Den explosiva utvecklingen av databehandlingen kräver att revisionsmetodiken kontinuerligt förändras, hävdar Dag Hasslegren och Måns Lagerlöf, auktoriserad revisor respektive konsult hos Öhrlings Revisionsbyrå AB. De datorstödda rutiner som bearbetas på mikro- eller minidator måste granskas av revisorn innan man vågar lägga systemens utdata till grund för bedömningar. Någon entydig metod för den sortens granskningar finns dock inte.

Den tekniska utvecklingen går oerhört fort inom databehandlingsområdet, vilket ställer krav på att revisionsmetoderna kontinuerligt ändras.

Revisionsbyråerna tillämpar numera troligen metoder och tekniker som beaktar särdragen i stordatormiljö. Frågan är om dagens mikro/minidatormiljö med kapacitet motsvarande stordatorernas för ca 5 år sedan har påverkat revisionsmetoderna på det sätt som gällt stordatormiljön. Vad man frågar sig är om vedertagna tekniker i stordatormiljön också kan tillämpas i smådatormiljön.

Internkontroll i små- och stordatorer

Inledningsvis kan det vara värt att notera vad som avses med en smådatormiljö. Karaktäristiska är datorer:

* som ofta finns installerade i kontorsmiljö

* med i stort sett operatörslös drift

* med transaktionsstyrd bearbetning (on-line)

* med ett begränsat antal terminaler

* med begränsad skrivkapacitet

* med skrivare och disk/diskettstation

* med register baserade på skivminnen (disk, diskett)

* med operativsystem som vanligen jämfört med stordatorer har begränsade funktioner för styrning, kontroll etc.

Tillämpningssystemen utgörs i allmänhet av order/lager/fakturering, kundreskontra, beställning/inköp, leverantörreskontra, grund- och huvudbokföring.

Avvikelser mellan en smådatormiljö och en stordatormiljö är mot skisserad bakgrund oftast:

Bemanningen

Smådatorer kräver ofta liten bemanning. Bemanningen utgörs vanligen av:

* kamrern själv

* datachef/systemman + en till två programmerare/operatörer.

Användarvänligheten

Användarvänligheten karaktäriseras av att:

* systemen kräver liten teknisk kompetens för handhavande

* systemen är ofta menystyrda, d v s datorn talar själv om vilka bearbetningsmöjligheter som finns och hur de skall utföras

* användarna själva bestämmer vilka bearbetningar som skall utföras och när

* flertalet register och program omedelbart är tillgängliga (gäller främst minidatorer)

* register och program är tillgängliga omedelbart eller efter inläsning av kassett/diskett (gäller främst minidatorer)

* registerinnehållet förändras direkt vid inmatning av data (on-line bearbetningar).

Miljökraven

I smådatormiljö gäller ofta att:

* datorn placeras i normal kontorsmiljö eller i mindre utrymmen (arkiv etc)

* särskilda specialutrymmen saknas för arkivering, efterbehandling, blanketter etc

* datorn och den lagrade informationen är lättåtkomlig

* datorn är liten och lätt

* datorn endast kräver normal strömförsörjning.

Programutvecklingsmöjligheterna

Programutvecklingsmöjligheter:

* kan helt saknas inom företaget. Detta kan exempelvis bero på avsaknaden av sourceprogram (källprogram), kompilatorer etc samt att programmen kan vara skrivskyddade.

* kan finnas men kan ej utföras under löpande drift. Detta kan exempelvis bero på otillräcklig kapacitet såväl maskinellt som personellt. Dessutom vill man ofta ej ändra programversioner som är i produktion. Testfiler kan saknas

* kan finnas och utföras parallellt med drift.

Anm

Interpretativa språk (ex vis Pascall, APL och i vissa fall Basic) kan förekomma, d v s det finns program som översättes till maskinspråk i samband med maskinbearbetning. Detta kan bl a möjliggöra att programmet stoppas mitt under pågående bearbetning och att programmet förändras varefter bearbetningen fortsätter. Uppföljningsmöjligheterna kan i vissa fall vara begränsade.

