Balans tar gärna emot signerade debattinlägg. Vi förbehåller oss rätten att redigera inkomna bidrag.

Som IT-konsult på en stor revisionsbyrå ställde jag en fråga till en garvad revisor;

– Vad gör du som revisor om du upptäcker att din klient har åtta PC-arbetsplatser och en administrativ programvara i en server tillgänglig från varje arbetsplats, men klienten betalar endast för en licens?

Det blev tyst ...

Jag fortsatte; – Låt oss säga att dessa licenser kostar ca 5.000 kr i snitt per år, en inte alls hög summa i sammanhanget, vilket krasst innebär att din klient ”stjäl” programvara för 35.000 kr varje år!

Oj då! Blev svaret.

Kan revisorn skriva en ren revisionsberättelse med denna kännedom?

Jag är medveten om att detta är en mycket svår och känslig situation som en revisor kan hamna i hos sin klient. Det är därför jag tycker det är viktigt att belysa några av alla de frågor, synpunkter och problem som berör dataprogram och oegentligheter i samband med kopior och licenser.

Piratkopiering

Det handlar inte enbart om att fysiskt kopiera dataprogram utan även att använda originalprogram med felaktigt antal användarlicenser som i exemplet ovan.

Enligt en undersökning som genomförts av IPR – International Planning and Research Corporation – används 34 procent av all programvara inom näringsliv och myndigheter i Västeuropa utan licens. I Sverige är vi sämre då ca 35 % av alla program är piratkopierade och detta innebär ett inkomstbortfall på ca 1 miljard kronor varje år för svenska företag som säljer eller utvecklar programvara, och mer än 8 000 uteblivna arbetstillfällen.

I hela världen är det Asien som är värst där Vietnam toppar med hela 98 % piratkopierade.

Den världsomspännande organisationen BSA – Business Software Alliance – arbetar med att förhindra försäljning av piratkopior och användning av programvara utan licens inom näringsliv, myndigheter och organisationer. Bakom BSA ligger de allra flesta av världens största programvarutillverkare och även Sverige har flera medlemmar.

Får man göra en kopia av ett lagligt inköpt program? Ja det får man om ändamålet är att ha denna kopia som en säkerhet om originallagringsmediet skulle bli skadat. Men denna kopia får inte på något sätt spridas.

Upphovsrättslagen

Piratkopiering och olagligt användande utan licenser av dataprogram är ett brott mot upphovsrättslagen (SFS 1960:729). Ett brott mot denna ses det mycket allvarligt på och straffet är böter eller fängelse upp till två år.

BSA samarbetar med polis- och åklagarmyndigheterna över hela världen och gör vid skälig misstanke razzia hos misstänkta företag. Nyligen, oktober 2001, fick fem mindre Göteborgsföretag betala böter på sammanlagt 546.000 kr.

Brott mot upphovsrätten

Ett brott mot upphovsrätten kan se ut på många olika sätt helt beroende på vad programtillverkaren ställer för krav och villkor. Här följer de vanligaste som företag gör sig skyldiga till:

  • Man köper ett originalprogram och en licens men installerar det i flera PC inom och utom företaget.

  • Man köper ett originalprogram och installerar detta i en server för exempelvis fyra användare men i verkligheten är det sex användare.

  • Man köper medvetet en piratkopia, piratlicens, ID och eventuellt lösenord.

  • Man tillverkar eller sprider olagligt ett fysiskt hårdvarulås som monteras bak på PC:n för att köra vissa program exempelvis QuarkXpress.

  • Man tror man köper ett originalprogram men både program och förpackning kan vara pirattillverkade. (Är det mycket billigare än vanligt skall man vara på sin vakt.)

  • Leverantören av nätverket och tillhörande programvara kan använda piratkopior utan bolagets kännedom.

  • Anställda installerar kopior av bolagets program hemma i egen PC.

  • Anställda installerar piratkopior i bolagets datorer.

Brott mot upphovsrätten skall internt inom ett företag anses som brott mot företagets IT-säkerhet och IT-policy, anser jag. Tyvärr är kunskapen om IT-säkerhet mycket dålig hos de allra flesta företag. För många består denna säkerhet av att göra kopior av bokföringen och korrespondens.

Det spelar naturligtvis ingen roll om piratkopian distribueras på disketter, CD-rom, DVD, nätverk eller tankas ner från Internet.

Att hävda att man köpt ett program i god tro är i stort sett omöjligt i dag.

Programansvarig

På ett företag är huvudregeln att det är VD som är ytterst ansvarig för brott mot upphovsrätten även om det finns en IT-chef eller andra programansvariga inom företaget. En VD:s ansvar kan dock delegeras via avtal till andra personer.

