Revision: Plastkortshanteringen ställer krav på revisorn

* Kontouppläggning

Innan en kund knyts till företaget måste en kreditprövning ske.

Kortinnehavare undersöks mycket noga om de är privatpersoner, anställningsförhållande, ev betalningsanmärkningar, vad säger en vanlig kreditupplysning etc, om det är fråga om företag görs också en kreditprövning.

Medlemsföretag kreditprövas också. Är det stora välkända företag uppstår inga större problem. Ej börsnoterade eller andra mindre firmor måste genomgå en ibland rätt omfattande kreditprövning. En revisor kan därvid titta i ansökningshandlingar och ge akt på exempelvis

Företagets soliditet

Företagets omsättning

Ev krisbransch

Nettovinst och avkastning på investerat kapital

Företagets risksituation

Företagsledningens kapacitet

Beroende av andra företag

Vem är företagets revisor m m

* Kravrutiner

Bristfälliga undersökningar vid kontouppläggningar brukar ibland föra till att man får kunder som ligger efter med betalningarna.

Dåliga betalare måste effektivt hållas efter, denna bransch kännetecknas tyvärr ganska ofta av alltför många sådana.

ADB-system skall automatiskt generera att kravrutinerna aktiveras. Formuleringarna av de olika kravslagen måste vara noggrant genomtänkta.

Parallellt med betalningsförmedlingen ligger hela tiden ett system för behörighets- (auktorisations-) frågor

När kraven ej haft någon verkan, bör en pålitlig inkassobyrå överta ärendena.

Något för revisorn att tänka på

• Tillåter systemet att varje kravtyp kan salderas och därmed ekonomiskt bedömas

• De krav som överförts till inkassoföretaget – är dessa synligt bokförda som osäkra fordringar

• Tas betalningsstatistik över fordringssidan fram regelbundet och är den tidsgraderad

• Har företagsledningen något grepp över det som flyter in av osäkra eller tidigare avskrivna fordringar

* Redovisningsfrågor

1. Intäkts- och kostnadsbedömning (Cash Management)

1a – Rätta intäkter

– Gå igenom ett antal inkommande debiteringsunderlag (”sales-slips”) från medlemsföretag

– Buntsammandrag skall utvisa rätt avgift till kontokortsföretaget (enligt avtalet med medlemsföretaget) så att rätt nettosumma blir utbetald

– Debiteringsunderlaget kan även vara behäftat med andra mer formella fel, t ex namnteckning saknas, kortet är utgånget, kortavtrycket är ej helt definierbart, underlaget avser fel kontokortsföretag (det senare förekommer alltför ofta!)

1b – Utbetalningar till medlemsföretag har tidsmässigt ej skett enligt avtal. För snabba utbetalningar förorsakar stora inkomstbortfall

1c – Fakturering. Kontokortsföretaget måste av självbevarelsedrift sträva efter att göra faktureringsperioderna så korta som möjligt. Revisorn bör kontinuerligt under året följa denna rutin för att se hur företagets policy kan efterföljas i befintliga system och rutiner.

Inbetalningar som kommer via post- och bankgiro bör undersökas. Kan en uppsnabbning till företaget ske? Här kan verkligen stora fördelar vinnas!

De kontokortskunder som ej betalar fakturor inom betalningsvillkorstid måste räntebelastas.

1d – Valutahantering

När olika valutor är involverade i transaktionerna finns det anledning att kolla upp:

– valutaavtal med andra länder

– marginalerna med valutabank

1e – Upplåningsverksamheten

Tidigare har vi uppehållit oss huvudsakligen vid utlåningssidan. Men det finns även all anledning att närmare syna hur upplåningen sker i kontokortsföretaget. Många företag låter en bankförbindelse helt sköta detta. Här bör en revisor närmare granska vilka avtal som upprättas med banken. Det finns kanske möjlighet att vända sig till någon annan finansinstitution och uppnå bättre villkor.

Är man någorlunda stor är det säkert en bra lösning att själva bygga upp en upplåningsverksamhet.

Här handlar det om stora belopp och små marginaler, så konditionerna bör noggrant diskuteras!