Operativsystemet

I smådatormiljön förekommer enklare operativsystem med färre styr- och kontrollfunktioner, vilket kan innebära:

* att begränsade hjälpmedel står till buds vid felsökning. Normalt finns inga automatiska minnesdumpar. I vissa fall saknas utilityprogram för listningar m m. Normalt ges ej heller automatiska avbrottsadresser som kan kopplas till programlistan.

* avsaknad av minnesskydd. Detta kan innebära att ett bearbetande program som finns i minnet förstör ett annat program vid exempelvis feladressering.

* avsaknad av kontrollfunktioner typ ”over-flow”-kontroller, paritetskontroller e t c

* avsaknad av automatiska logg- och återstartfunktioner. Dessa funktioner kan utnyttjas vid fel och avbrott i de fall omkörningar är erforderliga. Funktionerna möjliggör vanligen snabbare driftstart efter avbrott eller fel samt säkrare återställande av register.

* avsaknad av loggskrivare

* bristande eller ingen labelkontroll. Detta kan innebära att register förstörs vid uppdatering eller att fel version av register uppdateras

* avsaknad av skrivskydd på register. Detta kan innebära att registerinnehåll oavsiktligt förstörs

* begränsningar förekommer i kontrollfunktionerna vid läsning, skrivning av register etc (typ ”read-afterwrite-kontroller”)

* avsaknad av behörighetssystem eller att behörighetssystem finns men att detta ej utnyttjas på avsett vis

* begränsningar förekommer i programbibliotekshanteringen. Exempelvis kan separata bibliotek saknas för produktionsprogram och testprogram. Ej heller sparas äldre versioner av produktionsprogram

* avsaknad av ”time-out”-funktioner. Detta medför avsaknad av automatiska kontrollfunktioner:

  • vid avstängning av bildskärmsterminaler varifrån ingen bearbetning utförs

  • för avstängning vid avbrott vid t ex ”loopande program”

  • för avstängning av skrivare vid fel/slut på papper.

Bearbetningarna

Bearbetningarna:

* är ofta transaktionsstyrda (on-line-bearbetningar)

* sker vanligtvis under kontorstid

* kan utföras under nattetid utan bemanning. Detta gäller främst tunga bearbetningar såsom backup-rutiner, stora utlistningar, reorganisationer m m.

Leverantörssituationen

För främst mikrodatorsidan gäller förekomsten av ett flertal ”udda” hårdvaru- och mjukvaruleverantörer. Detta kan innebära avsaknad av totalansvar vid driftavbrott/störningar.

Sammantaget medför ovanstående

* bristande arbetsfördelning (liten bemanning) som medför:

  • sämre kontrollmöjligheter

* koncentrerad och/eller ringa ADB-kompetens (liten bemanning) som medför:

  • sämre kontrollmöjligheter

  • problem vid personalavgång, semestrar, sjukdom etc

  • problem vid driftstörningar

  • bristande insikt i säkerhetsproblematiken. Detta leder till begränsade möjligheter att inse olika riskfaktorer och vidtaga erforderliga åtgärder med anledning därav.

* okontrollerat användarutnyttjande (användarvänligheten) som medför:

  • att tillägg, ändringar eller borttag av information kan göras av härtill ej behöriga personer

  • att bearbetningar kan utföras i ”fel ordning”

  • att bearbetningar startas som får till följd att möjligheterna begränsas för andra användare att nyttja datorn

  • att bearbetningar ”glöms bort”

  • att datorn utnyttjas otillbörligt.

* kontorsmiljön en riskfaktor på grund av:

  • statisk elektricitet

  • damm, smuts etc

  • strömavbrott

  • onormala yttre miljöfaktorer som påverkar den normala kontorsmiljön, ex vis värmebölja, åskväder, luftfuktighet mm

  • avsaknaden av datahall och olika arkiveringsutrymmen ökar risken för totalkatastrof vid ex vis stöld, sabotage, brand mm

* avsaknaden av programutvecklingsmöjligheter som medför:

  • problem vid system/programfel

  • problem vid nyutveckling av system/program

  • ett ökat leverantörsberoende

* befintliga programutvecklingsmöjligheter som medför:

  • risk för okontrollerade programförändringar

  • risk för att tester utförs mot produktionsregister

  • att separat testsystem ger möjlighet att producera normala utdatadokument, vilka kan förväxlas med ”riktig” utdata.

