De alltmer komplicerade datorsystemen ökar sårbarheten. Samtidigt pressar klienterna sina revisionskostnader. Systemgranskning har därför fått större betydelse för att begränsa det manuella arbetet utan att göra avkall på säkerhet och tillförlitlighet.
Klienterna har blivit mer kostnadsmedvetna när det gäller revisionen. Därför blir det allt viktigare att göra revisionen mer effektiv utan att för den skull göra avkall på säkerheten och tillförlitligheten i granskningen.
Efterfrågan på revisorns tjänster i form av råd, förslag och konsultinsatser utanför den vanliga revisionen har även ökat och blivit ett viktigt konkurrensmedel för byråerna.
En åtgärd för att möta den tekniska utvecklingen och klienternas ökade krav är den del av ADB-revisionen som kallas systemgranskning.
Här beskrivs ett förslag till angreppssätt.
Planera det som ska granskas
För att göra en effektiv revision måste revisorerna noggrant planera vad som ska granskas. Därför skaffar vi oss kunskap om företagets verksamhet, organisation, konkurrenssituation etc.
I det här första skedet måste vi också samla in viss grundläggande information om rutiner och datasystem av väsentlig betydelse för företaget.
Informationen om ADB-systemet kan aldrig ersätta den information revisorn införskaffat om företagets verksamhet. Men sammantagna är dessa två informationskällor mycket värdefulla, när revisionen planeras och genomförs.
Analysera riskområden
Därefter gör vi en riskanalys. Syftet är dels att få en överblick över datasystemen, dels att få den information som krävs för att identifiera de områden där det finns en hög risk för väsentliga fel i redovisningen eller andra svagheter som kan återverka på årsredovisningen. Dessutom talar den här grundläggande granskningen om vilka kontroller som omgärdar datasystemet i stort. Det ger en bra grund för att bedöma förvaltningen av bolaget och dess tillgångar.
Det första steget i analysen är att översiktligt kartlägga bolagets olika redovisningssystem och sambandet mellan dem. Dessutom tas information fram om de olika delsystemens koppling till balans- och resultaträkningarna.
Ännu en viktig faktor vid bedömningen är givetvis antalet transaktioner som bearbetas i respektive delsystem.
Denna information är ett bra underlag när den ansvarige revisorn ska bedöma om system- respektive substansbaserad granskning bör genomföras. Viss information inhämtas även om företagets driftsmiljö. De uppgifterna är en förutsättning för att en eventuell substansgranskning, exempelvis med hjälp av registeranalys, ska kunna genomföras.
Utvärdera generella kontroller
Det andra steget i den inledande riskanalysen består i att översiktligt bedöma de generella kontrollerna. Dessa är främst inriktade på ADB-säkerheten i stort och berör styrning, kontroll och säkerhet inom tre övergripande områden: organisation av ADB-verksamheten, systemutveckling och underhåll samt datordrift. (Se vidare FARs bok Revision II.)
Exempel på områden som behandlas är ansvarsfrågor för datasäkerhetsarbete i stort, säkerhetsrutiner vid system- och programunderhåll samt systemutveckling. Säkerhetsrutinerna kring datordrift, åtkomstskydd, program och register samt andra rutiner för att säkerställa en störningsfri databehandling gås också igenom.
Grundläggande för intern kontroll
Vikten av att granska de grundläggande säkerhetsfunktionerna kan inte nog understrykas. För en klient med ett redovisningssystem på dator, oavsett systemets storlek, är de generella kontrollerna själva den grundläggande förutsättningen för en god intern kontroll. Saknas t.ex. en säker rutin för backup kan det få ödesdigra följder vid ett fel av något slag. Det gör i sin tur att de rutinorienterade kontrollerna, hur väl de än utförs, kan sättas ur spel om de generella kontrollerna är svaga.
I Danmark har man utarbetat en ny rekommendation om god revisionssed i företag med redovisningen på dator. Syftet är att möta de risker som den ökade datoriseringen medför. Enligt rekommendationen ska revisorn i sitt arbete ta ställning till risker och möjligheter i ADB-systemet och de generella kontroller som omger detta. Även FARs rekommendationer om god revisionssed håller på att arbetas om för att de bättre ska svara upp mot den datormiljö som de flesta av våra klienter har i dag.
Bokföringslagen säger att systemdokumentation och behandlingshistorik till viss del är verifikationsmaterial. Det medför i sig ett ökat krav på kontroll för oss revisorer. Bokföringsnämndens rekommendation om gemensam verifikation vid likartade affärshändelser kan vid större och invecklade redovisningssystem även leda till att en systemgranskning måste göras.
