FARs Revisionskommitté har i november 1998 gjort ett uttalande kopplat till år 2000-frågan. Uttalandet avser det yttrande stämmovalda revisorer i institut under Finansinspektionens (FI) tillsyn förväntas göra mot bakgrund av FIs allmänna råd om anpassningsarbetet inför sekelskiftet, FFFS 1998:18. Uttalandet, här i den icke språkgranskade versionen, publiceras på de kommande sidorna i sin helhet.
Följande kan bl.a. noteras:
revisorns arbete görs utifrån ett särskilt uppdrag från det aktuella institutets styrelse och som är helt frikopplat från den lagstadgade revisionen
med hänsyn till år 2000-frågans karaktär är det inte möjligt för någon att uttala sig om huruvida hela eller delar av en verksamhet är eller kommer att bli år 2000-säker
det arbete och den rapportering som beskrivs i uttalandet motsvarar vad som sker i liknande situationer internationellt
uppdraget genomförs i enlighet med ISA 920 som behandlar Agreed-upon Procedures Engagements
formuleringar motsvarande vad som gäller vid översiktlig granskning (negative assurance) låter sig inte användas i dessa sammanhang
de kommentarer som lämnas i uttalandet gäller i tillämplig utsträckning även i andra yttrandesituationer kopplat till år 2000-problematiken.
Anders Malmeby
Ledamot av FARs revisionskommitté
Styrelsen i institut som står under Finansinspektionens (FI) tillsyn bör enligt FI:s allmänna råd om anpassningsarbetet inför år 2000 (FFFS 1998:18), senast 1999-01-31 ha inkommit till FI med en redogörelse för hur anpassningsarbetet genomförts eller planeras. Enligt FI:s allmänna råd bör den/de stämmovalda revisorerna yttra sig över redogörelsen.
Inledningsvis kan konstateras att ett dylikt yttrande inte är en del i den lagstadgade revisionen. Vad gäller den lagstadgade revisionen hänvisas till FARs Revisionskommittés uttalande ”År 2000-problematiken”.
Yttrandet som beskrivs i FFFS 1998:18 kräver särskilda åtgärder från revisorn och utgör ett separat uppdrag från det aktuella företagets styrelse.
Revisorns arbete och yttrande utifrån uppdrag relaterade till år 2000 och i detta fall FFFS 1998:18, inrymmer principiellt väsentliga frågeställningar vilka såväl företagsledningar som revisorer bör observera:
År 2000-problematiken är komplex och berör inte bara företagets egen infrastruktur utan också externa faktorer hänförliga till samhällsfunktioner, exempelvis elförsörjning och telekommunikation, liksom faktorer hos affärspartners såsom kunder och leverantörer.
År 2000-åtgärder kan bäst beskrivas som riskminskande åtgärder. Framgång i detta arbete kan anses ha uppnåtts om antalet tekniska problem och konsekvenserna av dessa minimeras. Detta inkluderar att snabbt identifiera och åtgärda problem som uppstår oaktat åtgärder på olika nivåer i och utanför företaget.
Med hänsyn till år 2000-frågans karaktär är det inte möjligt för någon att uttala sig om huruvida hela eller delar av en verksamhet är eller kommer att bli år 2000-säker.
Styrelsens redogörelse enligt FFFS 1998:18 kan förväntas ha olika inriktning och omfattning vid jämförelse mellan organisationer. Det har inte utvecklats gemensam praxis hos företagen kring extern rapportering av år 2000-status. Motsvarande gäller revisorns arbete relaterat till densamma. För att inte skapa förväntningsgap kring revisorsyttranden och exempelvis riskera att mottagaren lägger in egna tolkningar och kanske orealistisk förlitan, är det av vikt att revisorn explicit beskriver de åtgärder som utförts och gjorda observationer. Denna typ av uppdrag är internationellt etablerad via IFAC och dess International Standards on Auditing nr 920, Engagements to Perform Agreed-upon Procedures Regarding Financial Information. Ytterligare skäl till behovet av tydlighet är att delar av år 2000-problematiken kan ligga utanför revisorns naturliga kompetensområde och att, det som förut sagts, inte går att uttala sig om en verksamhet är eller kommer att bli år 2000-säker.
Yttranden med formuleringar motsvarande vad som gäller vid översiktlig granskning bör inte användas. Sådana uttalanden kan uppfattas innefatta en direkt eller indirekt försäkran som tekniskt sett inte är möjlig att tillhandahålla.
Terminologi som refererar till god revisionssed bör inte användas med hänsyn till vad som ovan sägs beträffande avsaknad av praxis kring företagsledningars statusrapportering avseende år 2000-frågan och revisorns arbete.
