Utnyttjar revisorerna dagens möjligheter till ADB-revision i små företag? FARs databehandlingskommitté tvivlar. Frågan gäller i princip mer än 98 procent av alla företag i landet.
Allt fler små företag använder datorer. Metoderna för ADB-revision av de här företagen utvecklas snabbt. Men samtidigt kan det diskuteras om revisorerna tillämpar metoderna i samma takt som möjligheterna ökar, anser FARs databehandlingskommitté.
Småföretagen använder allt mer komplexa system för att få information för att styra sin verksamhet. Men de anlitar ganska lite extern hjälp för att undvika fallgropar när de köper informationssystem och ska anpassa dem till sina rutiner.
Ansvaret ligger då istället direkt på användare och beslutsfattare, som inte alltid vet så mycket om datorer.
Risk för fel
Det är i dag en etablerad sanning att datoriserade informationssystem kan innebära risker för företagen. Tidningsrubriker om brott och fel talar sitt tydliga språk.
Incidenterna förknippas ofta felaktigt med stora traditionella datorsystem. De sammankopplas inte med den sorts datorer som står på skrivborden hos de flesta av de små företagen.
Man glömmer att mini- och mikrodatorer har samma – eller större – kapacitet som bara stora datorer hade för några få år sedan.
Samma sårbarhets- och säkerhetsproblem gäller nu även de mindre utrustningarna.
Visst har intresset för informationssäkerhet ökat. Men att därifrån gå till handling och t.ex. göra sårbarhetsanalyser och besluta om konkreta åtgärder – det går långsamt.
För att undvika misstag i planeringen av säkerhetsåtgärder måste företagsledningen vara insatt i problemen eller anlita hjälp utifrån.
Revisionsbyråernas kunder är till mycket stor del små och medelstora företag. Förutom jordbruken finns det cirka 370.000 företag i Sverige. Av dem har cirka 364.000, dvs mer än 98 procent, mindre än 50 anställda.
De små datorerna är en granskningsmiljö som borde vara aktuell för de flesta av landets revisorer. På flera sätt avviker revision av redovisningssystem i de här företagen från granskning i stordatormiljö.
Speciella risker
Smådatormiljön har sina speciella risker. ADB-kompetensen kan vara dålig. Och ibland är bara ett fåtal personer inblandade i datordriften. Att datorn står ute i vanlig kontorsmiljö är också ett riskmoment liksom att enkla operativsystem kan sakna viktiga funktioner för kontroll, loggning m.m.
De här och andra faktorer påverkar både förutsättningarna för och utformningen av den interna kontrollen. Revisorn måste anpassa granskningens inriktning, omfattning och teknik. Revisorn bör också kunna ge råd vid exempelvis upphandling och utveckling. Man måste vara särskilt uppmärksam på säkerhetsrutinerna. Behovet av ADB-säkerhet ökar när mängden datoriserad information växer.
När det brister i de administrativa kontrollerna på företaget, måste revisorerna i största möjliga mån ge råd som förbättrar den interna kontrollen i kundens ADB-rutiner. Eventuellt måste substansgranskningen utökas.
Datorn är ofta ett överlägset granskningsverktyg. Revisorn kan kopiera kundens data till sin egen dator och då analysera mycket stora mängder data. Det ökar i de flesta fall granskningskapaciteten jämfört med manuella stickprov.
Försummat område
Tyvärr är ADB-revision i mindre företag ett försummat område. Det har skrivits många artiklar i ämnet under 80-talet. De flesta revisorer har tagit fram egna metoder och tekniker för ADB-revision. Ändå har revisorerna inte i någon större utsträckning inslag av ADB-revision i sina revisionsplaner.
Många säger att det är en generationsfråga. Detta kan kanske gälla ADB-kunskapen och det kan gälla viljan att ändra traditionella granskningsmetoder. Men det kan inte gälla insikten om hur viktigt det här området är.
Det måste helt enkelt ingå i god revisionssed att småföretagens ökade användning av ADB slår igenom i revisorns granskning.
Revisorn kan ha egen kompetens eller anlita en specialist. I båda fallen är det mycket viktigt att inslaget av ADB-revision i revisionsplanerna betraktas som något i grunden nödvändigt för att granskningen ska kunna utföras med hög kvalitet och enligt god revisionssed.
Ett led i revisionen
Att granska småföretagarnas informationssystem bör inte i första hand ses som en konsulttjänst utan som ett led i revisionen. Men tillförlitliga konsulttjänster, som syftar till att kontrollera kvaliteten på företagens datorsystem, kan givetvis underlätta ADB-revisionen.