Simovits

Likheter mellan granskningar och utredningar

Granskningar och utredningar är centrala begrepp inom säkerhetsbranschen, men begreppen är inte helt entydiga och det kan vara intressant att gå igenom likheter och skillnader mellan dessa uppdrag. När man ser likheterna så blir man normalt också bättre på att utföra respektive uppdrag, men man får också en ökad förståelse för skillnaderna och vad som kräver extra erfarenhet för att klara av.

En granskning är till sin karaktär en kontrollerande undersökning, själva syftet är normalt att avgöra om en verksamhet eller ett system är säkert mot oönskade händelser och att bedöma vilka brister som finns och vilka åtgärder som krävs för att minska de risker som kan förutses. En granskning är ofta styrd av tekniska förutsättningar, typ av verksamhet, förutsägbara risker och krav på säkerhet samtidigt som kraven på sekretess ofta är relativt okomplicerade.

En utredning är till sin karaktär en objektiv faktainsamling rörande en inträffad (eller planerad) händelse i syfte att ge beställaren underlag inför de beslut som händelsen kan kräva. En utredning är ofta styrd av juridiska förutsättningar, både vad avser beställarens skyldigheter att utreda vissa händelser och de inblandade personernas rättigheter samtidigt som kraven på sekretess ofta är relativt komplicerade beroende på om det är ett regelbrott, ett misstänkt bedrägeri eller en möjlig affärshändelse som ska utredas.

Rent generellt är det bättre att vara proaktiv och granska ett system eller en verksamhet innan det händer något oönskat som kräver en utredning. I det senare fallet så tillkommer också ofta extra kostnader och besvär för de parter som drabbats.

Regelverk och standarder

Då ett arbete utförs är det viktigt att känna till vilka regelverk och standarder som ska följas. För en granskning finns ofta specifika regelverk som ska uppfyllas, medan det vid en utredning ofta är viktigt med de legala kraven och de interna förväntningarna på hur uppdraget ska uppfyllas.

En granskning av en verksamhet eller ett IT-system utgår från den verksamhet som bedrivs, de krav som ställs externt och internt på denna verksamhet, de risker som beställaren är beredd att acceptera och de produkter som används. Om det är ett IT system som granskas så finns det ofta en intern informationssäkerhetspolicy och beroende på verksamhet så finns det ett antal externa regelverk som ska följas, exempelvis PCI-DSS för betalningssystem osv. Andra regelverk som kan vara relevanta är exempelvis GDPR, SOX, HIPAA samt motsvarande lagar och förordningar på både internationell och nationell nivå.

Till detta kommer teknisk praxis som listar ett antal punkter som ska kontrolleras, tex behörighetsadministration, intrångsskydd och intrångsdetektering, loggning, säkerhetskopiering, skydd mot skadlig kod, skydd mot avlyssning osv.

Beroende på organisation och verksamhet väljer man normalt ett format på granskningens genomförande och rapportering som är rätt för beställaren och dennes verksamhet. Detta beror också på om beställaren vill använda granskningen för eget bruk, om granskningen har som syfte att påvisa en specifik regelefterlevnad eller om granskningen är ett delunderlag till en extern eller intern revision.

En utredning av en händelse utgår från typen av händelse, kraven inom den jurisdiktion som berörs, de utgångar av händelsen som beställaren bedömer som acceptabla samt de specifika frågeställningar som beställaren önskar besvarade. Ofta så medverkar beställaren löpande i utredningen och det är normalt beställarens egna regelverk och policies som styr hur utredningen ska bedrivas.

De flesta standarder som finns för utredningar gäller antingen en intern utredningsorganisation eller olika former av internationella organisationer och omfattar normalt en administrativ del om hur utredningsorganisationen kan vara utformad och vilka mandat den kan och en mer operativ del som omfattar de egenskaper en god utredning ska ha, exempelvis opartiskhet, grundlighet, noggrannhet, relevans och skyndsamhet (både i betydelsen att utredningen blir klar inom den tid som kan förväntas och att den inte avslutas ofärdig). Till detta kan läggas krav på att utredarna ska vara kompetenta både inom den typ av händelse som ska utredas, den typ av verksamhet som utredningen avser och den typ av organisation som utredningen äger rum inom. Ofta tillgodoses dessa krav genom att olika utredare bidrar med sina specifika kompetenser.

