Riksskatteverkets föreskrifter om taxeringsrevision bortser från viktiga aspekter relaterade till företagens behov av informationssäkerhet, anser auktor revisor Anders Malmeby som är verksam vid Bohlins Revisionsbyrå och ledamot i FARs Databehandlingskommitté.
När taxeringslagen ändrades i slutet av 1987 innebar det bl.a. att man stadfäste två viktiga rättigheter för skattemyndigheterna, dels att tredje part kan granskas genom att uppgifter inhämtas om denne hos den reviderade och dels att ADB-register får granskas som ett led i taxeringsrevisionen.
Riksskatteverket (RSV) utfärdade hösten 1988 föreskrifter om taxeringsrevision med anledning av den nya lagstiftningen (RSFS 1988:17). Som ett komplement till föreskriften finns vidare ett av RSV utfärdat meddelande med information om förfarandet vid taxeringsrevision (Dnr G39-742-88).
Föreskrifterna har tidigare kommenterats av överdirektör Lennart Grufberg, RSV, i samband med ett reportage i Balans (10/88).
I det fortsatta kommenteras RSVs föreskrifter främst med avseende på ADB-aspekter.
Föreskrifternas tillkomst
Föreskrifterna om taxeringsrevision sändes ut på remiss den 1 juli 1988 och svarstiden löpte ut i augusti, en minst sagt anmärkningsvärt kort remisstid med tanke på den betydelse föreskrifterna har för landets bokföringsskyldiga!
FARs Databehandlingskommitté ansåg i sitt remissvar till RSV det klart olämpligt att utkastet träder i kraft utan omarbetning.
Föreskrifterna fastslogs i början av september efter vissa smärre justeringar.
Luddiga föreskrifter
Företagens tillgångsmassa har traditionellt ansetts bestå av lager, maskiner etc. En allmän mening idag är dock att även information och informationsbehandling utgör en väsentlig tillgång och blivit ett väsentligt konkurrensmedel.
Genom föreskrifternas allmänna formuleringar riskeras att vederbörlig hänsyn inte tas till den reviderades legitima behov relaterade till den ändrade synen vad gäller information som resurs.
Det är möjligt att skattemyndigheterna haft goda intentioner när man formulerade föreskrifterna och förutsatte ett visst beteende hos taxeringsrevisorerna. Så länge den praktiska tillämpningen ej är konkret kodifierad måste företagen dock förlita sig på att de enskilda tjänstemännen på skatteförvaltningarna alltid gör välinformerade och professionella bedömningar i ADB-säkerhetsfrågor vid varje taxeringsrevision!
I sammanhanget skall noteras att föreskrifterna inte innehåller några som helst sanktioner för de fall föreskrifterna ej följs. Oaktat vilken myndighet/instans som har rätt att besluta om dylika sanktioner, kan konstateras att det nuvarande skyddet för den reviderade i praktiken är obefintligt.
Taxeringsrevision av personregister
Skattemyndigheternas kontrollbehov vid taxeringsrevision avser i åtskilliga fall dataregister som är personregister i datalagens mening. I syfte att bevaka den personliga integriteten har statsmakterna beslutat att Datainspektionen utövar tillsyn för de fall taxeringsarbetet omfattar granskning av personregister med hjälp av ADB.
Datainspektionen definierade hösten 1988 de grundläggande regler som skall gälla för skattemyndigheternas arbete genom att ge ut särskilda föreskrifter. I vad mån Datainspektionen därutöver kommer att påverka utvecklingen i för de skattskyldiga positiv riktning får för närvarande anses oklart. Detta mot bakgrund av att inspektionen under senare år ej haft resurser att utöva offensiv kontrollverksamhet av någon egentlig omfattning.
Exempel på brister i RSVs föreskrifter
Nedan ges några exempel på problem- och riskområden som aktualiseras till följd av hur RSVs föreskrifter (inkl. kompletterande meddelande) utformats:
Skatterevisorn har rätt att kopiera godtyckligt register samt ta med detta till myndigheten eller annan plats för granskning. Eftersom föreskrifterna är generellt skrivna kan skatterevisorn kopiera ex.vis kalkyler, produktionsstatistik, kundregister, prisregister etc. Denna information kan vara mycket känslig ur konkurrenssynpunkt.
Kommentar:
Myndigheten skall aldrig ha rätt att föra ut registerkopia från den reviderades lokaler. Motsvarande gäller en så fullständig utskrift av ett register att detta är likvärdigt med att föra ut register.
Föreskrifterna behandlar frågan om s.k. överskottsinformation. Man har dock ej beskrivit riskerna med obehörig informationsspridning etc. och därmed ej heller tagit ställning till lämpliga motåtgärder.
Skadeståndsansvar måste åläggas myndigheten om obehörig får tillgång till information. Skattemyndigheten måste ha bevisbördan om skada inträffat, d.v.s. åläggas att visa att det inte är granskaren som orsakat skadan.
Med RSVs definition av överskottsinformation finns i praktiken inga restriktioner avseende informationsinsamling, exempelvis skatterevisorernas rätt att ta del av och i skilda sammanhang utnyttja information hos en revisions- eller advokatbyrå.
