Vilka möjligheter finns att utforma en fungerande intern kontroll och tillförlitliga redovisningsrutiner, när ett litet företag använder en mindre dator?
En projektgrupp inom FARs databehandlingskommitté har tagit fram ett autentiskt praktikfallsmaterial, som behandlar de speciella internkontroll- och revisionsmetoderna vid en minidatorinstallation i ett småföretag. Praktikfallet utgör grundstommen i en tvådagarskurs om intern kontroll och revision i minidatormiljö som ingår i FARs kursprogram för 1980/81.
BAKGRUND
Under de senaste åren har allt fler mindre och medelstora företag skaffat sig egna datorer som hjälpmedel i sina administrativa rutiner. Orsaken ligger främst i den ADB-tekniska utvecklingen, som medfört att egna mindre datorer numera kostnadsmässigt är överkomliga även för mycket små företag. Många av dessa företag har ingen tidigare erfarenhet av ADB. Marknadsutbudet av mindre datorer, vare sig leverantörerna föredrar att kalla dem mini-, mikro-, bords- eller kontorsdatorer, är synnerligen stort. Antalet leverantörer har växt mycket snabbt och även för specialister kan det ibland vara svårt att sålla agnarna från vetet, dvs att skilja mellan seriösa och mindre seriösa erbjudanden. Detta gäller inte så mycket datorerna som sådana, utan i större grad de standardpaket för bokföring, kundreskontra, lagerredovisning med flera rutiner som leverantörerna erbjuder tillsammans med datorn. Revisorerna i mindre företag har i många fall sett lyckade installationer, där små företag i stort sett uppnått förväntade mekaniserings- och styrningseffekter. Tyvärr finns det också ett relativt stort antal fall av mindre lyckade satsningar. Dessa har ibland vållat svåra störningar i faktureringen, kontrollen över kundfordringar och lager, kort sagt vållat allvarliga bekymmer för det berörda företagets verksamhet. Orsaken har ofta varit en oövertänkt snabb anskaffning av dator, utan att företagen gjort klart för sig sina krav på den nye medarbetaren – datorn. Många gånger har inte heller frågan om vilka krav bokföringslagen ställer på redovisningen överhuvud diskuterats mellan beställaren/småföretagaren och leverantören. Erfarenheten visar att just i det mindre företaget är det välbetänkt att inhämta råd från revisorn ifråga om redovisningens och rapporteringens utformning, innan dator och standardpaket införskaffas. Mål för intern kontroll och mål för effektivitet torde vad gäller administrativa rutiner i små företag ligga nära varandra. En grundtanke för det nu genomförda projektet i FARs databehandlingskommitté har därför varit att med råd för att utforma intern kontroll vid användning av mindre dator vända sig till såväl revisorer som företagsledare och ekonomichefer i mindre och medelstora företag. Är väl metoderna för intern kontroll i smådatorinstallationer klarlagda, kan sedan lämpligt angreppssätt för revision i denna miljö väljas.
VAD KÄNNETECKNAR ”MINIDATORMILJÖN”?
Med minidatormiljö menas i detta sammanhang installation av en egen mindre dator i en liten organisatorisk enhet som ett fristående småföretag, ett dotterbolag i en koncern eller rent av avdelning i ett större företag. I FAR-projektet har vi använt arbetsnamnet minidatormiljö, men metoderna för intern kontroll och revision kan likaväl avse en mikrodatorinstallation eller en mindre, generell dator. Den snabba ADB-tekniska utvecklingen gör gränserna flytande mellan dessa kategorier av datorer. Det intressanta är här knappast datorbeteckningen, utan de organisatoriska, personella och ADB-tekniska faktorer som har inverkan på kontrollmiljön och redovisningens tillförlitlighet och effektivitet.
Några typiska drag för minidatormiljön:
Datorn är installerad i vanlig kontorsmiljö. (Möjligen med undantag av någon bullrig radskrivare, som förvisats till ett eget mindre utrymme.)
