Executive Summary The major development in Information Technology(IT), has played a significant role for the corporate world. In the entire corporate world, IT has been incorporated as an integral part of the individual business process. This has led to an optimized approach, where the business processes are effectively managed though IT systems, which has provided favorable conditions for business growth. The increased use of IT in the business processes has created a dependency, where it is crucial that the IT systems and their surroundings are maintained appropriately. For larger enterprises IT is a strategically tool and therefore critical for survival, the enterprises have recognized and understood the benefits of IT and therefore it is a priority for them, as it assists the management in reaching their business objectives and to enhance shareholder value. The business structure in Denmark is characterized by most of the many enterprises are located in the small and medium sized segment. In most cases the management of these enterprises do not have the understanding of the impact IT has on their business, which implies that the enterprises are not aware of the risks that their enterprise is exposed to. Since the annual reports of the enterprises are based on data generated by the IT systems, the auditors must understand how the data is formed during their audit of the reports. As the size, of the organizations and the audit fee don t always justify an IT auditor, it is the generalist auditor with a general knowledge regarding IT who conducts the audit. The aim of this thesis is focused on IT governance and IT audit in small and medium sized enterprises. The analysis of the thesis is divided in three parts, where the requirements of the management and the auditors according to Danish law and audit standards are determined. Afterwards the thesis includes a case study. Based on the chosen case current usage of IT, we have analyzed the company s risk profile and thereby given the management an understanding of the risks they are facing. The method given in the Danish standard named DS 484, is used as the methodology for the risk analysis. The final part of the analysis is how the IT audit of the firm is effectively done, and how the auditor in particular should plan the audit process. The thesis is conclude by recommendations for the management and the auditor, which insures an acceptable IT standard and a recommendation for how an effective IT audit can be done. 1
Indholdsfortegnelse KAPITEL 1 INTRODUKTION... 4 1.0 INDLEDNING...4 1.1 PROBLEMBESKRIVELSE...5 1.2 PROBLEMFORMULERING...7 1.3 AFGRÆNSNING...8 1.4 METODE...10 KAPITEL 2 TEORI... 16 2.1 LEDELSENS OG REVISORS ANSVAR... 16 2.1.1 AGENT PRINCIPALTEORIEN...16 2.1.2 FORVENTNINGSKLØFTEN...19 2.2 ITSIKKERHED... 21 2.2.1 DEFINITION AF ITSIKKERHED...21 2.2.2 ITSIKKERHED OG CORPORATE GOVERNANCE...23 2.2.3 INTRODUKTION TIL STANDARDERNE...24 2.2.4 DS 484 ET VÆRKTØJ TIL STYRINGEN AF ITSIKKERHED...31 2.2.5 VALGET IMELLEM COBIT OG DS 484...37 2.3 IT REVISION... 39 2.3.1 DEFINITIONEN AF REVISION...39 2.3.2. FORMÅL OG INDHOLDET AF IT REVISION...40 2.3.3 IT REVISION I REVISIONSSTANDARDERNE...41 2.3.4 IT REVISION OG ANVENDELSE AF EKSTERN SERVICELEVERANDØR...58 2.3.5 BETYDNINGEN AF REVISIONSSTANDARDER FOR REVISORS ARBEJDE...60 2.3.6 IT REVISION I DEN FINANSIELLE REVISION...61 2.3.7 GENERALISTREVISOR ELLER SPECIALISTREVISOR...62 KAPITEL 3 PRÆSENTATION AF CASE VIRKSOMHEDEN... 63 3.1 PRÆSENTATION AF CASE VIRKSOMHEDEN UD A/S...63 3.2 EGET UDVIKLET SOFTWARE...65 3.3 ANVENDELSEN AF INFORMATIONSTEKNOLOGI...65 3.4 FORRETNINGSMÆSSIG BETYDNING AF INFORMATIONSTEKNOLOGI...66 KAPITEL 4 GOD SELSKABSLEDELSE, LEDELSENS OG REVISORENS ANSVAR... 68 4.1 LEDELSENS ANSVAR...68 4.2 ÅRSRAPPORTEN...70 4.3 REVISOR ANSVAR OG PLIGTER...71 4.4 GOD SELSKABSLEDELSE...72 4.5 LEDELSEN OG ITSIKKERHED...75 4.6 AGENTTEORIEN...75 4.7 FORVENTNINGSKLØFTEN...77 4.8 DELKONKLUSION...77 KAPITEL 5 IT SIKKERHED... 79 5.1 RISIKOVURDERING AF UD A/S...79 5.2. RISIKOVURDERING FOR UD A/S...92 5.3 DELKONKLUSION...98 KAPITEL 6 IT REVISION... 100 6.1 REVISORS INDLEDENDE OVERVEJELSER I REVISIONEN...100 2
6.2 PROBLEMSTILLINGER I CASE VIRKSOMHED VEDR. ANVENDELSE AF IT...101 6.3 UDARBEJDELSE AF REVISIONSPLAN...103 6.4 REVISORS INDLEDENDE VURDERING SAMT BEHANDLING AF PROBLEMSTILLINGERNE...104 6.5 INDDRAGELSE AF SPECIALIST REVISOR...113 6.6 REVISIONSBEVIS INDHENTET VIA INTERNE KONTROLLER...113 6.7 OVERVEJELSER VEDR. PÅTEGNINGEN....114 6.8 RAPPORTERING TIL LEDELSEN...115 6.9 DELKONKLUSION:...116 KAPITEL 7 DISKUSSION... 118 7.1 BRUGBARHEDEN AF DS 484 OG COBIT FOR SMÅ OG MELLEMSTORE VIRKSOMHEDER...118 7.2 BETYDNING AF IT REVISION OG DE GENERELLE IT KONTROLLER...119 KAPITEL 8 KONKLUSION... 122 KAPITEL 9 PERSPEKTIVERING... 124 11.0 LITTERATURLISTE... 126 12.0 BILAG... 130 BILAG 1 INTERVIEW...130 BILAG 2 REVISIONSPLAN...130 BILAG 3 IT REVISION I REVISIONSPROCESSEN 1...130 BILAG 4 IT REVISION I REVISIONSPROCESSEN 2...130 BILAG 5 ORD OPTÆLLING...130 3
1.0 Indledning Kapitel 1 Introduktion Når man daglig færdes i trafikken vil der altid være en risiko for uheld. Denne risiko er accepteret af folk som begiver sig ud på vejene. Det er ikke muligt at kontrollere denne risiko fuldstændigt, men ved at tage hensyn til sine omgivelser og køre efter forholdene, kan man mindske risikoen for uheld. Ovenstående forhold gælder for virksomheder. Mange virksomheder er i dag afhængige af IT, idet at IT bliver brugt til alt, og IT er i alt 1. Dog er det ikke alle virksomheder, som har forståelse for, hvilken betydning IT har for deres virksomhed. Dette medfører at virksomheden ikke nødvendigvis er bekendt med hvilke risici, som den er udsat for, hvilket øger risikoen for at virksomheden, som følge af et utilstrækkeligt ITsikkerhedsniveau, får økonomiske tab. Dermed bør virksomheder beskæftige sig med ITsikkerhed, da et utilstrækkelig sikkerhedsniveau kan udgør en trussel for virksomhedens fremtidige eksistensgrundlag. Mange forbinder ITsikkerhed med større virksomheder. Dog har ITsikkerhed også en central betydning for små og mellemstore virksomheder. Da de anvender IT i deres daglige transaktioner, men har ikke nødvendigvis har den indsigt, der kræver for at håndtere de risici som følger med anvendelsen. Virksomhedernes afhængighed af IT, har ligeledes en afsmittende effekt på deres årsrapporter. Da virksomhedernes årsrapport dannes på baggrund af data fra virksomhedens IT systemer, skal revisor forholde sig til de risici, der er forbundet med virksomhedernes IT systemer. IT revision har dermed fået en større betydning, og er yderligere i dag en del af den finansielle revisionsproces. I denne afhandling har vi dermed valgt at arbejde med ITsikkerhed og IT revision, hvor vi vil fokusere på de problemstillinger som gør sig gældende for små og mellemstore virksomheder. Herunder vil vi med udgangspunkt i gældende ITsikkerhedsstandarder, revisionsstandarder og lovgivning, analysere hvilken betydning ITsikkerhed har for virksomhederne samt hvilken ansvar ledelsen har i relation hertil. Vi vil ligeledes inddrage revisorens ansvar og arbejdsopgaver i relation til IT revision. 1 Citat fra afholdt interview 4
