[K][llio ~ revlsoren ORGAN FOR NORSK BANKREVISORFORENIN G 23. argo SEPT. 1987 Denne gang bjant annet: o Revisjonsdatabasen o Revisjon og ansvar o Revisjonssjefkretsen o Bankrevisorens TEMAHEFTE o Kredittilsynets rundskriv
PRESIDENTEN HARORDET NORSK BANKREVISORFORENING er at BV mange her1ng8organ for Det Kgl. Departs.ent for Handel 09 Skipsfart. 1 so.mer aendte departementet ut til hering at foreleg om endr1ng BV Rev1aorloven, 11. Etter Reviaorloven, 11 kreves det 1 dag to Ars forskjel11gartet praksis i rev1sjonaarhe1d for 4 bl! reg1strert so. revisor aller fa bev1111ng som statsautor1sert revisor. S1lk som godkjenningsordn1ngen na prakt1seres er 1kke bankrev1ajon godkjent praksis. 09 dette medferer at bankrevisorer Bom har tatt revisorutdannelae.4 ha per.1ejon fra banken for A skaffa seg den nedvend1ge praksis. Resultatat av dette er afta at nar en sa er ferd1g mad den nedvend!ge prakais sa ko er en 1kke t11bake til bankrevlsjon. Departementet vl1 na foresla at prakslskravet end res silk at praksls fra offentllg revlsjonaarbeld kan godkjennea fullt ut som grunnlag for reglstrerlng I autorlsaajon etter Revlsorloven. Det naturllqe vl1 da yare A lnnfare en generell opp.yklng av kravet tl1 forskjelilgartet prakals silk at f.eks. bankrevlsjonl lnternrevlsjon og 1 st0rre utatreknlng ogaa annet regnakapaarbeld kan anaeea tllatrekkellg for offentllg godkjennlng. Departementet vii etter heringarunden vurdere narmere om en slik endrlng av praksisgodkjennlngen nedvendiggjar lovendringer. Styret i NBRF har behandlet dette fora lag og sluttet seg fullt og helt til departementeta argumentasjon. da vi mener at det offentlige og atore organiaaajoner kan tilby nyutdannede revisorer en tilatrekkellg variert praksia. Det ber ogaa fremhevee at prakaia i ekaterne revisjonafirmaer ikke gir noen erfaring i revisjon av offentlig vlrksomhet. slik at heller ikke denne praksia er tilstrekkellg allsidig. For finansinstitusjonenes del.aner vi at vi kan tllby en evart variert prakaia da en jo opererer pa et stort marked og har et bredt produktspekter.
Styret mener derfor at departementets forslag vii fare til en heyere standard pa revisjonspersonalet i offentlig virksomhet og intern revisjonsfunksjon i store organisasjoner. Vi har derfor tiltradt departementets forslag. I den sen ere tid har sparsmalet om revisors valgbarhet til de ulike utvalg i NBF dukket opp igjen. Det har skjedd en god del siden spcrsmalet sist ble diskutert (1980-81). Flere og flere banker har etablert en intern revisjonsavdeling med ekstern ansvarlig revisor. Styret har funnet denne problems tilling sa interessant at den er overaendt Reaponaumutvalget for uttale!se. Dette spcrsma! ber ogsa intereaaere deg som leser dette blad, sa dersom DU har synspunkter, vi! jeg og hovedstyret/responsumutvalget sette s~or pris pa A hare nzrmere fra deg. o&~ ~~ ~~~t~ bankrevisoren 1
INNHOLD I DEllE NUMMER Side 1 Presidenten har ordet 5 Revisjonsdatabasen - et nytt revisjonsverkt0y v/revisjonssjef Ketil Fjerdingen, DnC, Oslo 15 Revisjon av systemutviklingen pa IDA v/revisjonssjef Svein Erik Dovran 20 Feil og mangler ved problemengasjementer v/avd. sjef Einar B. Karlssen, Sparebanken ABC. 24 Revisjon og ansvar v/direktm Helge Seip 26 Revisorstudiet 30 Revisjonssjefkretsens arsm0te 33 I. Alf Steinsbu, ieresmedlem i revisjonssjefkretsen 34 TEMAHEFTET 37 Leserinnlegg. Optimalisering av revisjonsarbeidet 2 bankrevisoren
Side 39 Kredittilsynets rundskriv 41 Redakt0ren har ordet 42 Nytt fra lokalavdelingene 0stlandsavdelingen Twndelagsavdelingen 44 Bokanmeldelse av EDB-Revisjon etter model I 88 45 NBRF's utdanningsstipend 43 In The Institute of 11& Internal Auditors """"-. 61 I EDP Auditors Association c~~~.. " bankr cvisorcn 3
Kontanter heile degret KORT OG KONTANT Minibanken finn du midt i sentrum ved Voss Handelslag ~~J;~r=(~) ~. ~EKSElBMiK~U z:::::- ~_~ ~ CMI~' ~~~~ ~UnAAGA,!!--, {)AX' ~~ "'- l -'),\ti;> l fi \ \. Vekselbanken A.S Voss Veksel og Landmandsbank 4 bankrevisoren
Revisjonsdatabasen et nyu revisjonsverkt0y AV KETIL FJERDINGEN Statsautorisert revisor Ketil Fjerdingen har heyere revisoreksamen (fa 1983. Han har tidfigere vrert ansatt i Arthur Andersen & Co., men er ml revisjonssjef i Den norske Creditbank mad ansvar for oppfofging av bankens arsoppgjo( samt metodikk og utvikling i revisjonsavdelingen. Fjerdingen er med/em av NSRF's internrevisjonskomite. Innlcdnmg KORT BESKAIVElSE AV DEN INTERNE REVISJONEN I onc 21 Formill 22 Orgamsas)on 23 Arbeidsoppgaver 24 Koordmcrmg REVISJONSDATABASEN 31 Generelt 32 Hovedoppbyggm9 3 2,1 Reglstrere data 3 2 2 Overlore data 3 2 3 Lisle ul rapporter 324 SystemadmlnlStrasJon 33 Grunnlag lor registrermg av undersokelser 331 Generelt 3 3 2 RevlSjonsprogram modul '-4 3 3 3 RevlsJonsprogram modul 5 334 Kontrollsammendrag 1 335 Konlrollsammendrag 2 336 Konlrolisammendrag 3 337 Fnteltst 338 Signaler 3.4 Bruk av databasenlrapporler 3-41 Generel! 34 2 Eksempe! pa tolalrapporl X-banken 3A3 Eksempel pil vurdnng mternltontroll avdeling - Y 3-4.4 Eltsempel pa feilslahstiltlt omrilde- Z 4_ OPPSUMMERING Dennfj artikkefen dekker del 1 til 3.3 i disposisjonen. 1. Innledning Som et ledd I a forbedre kvahtelen av revisjonen I OnC har del vrert lagt ned mye arbeid i a bygge opp en revisjonsdatabase i avdelingen Med et slort anta!! revisorer spredt omkrlng i Norge 09 utlandet, har del vrert.helt nodvandig Ii; ta i bruk nye hjelpemldler for a koordmere ravisjonsarbaidet og badre grunnlaget for da konklusjoner vi trekkal Dette vii igjen forbedre innholdet i vart hovedprodukt. som er rapportene Denne artikkelen tar sikte pa Ii; besknve hovedlrekkene I oppbygging 09 virkemate av var revisjonsdatabase. samt gl en overslkt over hvordan den har pavirket vart arbeid sa langt Artikkelen er delt i to deler, og den lorste delen tar for seg hovedtrekkene I vart arbeid og hovedoppbyg- 91ngen av databasen_ I neste nummer av tidsskriftet Kommer en mer detal Jert beskrivelse av hva som legges inn i revisjonsdatabasen og hva vi far ut av den i form av rapporter og andre vikuge data. 2. Kort beskrivelse av den interne revisjonen DnC 2.1 Formal Den interne revisjonen i DnC dekker i pnnslppet 4 hovedlormalo Som kontrol1organ for styret og administrerende direktor ska! vi pase,i. - lover og forskrifler folges _ bankens administrative relnings!inier bllr lulgt (rutine-/arbeidsbeskrivelser, instrukser, fullmakter) o VI ska! loreta en selvstendig gjennomgang av internkontrahen j banken for a se etter at det eksisterer en forsvarlig og rasjaneh styring av bankens vlrksomhe\. Videre skal vi vurdere forretningsmes$ig (isiko, risiko for svikt j rutiner og (islko for mishgheter som kan resulte(e 1 regnskapsfeil ag/eller okonomiske tap. Vi skal pase at: - den okonamiske rapporleringen fm banken er avgitt i samsvar med lover og forskrifter bankrevisoren 5