Datoranläggningen består av en mindre centralenhet, ett externminne som är en diskett- eller skivminnesenhet beroende på behovet av lagring av information, en rad- eller teckenskrivare samt ett begränsat antal bildskärmsterminaler utplacerade hos dem som matar in och/eller använder information som ordermottagare, lager- och ekonomipersonal. Vanligen är bildskärmarna/arbetsplatserna lokalt belägna, men även teleöverföring av information från/till exempelvis ett lager på annan ort förekommer.
Tillämpningssystem som bokföring, kundreskontra och leverantörsreskontra är standardpaket som inhandlats med nyttjanderätt från maskinvaruleverantör eller separat programvaruleverantör. Ordbehandling, fakturering, lager- och produktionsstyrning kan vara standardpaket, men är vanligen standardpaket med vissa delar specialprogrammerade för beställaren.
Operativsystem och hjälpprogram för styrningen av datordriften har jämfört med stordatorerna begränsade funktioner. Ofta saknas intern- eller extern loggning av aktiviteter från konsol (styrterminal eller bildskärmar). Behörighetskontroller avseende bildskärmsavdelningen kan ingå i programvaran men utnyttjas vanligen inte.
Bearbetningssättet vid datorn är vanligtvis transaktionsvis och i dialogform mellan användare och dator. Detta innebär att användaren vid bildskärmen kan ta hjälp av datorsystemet vid inmatningen av uppgifter. Orderblanketten är exempelvis upplagd på bildskärmen med markering av obligatoriska uppgifter. Systemet signalerar, när dessa inte är ifyllda, och ordern registreras i systemet först när detta skett. De löpande transaktionerna uppdaterar omedelbart respektive register, som ligger on-line.
S k registervård, dvs upplägg, ändringar och borttag i huvudregister som kund-, artikel-, pris- och personalregister sker on-line från bildskärmsterminalerna. I regel saknas behörighetskontroller.
Programspråk, som vanligen används i minidatorer som exempelvis BASIC, är relativt lätta att lära sig. Dessutom finns i regel tillgång till rapportgenerator, som gör det möjligt för användarna att själva utforma program.
I minidatormiljön är det inte ovanligt att användare, programmerare och operatör är en och samma person. Det är vanligt att man från en bildskärm kan få åtkomst till samtliga de program och register som installationen omfattar.
De typiska dragen i minidatorinstallation har jag försökt åskådliggöra i vidstående skiss. Jag hoppas att av figur 1 framgår den betydelse val av leverantör har i minidatorinstallationen. Riskerna för kaotiska förhållanden i småföretagets administrativa rutiner kan avsevärt nedbringas av en noggrann utvärdering av maskin- och programvara i samband med upphandlingen. Mera om detta nedan.
Figur 1.
Minidatorinstallation i småföretag
Ordermottagning | Till Lager | Radskrivare | |
Minidator | Arkiv | ||
KONTORSLANDSKAP | |||
Kundreskontra | |||
VD | |||
Bokföring | |||
Valv | Kassa | ||
Ingång |
Assistans från:
Teknisk service
Underhåll av operativsystem och hjälpprogram
Vissa standardsystem
Anpassning av standardsystem
Ev specialsystem
Underhåll applikationsprogramvara
INTERN KONTROLL I MINIDATORMILJÖ
Utgångspunkten för att utforma metoder för intern kontroll i minidatormiljö är att syfte och principer för intern kontroll är desamma, oavsett företagets storlek eller om ADB används i redovisningen eller ej.
FARs styrelse har nyligen antagit ett förslag till rekommendation om granskning av intern kontroll. I förslaget återfinns följande generella definition på intern kontroll:
”Med intern kontroll menas i detta sammanhang ett företags organisation och alla de samordnade rutiner i företaget som syftar till
att säkerställa en riktig och fullständig redovisning
att trygga företagets tillgångar och därvid förhindra att bolaget drabbas av förluster på grund av förskingringar och andra oegentligheter eller oavsiktliga fel
att öka företagets effektivitet samt att säkerställa att av företagsledningen fastlagda riktlinjer följs”
I förslaget görs en principiell uppdelning mellan ADMINISTRATIVA KONTROLLER, som främst avser tillgångsskyddet, effektiviteten och att fastlagda riktlinjer följs, och REDOVISNINGSKONTROLLER, som främst har till syfte att säkerställa en riktig och tillförlitlig redovisning.
