Många skäl talar för tredjepartsgranskning av byråer och standardsystem. Granskningen bör utmynna i en redogörelse riktad till användarrevisorn beträffande utförda granskningsåtgärder och resultat av dessa så att denne efter eventuella följdfrågor och kompletteringar kan bedöma det totala kontrollsystemet med utgångspunkt från ”sin användares” förhållanden.

Leif Engqvist, Viktor Epstein och Lars Lundberg tar i denna artikel upp tredjepartsgranskningens möjligheter och begränsningar och ger exempel på en utförd tredjepartsgranskning av ett stort lönesystem.

Revisorns ställningstagande till årsredovisningen grundas på en kombination av granskningsåtgärder. Dels åtgärder som verifierar substansen i årsredovisningens uppgifter. Dels åtgärder som verifierar att företagets kontrollsystem säkerställt en fullständig och riktig redovisning. Även som ett led i granskningen av förvaltningen skall revisorn bedöma organisation och rutiner för att klarlägga om styrelsen och VD uppfyllt sina plikter i fråga om bokföring och medelsförvaltning. Alltså kan konstateras att en väsentlig del av revisorns arbete består av att utreda, verifiera och bedöma kontrollsystemen i företagets rutiner. Detta gäller oavsett om granskningsmiljön är datorbaserad eller inte – för att inte säga i synnerhet om miljön är datoriserad.

Vid bedömningen av kontrollsystemet i en datorbaserad rutin behöver vanligtvis hänsyn tagas till såväl generella kontroller i och kring datordriften och systemutvecklingen som rutinorienterade kontroller i de specifika rutinerna. Rutinorienterade kontroller berör både manuella rutiner avseende in- och utdata och mer datoriserade delar av rutinen. Allteftersom systemen blir mer sofistikerade och ständigt tillgängliga via terminaler ökar kontrollerna i datordriften och systemutvecklingen i betydelse för revisorns bedömning – eller i varje fall kan de inte uteslutas från bedömningen.

Kontrollsystemen delvis ”utanför” klienten

Om företaget har egen datordrift och egen systemutveckling etc är det naturligt för företagets revisor att vidtaga granskningsåtgärder inom alla kontrollområden och inom dessa beträffande både manuella och datoriserade kontroller. Det är dock inte ovanligt att företag utnyttjar servicebyrå och/eller standardsystem för rutiner, vilka är väsentliga sett ur revisorns synvinkel och således bör bedömas beträffande kontrollsystemens lämplighet. I dessa fall kräver en bedömning av kontrollerna i och kring datordriften och systemutvecklingen utredning och verifiering av vissa rutiner hos servicebyrån och/eller systemleverantören (systemförvaltaren). Utan insatser beträffande datordriften, systemutvecklingen (inklusive programändringar) och de datoriserade rutinorienterade kontrollerna kan revisorn inte få tillräckliga underlag för att bedöma klientens kontrollsystem, varigenom revisionsinsatsen blir otillräcklig eller ineffektiv. Är det rimligt att aktuella rutiner hos en servicebyrå och/eller en systemförvaltare utreds och granskas av flera kunders revisorer eller kan det undvikas genom tredjepartsgranskning?

Varnad man är till hälften räddad

Tankekorn av Herman Stolpe

Tredjepartsgranskning

Tredjepartsgranskning av servicebyråer och standardsystem har diskuterats åtminstone sedan början av 1970-talet. Begreppet innebär att en revisor (användarrevisorn) använder servicebyråns och/eller systemförvaltarens rutin- och kontrollbeskrivningar vid sin bedömning av användarens kontrollsystem om beskrivningarna har granskats av en annan kvalificerad (och oberoende) revisor (tredjepartsrevisorn). Observera dock att ”användarrevisorn” behåller hela ansvaret för sin bedömning av användarens kontrollsystem även när ”användarrevisorn” bygger på information från ”tredjepartsrevisorn”. Detta medför att ”användarrevisorn” bör bilda sig en egen uppfattning om ”tredjepartsrevisorns” granskningsåtgärder är lämpliga och tillräckliga för att tillsammans med ”användarrevisorns” egna granskningsåtgärder hos användaren ge underlag för ställningstaganden.