at arsoppgjoret gir uttrykk for resultatet av driften gjennom aret og stillingen pr. 31.12 j samsvar med god regnskapsskikk, Dette arbeidet skal gjennomfores silk at bankens eksterne revisor skal kunne bygge pa dette i forbindelse med sin bekreftelsesfunksjon (se Fbi 14)_ Vi skal!ilfore Kontrollkomiteen i banken opplysnmger slik at de kan utfore sin funksjon. ORWOWISi\?JONSPLA.N Egen camlnl"lro,;;jon {" For a dekke disse formollene lorsvarlig kreves en ulik oppbygging og gjennomforing av revisjonsarbeidet innenfor hvert enkelt hovedformtll. Spesielt gjelder deue: Omritdeinndeling Indeksering/oppbygging arkiver Vesentlighels- og risikoanatyser Vatg av type, omlang og tidspunkt for gjennomforing av revisjonshandlingene Fig. 1 ========~_~'~=O=]======~=-_'=l=+]========~ Jeg vii i denne artikkelen ikke ga nermere inn pol hva disse forskjellene bestar i, men bare konstatere at det er silk. Samtidig er del klart al det arbeidet som utfores mot de ulike hovedformal henger sammen og gior del nodvendig med en gjensidig informasjonsutveksling for dermed it fa en mest mulig effekllv revisjon totalt selt. Her er revisjonsdalabasen det verkloyat som gjor an slik oppdeling mulig a gjennomfore i praksis. 2.2 Organisasjon Organiseringen av revisjonsavdelingen er gjennomfort stik al den hoved sakatig reflekterer de utike hovadformal som skal dekkas. (Se fig. 1.) (Tallane indikerer anlall personar innenfor da lorskjellige grupper.) KOORDII'4 RING Vl" REVlSJONSDATABASEN E FORNIAL : C orvo:!ko D drift 09 B utvikling REGNSKAP Total! bastar avdelingen av j over kant av 70 revisorer. Av disse ar omtrent halvparlen knyltel iii hovedkontoret i Oslo, mens de ovrige er spredl omkring i Jandel (regionvis) og i yare datterbanker i utlandal. 2.3 Arbeidsoppgaver Av organisasjonsplanen ser man at vurderingen av inlernkontrollen og selva regnskapsbekreflelsen er adskilt. For oppfdlging av internkontrollen er del utarbeidet revisjonsprogrammer som er omradefordell i samsvar med rutineoppbyggingen i banken. Delle er programmer bygget over 5 slandard hovedmoduler. Fig. 2 Modul1-4 Vurdering av hvorvidt del er etabler\ tilfredsstillende internkonirollliitak I rulinen, herunder om det er: tilslrekkelige konlrol!er - uhensiktsmessigelunodvendige kontroller ModulS Testing av hvorvidt de etabferte kontrolltiltak funksjonerer som forutsatl Jeg vii i nesle del av artikkelen komme nermere Wbake iii hva de enkelte moduler omlatler og hvordan delte bllr kodet i databasen (del 3.3). NiH del gjelder regnskapsbekreflelsen, er arbeidsoppgavene helt pa Hnje med del som gje!der for den ekstarne revisor. Hovedoppgaven er A pase at arsoppgjoret er avgitt i samsvar med lov og forskrifter og al det gir uurykk for bankens arsresuttal og stilling i overensstemmelse med god regnskapsskikk. Revisjonsarbeidel er har inndell j omr<'tder basert pa bankens offisielle regnskap og poster hertra som naturlig horer sammen. Arbeidet er i star grad basert pa analytiske revi- 6 bankrevisoren
HOVEDMENY n~s~onsoataoasen OoC R"",,,jo;.rl<m - sjonsomrader som er mer baserl pa EDB-drHtsrutmer og de forskjellige apphkasjoner under utvlkling i banken_ Videre har VI arbeidet som pflmrert. er retlet mot mlsligheter_ Forelopig har denne delen av revlsjonsarbeidet hovedsakelig bestatt 1- Karilegging av risikoomrader " Komme med forslag til bedret kontroll og oppfolging o Delta i oppklarmg av allerede oppdagede mls!igheter Eller hvert vi! denne gruppen ogsa lele etter konkrete mlsligheter i ahe dejer av var organisasjon. Dette arbeidel rna inndeles i revisjonsomrader pa en fjerde mate pa Ivers av rutiner, regnskapsposter og EDB-ruliner. Fig. 3 ~I3fSRE DATA Fig. 4 H<)'v dt(ontcr 81 JiIP 1 81 ReQ'cn ~. Nord-Norge ~... - 1'1"'3. " \>''''''«0,,<:1/ 'T~","d"l<l'l 81/ ReS/lon S'4,lol'ldbt S Q L ~ / """,on S\:lL So lzist!<lnd Nord @Is SASE 0 L -81 SOL r 81 Ut."nlo,,,:luko- Enh"t.. r sjonshandlmger og i mindre grad detaljkontrol1er, nettopp fordi detaljkontrollene ligger lagret i databasen. Arbeldsoppgavene innenfor EDBomradet kan oppsummeres i folgende hovedpunkter: Oppfolging av den tekniske siden av EDB-drift i banken Oppfolging av syslemutvikhngsprosessen i banken Region ad.,. / Ak.,... h"" ~ Rilglon O'ltIQnO Syc Stottegruppe for utv!kllng av egel bruk av EDB-verkloy i revisjonsarbeidel Konlakt mol IDA (bankens datasen Iral for masserutmer) Yare EDB revisorer engasjerer seg s31edes norma!! ikke I del enkelte programs syslemlogikk og aldrl i de data EDB-programmene behandlel Igjen VII del bli en annen mndellng I revi- 2.4 Koordinering Med slike mangearlede oppgaver og et hoyt anlall personer involver\, er del helt nodvendig med en slerk koordinering innad j revisjonen, noe vi bl.a, oppnar gjennom revisjonsdatabasen (Se fig. 2.) De forskjellige gruppene mnen var revisjonsavdelmg bllr knyttel sam men III en enhet, og den enkelte revisor kan via dalabasen dra gjensidig nytte av arbeldet som gjennomfores av de andre revlsorene KoordlOeringen som er bygd rundl et dalabaseonentert system. hindrer dermed al det u\lores dobbejtarbmd og oker kvalileten av vart arbeld vesentllg For ytterligere mlormasjon om den mterne revlsjonen I DnC henvlses hi artlkkel I tldssknftel or 1,85 Side 25-30 av revlsjonssjel Knul Loken_ 3 Revisjonsdatabasen 3.1 Generelt Den ovene/ende de! av vare tolale ressurser retles mot oppfolgmg av mlernkonlrollen I banken Del er denne gruppen av revisorer som hovedsakelig legger data Inn i rev! Sjonsdatabasen De andre gruppene av revlsorer legger forst 09!rems! IOn signaler III andre revlsorer og henler ut nodvendlg informasjon for sill egel arbeid 3.2 Hovedoppbygging Selve databasen er en relasjonsdatabase der aile datasetl kan kobles sammen etter behav_ Hovedmenyen i dalabasen bestar av 4 deler silk del fremgar av skissen neden/or. (Se fig, 3.) bankrevisoren 7
