Bengt Carnö som arbetar med intern revision på revisionskontor vid Riksförsäkringsverket, har med anledning av en artikel i BALANS nr 7/76 av Lars och Stefan Elvstad insänt nedanstående personliga reflektion.
Nämnda artikel verkar väl läroboksmässig och inga hänvisningar görs heller till utförda granskningar av databaserade system. Artikeln hävdar att revisionens uppgifter ej har ändrats. Vad uppgifterna innebär tas för självklart och redovisas ej. Intrycket blir att en traditionsenlig syn på revisionsuppgifter lätt kan överflyttas på nya granskningsobjekt.
Låt oss undersöka dessa uppgifter. Det är nästan ett axiom att intern kontroll är ett medel för att säkra företagets tillgångar och en riktig redovisning. Detta synsätt är praktiskt för att det förenklar komplexa orsakssamband och målformuleringsproblem. Revisorn skall avge ett omdöme i sin årsberättelse om företagets förvaltning och redovisningens korrekthet och överensstämmelse med verkliga förhållanden. Det är en rimlig hypotes att omdömet är en produkt av hur revisorn uppfattar sin roll och till vilka intressenter och uppdragsgivare som redovisningen skall lämnas. Denna flytande roll har försökts förankras i sådana begrepp som god redovisningssed och branschens praxis. Denna metod räcker dock ej till som bas för att ompröva revisionens arbetsuppgifter.
Det är riktigt att intern kontroll är ett generellt begrepp som kan överflyttas till nya granskningsobjekt men frågan är om detta är lämpligt. Uppdelningen av handläggningen i ADB-system i sådant som är interna kontrollmoment och sådant som är operationella moment är helt godtycklig och begränsar revisionens möjligheter att förstå problem som är komplexa och mer integrerade.
För vissa mindre bitar kan dock begreppet interna kontroller användas. Det är för att analysera själva arbetsflödet mellan olika enheter eller delar i ett ADB-system. Det är relativt lätt att då tillämpa en hotbild att input/output ej är korrekt, att input/output ej är godkänd och att input/output ej är fullständig. Som skydd mot störningar finns de vanliga teknikerna för rutinorienterade kontroller såsom buntsummor, programmerade rimlighetstester och avstämningar mellan input och output från olika behandlingsled. Detta synsätt är ej nytt för ADB-system men revisionen kan hjälpa till att systematisera och dokumentera detta. Den värdebakgrund som finns bakom revisionens rekommendationer att rutinorienterade kontroller bör finnas är också mer traditionsenlig och orsakssambanden mellan fel som uppträder och förekomsten av interna kontroller är mer direkt.
Revisorernas möjligheter att bedöma ADB-systemets funktioner i stort är inte annorlunda än om bedömningen skulle avse en produktionsprocess inom ett tillverkningsföretag. Att då förfäkta att dokumentation och instruktioner bör finnas för tillverkningen är på gränsen till att göra sig löjlig. Dessa frågor har behandlats under lång tid av ADB-folk som även i fortsättningen är mest kompetenta att bedöma frågan.
Ett legitimt angreppssätt för revisionen som helt naturligt förbigås i artikeln, är revisors bedömning av förvaltningen.
Detta är förstås mer känsligt då revisorns uppdragsgivare sitter inom förvaltningen och ansvarar för denna. Det är en helt annan sak att säga att förvaltningen är bristfällig som ej kan producera effektivt t ex p g a dåligt testade program och dålig dokumentation än att säga att en programmerare skall utföra en bra dokumentation som ingen efterfrågar eller använder.
Ett användbart begrepp vid denna bedömning av ett ADB-system är om systemet följer lagar och förordningar, om systemet ger en korrekt tillämpning och korrekta beslutsunderlag samt om systemet är ändamålsenligt i förhållande till alternativa utformningar. Som faktaunderlag vid en sådan bedömning krävs kunskap om målsättningar, kravspecifikationer och en mätning av systemets effekter på en korrekt och ekonomisk tillämpning av systemet i företaget.
ADB-revision är inte att flytta över ADB-folk till revisionsbyråer för att säga det som redan är sedan länge bekant för dem som sysslar med ADB. Revisionens ambition måste i stället vara att utforma ett nytt synsätt på sig själv och sin roll vid granskning av ADB-system.
Bengt Carnö arbetar med intern revision på revisionskontor vid Riksförsäkringsverket.