Övergången till år 2000 kan innebära betydande ekonomiska följder för företag och organisationer om de inte i tid anpassar system och verksamhetsmiljö. En lyckad hantering handlar mer om gott ledarskap än om datateknik skriver här Anders Malmeby. Styrelse och VD:s ansvar samt extern- och internrevisorernas roll behandlas också.
Problemet har varit känt i många år av folk inom IT-professionen och har till stor del sin grund i behov av att vara sparsam med utrymme på hålkort. Genom att lagra datum utan sekelsiffror sparades 2 positioner per datumangivelse, exempelvis på formen ÅÅMMDD i stället för ÅÅÅÅMMDD. Ett flertal varianter finns beroende på land och tillämpningsspecifika krav. Vid två datum per hålkort (80 positioner) blev besparingen således 5 %, dessutom förkortades stanstiden. Främst av tradition har man sedan i mycket stor utsträckning fortsatt att ange datum i förkortad form i filer och databaser.
Först en bit in på 1990-talet beaktades problemet i större omfattning vid utvecklingen av nya system. Till dagens situation har också bidragit att man i många fall underskattat livslängden av utvecklade system. De har därmed inte bytts ut mot modernare dito utan vidhängande datumproblem. Även hårdvaruanknutna problem finns.
Genom att årtalet bara lagras med två siffror kommer exempelvis år 1999 att representeras av 99 och år 2000 av 00.
År 2000 uppfattas då som mindre än år 1999. Jämförelser av datum i system inklusive beräkning av tidsskillnader blir felaktiga liksom sorteringar. Det är dessa och vissa andra företeelser, se nedan, som kan få betydande konsekvenser. Tilläggas kan också att år 2000 är ett skottår, vilket flera system som normalt klarar detta inte kommer att förutse.
Vad kan hända?
Om åtgärder inte vidtas kan företag, organisationer och även enskilda drabbas, några exempel:
Produktionsstopp p.g.a. uteblivna inleveranser exempelvis via problem i inköps- och beställningssystem
Felaktiga pensions- och ränteberäkningar
Försenade kundleveranser till följd av felaktig styrinformation i ordersystem eller produktionsplanering
Felaktig lagervärdering (automatiskt beräknad inkuransavsättning)
Felbedömningar gällande likviditet p.g.a. oriktiga uppgifter kring förfallna belopp/in- och utbetalningsprognoser. Störningar i kravverksamheten
Felaktig periodisering av intäkter och kostnader till följd av brister i försystem och/eller gränssnittet mellan dessa och huvudbok
Affärs- och försystem till redovisningen liksom huvudbokssystem accepterar inte transaktioner daterade efter år 1999
Oriktig fakturering av automatiskt beräknade tidrelaterade tjänster, t.ex. telefoni, datorutnyttjande
Ej fungerande backup- och återstartsrutiner
Inom sektorer där den enskildes liv och hälsa kan påverkas är problemet extra känsligt. Luftfarten är ett område med kritiska system i både flygplan och flygledningssystem. Vidare kan nämnas de underhålls- och lagersystem som hanterar behov av översyner och utbyte av delar baserat på flygtid och/eller livslängd. Inom medicin och sjukvård finns bl.a. risker relaterade till tillverkning, lagring och användning av läkemedel och indirekta effekter vid driftstörningar i medicinsk-teknisk utrustning.
Många organisationer kommunicerar elektroniskt med affärspartners (EDI), det kan exempelvis helt eller delvis beröra följande områden: inköp, kalkyl, order, design/konstruktion, tillverkning, lager, transport/logistik, fakturering och betalningar. Även om de egna systemen är anpassade till sekelskiftet så kan problem uppstå om de system man kommunicerar med levererar data i fel form eller beter sig felaktigt i brist på åtgärder.
Tidsfaktorn
Många gånger kan man skjuta på problem eller definiera om dem. För sekelskiftesproblematiken är dock den kritiska tidpunkten helt låst och tillgänglig tid minskar successivt. Om åtgärder vidtas i tid innebär detta att:
Antalet alternativa lösningsmöjligheter blir större, det kan t.ex. vara möjligt att hinna byta system och därmed få mervärden i form av ökad funktionalitet jämfört med att bara göra anpassningar i gamla system. Lösningar som innebär över tiden mer kostnadskrävande kompromisser kan undvikas.
