Balans nr 6 1986

Revisorskongressen: Revisorn viktig vid utvärdering av ADB-system

Många moderna ADB-system uppfyller inte de krav som bör ställas på avstämning och kontroll. Här har revisorn en viktig uppgift.

Per Wardhammar, auktoriserad revisor vid Öhrlings Revisionsbyrå AB i Stockholm, menar att revisorn i sin granskning bör utvärdera ADB-system och ställa krav på ändamålsenligheten, tillgängligheten, informationskvaliteten och systemutformningen.

Företag och organisationer blir alltmer beroende av ständig tillgång till en fungerande databehandling. En allt större del av informations- och styrsystem baseras på ADB.

ADB-stödet omfattar allt från ord- och textbehandling och ekonomiadministrativa rutiner till system för beslutsstöd, produktions- och processtyrning.

ADB-stödet är och kommer i allt högre grad att vara av central betydelse för företagen. System och bearbetningsresurser är en ”livsnerv” i det vardagliga arbetet och i den operativa styrningen.

I vissa fall är ADB-stödet och systemen en nödvändig komponent i den produkt som företag och organisationer erbjuder. Jag tänker i sistnämnda fall på exempelvis bankernas system för internationell betalningsförmedling och de system som tillämpas för bankomatuttag, flygbolagens bokningssystem etc.

Konsekvenser av informationsberoendet

Fler arbetar via terminal

En stor del av ett företags information finns lagrad i datorn och kan inte utan svårigheter framställas utan tillgång till ett fungerande ADB-stöd.

Antalet personer som arbetar direkt mot datorn har ökat och många arbetsuppgifter kan inte utföras utan tillgång till terminaler. Detta förhållande har, enligt min uppfattning, förstärkts av vad man kallar ”realtidssyndromet”, d v s tendensen att konstruera och införa transaktionsstyrda system med direktuppdatering även i det fall tidsaspekten inte är väsentlig.

Bearbetningsresurserna koncentreras

Datoriseringen innebär i regel att såväl information som bearbetningsresurser koncentreras till ett eller ett fåtal driftställen i företaget. Störningar och haverier i ADB-verksamheten kan påverka flera system och stora delar av företaget, vilket inte var fallet i ”äldre” system och manuellt förda kartotek som ofta var spridda i organisationen.

Datakommunikation och IC ökar riskerna

Införandet av IC-verksamhet (Information Center) och användarnära databehandling har ökat riskexponeringen.

Dels har antalet personer som har tillgång till data och bearbetningsresurser ökat, dels är de personer som fått tillgång till dessa kraftfulla verktyg i många fall oerfarna, vilket kan innebära att de är mindre medvetna om vilka risker som finns och hur de skall undvikas. Riskerna för såväl avsiktliga som oavsiktliga fel har härigenom ökat.

Den ökande användningen av datakommunikation, såväl internt som externt, medför att det skapas flera ingångar till systemet. Detta kan resultera i flera potentiella användare och därmed förknippade risker att data används obehörigt eller avslöjas. Riskerna med ”uppringda linjer” och ”Hacker”-problemen diskuteras allt oftare.

Systemkunskapen tunnas ut

Den tilltagande automatiseringsgraden i databehandlingen medför också att kunskapen om rutiner, regler och flöden ofta samlas hos ett fåtal nyckelbefattningshavare. Kompetensen inom resterande del av organisationen tunnas härigenom ut. Detta medför risk i det fall system ej dokumenteras ändamålsenligt och om nyckelbefattningshavare slutar sin anställning.

Systemen blir allt komplexare

Systemutvecklingen kännetecknas av en allt komplexare och sofistikerad systemutformning. Fler och fler kontrollfunktioner byggs in i operativsystem, systemprogram och applikationsprogram. Vi förlitar oss i mångt och mycket på funktioner och kontroller i olika programvaror. Detta har i vissa fall inneburit att vi är utlämnade till datorns funktion och att vi inte längre ifrågasätter rimligheten i producerade utdata. Dessutom gäller förhållandet att flera av de moderna systemen inte uppfyller de krav som bör ställas på avstämning och kontroll.

