ADB-utvecklingen förändrar på flera avgörande sätt miljön i vilken revisionen bedrivs. Detta innebär att revisorerna fortlöpande behöver informera sig om utvecklingen inom ADB-området och anpassa revisionsmetoderna till den datoriserade företagsmiljön.
Lars Dykert vid Bohlins Revisionsbyrå AB skisserar i denna artikel några utvecklingstrender i företagens ADB-användning och redogör för ett antal aktuella aktiviteter som databehandlingskommittén driver.
Några intressanta aspekter av den snabba datoriseringen i företagen är smådatorernas genombrott som hjälpmedel vid ekonomistyrning och den ökade användningen av datakommunikation, speciellt vid stora företag.
Detta nummer av Balans ägnas åt att belysa olika områden av företagens användning av ADB såsom upphandling och installation av utrustning och system, säkerhetsfrågor, anlitande av servicebyrå, avtals- och försäkringsfrågor i samband med utveckling och drift av ADB-system. Flera av dessa artiklar är skrivna av företrädare för ADB-professionen. Det är viktigt att revisorer har ett ökat erfarenhetsutbyte med ADB-specialister. Några artiklar behandlar också granskning av intern kontroll i ADB-verksamhet och ADB-system och även revisorernas egen användning av datortekniken i granskningsarbetet. Artiklarna vänder sig mer till ”de allmänpraktiserande revisorerna” än till specialister på ADB-revision. Generalisten, den ansvarige revisorn, har nu ingen återvändo. För att kunna rätt planera och prioritera granskningsinsatserna måste revisorn veta vad datorer används till och hur de kan användas i revisionen. Attityden ”jag kan inget om ADB, det där lämnar jag till specialisterna” är inte hållbar längre. Revisorn behöver själv orientera sig om ADB-utvecklingen för att rikta in revisionsinsatserna på väsentliga och riskabla områden i företagens verksamhet.
Smådatorerna
Ingen revisor torde de senaste åren ha undgått att lägga märke till den ökande användningen av mikrodatorer/-persondatorer i både små och stora företag. I de små företagen är smådatorsystemen tillräckligt kraftfulla för att hantera de begränsade transaktionsvolymerna i ”smör och bröd-rutiner” som orderbehandling, fakturering, lager, kundreskontra o s v. I de stora företagen blir smådatorerna alltmer vanliga som personliga arbetsverktyg på skrivbordet, för exempelvis controllers och ekonomichefer. Vanliga användningsområden är kalkylering, budgetarbete och koncernredovisning.
Kraftfulla högnivåspråk och s k planeringsspråk möjliggör användning av expertkunnande i ekonomi vid datorn utan att något djupare kunnande i ADB erfordras. Prognoser och känslighetsanalyser kan göras, som kan vara mycket betydelsefulla som beslutsunderlag vad gäller affärs- och produktinriktning. Krav på hantering av litet större informationsmängder ger automatiskt krav på ökat minnesutrymme och kommunikationsmöjligheter med den lagrade informationen i mini- och stordatorsystem. Vi är därmed inne på ytterligare en intressant utvecklingstrend, nämligen ökad användning av datakommunikation.
Datakommunikation
Tekniken datakommunikation innebär kort uttryckt att användare på olika geografiska platser via terminaler och smådatorer kan få tillgång till programbibliotek och register/databaser som ligger lagrade i andra datorsystem, exempelvis i ett stordatorsystem vid ett moderbolag eller vid en servicebyrå. Kommunikationen sker via uppringda eller fasta linjer som hyrs av Televerket. Sedan några år tillbaka finns i Sverige ett allmänt datanät, DATEX, speciellt avsett för överföring av stora mängder data och text. Självfallet ökar detta användningen av datakommunikation. Även datakommunikationen över Sveriges gränser ökar i snabb takt beroende på att allt fler företag, även småföretag, bedriver internationell verksamhet.
Ökad sårbarhet i verksamheten
Den tidigare beskrivna utvecklingen mot ökad lagring och användning av information med hjälp av smådatorer och datakommunikation med mini- och stordatorsystem är naturligtvis övervägande positiv för företagen.
För att vara konkurrenskraftiga inte minst på våra exportmarknader, måste de svenska företagen snabbt och effektivt kunna hantera order, leveranser, fakturering, kundfordringar och övrig ekonomisk information med hjälp av datoriserade rutiner.
Vid en snabb och omfattande datorisering kan dock ett beroende av datortekniken uppstå, en sårbarhet som ibland alltför sent uppmärksammas av företagsledningen. Genom utbredd användning av datorbaserade system kan många företag bli känsliga för störningar i driften av ADB-systemen som avbrott, fel, förseningar eller obehörig åtkomst till informationen. Dessa risker har på senare tid uppmärksammats av företagen och även inom den offentliga sektorn. Den statliga sårbarhetskommittén konstaterade 1979 att ”sårbarheten är oacceptabelt hög i dagens genomdatoriserade samhälle”. Den efterföljande sårbarhetsberedningen (SÅRB) som tillsattes av regeringen 1981 har i samarbete med Riksdataförbundet utvecklat en metod för analys av sårbarheten i företag och myndigheter beroende på datorisering. Metoden, den s k SBA-metoden, presenterades i september 1983 och har redan använts praktiskt i ett stort antal företag. Sårbarhetsanalysen sker på ett strukturerat och metodiskt sätt. Till att börja med undersöker ledningen om företaget är beroende av ADB-stöd i vitala verksamheter som tillverkning och distribution av varor. Är så fallet sker en fördjupad analys av sårbarheten i olika datoriserade system. Analysen leder till en handlingsplan för åtgärder för att förbättra funktionssäkerheten i den ADB-beroende verksamheten och därmed reducera sårbarheten. SBA-metoden har också rönt intresse från andra länder och översätts för närvarande till norska, finska och engelska.