För att möjliggöra arbete och rapportering utifrån önskad tidplan enligt FFFS 1998:18 inklusive erforderlig kommunikation med uppdragsgivaren, typiskt sett företagets styrelse, är det av vikt att arbetet planeras och påbörjas i god tid. I sammanhanget bör observeras kravet på detaljerad uppdragsbekräftelse i enlighet med ISA 920 samt att specialiststöd kan krävas i genomförandet. I de fall rimlig tid ej erhålls för arbete och dialog med uppdragsgivaren, bör revisorn avböja uppdraget. Ett alternativ är att rapportering sker med förskjutning i förhållande till vad som sägs i FFFS 1998:18.
Bilagda exempel visar hur ett yttrande principiellt kan utformas. I det enskilda fallet kan de områden yttrandet omfattar behöva anpassas till verksamhetens art och omfattning.
Yttrandet bör som i exemplet förses med en text som informerar läsaren om att detta, som i alla sammanhang där granskning enligt särskild överenskommelse utförs, är skräddarsytt och har en begränsad räckvidd.
Exempel på revisorsyttrande utifrån FFFS 1998:18
Till styrelsen i XX AB
Yttrande mot bakgrund av FFFS 1998:18
Inledning
Vi har på uppdrag av styrelsen i XX AB, org.nr 999999-9999, utfört arbete enligt nedan i syfte att Finansinspektionen, som ett komplement till styrelsens redogörelse, skall kunna bilda sig en uppfattning om XX ABs status i förhållande till vad som sägs i Finansinspektionens allmänna råd 1998:18. Arbetet har utförts under perioden ÅÅÅÅ-MM-DD – ÅÅÅÅ-MM-DD och följer principerna enligt IFACs International Standards on Auditing (ISA) nr 920, Engagements to Perform Agreed-upon Procedures Regarding Financial Information. I enlighet härmed beskrivs både de utförda arbetsmomenten och de observationer som gjorts. Yttrandet är utformat utifrån vad bedömts relevant i förhållande till FFFS 1998:18 och är endast avsett för styrelsen i XX AB samt Finansinspektionen. Yttrandet får inte användas i andra sammanhang eller delges andra.
Observationer från utfört arbete
Område | Ja | Nej | Kommentar | Utfört arbete | |
|---|---|---|---|---|---|
1 | Organisation | ||||
a | En år 2000-ansvarig har utsetts | X | 1 | ||
b | År 2000-arbetet bedrivs i projektform | X | 1 | ||
c | Projektet innefattar svenska och utländska dotterbolag | X | 1 | 1 | |
d | Det finns en skriftlig projektplan för arbetet med att åtgärda, byta ut samt testa hård- och mjukvara, liksom eventuella s. k. inbyggda system | X | 1 | ||
e | Projektplanen är godkänd av: | ||||
– VD | X | 2 | 1 | ||
– Styrelsen | X | ||||
f | Projektplanen eller relaterade dokument innefattar avsnitt som behandlar: | 1 | |||
– Tidsplan | X | ||||
– Milstolpar | X | ||||
– Bemanning | X | 3 | |||
– Test | X | ||||
– Kvalitetskontroll | X | ||||
g | Det finns en skriftlig beskrivning av hur det hittillsvarande tekniska anpassningsarbetet genomförts | X | 13 | 7 | |
2 | Analys | ||||
a | En skriftligt dokumenterad inventering av system och program har gjorts | X | 4 | 2 | |
b | Dito gällande utrustning | X | 4 | 3 | |
c | Det finns en skriftlig förteckning över externa leverantörer av programvara och utrustning | X | 4 | ||
d | En skriftlig begäran om bekräftelse på år 2000-status har skickats till leverantörer enligt 2 c) | X | 5 | ||
e | Det finns avtal om drift av system eller om operativa eller administrativa tjänster som innefattar IT-stöd mellan bolaget och utomstående (outsourcing) | E.T. | 6 | ||
f | Dito gällande dotterbolag | 5 | 6 | ||
g | En skriftlig begäran om bekräftelse på år 2000-status har skickats till leverantörer enligt 2 e) | E.T. | 7 | ||
h | Dito gällande leverantörer enligt 2 f) | E.T. | |||
i | Bolaget har särskilt identifierat de system som är mest betydelsefulla för verksamheten | X | 8 | ||
j | Analys har gjorts av åtaganden och risker beträffande: | 7 | |||
– leverantörer (inkl kc-interna leverantörer) | X | ||||
– kunder | X | ||||
– clearinginstitut, mellanhänder | X | 6 | |||
k | Analysen enligt 2 j) är skriftligt dokumenterad | X | 7 | ||
l | Gränssnitt har identifierats hos sådana kc-bolag som är verksamma i Sverige och via vilka bolaget har elektroniskt informationsutbyte med utomstående | X | 9 | ||
3 | Test | ||||
a | Bolaget har gjort eller kommer att göra ett skriftligt dokumenterat test av system som bearbetas i egen regi | X | 1,10 | ||