Handledning

Utförligaste dokumentationen beträffande tredjepartsgranskning av servicebyråer och standardsystem är AICPAs (FARs motsvarighet i USA) Audit Guide ”Audits of Servicecenter-produced Records”, publicerad 1974 och författad av Committee on Computer Auditing (Databehandlingskommitténs motsvarighet i USA).

Viss ledning kan även fås i IFACs International Auditing Guideline (IAG) nr 15 från februari 1984 (sid 191–192 i 1984 års Omnibusedition). I detta sammanhang är särskilt punkterna 6 och 9 intressanta. Vidare kan nämnas UECs ASB 2, IFACs lag 5 och FARs rekommendation ”Om koncernrevision”, som alla tre bl a handlar om utnyttjande av annan revisors granskningsåtgärder. Möjligen kan vissa parallellresonemang föras.

Några reflexioner

Ovan har eftersträvats en kortfattad, logiskt uppbyggd redogörelse för granskningsförhållandena ur strikt redovisningsrevisionell synvinkel då företag utnyttjar servicebyrå och/eller standardsystem. Utifrån denna förutsättning förtjänar påpekas att en granskning av servicebyråns och/eller systemförvaltarens rutiner, d v s en tredjepartsgranskning, blir aktuell endast då användarrevisorn grundar sitt ställningstagande beträffande årsredovisningen delvis på användarens kontrollsystem och endast då dettas tillförlitlighet är beroende av ”ADB-kontroller”. För en vanlig enkel standardbokföringsrutin (utan maskingenererade transaktioner) som körs på servicebyrå är knappast frågan om tredjepartsgranskning aktuell, eftersom datorbearbetningen kontrolleras fullständigt genom manuella användarkontroller (prickningar och avstämningar). En avancerad lönerutin med ett flertal maskingenererade utdata som körs på servicebyrå förutsätter å andra sidan normalt en granskning av datordrift och systemutveckling för att ett tillfredsställande revisionsarbete skall uppnås.

Även om det strikt logiskt revisionsmässigt inte är behövligt med en granskning av datordrift, systemutveckling och ADB-kontroller, kan en begränsad tredjepartsgranskning hos servicebyrån och/eller systemförvaltaren ändock ur praktisk synvinkel vara befogad. Information som användarrevisorn kan vara betjänt av är exempelvis en analys av vad som är att betrakta som räkenskapsmaterial i ifrågavarande rutin och som således skall arkiveras i 10 år. Möjligheterna att utnyttja datorn som revisionshjälpmedel för t ex substansgranskning är ett annat exempel på information som kan vara värdefull för användarrevisorn.

Revisorsintyg tveksamma

Vid några tillfällen har ifrågasatts om inte en tredjepartsgranskning skulle kunna resultera i någon form av intyg som innehåller ett uttalande enligt exempelvis följande: ”Utförd granskning har visat att servicebyråns rutiner är tillfredsställande från intern kontrollsynpunkt” eller ”... att standardsystemet har en tillfredsställande intern kontrollnivå”. Det är tveksamt om uttalanden med denna innebörd är i överensstämmelse med god revisionssed. Bedömningar av det slag som uttalandet förutsätter kan endast göras utifrån en viss användares specifika tillämpning. Det är därför enligt vår uppfattning lämpligt att begränsa externa rapporter från tredjepartsgranskningar till en redogörelse riktad till användarrevisorerna av utförd granskning och resultatet av denna. Denna begränsning i externa rapporter hindrar givetvis inte att tredjepartsgranskningen även resulterar i förslag till servicebyrån eller systemförvaltaren beträffande förbättringar av den interna kontrollen och dokumentationen av denna.

