Specialkunskap och IT-revision

Som har utryckts i studiens teoretiska ramverk finns det ett samband mellan en revisors branschkunskap och dennes förmåga att utvärderar risker i revisionsplanering på ett ända- målsenlighet sätt. Vidare har diskuterats att kvalitén på riskbedömning påverkas av revi- sorns bransch och processpecifika kunskaper och dennes förmåga att utvärdera känslighe- ten i riskprocesserna inom en verksamhet. Vidare har diskuterats att revisorer med kunskap om branschen som revideras också är bättre i beslutsprocessen angående var resurser skall fokuseras och var granskningen behöver fokuseras. Det pointeras också att en revisor som har bransch eller processkunskap oftare modifierar standardiserade revisionsprocesser än revisorer som inte har branschspecifik kunskap, studier visar också att förändringarna i re- visionsprocessen görs med större kvalité i sådant fall. Revisorer med bransch och process- kunskap är också känsligare för risk i planeringsfasen av revisionen.

Den empiriska datan i denna studie pekar på att revisorer som har erfarenhet och kunskap från liknande system pekar på att kunskap om detta intäktsområde är nödvändig för att kunna göra en relevant riskbedömning i planeringsfasen av ett uppdrag där trafikstyrnings- intäkter förekommer behöver man erfarenhet och förståelse för denna typen av nätverk och system. Revisorerna i studien pekar också på att de inte tror att en vanlig allmänprakti- serande revisor i många fall kan göra en sådan korrekt riskbedömning. Dock är det i många fall så att en sådan riskbedömning görs ofta av den ”vanliga” revisorn i små och mindre bo- lag där omsättningen från trafikstyrning är låg. Man hamnar i ett moment 22. IT-revisorer och revisorer som sitter på den kunskap och den kompetens som kan anses nödvändig för att göra en kvalitetsmässigt sund riskbedömning arbetar ofta på revisionsfirmornas special- avdelningar för internet och IT. Det är då upp till den påskrivande revisorn att göra be- dömningen om extra specialiserad kompetens kan anses vara nödvändig. Här kan man identifiera ett kunskapsgap. Man kan genom studien hypotisera att det bör finnas otaliga mindre företag där liknande intäkter förekommer. Alltså kan ett sådant kunskapsgap leda till att ett flertal felaktiga eller kvalitetsmässigt undermåliga riskbedömningar görs på dessa intäktsflöden. Detta kan tyda på att mera utbildning på detta område är nödvändig hos van- liga ”allmänpraktiserande” revisorer som utför revision på mindre och medelstora företag där en viss del av intäktsflödena kommer från allfiliatnätverk. En tanke kan vara att sluta detta kunskapsgap genom att låta överföra den kunskap som revisorer med denna erfaren- het besitter igenom utbildning eller liknande. Det är trots allt relativt enkelt att undersöka om det över huvud taget finns i intäkter från den externa IT-miljö, som inte finns upptagen i böckerna. Detta kan göras genom enkel genomgång av företaget externa IT-miljön så som kundgränssnitt och hemsidor. Att sedan göra en bedömning på hur vida det som redovisats i företagets bokföring är korrekt är däremot en svårare fråga.

7

Slutsatser

Studiens slutsatser bygger på den analys som har gjorts av de identifierade riskaspekter som finns inom in- täktsredovisning från trafikstyrningssystem och revisorers riskbedömning av dessa. Kapitlet ämnar inte av- göra huruvida revisorer kan eller inte kan göra en korrekt riskbedömning av dessa intäkter. Eftersom den- na studie kan ses som exploaterande är målet med slutsatserna främst att belysa hur vida det kan föreligga problematik på området och om vidare diskussioner kanske är nödvändiga för att utvärdera revisorernas reella förmågor att identifiera och förstå konceptet och dess uppbyggnad för att kunna göra en korrekt risk- bedömning.

Denna studie har konstaterat att trafikstyrningsnätverk är stora komplexa internetbaserade system där trafik mellan hemsidor genererar intäkter för både privatpersoner och företag samt att denna industri i allra högsta grad är gränsöverskridande, i många fall svår att över- blicka, och omsätter stora belopp. Studien har vidare konstaterat att det krävs förståelse för dessa system och strukturer för att kunna göra en relevant riskbedömning av intäkter här- rörande från trafikstyrningsnätverk. För att en revisor skall kunna göra en relevant riskbe- dömning av dessa intäktsflöden bör de ha en uppfattning om problematik vid tillämpning av gällande standarder och principer på dessa intäkter. Studien resonerar om att det främst bör föreligga problematik angående uppfyllandet av redovisningens tillförlitlighets och veri- fierbarhetsprinciper vid redovisning av trafikstyrningsintäkter, främst då genom fraud, samt att standarder och rekommendation mycket begränsat berör hur flexibla och svårtöver- blickbara transaktions- och informationssystem på internet bör hanteras.

