5.1 Branschinformation
5.1.2 Betalningsstrukturer
Intervju 4: Hur ser era trafikstyrningskontrakt ut, specifikt prestations och ersätt- ningsmodeller? Ger ni förutom procentuell ersättning även ersättning för lead och klick i ert affiliatnätverk? (se modell)
”Vi jobbar med så kallad ”override”, dvs. en kommission per transaktion mellan affiliaten och annonsören. Vi ger enkom per transaktion, men kan ta betalt och mäta närmare an- nonsörens verkliga affär – dvs. per utlånad krona istället för per låneansökan. Vi har fasta avgifter som kan förhandlas bort, beroende på annonsörens egen vilja att jobba med pro- grammet. Inga övriga licensavgifter”.
Intervju 4: Hur ser en ”normal” utbetalningsfrekvens ut?
”En gång i månaden”.
Intervju 4: Hur vanligt är det att företag skjuter på sina utbetalningar ”håller inne utbetalningar från deras inloggningskonto”? Speciellt då över redovisningsperioder (mån, år)?
”Inte särskilt, händer mer sällan än ofta”.
Intervju 4: Har ni någon utbetalningsfrekvens som ni kräver att era affiliater skall ha?
”Det är vi som affiliate broker som gör utbetalningen, inte affiliates själva”.
Intervju 4: Hur lagrar ni denna information för kundens räkning?
”I våra bokföringssystem – varje affililat är en leverantörsreskontra”.
5.1.3 Informationsuttagning
Intervju 4: Vilken information erhåller era kunder (affiliaten), från ert företag, som underlag för deras bokföring? Betalningsdatum, trafikstatistik, utbetalningar, bankkontoändringar etc. etc.
”Kunderna loggar själva in och kan verifiera statistik. Betalningsdatum är beroende av 1) deras faktura till oss samt när vi får in underlagen i systemen. Utbetalning sker oftast i sam- band med månadsskiften då de stora avstämningarna och därmed utbetalningarna sker”.
5.1.4 Kontrollstrukturer i branschen
Intervju 4: Hur ser datasäkerheten ut i era system? Flera inloggningar för en använ- dare? Backupsystem mm.?
”Inloggning som ändras efter tidsperioder. Vi har en hel avdelning som bara jobbar med att bevaka och säkra att inga bedrägerier begås”.
Intervju 4: Ger ni kunder (privatpersoner och näringsidkare) råd och rekommenda- tioner om hur, när och hur ofta information skall tas ut? Ex skatte och redovis- ningsinformation? Använder ni er av organisations och personnummer?
”Organisationsnummer då vi kräver F-skattesedel för att godkänna en affiliate”.
Intervju 4: Finns det en ”code of conduct” för affiliate marketing branschen?
”Ja det upplever jag”.
Intervju 4: Upplever du att övriga aktörer på marknaden bygger upp sina system och kundkontakter på samma sätt, vet du om det finns brister och i så fall vilka sor- ters nätverk?
”Relativt lika men med olika kontroll. Vi lyder undre SOX compliance så vi har både hård intern kontroll samt Ernst & Young som granskar oss löpande”.
5.2 Intäktsredovisning
Den empiriska data som presenteras i detta empiriska utdrag är främst den intervju som har utförts med VD:n för ett av Sveriges största affiliatnätverk. Analysen och riskidentifiering- en av intäktsredovisning härrörande från och i dess strukturer för intäktsredovisning, in- formations utbyte och betalningsstrukturer med mera analyseras baserat på denna empiris- ka data samt sekundär data från det Adweb-fallet.
Intervju 1: En sådan bokföringsorder. Vad innehåller den och hur detaljerad är en sådan?
”Den är väldigt detaljerad. Den innehåller konteringssträngar för vad som skall konteras på respektive intäktskonto. Men den innehåller ingen information om intäkter per kund eller
liknande. Den innehåller endast summor och vad som skall konteras på respektive intäkts- konto”.
Intervju 1: Vad anser ni är relevant räkenskapsinformation som skall sparas enligt gällande regler? Till exempel avtal, statistik och betalningar med mera.
