It-revision handler grundlæggende om at tjekke, om en virksomheds it-organisation lever op til de anbefalinger og formelle krav, den er underlagt. Den it-danske term for det er compliance, og det er it-revisorens opgave at verificere og attestere i form af en erklæring, i hvilken grad organisationen er compliant.
Kravene kan være formuleret i alt fra persondataforordningen, sundhedsloven, lov om finansiel virksomhed og virksomhedens egen sikkerhedspolitik til ISO-standarder, som en kunde kontraktmæssigt har forpligtet en it-leverandør til at leve op til. Rammen for it-revisorens arbejde er fastlagt i revisorloven.
– Ud fra en lang række kontrolmål afgiver vi typisk erklæringer med det, der kaldes ’høj grad af sikkerhed’. Det betyder, at vi ikke kan komme i bund med alt, men at vi kan tage stikprøver og gå i dybden med de forhold, hvor vi ikke umiddelbart kan få det til at hænge sammen, forklarer Martin Brogaard Nielsen, it-revisor og administrerende direktør i it-revisionsvirksomheden REVI-IT.
Teknisk dybde
Mange af medarbejderne i REVI-IT har en it-baggrund, mens andre kommer med en revisionsteoretisk baggrund i form af en cand.merc.aud.
– Det bliver diskuteret i branchen, om en god it-revisor er en finansiel revisor, der får fyldt noget teknisk viden på, eller en tekniker, der får tilført noget revisionsteoretisk viden. Under alle omstændigheder er det vigtigt, at man kan gå ret dybt ned i teknikken, hvis det bliver nødvendigt, siger Martin Brogaard Nielsen og fortsætter:
– Uanset faglig baggrund er det meget vigtigt, at man har en god forretningsforståelse og er god til at kommunikere. Der er en risiko for, at vi bliver opfattet som politi, når vi kommer på revisionsbesøg, og sådan må det ikke være. Det bedste resultat får man, hvis processen er baseret på en god dialog og et godt samarbejde.
Forståelse for compliance
Alle virksomheder, der er ”it-afhængige”, som det traditionelt er blevet udtrykt, skal have foretaget it-revisioner. I dag er det næsten kun blomsterhandleren eller slikmutter på torvet, der er undtaget, og it-revisoren er blevet fast gæst i langt de fleste private og offentlige virksomheder.
– Selve det arbejde, som it-revisoren udfører, har ikke ændret sig grundlæggende over de seneste par årtier. I takt med den generelle modning og udbredelse af it er det bare blevet en alment accepteret del af aktiviteterne i en virksomhed, og it-revisorerne har fået mere at lave, forklarer Martin Brogaard Nielsen, som gerne vil give nogle råd til en it-tekniker, der overvejer at gå it-revisorvejen.
– Det er vigtigt, at man kan se meningen med og har en forståelse for, hvad compliance er. Så begynd med at se på den forretning, du er en del af i dit nuværende job, og bliv klogere på, hvilke formelle krav den er underlagt. Så kan du eventuelt læse op på ISO-27002 eller blive certificeret med CISSP (Certified Information Systems Security Professional), eller CISA (Certified Information System Auditor).