Upptäcktsrisk

Risken för att bli upptäckt är mycket större än vad de flesta tror. Det allra vanligaste är att BSA på olika sätt får ett tips och om misstanke finns görs en husrannsakan tillsammans med polis och åklagare.

En undersökning utförd av BSA i England på 345 företag visade att hela 69 % av de anställda på företagen kunde tänka sig att anmäla sin egen arbetsgivare. 73 % tyckte att arbetsgivaren måste bli bättre på software management dvs. veta vilka program och licenser man har, hur många, varför och framtida behov. Personalen är även rädd om sina jobb, visar undersökningen där 63 % trodde att deras jobb var i fara om arbetsgivaren använder piratprogram.

Undersökningen visar föga förvånande att det är anställda som är missnöjda, fått sparken eller på annat sätt upplever felaktigheter från en arbetsgivares sida som tipsar mest. Hämnden är ljuv kanske?

BSA har i alla länder en tipstelefon ditt man kan ringa anonymt och i flera fall utlovas en belöning på uppemot 10 % av bötesbeloppet. I de aktuella fallen i Göteborg kommer tiotusentals kronor att betalas ut som ”belöning”, detta efter en lyckad kampanj av BSA.

Innan en anställd ger tips skall han enligt lagen först ha påtalat ev. oegentligheter för arbetsgivaren. Detta för att inte bryta mot lojalitetsplikten. Är han konsult skall han även kontrollera om hans avtal innehåller några sekretesskrav.

Ekonomisk skada

Bolag som bryter mot upphovsrättslagen riskerar mycket mer än enbart att få betala dryga böter.

De fem Göteborgsföretagen har alla namngivits i media och denna negativa publicitet skadar självfallet bolagens goodwill och i förlängningen även verksamheten.

Dessa fem bolag drabbas även av att under två års tid rapportera alla inköpta program och licenser till BSA och att när som helst råka ut för en plötslig razzia.

Hur påverkar detta ett bolag om det skall säljas under dessa två år?

Vidare kan programmen sakna flera uppdateringar för ändring av felaktigheter och således ge felaktigt resultat vid användning. I värsta fall kan programmen vara kopierade med inbyggda svåra virus.

Viktigt att komma ihåg är att skador som uppkommer p.g.a. användandet av piratprogram i egen verksamhet eller hos annan part normalt ej täcks av bolagets företagsförsäkring.

Man behöver således inte ha någon större fantasi för att se vilka stora ekonomiska skador bolaget kan drabbas av vid brott mot upphovsrättslagen.

Revisorns ansvar vid bolagsvärdering

Kan vi begära att en revisor skall gå in och undersöka alla PC, servrar, back-up, nätverk m.m. för att kontrollera att klienten inte bryter mot upphovsrätten?

Ja! Det måste han eller andra göra vid due diligence och värdering av bolag vid köp och försäljning. En misstanke om brott mot upphovsrätten kan eller skall påverka värdet på bolaget då dessa dolda kostnader vid en eventuell fällande dom kan bli mycket höga.

Först kan bolaget åka ut för dryga böter och samtidigt vara tvungna att investera hundratusentals kronor i nya programlicenser, goodwillförluster, kundbortfall m.m.

Om ett bolag, med egna anställda programmerare, har utvecklat ett eget dataprogram som säljs vidare eller används i verksamheten, äger bolaget upphovsrätten. Anlitar man däremot en konsult och inte har reglerat upphovsrätten äger konsulten automatisk denna rätt. Fortsätter bolaget att använda programmet utan konsultens medgivande bryter man mot upphovsrätten.

I värsta fall kan hela bolagets värde och/eller verksamhet vara beroende av denna upphovsrätt.

Revisorns rapporteringsskyldighet

I aktiebolagslagen 10 kap. 38–40 §§ står det klart och tydligt att revisor skall vidta vissa åtgärder om det kan misstänkas att en styrelseledamot eller VD gjort sig skyldig till brott.

FARs Samlingsvolym 2001 sidan 1148, punkt 3 ”Brottskatalog”, omfattar många brott men det som ligger närmast tillhands är ”Olovligt förfogande” (10 kap. 4 § brottsbalken).

På sidan 1149, punkt 5, står det ordagrant; Revisorn skall agera om han eller hon ”finner att det kan misstänkas” att brott begåtts. Uttrycket ”kan misstänkas” är inte definierad i lagen eller i propositionen. Erfarenhet, omdöme och prejudikat får således ge riktlinjer.

Under punkt 6 på sidan 1149 ”Revisorns åtgärder vid misstanke om brott” skall revisorn vid misstanke om att en styrelseledamot eller VD begått brott, anmäla misstanke om brott till åklagare. Men innan anmälan görs skall revisorn göra vissa överväganden och vidta vissa åtgärder och bland annat underrätta styrelsen och detta ”utan skäligt dröjsmål”. Styrelsen får således en chans att undanröja eventuella oklarheter och initiera att skadliga effekter minskas.