”I detta fall så finns det ett ramavtal i botten. Där kunden har förbundit sig att bli medlem i ert bolag. De betalar en licensavgift för detta medlemskap. Sedan finns det något som vi kalla för ”svarta lådan”. Detta är ett system som ”spottar” ut ett bokföringsunder eller ett verifikat, man kan säga en bokföringsorder med kontering”.
Intervju 1: Vad anser ni är tillräcklig information för er klients kunders in- och utbe- talningar utifrån er erfarenhet som revisorer? Vi ni har beskrivit så tillhandahåller er klient bra räkenskapsinformation. Vad vi har förstått från skatteverket så räcker det ibland med endast bankkontoutdrag.
Om prata bara in och utbetalningar är bankkonto tillräkligt, men inte om man pratar om in- täktsredovisningen.
5.3 Tillförlitlighet
5.3.1 Verifierbarhet
Intervju 4: Vilken information erhåller era kunder (affiliaten), från ert företag, som underlag för deras bokföring? Betalningsdatum, trafikstatistik, utbetalningar, bankkontoändringar etc. etc.
Kunderna loggar själva in och kan verifiera statistik. Betalningsdatum är beroende av 1) de- ras faktura till oss samt när vi får in underlagen i systemen. Utbetalning sker oftast i sam- band med månadsskiften då de stora avstämningarna och därmed utbetalningarna sker.
5.3.2 Validitet
Intervju 4: Hur ser era affiliate marketing kontrakt ut, specifikt prestations och er- sättningsmodeller? Ger ni förutom procentuell ersättning även ersättning för lead och klick i ert affiliatnätverk? (se modell)
Vi jobbar med så kallad ”override”, dvs. en kommission per transaktion mellan affiliate och annonsör. Vi ger enkom per transaktion, men kan ta betalt och mäta närmare annonsörens verkliga affär – dvs. per utlånad krona istället för per låneansökan.
Vi har fasta avgifter som kan förhandlas bort, beroende på annonsörens egen vilja att jobba med programmet. Inga övriga licensavgifter.
Intervju 1: Vad utgör relevant räkenskapsinformation för er när det kommer ut ur ett trafikstyrningssystem? Och vilken information anser ni skall sparas när den hämtas ur ett sådant system? Det kan röra sig om avtal, statistik, betalningar m.m.?
Avtalet måste alltid finnas. Om betalningarna sedan baseras på klick, där är frågan hur man mäter antal klick. En del mäter klicken själva, andra anlitar nätverk. Om man förlitar sig på någon annan då får man ju få någon form av extern information. Den måste då sparas. Se- dan måste själva beräkningen också sparas med ett avtal som grund. Det blir då alltså klick gånger till exempel den avtalade prisnivån. Detta kan vara en bokföringsorder eller verifikat
eller liknande. Då måste du kombinera denna information som visa att det är x antal klick. Bankkontoutdragen är mindre viktigt i dessa sammanhang. Det är bara pengarna ju. Det är som att jämföra äpple och päron.
5.4 Revisorers riskbedömningar
Intervju 1: Utifrån er klients nätverk, och er granskning av er klient, hur går ni till väga för att granska er klients nätverk. Gör ni riskbedömningar av er klients nät- verk?
Man gör egentligen ingen riskbedömning direkt. Vi gör klartläggningar över systemet, deras behörighets hantering, deras hanteringar av system ändringar (interna och externa via kon- sulter). Om de inte hanterar dessa systemegenskaper på rätt sätt, så blir det vad vi kalla en iakttagelse. I denna bedömning följer vi interna så kallade styrdokument som vi använder för att utvärdera IT-säkerhet och risk i system. Om det har blivit iakttagelser vid en sådan bedömning gör man en riskbedömning per iakttagelser. Dessa iakttagelser och riskbedöm- ningen på dem är vad vi presenterar för det finansiella revisorsteamet. De kan då avgöra om man behöver göra ytterligare kontroller om vi kommer fram till att företaget har inef- fektiva generella IT-kontroller. Detta kan leda till väsentliga fel och fraud om denna struk- tur inte fungerar på ett tillfredställande sätt. Om man skulle komma fram till att det finns risker i system kan man till exempel lägga fram rapporter till det finansiella revisionsteamet att man inte kan lite på elektroniska bevis som system producerar. Det handlar också mycket att utvärdera hur de själv arbetar med generella IT-kontroller inom företaget. Och utvärdera om de själv kontroller säkerheten i sina system.