Av intresse i detta sammanhang är också en passus i FARs rekommendation om revision av räkenskaperna i svenska aktiebolag:
”Granskning i bolag med begränsat antal anställda.
Systematiskt uppbyggd redovisning och intern kontroll i övrigt är av betydelse för alla företag oavsett storleksordning. I företag med begränsat antal anställda är dock möjligheterna att åstadkomma den interna kontroll som kan uppnås genom arbetsfördelning oftast begränsade. I dessa bolag ökar betydelsen av ett välordnat redovisningssystem och löpande övervakning av verksamheten från företagsledarens sida.” (Kursiveringen gjord av artikelförfattaren.)
Minidatorprojektets mål
Med utgångspunkt från allmänna principer för intern kontroll med tonvikt på mindre företag har vi i FARs minidatorprojekt sett som vår uppgift att klarlägga användbara internkontroll metoder vid smådatorinstallationer för att uppnå de övergripande syftena till tillförlitlig redovisning, tillgångsskydd och effektivitet. Vi har också behandlat revisionsmetoder i minidatormiljö.
Kontrollområden vid ADB
I projektet har använts ett systematiskt angreppssätt, där vi utgått från de kontrollområden som är väsentliga vid användning av ADB. Dessa är:
ADMINISTRATIVA KONTROLLER
Upphandling av maskin- och programvara
Organisatoriska kontroller
Kontroller vid utveckling och underhåll av användarsystem
Kontroller i datordriftmiljön
REDOVISNINGSKONTROLLER
Kontroller i befintliga användarsystem
Systemdokumentation
De fyra första kontrollområdena är av generellt slag och gäller samtliga användarsystem. Metoderna inom dessa områden kan sägas ha en indirekt verkan på redovisningen. Metoderna inom kontrollområdena fem och sex är förknippade med respektive redovisningsrutin och har en direkt inverkan på redovisningens tillförlitlighet.
Kontrollmål och kontrollmetoder
Inom varje kontrollområde har väsentliga kontrollmål ställts upp och exempel på möjliga kontrollmål/tekniker diskuterats i projektet. Under projektets gång har vi haft möjlighet att följa en autentisk installation och gentemot denna pröva metodernas hållbarhet. Genom en mål-/ medelanalys har praktikfallsmaterialet successivt kunnat arbetas fram. Resultatet har blivit ett antal checklistor och bedömningsmallar för intern kontroll i minidatorinstallation, som även används vid granskningen av den interna kontrollen.
Bokföringslagen och Bokföringsnämndens anvisningar
Som en separat del i projektet har även behandlats bokföringslagens krav och Bokföringsnämndens anvisningar. Vid utformningen av redovisningssystem i mindre företag bidrar dessa i hög grad att göra systemen stabila och möjliga att granska i efterhand. I andra länder saknas i stor utsträckning motsvarande lagföreskrifter för den löpande redovisningen. Det är frapperande att se att de rekommendationer som exempelvis revisorsorganisationer i olika länder lämnar för utformning av tillförlitliga redovisningssystem i mycket liknar de regler som finns fastlagda i den svenska bokföringslagen. Detta gäller exempelvis kravet på en tillgodosedd verifieringskedja, dvs att det i efterhand skall vara möjligt att följa en enskild transaktions behandling genom hela systemet. En annan viktig regel i bokföringslagen är den i 6 § som anger hur rättelser skall tillgå, nämligen att verifikationer skall upprättas för de särskilda rättelseposterna. Viktiga regler som berör ADB är vidare de som berör krav på kompletterande systemdokumentation och behandlingshistorik (BFL 7 §, 2 st), användning av mikroskrift eller maskinläsbara media (BFL 10 §) och arkiveringsregler för dessa media (BFL 22 §). Det är väsentligt att såväl småföretaget som leverantören har kännedom om dessa regler och anvisningar vid utformningen av redovisningssystemet.
Några väsentliga kontrollmål och kontrollmetoder i minidatormiljö
Inom ramen för denna artikel är det inte möjligt att detaljerat gå igenom de checklistor och bedömningsmallar, som utarbetats i praktikfallet. Jag inskränker mig till att inom varje kontrollområde kortfattat diskutera några kontrollmål och metoderna för att tillgodose dem.