Det kan finnas fall där revisorn kan avstå från att underrätta styrelsen om han exempelvis finner det helt meningslöst.

Senast två veckor efter det att revisorn underrättat styrelsen skall han avgå som revisor i bolaget. Revisorn behöver ej avgå om det misstänkta brottet är obetydligt eller redan är anmälts.

Intressant är punkt 7, sidan 1150 i samlingsvolymen, ”Ansvar och skadestånd” är att revisorn i vissa fall kan dömas till skadestånd vid felaktigheter i en anmälan.

Eftersom det skulle ta stort utrymme att ta upp allt som står i alla kapitel koncentrerar jag mig på, som jag ser det, den svåraste delen.

Revisorns övervägning och bedömning

Det är just dessa åtgärder, överväganden och bedömningar i punkt 6 (se ovan) som måste vara mycket svåra för en revisor att göra utan kunskap om snabbt föränderliga programvaror, deras distributionssätt, lagar och förordningar, leverantörsvillkor och tillverkarens villkor.

Låt mig ta några exempel på vilka sätt ett program kan finnas i ett datasystem:

  • Lagligt inköpt program med rätt antal licenser

  • Piratkopior

  • Freeware, vilket innebär att programmet är gratis att använda för privat bruk, men inte i affärsverksamhet. Tvärtemot vad många tror finns det ett stort utbud av professionella free-wareprogram. (Freeware kan vara enklare versioner av ett program som säljs till fullpris.)

  • Freeware som kan användas fritt både av företag och privatpersoner. MS Explorer, Netscape och WinZip är väl de mest kända.

  • Shareware, vilket innebär att programmet kan köras under en viss provtid. Köper man sedan ett ID och lösenord kan man använda programmet enligt de regler som gäller från leverantören.

  • Det finns även demoversioner, tidsbegränsade eller inte, av kända program med inbyggda begränsningar exempelvis går det inte att spara eller skriva ut resultat från programmet.

  • Plugg-ins är speciella moduler till kända program exempelvis för Word. Dessa kan vara gratis eller mot avgift.

Det är naturligtvis inte möjligt för en revisor att göra en korrekt övervägning eller bedömning utan en noggrann kontroll. BSA kan gratis tillhandahålla ett program, GAP Audit, som är en stor hjälp vid dessa kontroller.

Han måste naturligtvis få hjälp vid en teknisk genomgång och lita på att klienten och hans personal ger och visar korrekt information. En fråga är om revisorn kan eller skall begära skriftligt av sin klient att inga oegentligheter mot upphovsrätten förligger?

Några frågor

Om vi återgår till början av denna artikel samt tänker på vad jag har skrivit och revisorn misstänker brott mot upphovsrätten, skall han då ge klientens ansvarige, normalt VD, möjligheter att omedelbart vidta åtgärder?

Skall han i så fall låta bli att rapportera till styrelsen?

Bryter revisorn mot ”god revisionssed” om han gör på detta sätt och inte anmäler misstanken?

I FARs samlingsvolym förekommer i dessa sammanhang ordet ”obetydligt”, är då 35.000 kr i inledande exemplet ett obetydligt belopp?

Om detta har pågått i tre år är det då fortfarande obetydligt?

Om det uppdagas att det begåtts ett brott mot upphovsrätten och det visar sig ligga inom revisorns kompetensområde och han låter bli att anmäla, vad händer?

Det finns en uppenbar risk att revisorn hamnar i en konfliktsituation då han genom att anmäla misstanke om brott har han också avgått som revisor i bolaget. Han förlorar således sin klient!

Revisorns preventiva åtgärder

En mycket god preventiv åtgärd är att förhindra att en revisor hamnar i denna situation genom att hos sina klienter genomföra en korrekt och noggrann IT-revision med hjälp av experter inom området. Detta är naturligtvis en tjänst som revisionsfirman tar betalt för.

Vid tveksamheter och rådgivning står BSA till förfogande allt för att i preventivt syfte underlätta arbetet.

Förslag

Jag föreslår att FAR och BSA snarast och tillsammans tar fram klara och enkla riktlinjer, checklistor, mallar, program, rutiner och utbildning över hur en revisor i sitt arbete skall hantera frågor som rör dataprogram och upphovsrätt i samband med revisionsarbete. Allt för att förhindra att en revisor hamnar i en gråzon eller i konflikt med egen moral eller etiska regler, skrivna som oskrivna.

Terje V. Löberg arbetar som IT-konsult hos Lindebergs Grant Thornton i Göteborg.