Intervju 1: Vi vet inte om ni har någon erfarenhet av företag som så att säga är kun- der till er klient, om ni kan sätta er in i den rollen så rör det sig många gånger om mindre och medelstora företag som får intäkter från er klients system. Om man skulle göra en granskning på ett sådant företag som inte har som huvudverksamhet eller huvudintäkt från sådan här system. Är det någon som ni tror att en allmän- praktiserande revisor lägger vikt vid eller skulle förstå eller skulle kunna göra en re- levant riskbedömning på?
Det är naturligtvis avhängigt av storleken på en sådan biinkomst. Är den väldigt liten i för- hållande till företaget totala omsättningar. Då släpper man säkert detta eftersom det inte är väsentligt eller man kanske bara nöjer sig med en bekräftelse eller faktura från trafikstyr- ningsnätverket där det står summor och klick. Det är där man börjar givetvis. Detaljkun- skapen hos den generella allmänpraktiserande revisorn om sådant fall och inkomster från sådant system är nog generellt väldigt låg. Man har för liten erfarenhet av det och jag tror det är väldigt få revisorer som har erfarenheter av liknande verksamheter.
Intervju 1: Utifrån er revisionserfarenhet, vet ni om det görs en bedömning av före- tags externa IT-miljö. Ofta när man pratar om IT-revision pratar man om företagets interna IT-miljö. Har ni någon erfarenhet av att det görs en generell bedömning i den externa IT-miljön så som hemsida och kundgränssnitt om det kan förekomma intäkter? Är det något som ni uppfattar att det görs på en rutinmässig basis?
Då kan vi ju egentligen prata om vilken kund som helst som har en hemsida. Han kanske säljer godis eller bilar. Jag är ju påskrivande revisor i ett flertal företag som har hemsidor gi- vetvis, det har alla bolag idag. Om jag inte ser någon anledning att identifiera fraud eller ris- ker i denna miljö, alltså att man generellt har en godkänd IT-miljö, att dessa eventuella biin- täkterna är låga och på samma nivå år efter år så skulle jag nog inte, om jag inte har någon
speciell anledning, skicka ärendet vidare till experter på området eller undersöka riktigheten i trafikstyrningsnätverks system eller statistik. Det skulle jag inte göra. Här kommer vi också in på något som är jättesvårt att hantera för en revisor. Vi pratar om fullständighet, att man har tagit in alla intäkter i bolaget, precis som i det rättsfallet som ni beskriver. Här pratar man om fullständighet, existens och värdering och så vidare. Det som man upplever som svårast är fullständighet. Det finns otaliga sätt att lura revisorn eller skatteverket. Men ser man som revisor ingen anledning att misstänka att här finns det inte fullständighet i intäk- terna så skulle jag nog inte göra en djupare IT-granskning.
Intervju 1: Vi har pratat om mycket i denna intervju. Är det något ni känner att vi har missat när det gäller redovisning av intäkter från IT-system i allmänhet?
Vi tycker det är bra frågor. Jag tycker rent generellt att man kan fråga sig hur redovisnings- praxis kommer att förändras. Detta kommer givetvis bli vanligare och vanligare ju mer in- ternetmoget Sverige blir. Det är ju säkert också så att bokföringsrådet och redovisnings- nämnden inte hänger med i denna utvecklingen, och kan täcka in dessa typer verksamheter. Behövs det kanske nya rekommendationer, hur kommer praxis se ut i framtiden, m.m. vilka intäkter får man ta upp till exempel. Jag inte heller speciellt överraskad när ni beskriver det- ta rättsfallet. Dom kan ju sälja vad som helst på internet till exempel. Man kollar ju givetvis på kostnader och intäkter från deras försäljning men ligger det någon lite övrig intäkt där som är 1-2% av netto intäkter. Det är inte då inte ens säkert att man tittar på denna post. Då kan det ju vara så att man inte har täkt in fullständigheten i intäkterna. Denna biintäkt kan ju i själva verket vara 10-15% och det ser man i det fallet som ni beskrev innan.
