Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
Finanssektoren og
datacentralerne er frontløbere, når det gælder it-revision. Men langt fra alle er med. Der skal uddannelse, efterspørgsel og måske et generationsskifte til, siger eksperter.
IT-revision
Hos DK-CERT, der overvåger it-sikkerheden i Danmark som en del af et internationalt samarbejde, anses it-revisionsrapporter for at blive et afgørende instrument i fremtidens it-sikkerhedsarbejde.
- Men de er det ikke endnu, siger den danske CERT-leder, Preben Andersen.
Revisorerne, der ser et stort nyt forretningsområde forude, arbejder på sagen. De største har for længst etableret store specialafdelinger med fokus på it-risikostyring, der udarbejder særlige analyser og it-revisionsrapporter.
Men langt fra alle fokuserer på det og har den nødvendige kompetence. Selv om de rent faktisk har en forpligtelse til i deres revision også at forholde sig til it-sikkerhed. Er it væsentligt for en virksomhed, skal revisor lægge vægt på det i sin revision. Alt i henhold til god revisionspraksis og Foreningen af Statsautoriserede Revisorers vejledninger nummer 14 og 17, som omhandler it og datasikkerhed.
De små mangler
Men gør alle det? "Gu' gør de ej," lyder en af mange kommentarer fra kilder, som beder om anonymitet. For ingen har lyst til at pege fingre. Men pointen er, at 'Big Four', de fire største danske revisionsfirmaer, og nogle af de mellemstore har kompetencen; de små har den ikke.
Og så er det i øvrigt også stadig småt med efterspørgslen og viljen til at betale ude i virksomhederne.
- Spørgsmålet er, hvor modne er virksomhederne til it-revision? I den finansielle sektor har vi et rigtig godt samarbejde med it-revisorerne, men her er der også sket en holdningsændring siden starten af 1990'erne. Man tager it-revisor med på råd både i den finansielle sektor og i de store virksomheder nu, mens man i de små og mellemstore virksomheder skal vænne sig til, at det er naturligt, siger Bent Poulsen.
Han er systemsikkerhedschef i Værdipapircentralen og formand for Dansk IT-Sikkerhedsforum (DISIF), som er den danske afdeling af det internationale Information Systems Audit and Control Association (ISACA).
Gennem ISACA er han Certified Information System Auditor. Og i henhold til de særlige regler for den finansielle sektor er han ansat direkte af bestyrelsen for at være sikret uafhængighed af den daglige ledelse.
It skal revideres
Ligesom han kontrolleres af eksterne it-revisorer, har revisorer faktisk pligt til at forholde sig til sin kundes it i et eller andet omfang.
- Vil man leve op til god revisionsskik internationalt, så skal man have revideret sin it. Det er vejen frem, for det er her, en stor del af risici for virksomhederne ligger. Personligt mener jeg, it-sikkerhed vil være et væsentligt konkurrenceparameter i fremtiden. Og for at omverdenen kan føle sig sikker, kræver det troværdighed. Den kan sikres af en erklæring fra en statsautoriseret revisor, der hæfter med sin beskikkelse og ansvarsforsikring, siger lektor, ph.d. Peter Birkholm Laursen fra Institut for Regnskab og Revision på Handelshøjskolen i København.
Han henviser samtidig også til principperne for Good Corporate Governance, hvilket på dansk kan oversættes til god virksomhedsførelse.
Flere it-revisorer på vej
Handelshøjskolen har skærpet fokus på it i revisoruddannelsen. Fremdeles på cand. merc. aud. studiet, den teoretiske del af uddannelsen som statsautoriseret revisor. Der har været stærk fokus på it siden midt i 1990'erne, valgfag er kommet til inden for det seneste år, og, lover Peter Birkholm Laursen, der vil klart komme mere.
- Vi kan ikke forsvare at sende kandidater ud uden en grundlæggende indføring i det her, fastslår han.
Hvad udbredelsen af it-revision angår, siger han, at verden er ved at blive mere opmærksom på det. Blandt de store virksomheder er det udbredt, men ellers tror han ikke, man er så langt endnu.