Principiellt visas kontrollstrukturen i minidatormiljö på figur 2.
Figur 2.
Principiell intern kontrollstruktur i minidatorinstallation
Administrativa | ||||
kontroller: | ||||
1 Upphandling | ||||
2 Organisatoriska kontroller | ||||
4 Datordrift | ||||
Affärshändelser | 5 Redovisningsmanuella | Minidator ADB | Kontroller manuella | Årsbokslut arkivering |
Miljö | ||||
3 Systemutvecklingskontroller | ||||
6 Systemdokumentation |
1 Upphandling
Huvudsakliga kontrollmål inom detta område är att egen dator anskaffas endast om detta ger effektivare och mer tillförlitliga redovisningsrutiner än andra alternativ som användning av servicebyrå eller rent manuella rutiner. Detta område får som tidigare framhållits bedömas som mycket viktigt för just småföretagen beroende på i många fall begränsade kunskaper om ADB och en svåröverskådlig flora av leverantörer.
Bland viktiga kontrollmetoder ingår:
Småföretaget bör göra en egen förstudie över befintliga rutiner.
Småföretaget bör upprätta en egen kravspecifikation över vad företaget vill åstadkomma med hjälpmedlet datorn.
Kriterier för utvärdering bör ställas upp och offertbegäran utformas. Bland frågorna till den potentielle leverantören bör ingå: Ekonomiska uppgifter om leverantören, referenser. Specifikation av maskinvara och programvara. Leverantörens lösning av kontrollkrav, bl a bokföringslagens krav. Leverantörens uppgifter om tekniska krav för installation, teknisk service och underhåll av programvara. Leverantörens dokumentation av standardpaketen.
En utvärdering av åtminstone tre leverantörer bör göras.
Avtal bör ingås, som täcker samtliga punkter i offertbegäran och offert.
I samtliga nämnda punkter bör en leverantörsoberoende konsult anlitas, om småföretaget inte bedömer sig ha tillräcklig erfarenhet av upphandling av egen dator. Från revisorn bör inhämtas råd om redovisningsrutinernas utformning.
Noggrann tid- och resursplan upprättas i samråd med leverantören. I alla frågor är det viktigt att småföretagsledaren själv är engagerad och följer uppgången av installationen.
2 Organisatoriska kontroller
Kontrollmål inom detta område är att fördelningen av ansvar och befogenheter är lämplig med hänsyn till möjligheterna att disponera över företagets tillgångar eller ikläda företaget skulder.
Kontrollmetoderna är traditionellt en lämplig arbetsfördelning dokumenterad i organisationsplan och befattningsbeskrivningar. Av naturliga skäl är en ur kontrollsynpunkt lämplig arbetsfördelning svår att uppnå i småföretag. En ofta förbisedd möjlighet i minidatorinstallationer är dock följande grundläggande uppdelning av arbetsuppgifter:
Handha operativ styrning och godkänna vissa viktigare transaktioner. Exempel: Godkänna korrigering av större inventeringsdifferenser, bedömning av lagerstorlek och omsättningshastighet. I småföretag är detta företagsledarens egna uppgifter.
Handlägga redovisning. Exempel: Löpande uppföljning av lagerredovisningen av ekonomichef.
Svara för mottagning, lager och utlämning av varor, dvs handha den fysiska tillgången.
Denna grundläggande uppdelning av uppgifter går i regel att åstadkomma redan i relativt små företag. Detta förhållande bör beaktas vid uppläggningen av användarsystem i minidator.
3 Kontroller vid utveckling och underhåll av användarsystem
Övergripande kontrollmål är här att tillförlitliga och effektiva redovisningssystem utvecklas och sedan underhålls.
Kontrollmetoderna består i användning av effektiva systemerings- och programmeringsstandards, tillfredsställande testningsförfarande av program och system samt effektiv kontroll över registeruppläggningen. I minidatorinstallationen är här valet av programvaruleverantör viktigt. Detsamma gäller ledningens och användarnas engagemang i testning och kontroll över registeruppläggning. Det är även väsentligt att en rutin läggs upp för hur programvaruleverantören skall utföra ändringar i användarsystemen.
