Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 31. januar 2003.
Boks:
It på sigtekornet
n Tema: revision og it
Der er en ny generation af revisorer på vej. De har it i mappen og it-konsulenter på sigtekornet. Ernst & Young er bare en af de revisionsvirksomheder, der kigger langt efter it. Det samme gør Deloite & Touche samt KPMG. Det skyldes, at it er en integreret del af alle virksomheder i dag. Derfor interesserer revisorerne sig for it-sikkerhed og it-lagring, ganske enkelt for at kunne rådgive virksomhederne om strategier for sikkerhed og informationslagring.
Men konsulentmarkedet er samtidig ved at polarisere sig. De små konsultentvirksomheder bliver specialiserede, og de store satser på en rolle som it-projektpartnere. Revisor-invasionen sker i den lave ende, hvilket betyder, at store konsulentvirksomheder som IBM nærmest ser revisiontiltaget som friske ideer i det nye årtusind.
Det er helt naturligt, at fremtidens revisorer også har forståelse for virksomhedens it og dermed bliver til den digitale revisor, mener partner i Ernst & Young.
n Tema: Revision og it
I revisionserklæringen skriver en virksomheds revisor under på, at virksomheden vil overleve det næste 12 måneder (going concern).
-ÊI dagens samfund betyder det simpelthen, at revisons-virksomheder skal vide noget om it og it's indflydelse på virksomhedens drift. Mange virksomheders overlevelse afhænger helt af deres it-systemer, og ved revisoren ikke nok om it, så kan det være svært at sætte underskriften på revisionserklæringen med overbevisning, siger partner i Ernst & Young Otto Winterskov.
Det handler om virksomhedsinformationer
For ham betyder det, at det er en naturlig opgave for en revisor, at it-revisionen har en integreret plads i revisionsplanen, og at den omfatter alle virksomhedens relevante it-systemer, herunder også opbevaring og håndtering af data.
-ÊDet er jo en virksomheds samlede informationer, som danner grundlaget for revisionen. Det vil sige, at det ikke bare er økonomiske data, der skal kigges på. Det gør også revision meget mere komplekst i dag, hvor man ikke bare kan nøjes med at "tømme" en virksomheds professionelle økonomifunktion for informationer, da disse kun udgør en lille del af en virksomheds ERP-system.
-ÊI takt med indførelsen af ERP-systemer forskydes ansvaret i virksomheden for kvalitet og kontrol af data, altså en forskydning væk fra den centrale økonomifunktion til ikke-økonomikyndige medarbejdere i en virksomhed. Revisorerne må i højere grad have overblik over og forstå den samlende og koordinerende rolle i informations-indsamlingen, og hvor de reelle risici ligger.
Konsekvensberegninger for sikkerhed
Men decentralisering af en virksomheds informationer betyder også, at Otto Winterskov ser risikostyring som en væsentlig del af en virksomheds opgave, og at denne risikostyring forstås og vurderes af revisor.
-ÊVi skal koncentrere os om teknologiens muligheder for at mindske risici, samtidigt med at vi skal kunne foretage en konsekvens-beregning. Der er jo ingen grund til at kaste formuer efter noget, som kun er en minimal trussel, mens det omvendt kan være livsfarligt for en virksomhed ikke at gøre noget.
Otto Winterskov taler i den forbindelse om et begreb kaldet ROSI, som står for Return On Security Investment.
-ÊOg det er ikke teknologi alene, vi snakker om. Slet ikke! Det er, hvad en sikkerhedspolitik og -strategi vil koste en virksomhed at indføre, og hvad virksomheden får ud af denne investering. For ligegyldigt hvilket tiltag, der foretages i forbindelse med it-sikkerhed, så bør der udregnes en ROSI-værdi. Og revisor har et medansvar for, at sådanne trusler identificeres af virksomheden og holdes op imod ROSI.
Videre siger Otto Winterskov, at revisoren har en konstant dialog med virksomhedens ledelse, mens it-systemkonsulenter enten varetager projekter for virksomheden eller varetager drifts-opgaver.
-ÊNu er vi tilbage ved ansvaret for virksomhedens overlevelse og revisionserklæringen Det er jo ikke en it-konsulentopgave, men en revisoropgave.
Sikkerhed er et ledelsesansvar
Otto Winterskov har ikke meget til overs for dagens sikkerhedsdebat, hvor hackere og sikkerhedsteknologi indtager overskrifterne.
-ÊEn af de største risici for en virksomheds overlevelse kommer indefra i virksomheden. Og den foregår inden for firewallen og er ligeglad med antivirus. Derfor burde der være en sikkerhedsfunktion i enhver virksomhed, som håndterer og overvåger sådanne interne it-trusler. Og denne funktion skal nødvendigvis ikke være underlagt it-afdelingen .
Efter Otto Winterskovs mening er sikkerhed en disciplin, hvor ansvaret helt klart ligger hos virksomhedens ledelse.
- It-sikkerhedsfunktionen skal kunne finde den rigtige balance mellem sikkerhedsniveau og risiko og have et økonomisk realistisk forhold til en virksomheds trusler, siger Otto Vinterskov.
-ÊVi har kørt sikkerhedscheck for flere internationale virksomheder, og det var forbavsende ofte, man kunne få et password bare ved at ringe til virksomhedens hotline. Vi har også præsteret uden videre at gå ind og stjæle en pc, som derefter kunne tømmes for informationer. Alt naturligvis efter aftale, men det viser, at virksomheden ikke har den rigtige balance mellem sikkerhedstiltag og mulige hændelser.
Disse sikkerhedscheck betyder for Otto Winterskov netop, at sikkerhedsdiskussionen skal tages på ledelsesplan.
-ÊOg her skal de forskellige ledere være skoleeksempler. At man lige ringer til it-afdelingen og får dem til at fjerne forældelsespolitikken på ens password, fordi det er så besværligt, dur ikke. Det er en helt forkert holdning. Der skal gælde ens regler for alle i virksomheden, for sikkerhed er også en mental disciplin. Også her er teknologien kun et redskab. Sløses der på noget plan i organisationen, så hjælper teknologi ikke.
Næste udfordring bliver datalagring
Styring af en virksomheds lagringssystemer er efter Otto Winterskovs mening det næste område, som revisorer bør være meget opmærksomme på. I dag er det hovedsagelig backup-strategier, der diskuteres.
-ÊTraditionelt kigger vi kun på, at en backup bliver taget, men vi skal videre end det, og her har vi simpelthen ikke været gode nok til at forstå, hvad de kommende års dataeksplosion har af indflydelse på både lagringsteknologier og specielt på backup og beredskabsplaner. Det vil være et område, hvor der også skal opbygges ekspertise i de forskellige revisionsvirksomheder, så der kommer en forståelse af lagring og lagringsstrategier i en virksomhed. I sidste instans er det jo data/informationer, som en revisor udtaler sig om.
Billedtekst:
- Styring af en virksomheds lagringssystemer er næste område, revisorer bør være opmærksomme på, siger partner i Ernst & Young Otto Winterskov. Han mener ikke, at det er tilstrækkeligt, at revisionen udelukkende kigger på, at en backup bliver taget. Foto: Torben Klint