1.1 Problembeskrivelse Den teknologiske udvikling har medført, at IT i dag har en væsentlig rolle i en hver form for virksomhed. Anvendelsen af IT anses i stigende grad som en integreret del i virksomhedernes forretningsprocesser, hvor den enkelte virksomhed har muligheden for at optimere sine processer og ved at anvende IT korrekt, kan de hurtigere skabe en konkurrencedygtig virksomhed. Virksomhederne er via deres informationssystemer i stand til at registrere og håndtere alle aspekter af virksomhedsdriften, og bør sikre sig at systemerne er sikret bedst muligt, yderligere er virksomhederne afhængige af at deres systemer er tilgængelige og leverer nøjagtige og pålidelige data. I tilfælde af at der sker et nedbrud i systemerne, kan dette have store konsekvenser for en virksomheds økonomi og omdømme. Derfor er det essentielt, at virksomhederne har styr på deres informationssikkerhed 2 for at undgå disse tab. Mange forbinder informationssikkerhed med tekniske og komplekse opsætninger, i form af kabler, konfiguration og programmering 3. Som udgangspunkt er vi enige, men samtidigt mener vi at, informationssikkerhed basalt handler om at have styr på sit IT udstyr og de tilknyttede processer, således at IT en bedst mulige kan bruges til at understøtte forretningens strategi. Det er centralt, at ledelsen er synlig i organisationen når det kommer til informationssikkerheden, idet en af ledelsens fornemste opgaver er at vise vejen for informationssikkerhedsindsatsen i virksomheden. Men hvem er ledelsen og er de overhovedet klar over hvilket ansvar de har når det kommer til informationssikkerheden. Når der kommer til de små og mellemstore virksomheder(smv), mener vi ikke at dette er tilfældet, hvilket skyldes, at ledelsen ofte ikke til fulde har den nødvendige indsigt og forståelse for sammenhængen mellem forretningsstrategien og anvendelsen af IT. Ledelsen i de små og mellemstore virksomheder har ofte ikke forståelse af hvor vigtig informationssikkerhed egentlig er, og er derfor ikke opmærksom på, hvilke trusler og risici den nuværende anvendelse af IT har for deres virksomhed. 2 Når vi i afhandlingen anvender informationssikkerhed, er der tale om informationer som er tæt forbundet med virksomhedens ITanvendelse, hvorfor informationssikkerhed og ITsikkerhed anvendes som synonymer. 3 Forøg virksomhedernes informationssikkerhed, s 8 5
Dette ændrer dog ikke på at det i flere virksomheder, bør være et af ledelsens fokuspunkter at etablere og vedligeholde en passende ITsikkerhed, som skal sikre virksomhedens daglige drift samt sikre virksomhedens fremtidige eksistensgrundlag. Dette fokus bør derfor også få mere indflydelse på revisors arbejde i forbindelse med revisionen af virksomhederne. Dette bliver bekræftet ved læsning af revisionsstandard(rs) 315, hvor forståelse af virksomhedernes ITanvendelse samt kontrolmiljø er direkte indskrevet i standarden. Endvidere er der for visse brancher og virksomhedstyper strenge krav til databehandling og datasikkerhed. RS 315 fastsætter, at revisor skal ud fra et væsentlighedskriterium skal vurdere risiko og afdække virksomhedens kendskab og stilling til disse risici. Hvis der er en væsentlig risiko, som virksomheden ikke forsøger at imødegå, skal dette have indflydelse på revisors erklæring og rapportering til ledelsen. Virksomhedernes øgede anvendelse af IT, har desuden en mere direkte konsekvens for revisors arbejde med den finansielle revision, idet at revisor som offentligheds tillidsrepræsentant skal sikre det retvisende billede af virksomhedernes årsrapporter. Revisoren skal dermed i forbindelse med sin revision forholde sig til hvordan de underliggende data, som anvendes i årsrapporten bliver skabt. Har virksomhedernes systemer et stærkt kontrolmiljø, vil revisorer kunne basere sin revision på disse kontroller. Hvilket vil nedbringe behovet for substanshandlinger i forbindelse med revisionsprocessen. Dette vil give en mere omkostningseffektiv revision, som både vil være til gavn for revisor og klient. Af disse aspekter af revisors arbejde, virker det dog tydeligt at revisorer i høj grad fokuserer på at se på data pålidelighed og ikke på de yderligere krav som RS 315 stiller til revisor. Dette kan skyldes at det stadig er et forholdsvist nyt område inden for revision, da det indtil for få år siden var en frivillig del af revisionen underlagt revisionsvejledning 14 og 17. En anden årsag kan være at revisorer forbinder IT med noget meget teknisk, som de ikke har muligheden for at forholde sig til, i denne situation bør der indhentes specialister, men i små og mindre virksomheder kan der være honorarmæssige betragtninger som vægtes højere. Med udgangspunkt i ovenstående er formålet med afhandlingen, at analysere hvilke typiske udfordringer som virksomheder står overfor når det gælder deres IT udstyr og anvendelse af dette, og hvordan virksomheden bedst styre og overvåger disse udfordringer. Desuden vil vi analysere hvilken rolle og ansvar som ledelsen har i dette øjemed. 6
