„Nincs informatika-mentes folyamat!”
Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában Oláh Róbert számvevı tanácsos 2013. március 8.
2
Az elıadás témái
–
Miért, mit, hogyan? •
–
Tapasztalatok: •
–
Az IT ellenırzés szerepe, jelentısége és módszerei.
jellemzı hiányosságok, kockázatok.
IT-rendszerek alkalmazása az ellenırzések során: •
mintavételezés,
•
dokumentumok és adatok bekérése és kezelése,
•
elemzések.
2013. március 8.
3
Miért? - Az IT-ellenırzés jelentısége és szerepe Ellenırzött szervezetek informatikai kitettsége nı – Nincs informatika-mentes folyamat, egyre több a papír-mentes folyamat. – A kontrollokat is informatikai rendszerek biztosítják. – Az IT-rendszerek mőködése a feladatellátás minıségét és jogszabályi megfelelıségét is alapvetıen meghatározza. Az IT-rendszerek mérete és összetettsége nı! Az intézmények egyre jobban támaszkodnak olyan rendszerekre, amelyek belsı mőködését egyre kevésbé (lényegében nem) látják át! – A komplex informatikai rendszerek megfelelısége, adatainak megbízhatósága csak speciális ellenırzési eljárások alkalmazásával ítélhetı meg.
2013. március 8.
4
Miért? - Az IT-ellenırzés jelentısége és szerepe Az IT ellenırzések jelentısége és jellemzıi: – általában az ÁSZ ellenırzések részeként valósulnak meg, azokat kiegészítve; – fontos információkat szolgáltatnak az eredendı és kontroll kockázatok értékeléséhez, így lényegesen befolyásolják az alkalmazandó ellenırzési eljárásokat; – megállapításaik általában az ÁSZ jelentésekben önállóan is megjelennek; – a „könyvvizsgálati jellegő” ellenırzéseken túl fontos szerepet kapnak még a rendszerellenırzések és a teljesítményellenırzések során is; – megjelennek a megfelelıségi, eredményességi és hatékonysági szempontok is; – több szervezetet érintenek, így kiterjednek az együttmőködési, illetve irányítási feladatok értékelésére is. 2013. március 8.
5
Mit? - IT ellenırzés fókuszterületei Ellenırzési típus
Jellemzı ellenırzési kérdések
Pénzügyi-szabályszerőségi - Megbízhatóak-e a vizsgált informatikai rendszer ellenırzés adatai? Rendszerellenırzés
- A vizsgált információs rendszer mőködése megfelel-e a vonatkozó jogszabályi elıírásoknak? - Az informatikai rendszer által biztosított funkciók és kontrollok biztosítják-e a szakmai célkitőzések teljesülését? - Az informatikai terület mőködése megfelelıen támogatja-e a szervezet feladatainak ellátását és a szervezeti célok megvalósulását?
Teljesítményellenırzés
- Informatikai fejlesztések esetén: az elıkészítés, tervezés és végrehajtás során alkalmazott kontrollok biztosították-e a kitőzött célok teljesülését, az idı- és erıforrás keretek betartását?
2013. március 8.
6
Hogyan? - Szabályozási és módszertani keretek Jogszabályi elıírások (általános elıírások): – Adatvédelmi törvény (Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. Törvény). – A minısített adat védelmérıl szóló 2009. évi CLV. Törvény. – Nemzeti adatvagyon védelmérıl szóló törvény (2010. évi CLVII. Törvény).
Jogszabályi elıírások (konkrét követelmények): – Lényegében nincs (Információbiztonságról szóló törvény tervezet).
Hazai ajánlások, standardok: – Közigazgatási Informatikai Bizottság 25. és 28. ajánlásai. – Magyarországi államháztartási belsı kontroll standardok.
Nemzetközi standardok, ajánlások: – ISSAI standardok (IT ellenırzéssel kapcsolatos részei). – ISO standardok: MSZ ISO/IEC 27001:2006 (információbiztonság
irányítási rendszerei, követelmények), MSZ ISO/IEC 17799:2006, MSZ ISO/IEC 15408 (Common Criteria).
