PC-nätverk och världsomspännande elektroniska postsystem ökar riskerna för megabrott. Allt öppnare datasystem gör riskerna större eftersom det som alltid är tillfället som gör tjuven. Bl. a. detta konstaterades vid en paneldebatt om megabrott i samband med FAR-dagen i Sollentuna.
– Megabrott har en särskild kvalitativ aspekt, säger FARs generalsekreterare Björn Markland. Därför finns det anledning att separatbehandla dem. Megabrott utförs med avancerade ståndsmässiga metoder. De har en strukturell egenart. De utförs inte av vem som helst utan av människor i speciella positioner, allt från hackers till konsulter och företagsledare. Det måste inte alltid handla om pengar som försvinner. Det kan också vara så att redovisningen är grovt felaktig.
Ivan Ekebrink, med 40 år i bank som datachef, revisionschef och risk manager, som efter en mycket kort pensionärstid etablerat sig som säkerhetskonsult, ser megabrotten som enstaka företeelser i Sverige.
Peter Smedman, VD för Ackordscentralen i Stockholm, möter, som någon sa, många ”företag som sjunger falskt på sista versen”:
– Megabrotten är svåra att upptäcka, säger han. De är också besvärliga för polis och åklagare att hantera. Många brott blir förmodligen aldrig upptäckta. Polisens instrument är alltför trubbiga.
Därmed avses ej batonger.
– Nej, det är beklagligt att det inte finns tillräckliga resurser att sätta in.
Dyster framtid
Auktor revisor Tommy Mårtensson, Arthur Andersen & Co, Stockholm, som är ordförande i FARs databehandlingskommitté, säger:
– Jag tror att man måste se ganska dystert på framtiden. Datasystemen blir mer avancerade men samtidigt lättare att hantera. Öppenheten ökar. Intressant är var i systemen som brottsligheten äger rum. I 66 procent av fallen sker den på inputsidan till datorn. Man lägger in för höga fakturor, gör en utbetalning till sig själv eller levererar varor till en god vän. Dessa faror kräver att våra klienter har bra intern kontroll.
Tommy Mårtensson berättar också att internkontrollen fångar 55 procent av de upptäckta brotten. Internrevisorerna upptäcker 15 procent och de externa revisorerna två procent.
Björn Markland:
– De flesta databrott tycks inte direkt ha med själva datamaskinen att göra. Det är snarare så att man förfalskar material. Och detta upptäcks på samma sätt som förskingringar alltid har upptäckts. Den fascinerande bilden av den skicklige programmeraren som databrottsling tycks inte stämma.
Ivan Ekebrink:
– Nej, men det kommer. Ta t.ex. mobiltelefonen. Den är en radiosändare. Man kan lyssna på den med hjälp av en enkel radioapparat. I telefonsystemet finns något som heter medkoppling. En stor del av dagens internkontroll bygger på att kontrollringa per telefon. Man vet inte att man kanske hamnar på en mobiltelefon på en skärgårdsö. Ett litet skrämskott bara.
Men vad krävs nu rent tekniskt för att ett företag ska bli platsen för ett megabrott?
– Internkontrollen måste vara dålig, säger Tommy Mårtensson. Detta i förening med användarvänliga system, ökade ADB-kunskaper och ett allmänt konstant penningbegär gör att det som vanligt blir tillfällena som gör tjuven. På företagen talas det ofta om behörighetskontrollsystem, lösenord m.m. Men dessa rutiner tillämpas inte fullt ut. Vi revisorer bör lägga ner ännu mera jobb på att titta på de preventiva kontrollerna och inte bara göra detektiva kontroller och avstämningskontroller i efterhand.
Nätverk och elektronisk post
– Riskerna är stora när man bygger ut olika system, säger Ivan Ekebrink. PC-nätverken sprider sig i cirklar, meddelandehanteringssystemen fungerar över hela världen. Man glömmer att göra en riktig sårbarhetsanalys när sådana här ringar av system kopplas ihop.
Ivan Ekebrink fortsätter:
– Tyvärr finns det inga i bruk varande bra behörighetskontrollsystem. Ska de fungera krävs regler och administration. Revisorn måste kolla hur företaget använder behörighetskontrollsystemet, hur reglerna och avrapporteringen ser ut, hur man behandlar avvikelser från reglerna.
Tommy Mårtensson:
– De flesta företag har lösenordssystem. Det är en parallell till den gamla varianten att fru Larsson ska godkänna, fru Nilsson ska attestera. Men när det hela går på data slutar man ofta fundera på vem som gör vad. Datorsystemen blir öppnare och farligare.