Intervju 2: Det finns en inbyggd problematik i konceptet som bygger två saker egentligen. Nummer ett är att systemen kan vara uppbyggda på många olika sätt, olika prestationer ger olika betalt. Nummer två är att det i vissa fall är upp till an- vändaren själv att aktivt hämta information och bokföringsunderlag i systemen.
Detta är ett problem eftersom det rör sig om system och dessa system ofta är väldigt kom- plexa. Det kan på vissa sätt jämföras med om du använder en redovisningsbyrå, att likställa med trafikstyrningssystem. Hur vet du att denna redovisningsbyrå fungerar på ett tillfred- ställande sätt utifrån dig som revisor. Hur vet man att redovisningsbyrån system är OK. Man måste i detta fall förlita sig på extern information från någon annan som har granskat detta system. Man måste alltså förlita sig på extern information. Man måste då få ett utta- lande från det företag som har granskat de systemen för att förlita sig på att det är korrekt. Man har den säkerhet som krävs. Trafikstyrning är lite samma sak. Informationen och den fasta data ligger någon annanstans under någon annans kontroll. Här måste man alltså göra samma sak. Ta reda på att man kan lita på den informationen som kommer ur systemet. Man måste alltså ta reda på vem som har granskat det nätverket och vem säger att det är OK. Du säger att man kan manipulera men någon måste ha granskat det någonstans.
Intervju 2: Vad utgör relevant räkenskapsinformation för er när det kommer ut ur ett trafikstyrningssystem? Och vilken information anser ni skall sparas när den hämtas ur ett sådant system? Det kan röra sig om avtal, statistik, betalningar m.m.?
Avtalet måste alltid finnas. Om betalningarna sedan baseras på klick, där är frågan hur man mäter antal klick. En del mäter klicken själva, andra anlitar nätverk. Om man förlitar sig på någon annan då får man ju få någon form av extern information. Den måste då sparas. Se- dan måste själva beräkningen också sparas med ett avtal som grund. Det blir då alltså klick gånger till exempel den avtalade prisnivån. Detta kan vara en bokföringsorder eller verifikat eller liknande. Då måste du kombinera denna information som visa att det är x antal klick.
Bankkontoutdragen är mindre viktigt i dessa sammanhang. Det är bara pengarna ju. Det är som att jämföra äpple och päron.
Intervju 2: Vi har formulerat frågan på det sätter eftersom skatteverket har uttryck oro vid efterrevidering av bolag där dessa intäkter förekommer med viss oro. Där har det i vissa fall skapats bokföringsorder och verifikat baserade på klumpsummor inbetalade från trafikstyrningsnätverk. Vad tycker du om ett sådant påstående?
Men om det kommer in en summa pengar på ett bankonto, låt oss säga 100000 kronor. Då måste jag som revisor förvissa mig om vad denna summa bygger på. Varför är det inte 200000 kronor. Varför är 100000 rätt. Det måste jag som revisor veta. Annars finns det ju pengar som kan landa någon annanstans. Eller kanske att det förekommer ett fel. Bolagen i sig brukar vara rätt intresserade att vet att deras intäkter stämmer.
Intervju 2: Jag vet inte om du har hört tala som en nyligen avgjort rättsfall i Väster- götlands Länsrätt av skattemässig natur? Det var därför vi valde ämnet.
//Kort beskrivning av ”Adweb-fallet”//
Det är intressant. Det handlar ju i grund och botten om att det är system och att det är komplexa system. I de bolagen jag jobbar i tar vi in specialister som går in och granskar sy- stemen utifrån IT-säkerhetssynpunkt. Där kontrollerar man kontrollerna i system och åt- komsten till systemen. Det kan man inte göra som vanliga allmänpraktiserande revisor, man måste ha gedigen systemkunskap för att kunna göra en sådan granskning.
