ADB både minskar och ökar risken för väsentliga fel i ett företag. Revisorn måste tänka på de speciella riskerna och möjligheterna när revisionen planeras och utförs.
Olika datorsystem är nu så utbredda i företagen att många har svårt att göra sitt jobb utan stöd av dator.
Revisorn måste känna till inte bara företaget utan också de rutiner som stöds av datorer.
Det är helt nödvändigt för att kunna bedöma de risker och möjligheter som har att göra med ADB och som man måste tänka på när revisionen görs.
Hur kan t.ex. störningar och avbrott i ADB-driften inverka på företagets resultat och ställning?
Vilka är riskerna för väsentliga fel i den finansiella information som tas fram för att användas internt och externt?
Mer enhetligt
ADB har både bra och dåliga effekter om man ser på revisionsrisken. Dvs risken för att väsentliga fel i årsredovisningen inte blir upptäckta.
Det är t.ex. bra att datorsystem sköter olika transaktioner systematiskt och konsekvent. När arbetet görs för hand blir det inte lika enhetligt gjort.
ADB kan också höja nivån på den interna kontrollen. Företaget kan se till att olika analytiskt inriktade uppföljnings- och styrinstrument utvecklas.
Det blir också lättare för revisorn att hitta fel i den ekonomiska informationen. Genom registeranalys kan revisorn ha datorn som hjälpmedel när han granskar. På det sättet kan stora mängder information bedömas effektivt och med hög kvalitet.
Risker för fel
Men datorsystemens systematiska bearbetning kan också leda till att man får systematiska fel. Alla transaktioner av ett visst slag kan bearbetas på fel sätt.
ADB kan leda till att arbetet delas upp på för få personer. Kontroller som normalt görs av flera i en manuell rutin, koncentreras ofta när ADB används. En enda person kan komma att sköta kombinationer av uppgifter på ett sätt som inte är lämpligt från arbetsfördelningssynpunkt.
Risken för fel som beror på den mänskliga faktorn kan vara större vid utveckling, underhåll och drift av datorbaserade system jämfört med manuella. Risken för obehörig åtkomst och ändringar av data ökar många gånger. Ändringar kan göras utan att lämna några spår efter sig.
ADB-system kan medföra brister i verifieringskedjan. Om bearbetningen av data inte kan följas i vanlig läsbar form ökar risken för att fel inte upptäcks och inte rättas till.
I datorsystem kan transaktioner genereras automatiskt utan att godkännas på vanligt sätt.
En risk finns i att kontrollrutiner är beroende av varandra. Manuell kontroll och uppföljning är ofta beroende av undantagsrapportering som tas fram maskinellt. Kvaliteten i den rapporteringen är i sin tur inte oberoende. Den hänger på att det finns ändamålsenligt ordnade kontroller över att de aktuella tillämpningssystemen är fullständiga och korrekta. Dessa kontroller är i sin tur beroende av god kontroll och styrning av systemutvecklingen och ADB-driften.
Granskningens inriktning
Revisorn gör allt från en ytlig bedömning av den interna kontrollen med tanke på förvaltningsrevisionen till en mer omfattande utredning och bedömning.
Den sistnämnda ambitionsnivån är aktuell när revisorn tänker förlita sig på att ett datorsystem tar fram korrekt information.
Granskningsarbetet omfattar i båda fallen generella och rutinorienterade kontroller.
De generella kontrollerna gäller aspekter på företagets organisation och styrning av ADB-verksamheten. De gäller metoder för utveckling och underhåll. De gäller rutiner för att planera, följa upp och kontrollera datordriften.
Rutinorienterade kontroller är kontroller i enskilda tillämpningssystem. De inkluderar då också de manuella kringrutinerna.
Planering
Hur revisorn tänker sig att arbeta bestäms av en förberedande informationsinsamling och en därpå följande granskningsplan.
I den inledande informationsinsamlingen kartlägger revisorn övergripande hur databehandlingen har organiserats. Han tittar på hur den generella kontrollmiljön ser ut. Han tar fram nyckeluppgifter om de tillämpningssystem som ska bearbetas. I granskningsplanen vägs informationen samman efter principerna om väsentlighet och risk. Revisorn bestämmer vilken omfattning och inriktning systemgranskningen ska ha, vilka specialister som eventuellt behövs, när arbetet ska utföras etc.
Metoder och åtgärder
Valet av granskningsmetod påverkas främst av ADB-miljön och nivån på den interna kontrollen. Effektivast möjliga kombination av internkontroll- respektive substansgranskning eftersträvas.
Alla tillämpningssystem tar fram transaktioner som berör poster i balans- och/eller resultaträkningen. Revisorn bestämmer vid valet av granskningsåtgärder i vilken utsträckning datorbaserade system ska granskas. Kanske ska granskningen helt eller delvis inriktas direkt mot resultat- eller balansräkningspost.
När datorbaserade system granskas, inriktas arbetet mot kontroller som säkerställer att transaktioner är godkända och bearbetas fullständigt och korrekt genom hela systemet.
ADB-miljö innebär ofta att revisorn själv kan använda datorn som hjälp i sitt arbete. Det sker t.ex. vid analys av reskontror, varulager och andra register. Datorstöd kan användas för stickprov, selekteringar, åldersanalyser, utskick av saldobrev samt olika typer av sammanställningar m.m.
I vissa fall behövs en datorstödd revision i form av registeranalys för att göra de bedömningar som god revisionssed kräver.