Orden i rubriken kommer från en systemman på en dataservicebyrå.
Jag kom att tänka på vad han sade för några dagar sedan då jag pratade med en man på ett statligt verk som svarat på en annons jag haft för ett program.
Syftet med sådana program är att göra det möjligt att flytta data (uppgifter om artiklar, kunder, bokföring etc.) från ett administrativt system till ett annat. Det handlar om ett s.k. minnesresident tangentsimuleringsprogram som själv trycker på tangenterna (bildligt talat) och fungerar tillsammans med valfria registreringsprogram.
Den spontana kommentaren från min tilltänkte kund var: ”Detta öppnar ju möjlighet att ändra i bokföringen”. Något som var helt korrekt. Sådana program möjliggör verkligen för företagen ”att göra bokföringen med blyerts”.
Detta är naturligtvis inte syftet med ett sådant program. Det är i stället skapat för att man ska kunna lösa ett mycket generellt problem, nämligen att flytta data mellan olika dataprogram och mellan olika typer av datorer.
Förbjuda användningen?
För att förhindra ett otillbörligt utnyttjande skulle man (teoretiskt) kunna tänka sig att förbjuda användningen. Det torde emellertid vara helt verkningslöst eftersom det finns så många andra möjligheter att ändra bokföringen (i vidaste bemärkelse) i efterhand, något som sedan länge är känt av alla revisorer – eller åtminstone borde vara det. Vad som krävs är ju egentligen bara grundläggande kunskaper om hur datorer fungerar samt ett minimum av fantasi.
Den kontroll som finns i dag mot ändringar är den s.k. ”uppdateringen” (dvs. man lagrar kontosaldon i en datafil).
Att ta sig förbi denna kontroll innebär ju inga som helst problem eftersom ingenting tvingar fram en uppdatering. Även när uppdatering sker finns det en enkel metod att gå förbi kontrollen.
Att upptäcka manipulationer av olika slag torde endast vara möjligt genom att använda avancerade revisionsprogram, typ ACL. Genom dessa program kan man göra diverse kontroller, bl.a. jämförelser av uppgifter från olika delsystem. Finns det manipulerade data kommer man med stor sannolikhet att upptäcka dessa, det är en allmän erfarenhet bland ADB-revisorer. (Dessutom får man nästan alltid vissa mycket värdefulla bieffekter som upptäckt av saknad/bristfällig dokumentation m.m.)
Hur ska man förebygga manipulationer?
Företagsledningen har ansvaret
Det är företagsledningen som har ansvaret för den interna kontrollen och som därför bör vidtaga lämpliga åtgärder. Till hjälp i detta arbete kan den därvid anlita experter från bl.a. revisionsbyråer.
Men räcker detta? Borde inte revisorerna ge ut generella riktlinjer och borde inte framförallt Bokföringsnämnden ta upp problemet och kanske t.o.m. föreslå ändringar i bokföringslagen. Under alla omständigheter bör väl något göras?
Ingen revisor vill väl få sig slängt i ansiktet: ”Att lura revisorer – det är ju inte någon sport!”
Särskilt som uttalandet speglar verkligheten.
Björn Lundgren , egen företagare i databranschen, Göteborg