Studien har konstaterat att det inte föreligger problematik när det gäller revisorers förståelse för och riskbedömning av trafikstyrningsintäkter om de har relevant erfarenhet av liknande system. Oftast finns sådan kompetens hos revisorsfirmornas specialavdelningar för internet och IT. Eftersom mindre företag där trafikstyrningsintäkter utgör en liten del av omsättningen säl- lan granskas av dessa specialkompetenser är det då upp till den allmänpraktiserande revi- sorn, ofta med begränsad kunskap på området, att göra en riskbedömning av dessa intäkts- flöden och avgöra om specialkompetens behöver tillföras, ett moment 22.

Studien har vidare konstaterat att allmänpraktiserande revisorer bör ha vetskap om och för- ståelse för att den externa IT-miljö, så som hemsidor eller e-handelsbutiker inte bara är in- formationsspridare och/eller försäljningsverktyg, de kan också vara potentiella källor för biinkomster från trafikstyrningsnätverk. Problematik verkar främst föreligga i mindre och medelstora företag som är helt eller delvis aktiva på internet, där mindre trafikstyrningsnät- verk baserade utomland främst då utanför EU används, och där trafikstyrningsintäkter bara är biinkomster vid sidan av företagets huvudverksamhet och står för en mindre del av före- tagets omsättning.

Studiens författare hypotiserar att det bör finns många mindre bolag som är kunder till tra- fikstyrningsnätverk som revideras av revisorer som inte har djupgående teknisk kunskap, eller kunskap inom trafikstyrning. Är det då lämpligt att dessa revisorer granskar dessa? Kanske bör revisorer med specialkompetens göra allmänpraktiserande revisorer mer med- vetna om komplexiteten i strukturer och intäktsmöjligheter på internet? Dessa hypoteser grundar sig bland annat på de flertal revisorer som kontaktades för att svara på frågor om deras klienters intäkter från trafikstyrning. Ingen av dessa ville ställa upp på grund av bris- tande kunskap eller då de helt enkelt inte kände till fenomenet.

Man kan också ställa sig frågan om processerna kring elektroniska transaktions- och infor- mationsflöden på internet i stort och revisorers riskbedömningar av dessa kan utvecklas i

samma takt som affärsstrukturerna på internet utvecklas. Kanske bör även standardiserings och rekommendationsorganisationer samt lagstiftare på redovisnings och revisionsområdet ställas sig frågan hur deras regler, standarder och rekommendationer kring internet och den internetbaserade ekonomin bör utvecklas globalt, för att möta utvecklingen.

8

Referenser

Adam, F. & Healy, M. (2000). A Practical Guide to Postgraduate Research in the Business Area. Dublin: Blackhall Publishing

Artsberg, K. (2003). Redovisningsteori: Policy och Praxis. Upplaga 1. Trelleborg: Berlings Skogs.

Bryman, A. (2001). Social research methods. 1st _{edition. Oxford University press: Oxford}

Bruner, R. E., Harden, L. & Hayman, B. (2001). NetResults.2 – Best practices for Web Marketing. Indianapolis: New Riders Publishing.

Christensen, L., Engdahl, N., Greääs, C. & Haglund, I. (2001). Marknadsundersökning: En Handbok. Upplaga 2. Studentlitteratur: Lund.

Dyckert, L., Ivarsson, P. & Widman, E. (2002). E-business för tillväxt och lönsamhet. Strategi Ekonomi Juridik. Lund: Studentlitteratur.

Eliasson, A. (2006). Kvantitativ metod från början, Lund: Studentlitteratur.

Henderson, S. Peirson, G. Brown, R. (1992). Financial Accounting Theory- Its Nature and Development. 2nd ed. Longman: Longman publishing group.

Goldschmidt, Junghagen och Harris (2003) Strategic Affiliate Marketing. McGraw: London

Kam, V. (1990). Accounting Theory. 2nd _{edition. John Wiley & Sons, Inc. New York.}

Lundahl, U. & Skärvad, P.H. (1999). Utredningsmetodik för samhällsvetare och ekonomer. Upplaga 3. Malmö: Studentlitteratur.

Lindstrom, L. (2001). Etailhandel: Clicks, Bricks and Brands. Copenhagen: Börsens Förlag.

