En intressant studie av sex företags ”datasäkerhet” har utförts av Birgit Flening och Eivor Köhler. Denna praktikfallsstudie ingår som en del i deras trebetygsuppsats ”ADB och revision” (företagsekonomiska institutionen vid Handelshögskolan). Nedan redogör Fil kand Birgit Flening för praktikfallen vilka visar på skrämmande brister i företagens interna kontroll vad avser ADB-avdelningarnas arbete.

ADB-systemen blir allt viktigare för företagens verksamhet. Detta ökade beroende kan leda till svåra konsekvenser om ett system upphör att fungera eller om data förvanskas eller förstörs. Datorer, datamedia etc är ju en del av företagets tillgångar, där värdet av informationen utgör en stor andel. Då företagen är beroende av den information datorerna producerar, är det nödvändigt att de skyddar sig mot olika störningar som kan uppstå. Det är dessutom viktigt för företaget att datatekniken utnyttjas effektivt och att datasystemen är pålitliga och ändamålsenliga.

Då allt fler av revisorns klienter använder ADB för viktiga funktioner inom företaget påverkas revisorns metoder och granskningsområden. I vår uppsats kartlade vi de speciella kontrollområden en revisor bör granska vid sin revision av företag med datorbaserad redovisning och belyste vilka krav som från revisorns synpunkt kan ställas på de olika kontrollområdena. Studien avgränsades till att gälla områden av mer ”allmän” natur och behandlar ej s k ”rutinorienterade kontroller”. Anledningen är att då en revisor skall utföra sin granskning, bör han lämpligen börja med att undersöka de kontrollområden som är gemensamma för företagets olika rutiner. På så sätt kan han skaffa sig en övergripande bild av företagets ADB-funktioner, för att mot denna bakgrund kunna granska och bedöma de enskilda rutinerna.

De kontrollområden vi undersökte berör anskaffning av datasystem, organisation av företagets funktioner, systemutveckling och dokumentation, kontroll av datordrift samt verksamhetens fysiska skydd.

För att belysa hur de i uppsatsen beskrivna kontrollområdena kan te sig i praktiken och vilka brister en revisor således kan finna vid sin granskning av ett företags interna kontroll, avslutas uppsatsen med sex företagsfall. Information om dessa företags interna kontroll vad avser organisation, systemutveckling, dokumentation, dataverksamhet och försäkringar har erhållits genom besök på resp ADB-avdelning samt genom samtal med datachef och ekonomichef på varje företag.

Vid vår genomgång av den interna kontrollen noterades ett uppseendeväckande stort antal brister. Nedan redogör jag för de sex företagen (företag A–F) och då främst för de brister som upptäcktes varefter de väsentligaste bristerna sammanfattas och kommenteras.

FÖRETAG A

Företaget förfogar över en hyrd ”kontorsdator”, vilken sköts av en heltidsanställd operatör. Indata matas in av operatören via tangentbord. Datorn arbetar endast med skivminnen och används för bokföring, reskontra, löner, fakturering m m.

Organisation

Operatören sköter i stort sett självständigt det mesta på dataavdelningen (drift, kopiering, programunderhåll, testning m m). Hans närmaste chef är ekonomidirektören som utövar viss övervakning av arbetet. Skriftliga befattningsbeskrivningar samt organisationsplan saknas. Endast en av de anställda kan sköta datorn. Detta kan orsaka problem, vilket företag A fått erfara, då operatören vid flera tillfällen varit sjukskriven. Operatörsinstruktionerna var dock så väl utformade att en av datorleverantörens anställda kunde köra de olika systemen.

Systemutveckling

Bokförings- samt reskontrasystem är standardsystem köpta från datorleverantören, medan övriga system och program har utarbetats av en servicebyrå i samarbete med ekonomidirektören.