I forlængelse af dette, ønsker vi at analysere hvilke krav, der stilles til revisor når det kommer til revisionen af årsrapporten, og hvilken betydning der har for revisor når virksomheden er eksponeret overfor en væsentlig IT risiko. På baggrund af ovenstående har vi valgt at inddrage en case virksomhed til illustration af de udvalgte problemstillinger. 1.2 Problemformulering På baggrund af ovenstående og de specifikke problemstillinger, som relaterer sig hertil, baseres afhandlingen på følgende hovedproblemstilling: Hvorledes bør ledelsen i en given virksomhed forholde sig til de trusler, som de har i forbindelse med brugen af IT, og hvilken indflydelse har dette for de handlinger som revisor skal udføre i forbindelse med revision af årsrapporten og i forhold til sin påtegning? For at operationalisere afhandlingens hovedproblemstilling har vi endvidere valgt at opstille følgende delspørgsmål, som skal være medvirkende til at skabe sammenhæng og struktur over afhandlingen. For en nærmere og mere struktureret beskrivelse af fremgangsmåden samt indholdet i afhandlingen henvises til metodeafsnittet. - Hvad forstås der ved ITsikkerhed, og hvilket sikkerhedsniveau er tilstrækkeligt? - Hvem er ledelsen og hvilket ansvar har de når der gælder virksomhedens IT og ITsikkerheden? - Hvad forstås der ved risikostyring, og hvilken betydning har risikostyringen for en virksomhed set i forhold til anvendelse af IT? - Hvilken indflydelse har det ITsikkerhedsmæssigniveau i virksomhederne på revisors ansvar og handlinger, og hvorledes skal revisor forholde sig til dette i forbindelse med revision af årsrapporten? 7
1.3 Afgrænsning Afhandlings fagområde er på mange måder et interessant område, men er samtidigt et omfangsrigt emne, der har en stor berøringsflade til adskillige ledelses-, revisions- og regnskabsmæssige aspekter. En fastlagt tidsramme kombineret med specifikke krav fra Handelshøjskolens side medfører, at en komplet analyse af alle relevante aspekter ikke er mulig. I forlængelse heraf, har vi valgt at afgrænse os for følgende: - Større virksomheder placeret i regnskabsklasse D, er underlagt flere og strengere lovmæssige krav. Afhandlingen er af samme grund, afgrænset fra større virksomheder og vil kun fokusere på problemstillinger, som der især gør sig gældende i små og mellemstore virksomheder. - Afhandlingens udgangspunkt er taget i den del af IT governance, som omhandler ITsikkerheden, og vil ikke gå i dybden med andre aspekter indenfor IT governance området. - COBIT og DS 484 er valgt som afhandlingen teoretiske udgangspunkt. Derfor kommer afhandlingen ikke ind på andre standarder, som der findes til at styre og kontrollere virksomhedernes anvendelse af IT. Både COBIT og DS 484, er større standarder, og det er valgt ikke at fortage en fuldstændig gennemgang af deres indhold, men i stedet at præsentere det indhold af standarderne, som anses for at være væsentlige i forhold til afhandlingens problemområder. - Det primære fokus i afhandlingen er IT revision, hvorfor der afgrænses fra mere finansielle eller strukturelle revisionsmæssige problemstillinger. Herunder vil afhandlingen primært koncentrere sig om de generelle IT kontroller, og i mindre grad arbejde med applikationskontroller. - Afhandlingen vil behandle forskellige aspekter når en virksomhed vælger at lægge en del af deres drift ud til en serviceleverandør og hvilke overvejelser som revisor skal fortage sig i denne forbindelse. Behandlingen af dette område er fortaget på et strategisk niveau, hvorfor vi ikke vil berøre det taktiske eller operationelle niveau. Vi har ligeledes valgt at afgrænse os fra det juridiske aspekt. 8
- Med hensyn til revisors påtegning, behandler afhandlingen ikke RSer, som omhandler dette området eller de krav som revisor skal opfylde i forbindelse med sin påtegning. - Der er afgrænset fra de problemstillinger der kan opstå vedrørende revisors uafhængighed i de tilfælde hvor revisor har en rådgivende rolle og efterfølgende skal reviderer samme område. - Ved afhandlingens anbefalinger, vil der ikke blive taget stilling til rapporteringsform og rapportering til rette ledelsesniveau. Det overordnede fokus vil i stedet være på den pågældende anbefaling, og hvad virksomheden burde gøre for at forbedre deres ITsikkerhed. - Der vil i afhandlingen blive fortaget yderligere afgræsninger, som vil blive beskrevet og begrundet i afhandlingens kapitler. 9
1.4 Metode Afhandlingen tager udgangspunkt i en praktisk problemstilling, som både har relevans for virksomhedsledelser og revisionsprofession. I dette afsnit har vi valgt at redegøre for de metodemæssige valg, som vi har benyttet os af for at besvare afhandlingens opstillede problemformulering. 1.4.1 - Metodevalg Vi har valgt at udarbejde vores afhandling som et single casestudium, hvor det primære formål er at belyse relevante problemstillinger inden for områderne ITsikkerhed og IT revision, da vi mener, at der indenfor disse områder ligger en udfordring, som både virksomhedsledelser og revisorer skal forholde sig til. Eftersom, at problemformuleringen behandler et relativ følsomt område, har det ikke været muligt at finde en case virksomhed, som har ønsket at være genstandsfelt for vores afhandling. Dog har den ene af os som følge af sit arbejde som revisor, kommet i en virksomhed, hvor der har været en del problemstillinger, særligt indenfor ITsikkerhed og revisors evne til at fortage en grundig IT revision. Disse problemstillinger, er sammen med andre problemstillinger som vi er stødt på i forbindelse med vores dataindsamling indarbejdet i en case, som præsenteres i kapitel 3. Casen er bygget op som en casestudie, med en analyseenhed. Årsagen til, at vi har benyttet os af casestudiet som forskningsmetode er, at denne metode netop er kendetegnet ved at have en konkret analyseenhed 4. Dette vil give os en unik mulighed for at analysere afhandlingens opstillede problemstilling, og derved udarbejde en dybdegående analyse af casen. Idet, at casen bygger på en relevant problemstilling, anser vi vores studie som en empirisk undersøgelse, hvor vi studerer de problemer, som både ledelsen og revisor skal forholde sig til når det kommer til anvendelse af IT, ved den daglige drift af den pågældende virksomhed. Herunder vil vi forholde os til de gældende regler og standarder indenfor fagområdet og udarbejde et løsningsforslag til hvordan de pågældende problemer kan løses. Således kan denne afhandling anses som en inspiration for både ledelsen i erhvervslivet og revisorer, da det er mulighed for at drage en parallel mellem case virksomheden, og de problemstillinger som faktisk opstår i en faktisk virksomhed 4 Den skinbarlige virkelighed, s119 10