* enklare operativsystem som:

  • ökar risken för att göra fel

  • ökar risken för att fel upptäcks på ett sent stadium

  • ökar risken för allvarliga driftavbrott

  • försvårar möjligheterna att avhjälpa driftavbrott.

* flera ”udda” leverantörer kan medföra:

  • överlevnadsproblem för leverantören som inverkar menligt på nyutveckling och underhåll

  • avsaknad av totalansvarig leverantör, vilket kan medföra problem vid driftavbrott/felsituationer.

* bearbetningar:

  • kan medföra sämre kontrollmöjligheter av den totala informationsmängden (få totalbearbetningar). Få totalbearbetningar av register, vilket är utmärkande för transaktionsstyrda bearbetningar kan också medföra att registerfel upptäcks på ett sent stadium

  • under nattetid som är obemannade medför sämre fysiskt skydd.

Ovanstående faktorer innebär bl a att väsentliga kontrollfunktioner, vilka man normalt kan förlita sig till i en stordatormiljö, saknas eller är dåligt tillgodosedda i en smådatormiljö.

Härmed avses avsaknaden av:

* arbetsfördelningen mellan drift, systemutveckling och användare

* ansvarsfördelningen mellan dataavdelning och användaravdelning

* väldefinierade standards för utveckling, drift samt dokumentation

* utvecklade kontroll- och avstämningsrutiner

* kontroller över utveckling och drift.

Hur reviderar man i smådatormiljön där kontrollfunktionerna oftast ej är helt tillfredsställande?

Det bör först klarläggas att införandet och utnyttjandet av smådatorer givetvis på intet sätt ändrar revisorns uppgifter och skyldigheter. Revisorn har att ta ställning till uppgifter avseende bolagets förvaltning, resultat och ställning samt huruvida bolagets redovisning ger en fullständig och riktig bild över de affärshändelser som inträffat.

För att göra detta måste revisorn som ett led i sin helhetsbedömning bl a granska vilka rutiner som är föremål för databehandling och bedöma dessa i relation till företagets totala verksamhet. Detta för att kunna bedöma huruvida brister i kontrollstrukturen i dess rutiner väsentligt påverkar företagets resultat och ställning.

I denna redogörelse är utgångspunkten att de granskade datorstödda rutinerna som bearbetats på smådator har en väsentlig inverkan på företagets resultat och ställning. Detta medför att revisorn måste granska dessa rutiner för att säkerställa tillförlitlighet, riktighet etc för att därigenom säkerställa om bedömningen kan baseras på systemets utdata och dess behandling. Därtill skall revisorn ha kunskap om i vilken utsträckning kompenserande kontroller finns för exempelvis bristande arbetsfördelning mm.

Vid granskning och bedömning av system/rutiner kan följande typfall urskiljas:

Typfall 1: Det granskade systemet innehåller kontrollfunktioner och producerar fortlöpande underlag/rapporter som möjliggör och utnyttjas för löpande uppföljning och styrning samt för avstämning och kontroll. I detta fall kan revisorn efter test lita på det material som producerats ur systemet och utföra erforderliga granskningsåtgärder baserat på detta material. Revisorn bör i detta sammanhang själv utnyttja datorn och datorns möjligheter för:

att granska/testa kontrollfunktioner mm i systemet. Exempelvis genom att utnyttja befintliga funktioner i systemet via terminal, utnyttjande av rapportgeneratorer, datarevisionsprogram etc

att granska registerinnehåll med hjälp av registeranalysprogram, registervårdsrutiner, rapportgeneratorer etc.

