Digitaliseringens betydning for revision af IT- og cyberrisici
Oversat titel
The effect of digitalisation on auditing of IT- and cyberrisk
Forfattere
Jensen, Jonas Emborg Bunk ; Rosenkjær, Cecilie
Semester
4. semester
Uddannelse
Udgivelsesår
2021
Afleveret
2021-05-31
Resumé
Specialet undersøger, om ISA 315 i sin nuværende form giver et tilstrækkeligt grundlag for, at revisor kan indhente egnet revisionsbevis om IT i en tid med accelererende digitalisering og stigende cybertrusler. Med en retspositivistisk og overvejende deduktiv tilgang beskrives udviklingen i cyberkriminalitet og cybersikkerhed samt god IT-skik, de IT-relaterede krav i ISA-standarderne sammenfattes, og rammeværkerne COBIT 5 og COSO gennemgås. Analysen omfatter desuden to spørgeskemaundersøgelser om IT-revision og virksomheders syn på cyberkriminalitet, en vurdering af IT- og cybersikkerheds betydning for revisionsrisikomodellen, komparative analyser af COSO og COBIT 5 samt af ISA 315 i forhold til den reviderede ISO/IEC 27002, og en evaluering af revisionsprocessen med fokus på at integrere IT-revision; interviews inddrages for at styrke validiteten. Resultaterne peger på behov for forbedringer, herunder opdatering af ISA 315, indarbejdelse af henvisninger til relevante ISO-standarder og styrkelse af revisorers IT-kompetencer. Specialet drøfter også ansvarsfordelingen for cybersikkerhed og konkluderer, at virksomhederne primært bærer ansvaret, fordi revision er retrospektiv, mens cyberrisici er fremadrettede. Der identificeres et fortolkningsgab mellem IT-revisorer og finansielle revisorer, og det vurderes, at øget IT-orienteret bevidsthed og kompetence blandt finansielle revisorer vil have størst effekt. Overordnet anbefales det at normalisere IT-revision i højere grad og kombinere god IT-skik med anerkendte standarder for at reducere sårbarhed over for cyberangreb.
The thesis examines whether ISA 315, in its current form, provides auditors with a sufficient basis to obtain appropriate IT-related audit evidence amid accelerating digitalization and rising cyber threats. Using a legal positivist and mainly deductive approach, it outlines developments in cybercrime and cybersecurity and good IT practice, summarizes the IT-related requirements in the ISAs, and reviews the COBIT 5 and COSO frameworks. The analysis covers two surveys on IT auditing and business views on cybercrime, assesses the implications of IT and cybersecurity for the audit risk model, compares COSO with COBIT 5 and ISA 315 with the revised ISO/IEC 27002, and evaluates the audit process with a focus on integrating IT auditing; interviews are used to strengthen validity. Findings indicate the need to improve practice and guidance by updating ISA 315, incorporating references to relevant ISO standards, and enhancing auditors’ IT competencies. The thesis also discusses responsibility for cybersecurity and concludes that primary responsibility lies with enterprises, as auditing is backward-looking while cyber risk is forward-looking. It identifies a gap in how IT auditors and financial auditors interpret ISA 315 and argues that increasing IT awareness and competence among financial auditors is likely to have the greatest impact. Overall, it recommends further normalizing IT auditing and combining good IT practice with recognized standards to reduce vulnerability to cyberattacks.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]