Användarens lagstadgade ansvar

Det framhålls ofta i sammanhang som detta att styrelse och VD enligt aktiebolagslagen har ett uttalat ansvar för att företaget har en god intern kontroll, d v s att kontrollsystemen i företagets rutiner är tillfredsställande. Detta ansvar gäller oavsett om företaget har egen datacentral och skräddarsydda system eller anlitar servicebyrå och standardsystem (med systemförvaltare). Ansvaret för den interna kontrollen kan företagsledningen således inte ”sälja” bort. Motsvarande bestämmelser finns uttalade i bokföringsförordningen, som gäller för statliga myndigheter. I förordningen anges nämligen att till bokföringsskyldigheten hör bl a att ombesörja en god intern kontroll.

Mot denna bakgrund är det uppenbart att användaren bör beakta kontrollaspekterna vid upphandling av servicebyråtjänster och/eller standardsystem med systemförvaltning. Dels bör upphandlingen utföras på ett sådant sätt att misstag förebyggs i möjligaste utsträckning. Dels bör kontrollsystemen i de upphandlade rutinerna/tjänsterna särskilt beaktas. Sistnämnda åtgärd innebär konkret att användaren bör efterfråga särskild beskrivning av kontrollsystemen.

Klok bedömning är mer värd än stjärntydarkonsten

Persiskt ordspråk

Nyttiga ”biprodukter”

Servicebyråer och systemförvaltare har givetvis intresse av att tillgodose ovannämnda användarönskemål om särskild dokumentation av kontrollsystemen. Det är ej heller uteslutet – kanske t o m troligt – att det i samband med tredjepartsgranskning kan framkomma förslag till förbättringar av den interna kontrollen, d v s ge möjlighet till förbättring av servicebyråns respektive systemförvaltarens tjänster och produkter. Från utgångspunkterna i avsnittet om tredjepartsgranskning från revisorns synpunkt är dokumentation av kontrollsystem och förslag till kontrollförbättringar biprodukter till en tredjepartsgranskning. Från användarnas, servicebyråernas och systemförvaltarnas utgångspunkter kan naturligtvis förhållandet betraktas omvänt, d v s att användarrevisorernas utnyttjande av en centralt initierad utredning beträffande kontrollsystemen är en biprodukt till huvudprodukterna dokumentation av kontrollsystemen och förslag till kontrollförbättringar.

Kontroller hos servicebyrån

I revisorns arbetsmetoder ingår att utifrån revisionens syfte inledningsvis formulera önskvärda kontrollmål för att målinrikta granskningsarbetet. Analysen av dessa kontrollmål ligger sedan till grund för bedömningen av från internkontrollsynpunkt lämplig utformning av organisation och rutiner. Tre övergripande och väsentliga kontrollmål avseende datordriften är:

* Rutinerna för datordriften skall säkerställa att endast behörigen godkända program används i produktionen.

* Rutinerna för datordriften skall säkerställa att endast behörigen erhållna indata bearbetas samt att bearbetningen under hela flödet är fullständig och riktig.

* Rutinerna för datordriften skall säkerställa att lagrade register av olika slag enbart uppdateras i enlighet med fastställda rutiner och att rätt register används vid respektive bearbetning.

För datordriften kan ytterligare ett antal kontrollmål formuleras. Exempel på sådana är

* Den fysiska säkerheten utformas så att den säkerställer att de tillgångar som finns inom datorcentralen skyddas.

* Back-up-rutinerna utformas så att de säkerställer skydd mot ofrivillig förstörelse av register och mot driftavbrott.

I det praktiska arbetet bryts givetvis de tre övergripande kontrollmålen ner i ett flertal delmål, vilka berör sådana tekniska funktioner som loggsystem, programbibliotek, filhantering, operativsystem och/eller basprogram etc. Även om en användare och dennes revisor endast är intresserad av några få begränsade delmål är en allmän analys ur kontrollsynvinkel av funktionerna av nyssnämnda slag en värdefull ”biprodukt” för servicebyrån som sådan.

