isaca hu cobit 3 auditalasi utmutato
Post on 03-Jul-2015
461 Views
Preview:
TRANSCRIPT
COBIT®
3. kiadás
Auditálási Útmutató
2000. július
A COBIT Irányító Bizottsága és az IT Governance Institute™ gondozásában
A COBIT küldetése:A gazdasági vezetõk és az auditorok napi munkájában használható,
általános érvényû információ-technológiai kontroll célkitûzések hiteles,naprakész, nemzetközileg elfogadott rendszerének kutatása, fejlesztése,
közzététele és terjesztése.
INFORMATION SYSTEMS AUDIT ANDCONTROL ASSOCIATION
Egyedülálló Nemzetközi Forrás az Informatikai Ellenõrzés Területén
Az Information Systems Audit andControl Association(Információrendszer Audit ésKontroll Egyesület) olyanmeghatározó jelentõségû nemzetköziszakmai szervezet, amely több mint100 ország szakembereit tömöríti,az információ-technológia mindenszintjén - felsõ- és közép-vezetõketvalamint gyakorló szakembereketegyaránt. Az Egyesület pozíciójábóleredõen egyedülálló szerepet tölt beaz informatikai ellenõrzésiszabványok harmonizációjában.Más pénzügyi, számviteli,ellenõrzési és informatikaicsoportokkal kialakított stratégiaiegyüttmûködésének köszönhetõenegyedülálló módon képes összefogniaz üzleti folyamatok irányításábanérdekelt feleket.
Az Egyesület Programjai és SzolgáltatásaiAz Egyesület magas színvonalúprogramokat és szolgáltatásokatkínál a nemzetközi szakképesítés, aszabványok, a továbbképzés és aszakmai kiadványok terén:• Szakképesítési programja (a
Certified Information SystemsAuditor™ - Oklevelesinformációrendszer auditor)képzés az egyetlen olyan, amelynemzetközi képesítést nyújt azinformatikai kontroll ésellenõrzés területén.
• Az Egyesület által kidolgozottnemzetközi szabványok azinformatika területéhez
kapcsolódó auditálási és kontrolleljárások minõségi mércéjekéntszolgálnak.
• Továbbképzõ programjaikeretében szakmai és vezetõikonferenciákat ésszemináriumokat szervez a világöt földrészén, így segítve azt,hogy a szakemberek a világminden részén magas szintûtovábbképzésben részesüljenek.
• Szakmai kiadványai hivatkozásiforrásként és kutatási anyagkéntszolgálnak, tovább növelve akülönbözõ programok ésszolgáltatások értékét.
Az Information Systems Audit andControl Association 1969-benalakult meg azzal a céllal, hogykielégítse az akkor feltörekvõinformatikai ágazat egyedi, sokrétûés magas szintû technológiaiigényeit. Az ISACA lépést tart anemzetközi üzleti közösség és azinformatikai szakma igényeinekfejlõdésével.
További InformációkTovábbi felvilágosításért hívja a+1.847.253.1545-ös telefonszámot,írjon e-mail címünkre(research@isaca.org), vagykeressen fel minket az Internet-enaz alábbi oldalakon:
www.Itgovernance.orgwww.isaca.org
AMERICAN SAMOA
ARGENTINA
ARMENIA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLADESH
BARBADOS
BELGIUM
BERMUDA
BOLIVIA
BOTSWANA
BRAZIL
BRITISH VIRGIN ISLANDS
CANADA
CAYMAN ISLANDS
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATIA
CURACAO
CYPRUS
CZECH REPUBLIC
DENMARK
DOMINICAN REPUBLIC
ECUADOR
EGYPT
EL SALVADOR
ESTONIA
FAEROE ISLANDS
FIJI
FINLAND
FRANCE
GERMANY
GHANA
GREECE
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGARY
ICELAND
INDIA
INDONESIA
IRAN
IRELAND
ISRAEL
ITALY
IVORY COAST
JAMAICA
JAPAN
JORDAN
KAZAKHSTAN
KENYA
KOREA
KUWAIT
LATVIA
LEBANON
LICHTENSTEIN
LITHUANIA
LUXEMBURG
MALAYSIA
MALTA
MALAWI
MAURITIUS
MEXICO
NAMIBIA
NEPAL
NETHERLANDS
NEW GUINEA
NEW ZELAND
NICARAGUA
NIGERIA
NORWAY
OMAN
PAKISTAN
PANAMA
PARAGUAY
PERU
PHILIPPINES
POLAND
PORTUGAL
QATAR
RUSSIA
SAUDI ARABIA
SCOTLAND
SEYCHELLES
SINGAPORE
SLOVAK REPUBLIC
SLOVENIA
SOUTH AFRICA
SPAIN
SRI LANKA
ST. KITTS
ST. LUCIA
SWEDEN
SWITZERLAND
TAIWAN
TANZANIA
TASMANIA
THAILAND
TRINIDAD & TOBAGO
TUNESIA
TURKEY
UGANDA
UNITED ARAB EMIRATES
UNITED KINGDOM
UNITED STATES
URUGUAY
VENEZUELA
VIETNAM
WALES
YUGOSLAVIA
ZAMBIA
ZIMBABVE
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 3
Köszönetnyílvánítás 6Összefoglaló Áttekintés 7-10A COBIT Keretrendszer 11-16A Keretrendszer Alapelvei 17-22COBIT Történelem és Elõzmények 23-24Bevezetés az Auditálási Útmutatóhoz 25-30Általános Auditálási Útmutató 31-35Kontroll Célkitûzések - Összesítõ Tábla 36Az Auditálási Útmutató Navigációs Áttekintése 37-38A Kontroll Célkitûzések Közötti Kapcsolatok: 39-44Szakterület, Folyamatok és Kontroll CélkitûzésekAuditálási Útmutató 45
Tervezés és Szervezet ..................................46-102Beszerzés és Rendszermegvalósítás ..........103-137Szolgáltatás és Támogatás .........................139-213Monitorozás ...............................................215-230
I. MellékletAz Informatikai Irányításhoz KapcsolódóVezetõi Útmutató .......................................233-236
II. MellékletA COBIT Projekt Leírás ..............................237-238
III. MellékletElsõdleges COBIT Hivatkozási Források ...239-241
IV. MellékletSzójegyzék ................................................242-243
V. MellékletAz Auditálás Folyamata .............................244-247
Általános auditálási útmutató (kihajtható lap) 249
A kiadók megjegyzéseAz Information Systems Audit and Control Foundation (InformációrendszerAudit és Kontroll Alapítvány), az IT Governance Institute (InformatikaiIrányítási Intézet) és a COBIT: Control Objectives for Information andRelated Technology (Az informatika és a kapcsolódó technológia kontrollcélkitûzései) támogatói elsõsorban azzal a céllal dolgozták ki az Összefoglalóáttekintés, a Keretrendszer, a Kontroll célkitûzések, a Vezetõi útmutató, azAuditálási útmutató és az Implementációs eszköztár elnevezésû kiadványokat(együttesen a ''Termék"), hogy forrásanyagot biztosítnak az irányítási ésellenõrzési szakemberek számára. Az Information Systems Audit and ControlFoundation, az IT Governance Institute és a támogatók nem állítják azt, hogya jelen Termékben leírtak alkalmazása garanciát jelent a sikeres eredményre.A kiadók nem állítják azt, hogy a jelen Termék minden megfelelõ eljárást éstesztet tartalmaz illetve azt, hogy a benne szereplõ eljárásokon és tesztekenkívül más eljárások és tesztek nem hozhatnak hasonló eredményeket. Azegyes konkrét eljárások illetve tesztek megfelelõségének meghatározásakoraz irányítási és ellenõrzési szakembereknek saját szakmai megítélésükalapján kell dönteniük, a konkrét rendszerekre illetve informatikaikörnyezetre vonatkozó kontroll környezet függvényében.