1.4.2 Teoretiske valg ITsikkerhed og IT revision anses for at være relative nye områder, der for alvor er kommet på dagsordenen indenfor de seneste år. Der bliver stillet flere krav til virksomhedernes ledelser, disse krav er opstået som følge af at virksomhederne har implementeret IT systemer for at effektivisere deres forretningsgange, indenfor de seneste år. Derfor er meget af litteraturen som findes indenfor for fagområdet baseret på anbefalinger, artikler, publikationer, samt standarder fra fagsspecialister samt fagorganisationer såsom FSR, Revision & Regnskab mv. Da de anbefalinger og publikationer som findes indenfor for området, som udgangspunkt er baseret på forfatterens egne oplevelser frem for egentlig videnskabsfagligforskning, kan det diskuteres om der omhovedet findes nogle teorier 5, der er anvendelige set i forhold til afhandlingens problemstilling. Ib Andersen, argumenterer for, at teori indenfor vidensproduktion skal opfattes meget rummeligt, hvorfor teori egentlig dækker over al eksisterende viden indenfor det områder som man arbejder med 6. Vi har valgt, at anvende modeller og standarder indenfor området som en forståelsesramme, der skal være med til at forklare og definere hvordan de pågældende modeller og standarder kan anvendes til at løse de problemer som ledelsen og revisor skal forholde sig i, hvorfor de i følgende beskrives som værende teori. Der findes adskillige modeller og standarder, som har relevans for afhandlingens problemstilling. I kapitel 2 som er afhandlingens teoretiske kapitel har vi redegjort for de teorier og standarder, som vi har vurderet som værende hensigtsmæssige for at kunne udarbejde en løsning på de problemer som vores casevirksomhed er udsat for. 5 Ved teori forstås: Et system af læresætninger indenfor et fagområde som kan beskrive forklare og forudsige fagets fænomener, og som kan danne forståelsesramme for fagområdet kilde Specielt om Specialer s 48 6 Den skinbarlige virkelighed, s119 11
1.4.3 Dataindsamling Dataindsamlingsprocessen anses for at være en af de vanskeligste processer, men vurderes dog stadigvæk for at være et af de vigtigste aspekter ved en hver form for skriftligt arbejde. Processen er først og fremmest vanskelig, fordi der findes et hav af diverse teknikker og metoder, der skal tages stilling til, og dernæst vigtig, da de indsamlede data skal underbygge og danne grundlag for arbejdets endelige konklusion. Denne afhandlings dataindsamling består af det gældende regelsæt for ITsikkerhed og IT revision. Herunder har vi valgt at benytte os af den dokumentariske dataindsamlingsmetode 7, hvor det indsamlede kildemateriale består af gældende lovgivning, RSer, bøger, publikationer samt artikler. Fordelen ved at anvende denne metode er, at der er gode muligheder for at indhente historiske data, hvilket anvendes til at opstille afhandlingens teoretiske kapital som senere hen i afhandlingen vil blive benyttet som løsningsmodel for at analysere vores casevirksomhed. Ulempen ved at anvende den dokumentariske metode er, at de indhentede data er fastlagt på forhånd, hvorfor der er en mindre risiko for, at data kan være forældet eller være fejl fortolket som følge af forfatterens subjektive holdning. Yderligere har vi diskuteret de forskellige former for dataindsamlingsmetoder, hvor vi bevist har fravalgt at gøre brug af den observerende dataindsamlingsmetode 8, såsom fokusgruppeinterviews og observationer. Hvor man fortager sine egne observationer/iagttagelser ude i marken, som senere hen bliver årsagsforklaret og fortolket ved hjælp af eksisterende teorier. Det er vores vurdering, at de informationer vi måtte få ud af disse to teknikker ikke vil opveje den tid, vi har, måtte anvende på at planlægge og udføre disse. Samtidigt er den spørgende dataindsamlingsmetode, såsom spørgeskemaundersøgelser fravalgt 9. Spørgeskemaundersøgelser er mere egnet til kvantitative undersøgelser, hvor man undersøger specifikke tiltag indenfor en bestemt kategori. En sådan undersøgelse anses ikke for at være brugbar set i forhold til afhandlingens formål. Vi har ligeledes fravalgt at fortage interviews i forbindelse vores hovedspørgsmål, da det er vores vurdering, at de informationer som vi har brug for at udarbejde denne afhandling 7 Case Study Research, Design and methods,s 8-10 8 Den skinbarlige virkelighed s 155 9 Den skinbarlige virkelighed s 25-26 12
allerede er tilstedet via artikler, bøger publikationer mv., hvorved det vurderes, at interviewmetoden ikke vil bidrage med væsentlige nye informationer relateret til afhandlingens problemstilling. Vi har dog i forbindelse med vores indledende dataindsamlingsproces afholdt et interview med en respondent ansat i en IT revisionsafdelingen hos et større dansk revisionsfirma for at spørge ind til generelle problemstillinger indenfor fagområdet, deres arbejdsmetoder samt får inspiration til afhandlingens indhold. Hvis vi havde valgt at basere afhandlingen på anden problemstilling, f.eks. at undersøge hvorledes revisorer i praksis udfører IT revisionen, ville vi have valgt at benytte os af flere interviews og formodentligt også spørgeskemaer, grundet den nødvendige mængde af kvantitative data som havde været nødvendigt for at behandle en sådan problemstilling. 1.4.4 - Interview Som nævnt ovenstående har vi i den indledende fase af vores dataindsamling valgt at fortage et interview 10. Idet, at afhandlingsfagområde er et omfangsrigt område, der grænser op til mange spændende og relevante områder, har vi opstartsfasen haft nogle mindre tvivl omkring, hvilke områder som vi skulle behandle i vores afhandling. Dette er den primære årsag til, at vi valgte at udføre dette interview, da vi ønskede at få en afklaring og uddybet nogle af de tvivl som vi indledningsvist har haft. Interviewet er fortaget som ustruktureret interview, bedre kendt som informantinterviewet 11, der er kendetegnet som relativt ustruktureret og åbent, da man som undersøger netop er i den indledende fase af sit projekt, og endnu ikke har lagt sig fast på hvad der helt præcis undersøges. Inden interviewet havde vi på forhånd skitseret noget problemstillinger, som vi synes var relevante for vores afhandling. Disse blev præsenteret for vores respondent, hvor vi efterfølgende havde en dialog omkring, hvilken indflydelse den nævnte problemstilling har haft i erhvervslivet. Undervejes i interviewet har vi løbende forholdt os til respondentens svar, og da et interview netop er tovejskommunikation, udnyttede vi muligheden for at spørger ind til nuancer i respondents svar. 10 Det skal bemærkes, at respondenten har ønsket at være anonym, og har endvidere ikke ønsket sin arbejdsplads nævnt i afhandlingen 11 Den skinbarlige virkelighed, s 168 13