Exempel på tredjepartsgranskning1

När Svenska Arbetsgivareföreningens Allmänna Grupp, nedan kallad Allmänna Gruppen, påbörjade utvecklingen av ett datalönesystem i första hand för att hjälpa små och medelstora företag, oberoende av avtal, med den alltmer betungande administrationen av löner och personal, utgick vi från det av Verkstadsföreningen (VF) utvecklade VF-Datalön. Allmänna Gruppen tog dock ytterligare ett steg närmare företagen/slutanvändarna då detta parameterstyrda och modulindelade lönesystem utformades ända ner på programkodsnivå. Vi beslöt också att ta det fulla ansvaret för vidareutveckling och löpande underhåll för systemet, som har registrerats under varumärket ”ag-datalön”. Förutom själva systemet tillhandahålles in- och utdatablanketter, dokumentation, utbildning, assistans, konferensverksamhet. Marknadsföring sker genom dataservicebyråer under ett licensavtal.

Redan vid den grundläggande systemutformningen kom vi att samarbeta med professor Valter Goldberg på Handelshögskolan i Göteborg. Det hade under slutet av 60-talet i USA höjts röster för att datasystem för löner, bokföring och ekonomisk redovisning skulle granskas av revisor med ADB-kunskaper. Valter Goldberg föreslog att vi skulle låta en ADB-kunnig revisor granska vårt system ”In Statu Nascendi” – i frigörelseögonblicket.

Samtidigt började en och annan revisor i de större användarföretagen efterfråga ett revisorsutlåtande om vårt lönesystem. Det var då som frågan om tredjepartsgranskning började diskuteras med några auktoriserade revisorer. Diskussionerna och de inledande erfarenheterna resulterade sedan i att en revisor erhöll uppdraget att utföra en tredjepartsgranskning.

Detta blev särskilt angeläget eftersom bearbetningen av löner sker hos 16 olika licenstagare som i sin tur förmedlar tjänster i form av lönebearbetningar till närmare 700 företag med ca 200.000 personer anställda. Sambandet mellan berörda enheter framgår av figur 1 nedan.

Figur 1. Samband mellan enheter inom SAF vid utarbetande av lönesystem

SAFs ALLMÄNNA GRUPP

ANVÄNDARMEDDELANDEN

Användare

* Utveckling och underhåll av lönesystem

* upprättar indata

* dokumentation av lönesystem

* kontrollerar utdata

* utbildning, information och konferenser

INDATA

Tekniska

system-MEDDELANDEN

UTDATA

Datacentral/servicebyrå

* programuppdatering

* datordrift

Detta avsnitt har skrivits av Viktor Epstein och Leif Engqvist.

Erfarenheter

Vårt huvudmotiv för en tredjepartsgranskning kan i sammanfattning sägas vara att samtliga i lönebearbetningsprocessen engagerade parter skall vara övertygade om att lönerutinen verkligen ger ”Rätt lön i rätt tid”. I sin tur kan detta huvudmotiv brytas ned i delmotiv av olika vikt beroende på om man är systemförvaltare, servicebyrå eller slutanvändare.

Tredjepartsgranskningens första år kom att ägnas åt granskningens ”biprodukter” d v s systemförbättringar och dokumentation. Först efter några år påbörjades revisorns löpande granskningsinsatser som var det ursprungliga syftet med granskningsprojektet.

Systemförvaltningen

Det är viktigt att lönesystemet förvaltas på ett för servicebyråer och slutanvändare betryggande sätt. Tillsammans med revisorn har vi i en intern organisationshandbok utformat regler för utveckling, underhåll, uttestning och dokumentation av lönesystemet.

I reglerna finns bl a beskrivet

* arbets- och ansvarsfördelning för medarbetare och funktioner inom organisationen

* riktlinjer för administration och metodik vid arbete med utveckling och underhåll av systemet

* anvisningar för säkerställande av kapacitetsmässig back-up

* regler för test, dokumentation och distribution av system, program och programändringar

* riktlinjer för konferenser av olika slag i syfte att förankra Allmänna Gruppens arbete hos servicebyråer och användare

* riktlinjer för utnyttjande av SAFs specialister vad gäller tolkning av avtal och framförhållning i utvecklingen av ag-datalön.

