Standarden gjelder revisjoner av regnskap for perioder som starter 15. desember 2021 og senere. For kommunene og kommunal revisjon vil regnskapet for 2022 være gjenstand for de mål og krav som er satt. Standarden setter som mål at revisor skal identifisere og anslå risikoene for vesentlig feilinformasjon. Feilinformasjonen kan skyldes misligheter eller feil, på regnskaps- og påstandsnivå. Det skal danne grunnlaget for utforming og gjennomføring av handlinger for å håndtere de anslåtte risikoene for vesentlig feilinformasjon.
ISA 315 med vedlegg gir god og utfyllende beskrivelse av rammene for revisors arbeid, med eksempler. Artikkelen her vil legge vekt på vurderinger knyttet til forståelsen av generelle IT-kontroller gjennom det som er nærmere omtalt i vedlegg 6 til standarden.
Nærmere om IT
I ISA 315 er definisjonen av Generelle IT-kontroller som følger:
Generelle IT-kontroller – Kontroller knyttet til enhetens IT-prosesser som underbygger den kontinuerlige og forsvarlige driften av IT-miljøet, herunder at kontrollene i enhetens informasjonssystem over prosessering av informasjon og integriteten av informasjonen (dvs. fullstendigheten, nøyaktigheten og gyldigheten av informasjon) fungerer kontinuerlig. Se også definisjonen av IT-miljø.
IT-miljø er i forlengelsen definert som:
IT-miljø – IT-applikasjoner og støttende IT-infrastruktur, så vel som IT-prosesser og personell som er involvert i disse prosessene, som en enhet bruker for å understøtte forretningsdriften og oppnå strategiske forretningsmål. For denne ISA-ens formål:
(i) En IT-applikasjon er et program eller et sett med programmer som benyttes til å initiere, behandle, registrere og rapportere transaksjoner eller informasjon. IT-applikasjoner omfatter også datavarehus og rapportgeneratorer.
(ii) IT-infrastrukturen omfatter nettverket, operativsystemene og databasene samt tilhørende maskinvare og programvare.
(iii) IT-prosessene er enhetens prosesser for å administrere tilgang til IT-miljøet, administrere programendringer eller endringer i IT-miljøet og administrere IT-drift.
Digitalisering og utvikling
Digitalisering av offentlig sektor er en kontinuerlig prosess og i konstant utvikling, og ikke minst for kommunesektoren. Det er nok ulikt i hvor stor grad, omfang og innen hvilke områder de enkelte kommunene er i den utviklingen. Kravet til internkontroll er proporsjonalt med hvor langt den enkelte kommune har kommet i utviklingen – utviklingen i internkontrollen må følge utviklingen i hver kommune. Hvilke vurderinger og handlinger som gjøres på kommunenivå må nødvendigvis være spesifikt for hver kommune.
Vedlegg 6 til ISA 315 gir praktiske eksempler som revisor kan vurdere for å opparbeide en forståelse av generelle IT-kontroller. Standarden er tilpasset slik at det som er relevant for revisor å gå inn i, er avhengig av hvilken kompleksitetsgrad IT-applikasjonene i kommunen har. Jo lavere og mindre kompleksitet, jo mindre og enklere er kontrollen. For eksempel vil det ikke være nødvendig for revisor å gå inn i rutiner og ha kontroller for bruk av VPN-tilkoblinger i en kommune dersom kommunen ikke benytter slike. Motsatt vil det også være mer for revisor å gå inn for kommuner som benytter velutviklede og avanserte systemer.
Mens vedlegg 5 i standarden handler om vurderinger knyttet til forståelsen av informasjonsteknologi, er det i vedlegg 6 definert tre trappesteg som definerer graden av kompleksitet, fra (1) ikke-komplekse kommersielle programvarer, (2) middels store og middels komplekse kommersielle programvarer eller IT-applikasjoner, og til (3) store eller komplekse IT-applikasjoner (for eksempel ERP-systemer).