Lite tillspetsat skulle man kunna säga att dagens arbetsmiljö kännetecknas av en mindre kameral inställning. I dag står problemlösningsintresset i centrum. Detta är positivt men kräver att basinformationen i systemen är fullständig och tillförlitlig.

I moderna system frångås i vissa fall traditionell arbetsfördelning. Befattningshavare handlägger allt oftare transaktioner genom hela behandlingskedjan. Detta innebär uppenbara risker om systemen inte innehåller kontroller som kompenserar bristerna i arbetsfördelningen.

Informationen delas av flera

Koncentrationen av data och databehandlingsresurser gör att felaktigheter i program och data får större genomslagskraft än fel i manuella rutiner. Den ökande användningen av databasteknik där samma information delas av flera användare, för olika syften, medför att felaktigheter ofta kan spridas snabbt i hela organisationen.

Informationen koncentreras

Koncentrationen av information till ett fåtal driftställen och tillgången till data dels via terminaler, dels via olika typer av användarnära databehandling medför också högre risker för obehörig användning eller förändring av data. Datorns snabbhet kan användas för manipulation, även i mycket stor skala. Obehöriga ingrepp lämnar dessutom inga synliga spår om inte lämpliga kontroller och rutiner byggs in i systemen och i organisationen.

Stora värden ligger bundna

Den ökande ADB-användningen har gjort att stora värden ligger bundna i maskinvara, program och data. Särskilt data är en ofta underskattad investering. Stora resursinsatser krävs för att återskapa information, om det ens är möjligt.

ADB-säkerhet – 80-talets modeord

Den ökande graden av datorisering, det ökande beroendet av information och den ökande koncentrationen innebär självfallet ökande möjligheter att använda system och data för olika ändamål men resulterar också i ökande risker. Under 80-talet har ADB och därmed förknippade risker kommit alltmer i förgrunden. Bidragande orsaker till detta är bl a:

  • Sårbarhetsberedningens konstateranden och uttalanden att samhällets sårbarhet är oacceptabel och att företagens åtgärder för att skydda sig mot ”ADB-bortfall” eller obehörigt utnyttjande av data är otillräckliga.

  • Uppmärksammade fall av bristande kontroll eller bristfälliga system som lett till betydande ekonomisk skada:

  • ”Historiska fall” som Equity Funding, Chase Manhattan, Wells Fargo, Rifkin Case.

  • Konsekvenserna för några statliga myndigheter i Danmark vid en strejk i en större dansk datacentral, som varade i tre veckor.

  • De störningar som berörde Stockholmsbörsen vid införandet av nytt system.

  • Momssvindeln vid Länsstyrelsen.

En amerikansk undersökning visade att effektiviteten i ett större företag faller med ca 5 % redan en halv dag efter ett totalt driftsavbrott. Efter 11 dagar har effektiviteten fallit med ca 90 %. I sammanhanget kan även nämnas att amerikanska försäkringsbolag uppskattar att endast 7 %, av de företag, som drabbats av en total katastrof i databehandlingen, finns kvar fem år efter katastrofen.

Dessutom finns ett flertal mera vardagliga händelser som inte röner något större nyhetsvärde i massmedia eller som av olika skäl medvetet givits ”låg” profil.

ADB-säkerhet är sammantaget de skyddsåtgärder som vidtas för att skydda väsentlig information mot förluster, felaktigheter eller avslöjanden och bearbetningsresurser från störningar.

ADB-säkerhet är 80-talets modeord och begreppet ADB-säkerhet diskuteras utifrån sårbarhetsbegrepp, delområden som kapitalskydd, funktionsskydd, dataskydd och datakvalitetsskydd samt inom ramen för det för revisorer välkända internkontrollbegreppet. Diskussionerna är, enligt min uppfattning, i mångt och mycket en variation på samma tema. ADB-säkerhet är dock en fråga som berör både företaget och dess revisor.