Kostnaderna för åtgärd minskar. Antalet tillgängliga konsulter med god kompetens minskar framöver samtidigt som priserna för deras tjänster redan ökat, förhandlingsmöjligheterna minskar.
Utsikter finns för att åtgärder hinner vidtas i samtliga affärskritiska system. Allt eftersom tiden går måste en prioritering ske mellan vilka system och ändringar i dessa som kan göras. Resterande behov måste klaras genom kompromisser och löpande manuella ingrepp.
Risknivån i verksamheten minskar genom att tid finns för ordentlig uttestning av ändringar i affärskritiska system.
Kostnad för åtgärder
Kostnaderna för åtgärd hos de företag och organisationer som hittills utfört analys har stor spännvidd. I mindre organisationer med litet IT-beroende är kostnaden begränsad även om den relativt sett uppfattas som omotiverat stor. Kostnaden växer dock avsevärt beroende på:
antalet system
för egenutvecklade system: systemstorlek (antal program och rader), grad av standardisering i systemutveckling och underhåll, standard vad gäller termkataloger och databaser, programmeringsspråk, om källkod finns till alla program och submoduler, källkodens aktualitet och status för övrig systemdokumentation, programmens ålder (behov av programändring även p.g.a. kompilatorbyte?) och omfattningen av tidigare underhåll
för köpta standardpaket: om leverantör finns och i tid kan tillhandahålla ny version som klarar år 2000, mängd och komplexitet avseende anpassningar
grad av integration mellan system, internt och externt
omfattningen av nätverkslösningar
förekomsten av olika tekniska plattformar
om förändringsarbete samt systembyten kräver nyinvestering i datorer och kringutrustning
omfattningen av erforderligt testarbete
Det skall särskilt noteras att hittillsvarande erfarenheter visar att omfattningen av testfasen efter utförda justeringar ofta underskattas liksom den i inledningsskedet bedömda totala kostnaden.
Valet av konsulter som stöd i arbetet är viktigt. Deras erfarenheter, metod- och teknikstöd har stor betydelse för ett lyckat arbete. Vad gäller teknikstödet finns exempelvis kraftfulla program för att i källkod automatiskt söka upp datumrelaterade uppgifter för åtgärd.
För många organisationer av någorlunda storlek summerar den bedömda kostnaden till mångmiljonbelopp. Av primärt intresse är dock att bedöma nivån på kostnaden för den egna organisationen.
VD/styrelsefråga
Att bedöma effekten av 2000-problemet på den egna organisationen utifrån allmänna uttalanden och spekulationer om vad som kan hända är omöjligt.
Med tanke på de potentiella riskerna och behovet av tid för ändamålsenliga åtgärder, är det viktigt att snarast göra en analys av problemet och initiera erforderliga åtgärder.
Frågan är av sådan dignitet att den bör behandlas och därefter följas upp inte bara på VD- utan även på styrelsenivå. I moderbolag tillkommer ett uppföljningsbehov gällande dotterbolagen. I flera fall kommer frågan sannolikt att tas upp på ägar/bolagsstämmonivå.
Företagsförvärv
Inför företagsförvärv de närmaste åren bör man vid objekt med stort IT-beroende särskilt beakta år 2000-kostnader. Att kvantifiera kostnaderna och ta med dessa i förhandlingar och avtalsskrivning kan visa sig vara väl använd tid. Det omvända kan också föreligga, dvs. en besparingspotential genom att köparen kan nyttja det köpta företagets år 2000-förberedda system (om det inte gäller egenutvecklade specialsystem kan licensfrågan behöva lösas beroende på hur samordningen sker).
Analysen
En analys omfattar typiskt sett följande steg:
Inventering
Prioritering
Bedömning av risker, lösningar och kostnader
Åtgärdsplan
I större koncerner eller motsvarande kan en samordning av analysen vara väl befogad.
Det skall särskilt noteras att en analys måste göras oaktat att företaget/organisationen lagt ut sin databehandling till extern leverantör i större eller mindre omfattning (outsourcing).
Inventering
En inventering omfattar en kartläggning av system och hårdvara i organisationen. Att särskilt beakta är de systemsamband som finns – vilka system kommunicerar med varandra och i vilket syfte och på vilket sätt? Man skall heller inte glömma de applikationer som utvecklats av användare och där en eventuell central IT-funktion inte har grepp om riskerna.