IT-prosessene under lupen
Standarden har en tredelt kategorisering av IT-prosessene under generelle IT-kontroller, med følgende underpunkter:
(a) Prosess for å administrere tilgang:
- Autentisering
- Autorisasjon
- Klargjøring
- Oppheving av klargjøring
- Privilegert tilgang
- Gjennomgåelser av brukertilgang
- Sikkerhetskonfigurasjonskontroller
- Fysisk tilgang
Med autentisering menes at en bruker har påloggingsinformasjon, og ikke kan logge seg på ved å bruke en annens bruker. Autorisasjon går ut på at hver bruker har tilgang til det som er nødvendig ut fra stillingen og oppgavene sine, men også på at brukerne ikke har mer tilgang enn det er behov for til å løse oppgaven.
Klargjøring, og oppheving av klargjøring, sikter til kontroller for å autorisere nye brukere og endringer for eksisterende brukere, samt å fjerne tilganger ved avslutning eller endringer i stilling og oppgaver. Dette gjelder også for brukere med privilegert tilgang, det vil si de med administratortilgang, ofte kalt superbrukere. Gjennomgåelse av brukertilgang er en kontroll for å bekrefte på nytt eller evaluere brukertilgangene for løpende autorisasjon over tid.
Hvert system har vanligvis hovedkonfigurasjonsinnstillinger som bidrar til å begrense tilgang til miljøet, såkalte sikkerhetskonfigurasjoner. Kontroller knyttet til fysisk tilgang til datasenteret og maskinvaren går under delpunktet fysisk tilgang.
Risikoene knyttet til å administrere tilgang kan være at brukere har tilgangsrettigheter utover de som er nødvendige for å utføre de oppgavene som de er tildelt, at urettmessige endringer foretas direkte i finansielle data eller at systeminnstillingene ikke er tilstrekkelig begrenset.
Risikoene knyttet til å administrere tilgang kan være at brukere har tilgangsrettigheter utover de som er nødvendige for å utføre de oppgavene som de er tildelt, at urettmessige endringer foretas direkte i finansielle data eller at systeminnstillingene ikke er tilstrekkelig begrenset.
Eksempler på generelle IT-kontroller i tilgangsadministrasjonen er at ledelsen godkjenner tilgang, og hvilke tilganger, for nye brukere, samt å fjerne disse til rett tid ved avslutning av arbeidsforholdet eller ved overgang til ny stilling eller endrede arbeidsoppgaver.
Andre risikoer kan være endringer som følge av direkte tilgang til databasen med finansielle data uten at bruker har behov for tilgang eller at systeminnstillingene ikke er gode nok. Kontroll av dette kan være at ikke andre enn autorisert personell har slik tilgang, og at krav til bruker-ID og passord på et godt nok sikkerhetsnivå.
I praksis har nok kommunene løst internkontrollen på forskjellige måter i forvaltningen av tilgangsadministrasjonen. Det kan være regulert gjennom et økonomireglement, delegeringsreglement eller som et eget reglement for tilgangsstyring eller -administrasjon, eller det kan være basert på enkeltdelegeringer, fra kommunedirektør til saksbehandler.
I mange kommuner er det gjerne en eller flere administratorer som har ansvaret for den tekniske tilgangsstyringen, gjerne plassert i økonomifunksjonen. I tillegg kan det være nødvendig med rutiner for kontroll av brukere og brukertilganger regelmessig for å sikre at brukere ikke har tilgangsrettigheter etter avsluttet arbeidsforhold eller som ikke lenger er nødvendig for stillingen og oppgaveutførelsen.
(b) Prosess for å administrere programmering eller andre endringer i IT-miljøet:
- Prosess for endringsadministrasjon
- Arbeidsdeling ved endringsoverføring
- Systemutvikling, innkjøp eller implementering
- Datakonvertering
Under prosess for endringsadministrasjon menes kontroller knyttet til prosessen for å utforme, programmere, teste og overføre endringer inn i et produksjonsmiljø. Med arbeidsdeling ved endringsoverføring menes kontroller som fordeler tilgang til å gjøre dette i produksjonsmiljøet. Punktet om systemutvikling, innkjøp eller implementering er for kontroller knyttet til utvikling eller implementering av IT-applikasjoner, eller i forhold til andre aspekter ved IT-miljøet. Datakonvertering er kontroller knyttet til konvertering av data, enten under utvikling, implementering eller andre oppgraderinger av IT-miljøet.
Risikoene her er at urettmessige endringer kan skje ved endringer i applikasjoner, databaser eller ved konverteringer.
Risikoene her er at urettmessige endringer kan skje ved endringer i applikasjoner, databaser eller ved konverteringer.
