Medför minidatorerna särskilda problem vid utformningen av det interna kontrollsystemet? Frågan diskuteras i denna artikel av auktor revisor Lennart Bergström som framhåller att det är angeläget att revisorerna hjälper företaget att utnyttja de stora möjligheter till intern kontroll som faktiskt finns.
Bakgrund
När ADB-tekniken mer allmänt började användas i administrativa system i början av 1960-talet, var det mest fråga om en ändring av den maskinella behandlingen av hålkorten. De gamla hålkortssystemens grunddrag kvarstod således i stort sett oförändrade.
Det var först några år senare, när mer invecklade system började byggas direkt för ADB – och särskilt när sådana system brakade samman – som ADB-specialister, ekonomichefer och revisorer började inse, att det finns ”speciella faktorer att beakta när man upprättar och bedömer intern kontroll i datorbaserade redovisningssystem”.
Citatet är hämtat ur en skrift, som FAR utgav för fem år sedan med titeln ”Synpunkter på intern kontroll i datorbaserade redovisningssystem”, i det följande kallad FAR-IK-ADB. Med denna skrift som utgångspunkt skall i det följande diskuteras, om minidatorerna erbjuder särskilda problem vid utformningen av det interna kontrollsystemet.
Vad är då en minidator? Det finns många definitioner att välja mellan. Här avses emellertid en dator som
kostar 200–1.000 tusen kronor att köpa eller 40–250 tusen kronor per år att hyra
fungerar i vanlig kontorsmiljö; den kräver alltså inga större anordningar för luftkonditionering m m
kräver högst 3–4 veckors utbildning av den som skall lära sig att köra maskinen
utför kompletta bearbetningar. Den fungerar alltså inte som terminal, och inte heller på annat sätt än någon större dator utnyttjad i systemen. (Det blir allt vanligare att mindre datorer ingår i stora system. De kontrollproblem som då uppkommer ligger utom ramen för denna artikel.)
I FAR-IK-ADB (som är en bearbetning av en förlaga utgiven två år tidigare av den engelska revisorsföreningen) skiljer man mellan tre huvudtyper av kontroller, nämligen administrativa kontroller, kontroller avseende systemutveckling, och driftkontroller. Denna indelning är långtifrån invändningsfri, eftersom många av de kontroller, som föreslås för systemutveckling och drift, är av rent administrativ natur. Detta har emellertid mindre betydelse i förevarande sammanhang.
Administrativa kontroller
De ”riktlinjer” och ”synpunkter” på intern kontroll vid ADB, som revisorsföreningarna i olika länder publicerat, bygger i stort sett på samma förutsättningar: det finns en separat dataavdelning, som består av minst tre självständiga arbetsgrupper, nämligen system-, drift- och stansgrupperna. Oftast finns även en arkivgrupp och en kontrollgrupp med i rekvisitan. Det lämnas åtskilliga synpunkter på vad var och en av dessa grupper bör och inte bör befatta sig med, för att den interna kontrollen skall fungera väl. Dataavdelningen som sådan är en sluten enhet, och dess avgränsning mot kundavdelningarna tillmäts största vikt. (Med kundavdelning avses här dataanvändaren, d v s vanligen en linjeavdelning.)
Förutsättningarna för en uppdelning av arbetsuppgifterna föreligger alltså, vilket anses vara en hörnsten i alla system för intern kontroll.
Minidatormiljön ser emellertid annorlunda ut. Maskinen är ofta placerad på ekonomiavdelningen, som vanligen också är den största användaren. Även om en eller ett par personer har till huvudsaklig uppgift att köra och eventuellt programmera minidatorn, brukar även annan personal kunna sköta denna. Det förekommer också, att varje kundavdelning själv utför sina bearbetningar, bl a när datorn används även för tekniska beräkningar.
I många fall finns det således ingen separat dataavdelning. Därmed bortfaller en av de viktigaste förutsättningarna för många av de administrativa kontroller, som rekommenderas i FAR-IK-ADB och andra skrifter.
I minidatormiljön deltar emellertid kundavdelningarna ofta mer direkt i ADB-verksamheten än i företag med större anläggningar. De data som bearbetas förlorar alltså en del av sin anonymitet för de personer som hanterar dem. Den sakliga bedömningen av indata, avvikelser och utdata sker med större insikt om datorns arbetssätt och med vidare överblick över systemens förutsättningar och uppbyggnad. Man kan t ex ha märkt, att indata till en viss rutin fått en högre felfrekvens än tidigare. I en liten organisation är det lättare än i en stor att spåra orsakerna till förändringen, t ex att den som producerar eller registrerar indata är nyanställd och ovan, eller att vederbörande av någon personlig anledning presterar sämre än vanligt. Man tror alltså att felfrekvensen snart kommer att återgå till den tidigare nivån. Utan att rutinen i övrigt förändras skärps kontrollen: avstämningarna sker med kortare intervaller, felen rättas av någon annan person än den som gjort dem, utdata underkastas en extra kontroll av den arbetsledande personalen etc.