Intervju 2: Vad tror du om vanliga revisorers, som kanske inte har like mycket erfa- renhet från liknande uppdrag som du, förmåga att göra en riskbedömning på en verksamhet. Vi menar att denna typen av intäkter kan förekomma i alla bolag, ock- så mindre och medelstora. Hur tror du revisors riskbedömning ser ut i ett sådant fall? Till exempel då, när ett uppdrag skall lämnas vidare till en specialist på områ- det?
Just när det gäller riskbedömningen tror jag nog att alla kan göra. Man ser ju att det är ett stort och komplicerat system. Om huvudintäkterna kommer därifrån, hur vet du då att dom är rätt. Det avvägningen tror jag att alla revisorer kan göra. Hur vida vanliga allmän- praktiserande revisorer har kunskapen att själv utför en sådan granskning av system är en annan sak. Det finns säkert revisorer som klara av att göra en sådan granskning. Där är det nog stor skillnad i kunskapsnivå.
Sedan är det ju så att det kanske finns mindre företag som kanske har detta som en mindre del av sin intäktsbit, en bi-intäkt. Då måste man ju göra bedömningen. Hur stor del av in- täkterna rör det sig om. Är det till exempel 10% av intäkterna, ok. Och hur mycket kan då gå fel, ok. Skulle det i så fall vara väsentligt, då får man avgöra var man lägger krutet på denna intäkt. Det är vanlig väsentlighet och risk. Man lägger ju inte huvudparten på 10% av intäkterna, man jobbar ju emot att säkerställa de 90.
Intervju 2: Om man har gjort en riskbedömning på området, finns det då traditio- nellt, finns det risk för materiella fel i denna posten. Kan det var så att substans- granskning kan vara nödvändig?
Risk för materiella fel. Först måste man ju se hur stor del av intäkterna som kommer från denna intäktskällan, det är ju steg ett. Men sedan finns det en risk för materiella fel, om nå- gonting går fel i system. Det är ju egentligen väldigt lätt att det blir fel i systemet. Det är ju väldigt lätt att någon går in i system och ändrar och tar bort var 10:e klick eller styr in klick
på sitt eget konto. Är inte systemen stängda för användarna så att du har behörighet så finns det ju risk för materiella fel. Men om man då gör en granskning på systemet och man kommer fram till att system är OK. Då måste man lita på siffrorna! Substansgranskning i detta fallet är mycket svårt. Hur skulle man kunna substansgranska klick? Det är fullstän- digt omöjligt. Däremot blir det ju en substansgranskning sedan när uträkningarna skall göra. Från system kommer det statistik som säger så och så många klick. Sedan har man ju ett avtal i botten. Då får man substansgranska uträkningarna. Man måste bestämma sig att man lite på systemet eller så gör man det inte. Alternativet är att man kommer fram till att det kan förekomma mindre felaktighet i system. Då får man beräkna hur stort felet kan bli och ser hur det kan påverka intäktsflöden.
Intervju 2: Ingår det per policy att gå in och göra en analys och en riskbedömning på trafikstyrningsintäkter i en vanlig revision, normalt sätt så görs ju en IT- granskning på de interna system i verksamhet. Är det något som också brukar gö- ras, enligt din erfarenhet, även i externa system, så som hemsida och eller kundsy- stem?
Man tittar även på kringsystem i en sådan riskbedömning, det gör man. Det kan vara för- säljningssystem eller marknadssystem. Man gör kanske inte en sådan bedömning varje år men man gör det med jämna perioder. Kanske en genomgång vart tredje år och så skiftar man och bedömer andra system de andra två åren. Man gör inte samma granskning varje år på sådan system. Det vore att kasta pengarna i sjön. Det är inte bara ekonomisystemet som sådant som kollas. Där måste man hela tiden utvärdera var intäkterna kommer ifrån.
Intervju 2: Tycker du att en vanlig revisor gör en bedömning över hur stora intäk- terna kan vara från den externa miljön. Sätter sig en vanlig allmänpraktiserande re- visorn och undersöker företagets hemsida. Man kan tillexempel se reklam som blinkar. Förstår då, tror du, en vanlig revisor att detta kan innebär intäkter, men som kanske inte finns i bokföringen eller kanske inte redovisas till sin fullständig- het?
De jobbar man rätt mycket med. Man sätter sig ner och jobbar med att risk bedöma var fö-