4 Kontroller i datordriftmiljön
Kontrollmål är här att förhindra eller upptäcka oavsiktliga eller avsiktliga fel som uppstår vid själva datordriften.
Kontrollmetoderna består bl a i en fungerande teknisk service, fastställda back-up-rutiner för program och register och att en reservanläggning finns att tillgå vid eventuellt längre driftavbrott.
Sammanfattning av administrativa kontroller i minidatormiljö
På grund av att uppgifter som användning av systemen, programmering och programunderhåll samt körning av datorn i minidatorinstallationen ofta utförs av en eller några få befattningshavare, är det allmänt sett svårt att erhålla tillfredsställande administrativa kontroller i företagets egen datorinstallation. I viss mån motvägs dock bristerna genom den löpande övervakning och uppföljning som är möjlig i en verksamhet av begränsad omfattning. Erfarenheterna visar att viss grundläggande arbetsfördelning och fasta rutiner för användning, drift och underhåll av systemen går att åstadkomma med relativt enkla och begränsade medel även i en minidatorinstallation.
Här måste beaktas sambandet mellan administrativa kontroller och redovisningskontroller. Är möjligheterna till administrativa kontroller begränsade, ökar kraven på ett välordnat redovisningssystem.
REDOVISNINGSKONTROLLER
5 Kontroller i befintliga användarsystem
Kontrollmål kan här anges i två nivåer, dels övergripande mål som kan sättas för alla användarsystem, dels mål som är specifika för de olika redovisningsrutinerna. De övergripande kontrollmålen är:
Fullständighet. Alla transaktioner behandlas i systemet endast en gång.
Riktighet. Transaktionerna bearbetas korrekt genom hela kedjan av manuella och programmerade kontroller.
Godkännande. Vissa transaktioner fordrar särskilt godkännande eller attest för att behandlas i systemet.
Verifieringskedjan tillgodosedd. Bearbetningen av enskilda transaktioner skall kunna följas genom hela systemet.
De mer tillämpningsspecifika kontrollmålen formuleras ofta på följande sätt:
Alla mottagna order blir levererade.
Alla leveranser blir fakturerade.
Alla fakturor blir betalda.
Alla fakturor och inbetalningar blir bokförda.
Kontrollmetoderna i användarsystem är i princip desamma i en minidatorinstallation som i stordatormiljö. Kontrollerna består av en väl avvägd kombination av manuella och programmerade kontroller. Stor vikt bör läggas vid registervården, dvs uppläggning, ändringar och borttag av fasta uppgifter i huvudregister. Här är det ofta möjligt att åstadkomma en lämplig arbetsfördelning och genom att använda behörighetskontroller vid terminalarbetet åtminstone begränsa riskerna för avsiktliga fel. Vad gäller löpande transaktioner är möjligheterna att använda programmerade kontroller vid dataregistrering i regel mycket goda genom uppläggning av förutbestämda formulär på bildskärmarna. Trots den transaktionsvisa inmatningen bör beaktas möjligheterna att etablera manuella kontrolltotaler per dag eller kortare tidsintervall som exempelvis skift, som kan stämmas av på utdatasidan. Här är bokföringslagens krav till hjälp vid utformningen av systemen genom föreskrifter om god verifikationsordning, grundbokföring och huvudbokföring. Dessa ”gammalmodiga” och handfasta avstämningskontroller, som ibland benämns användarkontroller, är speciellt intressanta i minidatormiljön. Orsaken till detta är de tidigare beskrivna svårigheterna att upprätthålla tillfredsställande administrativa kontroller i minidatormiljön. Det är alltför enkelt för den som så vill att ändra program eller att genom hjälpprogram utanför användarprogrammen påverka registerinformation.
6 Systemdokumentation
Systemdokumentationen har fyra huvudsakliga kontrollmål, att möjliggöra:
överblick och förståelse av systemet
effektiv datordrift
effektiv användning
underhåll och vidareutveckling av systemet
Kontrollmetoderna består i att upprätta standardiserade översiktsbeskrivningar, användar-, terminaloperatörs- och operatörsinstruktioner samt programbeskrivningar, bildskärms- och listlayouter.