Enklare programändringar ( t ex förändring av en listas rubriker) utförs av operatören på basis av en instruktion som är muntlig, inte skriftlig. Övriga ändringar utarbetas av servicebyrån. Uppdateringen utförs av operatören, varvid en ny programlista skrivs ut. Det uppdaterade programmet testas inte med speciellt testmaterial, utan endast uppgifter från en normal produktionskörning används. Då operatören själv godkänt testresultatet, makuleras den gamla programlistan samt allt testmaterial. Gjorda ändringar dokumenteras inte.

Dokumentation

Övergripande systemdokumentation saknas. Systemflöden som visar vilka program som ingår finns däremot men är helt inaktuella, då uppdateringen släpar efter. För samtliga program har företaget dokumentation i separata pärmar, vilka innehåller programlistor, beskrivning av register och listor samt operatörsanvisningar. Verbal beskrivning av vad programmen gör finns bara för de köpta standardprogrammen. Kontroller och avstämningar (både programmerade och manuella) finns inte nedtecknade. För att kunna förstå vad ett program utför, måste man således kunna förstå programlistan.

Datorrum

Datorn är placerad i separat rum som aldrig låses. Temperaturen i datorrummet hålls på lämplig nivå med hjälp av ett kylaggregat. Företaget saknar brandlarm och har endast en handbrandsläckare, vars placering var okänd för personalen. Dessutom röker operatören och övrig personal i datorrummet.

Skydd av program och register

Då en större eller ett flertal mindre programändringar gjorts, kopieras samtliga program över på magnetband, vilket förvaras i brandsäkert skåp bredvid datorrummet. Samtliga register har kopierats två generationer bakåt på ett skivminne, vilket förvaras bland övriga skivminnen på en hylla i datorrummet. Kopieringarna sköts av operatören på egen hand. All dokumentation och alla operatörsinstruktioner finns endast i ett exemplar som förvaras på hylla i datorrummet.

Reservmaskin

Företaget saknar skriftliga avtal om reservmaskin. Däremot har man muntligt avtal med annat företag om ömsesidig hjälp. Mot ersättning av företagets extrakostnader får man utnyttja ledig datortid.

Försäkring

Uthyraren ansvarar för de flesta egendomsskador på datorn, medan företaget står för övriga skaderisker. Företaget har dock inga speciella försäkringar för sin dataverksamhet, bara en vanlig företagsförsäkring.

FÖRETAG B

Företaget hyr en mindre datoranläggning, vilken är baserad på skivminnen och där inmatning av data sker via diskette. Datorn används för kundreskontra, leverantörsreskontra, bokföring, order/försäljning/lagerredovisning m m.

Organisation

Företaget har en egen dataavdelning med ekonomichefen som datachefens närmaste överordnade. På dataavdelningen finns stanspersonal samt tre programmerare/systemmän. Datorn handhas av en operatör men även programmerare och datachef kör de olika programmen, främst på övertid. Stanspersonal kör vissa enklare program på övertid, då de samtidigt utför stansarbete och låter datorn skriva ut listor utan övervakning.

Befattningsbeskrivningar finns men har inte delgivits de anställda. En styrkommitté, bestående av företagsledning och avdelningschefer, drar upp riktlinjer på kort sikt för prioritering av projekt samt anskaffning av utrustning.

Systemutveckling

Systemarbete utförs främst av datachefen som utformar långsiktsplaner tillsammans med ekonomichefen. Det saknas särskilda regler för programmering. Programmeraren testar de utvecklade programmen både med riktiga data och med data innehållande alla tänkbara fel. All testning sker på övertid, med den risk för trötthet, irritation och fel som detta innebär. Kundavdelningen utvärderar och godkänner systemtest tillsammans med datachefen.

Programändringar kan initieras av datachef, ekonomichef eller kundavdelning. Programmeraren ansvarar själv för programunderhåll och testar ändringar endast med verkliga, korrekta data samt arkiverar därefter den nya programlistan.