Közzététel és szerzõi jogCopyright © 1996, 1998, 2000 by Information Systems Audit and ControlFoundation (ISACF). A termék kereskedelmi célú kiadásához az ISACFelõzetes írásbeli hozzájárulása szükséges. Az Összefoglaló áttekintés, aKeretrendszer, a Kontroll célkitûzések, a Vezetõi útmutató és azImplementációs eszköztár c. részek nem üzleti célú, belsõ használatra történõmásolása, beleértve azok adatkeresõ rendszerben történõ tárolását ésbármilyen eszközön - elektronikus, mechanikus, hangfelvétel, vagy más -keresztül történõ továbbítását, engedélyezett. Az Összefoglaló áttekintés, aKeretrendszer, a Kontroll célkitûzések, a Vezetõi útmutató és azImplementációs eszköztár részekrõl készített másolatokban az alábbi szerzõijogi nyilatkozatot kell feltüntetni: "Copyright © 1996, 1998, 2000 byInformation Systems Audit and Control Foundation. Az InformationSystems Audit and Control Foundation és az IT Governance Instituteengedélyével."
Az Auditálási útmutató címû rész felhasználása, másolása, reprodukálása,módosítása, terjesztése, adatkeresõ rendszerben történõ tárolása és bármilyenformában, bármilyen eszközön (elektronikus, mechanikus, fénymásolt,hangfelvétel, vagy más) keresztül történõ továbbítása nem engedélyezett azISACF elõzetes írásbeli hozzájárulása nélkül; azzal a kikötéssel, hogy azAuditálási útmutató kizárólag belsõ, nem-kereskedelmi célú felhasználásaengedélyezett. A fentiekben jelzetteken kívül semmilyen más jog illetveengedély nem került átadásra a jelen Termékkel kapcsolatban. A Termékkelkapcsolatos minden jog fenntartva.
Information Systems Audit and Control FoundationIT Governance Institute3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USATelefon: +1.847.253.1545Fax: +1.847.253.1443E-mail: research@isaca.orgInternet: www.ITgovernance.org
www.isaca.org
ISBN 1-893209-12-1 (Auditálási Útmutató)ISBN 1-893209-13-X (a 6 teljes könyv CD ROM-mal együtt)
Készült az Amerikai Egyesült Államokban. Fordították Magyarországon.
TARTALOMJEGYZÉK
4 I T G O V E R N A N C E I N S T I T U T E
Minden alkalommal meglepetéssel tölt el, hogy Magyarországot mindig a fejlõdésélvonalában találom:
• a közép-kelet-európai országok közül elsõként tett jelentõs lépéseket a demokráciafelé - amit mi, nyugat-európaiak, hatalmas érdeklõdéssel figyeltünk,
• a régióból elsõként csatlakozott a nemzetközi pénzügyi rendszerhez - a SWIFTfõfelügyelõjeként e folyamatnak személyesen is részese lehettem, és
• elsõként állt készen arra, hogy a kibõvülõ Európai Unió tagja lehessen.
Most pedig itt egy újabb elsõség: a COBIT magyar nyelvû fordításának megje-lenésével a francia, a japán és a spanyol nyelvû változat elõkelõ társaságában találjamagát.
Többször volt részem abban a megtiszteltetésben, hogy találkozhattam magyar ITirányítási szakemberekkel, auditorokkal - minden esetben örömmel tapasztalvahozzáértésüket és elkötelezettségüket. Ezért nem is ért meglepetésként, amikor aCOBIT magyar fordításról szõtt terveikrõl elõször halottam. Biztos vagyok benne,hogy ez a nagy kihívást jelentõ feladat sikeresen teljesült. Ehhez azonban nem csaknyelvi jártasságra volt szükség (van igazi magyar megfelelõje a "control" szónak?),de elengedhetetlen a COBIT tartalmi vonatkozásainak alapos ismerete is. Nem lévénnyelvész, az elõbbi kérdésben állást foglalni nem tudok, az utóbbit azonban nyugodtszívvel tanúsíthatom; többször tapasztalhattam a COBIT mélyreható ismereténektanúbizonyságát a magyar kollégák részérõl.
Végezetül szeretnék gratulálni mindazoknak, akiknek a közremûködése lehetõvé tettee komoly kihívást jelentõ projekt sikerét.
Erik Guldentops, CISA, CISMelnök, COBIT Irányító Bizottság
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 5
A magyar fordítás az Informatikai és Hírközlés Minisztérium,
a Pénzügyi Szervezetek Állami Fegyülete (PSZÁF),
és a Budapesti Gazdasági Fõiskola támogatásával készült.