Dokumentationen är om möjligt ännu viktigare i minidatorinstallationen än i stordatormiljön. Ett fåtal nyckelpersoner sitter ofta inne med informationen för användning, drift och underhåll av systemen. Ofta lämnar inte leverantörerna ifrån sig programdokumentation som de betraktar som sin egendom. Det är nödvändigt att i avtal specificera vilken systemdokumentation som leverantören skall lämna till beställaren – småföretaget. Även uppfyllande av bokföringslagens krav på dokumentation bör regleras i avtalet.
Sammanfattning, redovisningskontroller
På grund av de begränsade möjligheterna till administrativa kontroller i minidatorinstallationen får redovisningskontrollerna tillmätas mycket stor betydelse. Bokföringslagens regler och Bokföringsnämndens anvisningar utgör en god grund för utformning av tillförlitliga redovisningssystem.
REVISIONSMETODER I MINIDATORMILJÖ
Granskning av intern kontroll
Revisionsmetoderna måste anpassas till de förutsättningar som råder för att upprätta en fungerande intern kontroll i minidatormiljö. Revisorn bör med hjälp av lämpligt frågeformulär eller bedömningsmall granska de administrativa kontrollerna. I anslutning till denna granskning bör en granskning av ett användarsystem ske för att erhålla en bedömning av hur användarsystemet hanteras i datordriftmiljön. Redan efter denna granskning kan revisorn finna sådana brister, att han inte kan förlita sig på administrativa kontroller eller programmerade kontroller i sin granskning av redovisningssystemen.
Vissa enklare redovisningssystem kan dock ha en sådan uppbyggnad av manuella kontroller (användarkontroller) att revisorn kan förlita sig på dessa vid sin granskning och återkommande verifiera att de är i funktion.
Substansgranskning
Finns inte heller tillfredsställande manuella kontroller, återstår för revisorn att genomföra substansgranskning, dvs direkt fastställa att redovisningens innehåll är väsentligen riktigt. Substansgranskning innebär i regel en väsentligt utvidgad omfattning av revisionsarbetet.
Datorstödd revision
Vid såväl internkontrollgranskning som substansgranskning kan revisorn själv använda sig av minidatorn i granskningsarbetet. Med hjälp av egna program kan revisorn analysera registerinnehåll och indirekt även granska klientens programfunktioner genom att jämföra resultatet av revisionsbearbetningar med motsvarande produktionsbearbetningar. Åtskilliga minidatorleverantörer tillhandahåller lämplig standardprogramvara för revisionsanalyser.
Dokumentation och rapportering
Över utförd granskning, innefattande datorstödd revision bör revisorn dokumentera utredning, preliminär bedömning, verifiering och slutlig bedömning av den interna kontrollen. Väsentliga brister rapporteras till företagsledningen. Inom ramen för FARs minidatorprojekt har framtagits bedömningsmallar för granskning av administrativa kontroller i minidatormiljö. Dessa används i praktikfallet i den tidigare nämnda tvådagars minidatorkursen. Vid kursen behandlas även datorstödd revision.
SAMMANFATTNING
Det minidatorprojekt som FARs databehandlingskommitté genomfört visar att fungerande administrativa kontroller och redovisningskontroller även går att upprätta i minidatormiljö. Den autentiska installation som projektgruppen hade möjlighet att följa blev lyckad.
Bland viktiga faktorer för detta var:
Engagemang från ledningen från upphandling till färdig installation.
Assistans från en kompetent konsult.
Noggrann specifikation av företagets egna krav på redovisningsrutiner.
Väl fungerande manuella rutiner i ingångsskedet.
Noggrann kontroll vid registeruppläggning, program- och systemtest och systemstart.
Beaktande av utbyggnadskrav vid val av maskinleverantör.
Genom att i ett genomgående praktikfall visa ett systematiskt angreppssätt såväl vid utformning av intern kontroll som vid granskning hoppas vi kunna sprida de positiva erfarenheterna från modellinstallationen till revisorer, företagsledare och ekonomichefer i mindre och medelstora företag.
Lars Dykert, organisationskonsult, Bohlins Revisionsbyrå AB och ledamot i FARs databehandlingskommitté