I den sjätte ADB-Bulletinen från FARs databehandlingskommitté beskrivs en del av innehållet i det s.k. IT 4-projektet. Det ges också en kort resumé över var expertsystemen står i dag och hur dessa kan utnyttjas som hjälpmedel i revisorers arbete. Registeranalyser kommer att bli ett stående inslag i revisorns vardag. I två korta inlägg diskuteras problem och möjligheter när det gäller att få tillgång till klienternas data.

Expertsystem vad är det?

Forskare har länge drömt om att skapa datasystem som kan få datorn att tänka som en mänsklig varelse. Forskningsområdet brukar kallas artificiell intelligens (AI). Begreppet AI myntades redan på 50-talet och har alltså existerat i över 30 år.

Forskningen kring AI brukar indelas i olika områden. Bl.a. kan nämnas system för naturliga språk, röstigenkänning, visuell igenkänning samt expertsystem. Om alla dessa områden, exempelvis expertsystem, är en del av artificiell intelligens är omdiskuterat. Allt beroende på hur AI definieras. Låt oss lämna den debatten och i stället koncentrera oss på vad expertsystem är och vad de kan användas till.

Ett expertsystem är vanligen ett datasystem som kan lösa problem, dra slutsatser och lämna råd av hög kvalitet.

Ett expertsystem kan definieras som ett datasystem som använder ett representativt urval av kunskap inom ett särskilt område för att sköta arbetsuppgifter som normalt endast utförs av en expert inom området.

I första hand kan två typer av expertsystem urskiljas: regelbaserade och exempelbaserade system.

Regelbaserade system

Regelbaserade expertsystem bygger på en samling regler som ligger lagrade i en kunskapsdatabas. Att upprätta databasen tar tid. Normalt måste en kunskapsingenjör definiera alla regler och dessutom verifiera att inga regler saknas. Beroende på den aktuella frågeställningen kopplas sedan reglerna samman till svar med hjälp av ett datorprogram för regeltolkning. Regelbaserade system är förmodligen den vanligaste typen av expertsystem.

Exempelbaserade system

I ett exempelbaserat expertsystem (s.k. induktivt system) behöver experten inte på förhand definiera regler inom det aktuella kunskapsområdet. Kunskap uttrycks i stället i form av en rad exempel. Systemet försöker sedan hitta samband mellan nya och tidigare registrerade exempel.

”Skal”

Förutom att köpa färdiga expertsystem inom olika områden kan man också utveckla egna expertsystem genom att köpa ett ”skal”. Detta är en form av halvfabrikat där själva kunskaps- och regelbasen definieras av användaren.

Expertsystem har i dag ett flertal användningsområden och som exempel kan nämnas olika system för rådgivning, diagnos, planering, design och prognoser.

Huruvida expertsystem någonsin kommer att kunna mäta sig med mänsklig bedömning, erfarenhet och kreativitet är en öppen fråga. Klart är dock att betydelsen av den här tekniken och dess utnyttjande inom olika tillämpningsområden i samhället torde öka i rask takt.

Inom revision och närliggande områden finns i dag ett antal expertsystem som utvecklats både av internationella revisionsbyråer och fristående leverantörer. Det finns t.ex. system för internkontrollgenomgångar, ADB-revision, analytisk granskning, revisionsplanering m.m. Dessa system kan i regel köras på en persondator och kommer sannolikt inom en inte alltför avlägsen framtid att vara viktiga komplement för revisorer, skatterådgivare m.fl. i deras dagliga yrkesutövning.

Kommentar

Ett expertsystem ska stödja experten, inte ersätta honom/henne. Låt oss hoppas att så blir fallet även i framtiden. Sist men inte minst måste vi komma ihåg att de råd och funktioner som ett expertsystem kan ge och utföra inte blir bättre än de kunskaper som experten från början matat in.

Datalagen och registeranalys

Vid registeranalys använder externrevisorn datorn som hjälpmedel för att bearbeta, sortera och välja ut information som underlag för bedömning av resultat och ställning. Analysarbetet utförs på dator hos klienten, revisorn eller på servicebyrå.

Personregister

I vissa situationer, bl.a. vid granskning av personalkostnader med hjälp av datorstöd, kommer revisorn i kontakt med vad som i datalagen (1973:289) benämns personregister. Vad är då ett personregister och vad innebär detta för revisorn?

Ett personregister i datalagens mening är ett register eller en förteckning som förs med hjälp av ADB och som innehåller personuppgifter som kan hänföras till den som avses med uppgiften. Exempel på personregister är personalregister och i vissa fall kundregister. Den som inrättar eller för ett personregister måste ha licens, och i vissa fall ett särskilt tillstånd, från Datainspektionen.

Integritet

Alla personregister ska inrättas och föras på ett sådant sätt att inte otillbörligt intrång i registrerads integritet uppkommer. För att tillförsäkra detta ålägger datalagen den registeransvarige, d.v.s. den för vars verksamhet registret förs, ett uttalat ansvar i olika avseenden. Registeransvarig svarar t.ex. för att erforderlig informationssäkerhetsnivå upprätthålls.