3.2.1 Registrere data Utgangspunktet for registrering i databasen er gjennomforte kontroher i hen hold til revisjonsprogrammer for de enkejte rutiner i banken. Resultatet av kontrohene dokumenteres direkte pa standard registreringsskjema. Selve registreringen bur foretatl direkte pa en IBM kompatibel PC der revisorene er lokalisert. og behandlingen av data skjer via en egen EDB-appHkasjon sam er ulviklet for behandling av inndata. Hele programme! er menystyrt. og det er dermed enkel tilgang til de enkelte skjermbildene som igjen er identiske med registreringsskjemaene. Pfl. sikt er del meningen at reg istreringen skal kunne skje dlrekte pa PCen, Leks gjennom en brerbar enhet der man far en kviuering i ettertid. Registreringsprogrammet har en rekke input-kontroller, teks. at aile nodvendige feiter er fylt ut. at numeriske feuer ikke inneholder alfanume fiske verdier osv,! lillegg vi! en rekke inntastede verdier bli kontro!!ert mot informasjon sam ligger lagret pa PCen, Leks. revisornummer, arkivenngskode og andre v'lktige data. Systemet gir utskrifl, eventuel! feilmeldmg i klarskrifl pi!. skjermen dersom inputkantraliene avdekker feil Under registreringsmenyen er folgende undermenyer tilgjengelige: o Reglstrere o Endre " Foresporre " Sielte Fordi selve registrenngsprogrammel og fasle dala bhr lagrel pa den enkelte PC, vii del vrere muhg a lagre f1ere undersokelser for dlsse overfores iii selve databasen sam rent fysisk figger pa DnC's stormaskin (IBM). De regislrerte data vi! forbfi lagret inntil de bur sleltel ved bruk av spesielle kommandoer, eventuel! at de bfir overlort hi et annet lagnngsmedlum, f eks. tape. Hvor lenge de enkelte data skal bli Iiggende pa disk, er avhengig av datamengden og hvor pakrevet en rask tilgang er eller hvert som tiden gar 3.2.2 Overfcre data Med visse mellomrom ma data overlores til den senlrale IBM maskinen Fra nile yare enheler lokallsert ulenfor hovedkontorel og fra flere lermina!er ved selve hovedkon\oret. bur det over~ fort dala via del offentllge dalanett tit dalabasen. (Se fig. 4.) Det verkloy som benyttes far a oppdalere selve databasen er oppdateringsfunksjonen i SQL (Structured Query Language) som er et IBMprodukt (4. generaslonsverktoy). I lillegg til a Jegge data inn pa rikllg sted, vif del ogsa her bli forelalt ylterligere inputkontrofler. Overforingen av data til stormaskin vii i likhe\ med selve registreringen vrere menystyrl. 3.2.3 Liste ut rapporter Til a henle ut informasjon Ira databa sen beny!tes samme terminalulstyr (PC) som 'led registreringen. Her er de mesl benyttede rapparter forhfl.ndsdefinert og kan p!ukkes direkle ut Ira en meny, Revisor kan agsa individuel! def[nere egne rap porter gjennom forholdsvis enkle kommandoer j SOL Med 1111 trenmg vii det ikke by pa problemer it kjore ut egne rapporter i lopel av ffl. minutler Aile data som legges inn vii vrere lilgjengelige sam variabler i rapporteringen og databaseteknrkken glr muligheter for en svrert fleksibel rapportering noe jeg kommer nrermere Wbake HI i del 2 I neste nummer 3.2.4 Systemadminlstrasjon De funksjoner som ligger under denne delen av databasen, vii i utgangspunktet vrere av en silk karakler at fa personer j revisjonsavdelingen vii vrere autonsert for ii. kunne ullore disse. Iglen vii funksjonene va'lre meny styrte, og jeg nevner korl de mulighetene som foreligger: Behandling av taste data (revisornummer, arkiveringskoder, osv.) Under denne delen av systemadministrasjonen kan revisor: o Regislrere nye, taste data " Endre eksisterende taste data o Slelle ekslsterende laste data I) Foresporre mot lnnlagte faste data Behandling av registrerte data Hervil resultalet av innlagle kontrofler kunne pavirkes direkte, dvs, endre ogl eller sleue allerede innregistrertedata i basen. Administrasjon ilv brukere Den sisle delen av denne menyen gjalder administrasjon av brukere, og vii vrere en funksjon som kun er IiIgjangalig senlral!. Her opprettes det parsonlig bruker identlteler og hordes styr pa hvem som er autoriserl for a ullore de enkelte tunksjoner. 3.3 Grunnlag for registre~ ring av undersokelser Hovedmenyen i revisjonsdalabasen beslar som tidligere nevnl av fire daler " Reglslrere data " Overfore data " Usle ul rapporter Systemadm I nisi rasjon Forsle del av hovedmenyen glr muhgheter for reglslrermg av data IOn I databasen, og jeg har under del 321! fornge artlkkei redemort for hovedpnnsippene for denne reglstrenngen Gjennom revisors undersokelser bllr del utarbeidet grunnlagsmatenale for registrering i databasen 3.3.1 Generelt (se fig, 5) Gjennom kontrollsammendragene (1-2.3) reglstreres resu!talet av revlsjonshandlingene inn, og dlsse benyttes dessuten direkte som dokumentasjon (arbeldspaplrer) for del arbeldel sam er gjennomforl Vldera er det mullgheter lor a legge IOn ffltckst, dvs. revisor er da ubundet av del kodesystemel som hgger iii grunn for registrenngen gjennom kontrollsammendragene og kan med egne ord beskriva vesentlige forhald sam er nolert ved rulmagjennomgangen SISt. men lkke mmsl. kan revisor gl signaler via databasen til andre revlsorer. For bedre a lorsla grunnlnget 8 bankrevisoren
Fig, 5 B "17. (,O:~E"( for de registreringer som forelas, vii jeg ga mer detaljer! inn pa oppbyggingen av vare revisjonsprogrammer nar del gje!der oppfolging av intemkontrol/en i banken 3.3.2 Revisjonsprogram modul1-4 Denne delen av revisjonsprogrammene ar mer standardiser! 09 prinsipielt annerledes enn NSRF's standardmelodikk. De 4 modulene med delmoduler bestar av en gjennomgang 09 vurdring av internkontrollen i den akluelle rutinen. Revisor skal gjennom denne lasen av revisjonsar belde! vurdere om del i rutinen at:.. elabler! tlistrekkellge kontrolier /I) uhensiklsmessige/unodvendige kontroher Gjennomgangen bestar i a vurdere /olgende internkontrolltiltak i forbindelse med rutinen: Organ/sasjon O. Personate 1. OpptreringlRekruttering 2_ Ansvars- og arbeidsdeling 2 Inslruksverk O. Eksterne avtaler 1. InstrukserlRetningslinjer 2. Rutine- og arbeidsbeskrive!ser 3. Fullmakter 4. Aulorisasjonsprosedyrer 3 Sikring O. Begrensel adgang/bygningsmessige sikringer 1. Periodiske opplellingerl avstemmingerlbekreftelser 2. KontroiJ med verdier inn-ut 3. Vedlikehold maskinerfbygninger etc. 4. Forsikringer 4 RapporteringlOokumentasjon O. Innhold 1. Utarbeidelse 2. Distribusjon 3. Bruk 4, Oppbevaring (Tallene angir moduler og delmoduler i