Registeranalysprogram kan med fördel utnyttjas för att framställa bedömningsunderlag exempelvis vad avser följande:

* kundfordringar:

  • Åldersanalyser

  • Periodiseringskontroller

  • Analyser av kredittider

  • Kontrollsummeringar

  • Selekteringar för saldobeskedsutsändningar efter speciella kriterier

* varulager:

  • Analyser av trögrörliga artiklar

  • ABC-analyser för inkuransbedömningar

  • Analyser av överlager

  • Analyser av artiklar som ej inventerats

  • Analyser av inventeringsdifferenser

  • Analyser av varulagrets prissättning (exempelvis beräkning av TO, MO mm samt summering av olika kalkylkomponenter DM, DL mm)

  • Kontrollsummeringar

* huvudboken:

  • Analyser av balans-, kostnads- och intäktskonton

  • Bruttovinst-/Täckningsgradsanalyser

* övriga områden

  • Nyckeltalsanalyser, exempelvis räntabilitetsanalyser på såväl eget som totalt kapital

  • Budgetjämförelser

  • Känslighetsanalyser

Typfall 2: Det granskade systemet saknar vissa erforderliga kontrollfunktioner och producerar ej kompletta underlag/rapporter som möjliggör löpande uppföljning och styrning samt avstämning och kontroll. Dock kan revisorn genom den granskning av den interna kontrollen som gjorts konstatera att inga direkta felaktigheter synes föreligga i systemet. I detta fall är huvuddelen av de åtgärder som omnämnts i typfall 1 tillämpliga för att kontrollera tillförlitligheten i systemet.

I det fall de framtagna revisionsrapporterna bekräftar tillförlitligheten i systemet kan dessa rapporter i kombination med systemets rapporter mm användas för revisorns bedömning.

I det fall de framtagna rapporterna utvisar att väsentliga avvikelser/felaktigheter föreligger får revisors granskningsmetoder baseras på de åtgärder/metoder som beskrivs under typfall 3.

Typfall 3: Det granskade systemet saknar kontrollfunktioner eller kontrollfunktioner finns men utnyttjas ej. I systemet produceras ej heller erforderlig utdata och utdata är i vissa fall ej komplett/felaktig. I detta fall kan revisorn ej förlita sig på den utdata som produceras ur systemet. Granskningen och bedömningen får i detta fall exempelvis baseras på:

* större användning av nyckeltalsanalyser. Dessa analyser kan utnyttjas för att erhålla indikationer på områden som bör bli föremål för särskild granskning. Exempel på vanliga/användbara nyckeltal:

  • omsättningshastighet för lager

  • omsättningshastighet för kundfordringar

  • likviditet

  • soliditet

  • räntabilitet mm

* en granskning och bedömning av varje balanspost för att fastställa:

  • existens (Finns tillgången/skulden fysiskt?)

  • värde (Korrekt värderade? Är korrekt del balanserad?)

  • ägande (Äger företaget tillgången?)

  • fullständighet (Är alla skulder beaktade?)

Fastställandet av balansposter kan exempelvis baseras på:

  • fysiska inventeringar

  • engagemangsbesked och avstämningar mot tredje man

  • saldobeskedsändringar

  • granskning och prickning av verifikationer exempelvis med avseende på belopp, mottagare, periodisering, förenlighet med bolagets verksamhet, kontering etc.

Självfallet bör datorn om möjligt utnyttjas för att producera kompletterande gransknings-/bedömningsunderlag, analyser etc såsom angivits under typfall 1.

Sammanfattning

Vi anser att det ej finns någon entydig metod vid granskning av mikro/mini-datorsystem utan att tillvägagångssättet får väljas beroende på en kartläggning där tekniker och arbetsfördelning hos granskade system får avgöra.

Vad vi speciellt vill peka på är att vid granskningen bör möjligheterna att använda datorn som hjälpmedel tillvaratagas i högre utsträckning men ännu väsentligare är att systemen byggs upp för att kunna stämmas av. Erfarenheterna visar att goda förutsättningar finns om vi revisorer bevakar internkontrollsynpunkter när systemen utvecklas.

Dag Hasslegren, auktoriserad revisor och Måns Lagerlöf, konsult, Öhrlings Revisionsbyrå AB