Revisionens krav på informationssäkerhet / The demands on information security from the audit

Bergström, Daniel, Lönqvist, Ottilia

January 2007

Information är en tillgång som liksom andra viktiga tillgångar har ett värde fören organisation och därmed måste få ett lämpligt skydd. Målet medinformationssäkerhet är således att skydda informationen mot olika hot. Det ärviktigt för flera olika intressenter att den information företag delger är trovärdigoch rättvisande, något som en revisor har till uppgift att säkerställa. Att granskadatorprogram är en av de svåraste uppgifterna som finns för en revisor.Antalet komplexa system ökar ständigt och därför behövs ofta experthjälp iform av IT-revisorer.Syftet med uppsatsen är att beskriva vilka krav som idag ställs på företagsinformationssäkerhet, sett ur revisionssynpunkt och hur de här kraven harförändrats över tiden. Syftet har även varit att beskriva vad som innefattas ibegreppet och att beskriva den process som sker då en revisor granskar företagoch dess informationssystem. För att studera det här har revision som är ITrelateradbehandlats för att undersöka problemområdet genom att användakvalitativ metod. Intervjuer har skett med två IT-revisorer på en revisionsbyrå,en IT-säkerhetsarkitekt på bank, en revisor vid Skatteverket samt en driftschefpå ett postorderföretag.Informationssäkerhet handlar om att skydda den värdefulla och känsligainformationen mot olika former av hot och på så vis säkerställaorganisationens fortlevnad. Det här går att uppnå på olika sätt.De slutsatser som dragits från studien är att noggrannheten att efterleva kravenpå informationssäkerhet har blivit viktigare idag. Dock är kraven i sig desammasom förr. Företag skall nu som då lagra information på en fysiskt säker plats.Då en IT-revisor granskar ett företags informationssäkerhet är målet medgranskningen att säkra affärsriskerna. Det här görs på olika sätt bl. a.beroende på företagets storlek och komplexiteten i deras system. / Uppsatsnivå: D

it-revision

informationssäkerhet

intern kontroll

it-revisor

Social Sciences

Samhällsvetenskap

Säkrare utveckling och användning av kalkylark inom mindre och medelstora företag : en metod / A more secure development and end-use of spreadsheets within small and middle-sized companies : a method

Sjöström, Jenny, Wilhelmsson, Marie

January 2007

Kalkylapplikationer används frekvent av företag för bearbetning avfinansiell information. Denna uppsats inriktar sig på Excel, som är denvanligast förekommande kalkylapplikationen. Vår undersökning visade attExcel betraktas som ett mycket bra och flexibelt verktyg och attapplikationens kalkylark är av stor betydelse för företagens verksamhet.Kalkylerna används främst inom finansiella processer för bland annatsammanställning av årsredovisningar, budgetering och kalkylering, vilketgör att många av de här kalkylerna är signifikanta för verksamheten. För attuppfylla företagsspecifika behov tenderar kalkylerna också att varaegenutvecklade inom företagen. Då kalkylerna är egenutvecklade samtidigtsom de är signifikanta ställs höga krav på både utvecklare och slutanvändare.Studier har visat att nästintill alla kalkyler innehåller fel och att behovet avintern kontroll inte tas på fullt allvar. Orsaker till det här är attmedvetenheten om de fel och risker som finns kring Excel-kalkyler ärbegränsad samtidigt som det i stor utsträckning är accepterat att felförekommer i dem till skillnad från andra applikationer. Trots att flertaletExcel-kalkyler är signifikanta för verksamheten brister den internakontrollen och få beaktar de risker och fel som är förknippade med dem. Iuppsatsen identifieras de fel som kan förekomma vid utveckling ochanvändning av Excel-kalkyler. Möjligheten att stävja de här riskerna ochfelen är små utan en fungerade kontrollstruktur och väl fungerande rutiner.Syftet med vår uppsats var att utveckla en metod för hur mindre ochmedelstora företag själva kan implementera en intern kontrollstruktur för ensäkrare utveckling och användning av Excel-kalkyler. Uppsatsen utgår frånett hermeneutiskt synsätt och har en kvalitativ ansats. Undersökningenbaseras på fyra intervjuer som tillsammans med den teoretiska referensramenutgjort grund för den föreslagna metoden. Utifrån det här har vi identifieratfem kritiska områden: dokumentation, kalkyldesign, testning, säkerhet ochkompetens, vilka den föreslagna metoden baseras på. De här kritiskaområdena omfattar i sin tur förebyggande och upptäckande kontroller, vilkadelats in i olika nivåer och utgör enkla till mer avancerade åtgärder försäkerställande av Excel-kalkyler. Metoden inriktar sig främst på signifikantakalkyler och utgör en vägledning för hur mindre och medelstora företag kanuppnå en säkrare utveckling och användning av Excel-kalkyler. / Uppsatsnivå: D