Sådana informella kontroller växer ofta fram spontant, eftersom alla berörda är på det klara med att och varför de behövs. Även om systemet för administrativa kontroller är mindre utvecklat i minidatormiljö än i större anläggningar behöver därför inte nödvändigtvis den faktiska kontrollnivån ligga lägre.
Ifråga om avsiktliga fel kan det å ena sidan hävdas, att minidatoranläggningar är mer sårbara än större anläggningar, eftersom flera personer har överblick över hela systemet och eventuellt också tillgång till såväl maskin som program och register. Å andra sidan torde samma omständigheter tala för att risken för upptäckt är relativt stor, åtminstone om felen är inbyggda i systemet.
Kontroller över systemutveckling
Under denna rubrik behandlas i FAR-IK-ADB system och programdokumentation, registeruppläggning m m. Det som där sägs är tillämpligt även på minidatorsystem.
Det kan dock förtjäna nämnas, att minidatorer ibland programmeras i ett för respektive fabrikat unikt språk. Man bör därför redan vid valet av fabrikat förutse de svårigheter, som kan uppkomma vid framtida underhåll av systemen liksom vid byte till annat fabrikat. Särskild uppmärksamhet bör således ägnas åt fullständigheten och riktigheten i den dokumentation, som bildar underlag för programmering och programändringar.
De tidigare nämnda svårigheterna att i minidatorsystem upprätta administrativa kontroller i den omfattning som bl a FAR-IK-ADB rekommenderar, innebär naturligtvis inte, att sådana kontroller helt skulle saknas. Tvärtom bör de användas så långt det är möjligt och lämpligt. Vid t ex överföring av tidigare huvudregister till minidatorns minnesenheter har erfarenheten visat, att det ofta är lämpligt att för varje register utse en person, som är ansvarig för det nya registrets fullständighet och riktighet. Ett sådant ansvar kan ibland innebära, att den ansvarige får attestera registreringsunderlaget för varje särskild post, som skall ingå i det nya registret. Samma person bör också fortsättningsvis vara ansvarig för varje ändring av registrets fasta data.
Driftkontroller
I fråga om driftkontroller (här = rutinorienterade kontroller) kan i princip samma regler tillämpas, som gäller för större datorsystem. Även minidatorerna har – möjligen med undantag för de allra minsta – en kapacitet, som exempelvis medger användning av hela arsenalen av programmerade kontroller i inläsningskörningen, om så skulle erfordras.
Svårigheten att i önskvärd omfattning genomföra en uppdelning av arbetsuppgifterna på organisationsenheter och/eller personer i en minidatormiljö bör medföra att andra möjligheter till intern kontroll utnyttjas desto mer, t ex genom utbyggda driftkontroller. Ett (förenklat) exempel: ett grossistföretag använder en minidator för orderregistrering, expedition, fakturering, lagerredovisning och kundreskontra. Man summerar antalet styck av varje artikelslag för mottagna order, expedierade kvantiteter och fakturerade leveranser. På så sätt har man möjligheter att fortlöpande kontrollera, att alla mottagna order blir levererade och fakturerade. Avstämningarna är ej sällan besvärliga att utföra. Kontrollen anses emellertid så värdefull, att man anser den vara väl värd det extra besväret.
Sammanfattning
En allmängiltig administrativ lag lyder:
FÖRESKRIVNA ADMINISTRATIVA KONTROLLER HAR TVINSOT
Denna lag har formulerats inte utifrån dyster spiritualitet utan från dyster erfarenhet. För att hålla de stipulerade kontrollerna vid liv krävs ständigt diagnoser, injektioner och operationer. Det finns inga undantag från denna lag (som för övrigt BALANS är först i världen med att publicera).
Lagens uttryck ”administrativa kontroller”, har en vidare innebörd än i FAR-IK-ADB. Det innefattar alla föreskrivna kontrollåtgärder, som skall vidtagas av människor i ett administrativt system.
I företag med omfattande ADB-verksamhet har man känt av lagens obeveklighet och därför ställt allt starkare krav på föreskrifternas efterlevnad (sk datamognad).
Minidatorerna förekommer i mindre organisationer, där erfarenheten av ADB vanligen är kortare och där byråkratin är svårare att genomföra. Därför är det angeläget, att revisorerna hjälper företaget att utnyttja de stora möjligheter till intern kontroll som faktiskt finns även i minidatorsystemen, och att de, när systemet väl är infört, fortlöpande uppmärksammar kontrollernas hälsotillstånd.
Lennart Bergström, auktor revisor