Revision

Den registeransvarige har rätt att lämna ut kopia av personregister till revisorn (revisorn har ju för övrigt rätt att erhålla all information som krävs för revisionsarbetet). Bearbetningarna görs inom ramen för klientföretagets licens/tillstånd. Revisorns maskinella bearbetning av ett personregister innebär normalt inte att han blir registeransvarig. Det är i sammanhanget viktigt att notera att revisorn inte får förändra eller lägga till information i personregisterkopian.

Säkerhet

Revisorn måste vid egen bearbetning av personregister, precis som vid övrigt registeranalysarbete, se till att erforderliga säkerhetsåtgärder vidtagits. Detta innebär bl.a. speciella rutiner för:

– Leverans/tillhandahållande av registerkopia till revisorn.

– Säker förvaring av register före, under och efter analysarbetet.

– Återlämnande av registerkopia till registeransvarig sedan arbetet avslutats (alternativt rutiner för att på ett säkert sätt förstöra registerkopia).

De utdata som skapats i analysarbetet utgör revisionsdokumentation och hanteras enligt ordinarie sekretessregler.

Referens

För ytterligare studier beträffande säkerhetsåtgärder vid hantering av personregister rekommenderas Datainspektionens skrift ADB-säkerhet för personregister.

Åtkomst till klienters dataregister

När revisorn beslutat sig för att utnyttja registeranalys i sin granskning måste ett antal specifika åtgärder vidtas. Det gäller att ha klart för sig de steg man behöver ta för att komma åt informationen i ett läsbart format, rätt daterad och till innehållet komplett. I vissa situationer kan detta arbete vara förenat med svårigheter.

Vägen fram mot att slutligen läsa, summera och kategorisera klientens datoriserade register så som man tänkt sig kan alltså bli lång. Motgångarna upplevs vanligen under det första året som man arbetar med detta angreppssätt hos en viss klient.

Målet för revisorn är naturligtvis att så snart som möjligt komma åt relevanta delar av klientens datorlagrade information, exempelvis avseende varulagret. I de flesta fall uppnås detta förhållandevis enkelt genom att man kan enas med klientens personal om ett magnetmedium och ett visst lagringssätt för en kopia av klientens data. I många fall utför revisorn numera sitt analysarbete på en mikrodator av något slag. Själva analysarbetet är i det sammanhanget en uppgift som inte kräver särskilda tekniska kunskaper utöver kännedom om hur man arbetar med den mikrodator programmet skall köras på samt en grundläggande kunskap om själva registeranalysprogrammet.

Nedan diskuteras några av de vägar längs vilka revisorn måste närma sig problemen.

Överföring av data

En mycket vanlig teknik för att överföra information till revisorns dator är att använda magnetmedium. I de flesta fall utnyttjas rullband när informationen kommer från mini- och stordatorer. För mikrodatorer utnyttjas i normalfallet disketter eller något backup-medium. Man kan i vissa fall tänka sig att utnyttja modemförbindelser eller överföring via terminalkopplingar. Valet av medium beror alltså bland annat på vilken datormiljö man har att utgå från och framför allt hur stora register som ska bearbetas av revisorns program.

Ovanpå kraven att få data levererade på ett medium som revisorn kan utnyttja, finns också problemen med att ta ut ”rätt” information från klientens system.

Revisorn måste här noggrant kunna specificera vad han vill ha fram. Bland annat betyder det att han som en del i förberedelserna måste skaffa sig goda kunskaper om vilka register eller databaser som är aktuella för att hämta information ur, postbeskrivningar för dessa, datavolymer, systemets övergripande funktioner och kontroller etc.

Samtal med dataavdelningen

För att arbetet med att föra över information ska lyckas krävs att revisorn kan kommunicera väl med klientens dataavdelning. För större företag finns oftast en särskild avdelning som handhar dessa arbetsuppgifter. Avdelad personal finns också för sådana ändamål som säkerhetskopiering (backup) och överföring av information till rullband eller dylikt.

I mindre företag är det ofta en och samma person som sköter all verksamhet kring datorn. Denna person har inte alltid tillräckliga kunskaper om hur information ska tas fram och levereras till revisorn på önskat sätt. I dessa fall kan man bli tvungen att ta hjälp av programleverantören eller annan konsult.

Det som brukar vara svårast att förklara för dataavdelningen är hur stor vikten är av att informationen i registret som lämnas till revisorn, är korrekt periodiserad. I samband med bokslut vidtas ju en hel del åtgärder som påverkar den utgående balansen. Det kan röra sig om inventeringar, korrigeringar etc. Det gäller då att den kopia som tas av klientens information verkligen är de data som ligger till grund för bokslutet som granskas.

Problemområden

Ett av de klarast identifierade problemområdena i detta sammanhang är just att kommunicera väl med klientens dataavdelning. Oftast är det inte tekniska problem som hindrar revisorn från att komma åt informationen utan mer den process som måste gås igenom för att beskriva och förklara vad vårt angreppssätt går ut på.