IT-kontrollen fordrer at endringene er tilstrekkelig testet og godkjent, og at tilgangen til å implementere endringer er tilstrekkelig begrenset og atskilt. Endringer i system og databaser må være tilstrekkelig testet og godkjent før overføring til produksjon eller produksjonsmiljøet. For datakonvertering kan kontrollen være at ledelsen godkjenner resultatet i det nye systemet, for eksempel basert på avstemming av gammel og ny database.
Disse risikoene oppstår om en kommune gjør endringer, og kontrollene er dermed nødvendig ved endringer som kan påvirke rapporteringen av finansielle data. Kontrollene retter seg mot prosessen i kommunen med sjekk ved kritiske punkter før endringene blir implementert.
(c) Prosess for å administrere IT-drift
- Jobbplanlegging
- Jobbovervåkning
- Sikkerhetskopiering og gjenoppretting
- Inntrengningsoppdagelse
Jobbplanlegging er kontroller knyttet til tilgang for å planlegge og initiere jobber eller programmer som kan påvirke den finansielle rapporteringen. Risikoene her er om programmene ikke gir korrekt data som følge av produksjonssystemene, programmene eller jobbene. Eksempel på kontroll kan være at kun autoriserte brukere har tilgang til å oppdatere større jobber, herunder satsvise jobber, og at kritiske systemer, programmer og jobber overvåkes, og følges opp for med korrigering for å få korrekt gjennomføring.
Jobbovervåkning er kontroller for å overvåke at jobber eller programmer knyttet til finansiell rapportering utføres riktig. Inntrengingsoppdagelse er overvåkning av sårbarheter og/eller inntrenginger i IT-miljøet.
Risikoen her er om nettverket ikke hindrer i tilstrekkelig grad at uautoriserte brukere får urettmessig tilganger. Eksempler på kontroll kan være at tilganger skjer gjennom bruker-IDer med forsterkede passord. Nettverket kan også være delt mellom applikasjoner som er knyttet opp mot internett, og applikasjoner på det interne nettverket der tilgangen til de finansielle dataene er.
Andre kontroller her kan være at nettverket overvåkes for ureglementert tilgang, og at det arbeides systematisk med mulige sårbarhetsrisikoer. Det kan også være kontroll for å begrense VPN-tilganger til nettverket.
Sikkerhetskopiering og gjenoppretting er kontroll av at dette skjer som planlagt, og at dataene kan gjenopprettes raskt ved behov. Risikoen her er at finansielle data går tapt om det ikke er mulig å få gjenopprettet eller tilgang til de om de skulle gå tapt. Kontrollen kan være at sikkerhetskopiering går rutinemessig etter etablert plan og frekvens, herunder eksempelvis også at det er kontrollert at dataene er gjenopprettbar med dagens løsning for sikkerhetskopiering.
Ofte vil det være en sentral IT-funksjon i kommunen som har oppgaver under dette punktet, eller et IT-samarbeid blant flere kommuner. Det kan også være at leverandør av IT-applikasjonen utfører noen av disse delene etter avtale. I praksis kan det være flere parter (økonomi- og IT-funksjonen, og i tillegg avtale med leverandør) som revisor må i kontakt med for å kartlegge og gjennomgå.
Oppsummering
Den nye standarden gir god veiledning med både bruk av eksempel på risikoer og kontroller som danner et grunnlag og system for hvordan revisor kan løse sine oppgaver innen generelle IT-kontroller. Kategoriseringen systematiserer de forskjellige prosessene under generelle IT-kontroller som gjør den anvendbar generelt overfor kommunene, samtidig som at omfanget kan tilpasses kompleksiteten og hvor avansert utviklingen i den enkelte kommune er.
I prosessen for å administrere tilgang er det en rekke sjekkpunkter som retter seg mot hvem som har tilganger i systemet og som vil være relevante å følge opp.
Ved endringer i IT-miljøet hos en kommune vil det utløse behov for kontroller som går ut på om endringene er testet og godkjent før de blir implementert og satt i drift.
Med administreringen av IT-driften er det viktig både at nettverket er tilstrekkelig sikret mot at uvedkommende får tilgang til systemet, og at kommunen får gjenopprettet data raskt i tilfellet datatap.
_____________________________
Lenke til kontroll & revisjon nr. 6/2022: