Balans nr 6–7 1990

Lag och kontroll: Elektronisk informationsöverföring

Elektronisk informationsöverföring (EDI) är ett svårt och aktuellt ämne för både revisorer och företag. båda vid Bohlins, belyser lagkrav och kontrollaspekter i samband med EDI och kritiserar några av Bokföringsnämndens ställningstaganden.

Det informationsbärande mediet vid utbyte av handelsinformation har hittills i allt väsentligt varit pappersbundet. Papperet kommer i framtiden att mer och mer ersättas av kommunikation dator till dator eller om man så vill EDI (Electronic Data Interchange). En anledning till detta är företagens strävan att snabba upp informationsflödet och härigenom bl.a. minska kapitalbindningen i produktion och lager samt rent generellt sett effektivisera administrationen. Så har exempelvis de västeuropeiska biltillverkarna gått samman i det s.k. ODETTE-projektet och skapat standards vad gäller informationsöverföring avseende leveransplanering, streckkodsmärkning, fakturering etc.

Extern kommunikation dator till dator med informationsmängder av skilda slag utan redovisningsmässig betydelse vållar inga egentliga problem om man har bokföringslagen (BFL) och Bokföringsnämndens (BFN) anvisningar som utgångspunkt. Däremot kan givetvis information som i sig inte påverkar redovisningen leda till beslut som påverkar mottagande företags resultat och ställning. Skyddskraven måste därför allmänt sett ställas mycket höga innan via EDI överförd information kan hållas för god.

Lagen gäller papper

Den lagstiftning vi har i Sverige är i allt väsentligt inriktad på att avtal av skilda slag är dokumenterade på papper. I och för sig är ett avtal bindande enligt köplagen även om det endast avtalats muntligt. Svårigheter uppstår dock oftast i efterhand om frågan ställs på sin spets och det gäller att inför domstol bevisa att ett avtal föreligger. Likaså kan det med stöd av nuvarande lagstiftning sannolikt bli svårt att i en domstolsprocess få ett utslag som fastställer att ett via EDI mottaget meddelande, exempelvis en beställning, är autentisk. Lagändringar är dock på gång i Västeuropa och USA.

I Sverige tvingar de stora förändringarna av Tullverkets rutiner fram omfattande ändringar i lagstiftningen. Tulldeklarationer måste undertecknas på heder och samvete under straffansvar, vilket innebär att juristerna måste definiera vilka förändringar i lagstiftningen som måste göras för att en s.k. elektronisk signatur skall bli rättsligt bindande.

Förändringar i lagstiftning relaterad till det s.k. tulldatasystemet kommer rimligen att i tillämplig omfattning vara normgivande även i övriga sammanhang vid EDI inom Sverige.

I väntan på att lagstiftningen och dess tillämpning kommit i fatt utvecklingen inom EDI-området såväl vad gäller Sverige som internationellt, är det nödvändigt att företagen via avtal åstadkommer en juridisk acceptans för de elektroniska dokumenten för att en bindande affärstransaktion skall uppstå. I avtalet bör då även definieras enligt vilket lands lagar eventuella tvister kring avtalet och dess tolkning skall avgöras. Företag som tar emot redovisningsrelaterad information via EDI måste iaktta god redovisningssed. Detta innebär att applikationssystemet skall tillgodose:

* BFLs krav.

* Krav definierade via BFNs anvisningar och rekommendationer.

* Krav som ryms inom begreppet god intern kontroll.

Varje part i en affärsrelation ansvarar för att redovisning och därtill relaterad hantering etc. sker i enlighet med det egna landets lagar. I övrigt bör parterna via skriftliga avtal reglera väsentliga frågeställningar inom områdena kommunikation, behörighetskontroll, rättelseförfarande m.m.

Obruten kedja

En verifikation i redovisningen eller hjälpsystem till denna utgör första ledet i en kedja som utmynnar i ett årsbokslut. Lagen kräver att man utan svårighet skall kunna följa denna kedja, såväl från originalverifikation hela vägen till årsbokslutet som omvänt från årsbokslutet tillbaka till respektive enskild verifikation.

Lagras verifikationer på magnetisk media, vilket torde vara det normala för exempelvis leverantörsfakturor mottagna via EDI, får dessa ej rättas på sådant sätt att de ursprungliga registreringarna påverkas innehållsmässigt. Rättning bör därför ske via rättelseverifikation och applikationen acceptera att ursprungsregistreringen kompletteras med hänvisning till denna.

Beskrivning av tillämpat redovisningssystem krävs i princip alltid oavsett om systemet är datoriserat eller inte. För datoriserade system krävs systemdokumentation i den omfattning det behövs för att det skall vara möjligt att i efterhand utan svårighet kunna följa och kontrollera de enskilda posternas behandling och företagna bearbetningar. Det blir här fråga om krav enligt en glidande skala, från de mycket enkla system där sambandet mellan bokförd post och underliggande handlingar är ”ett till ett”, över till den andra ytterligheten med system som har en bruten verifikationskedja och där dokumentationskraven blir mycket höga.

Aldrig enkla

EDI-system är aldrig av det enkla slag att det kan bli fråga om att diskutera en minimidokumentation enligt BFL och BFNs anvisning nr 3 (beskrivning av bokföringens organisation och uppbyggnad, kontoplan m.m.). Applikationssystem enligt EDI-standards omfattar komplexa integrerade funktioner för sändning, mottagning och rättelse av affärstransaktioner mellan två juridiska parter. Till detta kommer att de standardiserade EDI-transaktionerna rimligen är skapade med utgångspunkt från uppgifter hämtade från register tillhörande ett eller flera av avsändarens applikationssystem. Uppgifter som sedan skall konverteras att passa för mottagarens applikationsmiljö.

Kraven på dokumentation gällande EDI-system måste sättas mycket högt. Detta gäller då inte enbart för de direkt EDI-relaterade delarna utan även för de applikationssystem som hanterar informationen hos avsändare och mottagare.

Behandlingshistoriken består enligt utvecklad praxis av två delar där den första delen är en referens in i systemdokumentationen kompletterad med ett datum för när den i dokumentationen beskrivna programversionen togs i produktion. Den andra delen av historiken består av en dokumentation av förändringar i det tabellverk via vilka ”alla” moderna redovisningsrelaterade system styrs.

I BFN 3 har nämnden definierat begreppet behandlingshistorik som ”dokument som innehåller uppgifter om genomförda bearbetningar”. I övrigt exemplifierar nämnden, med hänvisning till förarbeten till BFL, med bl.a. ”loggutskrifter. körjournaler, utskrifter av avstämningstotaler ...”. En behandlingshistorik av detta slag är otidsenlig och ej i enlighet med gällande praxis.

Vanlig läsbar form

I BFL talar man i arkiveringshänseende om ”material i vanlig läsbar form”. Med detta avses egentligen papper. Generellt sett kan man säga att lagstiftningen utgår från papper som lagringsmedia medan man vid användande av annat lagringsmedia har gjort begränsningar.

I BFNs uttalande U 89:2 anges hur bokföringsskyldiga som mottager leverantörsfakturor via EDI skall agera. I uttalandet hänvisar man till BFL 10 §, i vilken bl.a. stadgas att verifikationer och grundbokföring inte samtidigt får bestå av registreringar på magnetmedium. Vidare hänvisas till 5 § vari stadgas ”att den bokföringsskyldige som verifikation i första hand skall använda handling som han mottagit i samband med affärshändelsen”. I den vidare skrivningen accepterar man att fakturor överförs på elektronisk väg men anger som en förutsättning att systemet innehåller kontrollfunktioner som ger garantier för att inte informationen förvrängs under överföringen. Kontrollfunktionerna skall enligt anvisningen vara dokumenterade hos såväl avsändare som mottagare och ingå i systemdokumentationen. Genomförda bearbetningar skall framgå av behandlingshistoriken hos både fakturaavsändare och fakturamottagare. Om fakturamottagaren registrerar sin grundbokföring på magnetmedia innebär enligt nämnden bestämmelserna i BFL 10 § att fakturan måste skrivas ut så snart den finns tillgänglig i mottagarens datorsystem.

BFN har blandat ihop begreppen när man kopplar samman krav på utskrift av fakturorna, när dessa finns tillgängliga i mottagarens datorsystem, med om mottagaren registrerar sin grundbokföring på magnetmedium. Enligt 10 § kan verifikationer, bokföringsböcker och annat räkenskapsmaterial utgöras av registreringar på magnetiskt media. Dvs det är fråga om att registrera och arkivera material på magnetiskt media, varför det är fel av nämnden att knyta det hela till själva registreringsmomentet. Av detta följer att det får anses överensstämma med BFL om en bokföringsskyldig väljer att lagra sina via EDI mottagna fakturor på magnetiskt media samt därefter alltid skriva ut grundbokföringen på papper eller film som kan läsas med förstoringshjälpmedel.

Dokumentation hos båda

En komplikation relaterad till BFNs skrivning är att man kräver att de kontrollfunktioner som används skall vara dokumenterade hos såväl avsändare som mottagare och ingå i systemdokumentationen. Vidare skall genomförda bearbetningar framgå av behandlingshistoriken hos bägge parter.

BFNs hittillsvarande ställningstagande innebär om man ser strängt formellt på saken att en svensk bokföringsskyldig inte får ta emot redovisningsrelaterad information från utländska motparter via EDI. Detta eftersom dessa företag inte lyder under svensk lagstiftning och därför ej kan tvingas att ha en systemdokumentation och behandlingshistorik i enlighet med BFL 7 § respektive BFN 3. Rent teoretiskt skulle ett svenskt företag avtalsvägen kunna reglera dessa frågor med en motpart. Detta torde dock inte med säkerhet tillfredsställa myndigheternas krav då de inte har någon möjlighet att kontrollera efterlevnaden.

BFN har i sitt uttalande BFN U89:8 bland annat sagt att en bokföringsskyldig inte får bearbeta sina redovisningsrelaterade rutiner på en dator utomlands. BFN har inget som helst stöd för denna uppfattning vare sig i BFL eller i dess förarbeten. Mot bakgrund av detta uttalande kan ifrågasättas om BFN i förlängningen via ett uttalande om EDI kan tänkas stödja utvecklingen av informationsutbyte över landets gränser.

Allt räkenskapsmaterial skall bevaras i ordnat skick och på ett betryggande sätt inom landet under minst tio år från utgången av det år då räkenskapsåret avslutades. Denna arkiveringsplikt gäller även för avtal och andra handlingar av särskild betydelse för att belysa rörelsens ekonomiska förhållanden. EDI-avtal torde obetingat falla i denna kategori, vilket innebär att de skall arkiveras i dryga tio år efter det att de upphört att gälla.

Räkenskapsmaterial som lagrats på magnetiskt media måste kunna skrivas ut på papper under hela den tioåriga arkiveringstiden.

Intern kontroll kräver utskrift

De interna kontrollkraven är applicerbara på ett företags hela affärsinriktade och förvaltande verksamhet. Ett order-, lager- och faktureringssystem omfattas därför i hela sin vidd från offertgivning via produktionsplanering osv. till fakturering och dess integrering i redovisningen. Företag som exempelvis använder EDI för sin orderhantering måste därför ställa höga krav på kontroll och säkerhet i hela ordersystemet och dess kringmiljö i form av utrustning, behörighetskontrollsystem, systemutvecklingsprinciper och standards, arbetsfördelning mellan användare och ADB-funktioner, avstämningsrutiner osv.

F.n. finns inte någon för praktisk hantering tillgänglig teknik som gör att de interna kontrollkraven kan uppfyllas med mindre än att man i slutskedet av hanteringen skriver ut informationen och granskar densamma. En granskning som kan avse hela materialet eller göras stickprovsmässigt, allt beroende av hur intern kontrollstrukturen i övrigt ser ut. Det i detta skede av hanteringskedjan utskrivna materialet bör vara det som ur bokföringssynpunkt har det högsta bevisvärdet om det under arbetets gång kompletterats med konteringsinformation och elektroniska attester. Materialet bör för övrigt kunna ersätta den utskrift som BFN påfordrar enligt sitt uttalande U89:2.

I begreppet god intern kontroll inkluderas att den bokföringsskyldige har väl genomarbetade avstämningsrutiner som säkerställer att redovisningen återspeglar de faktiska förhållandena. Erfarenheten talar för att när helst ett företag dubbellagrar information så får man förr eller senare differenser informationsmängderna emellan. Detsamma gäller givetvis för de fall två företag parallellagrar information. Detta innebär att företagen alltid måste skapa rutiner som säkerställer att uppkommande differenser upptäcks och korrigeras inom med hänsyn till omständigheterna rimlig tid.

Avstämningsrutinerna skall redovisas i systemdokumentationen.

Sammanfattning

Företag som avser att använda EDI måste:

* Sluta juridiskt bindande avtal med sina motparter. I avtalen skall definieras vem som bär risken vid olika typer av fel, enligt vilka regler skadestånd skall kunna utdömas osv.

* Säkerställa att en god intern kontroll kan upprätthållas inom alla delar av organisationen inklusive de EDI-relaterade rutinerna.

* Uppfylla kraven enligt BFL och BFNs rekommendationer, anvisningar och uttalanden, i tillämplig omfattning.

Företagsledningen bör engagera sig i arbetet och i detta sammanhang diskutera problematiken med sina externrevisorer. Allt för att få en lösning som dels är i överensstämmelse med företagets långsiktiga strategi, dels fyller kraven enligt god redovisningssed.

ADB-revisor Ingemar Glans och auktor revisor Anders Malmeby