Användningen av avancerad ADB-teknik ökar snabbt och revisorns granskning inriktas på utformning av kontroller som säkerställer korrekta, fullständiga och tillförlitliga resultat. Christer Lindén, datasäkerhetschef vid Försvarets datacentral, diskuterar i denna artikel hur potentiella svagheter inom ADB-verksamheten kan lokaliseras så att de knappa revisionsresurserna kan sättas in där.
Databehandling utnyttjas i allt större och komplexare omfattning vid rationalisering av administrativa rutiner. Företagen har blivit starkt beroende av en väl fungerande ADB-verksamhet. Användandet av avancerad ADB-teknik ökar beroendet ytterligare i framtiden. Hela företagets administrativa kropp påverkas ifall ADB-verksamheten får ”hjärtklappning”. Manuell hjärtmassage är oftast svår eller omöjlig att sätta in. Behovet av förebyggande hälsovård har ökat kraftigt. Revisorns traditionella roll som granskare av företagets interna kontroll förändras och får en delvis ny betydelse visavi ADB. Tyngdpunkten förskjuts från bedömning och verifiering av resultat (dvs rapporter, poster och register) till bedömning, verifiering och deltagande vid utformning av kontroller som säkerställer korrekta, fullständiga och tillförlitliga resultat. Denna betoning påverkar naturligtvis revisionens inriktning, metodik och behov av kompetens.
Vi måste i ärlighetens namn slå fast att allt inte hinner kontrolleras. En metod bör därför användas som gör det möjligt att lokalisera potentiella svagheter till vissa områden inom ADB-verksamheten och där sätta in tillgängliga knappa revisionsresurser. Vi måste också konstatera att revisorn inte kan vara expert på allt från skatteplanering till databasadministration. Dock äger en erfaren välutbildad revisor ett unikt expertkunnande om filosofin bakom företagets totala kontrollsystem och dess ingående komponenter. Detta kan inte ADB-specialisterna, trots allt övrigt datakunnande, varför kontrollfunktioner bortom de omedelbart iögonfallande ofta förbises.
I det följande kommer nämnda problemområden att närmare belysas. Men först en bakgrund avseende ADB-verksamhetens nuläge och förväntade utveckling.
1 NULÄGE OCH FÖRVÄNTAD UTVECKLING
Kostnaden för databehandling (drift och utveckling) i Sverige uppskattas till ca 2.800 milj kr 1977. Ca 45.000 personer arbetar direkt med ADB. År 1980 förväntas kostnaderna ha stigit till ca 3.800 milj kr, antalet sysselsatta inom ADB till över 50.000.
Hittills har huvudsakligen redovisande rutiner automatiserats främst med hjälp av satsvis databehandling. Nu börjar, beroende på tillgång till rationell terminalteknik, även styrande tidskritiska rutiner (ordermottagning, förrådshantering m fl) i ökad omfattning läggas över på ADB. Detta ökar betydelsen av såväl kontroll- som säkerhetsaspekterna (tillgänglighet, reservförfarande m m).
Olika ADB-rutiner ihopkopplas maskinellt i allt högre utsträckning. En inmatad uppgift sprider sig ofta automatiskt till flera skilda ADB-rutiner. Kravet på hög datakvalitet ökar ytterligare.
Användningen av avancerad teknik ökar snabbt. I USA förväntas antalet installerade terminaler fördubblas under perioden 1977–80 (3 milj st). Motsvarande utveckling förutses i Sverige. Databaser, som gemensamt innehåller information för flera olika ADB-system, utnyttjas alltmer. Intresset för användning av s k distribuerad datakraft, som omfattar terminaler och till varandra anslutna smådatorer, är f n mycket stort i Sverige. Dessa faktorer påverkar i hög grad kraven på och införandet av interna kontrollfunktioner.