Dokumentation

Särskilda normer för dokumentation saknas, t ex beskrivs inte alla kontroller. Varje system har en sparsam dokumentation, vars uppdatering helt handhas av resp programmerare. Dokumentation förs med blyerts och uppdateras genom att man suddar i originalet. Dokumentationshandlingarna är inte korrekt daterade och uppdatering sker med stor tidseftersläpning. En påkostad användardokumentation finns som dock är inaktuell och därför inte används. Dokumentation och välutformade operatörsinstruktioner finns bara i original, vilka förvaras på hylla i datorrummet.

Datorrum

Datorn och dess klimatanläggning är placerad i separat rum i husets översta plan. Brandlarm saknas. Handbrandsläckare finns i datorrummet men är oåtkomligt placerad. Samtliga anställda besöker datorrummet, där även rökning är tillåten.

Skydd av register och program

Aktuella program finns i tre exemplar, varav ett utgörs av programlistan. Inget exemplar förvaras brandsäkert. Varje register kopieras med vissa mellanrum men förutom för reskontran finns ingen fastställd kopieringsordning. Kopiering sker helt på operatörens ansvar och initiativ. Han lagrar ofta kopia och original på samma skivminne. Något speciellt arkiv finns inte. Alla skivminnen förvaras i specialskåp i datorrummet. Kontrollstansning utförs för alla indata men då stanspersonalen har ont om tid görs detta ej för bokföringstransaktioner.

Reservmaskin

Företag B har inget avtal med annat företag om reservmaskin.

Försäkring

Uthyraren står för vissa egendomsskador. Företag B har endast gängse företagsförsäkring, vars självrisk och försäkringsbelopp för media är mycket låga.

FÖRETAG C

Företaget hyr en medelstor dator baserad på skivminnen för register och program. Datorn är placerad i pappersarkivet, där även en rad skrivare och en arbetsplats med tangentbord och skrivare installerats. På samma våningsplan finns dessutom fem arbetsplatser, vilka har tangentbord samt bildskärm. Inmatning av data sker via arbetsplatsernas tangentbord. Samtliga register och program är åtkomliga från samtliga arbetsplatser. ADB-systemen består av lagerbokföring för företagets omfattande lager samt order/reskontra/fakturering m m.

Organisation

Ekonomichefen är chef för dataavdelningen, vilken också har en person som är ansvarig för registervård samt fakturering. Dessa har ingen speciell dataerfarenhet, förutom en kort kurs hos datorleverantören. Ett tiotal tjänstemän uppdaterar kontinuerligt de olika registren via tangentborden. Ingen på företag C kan programmera. Befattningsbeskrivningar och organisationsplan saknas.

Systemutveckling

Alla program är köpta från datorleverantören, vilken även sköter allt underhåll, alla ändringar samt alla tester. Företag C har planer på att programmerarutbilda den dataansvarige operatören, för att han skall kunna underhålla systemen. Man har dock ännu inga planer på att införa rutiner för systemutveckling, kontroll och test av nya och ändrade program samt dokumentation.

Dokumentation

Datorleverantören har dokumentation för systemen. Företag C skaffade sig först vid vårt besök två kopior av denna dokumentation, vilka förvaras på en hylla i datorrummet. Datorleverantören uppger att det skulle ta lång tid att ta fram en ny uppsättning dokumentation om så skulle behövas.

Operatörsinstruktion

De som utvecklat systemen, har inte angett någon körordning i sina instruktioner, varför den dataansvarige operatören på egen hand funderat ut en ordning mellan program, som han anser vara logisk vid körning av de olika systemen. Dessutom saknas en plan för hur framtagna listor skall distribueras inom företaget.

Datorrum

Datorrummet saknar fönster och ventilation samt värms upp kraftigt av den stora värmemängd som datorn alstrar. Brandlarm och brandsläckare saknas.

Skydd av register och program

Varje kväll kopieras all information på skivminnen (register och program) över till en reservskiva. Denna förvaras under två dagar i en icke brandsäker skrubb, varefter skivan används på nytt. Samtliga registerändringar kan utföras från alla arbetsplatser, utan att någon utskrift sker. Dessutom sparas inte samtliga ändringsunderlag för viktiga registerändringar. Detta medför att det är svårt att följa upp gjorda registerändringar.

