mrnoti 21. arg. MARS 1985 revlsore-n ORGAN FOR NORSK BANKREVISORFORENING o Aulorisasjon o Inlern kontroll i bank o Artikkelprisen 1984 o 8ankinspeksjonens rundskriv 9/84 og V85-5/85
, ~------------~ Formannen har ordet Landskonferanse - et oppl~ringssted for bankrevisorer Revisor Jan KAre Dahl tok opp i forrige nummer av Bankrevisoren (nr. 4/ 84) kvaliteten av undervisningen for bankrevisorer. Jeg synes hans 7 pwlkter bet Viere til ettertanke for enhver foreleser - med eller uten pedagogisk utdannelse /-innsikt. PA bakgrunn av hans artikkel vi! jeg belyse undervisningen / undervisningsformen pa Norsk Bankrevisorforenings landskonferanser fra en annen synsvinkel eon Dahl gj0[ i sin artikkel. Da jeg mener at landskonferansene er et opplil!ringssted for bankrevisorer emsker jeg at fokus rettes pa undervisningen / -formen og konferansetype (storforsarnling kontra blokk-inndeling). Det er noovendig at vi er i takt med tiden dvs. at oppla:!ringen er pedagogisk "riktig" 09 gir de forventede resultater. Jeg tar ikke mal av meg A 9i noe konkret svar men snarere en papekning av sider i problematikken. KONFERl\NSEDELTAKERNE Mange er av den formening, og med rette, at det er beqre A go! i dybden pc! et "lite" omrade / problem enn "springe" over et stort. Til denne uttalelsen er det A si f01gende, til unnskyldning for forelesere p.. NBRF~s navci!rende landskonferanser: Konferansedeltakerne er spredt sammensatt dvs. revisorene revidere utfra forskjellige data-systerner, nyansatte 09 eldre m0tes med forskjellig teoretisk og praktisk bakgrunn, noen [evsiorer er mere "all rounder", neen er mere "spesialister". Dette betyr at foreleserne afte rna "springe" over en forholdsvis stor skala for A belyse omradet / problemene [ra forskjellige sider mht. ovennevnte kriterier. Dette kan selvsakt i mange tilfeller fa betydelige negative konsekvenser for samtlige deltakere, da helheten av undervisningen gjennspeiler den relative "kaotiske" sammensatte forsamling. AIle konferanser er ikke av en slik karakter sam jeg her har beskrevet. Og takk for det III Men probleme~ ligger der og rna derfor s0kes 10st / eliminert til et minimum.
~SE.'lYPE I de senere arene har konferansekomiteen og styret med jevne me!lanran diskutert NBRF's konferanseopplegg mht. type (storforsamling Iik idag eller blokk-inndeling dvs. mindre forsamlinger) Det scm trolig trengs er en gjennomdrgfting av ovennevnte pa generalforsamlingen, fordl foreningens formalsparaqraf (faneparagraf) anhandler cpploring / skolering. De dste 5-10 arene hat NBRF's landskonferanser va!rt avholdt med 70-100 del takere pr. konferanse. Disse konferansene bar stort sett Viert bygget pa enveiskormrunikasjon og gruwew.skusjoner. Dermed er undervisningsformen relativt fastlast og m:xnentene til Dahl bur rettningsgivende for forelesere og arranger.. Sel vsakt er ikke Dahl"s 7 punkter bare gyldig under store forsamlinger men de trer sterkere ftem ved slike arrangementer. Alternative konferansetyper er blokk-inndeling.!)vb. emnene san tas OW bur relativt grundigere belyst pa et mindre anrade for en mindre forsamling hvor det tas st0rre hensyn til teoretisk / praktisk bakgrunn, stor eller liten bank, data-systemer etc. Jeg rna ikke misoppfattes c1it hen at dette vii medf0re bare konferanser for "eliten n Tvert om tas det sikte pa A gi den nutplukkede" forsamling et st0rre utbytte enn tilfelle noen ganger er ved navoerende konferansetype. Blokk-inndelingen vii trolig be~ flere konferanse-emner a velge mellom pr. Ar, fordi de ca. ISO - 200 deltakerne sam korrmer pli. w.re landskonferanser ogsa vii v~re et potensielt antall i Arene som komrner. Om blokk-inndelingen vii bli dyrere eller billigere konferanseform enn navaerende er vanskelig A ha noen klar formening om. Et annet manent i en slik wrdering er det sosiale aspekt. LI!R:l1'G For A se konferansene i et st0rre perspektiv enn bare Wldervisning og konferansemateriale vii jeg peke pa to former for erfaringsl~ring: 