Marton, J., Falkman, P., Lumsden, M., Pettersson, A. & Rimmel, G. (2008). IFRS- i teori och praktik. Upplaga 1:1. Bonnier Utbildning AB: Stockholm

Mathews, M. Perera, M. (1996). Accounting theory & development. 3rd _{edition. Sydney: Thomas}

Nelson.

Pashang, H. (2003). Processes of Accountability. Västra Frölunda: Intellecta DocusSys AB.

Riahi-Belkaoui, A. (2003). Accounting by Principle or Design? Westport: Praeger publishers.

Smith, D. (2006). Redovisningens språk. Upplaga 3. Denmark: Narayana Press.

Sudgren, S. Nilsson, H. Nilsson, S. (2007). Internationell Redovisning - Teori och Praxis. Upplaga 1:1. Pozkal: Studentlitteratur.

Saunders, M., Lewis, D. & Thornhill, A. (2007). Research Methods for Business Students. 4th edi- tion. Harlow: Financial Times / Prentice Hall.

Wernerman, M. (2006). Revision – En praktisk beskrivning. Stockholm: FAR Förlag.

Lagtext och rekommendationer

BNFAR 2003:3- Redovisning av intäkter Bokföringsnämnden

ÅRL Årsredovisningslag (1995:1554) 2:4 Andra grundläggande redovisningsprinciper

BFL Bokföringslag (1999:1078)

RR 11- Redovisningsrådet

RR Förord

IAS 18 - Intäkter

Övriga källor

Akers, M. D. & Bellovary, J. L. (2007). What is Fraud and who is responsible? Journal of Fo- rensic Accounting. Volume 7 (1). s. 247.

Andersson, V. (2008). Handledning för sambandet mellan redovisning och beskattning. Stockholm: FAR KOMPLETT

Cushing, B. E., & Loebbecke, J. K. (1983). Analytical approaches to audit risk: A survey and analysis. Auditing: A Journal of Practice & Theory. Volume 3 (1). s. 23-41

(eMarketer, 2008). Affiliate marketing. Hämtad 24 april 2009 från www.emarketer.com

Evans, P. B. & Wurster, T. S. (1997). Strategy and the new Economics of Information. Harvard Business Review. Volume 75 (49). s. 32

Gaumnitz, B. R., Nunamaker, T. R., Surdick, J. J. & Thomas, F. M. (1982). Auditor consensus in internal control evaluation and audit program planning. Journal of Accounting Research 20 (Autumn), Part II. s. 745-755.

Houston, R. W., Peters, M. F & Jamie, H. P. (1999). The Audit Risk Model, Business Risk and Audit-Planning Decisions. The Accounting Review. Volym 74 (3). s. 281-298

(IDG, 24 februari 2008). Betala bara för resultatet. Hämtad 5 juni 2009 från http://www.idg.se/2.1085/1.146867

Internationell Redovisningsstandard i Sverige – IFRS/IAS, Stockholm

Joyce, E. J. (1976) Expert judgment in audit program planning. Journal of Accounting Research (Supplement) Volym 4. s. 29-60.

Low, K. Y. (2004). The Effects of industry specialization on audit risk assessment and audit-planning decisions. The Accounting Review. Volym 79 (1). S. 201-219

Silverstein, B. (2001). Developing Interner Partnerships, Direct Marketing, Volym 63 (11), s. 33-43

Tradedoubler (2008). Om oss. Hämtad 25 maj 2009 från http://www.tradedoubler.com/uk- en/about/

9

Appendix 1 – Telefonintervju - IT-revisor

Intervjun hölls: 2009-05-13 09:01 med IT-revisor från en av Sveriges största revisionsfirmor.

Vad är din position inom din byrå? Hur länge har du arbetat inom företaget? Är du auktoriserad re- visor?

Jag är IT-revisor. Jag är inte auktoriserad revisor. Jag kommer inte kunna bli auktoriserad revisor. Jag är certi- fierad IT-revisor. Jag har jobbat inom byrån i fyra år.

Vilken utbildning har du, är det ren IT-utbildning?

Magister i ekonomi. Det mesta jag kan har jag lärt mig genom ”learning-by-doing” här på byrån. Man lär sig inom företaget hur man granska IT-system. Sedan har jag också diverse extra kortare utbildningar internt inom företaget. Det gör att man kommer in bra i hur IT-revisionen fungerar.

Hur skulle du vilja beskriva dina kunskaper inom konceptet trafikstyrning och affilitate marketing?