programmene.) For ordens skyld vii jeg understreke at vi kan registrere ytterligere detaljer innenfot aile delmoduler dersom det et onskelig. Vi kan f.eks. under de!modu!1.1 (opp!rering) onske a skille mellom: Intern opplrering Ekstern oppla;ning Dette gar igjen for alle ruliner og aile de internkontrol!tiltak som er aktuelle, men jeg gar ikke nrermere inn pa delte her. I del enkelte revisjonsprogram er det skissert hvilke av disse tfltakene som er avgjorende for at revisor skat kunne si at det er eiablert forsvarlig kontrol! i rutinen. Dersom det erdarlig opplrering av personatet (modul 1.1), kan delte i mange tlifelier kompenseres ved at del er ularbeidet detatjerte instrukser (modu! 2.1) og Tutine-' arbeidsbeskrive!ser (modul 2.2). Aile detaljer, dvs. bade sterke og svake sider i den aktuelle Tutinen vii imidler tid bli registrert inn i databasen gjennom vart kodesystem som nettopp bygger pa denne oppdelingen i moduter og detmoduter. Revisor skal lor hver delmodul bedomme etter 101- gende skala: Megel tilfredsstillende (1) Tilfredsstillende (2) Mindre tilfredsstillende (3) Ikke tilfredsstillende (4) Det er salt opp kriterier for hvordan disse skal benyttes, men del ma nodvendigvis bli revisors subjektive skjonn som til slutt avgjor hvordan bedommelsen skat bll 3.3.3 Revisjonsprogram modul 5 Revisor har ved gjennomforing av modul 1-4 gjennomgatt. vurdert og registrert kvaliteten av de kontrolltil tak sam er elablert i den aktuelle rullnen. Like viktig er det a loreta tester som gir svar pa om internkontrollen virkelig gjennomfores i praksis, og revisor vii iglen benylte et kodesystem for a fa lagt inn resultatet av disse undersokelsene i databasen: 5 Gjennomforing av rutinen O. Selop (norske kronertvaluta) i. Konlo (klassifikasjon) 2. Valulering/Periodisering 3, Koder/Faste data 4. Verdieksistens 5. Sruk av rapporterfavstemminger 6. Dokumentasjon 7. Overvakingsrutiner, herunder attestasjon 8. Lover og forskrifter folges 9. Andre forhold Etter hvert som revisor via sill revisjonsprogram og gjennomforte kon troller konstaterer om de enkelte for hold er i orden eller inneholder sviktl feil, registreres dette med ovennevnte tallkoder. 8edommelsene riklig (5) og galt (6) benyues for modul 5.0 til 5.4. For modul 5.5 til 5.9 benyttes skalaen Ira meget Wfredsstillende (1) Ii! ikke tilfredsstil1ende (4) i bedommelsen Ved denne formen for gjennomgang vii det bli benyttet forskjellige revis)onsmetoder, all fra oppfolging av enkelttransaksjoner Ii! mer grundige EDB-analyser av hele transaksjonsmassen, noe som ogsa kodes. For a gl et bedre innbllkk i den kookrete informasjonen som legges inn i dalabasen, vii jeg nedenlor gjen nomga hovedpunktene i kontrollsammendragene. friteksleo 09 signalin formasjonen. Disse arbeidspapirene danner som tidligere nevn! grunnlagel for registreringen i revisjonsdalabankrevisoren 9
basen og vii senere komme ut som en kvittering nar VI har vunnet mer erlaring med bruk av brorbare PC-er og dlrekte registrering I dalabasen 3.3.4 Kontrollsammendrag 1 For it Identilisere de undersokelsene som foretas. ma det legges mn en del generel! mlormaslon I dalabasen. noe sam gjores 9)ennom kontrollsammend rag 1 (se fig 5) Systemel glr utsknft I klartekst pa skjermen av gyldlge verdier. mens ugyldlge verdier gir fehmelding Foigende mformasjon legges inn som tah-'bokstavkoder Omnflde/rullne Arkivenngskode baserl pi'! vilf inndelmg I omrader og rullner Bankavdehng Egel indentllikasjonsnummer hldelt aile kontorer og avdelinger I OnC konsernet Revisor: Brukendentitet scm lilsvarer ansel telsesnummer i banken_ Revisjcnsgruppe: Her angis hvilken gruppe av reviso rer scm reglstrerer i dalabasen baserl pa de forskjellige hovedlormal (se del 2.2 I forrige artikkel) Inlernkontrollrevisjcn Aegnskapsrevisjon EDB revisjon MisHghelsrevisjon Benyttel lid Her angis tolalt antall timer som er benyttet pi! en gjennomgang Det samme systemet vii bll lagt III grunn lor registrering av annen tid som relser. opplroring. sykd6m osv Aktivitet: Angir hvllken "akllvltet" som har Vroft gjennomfort og er basert pi! vart planleggingssystem- Hovedbesok som er lotalgjennomgang av el kontorjavdeling Enkel/besok som er opp/olgmg av enkelte rullner ved et kontorl avdeling AkUvitets/iste som er andre kontroller Aapporteringsdato: I deue leltet angis den dato undersokelsen er utlon pa. eventuelt dato pa rapporten_ Ved analyser Ira databasen lar vi dermed svar pa hvordan undersokelsene er spredt gjennom are! bade med hensyn til omrader/rutiner og geogralisk fordeling. Slik inlormasjon er svmrl 10 bankrevisoren viktlg for den gruppen som har ansvarel for regnskapsrev/s/onen Vldere er delle vlkllge data i forbmdelse med opplolgmgen mot var arsplan Totalbedommelse Her angls hovedkonklusjonen for rulmegjennomgangen, Bedomme! sen er avhengig av de undersokelser som er gjennomlort og kodel g)ennom de ovrige kontrollsammendragene (se 335 og 336 nedenlor) Igjen er det den samme skalaen SOm benyttes Ira megel tll Iredsstillende til Ikke tllfredsstlllende_ Det er utarbeldet generelle momenter lor a bestemme denne bedommelsen for dermed a oppna en mest mullg ensarlet koding Ira ruline til rulme og Ira revisor III rev! '0' 3.3.5 Kontrollsammendrag 2 Dette regislreringsskjemaet dekker de fire lorsle moduler av revlsjonsprogram met. nemlig gjennomgang og vurdering av inlernkonlrollen i den aktuelle rutinen [se 33_2 loran) Syslemel vii hente opp!ysningene i headmgen Ira reglslrerte data pa kontrollsam mend rag 1 Indeks Bankavdelmg Aktivitet Kodene som benyttes pa kontrollsammend rag 2 er bygget opp i samsvar med modulene I revisjonsprogrammene. leks 1.2 ansvars- og arbeidsdeling 2.3 lullmakter 3.4 forslkringer osv_ For Iwert kontrollpunkt I revisjonsprogram met glr revisor sm bedommelse etter den skalaen VI allerede har vrurt inne pa {Ira meget tlllredsstillende th ikke tilfredsstillende) Onsker revisor a gi en kommentar Iii regislreringen, er det et eget lelt pi! 20 posisjoner pa hver linje som er tilgjengellg for leks!. Detle kan eksempeivis vrure sukkord som lorklarer hva revisor har lagt slorst vek! pa i sin bedommelse eller andre forhold som ikke dekkes av bedemmelsen_ Videre ligger del en mulighet I systemet III a angi andre rutiner som denne vurderingen ogsa gjelder for. Detle kan vmre aktuelt ved besleklede rutiner 09 ved mindre kontorerfavdelinger der de samme personer ofte er ansvarlfg for Ilere (ullner. slik at disse bor vurderes sammen. Hvilke ruliner som eventuel! ber gjennomgas samtidig ved de enkelte konlorer:avdehnger. bllr avgjort i lorbindelse med planleggingen av besokene. 