Kartläggningen bör göras top down dvs. med start i de övergripande sambanden och affärs-/transaktionsflödena. Det är annars lätt att förlora sig in i detaljer på ett för tidigt stadium vilket kan leda till felaktig resursprioritering.
Ett hjälpmedel i inventeringsfasen och gällande de finansiella/redovisningsrelaterade delarna, är organisationens samlingsplan. Finns inte en samlingsplan kommer en sådan att mer eller mindre bli en biprodukt av kartläggningsarbetet.
Även persondatorer omfattas, både applikationer och hårdvara. Via nätverk kan ej åtgärdade problem sprida sig. Automatiskt hämtad datuminformation måste kartläggas. Vidare kan annan processorstyrd utrustning såsom passagesystem, hissar m.m. ha begränsningar som ger problem när år 2000 passeras.
Det skall noteras att inventeringen måste omfatta även tekniskt inriktad programvara såsom operativsystem och andra systemprogram i datorer och nätverk. Inte att glömma är den tekniska miljön för systemutveckling, -underhåll och -dokumentation samt program relaterade till drift, nätövervakning och problemhantering/support liksom programvaror för backuptagning (och återläggning) och automatisk återstart.
Finns reservanläggning eller motsvarande att nyttja vid längre driftsavbrott måste kartläggningen omfatta även denna.
Prioritering
Syftet med prioriteringsfasen är att rangordna system efter hur kritiska de är för den bedrivna verksamheten. Bedömning av risker, lösningar och kostnader görs sedan i väsentlighetsordning. Naturligtvis åtgärdas problemen också i den fastlagda prioriteringsordningen.
Bedömning av risker, lösningar och kostnader
En bedömning görs av riskerna för respektive system eller delsystem om åtgärder inte vidtas.
Alternativa åtgärder listas tillsammans med för- och nackdelar liksom kostnader.
I princip finns tre typer av lösningar:
Modifiering
Systembyte
Löpande manuella ingrepp/work arounds
Vid modifiering kan man välja mellan att anpassa både program och data eller bara program.
Om både program och data skall anpassas byggs datumuppgifter normalt ut med sekelsiffror. Komplikationer kan naturligtvis uppstå. Ett exempel är då poster av olika skäl inte kan/bör förlängas. Olika former av situationsanpassade speciallösningar måste då tillgripas (t.ex. användning av koder eller annan lagringsform). Historiska data konverteras till de nya lagringsformaten.
Att särskilt se upp med är förekomsten av att datumfält utnyttjas för flera syften. I vissa fall används 9:or i datum för att beteckna evig tid eller nollor då uppgift saknas. Detta kan leda till kostsamma förväxlingar eller exempelvis att backuper felaktigt friställs och viktiga data förstörs.
Om bara program anpassas men inte data, innebär det att man låter programlogik bestämma på vilken sida av sekelskiftet man befinner sig beroende på hur data ser ut. Fördelen är att data inte behöver konverteras.
Löften från leverantörer om att de kommer att åtgärda år 2000-frågan i ny systemversion, antingen de ges beträffande befintliga system eller i samband med förfrågningar inför eventuella systembyten, bör begäras i skriftlig form. Även om det inte är någon garanti för att problem inte uppstår, innebär det ett mer påtagligt åtagande från leverantören.
Åtgärdsplan
I åtgärdsplanen sammanfattas slutsatserna från inventering, prioritering och bedömningsfasen liksom krav på organisation och resurser för att kunna genomföra erforderliga åtgärder. Tidplanen bör beskriva huvudaktiviteter och delprojekt.
Kritiska milstolpar med återrapportering till högsta ledningen bör ingå. Exempelvis måste man vid byte av system ha infört detta i god tid annars krävs ändock åtgärder i det gamla systemet. Vidare är det viktigt att snabbt identifiera eventuella eftersläpningar gentemot tidplanen så att åtgärder hinner vidtas.
Vikten av goda testförutsättningar i form av tid, kompetens och god testmiljö kan inte nog poängteras. Det skall också noteras att testarbetet till följd av integreringar vanligen också måste omfatta även system som inte varit föremål för ändringar.