1. Organisasjonsicering 2. Meta-l.a:'ring. Ad. L En definisjon: "Organisasjonsl<ering er den proses sam gar ut pa A avdekke og korrigere den viten eller kunnskap organisasjonen besi tter scm virker bransende pa ny ~ring". (Moxnes, P. 1981) Organisasjonen kan her omskrives til revisjonsavdeling / enhet. En organisasjonsl<ering er forskjellig fra en individuell l~ringsproses pa den maten at organisasjonsl~ring bare innbefatter den kunnskap sam er nedfe1t i organisasjonen selv - i dens organisasjonskart sa a si, i dens fi10sofi og retningslinjer, i dens prinsipper for lede1se, persona1forvaltning, opp12ring, korrmunikasjon, osv. Aile enke1tmedlerrmer i organisasjonen kan lofre, m:m bare nar l<eringen nedfeller seg i organisasjonen pa en slik mate at den ogsa blir retningsgivende for organisasjons:ned- 1emrnenes senere handlinger, kan vi snakke an organisasjonsliering. Hvis denne nedfel1ingsprosesen ikke skjer, har medlemmene i organisasjonen 1<ert, men organisasjonen har ikke l<ert. Av >- dette f01ger at det ikke skjer noen organisasjonsl<ering uten at det skjer individuell leering, og at individuell leering er en noovendig, men ikke tilstrekkelig betingelse for organisasjonsla;ring. " #f{n bankrevisoren 1
Ad. 2. En definisjon: "Meta-li!ring er den l<ering san eleven, arbeidstak~ren eller kursdeltakeren erverver Beg av selve pcosesen i den institusjon eller opp~ringssituasjon han beiinner seg i. Meta-la:!ring er en l<:ering ved siden av lzringen, - dvs. de erfaringer man gj0r under den formelle opplrringsprosesen, og san ikke rwdvendigvis har noe med selve pensuin elier det offisielle lzrestoffet a gj0re". (Moxnes, P. 1981) Meta-Izringen representerer hva den san ska! li!re la:rer i tillegg til innholdet i det han ska! L!re. Meta-la:ring har al tsa med sel ve 12ringsformen a gj0re, de problaner den la:rende J!'0ter i lepet av lrringen, selve problanl0silingsprosesen, maten han samarbeider med instrukt0rene, lrererne og sine kursdeltakere pa, etc. Dvs. at en evaluering av en konferanse san ensidig gar pa forelesere og konferansemateriale ikke er tilstrekkelig for a male kursdeltakerens utbytte etter endt konferanse. Til slutt vi! jeg nevne to sitater san belyser deler av erfaringsla:rings "budskap". George Bernhard Shaw: "Den eneste gangen min utdanning hie avbrutt, var da jeg gikk I>I skalen". Mao Tse-Tung: nhvis dere vi! erverve kunnskap rna dere delta i praksis for a for andre virkeligheten. avis dere vil vite hvordan en pa:re snaker, rna dere forandre p::a:en gjennan det a spise den. All ekte kunnskap har sitt utspring i erfaring". Vel matt pa landskonferansene og generalforsamlingen 1985. ~~ 2 bankrevisoren
3S1!. _. '- CD ~ ~ (J) (I)~ C CD C'O C --'z c.n c '- ~< Q) 0 CD (1)= > ~ E ~t{j.- D +-' 0::1 ~ Q) C'O ~~.- > +-' ~ C'O
4 bankrevisoren I INNHOlD I DEllE NUMMER Side 1 Formannen har ordet 7 Autorisasjon - en sak for datasentralene - eller? v/datasikkerhetssjef Erik Christiansen, IDA 21 Semester o~pwave ved BA Delli vi Ann Marit J<er i og loar Kavli, DnC 33 Intern kontroll i bank - orientering om og erfaringer fra Trondhjems og Strindens Sparebank v/revisjonssjef lens M. Gaustad 37 Stopper BA's revisjonslinje opp igjen? v/agel0ken 38 Vurdering av BA'S studiekurs. v/gunnar Kristiansen og Arne Sj0enden 40 Datasikkerhetsmessige tiltak i norsk bankvesen 41 «Revisjonssjefen har ordet». Revisjonsgjennom~a'1 av rutiner i drift pa IDA v/revisjonssjefterje H01 an
Side 44 Bankinspeksjonens rundskriv 9/84 og 1/85-5/85 47 Redakt0ren har ordet 48 Er det «flaut» a vise interesse??? 49 SNUSHANER 51 Vinnere av Artikkelpris 1984 52 Nyttom navn 54 Referat fra styrets dagskonferanse Z des. 1984 61 Nytt fra lokalavdelingene. Bergensavd. Tmndelagsavd. 0stlandsavd. 63 Nye medlemmer bankrevisoren 5