A COBIT MAGYAR NYELVÛ VÁLTOZATÁNAK IRÁNYÍTÓ BIZOTTSÁGA:
Borda József PhD, CISANyíry Géza PhDRoóz József PhD
Szakfordítók és lektorok:Borda József, PhD, CISA
Gugyella ZoltánMolnár Bálint, PhD, CISA
Szerényi Imre, CISA
Magyar nyelvû fordítás 1.számú változat
Minden jog fenntartva © ISACA HUNGARY CHAPTER
A COBIT alkalmazával kapcsolatos tapasztalatokat, javaslatokat köszönettel fogadunk,amit az alábbi címre juttathat el: gnyiry@compuserve.com illetve az
Információrendszer Ellenõrök Egyesülete1117 Budapest Karinthy Frigyes u. 17. IV/26-27. címre.
6 I T G O V E R N A N C E I N S T I T U T E
KÖSZÖNETNYILVÁNÍTÁS
COBIT IRÁNYÍTÓ BIZOTTSÁG
Erik Guldentops. S.W.I.F.T. sc. Belgium
John Lainhart, PricewaterhouseCoopers, USA
Eddy Schuermans, PricewaterhouseCoopers, Belgium
John Beveridge, State Auditor's Office, Massachusetts, USA
Michael Donahue, PricewaterhouseCoopers, USA
Gary Hardy, Arthur Andersen, Egyesült Királyság
Ronald Saull, Great-West Life Assurance, London Life And Investors Group, Kanada
Mark Stanley, Sun America Inc., USA
KÜLÖN KÖSZÖNET az Information Systems Audit and Control AssociationIgazgatóságának tagjainak és az Information Systems Audit and Control Foundationvagyonkezelõinek, élükön Paul Williams Nemzetközi Elnökkel, a CobiT irántielkötelezettségükért és folyamatos támogatásukért.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 7
ÖSSZEFOGLALÓ ÁTTEKINTÉS
AA szervezetek sikere és továbbélése szempontjábólkritikus fontosságú az információk és az ahhoz
kapcsolódó információ-technológia (IT) eredményesalkalmazása. Napjaink globális információstársadalmában - ahol az információ az idõ, a távolság ésa sebesség korlátjai nélkül terjed, az alábbi tényezõkmiatt vált rendkívül fontossá az információk hatékonyfeldolgozása:
• a szervezetek egyre nagyobb mértékben függenek azinformációktól és az azokat feldolgozó és továbbítórendszerektõl;
• a szervezetek egyre nagyobb mértékben függenek azinformációktól és az azokat feldolgozó és továbbítórendszerektõl;
• egyre nagyobb mértékû a szervezetek sebezhetõségeés veszélyeztetettsége, a világhálón keresztül megje-lenõ veszélyek és az információs hadviseléskövetkeztében;
• az informatikai beruházások volumene és költségeijelentõs mértékben növekedtek és a jövõben isnövekedni fognak; továbbá
Sok szervezet esetében az információ és az azt támogatótechnológia jelenti a szervezet legértékesebb vagyontár-gyait. Mindezek mellett napjaink verseny-centrikus ésgyorsan változó üzleti környezetében az üzletemberekegyre fokozottabb elvárásokat fogalmaznak meg azinformáció-technológiával szemben: a vezetés magasabbminõséget, funkcionalitást és könnyen használhatószolgáltatásokat, egyre gyorsabb kiszolgálást ésfolyamatosan javuló szolgáltatási színvonalat igényel,ugyanakkor ezeket a célokat sokkal alacsonyabbköltségek mellett kívánja megvalósítani.
Számos szervezet felismeri a technológiaalkalmazásának potenciális elõnyeit. A sikeresszervezetek azonban megértik és kezelik az újtechnológiák bevezetésével járó kockázatokat is.
Számos olyan változás történt az informatikában ésannak mûködési környezetében, amelyek szükségesséteszik az informatikával kapcsolatos kockázatokhatékonyabb kezelését. Az elektronikus információk ésaz informatikai rendszerek jelentõs szerepet játszanak a
kulcsfontosságú üzleti folyamatok támogatásában.Emellett a szabályozási környezet egyre szigorúbbelõírásokat fogalmaz meg az információk kontrolljáravonatkozóan. Ezt a folyamatot az egyre nagyobbszámban napvilágra kerülõ informatikai katasztrófák éselektronikus csalások csak megerõsítik. Az infor-matikához kapcsolódó kockázatok kezelése a vállalat-irányítás kulcsfontosságú részévé vált napjainkra.
A vállalat-irányításon belül egyre jelentõsebbé válik azún. informatikai irányítás. Az informatikai irányítás avállalat-irányítási és ellenõrzési kapcsolatok és eljárásokolyan struktúrájaként határozható meg, amely új értékhozzáadásával, ugyanakkor a kockázatok és az infor-matika által kínált elõnyök együttes mérlegelésévelkívánja megvalósítani a vállalkozás célkitûzéseit. Azinformatikai irányítás meghatározó szerepet játszik avállalat-irányítás sikerességében azáltal, hogyeredményes, hatékony és mérhetõ javulást biztosít akapcsolódó vállalati folyamatokban. Az informatikaiirányítás jelenti azt a struktúrát, amely összekapcsolja azinformatikai folyamatokat, az informatikai erõforrásokatés az információkat a szervezet stratégiájával éscélkitûzéseivel. Emellett az informatikai irányításintegrálja és intézményesíti a tervezésre és szervezetre,a beszerzésre és rendszermegvalósításra, az informatikaiszolgáltatásra és támogatásra, valamint az informatikaiteljesítmény monitorozására vonatkozó követendõ (vagylegjobb) gyakorlatokat annak érdekében, hogy avállalkozás információs- és kapcsolódó technológiáisegítsék a szervezet üzleti célkitûzéseinekmegvalósítását. Az informatikai irányítás tehát lehetõvéteszi a vállalat számára, hogy teljes mértékbenkihasználja a birtokában lévõ információk által kínáltelõnyöket és ezáltal maximális hasznot érjen el, megra-gadja a kínálkozó üzleti lehetõségeket és piaciversenyelõnyhöz jusson.
INFORMATIKAI IRÁNYÍTÁS
A vállalat-irányítási és ellenõrzési kapcsolatok ésfolyamatok olyan struktúrája, amelynek célja az,hogy új érték hozzáadásával, ugyanakkor akockázatok és az informatika által kínált elõnyökegyensúlyának megteremtésével valósítsa meg avállalkozás célkitûzéseit.