Det har jag inte jobbat med specifikt. Jag måste nog säga att de är ganska begränsade. Jag har aldrig haft en specifik kund där det har ingått i deras verksamhet.

Har du hört talas om dessa koncept innan denna intervju?

Inte dessa specifika namnen men jag vet ju hur det ser ut på nätet, så jag har referenspunkter att gå efter.

Har du någon gång granskat ett företag där det förekommer intäkter får affiliatmarknadsföring eller trafikstyrning?

Nej egentligen inte. Jag har jobbat mer med företag som har intäkter från webbhandel, det är ju där då som jag jobbar specifikt.

Om du gör en sådan revision, till exempel på ett e-handelföretag, gör ni en objektiv bedömning av hemsidan i sig, alltså inte baserat på deras bokföringssystem, utan kollar ni på hemsidan helt objek- tivt också?

Ja, man kollar på hur hemsidan ser ut. Man kollar hur man loggar in här och hur användarnamn och lösenord fungerar. Man gör detta för att få förståelse för vad företaget använder och vad det är företaget loggar in på.

Gör ni en aktiv bedömning huruvida det kan förekomma marknadsföringsinkomster?

Nej, vi gör inte direkt en sådan bedömning. De företagen jag jobbar med har inte haft banner eller marknads- förningsmaterial på sina hemsidor. Förtagen länkar inte vidare till andra sidor eller företag.

När skall enligt, enligt er, en IT-revision göras, och när bör en klient lämnas över från den påskri- vande revisorn till er?

Det beror helt på vad IT-revision innebär för er. Som ni säkert vet gör man en substansgranskning på poster i redovisningen som man bedömer att det finns risk för materiella fel. Utöver det finns det kontrollgranskning där man förlitar sig på den interna kontrollen, på infrastrukturen på företaget i form av IT och affärsprocesser och att det finns kontroller för dessa affärsprocesser. Dom skall vara bra i sin design osv. En IT-revision kan om man pratar om substansgranskning göras som en del av förvaltningsrevisionen, speciellt om man pratar om ett mindre företag. Då frågar man sig hur IT-miljö ser ut. Till exempel kan det finnas ett affärssystem, eg. Hogia. Det är det enda som finns på företaget. Löner hanteras manuellt. Då är systemet inte så komplext. Då är det lätt för revisor att sitta ner med företaget IT-ansvarige eller ekonomiansvarige och gå igenom IT- miljön. Grunden i detta sätt att jobba kan man ta med sig på ett större företag också, som kanske omsätter några miljoner. Man kan då sitta er med till exempel en IT-chef som finns i organisationen och diskutera IT i tre, fyra timmar. Man har då vissa områden som man går igenom. Utöver det finns också den kontrollbasera- de granskningen. Man utgår då från en övergipande IT-revision fast man går mer ner i detalj på hur kontroller som är kopplade till IT-processer ser ut. Emellan dessa två sätt att ganska finns lite skillnader. Oftast väljer den vanliga revisorn att låta IT-revisorn ta hand om revisionen utav IT-systemen på företaget, förutom om det är jättesmå företag, men om det är lite större företag så gör vi granskningen. Vi får då någon form av in- put från revisorn, om vad som kan ha hänt eller om det är något som är speciellt i sammanhanget. Revisorn gör före detta sin riskbedömning i början av varje år revision och kan då avgöra om det finns området som vi

bör koncentrera oss på. Vi tar med oss det som den vanliga revisorn har att säga och sitter sedan ner med nå- gon IT-ansvarig på företaget och pratar om IT-miljön vad som har hänt och hur det kan påverka vår bild av revisionen.

Finns det några policys inom företag om när det skall gå över från vanliga revisorn till IT-revisorn, eller är det beslutet helt upp till den påskrivande revisorn att bedöma beroende på när han känner att han har otillräcklig kompetens?

Jag kan inte svara för den vanliga revisorskåren och vad de gör men jag utgår ifrån att så fort den vanliga revi- sorn känner att det går utanför han kompetensområdet och det blir för komplext vänder han sig till oss, så går vi in och gör den granskningen.

Kan du säga på hur stor andel av era klienter som det görs en IT-revision på?

Det är väldigt svårt för mig att säga.

Är det mer än hälften där det ingår någon form av IT-revision?

Jag vet ju att min firma har 50000 kunder i Sverige, hälften av dem gör säkert någon form av IT-revision. Det beror mycket på vilka andra uppdrag vi utför åt de. Jag vågar inte svara exakt och tycker det är mycket svårt att uppskatta.