Reservmaskin

Företag C har inga speciella avtal men kan troligen köra sina kritiska system hos datorleverantören, medan den hyrda datorn repareras eller byts ut. Några manuella reservrutiner har inte utarbetats.

Försäkring

Uthyraren försäkrar datorn mot egendomsskador. Företag C har försäkrat sina datamedia genom en kombinationsförsäkring som även täcker dokumentation. Försäkringsbeloppen verkar dock vara alltför låga.

FÖRETAG D

Företag D hyr en mindre datoranläggning av datorleverantören. Datorn används främst för bokföring, reskontra, fakturering och lagerbokföring åt företagets olika divisioner. Program och register lagras på skivminne och inmatning sker via hålkort eller diskette.

Organisation

Datachefen är underställd företagets ekonomichef. På dataavdelningen finns dessutom stanspersonal samt tre personer som är operatörer/systemmän/programmerare. Befattningsbeskrivningar finns men har inte delgivits personalen. Fastställd organisationsplan saknas. All maskintid utdebiteras på de olika divisionerna efter internpriser som bestämts av ekonomichefen. System- och programtjänster debiteras inte ut.

Systemutveckling

Samtliga system har utarbetats av en servicebyrå under datachefens ledning. De olika divisionernas ekonomiavdelningar är ansvariga för utveckling och testning av samtliga system som rör deras division. Ingen på ekonomiavdelningarna har någon ADB-erfarenhet.

Det saknas enhetliga normer för programmering. De muntliga instruktionerna som finns om t ex programkommentarer följs inte i verkligheten. Programändringar följs upp av datachefen samt testas men endast med testmaterial som innehåller korrekta data.

Dokumentation

Datachefen ansvarar för all dokumentation, vilken är av varierande kvalitet, då det saknas enhetliga normer och uppdateringen släpar efter. Dokumentationshandlingarna finns bara i original och förvaras öppet på en hylla. Dessutom är de inte daterade och endast skrivna med blyerts.

Operatörsinstruktion

Några formella körinstruktioner finns inte, utan operatörsmanualen består dels av anteckningar som operatören själv gjort, dels av instruktioner som programmet skriver ut under körningens gång.

Datorrum

Brandlarm och brandsläckare saknas. El- och vätskeledningar passerar öppet i anslutning till datorrummet och blankettförrådet. Under långa körningar som antas kräva ett minimum av ingripande, lämnar operatören datorn utan tillsyn långa perioder, framför allt nattetid.

Skydd av register och program

Utskrifter av registerändringar är varken daterade eller löpnumrerade, varför mottagarna känner sig osäkra på om de får information om alla ändringar. Det finns muntliga instruktioner om att register skall kopieras när styrsystemet så anger som skydd mot en eventuell störning under bearbetningen. I praktiken lär dock denna instruktion nonchaleras ofta. En gång per månad kopieras samtliga register och program, i enlighet med muntlig instruktion, och arkiveras en månad framåt i brandsäkert skåp i datorrummet.

Reservmaskin

Den servicebyrå företag D anlitar för systemutveckling har en liknande anläggning. Några formella avtal har dock inte slutits och företag D känner sig osäkra på om arrangemanget skulle fungera.

Försäkring

Företag D har lämpliga försäkringar men försäkringsbeloppen för media är för låga.

FÖRETAG E

Företaget utgörs av en koncern, vilken har ett stort antal differentierade dotterbolag. Den nedan behandlade dataavdelningen ingår i moderbolaget och utför tjänster åt hela koncernen. Företag E har en hyrd anläggning, vilken är mycket kraftfull och försedd med flera bildskärmar, bandstationer och ett stort antal skivminnesstationer samt terminalutrustning. Dataavdelningen bearbetar många olika rutiner, däribland koncernens avancerade ekonomisystem.

