De fyra affärsbankerna SE-Banken, Handelsbanken, Nordbanken och Gota Bank har utarbetat gemensamma riktlinjer för ADB-revision. Syftet är att de fyra konkurrenterna, som är ihopkopplade i ett gemensamt clearingsystem, ska hålla samma höga säkerhetsnivå.

Affärsbankerna konkurrerar inte bara med varandra, utan samarbetar också inom flera viktiga områden. Samtidigt som man kämpar hårt om såväl privat- som företagskundernas gunst finns det många exempel på fruktbart samarbete. Bankgirot är bara ett i raden av sådana projekt.

Även inom områden som datasäkerhet och revision är kontakterna mellan bankerna såväl regelbundna som intensiva. Bankernas säkerhets- respektive revisionsansvariga träffas till exempel regelbundet.

– Eftersom vi är ihopkopplade i ett gemensamt clearingsystem är det nödvändigt att alla håller samma höga säkerhetsnivå, berättar Gunnar Karlsson som är chef för ADB-revisionen på SE-Banken.

Bankverksamhet av idag är synonymt med datorer. En modern bank skulle stå sig slätt utan ADB-stöd. När ett system skapas inom en bank är det nödvändigt att specificera de bästa av säkerhetsanordningar som bland annat ska göra det omöjligt för obehöriga att få tillgång till den information som finns lagrad i systemet.

Säkerhetskrav ökar

I takt med att systemen blir allt mer avancerade och komplicerade ökar kravet på samordning och säkerhet. Det är här som ADB-revisorerna kommer in. De utvärderar systemens säkerhet och integritet, från utvecklingsstadiet och framåt.

ADB-revisorer, en yrkesgrupp som i vårt land uppgår till omkring 300 personer, har funnits sedan sjuttiotalet. Föregångslandet framför andra är USA, där detta yrke har närmare trettio år på nacken. ADB-revisorns uppgift är att granska utveckling, skötsel, drift, underhåll samt skydd av information.

– En av de frågor som vi ska hjälpa till att besvara är om lagrad information är ändamålsenlig, korrekt och skyddad, förklarar Bo Billström från Handelsbanken. Vi tittar alltså på rutiner snarare än siffror.

Gunnar Karlsson och Bo Billström ingår båda i den fyra personer starka arbetsgrupp som utarbetat den för bankerna gemensamma standarden för ADB-revision. Det var för ett drygt år sedan som SE-Banken, Handelsbanken, Nordbanken och Gota Bank beslutade att utarbeta gemensamma riktlinjer.

Arbetsgruppen har nu slutfört sitt arbete och resultatet är godkänt av de fyra bankernas revisionschefer. På frågan om varför det egentligen behövs en gemensam standard pekar Nordbankens representant i arbetsgruppen, Kerstin Fredén, bland annat på utbildnings- och samordningsfrågor.

– Det är angeläget att skapa en generell bas för ADB-revision i bank så att vi kan prata samma språk. Idag används olika termer för samma arbetsmoment, vilket kan leda till begreppsförvirring.

Nya utmaningar

Gruppens förslag till bankstandard bygger bland annat på Vallabhanenis Information Systems Audit Process och EDPAA Control Objectives. EDPAA står för The EDP Auditors Association och denna organisation har skapat en öppen standard inom området.

Det är dessa ramverk som har brutits ner för att passa våra svenska banker. Man har även tagit hänsyn till såväl bankernas som externa revisionsbyråers nuvarande rutiner och arbetssätt. Tanken är nu att de nya riktlinjerna ska provas under 1991.

Passa egna företaget

– Varje bank måste dock vidareutveckla denna standard för att det ska passa den egna organisationen, förklarar Gunnar Karlsson vidare. Detta är nödvändigt eftersom bankernas datastrategier och val av teknik skiljer sig.

ADB-revisionen är sammanlänkad med såväl ”traditionell” ekonomisk revision som bankernas säkerhetsfunktion. Revisionen är ett komplement till de åtgärder som syftar till att höja nivån på informationssäkerheten.

Nya tekniker för med sig nya utmaningar för ADB-revisorerna. Dagens system bygger i allt högre utsträckning på kommunikation – information skickas mellan bankkontor, avdelningar och datacentraler. Detta ställer krav på exempelvis kryptering.

– Även det faktum att kunder i ökad utsträckning släpps in i våra system ställer högre krav på fullgod säkerhet, säger Christer Gustafsson på Gota Bank.

Det är ADB-revisorns arbete att analysera riskerna och ge förslag till kontrollösningar. För detta krävs det både ekonomiska och datatekniska kunskaper. Dessutom gäller det att alltid hitta en god avvägning mellan skyddsnivå och kostnad.

Hög kvalitet

Inte nog viktigt är det för en ADB-revisor att presentera sitt budskap på ett bra sätt. Vi måste använda termer som alla förstår menar Bo Billström. Frågan är given, betraktas denna yrkesgrupp som en samling ”gnällspikar”?

– Nja, men visst händer det att vi blir betraktade som lite besvärliga, berättar Kerstin Fredén.

Datasäkerhet är förvisso viktigt, men ADB-revisorn tittar också på informationens kvalitet. Duger den som underlag för kundkontakter, affärsbeslut, redovisning samt intern och extern rapportering?

– Alla är självfallet betjänta av säkra system, menar Christer Gustafsson. Bankledning, interna och externa revisorer, Bankinspektionen samt försäkringsbolag har alla samma intresse.

Ett resultat av den nya bankstandarden är att utbildningen underlättas. Från arbetsgruppens sida hoppas man också att den interna acceptansen för revisions- och säkerhetsfrågor ska förbättras.

Just utbildning är ett viktigt område. Denna förhållandevis nya yrkesgrupp kommer att öka i storlek framgent, inte bara banker kommer att behöva hålla sig med någon som på ett kunnigt sätt ser över ADB-systemet.

Per Eriksson