excel

kalkylark

kalkylfel

kalkyl

it-revision

finansiell process

kontrollstruktur

intern kontroll

Social Sciences

Samhällsvetenskap

Bringing an IT specialist into the audit process : A decision model for small audit firms / IT specialist i revisionen : En beslutsmodell för små revisionsbyråer

Lundberg, Lisa, Axelsson, Camilla

January 2005

The purpose of this thesis is to develop a decision model for how small audit firms should decide to bring an external IT specialist into the audit process. This model primarily aims to help identify those characteristics of IT in a client company that is being audited that a financial auditor should consider in this decision. This decision model is our proposed solution to a problem that we have identified through previous research; that financial auditors may not have an understanding of risks related to IT and hence infrequently bring an IT specialist into the audit process. The extent of the decision model is limited to small audit firms, because they are the ones requiring external IT specialist while larger audit firms today usually have internal IT specialists. To fulfil the purpose we conducted a qualitative study consisting of an expert study and a user study which identified and classified criteria to include in the decision model. The expert study included two interviews with Certified Information Systems Auditors while the user study included two financial auditors working at small auditing firms. In addition a model validation was conducted with the help of the financial auditors from the user study. The presented decision model has its starting point in the identification of a client company’s most critical process and how this process is affected by the IT in the client company. The expert study showed that the dependency on IT is crucial during an IT audit. The user study instead indicated that the primary criteria when assessing small client com-panies are the presence of software which have been created or adapted for the purpose of the client company. Other criteria that were included in the model were audit trails, access, routines and transaction intensity. The three empirical steps of our research process; the expert study, the user study and the model validation, indicated that all relevant criteria are included in the decision model and that it is useful. Our conclusion is that the decision model may increase the use of IT specialists through the identification of those questions that should be asked in a decision to bring an IT specialist into the audit process and through increasing the awareness of the limits of the users IT knowledge and the risks associated with IT. / Syftet med denna uppsats är att skapa en beslutsmodell för hur små revisionsbyråer skall besluta att ta in en extern IT-specialist i revisionsprocessen. Det främsta syftet med denna modell är att hjälpa till att identifiera de kvaliteter hos IT, i ett klientföretag som revideras, som en revisor skall överväga i detta beslut. Denna beslutsmodell är vår föreslagna lösning till ett problem som vi har identifierat genom tidigare studier; att finansiella revisorer möjligen inte har en full förståelse för de IT relaterade riskerna och till följd av det sällan tar in en IT-specialist i revisionsprocessen. Omfattningen av beslutsmodellen är begränsad till små revisionsbyråer eftersom det är de som behöver externa IT-specialister medan större revisionsbyråer idag ofta har interna IT-specialister. För att uppfylla syftet har vi genomfört en kvalitativ studie bestående av en expertstudie och en användarstudie vilka har identifierat och klassificerat kriterier som bör inkluderas i beslutsmodellen. Expertstudien bestod av två intervjuer med CISA-certifierade IT specialister, medan användarstudien bestod av intervjuer med två finansiella revisorer som arbetar på små revisionsbyråer. Utöver detta genomfördes en modellvalidering med hjälp av revisorerna från användarstudien. Den presenterade beslutsmodellen har sin utgångspunkt i identifieringen av ett klientföretags mest kritiska process och hur denna process är påverkad av klientföreta-gets IT. Expertstudien visade att beroendet av IT är avgörande under en IT-revision. Användarstudien indikerade å andra sidan att det främsta kriteriet när man bedömer små klientföretag är närvaron av mjukvara som har anpassats för klientföretaget. Andra kriterier som inkluderades i modellen var revisionsspår, rutiner för behörighet och transaktionsintensitet. De tre empiriska stegen i vår undersökningsprocess; expertstudien, användarstudien och modellvalideringen, indikerade att alla relevanta kriterier inkluderats i beslutsmodellen och att den är användbar. Vår slutsats är att beslutmodellen kan öka användandet av IT-specialister genom att identifiera de frågor som bör ställas i ett beslut att ta in en IT-specialist i revisionsprocessen och genom att öka medvetenheten om användarnas begränsade kunskap om IT och om risker med IT.

