Vad betyder revisionsberedskap i praktiken?

Det betyder att revisorn kunde komma i morgon och du kunde lämna över det som efterfrågas utan att rekonstruera någonting: register som stämmer med verkligheten, godkännanden registrerade när de skedde och avyttringsbevis arkiverade i avyttringsögonblicket. Det praktiska testet är överraskningsrevisionen - hänger ett godkänt resultat på en hektisk vecka av bevisinsamling så förbereder du dig för revision; du är inte revisionsberedd.

Hur förbereder man sig för en revision av anläggningstillgångar?

Stäm av registret mot verkligheten i båda riktningarna - dra poster och leta upp tillgångarna, dra tillgångar och leta upp posterna. Rensa bort spöktillgångar, jaga ifatt saknade inköps- och avyttringsdokument, bekräfta vem som faktiskt har varje objekt och kontrollera att det finns godkännanden för tillägg och utrangeringar. Kör sedan en generalrepetition på ett litet urval - det är exakt vad revisorn kommer att göra.

Är revisionsberedskap bara relevant för stora företag?

Nej. Även små organisationer möter revisioner - försäkringsärenden efter stöld, bidrags- och finansieringsgranskningar, ISO-certifiering, skattekontroller, due diligence vid kapitalanskaffning eller förvärv. De drabbas dessutom hårdare av bristande beredskap, eftersom kunskapen oftast sitter i ett enda huvud och bevisen i en blandning av inkorgar och kalkylark.

Revisionsberedskap: betydelse och checklista

Revisionsberedskap är tillståndet där poster, kontroller och bevis är så ordnade att en intern eller extern revision klaras utan sista minuten-arbete.

Revisionsberedskap är tillståndet där poster, interna kontroller och stödjande bevis är så ordnade att en intern eller extern revision kan börja när som helst, utan rekonstruktion i sista minuten. En revisionsberedd organisation behandlar inte revisioner som händelser att ladda upp inför; den håller register, godkännanden och pappersspår korrekta som rutin, så att revisionen blir ett stickprov snarare än arkeologi.

Vad revisorer faktiskt frågar efter

De exakta önskemålen varierar med revisionstypen - finansiell, ISO-certifiering, försäkring, intern granskning - men när det gäller tillgångar är kärnlistan anmärkningsvärt stabil:

Ett aktuellt inventarieregister som stämmer med verkligheten: vad som finns, var det är, vem som har det, vad det kostade och vilket skick det är i.
Bevis på att kontrollerna fungerar, inte bara att de finns på papper - registrerade godkännanden för inköp och avyttringar, och en synlig ansvarsfördelning mellan den som begär och den som godkänner.
Ett spår per stickprov. Revisorer testar i båda riktningarna: de drar poster och ber dig visa upp tillgången, och drar sedan tillgångar från ett skrivbord och ber dig visa upp posten. Beredskap betyder att båda riktningarna fungerar.
Avyttrings- och utrangeringsbevis - vem som godkände, när tillgången lämnade, och för databärande utrustning: bevis på att den raderades.
För säkerhetsinriktade revisioner som ISO 27001: ett register över informationstillgångar med en namngiven ägare per post.

Poster att hålla aktuella året runt

Vissa poster åldras med behag; andra är inaktuella inom några veckor. De snabbt förfallande förtjänar rutinen: vem som faktiskt har varje laptop och telefon (tilldelningarna glider vid varje rollbyte), tillgångarnas status (maskinen som skickades på reparation i mars och tyst togs ur drift i maj) och antalet platser för programlicenser, som revisorer allt oftare behandlar som vilken tillgång som helst. Små bärbara prylar - externa hårddiskar, adaptrar, testenheter - försvinner ur registren först och orsakar mest pinsamheter, eftersom en saknad databärande enhet är en säkerhetsanmärkning, inte bara en inventeringsavvikelse. Långsammare men lika väsentligt: inköpsfakturor, garantidokument och avyttringsintyg, sparade så länge din lagringspolicy säger att de ska kunna tas fram.

Där beredskapen brukar brista

Samma luckor dyker upp revision efter revision. Spöktillgångar - poster i registret som inte längre finns fysiskt - blåser upp böckerna och faller direkt på post-till-tillgång-testet. Rekonstruerade bevis är nästa: godkännanden som gavs muntligt och skrevs ner veckan före revisionen är lätta för en erfaren revisor att genomskåda, och sämre än inget godkännande alls. Sedan har vi enpersonskunskapen, där registret tekniskt sett är i ordning men bara en enda medarbetare kan förklara det. Och till sist revisionspärmsvanan: att samla allt i en heroisk slutspurt veckan före besöket. Det är revisionsförberedelse - och skillnaden syns i sömmarna.

Revisionsberedskap i praktiken

Vanan som ger beredskap är enkel att formulera: registrera varje händelse när den sker, i ett system, knuten till en namngiven person. Utlåningar, återlämningar, överföringar, statusändringar och avyttringar som loggas i stunden förvandlar revisionen till ett filter-och-export-jobb i stället för ett kriminaltekniskt. I AMPthilly landar varje utlåning, återlämning, överföring, statusändring och godkännande i en permanent revisionshistorik på tillgångsposten, exporterbar till CSV när revisorn frågar. Vilket verktyg du än använder är testet detsamma: kan du ta fram beviset idag, för vilken tillgång som helst, utan att be någon minnas något?

Relaterade termer

Interna kontroller - policyerna och kontrollerna revisorer testar att de fungerar
Ansvarsfördelning - kontrollen som delar upp begäran, godkännande och registrering på olika personer
ISO 27001 och tillgångshantering - certifieringssammanhanget där tillgångsbevis stickprovas hårdast
Register över informationstillgångar - datasidans register som säkerhetsrevisorer förväntar sig vid sidan av hårdvaruregistret
Lagringspolicy - reglerna för hur länge revisionsbevis måste kunna tas fram

Ordlista

Vad är revisionsberedskap?

Vad revisorer faktiskt frågar efter

Poster att hålla aktuella året runt

Där beredskapen brukar brista

Revisionsberedskap i praktiken

Relaterade termer

Relaterade guider

Koll på programvarulicenser: platser, förnyelser och tilldelningar

Så håller du koll på externa enheter och USB-lagring

Begrepp i den här guiden

Låt registret göra jobbet

Vi värnar om din integritet