Menu

Sammanfattning av kravställande i ISA 315

Sedan 2022 är den omarbetade revisionsstandarden för riskbedömning, ISA 315, en realitet i en revisors arbete. Den beaktar speciellt IT-relaterade risker i bedömningen. Och det är inte en dag för tidigt, då i stort sätt alla verksamheter är ytterst beroende av IT och internet.

De kravställanden som ställts kan sammanfattas till följande fyra övergripande punkter:

  • Behörighetshantering
  • Informationssäkerhet
  • Kontinuitetshantering
  • Incident och förändringshantering

Att göra en kompetent bedömning av dessa punkter inom området IT och internet kräver mycket god kunskap och erfarenhet. Det är inte många som kan göra den granskningen och bedöma inneboende riskfaktorer då komplexiteten inte är ringa. Ofta överlåts det till företagens interna avdelning att svara på ett antal frågor. Dessa är ofta tagna från en mall, vilket inte alltid är aktuella i varje enskild bedömning.

Revisorn skall alltså se till att frågorna är relevanta.
Denne skall också bedöma att svaren är korrekta – från många synvinklar.
Från denna minst sagt svajiga grund skall revisorn ta del av och förstå komplexa systemlösningar.   

Tidningen Balans har en utmärkt artikel som belyser denna fråga mer i detalj.

Vårt arbete ligger i:

  • Att ställa samman texter som berör respektive punkt – se exempel i nedan lista.
  • Se till att implementera de beslut som ledningen tar.
  • Följa upp och löpande kontrollera att företaget följer besluten över tid.


Rent konkret kan vi göra följande:

  • Ge ledningen underlag till att fatta policybeslut.
  • Skriva eller justera befintliga policy dokument – anpassade efter ovan beslut.
  • Skriva eller justera er dokumenterade standardrutiner (”SOP”) – anpassade för alla nivåer i er verksamhet.
  • Se över och eventuellt justera de avtal som företaget har mot personal, kunder, leverantörer och partners.
  • Efter samråd med er, implementera de beslut som tagits. Det kan röra sig om förändringar i olika licenser, höjda säkerhetskrav för olika tjänster eller ändrade dagliga rutiner.

I allt ovan skall hänsyn tas till gällande lagstiftning.

Related Posts