Vi valgte at optage interviewet, og har umiddelbart efter interviewet udarbejdet et referat som er vedlagt som bilag 1, hvortil der henvises. 1.4.4 - Kildekritik - validitet og reliabilitet Behandlingen af afhandlingens kilder er fortaget vha. kvalitative analyser af de enkelte kilders indhold for at fremhæve de væsentlige problemstillinger. Ved kvalitative analyser er der en risiko for, at de indhentede data kan være fejlfortolket eller malet af forfatterens personlige holdninger, hvilket medfører at reabliliteten 12 af datagrundlaget kan være præget af usikkerheder og den kan derfor være truet af tilfældigheder. Denne risiko kan umiddelbart ikke elimineres, men da vi anvender flere forskellige kilder, anses risikoen for at være minimeret og ikke væsentlig for afhandlingens endelige konklusion. Hvad angår validiteten 13, som dækker over gyldigheden og relevansen, af datagrundlaget, menes det, at validiteten af datagrundlaget er forholdsvist højt, da artikler, publikationer, bøger, m.m. bliver valideret af forskellige led som redaktioner, forlag, revisorer, inden at disse bliver sendt til trykken og kendt for offentligheden. Dataindsamlingen er stoppet den 1. december 2010, hvorfor kilder der er offentliggjort efter denne dato, ikke er medtaget i afhandlingen. 12 Ved reabliliteten forstås, hvor sikkert og præcist vi måler det, vi faktisk måler, herunder i hvor høj grad resultaterne fra et måleinstrument eller en målemetode bliver påvirket af tilfældigheder. Kilde: Den skinbarlige virkelighed, s 81 13 Ved validitet forstås, datagrundlagets gyldighed og relevans, set i forhold til det indhentede datagrundlagets brugbarhed for den opstillede problemformulering. Kilde Den skinbarlige virkelig, s 81 14
1.4.5 - Afhandlingens opbygning For at give læseren et overblik har vi valgt at udarbejde nedenstående figur, det giver et overblik og afhandlingens struktur og indhold. Figur 1 - Struktur over afhandlingen 15
Kapitel 2 Teori Dette kapitel er afhandlingens teoretiske kapitel. Her vil vi introducere de teorier og standarder som danner grundlag for analysen. Indledningsvist, vil vi introducere de teorier som anvendes til at analyse ledelsen og revisors individuelle ansvar og opgaver i relation til ITsikkerhed samt hvilket ansvar som revisoren har ved udførelsen af IT revisionen. Efterfølgende vil vi introducere de valgte IT sikkerhedsmæssige standarder, som vil være grundlaget for de anbefalinger som vil blive udarbejdet til ledelsen. Afslutningsvis vil vi præsentere de RSer, som bliver anvendt til at analyse revisors handlinger i forbindelse med udførelsen af en IT revision. 2.1 Ledelsens og revisors ansvar Vi har taget udgangspunkt i agent-principalteorien for at analyse hvilket ansvar som ledelsen har i forbindelse med virksomhedens kontrolmiljø samt udarbejdelsen af årsrapporten. Teorien er endvidere kendt for at fokuser på relationer, hvilket giver mulighed for at analysere revisor ansvar og opgaver op imod ledelsen, og dermed fastslå det individuelle ansvar som ledelsen og revisoren har, når det kommer til udarbejdelsen og revisionen af årsrapporten. Det er mange aspekter, der skal tages hensyn til ved udarbejdelsen af en årsrapport, i forlængelse heraf, har samfundet forventninger til revisor, da revisor som offentlighedstillidsrepræsentant, skal varetage samfundets interesse. Dog kan der blive stillet urimelige krav til revisor, for at analyse revisorens ansvar og handlinger set i forhold til de krav som der stilles fra samfundet, har vi anvendt teorien om forventningskløften. 2.1.1 Agent principalteorien Den teknologiske og samfundsmæssige udvikling har gjort det muligt for virksomhederne i dag at udnytte stordrifts- og specialiseringsfordele, hvilket har betydet at mange virksomheder i stigende grad har været i stand til at optimere deres processer, som har ført til at produktionen af varer og tjenesteydelser både er hurtigere og væsentligt forbedret. Endvidere har globaliseringen, medført at det ikke er forsvarligt kun at satse på et produkt og et marked, da det dagligt kommer nye konkurrenter, som kan true virksomhedens grundlag. Mange virksomheder satser derfor på flere forretningsområder, som medfører at virksomheden vokser. Når virksomheden vokser, har dette en direkte indflydelse på den organisatoriske struktur som ligeledes ændre sig, og takket være den teknologiske udvikling, kan det for virksomhedens ejere, alt afhængigt af virksomhedens størrelse, være vanskeligt at 16
overskue alle de processer og transaktioner som fortages i virksomheden. Hvilket kan gøre det svært for ejeren, at kontrollere virksomheden og om de tilknyttede medarbejdere udfører det arbejde som de bliver betalt for. Som ejeren af en virksomhed, er det således mange strategiske og taktiske aspekter som man skal forholde sig til for at sikre virksomhedens eksistensgrundlag. Dermed vil ejeren afhængig af virksomhedens størrelse og kompleksitet ikke være i stand til at træffe de afgørende valg på det operationelle niveau, hvorfor beslutninger og handlinger i stort omgang er blevet decentraliseret til andre end dem, som ejer virksomheden 14. Det opstår således et agent- principalforhold, bedre kendt som agentteorien, der er den altovervejende teori, som anvendes til at skildre forholdet mellem ejeren og ledelsen 15. Teorien bygger på den antagelse omkring, at en virksomhed består af et sæt kontrakter, hvori ejeren, principalen, af virksomhed uddelegerer tilsynet og styringen af virksomheden til ledelsen, agenten, som så skal styre virksomheden efter ejerens interesser. Agentteorien dækker således over relationen mellem ejeren, som principalen på den ene side og ledelsen som agent på den anden side og kan defineres som: "Agent-principal forholdet er defineret som en relation mellem en person, principalen, som antager en anden person, agenten, til at udføre en service eller et arbejde på principalens vegne". 