Organisation

Dataavdelningens personal uppgår till ett stort antal personer uppdelade på drift, registrering och systemavdelning. Varje anställd har en egen befattningsbeskrivning. Datachefen rapporterar kontinuerligt till en ledningsgrupp. Hans närmaste chef är koncernens VD.

ADB-handbok

Dataavdelningen har utarbetat en detaljerad ADB-handbok i enlighet med SIS 113. Denna handbok innehåller instruktioner rörande systemutveckling, programmering, drift, tester, underhåll, dokumentation och säkerhetsfrågor m m.

Systemutveckling

Systemutvecklingen varierar mellan de olika dotterbolagen men ADB-avdelningen har utarbetat ett förslag i enlighet med SIS 113, där de försökt standardisera de olika utvecklingsfaserna. Varje dotterbolag ansvarar självt för program, dokumentation, stansning av indata samt mottagande och kontroll av utdata. De köper (interndebitering) ofta system- och programmeringstjänster från dataavdelningen.

För varje datasystem har man utsett en person, antingen på dataavdelningen eller i dotterbolaget, som är ansvarig för underhåll. Den för systemet ansvarige programmeraren sköter samtliga ändringar enligt en fastställd rutin. Det är tveksamt om berörda ”användare” alltid blir informerade om viktiga ändringar. Ny programlista tas alltid fram och arkiveras vid ändringar i de rutiner och system, där dataavdelningen har ansvaret. För övriga system sker detta bara om dotterbolaget så kräver, vilket inte alltid är fallet.

Regler för hur testning skall gå till, anger att nya och ändrade program skall testas i ”normal produktionsmiljö” och således inte med speciella testdata som täcker alla tänkbara fel.

Dokumentation

I företagets ADB-handbok finns det noggranna och detaljerade grundregler för system- och programdokumentation. Varje dotterbolag utformar dock själv de krav de ställer på dokumentation utöver de grundregler och standardblanketter de måste följa. Resp dotterbolag sköter även all kontroll och allt underhåll av den egna dokumentationen, varför denna är av mycket varierande kvalitet.

Produktion

Företag E har en noggrann planering av körningen samt en detaljerad felstatistik. Dessutom finns detaljerade och välutformade operatörsanvisningar och arbetsinstruktioner. Dataavdelningen utför ingen större kontroll över mottagande av indata eller användande av kontrollinformation. I praktiken har det visat sig att vissa dotterbolag inte har insett vikten av att utnyttja kontrollinformation för att säkerställa att alla indata behandlas korrekt.

Datorcentral

Datorcentralen har begränsat tillträde och välutformat brandskydd. Datorhallen är placerad i en utskjutande del av husets bottenvåning och vid kraftigt regn har man problem med att vatten tar sig in i datorhallen. Rökförbud gäller både för datorhall och säkerhetsarkiv. Trots detta fanns det vid vårt besök fyllda askkoppar i båda utrymmena.

Företaget har ett extra arkiv i en annan byggnad, där man förvarar register, som man vill ha extra skyddade. Detta arkiv upptas dock till stor del av material som tillhör företagets tillverkande avdelningar. Rummet är inte brandsäkert och genomkorsas av ett stort antal vatten- och elledningar.

Skydd av register och program

Företaget har en mycket detaljerad rutin för hur datamedia skall behandlas, kopieras, arkiveras, kontrolleras etc. Magnetband och skivminnen förvaras i datorhallen. Register förvaras i säkerhetsarkiv bara om dotterbolaget så önskar. De följer aldrig upp om dessa önskemål följs. Samtliga register, däribland företagets personalregister, är tillgängliga för obehöriga via vissa av terminalerna, där registren både kan avläsas och ändras.

Reservmaskin

Företag E har inget avtal om reservanläggning. Man har dock ett muntligt avtal med datorleverantören om snabb hjälp vid ett eventuellt maskinhaveri. Det finns troligen ingen möjlighet att utnyttja reservanläggning för hela företagets omfattande dataverksamhet. Trots detta har företag E inte närmare undersökt möjligheten att kunna använda manuella reservrutiner.