Autorisasjon - en sak for datasentralen - eller? v/datasikkerilelssjef Erik Christiansen, IDA KONTROLLEN SOM FORSVANT Fpr EOB ble innf~rt i bank, hadde enhver sje fullstendig kontroll over sine dat~ AIle arkiver var plassert i avdelingen. ingen pa andre avdelinger kunne rpre arkivene uten at man ble observert. Ogsa innen avdelingen var det forskjell pa hvem som fikk bruke hvilke arkiver. Pategninger og endringer av kontokort og annet materiale var lett kontrollerbare gjennom at man visste hvem som hadde arbeiclet med de angjeldende data den dagen. Denne kontrollen forsvant ved Innfpring av EDB, idet data ble flyttet vekk fra lokalene hvor de ble brukt. Siden har adgangen til data blitt relativt apen, i hvertfall innen hvert bankkonser~ Dette har tiidels vrert en DPdvendighet for a bruke data effektivt, men det medfprer ogsa en risiko for misbru~ Det reiser seg noen interessante spprsmal ut fra denne situasjone~ Kan bankene fa den onskede kontroll tilbak;, og hvordan skal ansvaret fordeles? bankrevisoren 7
TRUSLER MOT DATASIKKERHET I BANK EDB er et utrolig kraftfullt verktpy for a 19se mange oppgaver i bank.. Man kan ikke tenke seg moderne bankvirksomhet uten EDB. Men dessverre er EDE ogsa et meget kraftfullt verkt~)y i hendene pu folk sam matte 9nske ii gj~re ulovlige ting med bankens data. r tillegg e.r EDB ofte et anonymt verktpy. Han kan i darlig kontrollerte systemer, gjpre ulovlige ting uten a gi seg til kjenne. I tillegg til ulovligheter er ogsa mulighetene for feil store. I den daglige drift er mulighetene for feil vel sa store sam am nar noen prpver seg pa a gjpre ulovlige ting. I forbindeise med mulige forbrytelser er en del samfunnstrekk foruroligende. Moralnormene i samfunnet er i ferd med a endres. Lojaliteten til staten og til store institusjonene er i ferd med nesten a forsvinne helt. Skattesvik f.eks. hprer til dagens orden, og er nesten blitt en anerkjent forbrytelse. Spesielt de store bankene vii bli utsatt for at folk oppfatter dem som en stat i staten, som en upersonlig del av samfunnet som ingen taper pa ved at man snyter. Noe av det samme gjelder ogsa en del av bankens store kunder, hvor det er blitt mer og mer vanlig at man skifter eiere og dermed er eierforholdene blitt uklare og lojaliteten synke.r. Forbrytelser for a skaffe penger er blitt mangedoblet pa fa ar. Hittil har for eksempel simpelt tyveri fra boliger vrert en grei mate, men denne metoden innebrerer en del risiko bade ved utfpring av innbruddet, og oar man skal selge varene. EDD derimot, kan sam nevnt vrere ganske risikol st. Idet nesten aile bankens penger ligger sam informasjon pa EDB-anlegget, er den potensielle g7vinst nermest uendelig. 8 bankrevisoren
Foruten en rent pkonomisk vinningsforbrytelse viser erfaring andre steder fra at andre typer brudd p& datasikkerhet kan vere aktuell~ Det gjelder f. eks. pdeleggelser. De mest aktuelle tilfellene har vrert folk som har vert misforn~yd med det stedet de-jobber p& og har vii let hevne seg pa sine arbeidsgivere ved a ~delegge de data som vedkommende er avhengig avo En vanlig mate a gj~re dette pa har ~rt en sakalt logisk bombe, dvs. at en stund etter at vedkommende har sluttet har et program tradt i virksomhet sam systematisk pdelegger data over lengre tid', og til slutt som en hilsen til arbeidsgiveren, skriver ut en utskrift am at na er aile data pdelagt. Fra brukerens organisasjon kan slik ~deleggelse tenkes gjort, via vanlig transaksjon, dvs. bruke systemet pa en i og for seg Iovlig mate, ~en sende inn data som systematisk pdelegger viktige data for brukerens organisasjo~ Det er blitt relativt alminnelig a stjele data eller programmer. Det er mange steder i samfunnet man har interesse av data som ligger i bankenes datasentraler eller desentralt i de enkelte kontorer. Som et underlag for st~rre ~konomiske transaksjoner som f.eks. fusjon av firmaer, er et slikt dataunderlag glimrende. Det ken vise en kono?isk utvikling over lengere tid av de firmaer man er interessert i. Ogsa politisk ytterliggaende krefter i samfunnet vii ha meget stor interesse av disse dataene. Personlig nysgjerrighet kan vere en kilde til ulovligheter. Den enkelte funksjonrer har ikke loy til a unders ke flere data enn det vedkommende skal bruke i sitt arbeid. Her kommer lover og forskrifter inn f.eks. Personvernlovelli Anledning gjpr tyv, heter det. Hvis data om penger ligger apent til slik at enhver kan komme til dem, vii det vere svert fristende Ii benytte seg av info'rmasjon om dataene til a bega konomiske forbrytelser. bankrevisoren 9