8 I T G O V E R N A N C E I N S T I T U T E
Aszervezeteknek az információk kapcsán is, akár-csak a szervezet minden vagyona esetében, figye-
lembe kell venniük bizonyos minõségi, fiduciáris ésbiztonsági követelményeket. A vezetésnek emellettgondoskodnia kell a rendelkezésre álló erõforrások -ideértve az adatokat, az alkalmazási rendszereket, atechnológiát, a létesítményeket és az emberi erõforrá-sokat - optimális kihasználásáról. A fenti feladatok tel-jesítése valamint kitûzött céljai megvalósításaérdekében a vezetésnek tisztában kell lennie saját infor-matikai rendszereinek státuszával és döntenie kell arról,hogy milyen biztonsági és kontroll mechanizmusokatkíván kialakítani.
A COBIT - immár harmadik kiadásában - az üzletikockázatok, a kontroll igények és a technikai jellegûkérdések között húzódó szakadékok áthidalása révénsegítséget nyújt a vezetés sokrétû igényeinek kielégíté-séhez. Az informatikai szakterületeire és folyamatairavonatkozóan bevált gyakorlati megoldásokat kínál,ugyanakkor kezelhetõ és logikus struktúrában mutatjabe a szükséges teendõket. A COBIT által megfogalma-zott "követendõ gyakorlatok" olyan eljárásokat jelen-tenek, amelyek kapcsán konszenzusra jutottak aszakértõk abban, hogy ezek az eljárások segítik azinformatikai beruházások optimalizálását és támpontotnyújtanak annak eldöntéséhez, hogy jól mennek-e adolgok, vagy sem.
A vezetésnek olyan belsõ kontroll rendszert kell kialakí-tania, amely támogatja az üzleti folyamatokat, világosanmeghatározza, hogy az egyes kontroll tevékenységekhogyan járulnak hozzá az információkra vonatkozó kö-vetelmények teljesítéséhez és kihatnak az informatikaierõforrásokra is. Az informatikai rendszerek erõforrás-igényeivel valamint az információk eredményességével,hatékonyságával, titkosságával, sértetlenségével, rendel-kezésre állásával, megfelelõségével és megbízhatóságá-val kapcsolatos üzleti követelményekkel a COBITKeretrendszer része foglalkozik részletesebben. A kont-roll, amely magába foglalja az irányelveket, a szervezetistruktúrát és a gyakorlati eljárásokat is, a vezetés fele-lõsségi körébe tartozik. A vezetésnek kell a vállalat-irá-nyítás keretében gondoskodnia arról, hogy azinformációrendszerek irányításában, használatában, ter-vezésében, fejlesztésében, karbantartásában és üzemel-
tetésében részt vevõ személyek kellõ felelõsséggel jár-janak el. Az informatikai kontroll célkitûzések aztfogalmazzák meg, hogy az egyes konkrét informatikaitevékenységek esetében a kontroll-eljárások alkalmazá-sa révén melyek az elérendõ eredmények, illetve célok.
Az üzleti szemléletmód a COBIT egyik fõ jellemzõje.A COBIT nemcsak a felhasználók és az auditorok
számára készült, hanem, ami talán még ennél is fonto-sabb, átfogó hivatkozási forrásként szolgál a vezetõk ésaz üzleti folyamatok gazdái számára. Napjainkban egy-re elterjedtebb az a szemléletmód, hogy az üzletpolitikarészeként az egyes üzleti folyamatok tulajdonosai teljesfelhatalmazást kapnak, tehát teljes felelõsséggel tartoz-nak az adott üzleti folyamatért, annak minden aspek-tusát beleértve. Ehhez kiemelten hozzátartozik amegfelelõ kontroll mechanizmusok kialakítása is.
A COBIT Keretrendszer eszközt nyújt az üzleti folyama-tokért felelõs vezetõknek a fentebb említett feladataikteljesítéséhez. A Keretrendszer egy egyszerû és pragma-tikus alaptételbõl indul ki:
A szervezeti célkitûzések teljesítéséhez szükséges infor-mációk biztosítása érdekében az informatikai erõfor-rásokat bizonyos természetszerûleg összetartozófolyamatok keretében kell kezelni.
A Keretrendszer minden informatikai folyamathoz egy,azaz összesen 34 magas szintû kontroll célkitûzésmegfogalmazásával folytatódik, mely folyamatok négyszakterületre csoportosulnak: tervezés és szervezet; be-szerzés és rendszermegvalósítás; informatikai szolgál-tatás és támogatás, valamint monitorozás. Ez a struktúraaz információk és az azok feldolgozásához kapcsolódótechnológia minden aspektusát lefedi. A fenti 34 általá-nos kontroll célkitûzés segítségével az üzleti folyama-tokért felelõs vezetõk megfelelõ kontroll rendszertalakíthatnak ki az informatikai környezetre vonatkozó-an.
ACOBIT Keretrendszer ugyanakkor informatikai irá-nyítási útmutatót is kínál. Az informatikai irányítás
biztosítja azt a struktúrát, amely összekapcsolja azinformatikai folyamatokat, az informatikai erõforrá-sokat és az információkat a szervezet stratégiájával és
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 9
célkitûzéseivel. Az informatikai irányítás összehangoljaa tervezés és szervezet, a beszerzés és rendszermegva-lósítás, az informatikai szolgáltatás és támogatás, vala-mint az informatikai teljesítmény monitorozásánakoptimális módjait. Az informatikai irányítás lehetõvé te-szi a vállalat számára, hogy teljes mértékben kihasznál-ja a birtokában lévõ információk által kínált elõnyöketés ezáltal maximális hasznot érjen el, megragadja a kí-nálkozó üzleti lehetõségeket és piaci versenyelõnyhözjusson.
Mindezek mellett a 34 magas szintû kontroll célkitûzésmindegyikéhez kapcsolódóan kidolgozásra került egyAuditálási útmutató is, amelynek segítségével az infor-matikai folyamatok összevethetõk a COBIT által java-solt 318 részletes kontroll célkitûzéssel, a vezetésszámára történõ megerõsítés és/vagy a továbbfejlesz-tésre vonatkozó tanácsadás céljából.