Revisorn eller företagsledningens ansvar?

Ansvaret för ADB och ADB-säkerhet – liksom allt annat som händer i företaget – ligger odelat hos företagsledningen. Detta ansvar kan företagsledningen inte frånsäga sig. Erfarenheten från ADB-säkerhetsarbete visar att det är svårt att åstadkomma god säkerhet utan företagsledningens aktiva medverkan. Mer konkret åligger det företagsledningen:

  • att utforma policies och riktlinjer rörande kontroll och säkerhet,

  • att fördela ansvar och ställa resurser till förfogande så att riktlinjerna kan fullföljas,

  • att tillse att säkerhetsarbetet bedrivs enligt givna riktlinjer och att en rimlig säkerhets- och kontrollnivå upprätthålls.

Revisorns uppgift inriktas på:

  • att granska att företagsledningen fullgjort sina åligganden och att rimlig kontroll och säkerhet upprätthålls,

  • att rapportera brister till företagsledningen och vilka konsekvenser bristerna kan få.

Konsult och granskare

Revisorn skall granska räkenskaper och förvaltning som underlag för uttalanden i revisionsberättelsen. Granskningen går primärt ut på att säkerställa att informationen är fullständig och riktig. De tekniker och åtgärder revisorn kan tänkas föreslå som resultat av sin granskning har även direkt inverkan på områden som funktionsskydd, dataskydd och datakvalitetsskydd.

Revisorns granskning ger också en i många fall unik och ingående kännedom om företagets risknivå. Detta innebär att revisorn kan relatera företagets system och rutiner till företagets affärsidé och affärsrisker och härigenom bedöma om informationen, kontrollerna och säkerheten i övrigt är tillräcklig. Revisorn är ofta den utomstående som bäst känner företaget och som i vissa fall har den bästa samlade bilden av de samverkande ekonomisystemen. Med sin inriktning är det naturligt för honom att knyta ihop de maskinella och manuella delarna av systemen.

Revisorn är därför en resurs som kan användas i ADB-säkerhetsarbetet. Omfattningen kan variera från behov och kompetens och vara allt från att vara ”speaking partner” till företagsledning eller ADB-ledning till att delta i olika projekt. Revisorns roll som konsult i ADB-säkerhetsarbetet kommer att diskuteras under kongressen.

ADB-säkerhetsområdet är gigantiskt och innefattar allt från enkla vardagsproblem till komplicerade teknikaliteter. Området är stort och svårgreppbart. För revisorn kan det vara svårt att fastställa vad som är en rimlig nivå på ADB-säkerheten i ett företag och kanske främst att avgöra hur styrkefaktorer och svagheter i ADB-säkerheten påverkar inriktningen och omfattningen för revisorns granskning.

Hur revisorn påverkas i sin roll som granskare kommer att behandlas under kongressen. Jag skulle dock avslutningsvis vilja relatera ett antal problem och företeelser som vi möter i granskningsarbetet till ADB-säkerhetsområdet. För enkelhetens skull gör jag en koppling till ett antal övergripande krav på ADB som, fritt tolkat, kan härledas ur ADB-säkerhetsbegreppet.

Övergripande krav på ADB

Ett ökande beroende till ett fungerande ADB medför ökad sårbarhet. Vilka krav kan man då ställa på ADB? På ett övergripande plan kan kraven sägas vara:

  • ändamålsenliga system

  • att tillgången på ADB skall säkerställas

  • att informationen skall vara fullständig och riktig

  • att system och rutiner skall utformas på sätt att obehörigt utnyttjande förhindras.

