Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Átírás

1 Nincs informatika-mentes folyamat! Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában Oláh Róbert számvevı tanácsos

2 Az elıadás témái 2 Miért, mit, hogyan? Az IT ellenırzés szerepe, jelentısége és módszerei. Tapasztalatok: jellemzı hiányosságok, kockázatok. IT-rendszerek alkalmazása az ellenırzések során: mintavételezés, dokumentumok és adatok bekérése és kezelése, elemzések.

3 Miért? - Az IT-ellenırzés jelentısége és szerepe 3 Ellenırzött szervezetek informatikai kitettsége nı Nincs informatika-mentes folyamat, egyre több a papír-mentes folyamat. A kontrollokat is informatikai rendszerek biztosítják. Az IT-rendszerek mőködése a feladatellátás minıségét és jogszabályi megfelelıségét is alapvetıen meghatározza. Az IT-rendszerek mérete és összetettsége nı! Az intézmények egyre jobban támaszkodnak olyan rendszerekre, amelyek belsı mőködését egyre kevésbé (lényegében nem) látják át! A komplex informatikai rendszerek megfelelısége, adatainak megbízhatósága csak speciális ellenırzési eljárások alkalmazásával ítélhetı meg.

4 Miért? - Az IT-ellenırzés jelentısége és szerepe 4 Az IT ellenırzések jelentısége és jellemzıi: általában az ÁSZ ellenırzések részeként valósulnak meg, azokat kiegészítve; fontos információkat szolgáltatnak az eredendı és kontroll kockázatok értékeléséhez, így lényegesen befolyásolják az alkalmazandó ellenırzési eljárásokat; megállapításaik általában az ÁSZ jelentésekben önállóan is megjelennek; a könyvvizsgálati jellegő ellenırzéseken túl fontos szerepet kapnak még a rendszerellenırzések és a teljesítményellenırzések során is; megjelennek a megfelelıségi, eredményességi és hatékonysági szempontok is; több szervezetet érintenek, így kiterjednek az együttmőködési, illetve irányítási feladatok értékelésére is.

5 Mit? - IT ellenırzés fókuszterületei 5 Ellenırzési típus Pénzügyi-szabályszerőségi ellenırzés Rendszerellenırzés Teljesítményellenırzés Jellemzı ellenırzési kérdések - Megbízhatóak-e a vizsgált informatikai rendszer adatai? - A vizsgált információs rendszer mőködése megfelel-e a vonatkozó jogszabályi elıírásoknak? - Az informatikai rendszer által biztosított funkciók és kontrollok biztosítják-e a szakmai célkitőzések teljesülését? - Az informatikai terület mőködése megfelelıen támogatja-e a szervezet feladatainak ellátását és a szervezeti célok megvalósulását? - Informatikai fejlesztések esetén: az elıkészítés, tervezés és végrehajtás során alkalmazott kontrollok biztosították-e a kitőzött célok teljesülését, az idı- és erıforrás keretek betartását?

6 Hogyan? - Szabályozási és módszertani keretek 6 Jogszabályi elıírások (általános elıírások): Adatvédelmi törvény (Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. Törvény). A minısített adat védelmérıl szóló évi CLV. Törvény. Nemzeti adatvagyon védelmérıl szóló törvény (2010. évi CLVII. Törvény). Jogszabályi elıírások (konkrét követelmények): Lényegében nincs (Információbiztonságról szóló törvény tervezet). Hazai ajánlások, standardok: Közigazgatási Informatikai Bizottság 25. és 28. ajánlásai. Magyarországi államháztartási belsı kontroll standardok. Nemzetközi standardok, ajánlások: ISSAI standardok (IT ellenırzéssel kapcsolatos részei). ISO standardok: MSZ ISO/IEC 27001:2006 (információbiztonság irányítási rendszerei, követelmények), MSZ ISO/IEC 17799:2006, MSZ ISO/IEC (Common Criteria). Nemzetközi ajánlások, módszertanok: COBIT, ITIL, PMBOK, Prince 2.

7 Hogyan? - Ellenırzés során alkalmazott módszertanok, útmutatók, eszközök 7 Módszertan az információs rendszerek kontrolljainak ellenırzéséhez: nemzetközi standardok alapján kidolgozott módszertan; elsısorban a pénzügyi ellenırzés támogatására (teljesség, sértetlenség, rendelkezésre állás); a teljes ellenırzési folyamatot támogatja (ellenırzés megtervezése, informatikai környezet megismerése, általános IT kontrollok felmérése, alkalmazás kontrollok felmérése); gyakorlatorientált. Részletes IT kontroll kérdıív (a módszertan alapján). Zárszámadás kontroll tábla informatikai kérdései. Önkormányzati ellenırzések során alkalmazott IT kontroll kérdıív. Korábbi ellenırzések programjai: tanúsítványok, kérdıívek, kérdés-kritérium-adatforrás táblák.

8 Hogyan? - IT kontrollok értékelésének fıbb elemei 8 Általános kontroll környezet értékelése (feladatkörök szétválasztása, hozzáférés kontrollok, változáskezelés, külsı szolgáltatók igénybevétele). Alkalmazás kontrollok értékelése, tesztelése: rendszer által biztosított kontrollok értékelése (adatfeldolgozási lépések, beépített ellenırzések, riportok, adatkapcsolatok); rendszer adatainak megbízhatóságát biztosító kontrollok, az általános IT kontrollok érvényesülése a vizsgált rendszernél (pl. hozzáférés kontrollok, a tevékenységek nyomon követhetısége); a rendszer mőködési környezetének és feltételeinek értékelése (folyamatos mőködés feltételei, tartalékolás, dokumentáció, rendkívüli helyzetek kezelése); az ellenırzés során a dokumentum alapú vizsgálat mellett hangsúlyt kap a rendszer mőködésének, használatának értékelése is (bejárások, adatbevitelek, feldolgozások végigkövetése); kockázatelemzés alapján kiválasztott kockázatos vagy szokatlan tételek ellenırzése.

9 Jellemzı hiányosságok és kockázatok 9 Régen: alapvetı IT szabályozási elemek hiányoztak, ma ez inkább csak a kis szervezetekre jellemzı. A nagy szervezetek a szabályozási kereteket kidolgozták, de továbbra is jellemzı hiányosság, hogy a szabályozás nem követi a szervezet változásait (pl. fontos feladatok nem létezı szervezeti egységhez rendeltek, fontos pozíciók üresek); a felhasználói hozzáférések karbantartása elmarad (kilépett, ill. külsı fejlesztıi hozzáférések az éles rendszerhez); a külsı szállítók igénybevétele során alkalmazott kontrollok nem megfelelıek; rendszerekhez főzıdı jogok rendezetlenek; a rendszerek nem dokumentáltak; rendkívüli helyzetekre nem készül fel a szervezet; az IT biztonság ellenırzése a gyakorlatban nem megoldott; szervezetek nem megfelelı együttmőködése miatt a folyamatok összehangolatlanok (saját célok). A hiányosságok jellemzıen nem informatikai, hanem szervezeti, irányítási, szabályozási jellegőek!

10 Ellenırzések informatikai támogatottsága 10 Mintavételezés (IDEA): Megállásos mintavételi eljárás. Tulajdonság alapú mintavételi eljárások. Ellenırzési dokumentumok rögzítése, megosztása, a kereshetıség biztosítása (VIDOR). Adatelemzések (Excel). Webes, kérdıíves adatgyőjtés és az adatok feldolgozása.

11 11 Köszönöm megtisztelı figyelmüket!