16 Teorien har sit udgangspunkt i den traditionelle økonomiske teori, som er baseret på individuel optimering 17. Hvor både principalen og agenten vil forsøge at maksimere værdien af deres deltagelse i virksomheden efter en given nyttefunktion. Således er agenten interesseret i at opretholde de størst mulige frihedsgrader for at maksimere deres eget udbytte set i forhold til principalens interesser. Her er der tale om skjulte handlinger, som i agentteoretisk terminologi er bedre kendt under begrebet moral harzard, og defineres på følgende måde: For principalen er det aldrig muligt med 100 % overvågning af agenten, fordi denne forudsættes frit at disponere uden principalens accept og viden. 18. 14 Forvaltningsrevision, s 177-179 15 Danske virksomheder er kendetegnet ved at have en toleddet ledelsesstruktur hvor virksomhedens ledelse er delt mellem bestyrelsen og direktionen. Udefra en agentteoretisk synsvinkel, betyder at der ligeledes er et principal agent forhold i mellem de to parter, for ikke at komplicere den agentteoretiske problemstilling yderligere, har vi dog valgt at se bort for dette, og vil således se ledelsen som en samlet enhed i forhold til ejeren. 16 Revision i agentteoretisk belysning, s 37 17 Forvaltningsrevision, s 177-179 18 Revision i agentteoretisk belysning, s 37 17
Desuden har agenten det totale overblik over virksomhedens driftmæssige situation, og da principalen ikke har sin daglige gang i virksomheden, er dette en viden som principalen ikke er i besiddelse af. Her er der igen tale om et centralt begreb, som i teorien er defineret som adverse selection, som defineres på følgende måde: Agenten og principalen er ikke i besiddelse af den samme viden omkring de forretningsmæssige forhold, da principalen i form af ejerne er fraværende i den daglige ledelse, og derfor ikke har mulighed for at overvåge agenten. Agenten har altså en oplagt mulighed for at skjule bestemte handlinger og kan påvirke virksomhedens økonomiske udfald til egen fordel. Principalen har ingen muligheder for at iagttage agentens handlinger, hvorfor principalen ikke kan vurdere, om det økonomiske resultat i virksomheden skyldes agentens indsats eller udefra kommende forhold. Det skal dog sige at, agenten ikke har ubegrænsede muligheder for at forfølge deres egne interesser, hvis principalen ikke er tilfreds med agentens adfærd eller indsats, har principalen ret til at opsige agenten. I de fleste tilfælde kan det dog være vanskeligt at vurdere om et evt. negativt resultat skyldes agentens indsats, da principalen ikke har den samme indsigt som agenten i virksomhedens forretningsmæssige forhold. Hele agent- og principalproblemet opstår, fordi der eksister en informationsasymmetri imellem de to involverede parter. Denne asymmetri kan bl.a. løses ved at indføre en kraftig overvågning eller kontrol af agenten fra principalen side. Eksempelvis kunne principalen overveje, at indføre et kontrolsystem, hvor agents handlinger og adgang til virksomhedens systemer bliver fastlåst til nogle bestemt handlinger. Dette vil formindske agentens opportunistiske adfærd. Som oftest er dette dog en omkostningskrævende proces, hvor både principalen og agenten skal forstå hvad formålet er med denne kontrol og hvilke fordele denne kontrol medfører for virksomheden. En anden oplagt mulighed for at formindske det asymmetriske forhold, er at principalen hyrer en revisor, som udfører kontrol og verifikation af forhold i virksomheden der kan være med til at sikre gennemsigtigheden fra agenten til principalen. Dette medfører ligeledes, at ledelsens mulighed for at manipulere med regnskabet samt misinformere om virksomhedens økonomiske situation formindskes. 18
Forholdet mellem de involverede parter, kan bedst illustreres vha. af nedenstående figur: Figur 2 Agentteorien i revisionsperspektiv Som det fremgår af ovenstående figur, indtræder revisoren mellem ejeren og ledelsen, som en økonomisk agent med sine egne økonomiske interesser. Revisoren skal gennemfører det revisionsarbejde som er aftalt med ejeren, og skal i forlængelse heraf informere ejeren omkring, hvad hvor og hvordan revisionen er gennemført. Revisors rapportering foretages som en funktion af revisors viden, erfaringer samt egne planlagte revisionshandlinger. Set i forhold til afhandlingens problemstilling, er det essentielt at overveje fordelingen mellem ledelsens og revisors ansvar når det glæder ITsikkerhed og IT revisionen. Ledelsens har ansvaret for at styre og håndtere evt. risici. Hvor revisoren skal opnå en forståelse af virksomhedens risikoprofil, og således rapportere om åbenlyse risici som bliver afdækket under revisionen. 2.1.2 Forventningskløften Revisorer er i offentligheden kendt for at være nogle kedelige, støvet, og grå mennesker, som sidder i støvede lokale omgivet af regnemaskiner og bunker af årsregnskaber, der skal gennemregnes 19. Dette er et image som revisoren har fået, da offentligheden som udgangspunkt ikke har nogen indsigt i hvad det egentligt er, som revisor laver, når et regnskab bliver revideret. Der er således tale om en forventningskløft, som opstår når der er en uoverensstemmelse imellem det som offentligheden forventer, at revisor foretager i forbindelse med revisionen og det som revisor rent faktisk udfører ved revisionen. Eftersom, at revisoren for at opnå sin autorisation, har gennemgået et flereårigt forløb, bestående af både teori og praksis, er det 19 Den gamle revisor er yt, s 1 19
