IT-revision

It-revision består af test af generelle it-kontroller og/eller af test af applikationskontroller.


Generelle it-kontroller er politikker og procedurer, der vedrører mange applikationer/programmer og understøtter, at applikationskontroller fungerer effektivt ved at hjælpe med at sikre kontinuerlig og sikker drift af informationssystemer.


Applikationskontroller kan være manuelle eller programmerede kontroller, og disse indgår ofte i virksomhedens øvrige interne kontroller. Applikationskontrollerne er med til at sikre, at transaktioner er sket, er godkendte og er fuldstændigt og nøjagtigt registreret og behandlet.


Med udgangspunkt i en risikovurdering fastlægges scopet for revisionen, så denne afdækker de vurderede risici.


Revisionen af applikationskontroller foretages oftest i forbindelse med den finansielle revision af interne forretningsgange og kontroller, hvorimod revisionen af de generelle it-kontroller ofte foretages som et selvstændigt revisionsområde, da disse vedrører mange systemer og kontroller.


En it-revision kan afsluttes med en

  • it-revisionsrapport til internt brug i virksomheden
  • ISAE 3402 erklæring til brug for virksomhedens eksterne interessenter
  • ISAE 3000 erklæring til brug for virksomhedens eksterne interessenter


ISAE standarderne er erklæringsstandarder og indeholder derfor ikke krav til omfang eller udformning af generelle it-kontroller eller applicationskontroller. ISAE er dermed et erklæringsrammeværk, hvor der skal indarbejdes en standard, der kan måles op i mod som eksempelvis ISO 27001, ISO 27701, GDPR, NSIS m.v.