Användning av hypoteser

Både vid granskningar och utredningar används normalt hypoteser, fast på delvis olika sätt.

Vid en granskning så används hypoteser för att kunna besvara frågan om vad som skulle kunna gå fel. Utifrån dessa hypoteser så kontrolleras eller bedöms systemets motståndskraft mot dessa specifika scenarier.

Vid en utredning så används hypoteser för att kunna besvara frågan om vad som kan ha inträffat i det aktuella fallet. Detta gäller även vid en due diligence utredning där motsvarande frågor kan avse vilka dolda omständigheter som redan kan tänkas föreligga. En due diligence utredning kan även avse risker som kan inträffa i samband med ett förvärv, dvs framtida risker. Detta beror givetvis på vilket utredningsuppdrag som beställaren valt.

Hypotesprövning används ofta vid utredningar där man inte är säker på att ett regelbrott inträffat, exempelvis vid utredningar om interna bedrägerier där man ibland bara har en anonym anmälan från en tidigare affärskontakt att gå på. Hypotesprövningen kan då avse typ av bedrägeri, var i organisationen det kan ha inträffat och vilka avdelningar eller personer som kan vara inblandade.

För att kunna använda hypoteser på ett effektivt sätt krävs både för granskningar och utredningar att det finns en framtagen beskrivning av det aktuella systemet eller verksamheten med de flöden som är av intresse.

Hantering av sekretess

Normalt omfattas både granskningar och utredningar av sekretess, exempelvis är de rapporter som framställs oftast att betrakta som konfidentiella.

För granskningar omfattar denna sekretess åtminstone upptäckta och icke åtgärdade brister, avvägningar i skyddet och kvarstående risker. Vid granskningen kan granskaren normalt tala öppet med både användare och administratörer av det granskade systemet eller verksamheten.

För utredningar är sekretessaspekterna mer omfattande. Vid en due diligence granskning inför en affärshändelse så vet ofta inte den personal som berörs exakt vad som kan hända. En oförsiktig utredning med intervjuer av anställda kan både skada den tänkta affären och skapa onödig oro inom den organisation som berörs.

Ett exempel kan vara en utvärdering av en IT organisation där det är tänkt att driftleverantören ska bytas ut, men inget är meddelat om detta till denna berörda personalen. I detta läge är det nödvändigt att ställa frågor som om driften skulle fortsätta normalt, men samtidigt vara beredd på frågor från personalen som kan vara mer eller mindre rakt på sak. Enklast är att skriva ner just de frågor man avser ställa och samtidigt ha tänkt igenom vad man ska svara på eventuella frågor om framtiden. Det enklaste och kanske bästa svaret på hypotetiska frågor är givetvis ”jag vet inte”.

En mer komplicerad utredning kan omfatta misstankar om interna regelbrott eller bedrägerier. Här är sekretessen ännu mer komplicerad eftersom personer som hörs i utredningen inte ska veta vad andra personer har uppgett. Utredaren behöver samtidigt kunna berätta vad utredningen går ut på, men inte i onödan berätta detaljer som kan störa utredningen. Utredaren måste också informera de personer som hörs om betydelsen av att de inte utbyter information inbördes. Detta ska givetvis göras i samråd med uppdragsgivaren/ arbetsgivaren. Likaså måste de personer som hörs informeras om att de inte kan berätta något i förtroende för utredaren som inte beställaren ska få veta.

I vissa lägen vet inte uppdragsgivaren om det begåtts något regelbrott eller om det skett något bedrägeri. Utredningen måste i dessa fall vara mer granskande eller kontrollerande till sin natur, men undvika att nämna om det finns misstankar tills dessa kan bekräftas.