ikke umiddelbart ikke muligt, for offentligheden at have den samme indsigt som revisoren. Da offentligheden ikke har de samme forståelse til revisors arbejde, medfører dette at offentligheden stiller urimelige eller uberettiget forventninger til det arbejde som bliver udført. Revisor skal udefra en risiko og væsentlighedsbetragtning altid forsøge at udføre en omkostningseffektiv revision, hvilket betyder at revisoren ikke gennemgår alle transaktioner, som har en relevans for regnskabet. Men på stikprøvebasis tester bestemte transaktioner i overensstemmelse med standarder og regulering. I forlængelse heraf, forventer offentligheden, at en revision giver en absolut sikkerhed for, at der ikke forekommer væsentlige fejl i regnskabet, mens revisionen egentlig giver en høj grad af sikkerhed, men ikke absolut sikkerhed 20. Derfor vil offentligheden have urimelige eller uberettiget forventninger til det arbejde som bliver udført af revisoren. Dette vil undergrave revisorens rolle som offentlighedens tillidsrepræsentant, på trods af at revisoren leverer en professionel ydelse. Derfor er det vigtigt for revisionerne at indgå en dialog med offentligheden, for at skabe en forståelse for, hvad revisor står for og hvad revisor ikke står for. Forventningskløften kan yderligere opdeles i en rimelighedskløft og en præstationskløft 21. Hvor rimelighedskløften omhandler de forventninger som offentligheden har til revisors arbejde, og hvad der er rimeligt at forvente af revisor. Mens præstationskløften handler om offentlighedens opfattelse af det arbejde som revisoren rent faktisk har udført 22. Præstationskløften kan opdeles i to komponenter, som er utilstrækkelige regulering samt utilstrækkelige præstation. Ved utilstrækkelige regulering, forstås, at regnskabsbrugeren vurderer revisors arbejde som utilfredsstillende, på trods af at revisors arbejde lever op til gældende lov og standarder. Her kan revisoren ikke holdes til ansvar, da revisoren ikke har nogen indflydelse på uhensigtsmæssig regulering. At revisor følger lovgivning, er dog ikke ensbetydende med at revisor har udført sin opgave i overensstemmelse med god revisorskik. Revisor skal udvise professionel kompetence og adfærd og forholde sig til den aktuelle situation som han står i. Utilstrækkelige præstation, opstår når revisors arbejde ikke lever op til den forventede kvalitet, arbejdet er direkte mangelfuldt. Regnskabsbrugernes forventninger anses for at være dynamiske og vil ændre sig i takt med udviklingen i samfundet og ny regulering. Som følge af, at kompleksiteten i virksomhedernes regnskaber er steget, er det opstået nye fokusområder, såsom god selskabsledelse, 20 Professionsetik for revisorer s 14 21 Professionsetik for revisorer s 14 22 Professionsetik for revisorer s 15 20
beskyttelse af data, forbedringen af interne kontroller mv., som revisor skal forholde sig til i. Desuden er der som følge af større selskabsskandaler fra regnskabsbrugeren en vis forventning omkring, at revisor ikke kun skal forholde sig til regnskabet, men også til virksomheden som aflægger regnskabet. 2.2 ITsikkerhed I takt med at ITanvendelsen er blevet integreret i de daglige transaktioner i erhvervslivet, er virksomhederne blevet noget mere følsomme overfor forretningsmæssige risici. Virksomhedernes er konstant udsat for risici som svindel, sabotage, indbrud, virus og mange andre sofistikerede skadelige handlinger, som alle kan have en skadegørende effekt på virksomhedens økonomi, image og omdømme. Derfor er det vigtigt, at virksomheden har styr på deres ITsikkerhed for at være på for kant med mulige hændelser som på sigt kan skade virksomheden. Formålet med dette afsnit, er således at redegøre for ITsikkerhed og beskrive hvad som begrebet i det hele taget indeholder. Indledningsvist vil begrebet blive defineret, således at læseren har en indsigt, i hvad der menes med ITsikkerhed. Hvorefter vi vil redegøre for ITsikkerhed og dennes relation til Corporate Governance som i Danmark er bedre kendt under betegnelsen god selskabsledelse. I forbindelse med vores dataindsamling, fandt vi frem til at, der findes adskillige standarder, guidelines samt generelle råd med hver sit bidrag til hvad god ITsikkerhed er 23, hvor vi i vores afhandling har valgt at arbejde videre med COBIT frameworket og den danske standard DS 484, vi vil i indeværende afsnit kort præsentere disse standarder og hvad de indebærer og vil vælge det bedste alternativ set i forhold til afhandlingens problemstilling. 2.2.1 Definition af ITsikkerhed I forbindelse med vores dataindsamling, blev det klart, at der ikke findes en klar og entydig definition af begrebet. Der findes flere tilgange til ITsikkerhed og styringen af denne, som alle har hver deres fortolkning, der er baseret på best practice erfaringer 24 og som igennem tiden er blevet ændret og opdateret. Nedenfor er oplistet tre definitioner, som alle er med til at definere anvendelsen og styring af IT i en virksomhed: 23 ITsikkerhed ja tak, men hvad er det, Info nr. 22 s 1 24 Strategies for information Technology Governance s 5 21
IT governance is the responsibility of the board of Directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategy and objectives 25 IT governance Institute(ITGI)(2001) Implementation of processes, structures and relational mechanisms in the organization that enable both business and IT people to execute their responsibilities in support of business/it alignment and the creation of business value from IT enabled investments 26 " Van Grembergen(2009) Informationssikkerhed og informationsbehandlingsprocesser, -systemer og -netværk er væsentlige virksomhedsaktiver. At definere, etablere og vedligeholde en passende informationssikkerhed kan være afgørende for virksomhedens konkurrencedygtighed, rentabilitet, omdømme og efterlevelse af gældende lovgivning 27 DS 484(2005) Definitionerne fra IT governance institute er bredt formuleret og ser anvendelsen af IT, som en integreret del af virksomhedens ledelse og organisatoriske strukturer, der skal sikre at IT en understøtter virksomhedens forretningsstrategi og mål. Samtidigt ses styringen af IT en som en integreret del af Corporate Governace. Van Grembergen s definition, minder på mange måder om definitionen fra ITGI, men har dog en noget mere strukturpræget tilgang til anvendelse af IT. Definitionen fokuserer hovedsagligt på implementeringen, struktureringen og opsætningen af IT en, således at virksomhedens IT opsætningen er medvirkende til at understøtte virksomhedens forretningsprocesser og skabe værdien for virksomheden. Definitionen fra DS 484, er konkret i sin formulering, set i forhold til de andre definitioner, bliver der her ikke fortaget en direkte sammenkobling mellem forretningsstrategi og IT. Dog kan det diskuteres om denne ikke sker implicit, eftersom det nævnes at en passende ITsikkerhed kan have afgørende betydning for en virksomheds konkurrencedygtighed, i forlængelse heraf skildres det, at en ligegyldig tilgang til virksomhedens ITanvendelse kan skade virksomhedens økonomiske og markedsmæssige position og kan endvidere føre til at virksomheden ikke lever op til gældende lovgivning. 25 Strategies for information Technology Governance, s 5 26 Strategies for information Technology Governance, s 5 27 DS 484, s 10 22
