”Audit of servicecenterproduced records” heter en rekommendation som utgivits av AICPA. I rekommendationen hänvisas till granskning av en fristående revisor i de fall då en dataservicebyrå behandlar likartade tillämpningar med användande av samma dataprogram för flera kunder. Auktor revisor Jan Johanson redogör här för en del av innehållet i rekommendationen.
Användningen av datorer för företagens redovisning har de senaste åren ökat mycket snabbt. I takt med denna ändring av redovisningstekniken har revisorerna anpassat sina metoder för granskning av företagens redovisning och utvecklat en ändrad och delvis helt ny granskningsteknik där datorerna används vid granskningsarbetet. Impulserna till denna utveckling i Sverige har kommit framförallt från våra kollegor i England, USA och Kanada.
FAR har genom sin databehandlingskommitté de senaste åren utarbetat och utgivit sina synpunkter på intern kontroll och revision beträffande företag som använder datorbaserade redovisningssystem. Speciella synpunkter på internkontroll i terminalinriktade redovisningssystem finns även utgivna liksom särskilda frågeformulär för utredning och bedömning av internkontroll.
Dataservicebyråer
Vid FARs seminarier och vid diskussioner revisorer emellan i andra sammanhang har följande fråga ofta ställts: Hur skall vi agera när våra klienter kör sin redovisning hos dataservicebyråer? Frågan har blivit alltmer aktuell eftersom de stora dataservicebyråerna fortsätter att växa med ökad användning av terminaler och databassystem. Samtidigt ökar även körningarna hos dataservicebyråer av de små företagens redovisning på enkla standardsystem för huvudbok, reskontra, löner etc via redovisningsbyråer.
Intern kontroll och revision
I de synpunkter utgivna av FAR som hänvisats till ovan sägs beträffande intern kontroll: ”Samma principer och metoder för intern kontroll gäller i de fall då man anlitar servicebyrå i stället för att använda egen dator. De viktigaste driftkontrollerna bör utföras av kunden. Både denne och servicebyrån bör dessutom utöva noggrann kontroll över transporten av data mellan kundens lokaler och servicebyrån. Kunden har inte direkt kontroll över servicebyråns arbete men bör dock försäkra sig om att ändamålsenliga rutiner tillämpas på servicebyrån speciellt beträffande säkerheten för konfidentiella data och för rekonstruktion av register.” Beträffande revision sägs: ”I de fall klienten anlitar servicebyrå är revisionsmetoderna i princip desamma som när egen dator används. Om systemet innehåller omfattande programmerade kontroller torde revisorn behöva bilda sig en uppfattning om kontrollnivån inom servicebyrån. Det ankommer på klienten att hålla underlag tillgängligt för revisorns bedömning av servicebyråns kontroller.”
Praktiska problem
Ovannämnda citat innebär bl a att företagsledningens ansvar för redovisningen och den interna kontrollen inte blir mindre för att redovisningen lejts bort till en dataservicebyrå. Ej heller blir revisorns skyldighet att granska den interna kontrollen mindre genom detta.
Vid anlitande av dataservicebyrå för enkla standardsystem för exempelvis huvudbok är det oftast möjligt att göra manuella avstämningar hos kundföretaget varför behovet av att besöka datacentralen för granskning är begränsat. Om revisorn däremot vid genomgång av frågeformulär för intern kontroll och upprättande av detaljgranskningsplan finner, att väsentliga kontrollområden icke kan täckas genom kontroller hos kunden måste han överväga att besöka dataservicebyrån för granskning av den interna kontrollen i rutinen. Härvid kan det även bli aktuellt att granska de administrativa kontrollerna. Om en dataservicebyrå behandlar likartade tillämpningar med användande av samma dataprogram (standard system) för flera kunder och förhållandena i övrigt är sådana att kundernas revisorer anser det nödvändigt att besöka datacentralen för granskning kan det bli besvärligt för dataservicebyråns ledning och personal att hinna med att besvara likartade frågor från olika kundrevisorer.
”Third-Party Review” i USA
Våra amerikanska kollegor har uppmärksammat detta problem och rekommenderar en ”third-party review”, d v s en granskning av en fristående revisor, i fall som dessa. AICPA (American Institute of Certified Public Accountants) har givit ut en ”audit guide” som handlar om ”audit of servicecenterproduced records” (New York 1974) där denna granskning av en fristående revisor anvisas som en praktisk och lämplig åtgärd. Jag skall här nedan kortfattat försöka redogöra för en del av innehållet i det amerikanska uttalandet om en ”third-party review”.
GRANSKNINGENS OMFATTNING OCH INNEHÅLL
En fristående revisors granskning av standardsystem på uppdrag av en dataservicebyrå begränsas vanligtvis till att gälla kontroller inom dataservicebyrån och tar ej hänsyn till kundföretagets rutiner och kontroller. Arbetspapper från granskningen bör hållas tillgängliga för kundföretagets revisor och bör vanligen omfatta följande:
Beskrivning av de driftskontroller, administrativa kontroller och programmerade kontroller som är i bruk vid dataservicebyrån.
En tillräckligt detaljerad systembeskrivning.
Omfattningen av och innehållet i de tester som gjorts vid granskningen.
Resultatet av testerna.
RAPPORTENS INNEHÅLL
Den fristående revisorns rapport till dataservicebyrån bör vanligen innehålla följande:
Ett uttalande om granskningens omfattning och om granskningen inneburit både utredning och verifiering av systemet.
Dataservicebyråns systembeskrivning med angivande av kontrollerna i systemet.