b | Vid outsourcing enligt 2 e), finns det ett skriftligt besked om att leverantören har testat eller kommer att testa aktuella system | E.T | |||
c | Externa gränssnitt enligt 2 l) har testats eller kommer att testas | X | 10 | ||
4 | Avbrottsplanering | ||||
a | Det finns en plan med reservåtgärder som skall vidtas om system, utrustning eller externt informationsutbyte inte längre fungerar tillfredsställande: | ||||
– Särskild plan avseende 2000-störningar | X | 7 | |||
– Generell avbrotts-/katastrofplan | X | 7 | 11 | ||
b | Planen enligt 4 a) har föredragits i styrelsen under perioden 1997–januari 1999 | X | 12 | ||
5 | Uppföljning | ||||
a | Skriftligt dokumenterad uppföljning av projektstatus har gjorts gentemot: | ||||
– VD | X | 13 | |||
– Styrelsen | X | 12 | |||
b | Projektet har varit föremål för extern review och denna har avrapporterats skriftligt | X | 7 | ||
c | Om Ja enligt 5 b). Rapporten har behandlats av: | ||||
– VD | |||||
– Styrelsen | |||||
– Annan | |||||
d | Projektstatus har rapporterats skriftligt enligt 5 a) [oavsett mottagare enl 5 c]: | ||||
– En gång | X | 13 | |||
– Fler än en gång | X | 13 | |||
e | Rapportering enligt 5 d) har skett minst en gång under perioden oktober 1998–januari 1999 | X | 13 | ||
f | Bolaget har gjort en skriftligt dokumenterad analys av nedlagda resurser och återstående resursbehov för åtgärdsarbetet | X | 9 | 14 |
Använda förkortningar.
E.T: Ej tillämpligt,
kc: koncern.
Kommentarer
(från Observationer från utfört arbete, se ovan)
Referens | Notering |
1 | Utländska dotterbolag rapporterar utfallet av sitt år 2000-arbete till det koncerngemensamma projekt som drivs från moderbolaget. |
2 | Projektplanen signerad av VD. |
3 | Inga uppgifter på detaljnivå i planen eller relaterade dokument. |
4 | Ja, för koncerngemensamma system. Skall i övrigt finnas hos resp. Dotterbolag. |
5 | Uppgift om detta finns inte på koncernnivå. |
6 | För instituten X och Y samt bolaget Z. |
7 | Katastrofplanen är inte sammanställd på sådant sätt att det går att avgöra om den täcker in alla system. |
8 | En viss indirekt beskrivning har gjorts i statusrapporter till VD, se 5 a). |
9 | Sammanställningen är summarisk och bygger i allt väsentligt på uppskattningar från de olika koncernbolagen samt koncernprojektet. |
Beskrivning av utfört arbete
(från Observationer från utfört arbete, se ovan)
Referens | Notering |
1 | Läst projektplan daterad 199Å-MM-DD. |
2 | Konstaterat att det finns en skriftlig förteckning daterad 199Å-MM-DD. |
3 | Konstaterat att det finns en skriftlig förteckning daterad 199Å-MM-DD. |
4 | Konstaterat att det finns en skriftlig förteckning daterad 199Å-MM-DD. |
5 | Läst den skriftliga förteckning, daterad 199Å-MM-DD, på vilken bolaget gjort notering om att begäran om bekräftelse skickats ut. Läst ett exempel på sådant brev. |
6 | Fått informationen genom intervju med IT-ansvarig på koncernnivå. |
7 | Fått informationen genom intervju med år 2000-ansvarig. |
8 | Tagit del av en förteckning, daterad 199Å-MM-DD, där bolaget med koder angivit hur väsentliga respektive system är för verksamheten. Tre kategorier används. |
9 | Tagit del av en förteckning enligt 2 a), där det av en kodbeteckning framgår vilka system som innefattar externt elektroniskt informationsutbyte. |
10 | Tagit del av en skriftlig testplan daterad 199Å-MM-DD. Av denna framgår när respektive system skall testas. Av förteckningen enligt 2 a/2 l), se pkt 9 ovan, framgår att även system med externa gränssnitt är inkluderade. |
11 | Tagit del av en skriftlig katastrofplan daterad 199Å-MM-DD. |
12 | Läst styrelseprotokoll för perioden 1997-januari 1999. |
13 | Läst statusrapporter, ställda till VD, daterade 199Å-MM-DD, 199Å-MM-DD och 199Å-MM-DD. |
14 | Tagit del av sammanställning daterad 199Å-MM-DD. |
Begränsningar
Vi har inte bedömt fullständigheten i den information vi fått eller ändamålsenligheten och tillförlitligheten i organisationens åtgärdsarbete, inklusive katastrofplanen, och hittills utförda tester.
Vi uttalar oss inte om verksamhetens förutsättningar att helt eller delvis klara sekelskiftet eller frågor som är relaterade till detta, exempelvis den s.k. 99-problematiken eller det faktum att år 2000 är ett skottår.
_________________den________ 19
Namn Namn
Auktoriserad revisor Auktoriserad revisor