SARllARHET Problemer ved et eventuelt tap av penger kan vmre ille. men andre problemer ved brudd pa datasikkerhet, kan kanskje vmre vel sa store og betydningsfulle for bankene. Bankenes renomme, "sikker som.banken", kan fa en alvorlig knekk hvis det viser seg at et tyveri er begatt, og at sikkerhetsforanstaltningene har va:!rt svake. Nyhetsmediaene og palitiske organer vii ogsa forsta a utnytte en slik situasjo~ Det vii vere en lite hyggelig situasjon for den ansvarl1ge bank a bli intervjuet i fjernsynet om manglende sikkerhet i banken. Bankvesenet har i dag en sterk samfunnsmessig stilling, og hensynet til kundene rna veie sterkt. Kunden rna f~le seg sikker nar han plasserer sine penger eller sine fortrolige opplysninger i banken. Kanskje de stprste problemene vii oppsta for de ansatte. La oss tenke ass f9igende sitllasjon. Det er begatt et tyveri av penger ved hjelp av databehandling via terminaler i et kantor, men ingen vet hvem sam har begatt tyveriet fordi man ikke har klare forbindeiser meiiom den enkeite transaksjon og hvem sam fore tar den. De menneskene som derved blir utsatt for uberettiget mistanker i banker, hjemme og blant sin omgangskrets, vii bli utsatt'for en umenneskelig star belastning. Bankens ansatte har krav pa bli beskyttet sa godt som mulig mot dette. Hvor vii forresten revisjonen i bank sta i et tilfelle sam dette, hvis man i revisjonsrapportene ikke har bemerkninger til EDB-systemet. 10 bankrevisoren
AUTORISASJON Na har bankene i Norge og deres datasentraler v~t dyktige til a sikre sine data og sin data be handling. I sa mate ligger man antagelig et stykke f~ran gjennomsnittsbedriftene i Norge. Dette kommer av at man i banksammenheng har flere lover og forskrifter som regulerer sikkerheten i bankvesenet, og at bankvesenet selvsagt har innsett sin egen utsatte stilling. Det er imidlertid ett omrade hvor man hpr gjpre mer enn det man gj r i dag. Dette omradet er autorisasjon. Med autorisasjon mener vi en regulering av den enkeites adgang til a bruke og endre data, og en identifikasjon av den som bruker data. I dagens situasjon er man rimelig dekket i IDA-samarbeidet, men det er klart at dette omradet vii fa Iangt st rre betydning etterhvert. Det viser seg at det er svrert ulikt niva pa losningene av disse problemene i forskjellige databehandlingsmiljoer. BRUKERENS ROLLE For vel to ar siden nsket IDA's brukerbanker en utredning om temaet autorisasjon i bank/ida systemene. Revisjonen var ogsa interessert i a fa et bedre grep pa dette temaet. Et resultat av denne utredningen var at det viste seg at sp rsmalet om autorisasjon i EDB-systemene ikke forst og fremst er av teknisk art, men et sp~rsmal om vedtatte policies og retningslinjer i brukerens organisasjon. bankrevisoren 11
Tidligere EDB-systemer hadde ikke hatt et grunnlag sam var godt nok. Det var lite felles retningslinjer for bankene. Systemene for autorisasjon for de enkelte bankrutiner var dermed blitt forskjellige. Dette var en utvikling som ikke kunne fortsette idet bankenes medarbeidere etterhvert ville matte benytte EDB-rutiner med forskjellige autorisasjonssystemer. Utredningen foreslo at hver bank vedtok en policy for autorisasjon som bygde pa det samme grunnlag. For a fa dette til, ble det laget et forslag i tolv enkle punkter. Det viktigste innholdet av disse er f lgende: Ansvaret for autorisasjon skal f lge bankens operative organisasjon med bankens styre og ledelse sam pverste ansvarlige. Den daglige kontroll og lokale administrasjon skal forega i den enkelte enhet i banken. En sentral funks jon i banken sorger for gjennomforing av retningslinjer og en sentral koordinering. Den enkelte medarbeider er selv ansvarlig for sin personlige identifikasjon og bruken av denne. Medarbeiderne i banken har bare adgang til de data vedkommende har bruk for i sitt arbeide. Brukervennlighet er sterkt understreket. Som man ser, et desentralisert ansvar med en sentral koordinering og stottefunksjon. 12 bankrevisoren