Försäkring

Uthyraren av datorn svarar för egendomsskador på denna. Företaget har inga specialförsäkringar för dataverksamheten förutom vad som täcks av gängse företagsförsäkring.

FÖRETAG F

Företaget är dotterbolag till ett utomskandinaviskt bolag. Företag F har en egen större kontorsdator som används för bokföring, fakturering, lagerbok, statistik samt produktionsredovisning. Datorn är försedd med tangentbord för inmatning av indata. Två operatörer turas om att köra datorn samt sköta bokföring och fakturering. Datorn har valts ut av moderbolaget och levererats av leverantör i moderbolagets hemland.

Organisation

Chefen för dataavdelningen arbetar på ekonomiavdelningen och följer noga upp allt arbete samt kan även vid behov köra datorn. Det finns inga befattningsbeskrivningar eller någon skriftlig organisationsplan.

Systemutveckling

Allt systemarbete sker under hård övervakning från det utländska moderbolagets sida. Samtliga program och system har utarbetats av datorleverantören, vilken även svarar för allt löpande underhåll. De nya programmen lär ha testats av leverantören, innan de överlämnats till företaget. Programmet testas dock av företaget med verkliga produktionsdata innan det börjar användas.

Programändring kan initieras både av datorleverantören och företaget. Ändringar utarbetas av datorleverantören, varefter meddelande om hur ändring skall utföras sänds till företaget via telex, brev eller telefonsamtal. Programmet ändras därefter av operatören som sedan testar det ändrade programmet med verkliga produktionsdata. Ändringen dokumenteras bara genom att notering från telex, brev eller telefonsamtal sätts in i en pärm bredvid den ursprungliga programlistan. Den utskrift som datorn genererar över ändringen används inte.

Dokumentation

Övergripande systemdokumentation saknas. Den utländska datorleverantören lär ha dokumentation av samtliga program och system. Den dokumentation företaget har finns i separata pärmar, vilka innehåller programlista och registerbeskrivningar. Utförlig programdokumentation finns endast för de program som ingår i datorleverantörens standardsystem. En nackdel är att denna dokumentation är skriven på moderbolagets språk. Fakturering och lagerbokföring är specialskrivna för företaget men har ännu inte fullständigt dokumenterats. Samtliga avstämningsinstruktioner är endast muntliga. Företagets dokumentation finns bara i ett exemplar och förvaras i låst, brandsäkert skåp tillsammans med en kopia av operatörens arbetsinstruktioner.

Datorrum

Datorrummet har ingen separat klimatanläggning. Företag F överväger dock att införskaffa en sådan, då man haft driftstörningar på grund av för höga temperaturer. Man har problem med alltför hög dammhalt i luften, vilket troligen beror på otillräcklig städning. Brandlarm och brandsläckare saknas och operatören röker i datorrummet.

Skydd av register och program

Företag F har tre identiska uppsättningar program som är lagrade på tre skivminnen. En av dessa förvaras i ett låst, brandsäkert skåp och de båda övriga i datorrummet.

Samtliga register finns på skivminnen, vilka dagligen kopieras av på ett annat skivminne. Denna kopia sparas endast en dag. Dessutom kopieras registren vid varje veckoslut varefter kopian sparas en vecka. Registerkopiorna förvaras på hylla i datorrummet.

Reservmaskin

Företag F har inget avtal om reservmaskin, eftersom det inte finns någon liknande dator i Norden. Ett systerbolag i Sydeuropa har dock en liknande anläggning, vilken inte har testkörts av företaget.

Försäkring

Företaget har ingen speciell försäkring för sin dataverksamhet, utan bara en vanlig företagsförsäkring.