Audit

IT audit

IT specialist

Revision

IT revision

IT specialist

Business studies

Företagsekonomi

Bringing an IT specialist into the audit process : A decision model for small audit firms / IT specialist i revisionen : En beslutsmodell för små revisionsbyråer

Lundberg, Lisa, Axelsson, Camilla

January 2005

<p>The purpose of this thesis is to develop a decision model for how small audit firms should decide to bring an external IT specialist into the audit process. This model primarily aims to help identify those characteristics of IT in a client company that is being audited that a financial auditor should consider in this decision.</p><p>This decision model is our proposed solution to a problem that we have identified through previous research; that financial auditors may not have an understanding of risks related to IT and hence infrequently bring an IT specialist into the audit process. The extent of the decision model is limited to small audit firms, because they are the ones requiring external IT specialist while larger audit firms today usually have internal IT specialists.</p><p>To fulfil the purpose we conducted a qualitative study consisting of an expert study and a user study which identified and classified criteria to include in the decision model. The expert study included two interviews with Certified Information Systems Auditors while the user study included two financial auditors working at small auditing firms. In addition a model validation was conducted with the help of the financial auditors from the user study.</p><p>The presented decision model has its starting point in the identification of a client company’s most critical process and how this process is affected by the IT in the client company. The expert study showed that the dependency on IT is crucial during an IT audit. The user study instead indicated that the primary criteria when assessing small client com-panies are the presence of software which have been created or adapted for the purpose of the client company. Other criteria that were included in the model were audit trails, access, routines and transaction intensity.</p><p>The three empirical steps of our research process; the expert study, the user study and the model validation, indicated that all relevant criteria are included in the decision model and that it is useful. Our conclusion is that the decision model may increase the use of IT specialists through the identification of those questions that should be asked in a decision to bring an IT specialist into the audit process and through increasing the awareness of the limits of the users IT knowledge and the risks associated with IT.</p> / <p>Syftet med denna uppsats är att skapa en beslutsmodell för hur små revisionsbyråer skall besluta att ta in en extern IT-specialist i revisionsprocessen. Det främsta syftet med denna modell är att hjälpa till att identifiera de kvaliteter hos IT, i ett klientföretag som revideras, som en revisor skall överväga i detta beslut.</p><p>Denna beslutsmodell är vår föreslagna lösning till ett problem som vi har identifierat genom tidigare studier; att finansiella revisorer möjligen inte har en full förståelse för de IT relaterade riskerna och till följd av det sällan tar in en IT-specialist i revisionsprocessen. Omfattningen av beslutsmodellen är begränsad till små revisionsbyråer eftersom det är de som behöver externa IT-specialister medan större revisionsbyråer idag ofta har interna IT-specialister.</p><p>För att uppfylla syftet har vi genomfört en kvalitativ studie bestående av en expertstudie och en användarstudie vilka har identifierat och klassificerat kriterier som bör inkluderas i beslutsmodellen. Expertstudien bestod av två intervjuer med CISA-certifierade IT specialister, medan användarstudien bestod av intervjuer med två finansiella revisorer som arbetar på små revisionsbyråer. Utöver detta genomfördes en modellvalidering med hjälp av revisorerna från användarstudien.</p><p>Den presenterade beslutsmodellen har sin utgångspunkt i identifieringen av ett klientföretags mest kritiska process och hur denna process är påverkad av klientföreta-gets IT. Expertstudien visade att beroendet av IT är avgörande under en IT-revision. Användarstudien indikerade å andra sidan att det främsta kriteriet när man bedömer små klientföretag är närvaron av mjukvara som har anpassats för klientföretaget. Andra kriterier som inkluderades i modellen var revisionsspår, rutiner för behörighet och transaktionsintensitet.</p><p>De tre empiriska stegen i vår undersökningsprocess; expertstudien, användarstudien och modellvalideringen, indikerade att alla relevanta kriterier inkluderats i beslutsmodellen och att den är användbar. Vår slutsats är att beslutmodellen kan öka användandet av IT-specialister genom att identifiera de frågor som bör ställas i ett beslut att ta in en IT-specialist i revisionsprocessen och genom att öka medvetenheten om användarnas begränsade kunskap om IT och om risker med IT.</p>