AIle bankene har n! vedtatt a bruke dette som grunnlag for sitt eget arbeid med autorisasjon, og at disse prinsippene skal ligge til grunn for all utvikling av systemer p! IDfu EDB-systemet Man finner ofte at datasentralen tildeler autorisasjon og begrenser brukerens adgang til hans egne data. Eller at datasentralen ~j~per inn et fer dig sikkerhetssystem og at brukeren far beskjed om a bruke dette hvis han vii ha databeskyttelse uansett am det passer brukeren eller ikke. Et EDB-messig autorisasjonssystem rna vrere til for a understptte brukerens gjennomf9ring av et vedtatt autorisasjonsmpnster. Derfor stilles det spesielle krav til et slikt syste~ For a lage et EDB-system som brukerens organisasjon kan ha den fulle nytte av, trengs en gjennomgaende arkitektur. Denne arkitekturen benyttes bade til de fprste enkle systemer og for videre utvikling slik at man hele tiden vet i hvilken s8r.l1:lenhe1lg man lacer deler av systemet. bankrevisoren 13
r-------~,~,r_------_. SLUTTBRUI{ERS SYSTEM DESENTRALT TILDELING.S - SYSTEM '\ " \ ~,ml SYSTEM I J. ~..- '" I t SENTRALT.ADH1N1STRASJONS-1 SYSTEM I Den modell IDA arbeider stter er delt i fire deler: Sluttbrukers system Desentralt tildelingssystem ~~ntralt administrasjonssystern DrL. ssystem m/data Fysisk sett kan ~isse ligge spredt eller sentralt. Man m~ imidlertid ta yare pa sammenhengen mel 10m clem, ref. pilene pa figuren. 14 bankrevisoren
SLUTTBRUKERS SYSTEM Dette er systemet hvor sluttbrukeren identifiserer seg, og hvor han eller hun opplever sperrer hvis man pr~ver A gj~re noe som ikke er tillatt. Det er ogsa i dette systemet.det kan legges inn tjenester for a beskytte brukeren og den brukeridentitet han har arsvaret for. Eksempler pa slike tjenester kan vrere: Det er meget viktig at man kan skifte passord sa ofte man vii i tilfelle man f~ler seg usikker pa om passordet er kjent. Dette ma ha en ~yeblikkelig virkning i systemet. Passord man selv finner pa, er ofte darlige. Idette systemet kan man om onskelig legge inn en maskingenerering av passord. Brukeren far vite nar hans identitet ble brukt sist slik at det kan kontrolleres om andre har rnisbrukt brukeridentifikasjonen. Hvis brukeren har ferie eller er borte fra jobben over en kortere eller Iengre tid, kan det vrere onskelig a ha en mulighet til a stenge sin brukeridentitet i en tidsperiode slik at ingen kan bruke den, selv med et korrekt passord eller n~kkel. Ikke aile disse tjenstene beh ver a vrere aktuelle for aile, og de beh~ver heller ikke vrere operative nar man starter opp systemet. En ting er imidlertid viktig helt fra starten: Sluttbrukerens system ma vrere til pas set vedkommendes arbeidssituasjon. Det rna ikke inneholde EDb-tekniske uttrykk og vrere kornplisert a operere. Det rna ha samme form som de ovrige brukerrettede systemer. bankrevisoren 15
Ennom tiden jkkeek.~is1crtc!eng.." din kontakl mcd banken. Slik at du badd~ lulislendig 0\ ersikl m-er saldo p& alle bedriftens konti-ikkc shk den nlr i gar. men shk den crakknmt ;0.;.\. DII Vllrdn sikker pa a unnga overtrckksilrovisjoner.! tilielll: knnne du ha mulighet for l! flytte penger fra en konlo til ell annen som gil lmyere rente - om sa bare for noen dager. nell a tllpe m ene~tc rcntcdag. Kort ~agt. om dn fikk bott tidcnfor_,inkd~cn_i din kolltakt med banken, h\orof\c kuonc bcdriftcil sp3rc kostnadcr ng h~()r mjc ckslra renter kunnc den tjcnc? -111)"'\1,\"1\1'1-:" '[,\R DEt; RETT 1:->:->1 HllWLI '1,{."11 \ '''E'-8!_D:.'''Y:-TE\l]lli TIDS),IASKJ;\E:\ G1R DEG!!ELT~~~~'!!::!:'!.9.!!~.!.!'~R~~_ ~l.";;"i!