Finns en egen sådan verksamhet bör revisorn, här som på utlåningssidan, kontinuerligt göra kontoanalyser för att övertyga sig om kontoinnehållet. Det finns på marknaden många bra system att köpa om man ej har möjlighet att själv konstruera ett sådant.

1f – Finansieringsaspekter

Eftersom kontokortsföretagen till stor del finansierar sin verksamhet genom avgifter från medlemsföretagen och detta ständigt är föremål för uppmärksamhet i pressen och från medlemmarnas sida, måste man i framtiden även söka sig andra finansieringsvägar, kanske genom utgivande av finansväxlar o d.

1g – Kostnader i verksamheten

Dock, man får ej som revisor glömma att granska den direkta kostnadssidan där de största posterna oftast är

Personal

Räntor

Marknadsföring

ADB eller Information

Fastigheter m m

Av dessa borde marknadsföringen någon gång bli utsatt för revisorns granskning. En svår men nödvändig operation. Gör en jämförelse mellan t ex

– vinstutvecklingen och marknadsföringskostnadernas förändring eller

– gör lönsamhetskalkyler för de olika produkterna

ADB-kostnaderna brukar fort skjuta i höjden och tendera att bli okontrollerbara. Gör jämförelser med andra företag i samma bransch, ta fram nyckeltal, ADB-kostnaderna kan t ex sättas i relation till vinstutvecklingen.

På kostnadssidan är det intressant att följa storleken och förändringen av kundförluster och bedrägerier. Som ovan tidigare framhållits, hur ser reskontran ut med hänsyn till fordringars och skulders ålderssammansättning? Hur effektiva är kravrutinerna? Vad skall vi göra åt dåliga betalare?

2. Ekonomisystemet (Redovisning, Budget)

Ekonomisystemet måste vara modernt och anpassat efter kontokortsföretagets aktuella behov. Det finns flera system på den svenska marknaden som man kan rekommendera för kontokortsföretag.

Ekonomisystemet skall innehålla möjligheter till dagliga, månads-, tertial-, halvårs- och helårsavstämningar, som skall kunna göras utan större svårigheter. Många kontokorts- och finansieringsföretag har dyrt fått erfara vad ett dåligt avstämningssystem kostar.

Systemet skall också tillåta att fullständiga och tillförlitliga kontoanalyser går att göra med jämna mellanrum.

Då kontrollfrågor har stor betydelse i ett kontokortsföretag måste ekonomisystemet vara hierarkiskt uppbyggt med en lätt urskiljbar kontrollbas. Det skall även vara lätt för en revisor att applicera ett revisionsprogram till systemet.

* Säkerhetssidan

I banker och finansföretag (inkl kontokortsföretag) har man en lång lista på problem inom alla områden som berör den yttre och inre säkerheten.

På grund av att ”varulagret” till stor del består av kontanter eller lätt realiserbara tillgångar är dessa företag tvingade att lägga ner stora resurser på att skapa ett gott säkerhetsklimat.

Jag vill därför här peka på några betydelsefulla komponenter i säkerhetsbilden.

1. Kontokortet (Plastkortet)

Råmaterialet till korten kommer till Sverige oftast i form av helt blanka kort som sedan bearbetas, påtrycks med olika markeringar och symboler samt präglas med kontonummer, kundnamn m m.

Först kan man konstatera att redan själva råmaterialet för korten är stöldbegärligt. Ett visst svinn förekommer under transport och tullbehandling.

Säkerheten hos själva tillverkaren i Sverige bör kontinuerligt även kollas upp av kontokortsföretagens revisor.

Säkerheten för transporten till kontokortsföretaget är också väsentlig.

Förvaring inom företaget måste följa samma normer som gäller säkerhetsbehandlingen av värdepapper både på arbetsplatsen under arbetstid och förvaringen i kassaskåp under nattetid. Vidare måste finnas ett system för uttagningen och inläggningen av kort.

Alla de stora kontokortsföretagen lägger ner betydande summor på säkerheten kring kontokortet.

2. Auktorisation (Behörighet)

En mycket stor del av behörighetskontrollen vilar på den personal som på medlemsföretagen har den första på fältet-kontakten med kontokortsinnehavarna. Här måste man som revisor ta del av hur denna personal utbildas.

