IT-revision. En studie av kunskap och förståelse

Sammanfattning: I takt med att de reviderade bolagens verklighet förändras, i och med ökat internationellt ekonomiskt utbyte, ställs också krav på revisionsprocessens anpassning till dessa nya förhållanden. Den ökade internationaliseringen i företagens omvärld har lett till ett behov av effektiviseringar, något som gjorts möjligt med hjälp av informationsteknologi, men även ett behov av harmoniserad lagstiftning då företag verkar globalt över landsgränserna. Denna harmoniserade lagstiftning har på senare tid influerats starkt av det ökade fokus på interna kontroller som uppstod i USA efter att ett antal redovisningsskandaler resulterat i starkt samhällspåverkande konkurser. I och med dessa parallella processer har interna kontroller dels fått större fokus i revisionen, och dels börjat präglas av allt mer komplicerade teknologiska lösningar, främst i form av IT-system. Det är naturligt att revisorerna själva inte besitter den tekniska detaljkunskap som många gånger krävs för att på ett tillräckligt grundligt och effektivt sätt utvärdera dessa IT-system, varpå man engagerar en specialist; IT-revisorn. I regleringen ställs dock utförliga krav på att ordinarie revisor ska kunna leda ITrevisorn i dennes arbete och tolka dennes resultat, detta då det alltjämt är ordinarie revisor som är ansvarig för revisionen och dess resultat. Vår fråga är således om revisorn har tillräcklig kunskap och förståelse för att ge IT-revisorn adekvata instruktioner och utvärdera dennes arbete. Syftet med denna frågställning är att, med regleringen på området som grund, få klarhet i vad som faktiskt krävs av revisorn gällande förståelse av det arbete som en IT-revisor utför. Samtidigt ställer vi oss frågande till vad som faktiskt kan krävas av revisorn och vari en eventuell diskrepans mellan reglering och praxis ligger. Uppsatsen är avgränsad till att endast behandla de förhållanden som rör IT-revisionen i större svenska bolag och som utförs av någon av Big Four-byråerna. Vi har använt oss av sex personliga, öppna intervjuer för att ges större möjligheter att tolka de svar vi fått, och få respondenterna att friare beskriva sina erfarenheter på området utan att bli styrda och hämmade av precisa frågeställningar från vår sida. Dessa svar har vi sedan jämfört med vår teoretiska referensram som utgörs av den reglering som finns på området. Det finns, enligt våra empiriska studier, vissa skillnader i revisorer och IT-revisorers synsätt på IT-revisorns roll och självständighet. Revisorerna har generellt en bild av att de själva ska ha tillräcklig kunskap och förståelse för att kunna bilda sig en uppfattning om de IT-system som används, och att IT-revisorn blir ett verktyg för mer detaljerad granskning. IT-revisorerna menar att de är ett självklart stöd för revisorn och en auktoritet när det gäller bedömningar och granskningar av de komplexa IT-systemen. Slutsatsen blir dock att revisorn har den kunskap och förståelse som krävs, men att kravet på den enskilda revisorn blir lägre tack vare att revisionsbyråernas interna metodiker, ansvarsfördelning och kontrollsystem i viss mån substituerar dennes skyldigheter såsom de uttrycks i regleringen. Vår studie utgår från en övergripande och kvalitativ bedömning av revisorns kunskap och förståelse, och ett förslag på fortsatt forskning skulle kunna vara en mer utförlig, kvantitativ studie av revisorernas kunskapsnivå. Ytterligare ett förslag är att behandla hur motsvarande situation som vi har behandlat ser ut hos mindre revisionsbyråer, utan anställda IT-revisorer.