Revisorerna måste lära sig att tillämpa datatekniken i revisionen. Anita Lagerkvist vid Teleplan AB visar här på en metod som är avsedd att tillämpas i samband med utvecklingen av ett nytt system. Men kontrollstrukturen kan användas också på redan införda system.
Trots idoga ansträngningar, åtminstone från revisorernas sida, har inget verkligt närmande skett mellan revisorer och dataspecialister. Revisorn för en ensam kamp för att behärska datasystemet. Men för honom, liksom för de flesta, är datatekniken lik den lerneiska hydran som sticker upp nya elaka huvuden varje gång man hugger av ett och tror sig ha bekämpat odjuret. Revisorn bör emellertid inte förtröttas utan fortsätta kampen – men för att den skall bli framgångsrik måste den bedrivas med datateknikens egna medel.
Revisorn skall ställa kraven men han skall ta dataspecialisterna till hjälp för att uppfylla dem. I stället för att hugga vilt mot enstaka yttringar av ett datasystem skall han lägga ut ett finmaskigt nät, kalla det en kontrollstruktur, över hela datasystemet och fånga det i ett säkert grepp.
Revisorns uppgift är bl a att verka för att de interna rutinerna är ändamålsenliga och att de frambringar fullständig och korrekt information. För att göra detta när rutinerna överförs till ett datasystem krävs inblick i och kontroll över det totala datasystemets tillblivelse, användning, innehåll och framtida öde. Den metod som här presenteras är avsedd att användas i samband med utvecklingen av ett nytt system men den kan med små förändringar även tillämpas på redan införda datasystem. I det senare fallet är revisorns möjligheter till omedelbar påverkan på systemet givetvis mindre men kontrollstrukturen ger honom ett verktyg för att kontinuerligt ställa kraven och påvisa när de inte har uppfyllts.
För att uppnå en tillfredsställande säkerhet i ett informationssystem måste de säkerhetskrav som ställs på systemet och de åtgärder och lösningar som väljs för att tillgodose dessa krav identifieras och formuleras. Detta bör göras på ett strukturerat sätt så att överskådlighet och fullständighet uppnås samtidigt som alla säkerhetsfrågor dokumenteras och efterkontroll blir möjlig.
Ett informationssystem kan, som visas i figur 1, spjälkas upp i rutiner, funktioner och metoder. Rutinerna är det som systemet utför. Funktionerna är den manuella och maskinella realiseringen av rutinerna. Metoderna är sättet att utföra utveckling, driftsättning och underhåll av systemet.
De krav och kontrollmål som intressenter och kravställare ställer på informationssystemet kan uppdelas i krav på rutinerna, krav på funktionerna och krav på metoderna. Dessa krav tillgodoses med olika slag av åtgärder, tekniska lösningar och val av de metoder, som på bästa sätt tillvaratar säkerheten.
Uppbyggnaden av en dokumentation av säkerhetskraven bör följa strukturen i figur 1. Ett sådant säkerhetsdokument bör innehålla följande huvudrubriker:
Kravställare
Kontrollmål
Rutiner
Åtgärder per rutin och kontrollmål
Funktioner
Tekniska lösningar per funktion och kontrollmål
Metodområden
Valda metoder per område och kontrollmål
KRAVSTÄLLARE | INFO-SYSTEMET | ||
Kontrollmål | |||
Rutiner | Funktioner | Metodområden | |
Åtgärder | Tekniska lösningar | Valda metoder | |
Ej tillgodosedda krav | |||
Kravspec., Rutinbeskr. etc | Teknisk spec., Anv. handledning | System o Driftstandard m. fl. |
Säkerhetsdokument bör utvecklas och fyllas på under hela projekttiden. I fortsättningen beskrivs och exemplifieras innehållet i de olika avsnitten. Lämpligen arbetar man i nivåer mot en allt mer detaljerad dokumentation. Den högsta nivån beskrivs i säkerhetsdokumentet och hänvisningar görs till lägre – mer detaljerade – nivåer som beskrivs i olika dokument som tillhör systemet såsom t ex Systemspecifikation, Användarhandledning, Anvisningar för terminalarbete, Beskrivning av manuella rutiner etc.
Det krav som inte tillgodosetts återförs till respektive kravställare. Kravställaren blir därmed informerad om vilka brister som finns i systemet och får möjlighet att omformulera sina krav eller på annat sätt påverka systemets säkerhet.
Säkerhetsdokumentet bör vara ett hjälpmedel som ständigt uppdateras och förblir aktuellt under systemets livstid. Därigenom kommer det att kunna utgöra ett viktigt verktyg vid framtida revision av systemet. Framtida vidareutveckling och integration med nya informationssystem får dessutom i denna dokumentation en väl definierad utgångspunkt vad gäller säkerhetskraven.