3.3.6 Kontrollsammendrag 3 Dette reglslreringsskjemaet dekker modul 5 I revisjonsprogrammet. nemlig de testene som gjennomlores for a se etter at kontrolltlltakene vlrkehg 9)ennomfores I praksls (se 333 loran) Iglen henles opplysninger i headmgen Ira reglstrerte data pa kontrollsammendrag 1. Foigende mlormas)on kodes IOn I tl!iegg- Speslfikas)on: Felte\ gir mulighel for a spesiflsere hvllke hovedformer for kontroller revisor g)ennomforer. Leks Beholdningskontroll Avstemmingskontroll Opptelling Arsoppgjorskonlroller osv. Kontrollart: Her angis typefart av kontrollhandlinger som er benyttet: Vanlig stikkprove Utvidet slikkprove Fullstendig gjennomgang THfeldig gjennomgang av bilag Analyliske kontroller Observasjon Saldoerkjennelser osv_ Konlrollpunkt: Kodene her er i samsvar med moduloppbyggingen i revisjonsprogramme!. For hver lest revisor loretar vii det vmre et sett med kode tinjer alt avhengig av hva teslen skal dekke. Leks.- 5.0 Selop 5.1 Konlo 5.2 Valulermgfperiodisering osv. Revisor gir sin bedomme!se til hver av disse linjene som reglstreres Inn Ogsa her er det tilgjengelig 20 posi sjoner for hver linje der teksl kan le9ges inn. Antall: Felte! benyttes for a angi antall tester under hvert konlrohpunkt i revisjonsprogrammet som gis samme bedommelse. Denne muligheten er lagt lnntor a forenkte registrerlngen i de WIeBer der mange tester gir tiki uual!. Dermed kan denne in/ormasjonen legges inn i databasen gjennom en regislering i sledel for Here registreringer.
3.3.7 Fritekst Under Iritekslen kan revisor besknve vesenuige forhold notert under ruti negjennomgangen med egne ord. Ogsa her vil opplysningene I headingen bh henle! fram Ira registrermgen under konlrollsammendrag 1 (indeks, bankavdeling. akuvilel). Revisor har 10 Hnjer a 30 posisjoner tilgjengelig for friteksten. DeUe er spesielt nyuig j et syslem som for en slor del er bygd pa lallkoder og som i utgangspunktet derfor ma vrere forholdsvis standardiser!. USTE UT RAPPORTER Raviaor' ~ "T 3.3.8 Signaler Til all informasjon som regislreres kan det knyttes signaler til andre revi sorer, evenluel! ogsa til egel bruk i forbindelse med opplolging av spesielle forhold. Det kan gis signaler om folgende risikl revisor noterer seg: Alsiko lor regnskapsleil Risiko lor tap Risiko for misligheler Oersom del er avdekket konkrete feil og svakheter, vii revisor i liltegg registrere folgende: 0) Referanse III de hovedbokskonti som er pavirkel (i henhold til bankens kon!oplan) Eventuelle be/ops/eill kroner klassilisert mol de enkelte hovedbokskonti. 0) Transaksjonstype (am det er en enkelltransaksjon eller en massetransaksjon, I.eks. rentekode). Vldere er del mullg a speslhsere signalene ytterligere ved a gl releran ser Ii1 andre ruliner og andre bankavdellnger enn de revisor selv har reviderl I shke tilleller benyltes standard koder lor: Indeks o Bankavdeling 3.4 Bruk av databaseni rapporter Den enkelte revisor vii ha lilgang via egen PC/terminal III databasen og kan gjennom den kjore ut sine rapporler (se fig. 6). De mesl benytlede rapporter vi! vane forhandsdefinerle og kunne kjores ul via en meny. Videre vii den enkelte revisor med forholdsv[s enkle kommandoer selv kunne definere og kjore ul rapporler eller behov. D -00fI"""" (~yo\yrl) Fig. 6 3.4.1 Generelt I de forskjellige ledd I var avdeling vi! del vrore et ulikt behov for bruk av revisjonsdalabasen. Utforming og hyppighel av rapporler Ira databasen vii dermed variere en god del. I og med al aile de lorskjellige dataefementer som bur lagl inn i dalabasen kan benyttes som paramelre ved rapporteringen, vii det ikke vrore problemer med 3. tilfredsslille aile behov. Del kan forelas oppsummeringer, frek vensanalyser, gjennomsniltsberegninger. sorlermger. elc. hver gang rapporter delineres. Vlklige forhold i forbindelse med regnskaps-, inlernkonlrolls-, EDB- og misllghetsundersokelser ligger lagrel sam elementer i databasen og inlormasjon kan Irekkes sammen Iii konklusjoner i hen hold Ii! de for skjellige hovedforma{ for varl rev] sjonsarbeld Databasen vii ogs3. kunne gi belydelige slatistiske inlormasjoner om feiltyper. geografiske og avdelingsmessige om rader, as",. som er av stor betydning for totaloversikten og arsrapportene. Fra de mer begrensede rap porter pa enkeltkonlorerlavdehnger kan del kjores ul samlerapporter for hele banken som gir el godt bllde av "helse!il standen» i de forskjellige rutmer Tidligere var vi avhengige av et hierarkisk rapporteringssystem med mange ledd for vi kom tram til stike samlerapporler, og faren for al viklige momenter forsvinner i en silk rapporteringsprosess er stor. I revlsjonsdatabasen ligger aile delatjer Ira revisors undersokeiser t!lgjengelig slik at lngen informasjon forsvinner undervels. D -... Del er et stort antall ulike rapporler som vi! vrore av interesse. men jeg vi! nedenfor noye meg med a la med noen konstruerte eksempfer pa rapporter. Jeg kan bare nevne at vi allerede har ularbeidet ca. 35 forskjellige rapporler. og at delle anlallet bare oker Ira dag Iii dag etter hvert som vi vinner mer erfaring med bruk av vart nye verkloy. Aile rappor!data kan overlores til andre applikasjoner vi hart[lgjengelig pa PC. f.eks. regneark. Dermed vii rapportene ogsa kunne presenleres gralisk gjennom ulike lormer lor diagrammer (se 3.4.4. bak). 3.4.2 Eksempel pa totalrapport X-banken (Se fig. 7) Fiapporten gir en oversikl over de enke1\e revlsjonsomrader og hvilken totalbedommelse de har,,\ii i lopel av are!. Pa bela!fngsformldl[ngsomradet er del I.eks. lotal! sell foretat! 154 gjennomganger i!opel av arel, og: 6 har fall lotalbedommelsen meget Wfredsstillende (1) 67 har Hilt lolalbedommelsen til IredsstiUende (2) 56 har latl totalbedommelsen mmdre tilfredsstillende (3) 25 har fall lolalbedommelsen ikke IilfredssliHende (4) Videre framgar del av rapporlen at omradet har fatt en gjennomsniltsbedommelse pi!. 2,65, dvs. overvekl mol mindre II!fredsstillende. Foigende informasjon kan i Imegg trekkes ul a", rapporten: bankrevisoren 11