Björn Markland:
– Finns det anledning att oroa sig mer ju längre upp i företagshierarkin som datorskärmarna sprider sig?
– Ja, det är berättigat, säger Peter Smedman. Hos oss finns ett nätverk. Om alla inte kan hantera det uppstår störningar. Kontrollfunktioner finns inlagda men de upplevs som krångliga. Plockar man bort dem fungerar datoranläggningen bättre. Man bör titta noga på de här problemen, inte minst uppåt i hierarkin.
Ivan Ekebrink:
– Förr i tiden gick datafolket i vita rockar bakom murade väggar med en lucka i. Fullt funktionsansvar låg innanför murarna. Då var det datorn man skyddade. Nu har man sparkat ner väggarna men luckan finns kvar – oskyddad. Här måste finnas behörighetsregler, annars blir datasystemet ett såll.
Då uppstår lätt tillfället som gör tjuven: Hoppsan, var det inte svårare att komma över tio miljoner. Då sticker jag till Schweiz i eftermiddag.
Finansdelen glöms bort?
Björn Markland:
– En hypotes jag har är att ledningen i företag med god likviditet lätt glömmer finansdelen och omsorgen om administrationen.
Auktor revisor Ivar Verner, ansvarig för konsultverksamheten på Reveko i Stockholm, säger:
– Tyvärr vet företagsledningen inte alltid hur den finansiella ställningen i företaget ser ut. Knyter man ihop datasidan med de finansiella instrumenten finns risken att man tappar kontrollen över den finansiella sidan.
Ivan Ekebrink betonar att både etiken och ärligheten i Sverige är på nedåtgående:
– På tolv månader har jag fått kännedom om förskingringar för över en miljard. Jag har bekanta som blivit ihjälslagna. Folk på kontorsnivå har blivit nedstuckna av folk som kommit för att stjäla plånböcker. Sverige är nere vid ett lågvattenmärke. Moralförändringen är densamma vid megabrott.
Björn Markland:
– Ska vi revisorer bereda oss för att förutsättningslöst ompröva vår roll om omvärlden ser ut att föranleda det? Den nuvarande principen är ju att vi inte har som primärt ansvar att upptäcka förskingringar. Det är bara en gängse missuppfattning att revisorerna har ett ansvar som juridiskt tillkommer företagsledningen. Ska vi ompröva detta?
Ivar Verner:
– Jag har kurser för styrelseledamöter där jag visar over-head-bilder på vad styrelse och VD har att tänka på. Det blir många bleka ansikten och aha-upplevelser hos styrelseledamöterna. Själv är jag beredd att diskutera inställningen till revisorns ansvar i det här sammanhanget.
Peter Smedman:
– En förändrad inställning kan kanske behövas i de stora företagen med spritt ägande. Jag tror att tiderna har förändrats.
Ny attityd till företagsledare?
Björn Markland funderar över revisorernas möjligheter att upptäcka megabrott:
– Hur är det med revisorernas mentala beredskap inför lögner. En utländsk journalist berättade för mig att svenska revisorer och företagsledare är bra på att ifrågasätta riktigheten i det som normala företagsledare säger. Men hon sa också att de saknar mental beredskap att stå öga mot öga med en person som ljuger dem rakt upp i ansiktet. Vi yrkesrevisorer vet ju att det dagliga umgänget med klienterna till 99 procent präglas av ömsesidigt förtroende. Vi utgår från att vi får korrekt information. Måste vi ändra på vår attityd till företagsledarna?
Ivan Ekebrink:
– Jag vet inte. En del saker är bara sånt som händer, t.ex. att VD har skrivit hemliga avtal som plötsligt, i pressade situationer, dyker upp ur byrålådorna. Sånt är svårt att hitta under löpande revision till och med om man skulle ha haft misstankar.
Ivar Verner menar dock att vi troligen inte har så mycket megabrott i Sverige. Men det är viktigt att vidta preventiva åtgärder.
Björn Markland säger till sist:
– Den gemensamma uppfattningen tycks vara att sättet att komma åt megabrott inte skiljer sig fundamentalt från revisorns övriga arbete. Våra hjälpmedel måste kanske användas på ett lite mera genomplanerat sätt. Det finns knappast något som talar för någon radikal förändring av den klassiska revisorsrollen bara för att vi börjar oroa oss för megabrott. Men en vidareutveckling av oberoendet och teknikkunnandet tycks vara på sin plats.
Inge Wennberg