Sekretessen är aven av betydelse för de slutrapporter som skrivs till beställaren. I de fall en utredning avser ett regelbrott som kan leda till en arbetsrättslig eller civilrättslig tvist så ska rapporten vara ren från ovidkommande detaljer, förslag på generella förbättringar eller andra observationer. Detta gäller särskilt om rapporten måste förevisas motparten, lämnas över till domstol eller lämnas över till polis vid en fortsatt brottsutredning.

En viktig aspekt av utredningssekretess är när en utredare genom tidigare arbete har egen kunskap om ett regelbrott som en person begått och vid ett senare tillfälle erbjuds ett uppdrag där samma person kan komma att granskas på nytt i ett annat sammanhang. Sekretessen gentemot den tidigare uppdragsgivaren (som kan ha ingått en förlikning med den berörda personen) kräver då att den tidigare händelsen inte nämns och utredaren blir då tvungen att avstå från det nya uppdraget med hänvisning till intressekonflikt.

Hantering av möten och intervjuer

För både granskningar och utredningar är det viktigt hur möten och intervjuer ska hanteras och redovisas så att uppdraget styrs rätt och att rätt förberedelser görs. Mötena med uppdragsgivaren bestämmer uppdragets inriktning, förväntade resultat samt vilka personer som behöver höras.

En utredning ställer oftast större krav på dokumentation av enskilda intervjuer och undersökningar. Varje intervju kan vara ett eget dokument för att det ska vara möjligt att redovisa vad som sagts utan att behöva lägga hela rapporten på bordet och samtidigt visa upp andra intervjuer.

Beroende på vilken typ av utredning som görs och situationen kan man göra en avstämning med intervjupersonerna att anteckningar blivit rätt. I vissa situationer kan man också låta personerna skriva en egen redogörelse som de signerar. Det som i praktiken är viktigast är att personen som intervjuas vet varför intervjun görs, vilka förhållningsregler som gäller och att man inte ger några löften under intervjun eller lovar någon återkoppling eftersom det alltid är uppdragsgivaren som avgör vilken återkoppling som ska ske.

För varje intervju skriver man ett manus som innehåller de frågor som ska ställas efter att intervjun har förklarats, i vilken ordning frågorna ska ställas och hur de ska formuleras (för att undvika ledande frågor). Till detta ska tillkomma en beredskap att ställa följdfrågor och att hantera frågor och invändningar. Det senare avser främst personer som kan komma att påverkas negativt av utredningen eller befarar att de utreds för någon typ av regelbrott.

Sammanfattning

Orsakas avomfattarkräver
Granskning Nytt system eller ny produktKontroll av installation, anpassningar,
systemflöden, behörigheter och patchningar.

Kontroll mot riskanalys, interna och externa krav och bristhypoteser.
Kunskaper om operativsystem, produkt, bransch och lokal organisation.
Utredning Händelse (anmälan, misstanke)Beslut om händelsen ska utredas,

behov av specifika utredningsåtgärder,

redovisning och återkoppling av utredningen
Kunskaper om granskningar samt utredningsmetodik samt relevanta risker och bedrägerityper

Tabellen är enbart översiktlig och ett tänkt exempel på vad som kan känneteckna en granskning eller utredning.

Referenser

Det standarder och referenser som finns till utredningar finns att köpa på Internet. Några är även publika, men ofta inte helt tillämpliga på den typ av utredningar som oftast är aktuella i våra fall.

ASIS International Investigation Standard kan köpas från ASIS eller ANSI.

Fraud Examiners Handbook kan köpas från Acfe och ett kort utdrag finns att läsa på https://www.acfe.com/uploadedFiles/Shared_Content/Products/Books_and_Manuals/2014INTFEMSample.pdf

Conference of International Investigators (CII) guidelines finns att läsa på http://www.conf-int-investigators.org/uniform-guidelines-for-investigations/

Australian Government Investigation Standards finns att läsa på https://www.ag.gov.au/RightsAndProtections/FOI/Documents/AGIS%202011.pdf