For den gruppen sam arbeider med a bekref/e regnskapet, gir denne rapparten et fint utgangspunkt far del videre arbeidet og prioriteringen av revisjonsinnsalsen. Forst og Iremst gir den sam nevnt en god oversikt ovar internkontrotten i banken og bar derfor kjores ut med jevne mettamram og spesielt for selve arsoppgjoret. Baser! pa denne tolalrapporlen kan denne gruppen revisorer kjare ut nye og mer detaljerte rapporter sam Leks. viser; o Hvordan spredningen (geograiiskl tid) er pa undersokelsene nar del gjelder amrader der revisor bygger pa internkonlrotten i sin regnskapsbekreftelse. o Hva svakhetene bestar i far de rutiner sam kommer darlig ul og medlorer fisiko for regnskapsfeil (sammen med rapporter am signaler). o Om del er spasiette kontorar sam ef vesentlige i danne sammanheng og sam folgelig ma prioriteres ved regnskapsbekreitalsen. Om del er funnel konkrete ragnskapsleil sam vedrarer kont! knyttal til disse omrmene. o osv. Stike lotalrapporter vii veere av uvurderlig hjelp for flere ledd i revisjonen. ikke minst i forbindelse med de mer overordnede rapportene vi utarbeider tartialvis og salve arsrapporten. Videre kan samma type rapportar kjares ut regionvis atter for enkeltkontorer dersom del er aktuelt. Totalbedommelsa Talal! Ommde; 1 2 3 4 Ant Snitt Betalingsformidling 6 67 56 25 154 "65 Drlftskostnadar 5 4 2 1 12 1.92 DriftsmldJ.er 4 8 1 1 14 1.93 Garantier 0 45 6 0 51 2.12 Innskudd 96 105 3 1 205 1.56 likviditetsomradet 1 23 73 3. 136 3.10 lann 16 45 8 '0 69 LB8 SelVice 45 87 37 1 170 1.96 Utlan 25 125 23 3 176 2.02 Valuta 3 56 34 0 83 2.33 Verdipapirer 12 25 3 3 43 1.93 o Vi ser at omtrent 72 % (52.5+19,0) av de gjennomgangene sam er foretatt i X-banken gir totalbedammelsen meget titfredsstillendeltilfredsstitlende. Snutet ligger pa 2.16 - dvs. nrert «Iilfredsstillende». o Del er spesiell pa 2 omr<i.der- betalingsformidling og likviditet - at internkontrollen er svak. o Pa innskuddsomradet er del gjennomfort 205 lotalgjennomganger, noe sam gir indikasjon pa slasing med yare ressurser fordi det ar titen fisiko knyttet Ii! omradet, og tidligere ars revisjon har avdekket gjennomgaende god internkontroll Totall 213 580 246 74 1123 2.16 pa deua amradet. o Vatulaomr<i.det og utlansomr<i.det ar underreviderl i farhold til vare planer som er bygd pa risiko- og Fcirdeling I pst Fig. 7 19.0 52.5', 2L9 6.a 100.0 vesentlighetsanalyser for amradene. o osv. 3.4.3 Eksempel pa vurdering internkontroll avdellng - Y Programmodul: 1.0 Personale 1.1 Opplrering/Rekrultering 1.2 A~ars7 og arbeidsdehng 12 3 Vurdering 2 3 21 1 11 5 6 15, 4 o 4 10 Total! Ant Snitt 31 1.74 32 2,03 34 2,94 Sum Organlsisjon,.".24 : 33 21 14.,' 97 2.26 2.0,EkSteme artaler 2:1 Insjn.ik.siiiirGtntngs1injer 2.2 Rutln~larbe1dsbeskliwfse 2',3,Ful!m:aktei' '," ': <:-'., :' 2A AutorisasfonSprosedyrer Sum modul 2:.1nstruksvark osv>icir;-rriodui309'4 6 6 5 14 10 7 11 9 5 3 37 3' 0;; ' 15 13 39 0 0',> 34.4 34 1 31 O 9 '5' 120 1.50 2.29 2.32 2.03 156 2.10 Totalt'(sul'!'l 'modu!: 1-4)' 85. 123.102: 32 34g 2.24 foroofing r pst, 2't9. ~36,0 29Ji' 9.:4' :,'10{lO Fig. 8 Her har vi sat! opp en rapport sam gir en n<ermere analysa av inlarnkontrollen i an besleml avdeling. Det fremgar at gjennomsnittet (2,24) er noe darligere enn det sam antas a vahe tilfredssliflende. I omlren! 61 0/0 (24,9+36,0) av de undarsoke!sene som ar lagl inn, konkluderer revisor med at inlernkonlrotlen er akseptabel (megel lilfredsstitlende og tilfredsswlende). Videre fremgar del al fo!gende forhold trekker helhetsinntrykket ned: o Darlig ansvars- og arbeldsdeling. o Til de!s darlig opplrering og ruhne.f arbeidsbeskrivelser. Denne avdelingsanalysen dekker selvsagt gjennomgang av en rekke omrader, og del vii i nesle omgang WEre nodvendig a forela analysen ned pa omrader far it kunne se hvilke deler av avdelingen som svikler. Poengel er igjen al denne informa sjonen ligger lilgjangelig pa et delalj ert niva og at vi ikke er avhengig av a gjannomga arbeidspapirene fra flere revisjonsomnider for man har del nodvendige grunnlag for Ii loreta meningsfylte konklusjoner og sknve rapporter. 12 bankrevisoren I
3.4.4 Eksempel pa feilstatistikk omn!tde - Z fredsslillende (4). Videre er bedommelsen riklig (5) ag fai! (6) tatt med og benyttes sam nevnt for modu! 5.0 Programmooult 500 501 502 503 ~~::~::; 5A ------- Subtot, (5,0/5A) 5,5 Bruit av rapport, 5.6 Dokiimaritasjon 5.. 7 Overvltking " 5.8' Lc'teriForskr. 5.9 Andre forhold Sublet (5.:&5:.9) Total! Fig.9 13 192 37 344 50 99 125 167 87 I denne rapporten har vi kjarl ut an feilstatistikk basert pa gjannamforing av modul 5 (teslfasen) i revisjonsprogram met for el amrade. Antall datalj- 'Totalt Feil 6 Anl,'Snttt,,% 493 3.04 433 2.77 300 31.72 002 15.46 47 2J3 250,1834 2004 12.00 123 562 2.83 21,8'9 69 704 250 9,80 98 370 2,73 26.49.7 4 303 L64 142 12 7 142 1.93 4.93 630 001 2081 24714.46 "'" 261 889 630 301 250,'1834 4165 13.2.3 (belop) til 5.4 (verdieksistens) i vare programmer- Nar det gjelder hoyre kolonne mad feil % viser den at i ca. S % av lestene sam gikk pa belop (madul 5.0) var del leil, mens det tiisvarende for valulering/periodisering (modul 5.2) er 32 %. DeUe kan i tillegg kambineres med feilstallstikker for hver hovedbokskonta i regnskapet. For de teslene sam vedrarer modul 5.5-5.9 representerer den sisle kolannen andel av bedammelsen som er ikke tiifredssliliende. Her ser vi at j mer enn 20 % av de testene vi har foretall, ar bruken av rapporter og overvakingen for delte omrmet ikke IiIfredsstillende. Jeg har nedenlar tatt med en 9rafisk fremstilling av hovedmomenlene i den samme feilslatislikken basert pa en dirakle averforing fra databasen. Farste aversikten viser allsa feilprosenten j modul 5.0 (belop) til modu! 5.4 (verdieksistans). Den neste viser undersokelser sam inngar i denne rapporten ar 4165. Bedommelsen fra andel ikke tilfredss\illende i madul5.5 1-4 er som beskrevet faran og gar fra (bruk av rapporler) til modul 5.9 meget tilfredsslillende (1) til ikke lil- (andre forhald) (se fig. 10 og 11). --------------------------------------, m m I I I m I I I m I I I I I I Delinitiv gjennomskrifls o bskfering Helt losb!adel: debitor, kre ditof'- og hovoobokskart mad gje:nnomskrif1 til los journal. Delvis Iosbladet: debilor-, krooitor- og (evil.) hovoobokskart moo gjannomskrift til innbundet journal (rubrikkdagboi<). Definiliv verlikal lenningsregnskap Moo gjermomskrift i en operasjon IAr De skrevel ut: Kart (al for hver pers.), lisle (bokforingsgr.lag), og avregning iii lonnsmottaker (pose elier slipp). Deliniliv kassabsker Hoved- ng illsregnskapsileker &ker mad og uten kopisider. Slipp boker m.m. Hoved- og Arsregnskapsboker i liere utgaver. BokfaringsbUag. Kassaopplel1ingsskrarrnaer m.m. Brosjyrer, skjemapnover og prislister sendes gjerne pa forlangende JACOB TREIDER A/S I Nils Hansens vei 2, 0667 Oslo 6. Telefon (02) 648360 I --------------------------------------~ bankrevisoren 13
~ OJ :i2 i Fig. 10 ~ OJ I Fig. 11 INTERNKONTROLL - GJENNOMF0RING C FElL MODUL 5.0-5.4 ) ~ N 5.0 5.1 5.2 5.3 5." PROGRAM-MODUL INTERNKONTROLL - GJENNOMF0RING ( IKKE TILFR. MODUL 5.5-5.9 ) 4. Oppsummering r;] ~... 5.5 5.6 5,7 5.8 5.9 PROGRAM-MODUL I DnC hat VI salset mye pit a bygge opp en database sam er!llpassel Yare baho\! 09 var arbeidssituasjon. Del hat darlor vrer! nodvendig a beskrive den organisasjonen 09 de arbeldsoppgavene sam den interne revisjonen i DnC dekker, for a kunne forsta oppbygging 09 virkemihe for databasen. Som del skulle fremga av denne artikkelen, har revisjonsdatabasen 14 bankrevisoren blitt en senlral del av liarl tolale revisjonsopplegg. Arbeidet mad utvik Ilngen av databasen ",mrt en enorm utfordring, 09 vi har vrett nodt til a ga inn pa mye uployd mark. En undersokelse blan! storre banker i Europa 09 USA viser at del ogsa flere andre steder arbeides med a bygge opp slike revisjonsdatabaser. selv om disse forelopig ikke er ierdig utviklet og tall i bruk. I flere storre revisjonsbyraer satser man ogsa store ressurser pa a automatisere revisjonsarbeidet gjennom oppbygging av databaser- I enke1te byraer har man kommet lang! i denne prosessen. I DnC har vi allerede besluttel a utvide databasen slik at den ogsa skal omfatte en egen del for planlegging. herunder vesenuighets- og rislkoanalyser. samt et opplegg for opplolging av lid. Pro dato har VI egne PCbaserte systemer for dette, men disse vii na OgS;1 bli en integrerl del av databasen. Sa langt har vi kunnet registrere flere fordeler ved bruk av en stik database. Spesielt vii vi her fremheve del verktoyel en slik database er lor den gruppen av revisorer som er ansvartig lor regnskapsbekreftelsen. Delle fordi man generejt rna kunne si at det j de storre bankene er god internkontroll som del er mulig a bygge regnskapsbekreftelsen pill. Gjennom databasen kan det kjores ut rapporter ned th minste detalj. som viser hvordan internkontrollen er rundl om 1 banken. Videre gis del signaler om mutige regnskapsfeil. Konkrete regnskapsfei! kodes inn silk at det kan foretas opp summeringer mot de forskjehige hovedposter i regnskape!. Pa interkontrollsiden har VI Imldler tid den alter storste lordel av databasen. 1 arsrapporlen benyttet vi slsle ar flere rapporter Ira databasen for a underbygge yare konklusjoner. Rundt om i banken har delte ogsa bhtt svrert godt mollatt, og for den enkelte revisor vit revisjonsdatabasen bidra Iii a bedre arbeidssltuasjonen betraktetig. Oppfolglngen av bankens ruhner har blitt mer ensarlet og standardiser!. Databasen har gilt helt andre mutigheter for koordmermg av revisjonsarbeidet i en avdeting som dekker flere formal og som geograiisk er spredl rundt i Norge og utlandet. Vi har gjennom databasen blitt knyttet bedre sammen iii en avdehng. Yare rapporter har blitt bedre underbygget og gir en bedre beskrivelse av «heisetilstanden" i banken. Det stiues selvsagt storre krav Ii! den enkejte ved at man rna sette seg inn i bruk av datateknologl For noen kan selvsagt en slik omstiuing by pa probleme. Uansett loler vi i DnC al delle er den relte velen a ga I tiden fremover og at slike databaser VII bli vanhge a Hnne i de fleste storre re"isjonsavdelinger fnnen fa ar. ~~~~e~~ e-c -oet.t.e. s)o~ o~1 c-c a Re"<Jl- CI 41'B,,,>1~1 00,,<' sa\tset. Re~~s~a~
Revisjon av systemutvikjingen pa IDA Av: s.e. Dovran, revisjonssjej, elsa. Revisjonssjef Bjern Hampland ved Fellesdata AjS har skrevet en artikkel vedr. systemutviklingen pa Fellesdata. Innledningsvis synes jeg det er riktig a presisere litt av forskjellene mellom EDB-revisjonen ved IDA og ved Fellesdata. Dette har bakgrunn i den sammensetning av banker sam er pa de to sentralene. IDA har fa men store banker med en sterk intern revisjon, mens det pa Fellesdata er mange mindre banker som til dels ikke har intern revisjon og som baserer seg pa den eksterne revisors arbeide. Revisjonskomiteen ved IDA har i sitt mandat forrnulert Revisjonskomiteens oppgave pa denne maten: Lovbefalte og interne revisorer i bankene har full innsynsrett i systemer og EDB-drift, herunder sikringstiltak etter loy og i omfang som god revisjonsskikk tilsier. Da bankens revisjon er representert ved en revisjonskomite nedsatt av brukerbankene, tilligger denne innsynsretten kun REVISJONSKOMITEEN. Dersom lovbefalt revisor pa denne maten ikke far dekket det innsyn som er n dvendig for a utf re sin revisjon, gjelder ikke denne begrensning. bankrevisoren 15
Da innsynsretten er tillagt Revisjonskorniteen, rna Revisjonskomiteen dekke alle de krav sam stilles til revisjon. Felgelig legges EDB-Revisjonens arbeide 0PP for a dekke bankenes interne revisjonsbehov, da dette i dag har det videste ornfang. Bankenes interne' revisjon skal utferes ifelge instruks gitt av bankenes styre og administrasjon og i samsvar med god revisjonsskikk. Forannevnte medferer at EDB-revisjonen ved IDA har en noe bredere plattform for sitt arbeide enn EDB-revisjonen ved Fellesdata. Nar det gjelder systemutviklingen, er jeg helt enig i de synspunkter revisjonssjef Hampland fremlegger i sin artikkel i forrige nummer av BANKREVISOREN: Det rna foreligge en akseptert standard. Standarden rna v~re forstatt av dem den gjelder. standarden skal felges. Dette er ogsa helt i trad med de krav EDB-forskriftene setter. Avvik fra standarden kan tillates, men da etter en pa forhand avtalt prosedyre. Det vi skal vrere klar over i forbindelse med de store datasentraler er at: Det er bankene sam stiller krav til systemene. oet er bankene sam tester og godkjenner at systemene dekker bankenes krav. oet er bankene sam besiutter at systemene skal settes i drift. Dette fremgar ogsa helt klart fra EOB-forskriftene men synes ofte ukjent for beslutningstakere i bank. Jeg vii ogsa pasta, at hvis en fulgte den etablerte standard, sa ville mange problemer v~rt unngatt. Det vi opplever gang pa gang er: Bankrepresentantene i prosjektene har ikke den nedvendige kompetanse. Beslutninger fattes uten a ha den nedvendige forankring i bank. Testing av nye systemer foretas ikke sa systematisk sam nskelig. 0nsket am a overhoide tidplaner medferer at systemer sam iverksettes har for mange feil. Oatasentralen blir syndebukken som Ieverer mindreverdige systemer. Noen vil kanskje synes at dette var kraftig skyts mot bankene, men jeg foler at det er nedvendig at nettopp dette blir fokusert. 16 bankrevisoren j
Jeg skal ikke hefte leserne med a repetere lover og forskrifter, for det kjenner sikkert den enkelte like godt sam meg. Jeg vil bare presisere, at det arbeidet som utfdres ved IDA utfdres ifdlge EDB-forskriftene under det enkelte bankstyres ansvar. Det er i IDA-samarheidet etablert en del utvalg, DRIFTSUTVALGET 1 SYSTEMUTVALGET og 0KONOMIUTVALGET r hvor det er oppnevnt bankrepresentanter sam fatter beslutninger pa vegne av bankene. Disse utvalgene forvalter derfor bankenes ansvar nar det gjelder den utvikling og drift som skjer av fellessystemene pa IDA. EDB-Revisjonen ved IDA er observatdr for bankenes interne revisjon i disse utvalgene og overfor systemutvikling og drift som skjer for dvrig. Nar det gjelder avklaringer med selve bedriften IDAr skjer dette i stdrst mulig grad fra EDB-revisjonen til IDA's divisjoner eller med IDA's administras~on og interne kontroll. Dersom det er saker en pa dette niva ikke kan enes om, blir forholdene "ldftet" til Revisjonskomiteen som tar saker opp med IDA's styre, og neste ledd er at den enkelte revisjonssjef tar forholdet opp i sitt eget REPRESENTANTSKAP eller sin KONTROLLKOMITE. Hovedsaklig blir sakene Idst mellom EDB-Revisjonen og IDA, og det er svzert fa til feller hvor en rna "ldfte ll sakene pa et hdyere plan. Dette har imidlertid skjedd i forbindelse med; a) autorisasjon, b) katastrofebackup, c) ldsbladforskrifter, etc. forhold som en fra revisjonssiden legger stor vekt pa. EDB-revisjonen ved IDA har tatt i bruk tekniske hjelpemidler for a forenkle sitt arbeide. Her har vi var egen minimaskin med tilknyttede terminaler, hvor vi har og holder pa med a legge inn yare revisjonsprogrammer, og vi kan ta ut et revisjonsprogram avhengig av den innsatsen vi skal sette inn pa det enkelte prosjekt. Pa minimaskinen legger vi sa opp yare arbeidspapirer, slik at vi ved arets slutt har til hensikt a trekke ut momenter til var revisjonsrapport som igjen danner grunnlaget for den revisjonsrapport Revisjonskomiteen gir til den enkelte bank etter avsluttet regnskapsar. Gjennom minimaskinen har vi ogsa adgang til a kommunisere med IDA's hovedmaskin for a gj0re analyser pa denne eller kjdre programmer der. Jeg skal ikke komme mere inn pa dette na, da soussjef Helle Solberg pa et senere tidspunkt skal skrive en artikkel am hvordan vi har bygget opp akkurat dette. Nar vi da skal ga 10S pa det enkelte system, er det av star betydning at vi far vurdert vesentligheten av dette systemet i den store sammenheng. Dette gjdres ved at representanter fra EDB-Revisjonen og oppnevnte fagrevisorer fra IDA-bankene gjennomgar systemet i et sakalt scenario. Her er ogsa prosjektleder tilstede, slik at vi fritt kan diskutere systemet og komme med yare forslag til kontroller sam ma innebygges i det ferdige system. Nar dette er gjort, har vi et grunnlag for a vurdere den videre innsats som da kan dreie seg am, at en ikke f~lger systemet i utviklingsfasen men tar det igjen etter at systemet er ferdig utviklet og under test for a se etter at de kontroller vi har spesifisert for prosjektleder er ivaretatt. bankrevisoren 17
Det videste omfanget vil vrere at en f lger hele systemutviklingsprosessen, hvilket vil vrere aktuelt i de vesentlige systemene, som f.eks. regnskapssystemene, kcrtsystemer og andre systemer scm har vesentlig betydning, enten det er store bel p som passerer eller om det er mengden av transaksjoner som ligger til grunn for vurderingen av systemets vesentlighet. EDB-revisjonen ved IDA er lagt opp i felgende revisjonsomrader: 1. ADMINISTRATIVE KONTROLLER. Dette omradet baserer seg pa a pase at organisasjonen IDA oppfyller de krav som stilles i samarbeidsavtalen mellom bank og IDA. Den er jo veldig dekkende bade med hesyn til lover, forskrifter, innsyn, taushetsplikt, bemanning, backup osv. og likeledes pase at beslutninger fattes pa riktig niva. I og med at dette er tillagt utvalgene, rna vi forvente at de beslutninger scm der fattes har en tilfredsstillende forankring i bank. 2. SYSTEMER I UTVIKLING. Nar det gjelder revisjon av selve utviklingsprosessen er det etablert en standard for hvordan utviklingen skal skje. Denne standard har vi revidert en gang og fcretar kun kontroller ved endringer. utviklingsmodellen er inndelt i fem faser; FORSTUDIE, DESIGN, KONSTRUKSJON, TEST og DRIFT. Under den enkelte fase er det i standarden skissert krav til hva som skal foreligge f r fasen kan godkjennes. Denne godkjenning fcretas av et eget organ "kvalitetsforum ll som paser at kravene er oppfylt. EDB-Revisjonen har m terett i kvalitetsforum, men var kornmunikasjon under utviklingsfasen gar of test direkte med vedkornmende prosjektleder. Referatene fra kvalitetsforum danner sa grunnlag for SYSTEMUTVALGETS godkjennelse av systemene pa vegne av bankene. For vrig vil jeg komme tilbake til prinsippene i vart arbeide. 3. SYSTEMER I DRIFT. personlig vii jeg si at en for en del av disse systerner ikke skulle legge for mye vekt pa revisjon, da utviklingen vil forarsake at disse systemene i nrer fremtid blir erstattet med nye men heller mer konsentrere seg om ny utvikling. Pa den annen side sa er det bankens regnskaper for aret som gikk revisjonssjefen i banken avgir sin revisjonsrapport pa, og jeg har full forstaelse av, at vi trenger gjennomgang av systemer som er i produksjon. Dette har vi pa IDA gjort i 1984 og har holdt disse revisjonsrapportene ved like. Dette arbeidet hle ogsa utfert i et nrert samarbeid med bankenes revisjon. 4. DATASENTERREVISJON. Dette ornradet omfatter hele IDA's driftsapparat med nettverk, kornmunikasjon til bankene, kommunikasjon til SWIFT, katastrofebackup osv. Dette utf res av EDB-revisjonens eget personell, og bankrevisorene skal forvente at driften av IDA's systemer foregar under de avtaler som er gjort. Under datasenterrevisjon h rer ogsa tekniske omrader. 18 bankrevi50ren