Audit

IT audit

IT specialist

Revision

IT revision

IT specialist

Business studies

Företagsekonomi

Revision i en digital tid : IT-revisorns påverkan på den traditionella revisorns roll

Ala-korpi, Fredrik, Hasselgren, Robin

January 2020

I dagens samhälle fyller revisorer funktionen som kvalitetskontrollant av företags finansiella information. Det finns ett förtroende för att revisorer har den expertis som krävs för att korrekt utöva sitt juridiska monopol på den slutliga kontrolleringen av finansiell information. Denna studie avser undersöka hur uppkomsten av IT-revisorer påverkat den traditionella revisorns roll och vilka implikationer detta kan få för revisionsbyråer. Genom att intervjua IT-revisorer och påskrivande revisorer har deras erfarenheter kring detta undersökts. Resultaten visar att ITrevisorer och påskrivande revisorer till stor del arbetar isolerat från varandra, även i arbete med samma uppdrag. Detta, tillsammans med en påvisad ansvars-, kunskaps- och informationsasymmetri mellan de olika aktörerna, bidrar till uppkommandet av problematik i form av ett principal-agentförhållande mellan påskrivande revisorer och IT-revisorer. För att minska denna problematik kan revisionsbyråer försöka integrera de olika rollerna och därmed minska den existerande asymmetrin. Detta skulle dock kräva institutionella ändringar inom revisionsyrket.

revision

IT-revision

informationsteknologi

revisorns roll

principal-agentteori

informationsasymmetri

Business Administration

Företagsekonomi

Revisionens digitalisering : En kvalitativ studie om hur digitaliseringen påverkar revisionens tillförlitlighet och revisionsrisker / Audit digitization : A qualitative study on how digitization affects the reliability of the audit and audit risks

