Det är inte informationssystemen i sig, utan förändringar som mest påverkar revisionsrisk och revisionsinriktning, skriver Anna Ernestam. Det krävs god kännedom om datorstödda system och dess risker för att kunna utföra revision enligt god sed.
Revisorns arbetsmiljö förändras ständigt i takt med att omvärlden förändras. Nya redovisningsprinciper i samband med ett eventuellt medlemskap i EG, nya skatteregler, finanskrisen som har – eller kommer att få – en avgörande betydelse i framtiden, är exempel på sådana förändringar som kan påverka revisionen.
Ett annat område som påverkar revisionens inriktning och utformning är informationsteknologins utveckling och dess betydelse för företagen. Snabb och tillförlitlig information är idag en förutsättning för olika företag för att klara omvärldens krav. Vissa företag skulle dessutom ha svårt att bedriva sin verksamhet utan ADB-Stöd. Revisorerna måste därför förstå hur olika ADB-system påverkar den finansiella rapporteringen samt kunna identifiera de risker som är förknippade med dessa system.
Det är inte informationssystemen i sig utan förändringar i dem som mest påverkar revisionsrisk och revisionsinriktning. Dessa förändringar drivs som nämnts ovan av företags och organisationernas behov av information för att möta externa krav och för att vara effektiva. Detta innebär att förändringar inom informationssystem i hög grad är ett resultat av förändringar inom andra områden såsom organisation, verksamhet, styr- och rapporteringssystem, etc, och ej enbart en förändring inom maskinvara och program.
Traditionella kontroller ineffektiva i nya ADB-system
Även om revisionsriskerna förknippade med olika informationssystem varierar, påverkas de av de olika förändringarnas natur och omfattning. I många äldre system kan det finnas effektiva användarkontroller som är till för att upptäcka fel. Många av de nya ADB-systemen är dock till för att reducera pappersflödet samt för att effektivisera utnyttjandet. Traditionella manuella kontroller är oftast ineffektiva i dessa system eftersom utvecklingen syftar till att förbättra svarstider och effektivitet. Istället krävs att dessa system har inbyggda eller programmerade kontroller för att förebygga fel.
Jag vill med denna artikel belysa några revisionsrisker som är förknippade med olika förändringar i informationssystem, samt hur dessa risker kan tas hänsyn till. De förändringar som beskrivs är en sammanställning av de förändringar som pågått och pågår för tillfället. Syftet med detta är att få en samlad bild av väsentliga förändringar i informationssystem samt hur de bör beaktas i revisionen.
Nätverk
Nätverk används framförallt för två syften; att kunna nå information oavsett var man befinner sig och/eller att uppnå högre samhörighet inom eller mellan olika företag. I båda fallen kan data initieras och bli åtkomliga för olika personer oavsett var dessa befinner sig.
Nätverk i sig skapar inga revisionsrisker, utan riskerna är oftast förknippade med vilken typ av mjukvara som används i nätverket och hur lättåtkomlig denna är. Den största revisionsrisken förknippad med nätverk är att säkerställa att olika slags åtkomst till information är godkänd. Följande frågor anger några av de faktorer som kan påverka revisionsriskerna:
* Vem är behörig att använda nätverket och hur kontrolleras det?
* Vem är behörig att initiera transaktioner som påverkar den finansiella informationen?
* Hur är behöriga användare begränsade till att enbart använda specifika program för att uppnå en godtagbar arbetsfördelning?
Elektronisk dataöverföring
Elektronisk dataöverföring definieras ofta som elektronisk kommunikation mellan två parter. Oftast används det genom att en order beställs direkt via leverantörens dator. Inga orderkopior, fakturor eller betalningsuppdrag framställs.
Ekonomisk dataöverföring kan både öka och minska revisionsriskerna baserat på hur den används. Följande frågor anger några av de faktorer som kan påverka revisionsriskerna:
* Saknas verifieringskedja vilket innebär att det helt eller delvis är omöjligt att följa bearbetningen av data?
* Finns det överhuvudtaget några manuella kontroller som kontrollerar bearbetningen?
* Blir transaktionerna godkända via systemet, samt hur valideras och kontrolleras respektive transaktion?