SAMMANFATTNING

1 Organisation

De organisatoriska kontrollerna är bristfälliga i flera av de sex företagen. Arbetsfördelningen är där sådan att det inte finns några klara uppdelningar mellan operatör och övrig personal samt att ekonomichefen ofta även är datachef eller dennes närmaste överordnade. Endast i företag E förekommer den i litteraturen rekommenderade organisationsstrukturen med klara gränslinjer mellan dataavdelning och kundavdelningar (inklusive ekonomiavdelning) samt arbetsuppdelning inom ADB-avdelningen. För de företag som har mycket små dataavdelningar, kan det vara svårt att dra gränslinjer mellan olika grupper men det krävs i dessa fall andra, kompenserande kontroller. Skriftlig organisationsplan och befattningsbeskrivningar saknas i flera av de undersökta företagen. Några har visserligen befattningsbeskrivningar men de anställda har inte alltid fått ta del av dem.

Företagen kan således ej med säkerhet antas ha en från kontrollsynpunkt effektiv organisation av sina olika funktioner eller antas ha någon effektiv kontroll över användandet av datorresurserna. Det finns få åtgärder som kan kompensera en brist i s k organisationskontroller.

2 Systemutveckling

För de företag som inte enbart köper färdiga standardsystem, saknas i allmänhet fastställda normer för systemutveckling, programmering m m. Endast företag E har utformat normer, vilka dock i praktiken varierar mycket mellan företagets olika dotterbolag. Beträffande programändringar varierar kontrollen över dessa mellan företagen. Flera av företagen har stora brister i rutinen för programändring, främst vad gäller kontroll av att ändringen är lämplig och godkänd samt att den dokumenteras. Ett genomgående drag hos alla företagen är att programändringar bara testas med verkliga data och inte med speciellt testmaterial, innehållande alla tänkbara fel.

De flesta företagen har således ej kontroller som säkerställer att planering och utveckling av system sker på ett lämpligt och systematiskt sätt och att man har vettiga standards som accepterats av alla berörda samt att varje utvecklingsfas godkänns och dokumenteras väl.

3 Dokumentation

Speciella regler för hur dokumentation skall upprättas saknas i de flesta av företagen. Deras dokumentation är av varierande kvalitet och ofta bristfällig eller inaktuell. Två av företagen för t o m sin dokumentation med blyerts och uppdaterar handlingarna genom att sudda i originalet. En av orsakerna till att de flesta företagens dokumentation inte är helt aktuell, kan vara att det inte finns någon ordentlig kontroll av att dokumentationen sköts korrekt. Detta kan i sin tur bero på att datachefen och i viss mån företagsledningen inte inser vikten av att ha en aktuell och ändamålsenlig dokumentation.

En väsentlig brist i säkerheten som de flesta företagen har, består i att deras dokumentation oftast bara finns i ett exemplar samt att dokumentationen förvaras öppet på en hylla och således inte skyddas mot brand, stöld m m. För flera av företagen gäller detta även för operatörsinstruktionerna.

En förlust av dokumentation eller en obegriplig, inaktuell dokumentation kan leda till mycket stora kostnader för företaget genom att det blir svårt eller t o m omöjligt att underhålla systemet. Dessutom innebär denna dåliga dokumentationsstandard att företagen troligen ej uppfyller bokföringslagens krav (§ 7) på systemdokumentation och behandlingshistorik. Företagen följer således inte bokföringsnämndens anvisningar i denna fråga (KFS 1977:3), vilket i flera fall berodde på att den berörda personalen (både på ADB- och ekonomiavdelningen) ej kände till vare sig lagparagrafen eller anvisningen.

4 Datorrum

Brandlarm samt en för personalen känd och lättillgänglig handbrandsläckare saknas i de flesta av företagen. Rökning förekommer i de flesta företagens datorrum, trots att de har rökförbud.

5 Skydd av register och program

Reservkopiering av register sker på flera företag efter muntlig instruktion och ett genomgående drag är att företagen inte verkar ha analyserat hur ofta de olika registren skall kopieras och hur länge kopian skall sparas. Dessutom förvaras denna reservkopia oftast inte brandsäkert, trots att detta är ett vanligt försäkringsvillkor. Programkopieringen sköts något bättre men även här förekommer det att ett par företag inte förvarar sina kopior brandsäkert, vilket också strider mot försäkringsvillkoren. I flera fall sköts kopieringen av program och register på operatörens eget ansvar, utan att någon överordnad kontrollerar att arbetet blir rätt utfört.

