Denna andra ADB-Bulletin från FARs databehandlingskommitté täcker några aktuella ämnen främst inom området datorisering av revisorns arbete. I bulletinen beskrivs också de senaste aktiviteterna inom Bokföringsnämnden för att se över regler för systemdokumentation och behandlingshistorik. Vidare redogörs för skriften ”Säkerhet i persondatorer” från samarbetsgruppen FAR-SDF-IIR och för hur kvaliteten på datorskyddet påverkar revisionen.
En stor del av ett företags organisationsinformation finns endast lagrad i datorn och kan inte framställas utan tillgång till ett fungerande ADB-stöd. Antalet personer som arbetar direkt mot datorn har ökat och ett flertal arbetsuppgifter kan inte utföras utan tillgång till terminaler.
Dagens systemdesign präglas i all väsentlighet av transaktionsstyrda system, som ger användarna tillgång till program, data och bearbetningsresurser direkt via terminal. Terminalerna används för frågor mot registerinnehåll och för ren transaktionsinmatning. Resultatet visas direkt på bildskärmar eller skrivs ut på skrivare som placerats ut i organisationen.
Antalet personer som arbetar mot system via terminal har ökat och ökningen har varit möjlig genom användning av olika datanät, såväl lokala nät som publika. Den ökande mängden datakommunikation, såväl internt som externt i företaget, skapar flera ingångar till systemet, vilket i sin tur ofta leder till fler potentiella användare, såväl behöriga som obehöriga.
Det ökande antalet terminaler ger rätt utnyttjade betydande möjligheter i företagen och har tillkommit främst för att förenkla och effektivisera nuvarande informationsbehandling. Terminalhanteringen är här för att stanna men varken företag eller deras revisorer får blunda för de risker och hot som uppkommer i och med att nätverken expanderas och antalet terminaler och terminalanvändare ökar. Detta och betydelsen av fullständig och tillförlitlig information har inneburit att intresset för dataskyddsfrågor ökat. Data som finns i systemen används för beslut och åtgärder på alla nivåer i företagen. Felaktiga eller ofullständiga data kan därför leda till dåliga beslut eller åtgärder, vilket kan skada företaget/organisationen.
Ett bra dataskydd krävs direkt eller indirekt av lagar och förordningar och är åtminstone i de större företagen en förutsättning för att vi som revisorer skall kunna genomföra en effektiv revisionsinsats. Den självklara konklusionen torde härvid vara att kvaliteten på dataskyddet är av stor betydelse för revisionen och att frågor som rör dataskyddet är ett område av intresse för revisorn.
Dataskydd kan sammantaget sägas vara åtgärder för att förhindra förlust, avslöjande eller förvanskning av data.
Det viktigaste skyddet mot förlust av data är regelbunden säkerhetskopiering. Säkerhetskopiorna måste vara väl skyddade.
Risken för avslöjande av data omfattar dels risken för att data kopieras eller stjäls, dels risken för att data avlyssnas eller avtappas, s.k. läckage. Ett behörighetssystem och lämpligt fysiskt skydd av datamedia ”off-line” minskar risken för att datamedia kopieras eller stjäls. Läckage kan uppkomma vid fel i kommunikationsprocessen eller genom avsiktlig avlyssning eller avtappning i exempelvis telenätet. Kryptering är en teknik som kan användas för att minska risken för läckage. I sammanhanget bör noteras att ett behörighetssystem inte ger något skydd mot att data avlyssnas eller avtappas.
Ett behörighetssystem är en viktig komponent i skyddet mot obehörig förändring/förvanskning och annan åtkomst av data. Ett behörighetssystem är dock inte den enda åtgärd som kan tillgripas. System och rutiner som fyller krav på god intern kontroll bör ge god möjlighet att upptäcka när data förvanskats. Det är därför väsentligt att vi som revisorer aktivt verkar för att de system och rutiner som införs i företag och organisationer verkligen fyller krav på god intern kontroll.
I en artikel i Balans 8/85, Behörighetskontrollerna är ett viktigt led i dataskyddet, presenterades ett antal typfrågor som ansågs som användbara vid granskning av behörighetskontroller. Inom databehandlingskommittén tillmäter vi området stor betydelse och hänvisar till ovannämnda artikel.