Johansson, Elin, Grönlund, Annica

January 2016

Sammanfattning Examensarbete i företagsekonomi, Högskolan i Skövde.Kandidatuppsats, Externredovisning, vårterminen 2016 Bakgrund: Datorer har under ett halvt sekel använts i näringslivet och revisorer har använt datorer i revisionsprocessen sedan 1980-talet. Teknik är menat att effektivisera revisionen och möta behov av automatisering för att öka lönsamheten, minska tidsåtgången och underlätta revisorernas arbete. Betydelsen och utnyttjandet av automatisering och informationsteknik [IT] i revisionen har ökat kraftigt under 2000-talet som en följd av den tekniska utveckling som sker i samhället. Revisionsbevis går från papper till elektronisk form och informationssystem [IS] kontrollerar data med lite eller helt utan mänsklig inblandning. Branschens digitalisering innebär flera fördelar som flitigt belyses i litteraturen, medan eventuella nackdelar och risker lämnas obelysta.FAR publicerade år 2013 en framtidsstudie där de önskar förbereda branschen på olika förändringar och vara i framkant för att undvika fallgropar och utnyttja möjligheter. I studien utreds flera framtida drivkrafter och en av dem är digitaliseringen. Flera fördelar med digitaliseringen belyses, men också här missas eventuella nackdelar och risker. Syfte: Syftet med denna studie är att, genom att undersöka dagens yrkesverksamma revisionsutövare syn, öka revisionsbranschen och revisionens intressenters förståelse för hur revisionens tillförlitlighet och revisionsrisker påverkas av digitaliseringen. Metod: Studiens empiriska material samlades in genom en kvalitativ metod. Nio revisorer och tre personer som arbetar med risker inom revision och IT-revision har intervjuats genom elva semistrukturerade intervjuer. Slutsats: Studien har kommit fram till att revisorerna i studien och forskningen är eniga om att digitaliseringen innebär flera positiva effekter för revisionen. Exempelvis en ökad kvalitet på slutprodukten, effektivare revisionsprocess och minskad upptäcktsrisk genom att större datamängder kan analyseras. Det föreligger dock en tvetydighet kring huruvida det påverkar revisionens tillförlitlighet som slutprodukt. Studien har visat att yrkesverksamma revisorer har svårt att se risker med den tekniska utvecklingen. Studien har även visat att revisorerna inte har eller anser sig behöva några speciella IT-kunskaper, samtidigt som forskningen menar att IT-kunskaper är mycket viktiga för revisorernas förmåga att göra kvalificerade riskbedömningar. Nyckelord: Revision, digitalisering, tillförlitlighet, förtroende, revisionsrisk, revisionskvalitet, revisionsautomatisering, IT, teknik, IT-revision, ARM. / Abstract Degree in Business Administration, University of SkövdeBachelor Thesis, Financial Accounting, spring term 2016 Background: Computers have been used for half a century in business and auditors have been using computers in the audit process since the 1980s. Technology is meant to make the audit more efficient and meet the needs of automation to increase profitability, reduce the timescale and facilitate the work of the auditors. The meaning and utilization of automation and information technology [IT] in the audit has increased greatly in the 2000s as a result of technological developments taking place in society. Audit evidence goes from paper to electronic and information systems [IS] controls data with little or no human intervention. The industry digitization has several advantages as extensively illustrated in the literature, but the possible disadvantages and risks left not observed. FAR published in 2013 a prospective study in which they wish to prepare the industry to various changes and be in the forefront to avoid pitfalls and exploit opportunities. The study investigated several future drivers and one of them is digitization. Several benefits of digitization are illuminated, but also this study missed potential disadvantages and risks. Purpose: The purpose of this study is that, by examining today's professionals audit practitioners sight, improve the accounting profession and audit stakeholders' understanding of how the reliability of audit and audit risks are affected by digitization. Method: The study's empirical material was gathered through a qualitative method. Nine auditors and three people working with risk assurance and IT audit have been interviewed through eleven semi-structured interviews. Conclusion: The study has concluded that the auditors of the study and research agree that digitization brings several positive effects for the audit. For example, a higher end product quality, a more efficient audit process and reduced detection-risk as a result of larger amounts of data being analyzed. However, there is an ambiguity as to whether it affects the reliability of the audit as a final product. The study has shown that practicing auditors has difficult to see the risks of technological progress. The study has also shown that the auditors did not have or think they need any special IT skills, but research says that IT skills are very important for the auditor's ability to make qualified risk assessments. Keywords: Audit, digitization, reliability, trust, audit risk, audit quality, audit automation, IT, technology, IT audit, ARM.

Audit

digitization

reliability

trust

audit risk

audit quality

audit automation

IT

technology

IT audit

ARM

Revision

digitalisering

tillförlitlighet

förtroende

revisionsrisk

revisionskvalitet

revisionsautomatisering

IT

teknik

IT-revision

ARM