Definitionerne fra ITGI og Grembergen, sammenkæder anvendelse af IT i virksomhedens med eksisterende og langsigtede forretningsmål, som skal medføre at virksomheden skal vokse. Mens definitionen fra DS 484 handler om at beskytte virksomhedens data, informationer og viden for at sikre virksomhedens eksistensgrundlag. Vi har valgt at arbejde videre med definitionerne fra ITGI og DS 484. Da ITGI, ser anvendelsen af IT i tilknytning i Corporate Governance, som efter vores mening er essentiel, hvis ledelsen er involveret i ITsikkerheden, vil der også være en større bevidsthed omkring dette i virksomheden. Samtidigt har vi valgt, at anvende definitionen fra DS 484, da denne har en forbyggende tilgang, hvor virksomheden skal tænke langsigtet og forudsige hvilke risici som deres virksomhed er udsat for som følge af anvendelsen af IT. 2.2.2 ITsikkerhed og Corporate Governance I takt med, at anvendelse af IT har fået en stigende strategisk betydning for virksomheden, er ansvaret for ITanvendelse tilsvarende flyttet op i virksomhedens hierarkiske opbygning. Hvilket underbygges af definitionen fra ITGI, som fortæller at det overordnede ansvar for virksomhedens IT ligger hos ledelsen. En mindre del af Corporate Governance omhandler ligeledes styringen af virksomhedens ITanvendelse 28. God selskabsledelse er den danske fortolkning af Corporate Governance, som er at system, der anvendes til at lede og kontrollere en virksomhed 29. Der er dermed tale om hvilke overordnede målsætning, som virksomhed bør følge for at virksomheden kan ekspandere og skabe vækst og fremgang. Dette kan ikke lade sig gøre uden brug af IT. Bestyrelser og direktioner har set potentialet i anvendelse af IT, som en strategisk parameter til at opnå en forøget værdiskabelse og de forretningsmæssige mål. Anvendelse af IT skal derfor integreres i virksomhedens overordnede strategi. 28 Strategies for information Technology Governance s 4 29 http://www.corporategovernance.dk/sw37802.asp 23
2.2.3 Introduktion til standarderne Standarder får processer og strukturer indenfor en virksomheden til at hænge sammen igennem et bevidst og målrettet udviklingsforløb: Definitionen på en standard er: Et dokument til fælles og gentagen anvendelse, der giver regler og retningslinjer eller karakteristiske træk ved aktiviteter eller ved resultaterne af disse. Dokumentet er fastlagt ved konsensus og vedtaget af et anerkendt organ. Hensigten er at opnå en optimal orden i en given sammenhæng. 30 På den ene side er disse standarder rimelig anvendelsesorienterede, men samtidigt er de også relative tunge at læse, eftersom de indeholder enorme mængder af informationer. Standarderne er konkrete ved at sige hvad der skal gøres, men er ikke desto mindre også abstrakte, ved ikke at sige hvordan noget præcis skal gøres. Hvordan noget skal gøres vil afhænge af den konkrete situation som den forskrevet anbefaling skal implementeres indenfor, da virksomhedernes situationer og behov vil være forskellige. En anden ting, er at hvis standarderne bliver alt for konkrete og diktere meget specifik, hvordan virksomhederne skal gøre, vil disse være uanvendelige for virksomheder med fastlåste organisationsstrukturer og rammer som de arbejder indenfor. Derfor skal man se anbefalingerne og metoder i standarderne som inspiration og tilpasse dem således at disse er med til at skabe værdi for virksomheden. For mange virksomheder kan ITsikkerhed være vanskelig at forholde sig til, idet denne for det meste associeres med komplekse tekniske problemstillinger såsom konfiguration, programmering mv. Derfor er der mange virksomheder, som har behov for en struktureret tilgang til styring af deres ITanvendelse, hvorved der er i enighed i virksomheden for hvad og hvordan man anvender IT. Når det gælder virksomhedernes anvendelse af IT, har virksomhederne behov for følgende 31 : - At skabe værdi, således at de omkostninger virksomheden har i form af køb og vedligeholdelse af IT udstyr, er med til at effektivisere virksomheden - At tilpasse IT til forretningens strategi og mål - At have et passende sikkerhedsmæssigt niveau set i forhold til virksomhedens behov - At sørger for at IT en fungerer - At styre kompleksiteten omkring IT en 30, Forøg virksomhedernes informationssikkerhed, s 11 31 Slides fra valgfaget IT governance s 6 24
- At efterleve love og regler At have det rette ITsikkerhed og styringsmæssige niveau set i forhold til virksomhedens størrelse og behov, er middelbart ikke nogen kompleks opgaver. Der findes flere forskellige strukturerede standarder, som virksomheden med fordel kan søge inspiration i, de enkelte standarder har dog alle specifikke fokusområder og formål. 2.2.3.1 - COBIT - et framework til styring af IT Governance Den første udgave af COBIT blev udgivet i 1996 af ISACA 32. Senere er frameworket blevet forbedret og udgivet i en 2. udgave i 1998, mens den tredje udgave kom i 2000. Den sidste gældende version er 4.1, som er udgivet af IT governance institute (ITGI). ITGI, blev dannet af ISACA, som er en international non-profit organisation, der har sine rødder i revisionsbranchen 33. COBIT har et udpræget fokus på forretningsmål, hvor anvendelse af IT skal være medvirkende til at hjælpe virksomheden med at nå strategiske mål. Opbygningen af COBIT er således en inspiration og samtidigt en guideline til ledere, så disse er i stand til at håndtere de daglige forretningsrelaterede kontroller, tekniske problemstillinger og risici. Modellen skal yderligere være med til at forbedre kommunikationen mellem ledelse, brugere og revisorer, da denne giver et overordnet overblik over IT systemerne, og hvilke kontrol foranstaltninger der skal fortages for at beskytte virksomheden 34. 2.2.3.2 Fokusområder og COBIT COBIT er et forretningsorienteret, procesorienteret, kontrolbaseret og fokuserer på målbarhed. Frameworket er desuden i overensstemmelse med COSO s anbefalinger, og beskriver, hvordan virksomhedens IT processer leverer de informationer, som virksomheden har behov for, for at kunne nå deres mål. 32 Strategies for information Technology Governance, s 277 33 Forøg virksomhedernes informationssikkerhed, s 104 34 COBIT set fra en praktisk synsvinkel, INFO 29, s 14 25