Det bristfälliga skydd för program och framför allt för register som många av företagen har, trots den debatt som förekommer i dessa frågor, kan bero på den vanliga inställningen: ”Det händer inte oss” eller på ren tanklöshet.

6 Reservmaskin

Inget av företagen har något skriftligt avtal om rätt att utnyttja reservmaskin. Endast företag A, som har den minsta datorn, har ett muntligt avtal som torde fungera i praktiken. Företagen har således inte insett vikten av, att i de fall det är möjligt, ha skriftligt avtal om reservmaskin eller utveckla manuella reservrutiner att användas i händelse av datorstillestånd.

7 Försäkring

Försäkringsskyddet för de flesta företagen är bristfälligt, då det inte täcker alla skaderisker. De två företag som har mer omfattande försäkringar, har dock troligen för låga försäkringsbelopp för sina datamedia.

KOMMENTAR/AVSLUTANDE SYNPUNKTER

Det är häpnadsväckande att de sex företagen har så stora brister i den interna kontrollen, med tanke på de risker företagen därmed löper och de stora krav på säkerhet som borde kunna ställas, då datorn används för företagens redovisning m m. Dessa sex företag kan inte vad gäller datorstorlek, antal anställda på ADB-avdelningen och verksamhetens inriktning, anses som representativa för svenska företag, då urvalet är litet och inte slumpmässigt. Min egen erfarenhet av flera års utredningar av företags ”datasäkerhet” samt genom samtal med revisorer, brandingenjörer m fl, visar dock på att samtliga brister som ovan beskrivits, tyvärr är ganska vanliga. Detta visar att det är mycket viktigt att revisorn utreder dessa kontrollområden, innan han granskar enskilda redovisningsrutiner. Han får på så sätt kännedom om hur en väsentlig del av den interna kontrollen fungerar hos företaget och kan därmed utföra en bättre och mer tillförlitlig revision.

Den i uppsatsen gjorda genomgången av de olika kontrollområdena samt de här beskrivna sex företagsfallen, visar hur viktigt det är att revisorn inte underlåter att närmare utreda dessa kontroller. I praktiken är det dock inte ovanligt att revisorer undviker att granska detta område, då de känner sig osäkra på hur de skall gå tillväga. ”ADB-revision” är nämligen för de flesta revisorer ett svårt och okänt område med många nya kontrolltekniker, vilket beror på att revisorn i allmänhet inte har någon speciell utbildning i eller erfarenhet av ”ADB-revision”. Många revisionsbyråer försöker lösa detta problem genom att ha specialister inom ADB. Utvecklingen går dock mot att integrera ”ADB-revision” i den vanliga revisionen, genom att utbilda revisorer i hur de skall utreda, verifiera och bedöma dessa kontroller. På så sätt kommer kanske uttrycket ”ADB-revision” att försvinna, vilket flera revisorer inom ämnet länge önskat. Revisorsutbildningen sker både genom internutbildning och genom kurser i t ex FARs regi. Med denna utbildning hoppas man även kunna överbrygga den ”språkbarriär” som råder mellan revisorer och ADB-folk. Dessutom syftar utbildningen till att lära revisorn att utnyttja datorn som ett hjälpmedel vid sin granskning av företagets redovisning, t ex genom användande av speciella revisionsprogram.

Den ökade användningen av datorer i företagen, kommer att leda till att allt fler av revisorns klienter utnyttjar ADB. Revisorn får således en svår uppgift, då han förväntas kunna granska så många varierande kontroller och kunna bedöma deras ändamålsenlighet, framförallt med tanke på hans ringa erfarenhet och bristande utbildning. Därför kommer de flesta revisorer att tvingas lära sig att behandla de kontrollområden vi beskrivit, för att kunna utföra sin revision.

Birgit Flening, fil kand