringer ved etterlevelse av reglene E-post som bevis (regnskapsmateriale) Autentisk? Autorisert prosedyre Integritet PDF (GBS 02-05-2006-4) Ikke direkte redigerbart, men... Elektronisk signatur E-signaturloven LOV-2001-06-15-81 m endringslover 3 definisjoner Asymmetrisk kryptering, off / priv nkl Integritet: signer med utstederens priv nkl Konfidensialitet (sign m mottagers off nkl lite relevant for bevisspørsmålet) Tilgjengelighet: Problemer? Praktisk gjennomføring 1

IT-relatert risiko Revisjon er risikostyrt Risiko som skyldes bruk av IT (foreslå med eksempler) Riktig regnskap? Lovbrudd? Effektiv drift? Revisjonskonseptet Tester av kontroller (tidl.: systemtest) substanskontroller detaljtesting av transaksjoner og saldoer analytiske kontrollhandlinger Vurdering av IK virkningen av IT kontrollsporet Generelle / applikasjons-kontroller Metodeutvikling i finansiell revisjon Bekrefte regnskapspostene i årsregnskapet Transaksjonskontroll / bilagskontroll bokføringsarbeidet Test av kontroller vekt på systemer og internkontroll Balansekontroll: tester uavhengig av bokf eksistens og tilhørighet 2

Gir IT forbedret IK? Maskinelle kontroller hyppige, konsistente, bedre informasjon Kontrollrisiko kan også øke systemers tilgjengelighet kontrollspor redusert menneskelig involvering systematiske feil vs. tilfeldige feil uautorisert tilgang datatap mindre arbeidsdeling Risikoreduksjon? Generelle kontroller IT-ledelse Arbeidsdeling Systemutvikling Fysisk og on-line sikkerhet Reservedrift Applikasjonskontroller Inndatakontroll og validering Behandlingskontroll Utdatakontroll IT-baserte IK-verktøy (i tillegg til styringsrapportene) Datagranskning Data og prosessgranskining logger spørrespråk og rapportgeneratorer Rutinemessige feilkontroller og avstemminger kontrollpunkter restartpunkter 3

IT-ledelse Forankret hos toppledelsen Systemutvikling Programmering Databiblioteker (dataressurser) Sikkerhetsadministrasjon Drift Bevisinnsamling Generell revisjonsprogramvare Annen programvare Programgranskning, testdata og programsammenligning revisjon i sann tid Ytelsesmåling Bevisvurdering Vurdere aktivabeskyttelse og dataintegritet Vurdere systemenes målrettethet kostnadseffektivitet 4

Arbeidsdeling IT-avd / brukerne innen IT-avd Ansvar Personalledelse Rutiner Kontrollmiljøet Sikkerhetskontroller (som påvirker revisjonen) Forebyggende sikkerhetsledelse, fysisk s., biblioteksk., tilgangskontr. g Oppdagende kontroller overvåkning, autentisering, systemlogger Gjenvinnende kontroller brannslukning, forsikring, reservedrift, gjenvinningsplan og gjenvinningsprosedyrer Fra klassisk IT-revisjon til Cobit Klassisk IT-revisjon fokuserte på Gode IT-systemer Programmene Maskinvare Rutinene Etterhvert også på dataene Cobit fokuserer på Organisasjonens forutsetninger for å skape gode IT-systemer 5

Rammeverket Understanding the business Forretningsmessige behov Info som støtter forretningsprosessene beskrevet ved CobiTs kvalitetskriterier Styring av IT IT - Prosesser muliggjør IT - ressurser Ledelsen må Bestemme investeringsomfang / ressursbruk sikkerhet og styring risiko vs styringsinvestering utvikle og iverksette IK fordelaktig med et rammerverk for å forvalte selskapets verdier riktig Styring (kontroll) Policier, prosedyrer, praksis, organisasjon som gir rimelig sikkerhet for rimelig sikkerhet for oppnåelse av forretningsmål og uønskede hendelser motvirkes eller oppdages og korrigeres 6

Kontrollmål (styringsmål) Utsagn om ønsket resultat, som oppnås ved å implementere en kontrollprosedyre målt mot kontrollmål i en IT-aktivitet som definert innen fire CobiT-områder Forretningsmessige behov: Kvalitet Riktig kvalitetet (jf. Kvalitetsrevisjon) negativ : feilfritt, pålitelig Ikke så mye posistiv : : tiltrekning, skjønnhet, ytelse utover forventning balansert mot kostnad målt etter levering (tilgjengelighet, brukbarhet og kundeperspektiv ) Forretningsmessige behov: IK Effektivitet Informasjonspålitelighet objektivitet, nøytralitet, prognosekraft, fullstendighet Samsvar med lover og regler 7

Kriterier for informasjonskvalitet Målrettethet Kostnadseffektivitet (økonomisk ressursforbruk) Sikkerhet Konfidensialitet Integritet Tilgjengelighet Samsvar Pålitelighet IT-ressursene Data Applikasjonssystemer Teknologi maskinvare, OS, DBMS,.. Fasiliteter Mennesker kompetanse, miljø og ledelse Cobit-områdene Planlegning og Organisering Anskaffelse og implementering Levering og støtte Overvåkning Områdene deles i IT-prosesser som igjen deles i IT-aktiviteter 8

ITIL IT Infrastructure Library Syv områder tjenestestøtte tjenestelevering styring, planlegning og implementering av tjenester Sikkerhet Kontroll på infrastrukturen Applikasjoner Forretningsperspektivet Metode Erfaringsbasert: Best Practice Engelsk ++ I forhold til Cobit: noe mer fokus på drift, mindre på strategi IT-prosess Cobit: en prosess for styring av IT ITIL: en IT-støttet applikasjon ISO/NS 17799: standard for informasjonssikring og -kvalitet Tjenestestøtte Beskriver prosesser for daglig støtte vedlikehold av IT-tjenestene 9

Tjenestelevering Prosesser for planlegging og levering av it-tjenester langsiktige muligheter for forbedret bruk Styring, planlegning og implementering Forbedre styringen av it-tjenestene Virkninger på organisasjonen av IT Kulturelle Organisatoriske IT-visjon IT-strategi Sikkerhet Valg av sikkerhetsnivå for informasjon for it-tjenestene for it tjenestene plan for risikohåndtering 10

Kontroll på infrastrukturen Alle sider ved tele og datatrafikk testing, implementering og optimalisering av infrastruktur Applikasjoner Styring og håndtering av applikasjoner Alle faser i applikasjonens livssyklus definere behov systemutvikling og programmering implementering vedlikehold utfasing Forretningsperspektivet Organsisasjonens måloppnåelse Etablere mål Spre kunnskap om og kjenne mål Spre kunnskap om og kjenne mål Kostnadseffektive løsninger 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding