Månadens risk: Spreadsheet-risk

19 juni 2013

Enkla fel i kalkylblad kan ligga bakom dåliga beslut och felaktig rapportering

Även idag när många företag arbetar med avancerade IT-lösningar för olika användningsområden används ofta kalkylblad i till exempel Excel-format (”Excelark”) vid sidan om affärssystem etc. Dessa kalkylblad används för både enkla och invecklade beräkningar och modeller som sedan ska ligga till grund för bland annat investeringsbeslut och intern eller extern rapportering.

Problemet med Excel eller andra likartade applikationer är att verktygen ofta inte är ”revisionssäkra”. Det betyder att ändringarna i formler eller makron som ligger bakom beräkningarna inte är spårbara. Det i sin tur kräver en hög kvalité i företagets dokumentation och hantering av ändringar. Annars är risken stor att bolaget inte riktigt hänger med när ett kalkylblad under flera år byggs och modifieras. Det kan leda till att oupptäckta banala fel i en formel över en längre period leder till felaktiga resultat. Samtidigt visar erfarenheten att företagen blir mer och mer beroende av vissa enskilda medarbetare som under åren har utvecklat modellerna i viktiga kalkylblad och är de enda som vet hur dessa verkligen är uppbyggda. Försvinner dessa medarbetare av någon anledning kan viktiga besluts- och rapporteringsunderlag falla bort eftersom ingen längre kan hantera eller tolka resultaten från dessa källor.

Anledningen varför jag tar upp det är att jag för någon vecka sedan träffade ett företag vars internrevision hade uppmärksammat om ett antal kritiska kalkylblad som används både i staber och den operativa verksamheten.  Revisionens poäng var i detta fall inte själva mängden av kritiska kalkylblad utan avsaknaden av en kvalitetssäkringsprocess bakom så att risken för fel minimeras.

Samtalet påminde mig om COSO’s nyligen lanserade ramverk för intern kontroll. Där säger Principle 11 under huvudkomponenten ”Control Activities”: ”The organization selects and develops general control activities over technology to support the achievement of objectives.”

Denna princip för internkontroll poängterar ledningens ansvar för lämpliga kontrollåtgärder för att minska risken för fel i besluts- och rapporteringsunderlag som genereras av IT-lösningar, bland annat kalkylblad.

Ledningen kan närma sig detta problemområde med följande steg:

  1. Kartlägg alla existerande kalkylbladsanvändningar i verksamheten
  2. Bedöm vilka av dessa som är kritiska dvs används för beslut eller rapportering
  3. Analysera hur kvalitetssäkringen för de kritiska kalkylbladen är utformad och förbättra kvalitetsprocessen om så är nödvändigt

Många företag har i sina IT-säkerhetspolicys ägnat ett eget kapitel åt hur kalkylblad och ändringar i dem ska kvalitetssäkras. Det är något jag bara kan rekommendera eftersom övergripande och gemensamma riktlinjer bör formuleras uppifrån och ned.

För de som söker mer information kring ämnet rekommenderar jag att titta närmare på organisationen EuSPRIG (European Spreadsheet Risks Interest Group). Där finns lösningar, diskussionsgrupper men också de värsta skräckexemplen på där det gick fel med kalkylblad på riktigt. Trevlig läsning!