Vi har också att ta hänsyn till en uppåtgående trend vad gäller ren databrottslighet. Karaktäristiskt är, enligt amerikanska undersökningar, att förlusten per brottstillfälle är mycket högre vid databrott än vid ”vanliga” brott ($ 450.000 mot $ 20.000). Dock skall påpekas att (enligt Statskontoret) förlusten vid avsiktliga fel säkert understiger 10 % av kostnaden för oavsiktliga fel (hanteringsfel, bristande information, programfel, maskinfel). Omkörningskostnaden för ADB-rutiner ligger på många datacentraler inom intervallet 10–30 % av totala bearbetningskostnaderna. Kan en förbättrad intern kontroll pressa ned omkörningsvolymen några procentenheter torde argumenteringen för en ökad ADB-revisionsbudget få slagkraft.
Specialiseringen inom ADB-området ökar. Tidigare hade vi kategorierna systemare, programmerare och operatörer. Trenden går mot att vi dessutom får eller har expertis på databas, kommunikation, terminaler, operativsystem, generella programvaror m fl. I denna miljö blir kompetensen ”generell överblick” mycket värdefull. Revisorns överblick, erfarenhet och kompetens inom området ”intern kontroll” måste på ett effektivare sätt påverka systemutveckling och drift.
2 ANSVAR FÖR INTERN KONTROLL VID ADB
Företagsledningen svarar för att interna kontrollfunktioner införts i erforderlig omfattning i ADB-verksamheten. Den externa revisorn har till uppgift att verifiera kontrollernas existens samt bedöma dessas effekt.
I praktiken har ansvariga inom företagsledningen ofta inte tillräckligt uppmärksammat det befintliga och snabbt växande behovet av systematiserade, avvägda interna kontrollåtgärder inklusive riktlinjer och standards för företagets ADB-verksamhet. Det måste understrykas att det är väsentligt att undvika slumpmässiga dyrbara punktinsatser. Revisorn bör noga överväga om en övergripande genomlysning av kontrollstrukturen erfordras och i så fall föreslå företagsledningen initierandet av en förstudie. Härvid kan ledningen också göra en bedömning av dess hittillsvarande information om ADB-verksamhetens prestationer är tillfyllest (produktivitetsmått, störningsmått). I många fall är denna information alltför torftig för att ledningen effektivt skall kunna styra, värdera och följa upp verksamheten.
3 OMRÅDEN FÖR INTERNKONTROLLÅTGÄRDER
Vid intern kontroll av en ADB-verksamhet är det praktiskt att dela upp den på funktionerna systemutveckling, drift av enskilda ADB-system samt datordrift. Uppdelningen motiveras av att skilda kontrollmål, metoder och åtgärder gäller för dessa funktioner.
Systemutveckling omfattar rutiner och standards som följs vid systemutformning, programmering och test. Vidare ingår även utformning av tillhörande manuella rutiner. Modifieringar av befintliga system ingår också i begreppet systemutveckling. Ofta räknar man med att den årliga modifieringskostnaden ligger på ca 20 % av den ursprungliga utvecklingskostnaden för genomsnittssystemet.
Drift av enskilda ADB-system innefattar manuella rutiner för datafångst och överförande av data till datacentralen. Vidare ingår tillämpningsprogram som styr och kontrollerar transaktionsbehandlingen, som utför registervård samt redigerar utdata. Administrativa rutiner erfordras också som vägleder datacentralens personal i handhavandet av systemets program och data.
Datordrift avser utrustning, personal, hjälpmedel och administrativa rutiner som erfordras för att hålla verksamheten vid datacentralen i gång, som komplement till åtgärder för enskilt ADB-system.
Senare i artikeln diskuteras vilka typer av kontrollproblem som finns inom resp funktion.
4 INRIKTNING AV GRANSKNINGSINSATS
Vi har tidigare konstaterat att granskningsinsatserna verkställs under resursknapphetens kalla stjärna. Idealet vore om nyckeltal av motsvarande typ som blodvärde, blodtryck, puls vid hälsoundersökningar kunde användas som vägledning vid val av granskningsobjekt. En effektiv ledning av ADB-verksamheten förutsätter att antydda nyckeltal finns tillgängliga. Dessa nyckeltal bör således inhämtas av revisorn innan granskningsinsatsens inriktning och omfattning fastställs. Saknas denna information indikerar detta ett granskningsbehov i sig.