Men IT-revision kan ju vara två saker, den påskrivande revisorn gör ju också en bedömning av säkerheten i IT-system. Det är ju inte säkert att vi gör den, den kan ju göras på andra sätt också, detta är beroende på hur komplext systemet är. Om det bara finns ett enklare affärssystem, eg. Hogia, så blir inte revisionen så avance- rad.

Vid en IT-revision är det främst affärssystemen som är det viktiga för er i er granskning?

Nej det är det absolut inte. Men det är en mycket viktig del. Men det finns många saker som påverkar vår ut- formning av revisionen. Interna processer är väldigt viktiga. Speciellt om de ändras, t.ex. vid en omorganisa- tion. Hur påverkar det processerna kring IT-systemen. Hur arbetar förtaget om personal med kompetens kring IT-systemen försvinner. Hur säkerställer man att processerna som existerar i företaget verkligen förs vi- dare om kunskapen försvinner ut ur företaget. Vi kontrollerar att det finns dokumenterade processer till ex- empel. Det finns mycket som påverkar men det är några exempel.

Finns det någon fokus vid er riskbedömning, är det något område som ni fokusera mer på än andra?

Vi har fyra olika domäner inom IT-revisionen som vi ganskar. 1)Programutveckling 2) Programändringar 3)Drift 4) Behörighetstilldelning. Detta gäller för att datalagringsfaciliteter på företaget, eg. databaser, servrar, operativsystem, mjukvaror och nätverk. Dessa områden täcker man upp mer eller mindre i alla IT-revisioner, baserat på storlek, komplexitet och vilken bransch de jobbar inom.

Hur arbetar ni med system där användare på företag har relativt stor frihet att logga in och hämta in- formation själva, för att säkerställa att det är rätt information som hämtas?

Det är en av våra viktigaste uppgifter. När vi gör vår granskning vill vi att det skall finnas någon form av ar- betsfördelning, engelska ”segregation of duties”, då försöker vi säkerställa att exempelvis en inköpare endast har tillgång till den funktionalitet som är nödvändig för att han/hon skall klara sina uppgifter, man skall till exempel ha tillgång till inköpsorder/ funktioner men man kanske inte skall kunna ändra i fasta data. Man skall till exempel inte kunna lägga in leverantörer, ändra information om leverantörer. Samma person skall inte kunna lägga in en leverantör, lägga en beställning och får varor leveretat till en annan adress eller att något sker av misstag.

Gör ni normal en riskbedömning liknande den nämnda även på företags externa IT-miljö, interak- tion med kunder/leverantörer, tillexempel hemsidor eller externa kund/inköps/administrativa sy- stem. Görs en riskbedömning om det kan förekomma intäkter som inte syns i bolaget böcker?

En sådan riskbedömning ligger hos den vanliga påskrivande revisorn, initialt. Jag kan därför inte uttala mig om vad som görs eller inte görs i en sådan fråga. Men om vi har fått ett uppdrag om att göra någon form av IT-revision så får man i så fall gå in och titta på något sådan då, men i så fall går vi inte in i detalj och gör en sådan granskning. Här är det viktigt att pointera att när man pratar om IT-revision pratar man oftast också om IT-säkerhet som ett komplement till revisionen. Då frågan man sig, vad finns det för IT-säkerhet på före-

taget? Vad är risken att något felaktigt inträffar som jag tidigare berättat. Om man sedan skall börja diskutera intäktsströmmar ligger detta på revisorns bord att se över vad det finns för risker kopplade till bolaget.

Hur ser era möjligheter ut att uppskatta intäkter i den externa IT-miljön, använder ni er av mallar el- ler liknande, om man till exemplet ser till externa intäkter på hemsidor, finns det någon möjlighet för er att uppskatta detta?

För mig är det en svår fråga eftersom jag inte direkt har jobbat med sådan verksamhet som ni specifikt under- söker. Jag tycker därför det är svårt för mig att göra en sådan bedömning. Spontant är det en fråga för revi- sorn men vi bidrar självklart i sådana områden där vi har kunskap, till exempel IT, nätverk och servrar. Men jag har aldrig varit i kontakt med denna specifika bransch. Så jag vet inte direkt.

Upplever du att det finns bättre kunskap hos IT-revisorer än hos vanliga revisorer att göra en sådan bedömning, huruvida det kan förekomma oregistrerade intäkter i den externa IT-miljön? Tror du det finns ett gap i kompetens mellan dessa två yrkesroller?

Jag tror personligt att det beror mycket på personen och dennes erfarenhet som revisor. Vissa revisorer är ju