Carsten Heilbuth, partner i KPMG og medlem af Rådet for it-sikkerhed er en af veteranerne på området. Hans fornemmelse er, at it-revision breder sig forholdsvis hurtigt. KPMG, hvis IT Risk Management afdeling er vokset til 35 ansatte - en kombination af statsautoriserede revisorer, dataloger, ingeniører og andre it-eksperter - udfører blandt andet systemrevision på 25 datacentraler.
- It-revision handler ikke om lovkrav, men om markedskræfter. Stadig flere professionelle bestyrelser ved, at de langt ind i kerneforretningen er afhængige af, at deres it virker, som den skal. De er opmærksomme på at sikre sig. Og en ledelse, der måtte outsource it-driften eller sikkerheden, har et meget stort forklaringsproblem uden en ekstern blåstempling af sikkerheden, siger han.
Også Carsten Heilbuth lægger vægt på uddannelse som løftestang til øget udbredelse af it-revision.
- Det er et kardinalpunkt at unge dygtiggør sig i det her, som er så komplekst. Men der skal nok et generationsskifte til, før it-revision er hverdag for alle. Der foregår ganske vist godt arbejde i dag, men så længe man kan gå tilbage og klare sig på anden vis, vil der være en træghed.
Lig på bordet
Strammere regler tror Carsten Heilbuth ikke på. Det vil blot give en falsk sikkerhed, mener han.
Til gengæld virker sikkerhedsnedbrud.
- Jeg kan se på vores kunder, at dem der på ledelsesniveau har haft tildragelser inde på livet eller fået indsigt på anden vis, de forlanger it-revision.
At det er oppe i tiden, bekymrer Carsten Heilbuth lidt. For det tiltrækker de lidt for smarte sælgere af allehånde dyre sikkerhedssystemer. Om risikoen for, at den type udbyder manifesterer sig, siger han:
- De er der allerede. Også i revisionsbranchen. Selv om man i min branche har lidt mere selvjustits, så er der også her sorte får. Problemet er, at it-revision er uhyggeligt svært at have med at gøre. Du skal have folk med kapacitet på utroligt mange områder beskæftiget fuldtids og under konstant efteruddannelse. Det er en stor investering - som kunderne jo skal betale.
Mangler it-sikkerhedspolitik
Hos KPMG IT Risk Management er holdningen, at der bliver gjort en del, men næppe nok, på it-revisionsområdet. Det største problem ses i mellemgruppen blandt de mellemstore virksomheder.
Ikke alle er på plads - heller ikke alle KPMG's kunder. Og rigtig mange har ikke overblik over deres egne it-risici. Der burde arbejdes mere med at få det indarbejdet alle steder. Virksomhederne selv kunne starte med at lave en it-sikkerhedspolitik, så ledelsen tvinges til at tage stilling til, hvilket niveau af it-sikkerhed, de ønsker, pointerer en medarbejder.
En manglende generel for-ståelse for betydningen af it-revision, springer i revisorernes øjne.
Deres erfaring er, at det i vidt omfang er personafhængigt - afhængigt af at nogen i virksomheden ser problemstillingen. Mens det i langt højere grad burde være bestemt af typen af virksomhed.
It-revisionsfirmaerne udarbejder både rapporter til internt brug for kunderne og afgiver eksterne erklæringer, hvor de skriver under på, at it-sikkerheden er i orden. Nogle - som datacentralerne - bruger at demonstrere deres troværdighed udadtil med en revisionserklæring, men virksomheder kan også få en ekstern kontrol med tavshedspligt - typisk udført af et revisionsfirma.
Hvad de eksterne erklæringer angår, påpeger revisorerne, at der jo skal være nogen, der ønsker sådan en erklæring. Kunder, samarbejdspartnere eller andre. Ellers bliver den ikke lavet. Der er dog også virksomheder, som gerne vil have styr på den interne sikkerhed, men ikke nødvendigvis har lyst til at fortælle omverdenen om det.
Biilledtekst:
- It-revision handler ikke om lovkrav, men om markedskræfter. Stadig flere professionelle bestyrelser ved, at de langt ind i kerneforretningen er afhængige af, at deres it virker, som den skal, siger Carsten Heilbuth, partner i KPMG og medlem af Rådet for it-sikkerhed.
Foto: Torben Klint
