Säkerheten i utbetalningsrutiner har blivit ett allt aktuellare ämne mot bakgrund av nutidens elektroniska betaldata.
Auktor revisor Anders Malmeby vid Bohlins i Stockholm ger i denna artikel några kommentarer.
Frågor rörande intern kontroll och säkerhet i utbetalningsrutiner hos företagen har accentuerats det senaste året. ”53-miljonerskuppen” sommaren 1986 bidrog till debatten. En aktieutdelning försvann mellan Värdepapperscentralen och aktieinnehavaren, SPP. Liknande datorrelaterade brott, dock gällande betydligt mindre summor, har påträffats av revisionen. I vissa fall kommer de ej till offentlighet. En förklaring i sammanhanget är att bevisfrågan kan vara svår.
Den svaga länken
Hur ser då risksituationen ut i en utbetalningsrutin? Det är förstås svårt att ge ett generellt svar på frågan eftersom man ofta lägger in olika grundförutsättningar. I tidningen Datavärlden (1987-09-17) redovisar exempelvis en artikel följande risker för datorrelaterade brott mot företagens utbetalningar: risk inom företaget – riskfaktor 280, risk under transport (”ute på stan”) – riskfaktor 490.000, risk i bankmiljö – riskfaktor 40.
Utifrån detta förespråkas sigillskydd vid överföringen av betaldata mellan företag och giroinstitut samt bättre övervakning av själva transporten. Sigillskydd är en typ av förändringsskydd man exempelvis kan förse magnetband innehållande betaldata med. Genom ett system med krypterad kontrolltotal, unik nyckel för avsändare/mottagare och ett avstämningsförfarande skyddas register med utbetalningsinformation som skall sändas till giroinstitut. Riskfaktorerna i Datavärldens artikel förutsätter emellertid ”kontrollerad företagsmiljö”!
Som revisor måste man tyvärr ofta konstatera att företagsmiljön inte kan betraktas som kontrollerad. Riskfaktorerna förändras då betydligt. Företagsmiljön blir den svagaste länken i kedjan.
Företagsmiljön
Huruvida företagsmiljön kan bedömas som kontrollerad eller inte (god eller dålig intern kontroll) bestäms bl a av följande variabler:
Nivån på den generella kontrollmiljön gällande datoriserad information
Rutinerna kring underhåll av fasta registerdata i tillämpningssystemet
Rutinerna för att godkänna transaktioner innan de registreras i det aktuella systemet
Avstämningsrutinernas kvalitet.
Vad gäller de generella kontrollerna konstateras många gånger att behörighetssystem inte används eller utnyttjas i tillräcklig omfattning för att begränsa rätten att utföra olika arbetsuppgifter på ett ur kontrollsynpunkt rimligt sätt. Rutinerna för att underhålla identiteter och lösenord har många gånger också givits låg prioritet.
Hjälpprogram och rapportgeneratorer med vars hjälp man kan gå förbi ordinarie rutiner och ändra data utan att detta lämnar några spår, finns ofta tillgängliga i företags datorinstallationer. När åtkomsten till dessa inte skyddats inom ramen för behörighetskontrollsystemet underlättar man förstås för en oärlig person att ändra uppgift om betalningsmottagare och på det sättet komma över pengar.
För en tid sedan utfördes ett datorrelaterat brott som byggde på brister enligt ovan. En programmerare hade kommit över behörighetskoden till ett s. k. file management-program. Programmeraren ändrade uppgiften om betalningssmottagare för en betalning om 600 tkr. Pengarna gick till programmerarens bankkonto. Stölden upptäcktes relativt snabbt genom en kombination av snabb reaktion från den rättmätige betalningsmottagarens sida och institutionens uppföljningsrutiner.
Anpassad ambitionsnivå
För att åstadkomma ett ändamålsenligt skydd av betaldata måste hänsyn tas till egenskaperna hos hela den rutin som genererar utbetalningar. En transport av betaldata i någon form mellan exempelvis företag och giroinstitut skall i detta sammanhang ses som en del i rutinen.
Skyddsåtgärderna i rutinens olika delar bör hålla en jämn nivå. Är attestmoralen låg i en inköpsrutin som i slutet levererar sigillskyddad betalningsinformation kan detta vara sämre än inget skydd alls om det skapar en falsk trygghetskänsla. Exemplet skall dock ej tas som intäkt för att man inte successivt förbättrar sitt skydd i rutinens olika delar.
Exakt vilka krav ett företag bör ställa på kontrollrutinen varierar förstås beroende på verksamhetens art och omfattning samt sättet på vilket de datorbaserade systemen är uppbyggda och implementerade. Grundkraven gäller som nämnts ovan generella kontroller och rutiner för godkännande, underhåll av fasta registerdata samt avstämningar i olika former.
Rutiner för godkännande av utbetalningar har olika utseende och skiftar i ett företag ofta över tiden. Det enklare fallet kan exemplifieras med delrutinen där ekonomichefen före underskrift av utbetalningsordern helt eller delvis går igenom underlagen till denna. I en mera komplicerad rutin sker det faktiska godkännandet kanske redan i beställningsrutinen via ett förfarande med attesträttsnivåer kopplade till användarnas olika behörigheter i systemet. Utbetalning sker automatiskt om leverantörsfakturan matchar betällning/leverans inom fastställda ekonomiska ramar. Vid förändring av en rutins utseende genom införande av nytt system etc. är det förstås viktigt att inte glömma eventuellt ändrade krav på kontroll- och uppföljningsmoment.
Många av dagens standardsystem saknar funktioner erforderliga för att företag skall kunna bygga upp bra uppföljningsrutiner avseende underhåll av fasta registerdata. Vad gäller skydd av betaldata är t. ex. beställningssystem och leverantörsreskontror sällan försedda med kvittenslistor som visar nyupplägg och ändringar av ekonomiskt väsentliga fält i leverantörsregistret. Motsvarande gäller om än i mindre utsträckning även lönesystem. Här krävs en betydande skärpning från systemleverantörernas sida! Det skall inte behöva åligga det enskilda företaget att bekosta systemanpassningar för att uppfylla dylika grundfunktionskrav.
Har transportledet skyddats genom att betalningsfiler försetts med förändringsskydd i form av krypterad kontrolltotal etc. krävs att administrationen kring detta fungerar. Personkretsen med tillgång till den unika nyckeln systemet bygger på måste vara begränsad. Vidare skall nyckeln bytas med viss frekvens. På företaget måste man i förväg ha klargjort vilka åtgärder som skall vidtas om giroinstitutet signalerar att kontrolltotalen ej stämmer, ny betalningsfil skall snabbt produceras och orsaken till misstämningen utredas.
Det är viktigt att ge akt på ev förekomst av ”udda” utbetalningsrutiner. Exempel finns på företag med i övrigt goda kontrollrutiner som periodiskt beordrar utbetalning av stora summor via ett telefax-förfarande där kontrollen är obefintlig!
Den tekniska utvecklingen banar väg för nya förbättrade skyddsmetoder. Ett alternativ till sigillskydd som är under introduktion/utveckling är kryptering. Genom att kryptera hela betalningsfilen skyddar man sig inte bara mot obehörig förändring utan också obehörig läsning.
Auktor revisor Anders Malmeby, Bohlins i Stockholm