AVezetõi útmutató, a COBIT termék-család legújabbtagja, további segítséget és újabb eszközt nyújt a
vállalatvezetés részére az informatikai irányításhoz kap-csolódó igények és követelmények még hatékonyabbkezeléséhez. Az útmutató, amely tevékenység-központúés általános jellegû, javaslatokat ad a vállalat-vezetés-nek arra vonatkozóan, hogy hogyan alakíthatóak kimegfelelõ kontroll eljárások a vállalkozás informá-ciórendszereire és az azokhoz kapcsolódó folyamatokravonatkozóan, hogyan kísérhetõ figyelemmel a szerveze-ti célok teljesítésének, illetve az egyes informatikaifolyamatok teljesítményének alakulása, és hogyan mér-hetõ külsõ összehasonlítások alapján a szervezetteljesítménye.
A COBIT ún. Érettségi Modelleket kínál az informa-tikai folyamatok kontrolljához, amelyek alapján a veze-tés meg tudja határozni azt, hogy éppen hol tart aszervezet az iparág legjobbjaihoz és a nemzetközi szab-ványokhoz, illetve ahhoz viszonyítva, ahol tartani sze-retne; ún. Kritikus sikertényezõket jelöl meg, amelyekmeghatározzák a vezetés számára az informatikaifolyamatok fölötti és azokon belüli kontroll megvalósí-tásához szükséges legfontosabb végrehajtási irányelve-ket; ún. Kulcsfontosságú célmutatókat kínál, amelyekmeghatározzák azokat a mérõszámokat, amelyek - utó-
lag, a tények nyomán - jelzik a vezetésnek, hogy vala-mely informatikai folyamat megvalósította-e a kitûzöttüzleti célját; továbbá ún. Kulcsfontosságú teljesít-mény-mutatókat is meghatároz, amelyek elõre jelzikazt, hogy valamely informatikai folyamat milyen mér-tékben megfelelõ a kitûzött célok megvalósításaszempontjából.
A COBIT csomaghoz hozzátartozik egy Implementációseszköztár is, amely összefoglalja a COBIT-ot már sikere-sen alkalmazó szervezeteknél összegyûlt tapasztalatoktanulságait. Az implementációs eszköztár két különösenhasznos eszközt tartalmaz a szervezetek informatikaikontroll környezete felmérésének és elemzésének támo-gatására - a Vezetõi tudatosság diagnosztizálását és azInformatikai kontroll diagnosztikát.
Az elkövetkezõ évek során a vezetõknek demonstráltanmagasabb szintû biztonságot és kontrollt kellmegvalósítaniuk . A COBIT olyan eszköz, amely lehetõ-vé teszi a vezetõk számára a kontroll követelmények, atechnikai jellegû kérdések és az üzleti kockázatok kö-zötti szakadékok áthidalását, továbbá azt, hogy kommu-nikálják a kontroll adott szintjét a döntéshozók felé. ACOBIT egyértelmû szabályozás és követendõ IT kontrolleljárások kidolgozását teszi lehetõvé valamennyi szer-vezet számára, a világ minden részén. A COBIT tehátegy olyan úttörõ jelentõségû informatikai irányításieszköz, amely az információkhoz és az információ-technológiához kapcsolódó kockázatok és elõnyökmegértéséhez és kezeléséhez nyújt segítséget.
A COBIT Vezetõi útmutatójában szereplõ ajánlásoktevékenység-központúak és általános jellegûek,amelyek a vezetésnél felmerülõ alábbi típusúkérdések megválaszolásához nyújtanak segítséget:Meddig érdemes elmennünk és indokolják-e aköltségeket az elõnyök? Melyek a jó teljesítménymutatói? Melyek a kritikus sikertényezõk? Milyenkockázatokkal jár az, ha nem sikerül teljesíteni acélkitûzéseket? Mit tesznek mások? Hogyan mérjüka teljesítményünket és hogyan hasonlítsuk azt összemások teljesítményével?
10 I T G O V E R N A N C E I N S T I T U T E
A COBIT ÁLTAL A NÉGY SZAKTERÜLETRE VONATKOZÓANMEGHATÁROZOTT INFORMATIKAI FOLYAMATOK
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 11
A COBIT KERETRENDSZER
A KONTROLL SZÜKSÉGESSÉGE AZ INFORMÁCIÓ-TECHNOLÓGIÁBANAz utóbbi években egyre nyilvánvalóbbá vált, hogyszükség van valamilyen hivatkozási keretrendszerre azinformatikához kapcsolódó biztonsági és kontroll kér-dések terén. A szervezet sikeressége szempontjábólelengedhetetlenül szükséges az, hogy a vállalkozásonbelül minden szinten tisztában legyenek az infor-matikához kapcsolódó kockázatokkal és korlátokkal,mert csak így lehet megfelelõen és hatékonyan teljesí-teni az irányítási és kontroll feladatokat.
A VEZETÉSNEK kell döntenie arról, hogy milyenbefektetéseket érdemes eszközölni az információrend-szerek biztonsága és kontrollja érdekében és arról,hogy hogyan lehet ellensúlyozni a kockázatokat éskontrollálni a befektetéseket egy olyan informatikaikörnyezetben, amelyre gyakran a kiszámíthatatlanságjellemzõ. Bár igaz, hogy az információrendszerekbiztonsága és kontrollja segít a kockázatok kezelésé-ben, nem tudja kiküszöbölni azokat. Mindemellett akockázatok pontos szintjét soha nem lehet megítélni,mert mindig fennáll bizonyos mértékû bizonytalanság.Tehát végsõ soron a vezetésnek arról kell döntenie,hogy milyen kockázati szintet hajlandó elfogadni. Azelviselhetõ kockázati szint megítélése, különösen hamérlegelni kell a kapcsolódó költségeket is, nehéz dön-tési helyzet elé állíthatja a vezetést. Szüksége van tehátegy olyan, az információ-technológiához kapcsolódóáltalánosan elfogadott biztonsági és kontroll célkitûzé-seket meghatározó keretrendszerre, amelynek segít-ségével össze tudja mérni a meglévõ és a tervezettinformációrendszereit.
Az informatikai szolgáltatások FELHASZNÁLÓIszámára is egyre fontosabb szempont az, hogy a belsõilletve külsõ felek által nyújtott informatikai szolgál-tatások akkreditálásán és auditálásán keresztül megerõ-sítést kapjanak arról, hogy a biztonság és a kontrollmegfelelõ. Jelenleg azonban az információrendsze-rekhez kapcsolódó megfelelõ kontroll-funkciók kiala-kítását, legyen szó akár üzleti, non-profit vagykormányzati szervezetekrõl, gyakran akadályozza azezen a területen megfigyelhetõ zûrzavar. Ez a külön-
bözõ értékelési módszerekbõl ered: ITSEC, TCSEC,ISO 9000 értékelések, a kialakuló COSO belsõ kontrollértékelések, stb.. A felhasználóknak tehát elsõ lépés-ként szükségük van egy általános alapra.