Revisorskåren och datortekniken
Utbildning
Som nämndes inledningsvis är det viktigt att den ansvarige revisorn – generalisten är tillräckligt väl insatt i ADB-frågor för att kunna rätt prioritera granskningsinsatser och styra och bedöma specialisternas arbete.
FARs utbildningskommitté har därför i samarbete med databehandlingskommittén gjort en översyn av IREVs grund- och påbyggnadsutbildning i revision. Översynen har lett till att träning i användning av mikrodatorer nu ingår i grundutbildningen. I utbildningen ingår övningar i användning av rapportgeneratorer och registeranalys. Ett antal specialkurser i ADB ingår numera även i kursutbudet från IREV för revisorer som tidigare genomgått grundutbildningen i revision. Bland dessa kurser kan nämnas ”Känna på datorn”, som ger grundläggande kunskap om hur en smådator fungerar. Kursen ”Mikrodatorn – revisionsproblem och hjälpmedel” syftar till att ge kunskap om hur revisionen påverkas av mikrodatorsystemen. Vidare har minidatorskursen omarbetats och uppdaterats med hänsyn till utvecklingen inom detta område. Den del av kursen som behandlar datorstödda revisionsmetoder har utökats. Liksom tidigare är ledamöter från databehandlingskommittén lärare vid kursen. Hösten 1984 anordnar IREV en konferens om SBA-metodens användning i praktiken, som särskilt vänder sig till externa och interna revisorer.
Metodutveckling
FARs databehandlingskommitté driver ett antal projekt för att förbättra och anpassa revisionsmetoderna med hänsyn till ADB-utvecklingen. Några av dessa projekt drivs i samarbete med revisions- och utbildningskommittéerna och ett projekt som gäller förbättrade metoder för intern kontroll och säkerhet vid användning av ADB drivs i samarbete med Svenska Dataföreningen och Institutet för Intern Revision. Bland pågående projekt kan nämnas utarbetande av nya bedömningsformulär för granskning av administrativa kontroller, kartläggning av behörighetssystem för smådatorer samt analys av ADB-verksamhet med hjälp av nyckeltal. Resultaten av projekten publiceras i form av separata rapporter och arbetshjälpmedel och presenteras även i Balans. Vidare pågår i samarbete med revisionskommittén utarbetande av uttalande (eventuellt förslag till rekommendation) om intern kontroll och revision vid ADB. I samband med planering av granskningsinsatser bör revisorn förfoga över en ”åtgärdsbank” i form av olika revisionstekniker lämpliga att använda vid granskning av intern kontroll och substansgranskning. I detta sammanhang kan nämnas att vid FAR pågår utarbetande av två revisionsböcker som kommer att ersätta det nuvarande kompendiet i revisionsteknik. I en av dessa böcker kommer att ingå en åtgärdsbank som bland annat avser metoder och tekniker för datorstödd revision. Databehandlingskommittén medverkar vid utformning av denna del av åtgärdsbanken.
En blick framåt
Under 1970-talet utgjorde granskning av den interna kontrollen en betydande del av revisorns arbete för att kunna bedöma redovisningens tillförlitlighet. Vissa drag i ADB-utvecklingen, som tidigare berörts, såsom användning av mikrodatorsystem där användarna själva programmerar samt omfattande åtkomst till centrala databaser och register, innebär en ökad riskexponering i systemen. Företagens interna kontrollsystem riskerar att försvagas. Denna utveckling innebär att revisorn i praktiken i vissa företag kan finna ganska få nyckelkontroller i systemen. Konsekvensen för revisorn blir att en ökad substansgranskning måste tillgripas, d v s granskning av redovisningens innehåll såsom faktiska affärshändelser, kontoanalyser, budgetutfall, nyckeltal o s v. Genom utveckling av metoderna för datorstödd revision kan revisorn med hjälp av egna program för registeranalyser, nyckeltalsberäkningar och framtagande av saldoförfrågningar på ett oberoende sätt effektivt granska redovisningens innehåll. Lätta portabla datorer finns redan utvecklade. Med hjälp av dessa kan revisorn dels kommunicera med klientens lagrade information, dels ute hos klienten kommunicera med den egna lagrade informationen i datorsystemet på revisionsbyrån. Med den här typen av datorstödd revisionsteknik kan revisorn också förfoga över ett referensbibliotek i en databas som omfattar exempelvis aktiebolagslagen, bokföringslagen med anvisningar och tillämpningsfall o s v.
Inom inte alltför många år kommer förmodligen de tunga portföljer och väskor som dagens revisorsassistenter släpar på att vara ett minne blott – förutsatt att revisorskåren antar den utmaning som datortekniken representerar. Avslutningsvis bör också framhållas att revisorer med ett ökat ADB-kunnande har möjligheter att ge konstruktiva synpunkter till programvaruleverantörer vad gäller systemens utformning från kontroll- och säkerhetssynpunkt. Revisorer med goda allmänna ADB-kunskaper är också bättre rustade att fungera som diskussionspartners och rådgivare till företagsledningen vad gäller områden som anskaffning av utrustning och programvara samt säkerhets- och sårbarhetsfrågor. Denna form av rådgivning är ofta behövlig i mindre och medelstora företag.
Lars Dykert, Bohlins Revisionsbyrå AB och ordförande i FARs databehandlingskommitté