Reglerna har utformats så att om vi arbetar i enlighet med dessa, uppfyller vi i rimlig utsträckning de revisorskrav som kan ställas på en seriös systemförvaltning. Vår efterlevnad av reglerna granskas två–tre gånger per år av revisorn. Efterlevnaden granskas f n bl a genom datorstödd granskningsåtgärd utförd av revisorn varvid olika versioner av de väsentliga dataprogrammen jämförs och vissa av de faktiskt gjorda programändringarna testas mot organisationshandbokens regler om beslutsfattande, uttestning, dokumentation etc. Varje utförd granskning rapporteras skriftligt till vår VD.

Det är viktigt att systemet detaljutformas på ett sådant sätt att servicebyråerna och slutanvändarna på ett enkelt sätt kan följa bearbetningen och stämma av resultatet. I revisorns uppdrag ingår därför också att kontinuerligt följa systemutformningen och därvid ge sådana råd och anvisningar att kontroll- och avstämningsarbetet underlättas.

Denna tidiga och unika satsning på en tredjepartsgranskning av systemet har för oss inneburit en ökad säkerhet i utvecklings- och underhållsarbetet. Samtidigt har detta skapat ett ökat förtroende hos servicebyråerna och deras kunder.

Servicebyråerna

För servicebyråerna har revisorsgranskningen, förutom förtroende för systemförvaltningen, resulterat i råd och anvisningar beträffande datordriftens organisation. I samband med att en servicebyrå auktoriseras för vårt lönesystem aktualiseras dessa anvisningar.

Det är angeläget för servicebyråerna att man så fort som möjligt kan avgöra om bearbetningen gjorts korrekt, d v s att man använt rätt register, genomfört bearbetningen fullständigt samt fått kompletta utdata. Servicebyråerna har här stor hjälp av de loggar, kontroll- och avstämningslistor som utformats i samråd med revisorn. Kontroll- och säkerhetsfrågor liksom andra frågor rörande lönesystemet behandlas regelbundet på systemkonferenserna (fyra per år), där vi träffar de systemansvariga från servicebyråerna.

Det har för servicebyråerna visat sig mycket värdefullt inte minst från marknadsföringssynpunkt att systemet så tidigt särskilt beaktat kontrollaspekterna.

Användarföretagen

För användarföretagen slutligen är det tryggt att direkt eller via sina revisorer kunna avgöra att systemförvaltning och drift sker på ett sätt som dels är seriöst och dels granskas fortlöpande av tredje part. Användarna vet att om servicebyrån följer de med systemet följande drift- och kontrollanvisningarna, så har lönebearbetningarna genomförts tekniskt sett korrekt. För användarna återstår då att, genom avstämning av sina egna attesterade indata mot utdata, konstatera att bearbetningen är både korrekt och fullständig.

I användardokumentationen har vi tillsammans med revisorn utformat ett särskilt kapitel – Avstämning, kontroll och säkerhet – med förslag till åtgärder som möjliggör en tillräcklig kontrollnivå hos servicebyråer och slutanvändare. I den vanliga användarutbildningen går vi igenom kontroll- och avstämningsåtgärderna med hjälp av utdataexempel från en lönebearbetning.

Vi har tillsammans med revisorn, för slutanvändarnas interna revisorer och löneansvariga, utformat och genomfört en särskild kurs – Kontroll och säkerhet – där vi mera detaljerat går igenom kontroll- och avstämningsåtgärder.

Avslutningsvis kan bara konstateras att vi anser det vara av mycket stort värde för samtliga parter – systemförvaltare, servicebyråer och slutanvändare – att en tredje part fortlöpande följer utformning och förvaltning av standardsystem, speciellt sådana som har att hantera stora ekonomiska värden, vilket är fallet bl a hos lönerutiner. Denna insats från tredje part kan, korrekt utförd få servicebyråer och slutanvändare att känna trygghet och förtroende för stora och komplexa datorsystem.

Leif Engqvist, bitr. direktör vid SAF, Viktor Epstein, bitr. direktör vid SAF och Lars Lundberg, auktoriserad revisor vid Revisionsbyrån Lundberg & Co AB.