Analysen högst en dag
Den översiktliga riskanalysen görs som sagt i början av granskningen. För att öka effektiviteten är analysen utformad så att den inte ska ta mer än en dag i anspråk. För mindre klienter går det förstås åt mindre tid. Analysen ska ju alltid vara inriktad på att säkerställa endast en miniminivå för säkerhet och tillförlitlighet.
För en mindre eller medelstor klient med bara ett standardsystem på PC eller minidator kan analysen göras av en allmänpraktiserande revisor efter viss ADB-utbildning. Vid större installationer och i de fall anpassade eller egenutvecklade program används krävs dock specialistkunskap som hos en ADB-revisor för att se på tillförlitligheten i kontrollerna.
Besked om problemen
För att utvärdera den översiktliga riskanalysen diskuteras den information som kommit fram av ansvariga revisorer på uppdraget och utsedd ADB-revisor. Områden som ändrats väsentligt sedan förra granskningstillfället identifieras, liksom också andra områden där risk finns för fel och onormala transaktioner.
I en del fall kan det även vara bra att presentera analysen för klienten. Analysen ger ju på ett överskådligt sätt besked om problemens och riskernas struktur i bolaget – något som kanske inte tidigare utretts av klienten. Då får klienten möjlighet att be om ytterligare kartläggningar och utredningar utöver den ordinarie revisionen.
Granskning av delsystem
Mot bakgrund av slutsatserna från den övergripande analysen av väsentlighet och risk kan sedan delsystem väljas ut för fortsatt granskning.
Att granska delsystem innebär givetvis en mer ingående insats. Här är det bra att ha en ADB-revisor med. I enklare fall kan ADB-revisorn fungera som handledare, men när systemen är komplicerade bör ADB-revisorn även göra själva granskningen.
När ett delsystem granskats skrivs en PM som pekar på brister, iakttagelser och slutsatser och som talar om vad som bör göras. Grundaktsdokumentationen uppdateras med flödesscheman och kommentarer för att beskriva de olika systemkomponenterna.
Huvudmålet när delsystem granskas är att ta fram ett förslag till vidare granskning. Förslaget talar om varför och i vilka proportioner substans-, analytisk alternativt ytterligare systemgranskning bör utföras. Rekommendationer görs även beträffande vilka områden som kräver detaljgranskningsprogram.
Effektivare med registeranalys
Ett av de hjälpmedel som revisorer kan använda för att göra revisionen mer effektiv är registeranalys. Det är ett naturligt led i granskningen av system att undersöka om registeranalys kan utnyttjas och i så fall på vilka områden.
Utifrån systemgransknings-PM, framtagna förslag och rekommendationer kan sedan ansvarig revisor och utsedd ADB-revisor tillsammans göra ett program för detaljgranskning som följer de iakttagelser som gjorts vid systemgranskningen.
Anna-Clara af Ekenstam, Öhrlings Reveko
Granskningen steg för steg
Fas 1 – Den översiktliga riskanalysen genomförs för att skapa ett effektivt beslutsunderlag för den fortsatta uppdragsplaneringen.
Delmoment 1 – Granskningen inleds med en kartläggning av sambandet mellan bolagets olika delsystem. Detta granskningsmoment dokumenteras som ett flödesschema.
Delmoment 2 – Att i matrisform dokumentera delsystemens påverkan på posterna balans- och resultaträkning.
Delmoment 3 – Översiktlig dokumentation av volymer för de huvudtransaktioner som bearbetas i olika delsystem för att bedöma om systembaserad respektive substansbaserad granskning bör utföras.
Delmoment 4 – Kartläggning av bolagets hårdvaruinstallationer och program.
Delmoment 5 – Översiktlig bedömning av generella kontroller för att bedöma om grundförutsättningarna för en god intern kontroll finns i bolaget.
Delmoment 6 – Utvärdering.
Fas 2 – Utifrån den översiktliga riskanalysen beslutas i vilken omfattning och för vilka delsystem den interna kontrollen ska kartläggas och bedömas. Granskningen utgår från de väsentlighets- och riskkriterier som kommit fram vid den översiktliga riskanalysen.
Delmoment 1 – Allmän information om delsystemet, exempelvis kortfattade beskrivningar av vad systemet används till.
Delmoment 2 – Ett översiktligt flödesschema som visar de väsentligaste indata-transaktionerna, vilka register som används i bearbetningen samt vilka utdata som produceras och vilka kontroller som görs.
Delmoment 3 – Behörighetssystem jämförs med arbets/ansvarsfördelning. På så sätt fastställs graden av ändamålsenlighet och tillförlitlighet i behörighetssystemet.
Delmoment 4 – Kartläggning och bedömning av kontroller.
Anna-Clara af Ekenstam