Kravställare
Intressenter och användare som ställer krav på redovisningssystemet identifieras och sammanställs i en förteckning. Denna förteckning skall också, som visas i exempel 1, redovisa vilka dokument som specificerar de krav som varje intressent/användare har formulerat.
Exempel 1
Kravställare | Kravdokument |
|---|---|
Företaget/Organisationen | Policy, långsiktsplan |
Organisatoriska enheter | Verksamhetsplan |
beslutsfattare | Befattningsbeskrivningar rutiner |
personalorganisationer | Avtal, överenskommelser |
Myndigheter | Författningar |
Lagar o förordningar | Bokföringslagen, datalagen |
Utvecklingspersonal | Systemstandard |
Driftpersonal | Driftstandard, arbetsschema |
Övriga interna och externa ADB- system | Anvisningar från postverket, banker |
Kontrollmål
Kravdokumenten innehåller övergripande och specifika kontrollmål som tillfredsställer respektive kravställare. Därutöver finns ett antal krav från olika håll som framkommit vid förundersökningar, intervjuer eller genom tradition men som ej formaliserats. Alla dessa kontrollmål och krav sammanförs till en förteckning enligt exempel 2. Dels finns ett antal generella kontrollmål och dels kan det finnas kontrollmål som enbart berör en viss rutin.
Exempel 2
Företagets/Organisationens krav
GENERELLA ÖVERGRIPANDE KONTROLLMÅL
Ändamålsenlighet
Fullständighet
Korrekthet
Godkännande
Behandlingshistorik
ÖVERGRIPANDE KONTROLLMÅL FÖR BOKFÖRINGEN
att bokföringsskyldigheten fullgörs enligt god redovisningssed
att bokföringen sker i systematisk ordning
att allt som bokförs grundas på en verifikation som fyller bokföringslagens krav på sådana handlingar
att underlag för en lämplig och ändamålsenlig budgetering och kalkylering kanerhållas
Rutiner
Informationssystemet indelas i ett antal väl avgränsade delar (rutiner) som var och en utför en viss uppgift. Till dessa rutiner räknas också gränssnitt till integrerade system. Se exempel 3. Ingen åtskillnad görs mellan manuella och maskinella rutiner. För varje rutin kommer man senare att definiera kontrollmål och lämpliga åtgärder för att uppnå respektive kontrollmål.
Exempel 3
Rutiner
Leverantörsfakturarutin
Utbetalningsrutin
Kundfakturarutin
Inbetalningsrutin
Budget
Huvudbok
Dagbok
Årsslutsrutiner
Integrerade rutiner (gränssnitt)
Postgiro
Bankgiro
Åtgärder per rutin och kontrollmål
De kontrollmål/krav av både övergripande och specifik natur som har uppräknats bearbetas och formuleras i systemteknisk anda för varje rutin och integrerad rutin.
För varje formulerat kontrollmål anges en eller flera åtgärder. Alternativa åtgärder kan också redovisas. Om en åtgärd är förenad med särskilda kostnader eller kräver speciell tidsplanering som faller utanför projektets ram så anges detta.
Många kontrollmål/krav uppfylls genom de generella kontroller och tekniska lösningar som byggs in i datorprogrammen i form av avstämningstotaler, gränsvärdeskontroller och liknande. I sådana fall görs endast en hänvisning till dessa lösningar under rubriken Referens, som visas i exempel 4.
Exempel 4
Tidplan/Kostnad | Referens | ||
|---|---|---|---|
Rutin 1: | Utbetalningsrutin | ||
Krav 1: | Fakturor skall vara slutligt godkända | ||
Åtg. 1: | Visuell kontroll | ||
Användarhandledn., kap. 5 | |||
Åtg. 2: | Attestbevakning | ||
Systemspec. avsn. 3.2 | |||
Krav 2: | Utbetalning skall ske enl gällande betalningsvillkor | ||
Åtg. 1: | Bet.villkor är obligatoriskt vid registrering av faktura | Formulärhanteringsprogram klart W 317 | |
Rutin 2: | Kundfakturarutin | ||
Krav 1: | Allt faktureringsunderlag skall bli kundfakturor | ||
Åtg. 1: | Saldo fakt. underlag per dag= saldo fakturor per dag | Systemspec. avsn. 3.1 |
Funktioner
Informationssystemets kvalitet och säkerhet är i hög grad beroende av hur den tekniska realiseringen görs. För att få ett grepp om säkerheten indelas den totala tekniska realiseringen i ett antal manuella och maskinella funktioner enligt exempel 5.