* Hur sker betalningstransaktionerna och vem har behörighet att godkänna utbetalningar?
Produktivitet och fjärde generations programspråk
De flesta företag med omfattande systemutveckling söker ständigt nya vägar att kunna öka produktiviteten och effektiviteten för att minska kostnader för systemutveckling. Utvecklingen mot en fjärde generations programspråk har därmed intensifierats och ett flertal hjälpprogram har framtagits av olika dataleverantörer.
Även om dessa verktyg gör att utvecklingen blir mer produktiv finns det ett antal potentiella revisionsrisker förknippade med dessa metoder. Följande frågor bör därför besvaras:
* Tar hjälpprogrammen tillräcklig hänsyn till programmerade kontroller typ validering, verifieringskedjor osv?
* Görs upprepade förändringar i systemen med hjälp av dessa program vilket gör att revisorn inte kan förlita sig på att det system som reviderats på den löpande granskningen är det samma som på bokslutsgranskningen?
* Är återkommande förändringar som görs i systemet implementerade på ett säkert sätt?
* Är hjälpprogrammen konstruerade på så sätt att de ej kan förändra system som tidigare implementerats? Om detta är fallet, skapas rätt typ av kontroller för olika system?
Decentraliserad databehandling
Decentraliserad databehandling innebär att data bearbetas på olika platser inom organisationen. Ny teknik gör att förutsättningarna för decentraliserad databearbetning ökat betydligt. Dessa strävanden drivs av kostnadsskäl samt en önskan att decentralisera ansvaret för information.
Decentraliserad databearbetning leder till ett antal revisionsrisker som bör tas hänsyn till:
* Saknas centrala riktlinjer för hur rutiner och policys för databehandling skall följas? Detta gäller framförallt säkerhetsfrågor.
* Finns risk för att behörighetskontroller inte används konsekvent inom organisationen?
* Finns risk för att verifieringskedjor saknas om detaljerad information enbart finns på vissa ställen? Revisionen blir i dessa fall beroende av var och hur företaget förvarar datafiler och databaser.
En vanligt förekommande risk relaterad till decentraliserade system är hanteringen av ”bevakningsposter” som hamnat på fellistor etc. I centrala system hamnar dessa oftast på ett uppsamlingskonto och kan lätt följas upp och åtgärdas av en ansvarig person. I decentraliserade organisationer sprids denna uppföljning och kunskap på olika enheter vilket ökar risken för inkonsekvent hantering av dessa poster. Detta ökar även revisionsrisken för att upptäcka och korrigera eventuella felaktigheter i rimlig tid.
Utlokalisering av datadrift
Utlokalisering av datadrift är inte en ny trend inom informationsteknologin. Det har dock blivit vanligare under senare år att låta något annat företag sköta driften av den egna dataverksamheten.
Risker relaterade till utlokalisering av datadrift beror oftast på missförstånd mellan partena eller brist på klara definitioner av ansvarsområden. De faktorer som påverkar revisionsriskerna är följande:
* Finns klara definitioner av vem som ansvarar för intern kontroll i utvecklad mjukvara, säkerhetsfrågor och administration?
* Föreligger det en risk för bristande uppdelning av databearbetning om flera företag använder samma databearbetningsresurser?
Sammanfattning
ADB har en så genomgripande användning i näringslivet att många företag och organisationer skulle ha svårt att bedriva sin verksamhet utan detta stöd. God kännedom om datorstödda system och de risker som är förknippade med dessa är därför nödvändigt för att kunna utföra revisionen enligt god revisionssed. För att kunna förstå och utvärdera system måste man även ha god förståelse för de förändringar i informationsteknologi som ständigt sker.
Några av de förändringar som sker avseende utvecklingen av informationsteknologi har beskrivits i den här artikeln och några väsentliga frågeställningar relaterade till dessa områden har diskuterats. Det är viktigt att dessa risker identifieras på ett tidigt stadium i revisionsprocessen och att resultatet av denna granskning påverkar det fortsatta revisionsarbetet. Detta är grunden för revisorns bedömning av väsentlighet och risk.
Auktor revisor Anna Ernestam är verksam vid Peters & Co i Stockholm.