Eftersom förfalskade och stulna kort förekommer i rätt stor utsträckning måste medlemsföretag snabbt och säkert nå kontokortsföretagets ”Behörighetskontroll”. Denna måste ha snabb access till dataregistren som skall vara uppdaterade, helst i ett realtime-system. Auktorisationskodningen måste vara unik och ej lätt forcerbar.

Kontokortsföretagen i Sverige arbetar på att skapa en gemensam auktorisationscentral – Kontocentralen.

3. Registrering

Registrering kan ske on-line, på magnetband eller via terminal.

De två första fallen kontrolleras vid revision av ADB-enheten.

Registrering via terminal sker ofta ute på fältet och då får revisorn se till att pass-words och koder används enligt instruktionerna. Vem på företaget t ex ansvarar för hela systemet med koder?

Transport av registrerat material till valv o d måste också vara betryggande. Skriftliga instruktioner för detta skall vara utformade av företagsledningen (d v s de som har ansvaret för internkontrollen) och accepterade av användarna.

4. Postbehandling

Då debiteringsunderlag (”slips”) anländer till företaget via postavdelningen är det mycket betydelsefullt att företaget har betryggande postbehandlingsrutiner och likaså säkra transporter från och till denna avdelning. Revisorn bör själv någon gång delta i postöppningen.

5. Spärrlistesystem

Stora svagheter i säkerheten finns om ett manuellt papperssystem med spärrlistor används. Revisorn bör därför kontrollera någon gång hur snabbt distribution av dessa sker. Vidare bör man konstatera hur lättläsbara och informativa listorna är.

6. ATM och EFT

System som effektiviserar de terminaler (elkontrollapparatur) som skall läsa och kontrollera kontokort håller på att installeras i begränsad omfattning både av VISA och MASTERCARD. Förhoppningsvis kommer detta relativt snart att ersätta vissa delar av spärrlistesystemet.

7. Imprinter

Imprinter kallas den apparat som medlemsföretaget (restauranger, hotell m m) använder för att göra ett avtryck av debiteringsnotan (”slipen”). Revisorn bör här framhålla för kontokortsföretaget att medlemsföretaget måste göra detta avtryck i kortinnehavarens åsyn! Detta för kundens egen säkerhet.

8. Extern och intern brottslighet

Till säkerhetsfrågorna måste man även räkna med att brottsligt förfarande tyvärr förekommer. Den externa försöker man begränsa med bl a de medel som i denna artikel angivits. Eftersom USA ligger före oss även på detta område bör säkerhetsansvariga och även internrevisorer försöka följa vad som sker däröver. Det finns en informationsbulletin, ”The Nilson Report”, som jag varmt rekommenderar. I denna omnämns vad som just nu händer på säkerhetsområdet i USA.

Internt kan det förekomma, och även förekommer, olika former av förskingring, försnillning, trolöshet mot huvudman etc. Internrevisorn har ett hjälpmedel i internkontrolltesterna att komma underfund om riskerna. Tyvärr är det vanligt att internkontrollen i såväl data- som manuella system mycket ofta uppvisar stora brister.

Revisorn måste övervaka detta kontinuerligt och verkligen säga ifrån när riskerna visar sig vara överhängande eller när respekten för den interna kontrollen börjar avta. Gärna i form av en allvarlig rapport till verkställande ledningen.

9. ADB- (Informations-) aktiviteterna

Det har tidigare omnämnts hur viktigt det är att revisorn även är väl insatt i databehandling. Jag har också pekat på revisors deltagande i nya projekt och naturligtvis också att han har ett grepp över hur systemunderhåll och systemförändringar handläggs.

När det gäller den löpande revisionen och kontrollen i ADB-miljön, d v s systemen i produktion och själva tekniska användningen av datorn, måste revisorn lägga upp ett handlingsprogram. Själva revisionstekniken går jag ej här närmare in på då detta är ett stort verksamhetsfält som behandlas för sig.