Gyakran maguk az AUDITOROK állnak a nemzetkö-zi szabványosítás folyamatának élére, mivel õk napmint nap szembesülnek azzal az igénnyel, hogy a belsõkontrollal kapcsolatos véleményüket alá kell támaszta-niuk valamilyen norma-rendszerre hivatkozva a veze-tés felé. Egy megfelelõ keretrendszer hiányában ezrendkívül nehéz feladat. Emellett a vezetés egyre gyak-rabban kéri fel az auditorokat az információrendszerekbiztonsági és kontroll kérdéseivel kapcsolatos elõzeteskonzultációra és tanácsadásra.
AZ ÜZLETI KÖRNYEZET:VERSENY, VÁLTOZÁS ÉS KÖLTSÉGA globális verseny korszakába léptünk. A szervezetekfolyamatosan racionalizálják mûködésüket, és ezzelegyidejûleg kihasználják az informatika által kínáltelõnyöket versenypozíciójuk javítása érdekében. Aszerkezet-átalakítás, a karcsúsítás, a kiszervezés, a ha-táskörök átruházása, a lelapított szervezet és a megosz-tott feldolgozás mind olyan változások, amelyekbefolyásolják az üzleti és a kormányzati szervezetekmûködésének módját. Ezek a fejlemények alapvetõváltozásokat idéztek elõ - és fognak még elõidézni - aszervezetek vezetési és mûködési kontroll struk-túrájában világszerte.
A költséghatékonyság és a versenyelõnyök kihasználá-sának elõtérbe kerülése nyomán a legtöbb szervezetstratégiájában egyre fontosabb szerepet kap atechnológia. A szervezeti funkciók automatizálása ter-mészetébõl adódóan megköveteli, hogy hatékonyabbkontroll-mechanizmusok kerüljenek beépítésre a szá-mítógépekbe és hálózatokba, mind hardver-, mindszoftver szinten. Mindemellett az ilyen kontroll-mecha-nizmusok alapvetõ strukturális jellemzõi ugyanolyanütemben és ugyanolyan ugrásszerû jelleggel változnakés fejlõdnek, ahogy maga a számítógépes és hálózatitechnológia.
Ebben a gyorsuló változással jellemezhetõ környezet-ben a vezetõk, az informatikai szakemberek és azauditorok csak akkor tudják hatékonyan ellátni felada-taikat, ha ismereteiket állandóan fejlesztve lépést tarta-nak a technológia fejlõdésével és a környezetváltozásaival. Aki megalapozott és prudens értékeléstakar készíteni az üzleti illetve kormányzati szerveze-teknél alkalmazott kontroll eljárásokról, annak tisztá-ban kell lennie a kontroll eljárások technológiájával ésazok változó jellegével.
A VÁLLALAT-IRÁNYÍTÁS ÉS AZ INFORMATIKAI IRÁNYÍTÁS KAPCSOLATANapjaink ún. információs gazdaságában a sikeres válla-latok már nem kezelhetik különálló és egymástólkülönválasztható területekként a vállalat-irányítást ésaz informatikai irányítást. A hatékony vállalat-irányításarra a területre koncentrálja az egyéni és csoportosszaktudást és tapasztalatokat, ahol azok a leghatéko-nyabban hasznosíthatóak, figyelemmel kíséri és méri ateljesítményt és állást foglal a kritikus kérdésekkelkapcsolatban. Az informatika, amelyet régebben a vál-lalati stratégia megvalósítását segítõ eszközként kezel-tek, mára a stratégia elválaszthatatlan részévé vált.
Az informatikai irányítás jelenti azt a struktúrát, amelyösszekapcsolja az informatikai folyamatokat, az infor-matikai erõforrásokat és az információkat a szervezetstratégiájával és célkitûzéseivel. Az informatikai irá-nyítás összehangolja a tervezés és szervezet, a beszer-zés és rendszermegvalósítás, az informatikaiszolgáltatás és támogatás valamint az informatikaiteljesítmény monitorozásának optimális módjait. Azinformatikai irányítás meghatározó szerepet játszik avállalat-irányítás sikerességében azáltal, hogy eredmé-nyes, hatékony és mérhetõ javulást biztosít a kapcsoló-dó vállalati folyamatokban. Az informatikai irányításlehetõvé teszi a vállalat számára, hogy teljes mértékbenkihasználja a birtokában lévõ információk által kínáltelõnyöket és ezáltal maximális hasznot érjen el, megra-gadja a kínálkozó üzleti lehetõségeket és piaci verseny-elõnyhöz jusson.
Ha közelebbrõl megvizsgáljuk a vállalat-irányítás és azinformatikai irányítás egymáshoz való viszonyát, kide-rül, hogy a vállalat-irányítás, vagyis az a rendszer,amely az egyes egységeket irányítja és kontrollálja, be-folyással és hatással van az informatikai irányításra.Ugyanakkor az informatika kritikus inputokat biztosít astratégiai tervekhez és fontos alkotóeleme azoknak. Agyakorlatban az informatika befolyásolhatja a vállalko-zás által meghatározott stratégiai lehetõségeket.
Az üzleti célkitûzések teljesítéséhez a vállalati tevé-kenységek során szükség van az informatikai tevé-kenységekbõl származó információkra. A sikeresszervezetek olyan rendszert alakítanak ki, amely bizto-sítja a stratégiai tervezés és az informatikai tevékeny-ségek egymásrahatását. Az informatikai rendszert úgykell kialakítani, hogy annak segítségével a vállalkozásteljes mértékben ki tudja használni a birtokában lévõinformációk által kínált elõnyöket és ezáltal maximálishasznot tudjon elérni, meg tudja ragadja a kínálkozóüzleti lehetõségeket és piaci versenyelõnyhöz jusson.