Krav 1 – Ändamålsenliga system

Systemen skall vara ändamålsenliga. Systemen skall:

  • ge relevant och aktuell styrinformation

  • kunna förändras i takt med bolagets behov och förändringar i verksamheten.

Detta ställer krav på system kopplade till företagets affärsidé och mål samt krav på god styrning och aktiv användarmedverkan i systemutvecklingsprocessen. Exempel på brister jag mött:

  • Ekonomisystem som ej enkelt kan anpassas till organisatoriska förändringar.

  • Företag, vars viktigaste styrinformation är orderingången. Denna tar inte hänsyn till annullerade eller ändrade order.

  • Redovisningssystem som medger bokföring i avslutade perioder.

  • Delsystem som måste överges då huvudsystemet ändras. Dokumentationen var undermålig.

  • Tillgängliga kontrollinstrument i en utbetalningsrutin som endast medger manuell prickning.

  • Kontrollistor som är tre centimeter tjocka. Ingen orkade följa upp redovisade avvikelser.

Krav 2 – Tillgången till ADB skall säkerställas

Tillgången till ADB skall säkerställas så att ordinarie verksamhet kan fortgå utan alltför svåra störningar.

Detta förutsätter skydd mot brand och vatten, fortlöpande underhåll, lämpliga reserv- och backup-rutiner, katastrofplaner m m. Följande brister har jag mött:

  • Katastrofplaner saknas.

  • Säkerhetskopior förvaras i eller i nära anslutning till datahallen.

Krav 3 – Informationen fullständig och riktig

Informationen i systemen skall vara fullständig och riktig.

För detta krävs en lämplig kombination av maskinella och manuella kontroller samt rutiner för att dels begränsa felens antal och storlek, dels upptäcka och korrigera de fel som uppstår. Exempel på brister jag mött:

  • Kontroller saknas vid avvikande prissättning.

  • Felaktiga transaktioner avvisas utan varning.

  • Betalningsmottagare kan ändras i en automatiserad utbetalningsrutin utan att detta signaleras,

  • Kontrollistor över utleveranser som inte fakturerats genomgås inte (bristande instruktioner).

  • Registervårdstransaktioner kvitteras inte.

Krav 4 – Systemutformningen

System och rutiner skall vara så utformade att:

  • Oegentligheter, missbruk och dylikt försvåras och upptäcks

  • Känslig information skyddas mot obehörig användning

  • Lagkrav uppfylls. Lagar som har påverkan är sekretesslagen, datalagen, bokföringslagen, banklagen m m.

För detta krävs fasta regler för hur och av vem informationen får användas och ändras samt instrument för att hindra och upptäcka brott mot dessa regler, framför allt ett väl fungerande behörighetskontrollsystem.

Följande brister har jag mött:

  • Kontroller saknas över vilka program som tas i produktion.

  • Behörighetssystem saknas och kontrollmöjligheter i befintliga system utnyttjas inte.

  • Lösenord, visas i klartext på bildskärm. Lösenordet har inte ändrats på tre år.

  • Bristfällig kontroll vid användning av ”fix-program”.

  • Register kan nås via terminal och data kan förändras utanför ordinarie rutiner.

  • Känslig information krypteras inte vid lagring eller dataöverföring.

Konklusionen av ovansagda är så kort att jag i flera fall tvingas konstatera att de övergripande kraven inte är uppfyllda i flera av de ADB-system som vi i dag möter i granskningsarbetet.

De svagheter som redovisats ovan kan i flera fall föras tillbaka till avsaknaden av regler, riktlinjer och standards. En förutsättning att åstadkomma önskade resultat är att klargöra vilka dessa resultat är.

För att de regler som man skapar skall bli någorlunda ändamålsenliga, heltäckande och sammanhängande, krävs att arbetet styrs av en policy – en målinriktning. En uttalad policy för ADB och ADB-säkerhet saknas dock i vissa fall.

Per Wardhammar, auktor revisor, Öhrlings Revisionsbyrå AB, Stockholm