Vid användning av den reviderades tekniska hjälpmedel för ADB åligger det skatterevisorn att noga följa de säkerhetsrutiner som gäller på arbetsplatsen.
Kommentar:
Reglerna måste utökas till att omfatta vad som skall gälla vid bearbetning hos skattemyndigheten, servicebyrå o. dyl.
Den allmänna spridningen av bärbara persondatorer aktualiserar ett antal mycket viktiga säkerhetsfrågor om skatterevisorerna förses med sådana för analysarbete. Även dessa situationer måste behandlas.
RSV måste komplettera föreskrifterna med regler gällande situationer som kan uppstå i en ur säkerhetssynpunkt otillfredsställande kontrollmiljö.
Myndigheten har rätt att anlita extern konsulthjälp vid granskning med hjälp av ADB.
Kommentar:
Valet av extern konsulthjälp måste godkännas av den reviderade. Detta eftersom konkurrensförhållande och intressekonflikt kan föreligga mellan den reviderade och konsulten.
Skatterevisorn får endast använda kopior av de register som skall granskas om inte särskilda skäl säger annat. Som särskilda skäl anförs situationer när det är ”omöjligt eller alltför tidskrävande att kopiera de register som behövs”. Kopiering skall då efter överenskommelse med den reviderade kunna underlåtas.
Kommentar:
Innan skatterevisorn tar ett eventuellt beslut om att göra en bearbetning direkt mot produktionsregister, när tillstånd erhållits av den reviderade, måste skatterevisorn beakta huruvida registret är skyddat mot uppdatering via behörighetskontrollsystem och hur det reviderade företagets rutiner för säkerhetskopiering fungerar.
Vid bearbetning direkt mot produktionsregister måste frågan om vem som står risken vid en eventuell skada på lagrad information eller liknande stadgas explicit i föreskrifterna.
RSV bör komplettera föreskrifterna med vad Datainspektionen säger om taxeringsrevision av personregister, nämligen att granskaren inte får ändra, utplåna eller föra in uppgifter i det granskade registret. En dylik skrivning ställer också tekniska krav på den programvara skatterevisorn skall använda. I sammanhanget skall observeras att det i persondatormiljö i praktiken är mycket svårt att åstadkomma en ur säkerhetssynpunkt acceptabel miljö i nyss nämnda avseende.
Myndigheten har rätt att spara register eller program om de behövs för den fortsatta handläggningen. Detta kan inträffa när man ”behöver visa att ett program kan användas på ett visst sätt”.
Kommentar:
Reglerna kan innebära brott mot eventuellt nyttjanderättsavtal som föreligger mellan den reviderade och dennes leverantör. Vidare kan konflikt uppstå gentemot den upphovsrättsliga lagstiftningen.
Finns risk för att företagshemlighet (dataregister eller program) genom rutinerna vid taxeringsrevision blir offentlig handling och därigenom kan röjas, måste detta regleras på ett klart och entydigt sätt så att den reviderade ges möjlighet att skydda informationen. Den reviderade kan med hänvisning till taxeringslagen begära hos länsrätten att handling skall undantas från revision. Enligt kommentarerna till föreskrifterna definierar numera taxeringslagen begreppet handling på samma sätt som tryckfrihetsförordningen och när uppgifter lagras med hjälp av ADB stadgas att ”lagringsmediet” också blir en handling. Nyss nämnda definition torde innebära att länsrätten i praktiken ytterst sällan kan undanta en handling från revision.
Vid skattegranskning av ADB-register skall behandlingshistorik upprättas. Denna skall bl.a. innehålla förteckning över den tekniska utrustning som använts, de program och dataregister som nyttjats samt uppgift om vilka bearbetningar som gjorts.
Kommentar:
Den reviderade måste ges rätt att på begäran, innan skatterevisionen är avslutad, få del av behandlingshistoriken. Motsvarande rättighet ges i Datainspektionens föreskrift om granskning av personregister med hjälp av ADB vid taxeringsrevision (DIFS 1988:2). Motiv för denna rättighet är att det för personregister finns ett registeransvar enligt datalagen; ett motsvarande ansvar får också anses föreligga för andra typer av register inom företag.
Skatterevisionen skall bedrivas skyndsamt och så att den reviderades kostnader och olägenheter begränsas.
Kommentar:
Om den reviderade anlitar servicebyrå för sin databehandling och taxeringsrevisorn avser att nyttja datoranläggningen uppstår kostnader som den reviderade ej har kontroll över. Kostnaderna kan p.g.a. upprepade och/eller resurskrävande bearbetningar bli betydande. Kostnadsramen för granskningsarbetet bör fastställas i förväg i samråd med den reviderade. Kostnader utöver kostnadsramen skall belasta myndigheten.
Avslutning
Sammanfattningsvis kan konstateras att nuvarande föreskrifter om taxeringsrevision är oacceptabla med hänsyn till de krav den bokföringsskyldige måste kunna ställa avseende informationssäkerhet. Vidare krävs att myndighetsansvar införs vid skada. Marknadsmässiga viten i proportion till skadan skall kunna dömas ut. Föreskrifterna måste omarbetas.
Auktor revisor Anders Malmeby är verksam vid Bohlins Revisionsbyrå och ledamot i FARs Databehandlingskommitté.