12 I T G O V E R N A N C E I N S T I T U T E
A COBIT KERETRENDSZER, folytatás
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 13
A vállalat-irányítást olyan általánosan elfogadott, ún.követendõ (vagy legjobb) gyakorlatok vezérlik, ame-lyek biztosítják azt, hogy a vállalkozás teljesítse céljait- ezek megvalósítását bizonyos kontroll eljárásokgarantálják. A vállalat-irányítás ezekbõl a célokból ki-indulva határozza meg a szükséges vállalati tevékeny-ségeket, a vállalat erõforrásainak felhasználásával. Avállalati tevékenységek eredményeit mérik és értékelik,amelynek alapján folyamatosan módosítják és korrigál-ják a kontroll eljárásokat, újra kezdve ezzel a ciklust.
Az informatikára vonatkozóan is érvényben vannakolyan ún. követendõ (vagy legjobb) gyakorlatok, ame-lyek biztosítják azt, hogy a vállalkozás információi ésaz azokhoz kapcsolódó technológia támogassák az üz-leti célkitûzéseket, az erõforrások hatékony felhaszná-lását és a kockázatok megfelelõ kezelését. Ezek agyakorlatok illetve normák szolgálnak az informatikaitevékenységek irányításának alapjául, amely tevékeny-ségek a tervezés és szervezés, a beszerzés és rendszer-megvalósítás, a szolgáltatás és támogatás, valamint amonitorozás körébe sorolhatók, és kettõs céljuk, hogykezeljék a kockázatokat (biztonságot, megbízhatóságotés a szabályoknak való megfelelést nyújtsanak), és ki-aknázzák az elõnyöket (fokozzák az eredményességetés a hatékonyságot). Az informatikai tevékenységekeredményeirõl jelentéseket készítenek, amelyeket ösz-szevetnek a különbözõ gyakorlatokkal, normákkal éskontroll eljárásokkal, és a ciklus elölrõl kezdõdik újra.
14 I T G O V E R N A N C E I N S T I T U T E
Ahhoz, hogy a vezetés teljesíteni tudja üzleti célkitûzéseit, irányítania kell az informatikai tevékenységeket,megfelelõ egyensúlyt kialakítva a kockázatok kezelése és az elõnyök realizálása között. Ennek érdekében avezetésnek meg kell határoznia a legfontosabb szükséges tevékenységeket, mérnie kell a célok teljesítéseirányában történt elõrelépéseket, és értékelnie kell az informatikai folyamatok teljesítményét. Mindezek melletta vezetés számára szükséges annak lehetõsége is, hogy felmérje a szervezet érettségi szintjét és összevesse azt alegjobb ágazati gyakorlattal és a nemzetközi szabványokkal. A fenti vezetõi igények kielégítéséttámogatandó, a COBIT Vezetõi útmutatója konkrét kritikus sikertényezõket, kulcsfontosságú cél-mutatókat és kulcsfontosságú teljesítmény-mutatókat határoz meg, és bemutat egy, az informatikaiirányításra vonatkozó Érettségi Modellt, az I. Mellékletben foglaltaknak megfelelõen.
A COBIT KERETRENDSZER, folytatás
AZ IGÉNYEK FIGYELEMBE VÉTELEA fentiekben felvázolt állandó változások közepette azinformáció-technológiához kapcsolódó kontroll célki-tûzéseket összefogó COBIT keretrendszer és az erreépülõ folyamatos kutatás alappillérként szolgálnak afolyamatos elõrelépéshez az informatika és az ahhozkapcsolódó technológiák kontrollja területén.
Egyrészrõl tanúi lehettünk olyan általános üzleti kont-roll modellek kifejlesztésének és megjelenésének, mintamilyen a COSO* az Amerikai Egyesült Államokban,a Cadbury az Egyesült Királyságban, a CoCo Kanadá-ban vagy a King Dél-Afrikában. Másrészrõl viszont jónéhány koncentráltabb irányú kontroll modell is kidol-gozásra került az informatika területén. Az utóbbi kate-gória jó példái a Security Code of Conduct DTI modell(Department of Trade and Industry - Kereskedelmi ésIpari Minisztérium, Egyesült Királyság), a CICA(Canadian Institute of Chartered Accountants - Kana-dai Hites Könyvszakértõk Intézete) InformationTechnology Control Guidelines modellje és a SecurityHandbook, NIST (National Institute of Standards andTechnology - Országos Szabványügyi és TechnológiaiIntézet, USA). Ezek a meghatározott célra kifejleszte-tett kontroll modellek azonban nem jelentenek átfogóés használható kontroll modellt az informatikára vonat-kozóan az üzleti folyamatok támogatásának terén. ACOBIT rendeltetése ennek a résnek az áthidalása egyolyan alap megteremtése révén, amely az informatikárafókuszálva szorosan kapcsolódik az üzleti célkitûzé-sekhez.
(A COBIT rendszerhez a legszorosabban a nemrégmegjelent AICPA/CICA SysTrust™ Principles andCriteria for Systems Reliability kapcsolódik. ASysTrust az Egyesült Államokbeli Assurance ServicesExecutive Committee és a kanadai Assurance ServicesDevelopment Board kiadványa, amely részben a COBITKontroll célkitûzések alapján készült. A SysTrust arrakészült, hogy fokozza a menedzsment, az ügyfelek ésaz üzleti partnerek bizalmát az üzletet, vagy bizonyostevékenységeket támogató rendszerek iránt. A SysTrustszolgáltatása azt jelenti, hogy egy hites könyvvizsgálóolyan megerõsítési szolgáltatást nyújt, amelynek soránnégy alapvetõ elv - a rendelkezésre állás, a biztonság,az sértetlenség és a karbantarthatóság - alapján értékeliés teszteli egy rendszer megbízhatóságát).
Az információrendszerek kontrolljával szembentámasztott üzleti követelményekbõl kiindulva, az újon-nan kidolgozott kontroll modellek és nemzetközi szab-ványok alkalmazása révén, az auditorok munkájátsegítõ Kontroll célkitûzésekbõl létrejött a COBIT, mintvezetési eszköz. Ezt követõen az informatikai irányí-táshoz kapcsolódó Vezetõi útmutató kidolgozása révénújabb lépést tett elõre a COBIT. A Vezetõi útmutató kri-tikus sikertényezõket, kulcsfontosságú cél-mutatókat,kulcsfontosságú teljesítmény? mutatókat és érettségimodelleket kínál a vezetésnek, hogy az felmérhesse azinformatikai környezetet és dönthessen a szervezetinformatikája és ahhoz kapcsolódó technológiája felettikontrollok megvalósítása és fejlesztése felõl.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 15
A COBIT projekt fõ célja tehát az, hogy világos irányel-veket és követendõ gyakorlati eljárásokat határozzonmeg az információrendszerek biztonságához és kont-rolljához kapcsolódóan, és elfogadtassa azokat az üzle-ti, kormányzati és szakmai érdekképviseletiszervezetekkel a világ minden részén. Az is fontos cél-ja a projektnek, hogy a fenti kontroll célkitûzéseket azüzleti célkitûzésekbõl és igényekbõl kiindulva határoz-za meg. (Ez igazodik a COSO szemléletmódjához,amely elsõsorban a belsõ kontrollok vezetõi keretrend-szere). Ezt követõen az audit célkitûzésekbõl (a pénz-ügyi információk hitelességének igazolása, a belsõkontroll eljárások hitelesítése, a hatékonyság és ered-ményesség, stb.) kontroll célkitûzések kerültek kidol-gozásra.
