Cybersäkerhet och IT-beroende höjer IT-revisorns status

Fredrik Högström har alltid haft ett intresse för matematik, IT och teknik, men att han hamnade på en revisionsbyrå var mer eller mindre en slump. Efter examen på Chalmers där han pluggade till utvecklare fick han jobb som IT-ansvarig på Synneby revisionbyrå i Göteborg, som 2013 blev en del av det internationella nätverket RSM. I början av 2025 gick fem byråer samman och grundade den nya revisionskoncernen Cedra tillsammans med Adelis Equity Partners. En av grundarna är RSM Göteborg, som bytte namn till Cedra Väst.

− När jag började på Synneby hade vi kanske i snitt fem klienter där vi gjorde en utökad IT-kontroll jämfört med i dag då IT-kontrollen har en mer eller mindre självklar del av revisionen. Förståelsen för IT-säkerhet har ökat, vilket kanske började med GDPR, säger Fredrik Högström och fortsätter:

− 2018 höll jag många utbildningar om GDPR och hjälpte klienter att förstå och följa reglerna. Intresset för integritetsfrågor var stort då, och nu är det samma med cybersäkerhet. Fler och fler inser behovet av cybersäkerhet och blir medvetna om att vem som helst kan drabbas. Med AI har cyberattacker och bedrägerier blivit mer sofistikerade.

Han poängterar att det inte heller finns lika tydliga processer för AI-granskningen utan man utgår mer från vilken teknik som används, vilka lagar och regler som finns och hur företagen följer dem.

− Etikbaserad granskning, som till exempel att undvika diskriminering i rekryteringsprocesser med AI, blir också viktigare. Utbildningar och certifieringar inom AI och IT-revision börjar dyka upp och kommer att bli en viktig del av IT-revisionen, säger Fredrik Högström.

Vad gör en IT-revisor lite mer konkret och hur skiljer sig det uppdraget sig från en ”vanlig” revisor?

− En IT-revisor granskar och bedömer hur väl ett företags eller en organisations IT-system fungerar och att de följer gällande lagar och regler till skillnad från en vanlig revisor som ju granskar företagets ekonomiska redovisning. IT-revisorn granskar både själva tekniken och rutinerna runt tekniken.  Det kan handla om allt från lösenordsskydd till hur man gör med backuper eller vem som har tillgång till vad. Själva IT-revisionen är en del av den vanliga revisionen där jag assisterar och stöttar revisorerna i granskningen av kundernas IT-kontroller som rör den finansiella datan från exempelvis affärssystemet. Det kan även vara granskning av efterlevnad av olika regelverk som ISO27001 och GDPR. För att utföra till exempel en revision i ett ISO-regelverk krävs det att man är certifierad för att granska just det regelverket. Själv åkte jag till London för att utbilda mig och få min CISA-auktorisation (Certified Information Systems Auditor) Det är inte obligatoriskt enligt några lagkrav att ha en certifiering för att arbeta som IT-revisor. Men, certifieringen är en kvalitetsstämpel på att man har de kunskaper som krävs för att göra en professionell IT-granskning.

Hur går själva IT-revisionen till? Är du med i granskningen redan från start?

− Tidigare har revisorsteamet påbörjat granskningen själva och plötsligt upptäckt att kunden förlitar sig väldigt mycket på sina IT-system. Då har de behövt ta hjälp av mig.  Men, bara det senaste året har allt fler revisorer insett att själva IT-revisionen behöver komma in tidigare eftersom den är så pass central. Vanligtvis gör man först en bedömning av hur IT-beroende kunden är och utifrån den bedömningen bestäms hur pass djupgående granskning som behövs. För de allra flesta kunder använder revisorn en checklista med enklare IT-kontroller att gå i genom och jag assisterar i den utsträckning som det behövs. För de kunder med högt IT-beroende planeras jag in på uppdraget redan från start och jag gör en granskningsplan utifrån hur kundens system ser ut. Själva granskningen av en kund med högt IT-beroende brukar innefatta intervjuer och att åka ut på plats för att kunna göra olika former av kontroller.

Hur ser du på det framtida behovet av IT-revisorer, är det något som kommer att öka eller behöver revisorerna själva stärka sina kunskaper för att kunna sköta granskningen?

− I dagsläget finns det 301 certifierade CISA-revisorer i Sverige, så vi är inte jättemånga, men jag tror absolut att behovet kommer att öka. I takt med att företagen arbetar mer och mer digitalt ökar kraven på informationens riktighet, säkerhet och tillgänglighet. Det innebär att det också blir allt viktigare för revisorer att ha koll på IT-riskerna.  Samtidigt har kunskapskraven på revisorerna generellt ökat bara de senaste åren. Som revisor måste man ha kunskap inom så många olika områden och domäner.  Med, tanke på det tror jag att behovet av folk som är specialiserade på olika delar av revisionen kommer att öka. En och samma revisor kan omöjligt ha koll på alla olika områden och regelverk inom exempelvis IT och hållbarhet.