Det är naturligtvis så att det revisorn begär är en extraordinär arbetsinsats som ofta sammanfaller med annat tungt arbete som utförs i bokslutstider. Det är därför lätt för personal på dataavdelningen att kanske inte göra sig fullt så tillgängliga som revisorn skulle önska. De har mycket att göra och samtidigt kan de ta till tricket att gömma sig bakom tekniska termer och bortförklaringar fulla av teknikaliteter. En vanlig beskrivning är t.ex. att det i vilket fall som helst inte går att till magnetband läsa ned hela den databas som utnyttjas av klientens system. ”Det är för omfattande och otillgängligt...” Här måste man alltså klargöra för dataavdelningen exakt vilka delar av databasen man behöver, hur informationen ska vara periodiserad och hur data ska lagras på det medium som man kommit överens om. Man behöver också ge noggranna instruktioner om avstämningstotaler m.m.

När revisorn är övertygad om att överföringen är möjlig, baserat på ett gott grundkunnande om datalagring och kännedom om hur klientens system är uppbyggt etc, innebär det oftast inget problem att framföra en beställning till dataavdelningen och få tjänsterna utförda.

Slutsats

Slutsatsen av detta resonemang är att om revisorn på ett enkelt och smidigt sätt ska skaffa sig tillgång till klienternas dataregister krävs att han har nödvändig teknisk kompetens.

Kommer det alltid att vara så här? Nej, i framtiden blir naturligtvis alla typer av dataåtkomst betydligt mycket mer användarvänliga än vad de är i dag. Som vanligt kan det dock vara svårt att sia om när det händer. Tills vidare måste ändå en förhållandevis stor insats göras på det tekniska området för att revisorn skall nå dit han vill.

FARs databehandlingskommitté bevakar IT 4

Vad är IT 4?

IT-programmet omfattar industriella utvecklingsprojekt för dator-, styr- och kommunikationssystem samt dessas basteknologier. Syftet med IT-programmet är att vidmakthålla och stärka den informationsteknologiska kompetensen i Sverige för att minska vårt beroende av omvärlden samt att främja en god användning av informationsteknologin.

Svenska staten och delar av näringslivet finansierar projekten under åren 1988–1990. Målet är att bibehålla en internationell konkurrenskraft på valda nyckelområden. Detta blir en bas för att tillgodogöra sig den internationella teknikutvecklingen på andra områden.

IT-Integritet

För revisorskåren finns ett delprojekt av speciellt intresse att bevaka: Centrum för IT-Integritet.

Projektet syftar till att bedriva forskning, utveckling, utvärdering och utbildning kring informationsteknologisk integritet med tanke på bl.a. verksamhetens organisation och individer.

I programförklaringen pekar man bl.a. på att det behövs en bättre helhetssyn på säkerhetsproblemen i samspelet med informationsteknologi och organisation.

Vidare behöver begreppsapparaten för att bedöma och mäta säkerhetsfunktioner utvecklas och renodlas. Målet för säkerhets- och skyddsarbete måste vara att ur hela organisationens synvinkel skapa ett bra styrsystem. De ska innehålla dataproduktionstillförlitlighet och användningsfunktionalitet som tillsammans bidrar till integritet i hela systemet.

Nedan sammanfattas kort de olika projektområdenas innehåll.

Forskning

Detta grundläggande område syftar främst till att skapa modeller och metoder för att utveckla integritet i informationsteknologin. Inom detta område anlitas även internationell expertis som föreläsare och gästforskare.

Utveckling

Här gäller det att utveckla produkter med utgångspunkt från vad forskningen ger. En tänkbar produkt är en prototyp till expertsystem för diagnos av datasäkerhet. En annan utvecklingsidé är att formalisera metoder för att bedöma och upprätta data- och informationskvalitet hos stora datalager.

Utvärdering

Här ska man formulera och konstruera utvärderings- och mätmetoder för att fastställa nyttan och värdet av forsknings- och utvecklingsresultaten enligt ovan.

Utbildning

En viktig uppgift är att inventera befintligt utbildningsmaterial, såväl inhemskt som internationellt, samt utveckla nytt material. Utbildningsaktiviteterna riktas främst till högskolor för att höja kunskapsnivån och stimulera forskningen inom ämnesområdet. En viktig uppgift är också att göra resultaten allmänt tillgängliga genom seminarier, rapporter och en databas.

Sammanfattning

IT 4-projektet kan uppfattas som ett incitament till svenskt näringsliv och högskolor att ta tillvara och utveckla den kompetens som finns inom informationsteknologiområdet i Sverige. På så sätt bibehålls vår konkurrensförmåga. Helst ska den öka under 90-talet. För landets revisorer innebär satsningen i det ovan beskrivna delprojektet förhoppningsvis att utvärderingen av informationsintegriteten hos våra klienter standardiseras och förenklas genom att hela integritetsfilosofin genomsyrar såväl informationssystemen som organisationerna.

Med ordet ”revisorn” ovan avses i tillämpliga fall den grupp av revisorer som utgör granskningslaget på ett uppdrag. Kompetensen inom ett granskningslag är ju för större uppdrag sammansatt av individer med olika typer av specialistkompetens.

ADB-Bulletinen är en löpande avrapportering från databehandlingskommitténs arbete och ska inte betraktas som rekommendationer eller uttalanden från FAR.