En lyckad hantering med hänsyn till tid, kostnader och behov av riskminimering kräver:
stöd från högsta ledningen
gott ledarskap med bl.a. professionell projektledning.
Stöd från konsulter och revisorer
En viktig fråga är i vilken utsträckning konsultstöd skall anlitas. Om företaget/organisationen väljer att endast använda intern kapacitet kan kostnaderna under vissa förutsättningar hållas nere samtidigt som kompetensen om genomförda lösningar stannar kvar i huset.
En nackdel kan dock vara att värdefulla resurser flyttas över från andra projekt som enligt systemägaren inte heller kan nedprioriteras. Flera företag är i den situationen att man saknar erforderlig expertis för denna fråga.
Kompetenta IT-konsulter kan tillföra erfarenheter, metod- och teknikstöd samt projektledningsresurser som underlättar arbetet betydligt. Det kan också ligga ett särskilt värde i att få en bedömning från utomstående gällande viktigare slutsatser och strategiska vägval.
Intern- och externrevisorer kan lämna värdefulla bidrag i stora delar av analysfasen. De kan tillföra resurser som kombinerar kunskap om riskanalys, verksamhet och IT-stöd, exempelvis genom revisorer specialiserade mot IT-området eller personer med konsultprofil.
Omfattar åtgärdsfasen införande av nya system ligger även detta inom det naturliga kompetensområdet, så även testarbete. Konsulter hos revisionsbyråer kan ofta medverka i projektledningsarbetet.
I större organisationer med omfattande år 2000-projekt kan det finnas behov av att analysera dessa för att bedöma förutsättningarna för att leverans sker i rätt tid och med planerad kvalitet. Detta skiljer sig inte från vanlig granskning av systemutvecklingsprojekt utan är ett område där intern- och externrevisorer kan stå till förfogande.
Vissa arbetsuppgifter kan enligt min uppfattning inte tillhandahållas från samma revisionsbyrå som utför den legala revisionen, exempelvis programmering.
Outsourcing
Företag som lagt ut sin databehandling i större eller mindre omfattning på extern part (outsourcing), bör vara särskilt uppmärksamma. Risken för missförstånd om ansvarsfördelningen i år 2000-frågor är stor.
Outsourcingavtal reglerar regelmässigt inte år 2000-frågan. Avtalen har olika omfattning. När det gäller avtal om drift av ett företags program torde det vara klart att ansvar och kostnader för åtgärder ligger hos företaget.
För leverantörer som åtagit sig systemunderhåll kan diskuteras huruvida år 2000-åtgärder ingår eller om de skall anses ligga utan för normalt underhåll. Även vid systemutvecklingsavtal kan oklarhet föreligga.
I andra länder (USA, England) förekommer juridiska tvister till följd av tolkningsproblem enligt ovan mellan organisationer och outsourcing-företag.
Sammanfattning
En viktig del i intern- och externrevisorers arbete är att snarast föra upp år 2000-frågan till VD/styrelsenivå om denna inte redan är behandlad.
Om åtgärder inte vidtas kan konsekvenserna i värsta fall bli stora, exempelvis till följd av produktionsstopp, felaktiga pensions- och ränteberäkningar, felaktig lagervärdering, oriktiga beslutsunderlag gällande likviditet och ej fungerande backup-rutiner.
Den kritiska tidpunkten är helt låst och åtgärder måste omgående vidtas för att tillförsäkra maximal valfrihet gällande lösningsalternativ. Det kan t.ex. vara möjligt att byta system och därmed få mervärden samtidigt som över tiden kostnadskrävande kompromisser undviks. Vidare finns utsikter för att åtgärda samtliga affärskritiska system.
Kostnaden för åtgärder är relativt sett betydande.
Vid databehandling hos extern part (outsourcing) bör man vara särskilt uppmärksam. Ansvarsfrågorna regleras regelmässigt inte i avtal och risken för missförstånd är stor.
Externrevisorns förvaltningsrevision bör omfatta år 2000-frågan med hänsyn till den skada som kan åsamkas företaget till följd av passivitet eller försummelse från VD och styrelse.
Anders Malmeby
är auktoriserad revisor vid KPMG Bohlins och ledamot i FARs revisionskommitté. Han medverkade senast i Balans 6–7/96.