– Nemzetközi ajánlások, módszertanok: COBIT, ITIL, PMBOK, Prince 2. 2013. március 8.
Hogyan? - Ellenırzés során alkalmazott módszertanok, útmutatók, eszközök •
7
Módszertan az információs rendszerek kontrolljainak ellenırzéséhez: • • • •
– – – –
nemzetközi standardok alapján kidolgozott módszertan; elsısorban a pénzügyi ellenırzés támogatására (teljesség, sértetlenség, rendelkezésre állás); a teljes ellenırzési folyamatot támogatja (ellenırzés megtervezése, informatikai környezet megismerése, általános IT kontrollok felmérése, alkalmazás kontrollok felmérése); gyakorlatorientált.
Részletes IT kontroll kérdıív (a módszertan alapján). Zárszámadás kontroll tábla informatikai kérdései. Önkormányzati ellenırzések során alkalmazott IT kontroll kérdıív. Korábbi ellenırzések programjai: • • •
tanúsítványok, kérdıívek, kérdés-kritérium-adatforrás táblák.
2013. március 8.
8
Hogyan? - IT kontrollok értékelésének fıbb elemei –
–
– – –
Általános kontroll környezet értékelése (feladatkörök szétválasztása, hozzáférés kontrollok, változáskezelés, külsı szolgáltatók igénybevétele). Alkalmazás kontrollok értékelése, tesztelése: • rendszer által biztosított kontrollok értékelése (adatfeldolgozási lépések, beépített ellenırzések, riportok, adatkapcsolatok); • rendszer adatainak megbízhatóságát biztosító kontrollok, az általános IT kontrollok érvényesülése a vizsgált rendszernél (pl. hozzáférés kontrollok, a tevékenységek nyomon követhetısége); a rendszer mőködési környezetének és feltételeinek értékelése (folyamatos mőködés feltételei, tartalékolás, dokumentáció, rendkívüli helyzetek kezelése); az ellenırzés során a dokumentum alapú vizsgálat mellett hangsúlyt kap a rendszer mőködésének, használatának értékelése is (bejárások, adatbevitelek, feldolgozások végigkövetése); kockázatelemzés alapján kiválasztott kockázatos vagy „szokatlan” tételek ellenırzése.
2013. március 8.
9
Jellemzı hiányosságok és kockázatok – Régen: alapvetı IT szabályozási elemek hiányoztak, ma ez inkább csak a kis szervezetekre jellemzı. – A nagy szervezetek a szabályozási kereteket kidolgozták, de továbbra is jellemzı hiányosság, hogy • • • • • • • •
a szabályozás nem követi a szervezet változásait (pl. fontos feladatok nem létezı szervezeti egységhez rendeltek, fontos pozíciók üresek); a felhasználói hozzáférések karbantartása elmarad (kilépett, ill. külsı fejlesztıi hozzáférések az éles rendszerhez); a külsı szállítók igénybevétele során alkalmazott kontrollok nem megfelelıek; rendszerekhez főzıdı jogok rendezetlenek; a rendszerek nem dokumentáltak; rendkívüli helyzetekre nem készül fel a szervezet; az IT biztonság ellenırzése a gyakorlatban nem megoldott; szervezetek nem megfelelı együttmőködése miatt a folyamatok összehangolatlanok (saját célok).
A hiányosságok jellemzıen nem informatikai, hanem szervezeti, irányítási, szabályozási jellegőek! 2013. március 8.
10
Ellenırzések informatikai támogatottsága
•
• • •
Mintavételezés (IDEA): – „Megállásos” mintavételi eljárás. – Tulajdonság alapú mintavételi eljárások. Ellenırzési dokumentumok rögzítése, megosztása, a kereshetıség biztosítása (VIDOR). Adatelemzések (Excel). Webes, kérdıíves adatgyőjtés és az adatok feldolgozása.
2013. március 8.
11
Köszönöm megtisztelı figyelmüket !
[email protected]
2013. március 8.