\e'" I SEG SEL\ -- ~--~'TRT'7KEi~ OM!1","~" 1981 hadde '-j S)Tt~mn! pr-<l\"dnfl h05 nocn ",,-,ire k\ll\du Na fra nyt\jn,;k,h~i~.1f VI mn, tn bndromlattende prov"runde ErfannKtn~ hlltll crjx>s,t,w_ sj 8:IK.'1 1 m~' "I BETSY '";tr~ 1I1f,Jcnltd'f: [or liltm',h'(" hulnflh Ff~ da ~\,... 1 \,;'if~ kunder ~wme l\lntlle de multghntr.'n ~a leu koil1.lkt mnl \},lnkm!lof En k-:!nwkl h',w I,d~n I()ri,n~d.\e,,-ert'l l,n~'kd"j(l,'!ad'\lll\ S-.'I '!.irl hkt' p~le HI"'! all kc"'l.l'l ",,,,1.,,, ".! 1l",!:O;_:;HOOCn> "g',n.,~i..",,,1 lhr<'iih'u,ii,1 '''"riu~jcn''~l'n, Ir,.,," ir ~ h "",1'~"""~"k,","' '-1 ',,", 1<" BAN KEN "10'" _",,,.c.\ Ib,,-,,"' '" '_" )1,', ~ "db'_ "=_>~,,. K,,,,,.,",_"<,, ''',',',''.' '.\ " \,
DESENTRALT TILDELINGSSYSTEM Tildelingssystemet er avdelingssjefens eller filialsjefens systeub Sjefen bruker dette systemet til A fylle sitt ansvar. OgsA tildelingsansvaret ma-vrere godt tilpasset denne brukerens situasjo~ Et enkelt system uten spar av EDB-teknikk er malet. Filialsjefen eller den sam er bemyndiget til a tildele autorisasjon. er ikke interessert i datasett. data baser og transaksjonskoder. Hans interesser dreier seg om hvem sam har hvilke funksjoner i ba~ken. Derfor ma det desentrale tildelingssystem v~e et system hvor man meget enkelt kan melde personer inn og ut av bankfunksjoner. Ogsa disse operasjoner ma ha en 9yeblikkelig virkning. ellers vii man matte "lane" brukerident1fikasjoner ved uforutsette hendelser som sykdom, ekstra arbeidshjelp, praktikantbes~k og lignende. Det vii po. kort tid undergrave hele autorisasjonssystemet. Hv1s det er aktuelt. kan man etterhvert bygge inn tjenester som: Oversikt over hvem som er autorisert til a ha hvilke funksjoner i banken. En sammenheng med personal eller 19nningsrutinene for a overf9re data eller ha en bedre kontroll med at for eksempel sluttede er utmeldt av systemet. En beskrivelse av de definerte funksjoner i banken for lettere a plass ere medarbe1dere i riktig funks jon. En oppf91ging av am per saner pr9ver a bryte systemets regler. Sluttbrukerens passord skal ikke vrere tilgjengelig, men tildelingssystemet er selvsagt beskyttet med passord eller lignende. bankrevisoren 17
Sentralt administrasjonssystem I hver bank vii det V2re en sentral funks jon sam pa vegne av bankens ledelse og Iinjen, lager regier og instrukser am hva sam er tillatt, og hva sam ikke er tillatt. Vedkommende vii ogsa kontroliere at bestemmeisene blir fulgt opp og hjelpe til ved problemer. I administrasjonssystemet bcr-det derfor V2re tjenester som: Muligheter for definisjon av bankfunksjoner, og tildeling av hvilke data og tjenester funksjonene skal ha adgang til. En mulighet for a gruppere data og tjenester for a forenkle tildelingen. En oversikt over hvordan autorisasjonstildeling praktiseres desentralt slik at uheldig bruk kan korrigeres. Diverse logger for a kunne rekonstruere hendelsesforl p ved problemer. Kontroliverktvy Det sentralc administrasjonsystem kan ogsa tenkes brukt av andre innen organisasjonen som revisor, ledeise eller av dataadministrator. 18 bankrevisoren
DRIFTSSYSTEM Driftssystemet er det systemet som skal til for a fa en tilfredsstillende drift av aile systemer. Det bestar progra~er, prosedyrer, backup etc. Driftssystemet er som navnet sier EDB-driftens syste~ Ovenfor datasentralen er selvsagt data om autorisasjon organisasjonen uvedkommende pa samme mate som aile andre typer data som tilh~rer brukerens organisasjo~ Datasentralen har et klart ansvar for a beskytte data generelt mot deleggelser, holde backup, beskytte mot andre organisasjoner, men ikke a spesifisere hvordan data skal beskyttes innen brukerens egen organisasjon. BEGYUNE ENKELT. Til tross for de utviklingsrouligheter som er skissert foran, er det viktig a begynne enkelt. Autorisasjon er pa samme mate som datasikkerhet generelt, et produkt som er til fordel for banken og den enkelte ansatte. Den ma derfor innf res og bygges,opp slik at man skj nner fordelene og kan dra nytte av dem. I det nye autorisasjonssystemet bar bankene valgt astarte opp med relativt fa av de tjenester som er skissert foran. Man har en meget enkel inndeling i bankfunksjoner og de tilb rende begrensninger. 2-3 grupperinger synes a vrere passe til a begynne med. Utbredelsen av det nye systemet skjer gradvis og kontrollert. Pa denne maten kan man vinne erfaringer og utvikle systemet i takt med behovet til sluttbrukeren og brukerens organisasjon uten at man far f lelsen av a bli patvunget et system. bankrevlsoren 19
OPPS1.lMM~ Kontrollen over data rna tilbake til brukerens organisasjon. Banken ma selv delta aktivt i denne proses sen ved a utforme retningslinjer og fordele ansvar for autorisasjon i sin organisasjon. De EDB-systemer sam skal hjelpe brukeren til a kontrollere sine egne data, rna vrere ekstremt brukervennlige og betjene folgende: Sluttbrukeren som bruker data og tjenester Den lokale sjef som har ansvaret og skal tildele autorisasjon Den sentrale administrasjon som skal gjennomfpre ledelsens beslutninger og retningslinjer. Datasentralens rolle blir foruten a lage og drive systemene. a ta yare pa data ut fra generelle hensyn som datasentralen forvalter. Det er hvordan brukeren og brukerens organisasjon forholder seg til begrepet autorisasjon som teller. EDB-systemet er bare et verktpy til a fa det til a fungere bedrel 20 bankrevisoren
SEMESTEROPPGAVE VED B"A" Iniem revisjon varen1984 BESKRIV IT VIRKELIG MISlIGHITSTIlFEUE I DIN BANK Ann Marit Fjaerli, One. DElli Ioar I<avli, One. INNHOLDSFORTEGNELSE: 1. INNLEDNING s. 1.1 Definisjon 1.2 Forskjellige typer av rnislighet 1.3 Arsaker til mislighet 1.4 Straffetiltak 2. BESKRIVELSE AV GJENNOMF0RT MISLIGHETSTILFELLE 3. KONTROLLER 3.1 Administrasjonens muligheter til a avdekke slike misligheter. 3.1.10rganisasjon 3.1.2 Internkontroll 3.2 Revisjonens muligheter til a avdekke 51 ike misligheter. 3.3 Oppdagelse av rnisligheten. 4. REVISORS ENGASJEMBNT VEO MISLIGHETER. 4.1 Generelt 4.2 Forhindre misligheter 4.3 Oppdage misligheter 4.4 Avklare rnisligheter 2 2 3 6 6 6 7 9 11 12 12 13 13 14 Deli Finnerdu i &nkrevisoren m. 4/84 (julem:.) ~t DElli bankrevisoren 21
3.2 Revisjonens muiigheter til A avdekke slike misligheter. Den intern revisjons arbeidsomrader har v~rt underiagt store endringer i de senere Ar. Idag foretar revisjonen, ihvertfall i de st rre banker, ingen internkontroli. Ansvaret for denne er, som tidligere nevnt, overtatt av administrasjonen. Revisjonen utf rer sine revisjonshandlinger pa stikkpr vebasis. Kontrollhandlingene besternmes ut ifra kontorets etablert internkontroll og de muligheter som finnes for feil innen rutinen. Idag utf res det innen var bank ingen kontroilhandlinger rettet direkte mot misligheter. Pga. den store daglige bilagsmengde innen de fleste rutiner, er det Iiten mulighet for revisj,onen A avdekke forhoid som dette med systemrevisjon. Revisjonen fore tar kontroll med administrasjonens rutine for avsternming av interqe konti (jfr"pkt. 3.1.2). Denne revisjonshandling ble foretatt i ju~i maned, og transakjonen den 14.06 pa kr. 8.500 ble avdekket pa "Forskudd l nn funksjona:rer". Forholdet ble rapportert til ledelsen, og bel pet utlignet mot funksjona:rs konto. Det er uvisst om banksjef tok dette opp med funksjon~ren. I ettertid kan transaksjonen sees i sammenheng med vrige utf rte transaksjoner, da dette muiigens var begynneisen pa fors ket med A dekke inn privat likviditetsmangel. F r revisjonen utarbeider revisjonsprogram skal rutinene og den etablerte internkontroll gjennomgas og vurderes. Dette inneba:rer bl.a. innhenting av orgasisasjonskart og skjema over arbeidsdeling ved kontoret. Det inphentede materiale rna vurderes kritisk av revisor, og svakheter i organisasjonsoppbyggingen rapporteres til ledeisen. Dette har i}tke blitt gjort av revisjon~ i dette tilfe,llet. Kontorets rutine ved t,ildeling av n kkelfunksjoner ble revidert sensornmer, sarnme ar som misligheten ble gjennomf rt. Ved kontrolitidspunktet forela ikke ajourf rt n kkelkart, og dette ble umiddelbart rapportert skriftlig til banksjef sammen med en del andre mangler. 22 bankrevisoren
Denne mislighet skjedde i 1982, og revisjonens kontroll av den etablerte interne kontroll var savidt pabegynt. Saledes var bokholderiets rutiner for bokf~ring ikke kontrollert og vurdert av revisjonen. Revisjonen ble pa flere rutiner gjennomf~rt etter midlertidige revisjonsprogram. Programmene dekket flere punkt av interesse for revisor, dog hle vurderingen av den etablerte interne kontroll ufullstendig/evt. ingen vurderin~ ble gjennomf~rt. Dersom en vurdering hadde blitt gjennomf~rt ville ~ann5yniigvis interne kontrollpunkt blitt fores~att etablert ovenfor administrasjonen. Jfr. pkt. 3.1.2,' hvor det er skissert mulige former for internkontroll. Revisjonskontroller pa disse internkontrollpunkt kunne blitt lagt inn i allerede eksisterende revisjonsprogram, eller egne revisjonsprogram kunne blitt etablert. Som mulighet for revisjonskontroll nevnes bilagsrevisjon, f.eks. en kontroll hvor samtiige bilag i en uke blir vurdert m.h.t. kvalitet, foretatt registrering og gjennomf rte buntavstemmipger. Imidlertid vii denne kontrollhandling, tilsvarende revisjonens ~vrige kontroller, kun bli ~f rt for en liten del av den totale masse med transaksjoner. Dette pga. revisjonens manglende ressurser til a gjennomf re fullstendige kontroller. Det er da heller ikke ~ensikten at revisjonens arbeide skal bli en del av internkontrollen.- Var funksjon~r innehadde tillitsverv sam kasserer i en interesse organisasjon. Dette tillitsvervet var revisjonen ikke oppmerksom pa, da det ikke forela skriftlig notat om dette i banken som var forelagt for r~visor. Revisjonen foretar kontroll av innskuddskonti, bl.a. med kontroll av disponent. Kassererfunksjonen kunne blitt oppdaget pa denne mate, imidlertid kontrolleres kun en liten andel av den totale innskuddsmasse. Revisjonen var saledes ikke oppmerksom pa dette forhold. bankrevisoren 23
3.3 Oppdaqelse av misligheten Det beskrevne misiighetstiifelle~ ble f rst avdekket ett~r henvendeise fra kunde. Dette var et m belfirma hvor funksjon~ren et bilag som s~ulle hadde kj pt m bler, og deretter sendt vare betaling for dette. Det gikk 14 dager uten at pengene hadde blitt kreditert konto f r kunden henvendte seg til bankens kontorsjef. Denne informerte banksjef og.stedlig revisor am situasjonen, og henvendeisen ble forelagt funksjonaren. bilaget "tilfeldigvis ll, Han fant og bokf rsel ble fore.tatt ved A belaste funksjon2rens l nnskonto som allerede var overtrukket. Denne henvendeisen, samt kjennskap til funksjonarens konomiske status, f rte til at kontorsj~f og stedlig revisor holdt hans arbeide og konti under oppsikt. Den 3. januar ble de resterende mistenkelige transaksjonen avdekket..stedlig revisor sendte rapport om forholdet til avdelingsrevisor i distriktet. Denne bl~ igjen sendt videre til revisjonssjefen for distriktskontorene. PA bakgrunn av mottatt rapport ga revisjonssjefen beskjed om a avslutte unders kelsen da dette var bailkens ansvar. Bankens administrasjon valgte A ikke foreta ytterligere kontroller rundt funksjonaren og dennes arbeide. Fllnksjon~ren ble innkalt til hovedkontoret for forklaring. Forklaringen ble avgitt f r rapport fra stedlig revisor var utarbeidet, og var noe mangelfull sett ut ifra senere avdekkede forhold. Pga. avgitt forklaring, samt senere avgitt revisjonsrapport, ble funksjon~ren anmodet om A s1 opp sin stilling og sluttet saledes i hanken. Nar man ser den gjennomf rt mislighet i relasjon til den oversikt,de kunnskaper og den till1t funksjon2ren hadde 1 arbeidet, viser dette at han var 1 e~ desperat sitll~sjon. Mulighetene for st rre og vanskeligere oppdagende transaksjoner var absolutt tilstede. Desperasjonen avdekkes i de amat rmessige transaksjonene, hvor reklamasjoner fra kunder ikke ville V2re til a unnga. 24 bankrevisoren