Nedan följer en uppräkning av några användbara nyckeltal. Revisorn måste naturligtvis ha en uppfattning om ”normalbilden” för att rätt kunna värdera aktuella nyckeltal.
Datordrift
verklig drifttid
datortillgänglighet = planerad drifttid (> 90 %)
omkörningstid
omkörningar = totaltid (< 15 %)
stansfel = antal fel/1.000 tecken (< 1 o/oo)
behörighetskontroll = antal obehöriga försök till åtkomst
Drift enskilda ADB-system
Behandlar systemet ekonomisk information?
* Antal leveransförseningar? (Satsvis) (< 10 %)
Antal stopp? (terminalsystem)
Genomsnittliga svarstider? (terminalsystem)
Antal omkörningar? Omkörningstider? (satsvis)
Systemspecifik information t ex:
Antal förfallna kundfakturor?
Felfrekvens per transaktionstyp? m m
Systemutveckling
Finns standards och riktlinjer för utveckling dokumenterade?
Finns en välfungerande projektplanering/uppföljning?
Avslutas utvecklingsprojekten inom angivna tids- och kostnadsramar?
5 GENOMFÖRANDE AV GRANSKNINGSINSATSER
Nedan beskrivs grovt och kortfattat de kontrollområden som revisorn kan gå igenom för att verifiera och bedöma den interna kontrollen i ADB-verksamheten. Revisorn bedömer naturligtvis från fall till fall vilka områden som skall ses över, när och hur. Kontrollområdena redovisas under rubrikerna drift enskilda ADB-system, datordrift samt systemutveckling. Det för tyvärr för långt att i denna artikel närmare beskriva tillämpbara tekniker. I litteraturförteckningen återfinns lämplig litteratur som väl beskriver ”state of the art” på tekniksidan.
5.1 Drift enskilda ADB-system
Generellt innebär drift av ett ADB-system att data föds, registreras (stansas), överförs (per post eller tele), körs i dator, ger utdata samt lagras i dataarkiv. Vilka kontrollproblem kan finnas?
Data föds. Dokumenterade föreskrifter för skapande av data (t ex orderregistrering). Attestering av källdokument. Upprättande av bunttotaler m m innan dokumenten skickas till stansning. Lagring av källdokument. Hantering av felaktiga dokument.
Registreras. Används behörighetskontrollsystem vid terminalinmatning? Kontroller som säkrar fullständigheten vid statsvis registrering. Valideringskontrollen av data samt rutiner för hantering av upptäckta fel.
Överförs. Kontroller som säkrar att data ej kommit bort eller förvanskats på vägen till datorn.
Körs i dator. Kontroller som medför att data ej förvanskats eller kommit bort i eller mellan program och system. Om ett oavsiktligt avbrott (programfel, styrkortsfel, datorfel m m) inträffar skall bearbetningen på ett säkert och smidigt sätt kunna återstartas. En vanligt förekommande tid mellan totala driftstopp på en datorinstallation är 5–10 timmar. Rimlighetskontroller avseende bearbetningens resultat måste finnas. Det är viktigt att felaktiga data upptäcks, rapporteras, korrigeras och återinmatas på ett kontrollerat sätt. Här slarvas ofta.
Utdata. Utdata bör kontrolleras mot indata och registerdata. Kontroll över att distributionen av utrapporter sker korrekt och i rätt tid. Vissa utdata måste sparas i enlighet med lagar och föreskrifter.
Dataarkivering. Kontrollera hanteringen av olika registergenerationer. Finns kopior (back-up) på direktminnesregister? Finns checksummor på registren? Vilken personal har tillgång till registren?
5.2 Datordrift
Inom funktionen datordrift kan följande kontrollområden utskiljas:
För-/efterbehandling. Omfattar produktionsplanering (beroendeplaner etc), in- och utlämningskontroller, prepareringskontroller (styrkort etc) kontroll över produktionsresultatet, felhantering.