Den tidsperiod som granskningen avser.
En bedömning av hur väl systemet och dess kontroller, för den period granskningen avser, överensstämmer med dataservicebyråns systembeskrivning.
En reservation för möjligheten att uttala sig om huruvida det finns tillräckligt med kontroller hos dataservicebyrån utifrån kundföretagets synpunkt. (Slutsatsen om detta kan endast dras av kundrevisorn med beaktande av både dataservicebyråns och klientens interna kontroller.)
Kommentarer om otillfredsställande intern kontroll i systemet och rekommendation om korrektiva åtgärder. Dessa kommentarer bör innehålla rapport om frånvaro av kontroller eller om kontroller ur funktion med följande uppdelning:
Kontroller som enligt dataservicebyråns ledning finns men som antingen befunnits ej existera eller vara ur funktion.
Kontroller som enligt dataservicebyråns ledning inte finns men som av den fristående revisorn bedöms som önskvärda.
KOMPLETTERANDE GRANSKNING
Som komplettering till den fristående revisorns rapport kan kundrevisorn behöva gå igenom den fristående revisorns arbetspapper eller utföra viss ytterligare granskning hos dataservicebyrån. Den fristående revisorn är givetvis ansvarig för sin rapport men kundrevisorn måste själv göra den totala bedömningen av den interna kontrollen hos sin klient utifrån förhållandena hos såväl dataservicebyrån som hos klienten. Kundrevisorn bör därför i sin rapport ej hänvisa till den fristående revisorns rapport.
Genomgång av den interna kontrollen kräver en löpande uppdatering eftersom utvecklingen går snabbt och förändringarna är många inom kort tid. Om en genomgång görs tidigt under året och en kundrevisor skall använda sig av denna genomgång för revision av en klient för samma år erfordras ett uttalande av den fristående revisorn om att väsentliga ändringar ej gjorts under året alternativt att väsentliga ändringar gjorts i den interna kontrollen med precisering av vilka ändringar som gjorts.
Förhållandena hos oss
Här hemma har väl icke någon enhetlig praxis utvecklats i dessa frågor. Exempel finns dock på granskning och rapporter av den typ som amerikanerna rekommenderar. Jag har själv vid granskning av klient använt mig av kollegas rapport med i stort sett det innehåll som redogjorts för ovan. Jag känner dessutom till beställning från en stor dataservicebyrå om genomgång av standardsystem som används av många kunder. Sannolikt finns åtskilliga likartade företeelser på marknaden. Särskilt lämpliga för granskning av fristående revisor är rutiner med stora transaktionsmängder som behandlas lika. Exempel på detta är branschbetonade standardsystem och bank- och lönerutiner. Som framhållits tidigare måste här givetvis en individuell genomgång göras av kundrevisorn hos kunden eftersom den manuella hanteringen kan variera mellan olika kunder.
Datasäkerhet
I pressen och bland politiker har de senaste åren förts en livlig diskussion om datasäkerhet i vid bemärkelse. Även om denna diskussion inte alltid varit så sakligt underbyggd torde den ha bidragit till att i vart fall de större dataservicebyråerna ägnat säkerhetsfrågorna ett ökat intresse. Detta har bl a medfört att vissa dataservicebyråer utarbetat särskilda ”säkerhetsprogram” med beskrivning av såväl fysisk datasäkerhet som den övriga kontrollnivån inom dataservicebyrån.
Beskrivningar över säkerhets- och kontrollåtgärder har tillställts kunden och kundens revisorer vid förfrågan. Steget borde i dessa fall inte vara alltför långt till att uppdra åt en revisor att gå igenom administrativa kontroller och systemutvecklingskontroller och rapportera till dataservicebyrån. En sådan rapport skulle sannolikt i de flesta fall kunna utgöra grunden för kundrevisorernas bedömning av den allmänna kontrollnivån inom dataservicebyrån.
För bedömning av de rutinorienterade kontrollerna inom en särskild rutin erfordras givetvis en genomgång av just den rutinen.
Sammanfattning
Sammanfattningsvis kan följande sägas beträffande intern kontroll och revision vid företag som anlitar dataservicebyrå.
Samma principer och metoder för intern kontroll gäller i de fall då man anlitar servicebyrå i stället för att använda egen dator.
Företagsledningens ansvar för redovisningen och den interna kontrollen blir inte mindre för att redovisningen lejts bort till en dataservicebyrå.
I de fall klienten anlitar servicebyrå är revisionsmetoderna i princip desamma som när egen dator används.
Vid enkla standardsystem för exempelvis huvudbok är det oftast möjligt att utföra nödvändiga avstämningar och kontroller manuellt hos kunden utan besök hos dataservicebyrån.
Om väsentliga kontrollområden icke kan täckas genom kontroller hos kunden måste besök hos dataservicebyrån övervägas.
Vid mer komplicerade standardsystem rekommenderar amerikanerna granskning och rapport av en fristående revisor som en praktisk åtgärd (Third-Party Review).
Den slutliga bedömningen av internkontrollen görs av kundrevisorn på grundval av den fristående revisorns rapport och egna genomgångar hos kunden.
Internkontrollgenomgångar måste löpande uppdateras eftersom väsentliga ändringar kan ske.
Utvecklingen i Sverige är på väg mot att kundrevisorn kan använda sig av kollegas rapport från granskning av dataservicebyrå.
Ökat intresse för datasäkerhet i vid bemärkelse stimulerar dataservicebyråerna till arbete med säkerhets- och kontrollfrågorna.
Jan Johanson, auktor revisor