FARs databehandlingskommitté har inom ramen för ett pilotprojekt tagit fram en metodanvisning för hur man kan granska behörighetskontroller i en ”minidatormiljö”.
För att öka förståelsen har metodanvisningen kopplats till en specifik datormiljö. Vi har i detta fall valt IBM System 38. Det bör betonas att valet av datormiljö har skett godtyckligt.
En utgångspunkt har dock varit att välja en miljö som rätt utnyttjad kan erbjuda en relativt god nivå på behörighetskontrollerna.
Metodanvisningen, som omfattar en granskningshandledning och vissa checklistor, kan rekvireras från FARs kansli till självkostnadspris.
Företagen är ofta dåligt skyddade mot att obehöriga kommer åt information i datorsystemen. Det är inte bara de tekniska möjligheterna till kontroll som är bristfälliga, behovet att skydda viktiga data måste också marknadsföras bättre bland de anställda.
Ett företags information lagras och bearbetas i allt väsentligt i olika samverkande datasystem. Informationen används för beslut och åtgärder på alla nivåer. Ofullständig eller felaktig information kan leda till felaktiga beslut och åtgärder som i förlängningen leder till att företaget drabbas av förlust eller annan skada.
De interna kontrollsystemen i företagen ska bl.a. säkerställa att informationen är fullständig och riktig. Ett effektivt dataskydd förstärker den interna kontrollen avsevärt och krävs också för att förhindra att känslig eller konfidentiell information kommer i ”orätta” händer.
Systemen har blivit ”öppnare”
Den i de olika datasystemen lagrade informationen nås via terminaler och dataprogram. Antalet ingångar till de olika datasystemen har ökat kraftigt. Systemen är mer ”öppna”. En starkt bidragande orsak till detta är den ökande användningen av datakommunikation. Terminaler användas för att komma åt data dels via reguljära program, dels via olika typer av ”högnivåspråk”, exempelvis Easytrieve. Det måste finnas bra möjligheter att ”låsa in” informationen i de olika datasystemen och att kontrollera hur informationen används. För detta krävs särskilda behörighetskontroller.
Datorn tar över
Datorn har, i jämförelse med de äldre systemen, övertagit en stor del av det i flera fall så komplicerade och tidsödande rutin- och kontrollarbetet. Många av de olika rutin- och kontrollmomenten utförs numera av funktioner i olika dataprogram. Programmen måste vara korrekta för att de olika bearbetningarna ska fungera så som det är avsett. Den enda praktiska möjligheten att uppnå god säkerhet över programmen är att det finns strikt kontrollerade ingångar till datasystemet. För detta krävs också behörighetskontroller.
Bristande kontroll
När revisorn granskar behörighetskontroller noteras ofta att skyddet mot obehörig åtkomst är otillräckligt eller bristfälligt.
Bristerna har ofta sitt ursprung i att de tekniska möjligheterna till behörighetskontroll är otillräckliga, att existerande möjligheter till kontroll inte utnyttjas på ett fullgott sätt eller att behovet av att skydda företagets information inte ”marknadsförts” tillräckligt tydligt till de anställda.
Revisorn kan ha olika syften med att granska nivån på behörighetskontrollerna. Behörighetskontrollerna kan även granskas som särskilt uppdrag utanför revisionen och en granskning kan göras dels som led i förvaltningsrevisionen, dels som led i granskningen av bolagets årsredovisning. Ambitionsnivån styrs av syftet.
Kräver goda insikter
En fullständig granskning omfattar kartläggning, bedömning och verifiering av regelsystemet, hur olika behörigheter administreras och följs upp samt hur själva behörighetskontrollsystemet används. En fullständig genomgång kräver relativt goda tekniska insikter. En revisor, utan alltför djupa teknikkunskaper, kan ändå göra betydande insatser främst inom delområdena regelverk och administration.
Bör diskuteras mera
Den huvudsakliga slutsatsen av vad som sagts ovan är att behörighetskontroller krävs, åtminstone i de större företagen, och att åtkomstskyddet i företagen måste förbättras. Revisorn bör granska och bedöma styrkan hos behörighetskontrollerna. Han bör också aktivt verka för att behörighetskontrollfrågorna diskuteras mera aktivt och engagerat.