Dataarkiv. Omfattar fysisk säkerhet såsom säkerhetsarkivering av vital information (olika generationer av filer i skilda arkiv). Biblioteksrutiner för att hålla reda på upptagna och friställda media, friställningstidpunkter, behov av rengöring etc.
Ansvarsuppdelning. Hur har ansvaret fördelats mellan datorbearbetning, för- och efterbehandling, dataarkiv och systemutveckling?
Fysisk säkerhet. Kontroll över luftfuktighet, temperatur och elförsörjning. Skydd mot brand? Tillämpas closed-shop? Finns erforderliga försäkringar för olika skadefall, från totalt förstörd dataanläggning till förlust av enskild datafil?
Katastrofplanering. Har företagsledningen angett målsättning? Finns färdiga reservförfaranden att ta till (t ex ersätta ett on-line system med ett reserv satsvis dito)? Finns avtal om utnyttjande av annan anläggning?
Driftstörningar. Vilken driftstörningsinformation finns? Omfattar den även manuella fel? Hur är avtalen om preventivt och korrektivt underhåll utformade?
Resursplanering. Finns erforderlig information om nuvarande och framtida beläggning som underlag för kapacitetsplanering? Är planeringen dokumenterad och revideras den fortlöpande?
Debiteringsrutin. Vanligen fakturerar en datacentral sina uppdragsgivare på basis av en maskinellt förd logg över utnyttjade resurser och en tillhörande prissättningsalgoritm. Är debiteringen fullständig, korrekt och rättvis?
5.3 Systemutveckling
Följande kontrollområden är väsentliga inom funktionen systemutveckling:
Användarkrav. Kontrollera att användarinflytandet är säkerställt.
Inbyggda kontroller. Revisorn bör bevaka två huvudaspekter:
Utformning och omfattning av interna kontroller i systemet.
Se till att lämpliga revisionshjälpmedel byggs in i systemet som underlättar bedömningen och verifieringen av dessa kontroller när systemet tagits i drift.
En effektiv insats i utvecklingsskedet möjliggör avsevärda inbesparingar för uteblivna felaktigheter i driften samt en rationell framtida revision.
Kostnads-/intäktsanalys. Kontrollera att rimliga för- och efterkalkyler utförs.
Testning. Systemets kvalité beror i hög grad på om tillfredsställande testmetodik använts.
Standards. Finns dokumenterade riktlinjer och standards i form av handböcker m m som säkerställer en standardiserad, metodisk utvecklingsprocess? Detta påverkar väsentligt framtida underhållskostnader och systemtillförlitlighet.
6 REVISORER CONTRA DATAEXPERTER
Tidigare var ADB-expertis ej lika nödvändiga som nu för revisorn. Verifiering och bedömning av den interna kontrollen i ADB-verksamheten kunde tillfredsställande ske genom att ”revidera runt datorn”. Denna teknik krävde ej särskilt mycket av ADB-kunnande, metodik och teknik. I dag existerar och utvecklas system där denna revisionsteknik ej är tillräcklig. Främst är det ökade krav på snabb tillgång till data samt ökad ihopkoppling av system som minskat ”runt dator”-metodens användbarhet. Detta har lett till att transaktioner matas in en och en via terminal där satsvis avstämning ej är användbar på samma sätt som förr. ”Audit-trail”-funktioner är också svårare att upprätthålla i en integrerad on-line/databasmiljö.
Vilken kompetens erfordras då för att genomföra en god revisionsverksamhet i ADB-miljö? Kunskaper och erfarenheter måste finnas inom följande områden:
Revision. Kunnande om den övergripande kontrollstrukturen. Insikt i företagens riskmanagementpolicy. Erfarenheter och metoder från traditionellt revisionsarbete.
Databehandling. Kunskaper och erfarenhet från såväl systemutveckling som datordrift. Kunnande om olika bearbetningstekniker (realtid, databas, satsvis bearbetning).