Exempel 5
Manuell datafångst
Terminal bearbetning
Datakommunikation
Indatahantering
Bearbetning i datorn
Registerhantering
Resultatmatning
Behörighetssystem
Gränssnitt mot övriga datasystem
Manuell efterhantering
Tekniska lösningar per funktion och kontrollmål
Ett antal kontrollmål/krav formuleras för var och en av de manuella och maskinella funktionerna. Ursprunget är kravställarnas övergripande och specifika kontrollmål/krav som omformuleras i tekniska termer. Se exempel 6. Dessa kontrollmål/krav tillgodoses med hjälp av tekniska lösningar. Sådana tekniska lösningar kan vara omfattande och i sig innehålla flera nivåer av detaljlösningar. Den översta nivån anges för varje kontrollmål/krav och hänvisningar görs till vidare analyser och specifikationer. Om alternativa lösningar finns bör dessa anges och medföra analyser där motiven för och emot respektive alternativ penetreras. Sådana analyser startar på den översta nivån och fördjupas ända ner till en nivå där något av alternativen kan anses överlägset de övriga vad avser effekt och kostnad. När det slutliga valet skett dokumenteras detta på den överordnade nivån.
Exempel 6
Kontrollmål/krav
all normal datafångst skall kunna ske via bildskärmsterminaler, placerade i användarorganisationen
så många kontroller som möjligt skall förläggas till inkodningstillfället, så att fel listor från satsvisa bearbetningar minimeras
förlust eller förvanskning av data mellan terminal och dator skall förhindras
Omformulerade kontrollmål/krav
Tidplan/Referens Kostnad | ||
|---|---|---|
Funktion 1: | Terminalanvändning | |
Krav 1: | Förhindra obehörig tillgång | |
Lösn. 1: | identitet/lösenord | inbyggt i systemet 2 000:-/ arbetsplats |
Lösn. 2: | magnetkort | |
Krav 2: | Formatkontroller förläggs i terminalen | |
Lösn. 1: | Formulärhantering med kontroll av beloppsfält |
De kontrollmål/krav som formulerats i tekniska termer skall förutom att utgöra underlag för tekniska lösningar även kunna verifieras genom tester. Dokumentationen av dessa kontrollmål/krav fungerar således också som ett verktyg för kommande tester av systemets måluppfyllelse vad gäller säkerheten.
Metodområden
Många aspekter som rör kontroll och säkerhet bör läggas på de metoder som används för att utveckla och underhålla informationssystemet. Även de manuella rutinerna och driften av systemet berörs av metoderna. Exempel på metodområde som bör behandlas finns i exempel 7.
Exempel 7
Systemutveckling
Drift vid centrala datorn
Drift vid terminaler
Dataöverföring
Underhåll och vidareutveckling
Dokumentation
Utveckling av manuella rutiner
Utbildning
Valda metoder per område och kontrollmål
Övergripande och specifika kontrollmål/krav omformuleras till krav som direkt kan ställas på de aktuella metodområdena. Samma modell utnyttjas som vid formulering av de tekniska lösningarna. De formulerade metodkraven utgör ett underlag för utvecklingsarbetet inom berörda instanser i organisationen. Olika metodlösningar utvärderas allt eftersom utvecklingsarbetet fortskrider. De metodlösningar som väljs dokumenteras per område och kontrollmål enligt exempel 8.
Exempel 8
Kontrollmål/krav
SYSTEMUTVECKLING
en väl strukturerad och dokumenterad systemutvecklingsmetod skall användas
den fysiska datalagringen i systemet bör så långt möjligt göras fristående från den logiska datastruktur som används i dataprogrammen
anpassningar av systemet till ändringar i register och transaktionsmängder skall vara möjliga
DRIFT VID CENTRALA DATORN
programmen skall vara skyddade mot förvanskning både medan de är i drift (dvs i datorn) och när de inte används (i ett fysiskt bibliotek)
kontroller skall finnas av att rätt version används av program och dataregister. Körning skall ske i enlighet med godkända instruktioner
registerkopior skall framställas och inrapporterade data sparas maskinellt på sådant sätt att omkörning kan ske när tekniska eller programberoende fel uppträder. Likaså skall revision och uppföljning av utförd bearbetning respektive samband mellan in-, utdata och lagrade data kunna ske.
DRIFT VID TERMINALER
arbetet vid terminal skall styras av detaljerade instruktioner
obehöriga skall förhindras att få tillgång till terminalen
Omformulerade krav: | Tidplan Kostnad | Referens | |
|---|---|---|---|
Metodområde 1: | Systemutveckling | ||
Krav 1: | Framtida ändringar skall vara möjliga | ||
Metod 1: | Strukturerad systemering | 1 års införande | Utbildningsplan |
Metod 2: | Relationsdatabasteknik | 2 år efter beslut | Utredning ang SQL |
Krav 2: | Överskådlighet | ||
Metod 1: | Dokumentationsstandard | 1:a utgåva klar w311 |
Anita Lagerkvist, AB Teleplan