Ett exempel på revision i ADB-miljö är följande frågor som handlar om behandling av fel:

1. Finns rutiner fastställda och dokumenterade av hur felrättning skall utföras

2. Skrivs fellista alltid ut även om bearbetning ej gett upphov till felutskrift, t ex ”inga fel i körning xxxx”

3. Skrivs felmeddelanden ut som förklarar orsaken till felet

4. Lagras alla feltexter med felrättningsåtgärder maskinellt i ett speciellt register

5. Finns ett early-warning-system som släpper igenom varnande tendenser, som printas ut på en separat lista

6. Sker någon verifiering av återrapporterad data

7. Om fel uppstår under hela bearbetningen, finns dessa då noterade med uppgift om orsaker, vidtagna åtgärder, felrättningsansvarig.

8. Följs fel historiskt upp

9. Görs det upp en felstatistik för en längre period

10. Har företaget under senaste året gjort en riskanalys med användanden av SBA-metoden

11. Finns något ”Back-up-tänkande” i företaget

12. Finns någon katastrofplan uppgjord

Dock måste också några speciella förhållanden pekas på.

Gång på gång påträffar man vid revision av ADB-verksamhet sådant som

Bristfällig (eller obefintlig)

– systemdokumentation

– arbetsinstruktion

– ansvars- och arbetsfördelning

– användarinstruktion

Vidare t ex hur skall korrigeringar utföras, instruktion om hur mikrofilmmaterial behandlas.

Behörighetsfrågor tar man ej ofta så allvarligt på, t ex pass-words för terminaler, tillträde till computer-hallar m m.

De kontokortsföretag som köper eller hyr system från något service- eller konsultföretag har sällan någon aning om säkerhets- eller kontrollfrågor kring systemets konstruktion eller säkerheten inom själva serviceföretaget.

Hur skall revisorn kräva full insyn i denna verksamhet.

Revisorn har ett stort arbetsområde framför sig när han skall försöka få ADB-verksamheten under sin kontroll, men det är nödvändigt om man skall undvika eller överleva den ”stora dataskrällen”!

Sist men icke minst vill jag omnämna den hjälp som kallas ”revisorns eget dataprogram”, där revisorn själv går in i program och tar fram de uppgifter han önskar. Detta är, får man hoppas, en ljus framtidsbild för revisorn där han enkelt kan göra säkra revisionsinsatser! Det finns flera revisionssystem som i dag utmärkt lämpar sig för kontroll och revision av kontokortsverksamheten. Kruxet är bara att revisorn måste komma in på ett mycket tidigt stadium för att få sina synpunkter tillgodosedda

10. Datakommunikationssystem (Data transport network communicating system) Vid ett närmare studium av kontokort och kontokortsföretag kommer man snart in på de problem som är förknippade med den stora internationalisering som kännetecknar de flesta av de stora kontokorten. Betalningar strömmar snabbt fram och tillbaka mellan Sverige, Europa och USA, Japan m fl länder. Alla internationella betalningssystem strävar efter att få transaktionerna utförda så fort som möjligt, helst på nolltid!

Detta gäller även kontokortsverksamheten. Internationella betalningssystem som arbetar on-line och i real-time är installerade eller håller just nu på att installeras. Sålunda har Eurocard sitt EDCS och Master Card sitt MC ACS.

Säkerhetsfrågorna förefaller från revisionssynpunkt ännu ej vara helt lösta, även om det arbetas med stor energi på detta område. Liksom vid andra on-line-real-time-betalningssystem är svårigheterna stora för en revisor att gå in med adekvata kontroller. Egna revisionsprogram blir troligen den bästa lösningen. Problemet har sedan något år ägnats en speciell uppmärksamhet av de europeiska centralbankerna (”the Group of Ten”). Man har uttryckt sin oro bl a över de svårigheter som en revisor ställs inför. Man ställer sig också den frågan om inte en helt oberoende revisionsgrupp borde bildas. En gammal känd revisionsfråga dyker åter upp även här: ”Är det möjligt att helt följa en transaktion i ett datakommunikationssystem från början till slut eller tvärtom?” – Frågan har lämnats obesvarad!

Som revisor känner man sig ute på gungfly inför system som synes innefatta stor osäkerhet och begränsade revisionsmöjligheter.

(Undertecknad ämnar penetrera detta område senare mer ingående.)