ADB-säkerhet/kontroll. Kunnande om och erfarenhet av olika metoder avseende driftstörningar, funktionsskydd, kvalitetsskydd, behörighet och sekretess, reservförfaranden, dataskydd m m.
En rimlig kompetensfördelning torde vara att en revisor med grundläggande ADB-kunskap lokaliserar och identifierar ev problem inom ovan diskuterade kontrollområden. Därefter kopplas en expert med både ADB-säkerhets- och databehandlingskunnande in för att i samråd med revisorn och företagets datapersonal utarbeta förslag till åtgärder.
Man är ofta bristfälligt underrättad om vilka metoder, tekniker och programvaror som tagits fram och utnyttjas för olika ändamål vid andra datacentraler än den egna. På likartat sätt som den externa revisorn ofta förmedlar kunskaper och erfarenheter mellan företag kan en extern ADB-revisionsverksamhet ge impulser som minskar risken för onödigt dubbelarbete.
7 BEHOV AV REVISIONSHJÄLPMEDEL OCH STANDARDS
Tyngdpunkten i den interna kontrollstrukturen flyttas från ”runt” datorn till ”genom” datorn. Generella revisionspaket finns framtagna och används främst för att verifiera data. I systemen inbyggda hjälpmedel för att verifiera och bedöma interna kontrollers förekomst och effekt förekommer sällan. Vanligare är att en generell extern programvara ”revisionspaket” bearbetar systemens register i speciella körningar.
Den bästa möjligheten till att höja revisionshjälpmedlens effekt är att revisionen aktivt samverkar med användare och utvecklingspersonal under systemutvecklingsarbetet. Då kan hjälpmedlen ”skräddarsys” och direkt integreras i systemet.
Det finns också behov av att standards (minimikrav) fastställs för olika typer av applikationssystem. Härigenom torde en enhetligare och högre internkontrollnivå kunna erhållas. Innan detta kan göras måste dock förbättrade tekniker och metoder ha tagits fram. Tanken har också framförts att auktorisation (typ besiktning) av olika servicebyråers standardpaket vore önskvärd. För detta fordras dock en fastslagen standard.
8 ADB-REVISION – KOSTNADSASPEKTER
Företagen och företagsledningarna blir alltmer beroende av databehandling för att effektivt planera, värdera och kontrollera sina organisationers åtgärder. Det starka beroendet inses ofta inte omedelbart till fullo. Beroendet torde framgå om man noga tänker sig in i konsekvenserna av några veckors avbrott i företagets databehandling. Vidare ökar framgent förlusterna om felaktiga data oupptäckt kan ”skvalpa” runt i databehandlingskedjorna.
Den fysiska säkerheten vid datacentralerna har uppmärksammats och tillgodosetts relativt väl. Däremot är det sämre ställt när det gäller säkerhet och kontroll av enskilda ADB-system och övriga programvaror.
Kostnaderna för att upptäcka och åtgärda fel i ADB-system ökar ju senare kontrollerna läggs in. Amerikanska undersökningar ger vid handen att det är mycket lönsamt att ägna internkontrollaspekterna större uppmärksamhet i systemutvecklingsskedet.
Uppföljning och åtgärdande av olika typer av driftstörningar ger ofta också ett gott ekonomiskt utbyte.
Mycket talar således för att företagsledningarna borde överväga att utöka budgeten för säkerhets- och ADB-revisionsåtgärder. Det torde vara en god investering och en prisvärd försäkringspremie.
Christer Lindén, datasäkerhetschef vid Försvarets datacentral
LITTERATURFÖRTECKNING
1. ”Systems Auditability & Control Study”,
Institute of Internal Auditors, USA
2. ”Software Reliability – Measurement and Management”
Barry Boehm, TRW Systems, USA
3. ”Performance Assurance and Data Integrity Practices”
National Bureau of Standards, USA
4. ”Säkrare och effektivare ADB-drift”
Studentlitteratur, Sverige
5. ”Datasäkerhetshandboken”
IBM, Sverige
6. ”Crime by Computer”
Donn Parker, Scribner förlag, USA