A CÉLKÖZÖNSÉG: VEZETÉS, FELHASZNÁLÓK ÉS AUDITOROKA COBIT három elkülönülõ közönség számára készült:
VEZETÉS:segítséget nyújtani a vezetés számára a kockázat és akontrollokra fordított beruházások közötti egyensúlymegteremtésében egy gyakorta kiszámíthatatlan infor-matikai környezetben.
FELHASZNÁLÓK:megerõsítést nyerni a belsõ vagy külsõ szolgáltatók ál-tal nyújtott informatikai szolgáltatások biztonságáról éskontrolljáról.
AUDITOROK:alátámasztani a szakvéleményüket és/vagy a vezetés-nek adott tanácsaikat a belsõ kontrollokra vonatkozóan.
AZ ÜZLETI CÉLOK ELÕTÉRBE ÁLLÍTÁSAA COBIT az üzleti célkitûzésekre irányul. A Kontrollcélkitûzések egyértelmûen és közvetlenül hozzárendel-hetõk különbözõ üzleti célokhoz, így azokat azauditorokon kívül más felhasználói körök is használ-hatják. Az egyes kontroll célkitûzések meghatározásafolyamat-orientált módon történt, az üzleti szerkezetá-talakítás alapelvét követve. A meghatározott szakterü-letekhez és folyamatokhoz kapcsolódóan magas szintûkontroll célkitûzések kerültek megfogalmazásra, annakkifejtésével, hogy azok hogyan kapcsolódnak a külön-bözõ üzleti célokhoz. Emellett magyarázat és útmutatásszolgál az informatikai kontroll célkitûzések definiálá-sához és megvalósításához.
A COBIT Keretrendszerét (Framework) együttesen al-kotják azoknak a szakterületeknek az osztályai, ame-lyekre a magas szintû kontroll célkitûzésekvonatkoznak (szakterületek és folyamatok), az infor-mációra vonatkozó kritériumok az illetõ szakterületesetében, valamint azok az informatikai erõforrások,amelyekre a kontroll célkitûzés elsõdlegesen hat. AKeretrendszer kutatási tevékenységen alapul, amelyneksorán 34 magas szintû, és 318 részletezett kontroll cél-kitûzés került meghatározásra. Az informatikai szakágés az audit szakma egésze számára lehetõvé tették aKeretrendszer felülvizsgálatát, bírálatát és véleménye-zését. A kapott vélemények megfelelõ módon beépítés-re kerültek.
16 I T G O V E R N A N C E I N S T I T U T E
ÁLTALÁNOS DEFINÍCIÓKA projekt során az alábbi definíciók kerültek meghatá-rozásra. A "kontroll" kifejezés definíciójának forrása aCOSO Jelentés (Internal Control - Integrated Frame-work, Committe of Sponsoring Organizations of theTreadway Commission, 1992), az "informatikai kont-roll célkitûzés" definíciójának forrása pedig a SAC je-lentés (System Audibility and Control Report - InternalAuditors Research Foundation, 1991 és 1994)
mindazon szabályok, eljárások,gyakorlati módszerek és szerveze-ti struktúrák, amelyeket arra a cél-ra terveztek, hogy kellõmegerõsítést nyújtsanak arra vo-natkozóan, hogy az üzleti célkitû-zéseket megvalósítják, és a nemkívánatos eseményeket megelõ-zik, vagy felderítik és korrigálják.
egy meghatározott informatikaitevékenység esetében a kontrolleljárások megvalósítása révén el-érendõ eredményre vagy célra vo-natkozó megfogalmazás.
a vállalat-irányítási és ellenõrzésikapcsolatok és folyamatok olyanstruktúrája, amelynek célja az,hogy új érték hozzáadásával,ugyanakkor a kockázatok és azinformatika által kínált elõnyökegyensúlyának megteremtésévelvalósítsa meg a vállalkozáscélkitûzéseit.
Az iinformatikaikontroll ccélkitûzés
definíciója
Az iinformatikaiirányítás
definíciója
A kkontrolldefiníciója
A COBIT KERETRENDSZER, folytatás
Két különbözõ kategóriába lehet besorolni anapjainkban alkalmazott ellenõrzési vagy kontrollmodelleket: az ún. "üzleti kontroll modellek" osztá-lyába (ilyen pl. a COSO) és a "koncentráltabb irányúinformatikai kontroll modellek" osztályába (ilyenpéldául a DTI). A COBIT a kettõ közötti szakadékotkívánja áthidalni. A COBIT tehát egyrészt általánosabbjellegû a fenti informatikai kontroll modelleknél,másrészt többet jelent az informatikai rendszerekértfelelõs vezetõk számára, mint puszta technológiaiszabványcsomag. A COBIT az informatikai irányításmodellje!
A COBIT Keretrendszere arra az alapkoncepcióra épül,hogy az informatika területén a kontroll kérdését azüzleti célkitûzések illetve követelmények teljesítéséhezszükséges információkon keresztül kell megközelíteni,és az információkra úgy kell tekinteni, mint az infor-matikai folyamatok által kezelt erõforrások együttesalkalmazásának eredményére.
Az üzleti célok teljesítése érdekében az informá-cióknak meg kell felelniük bizonyos kritériumoknak,amelyekre a COBIT az információkra vonatkozó üzletikövetelményekként hivatkozik. A követelményekmeghatározásakor a COBIT ötvözi a meglévõ és ismerthivatkozási modellek alapelveit:
MinõségKöltségInformatikai szolgáltatás
A mûködés eredményessége éshatékonyságaAz információk megbízhatóságaA törvényeknek és jogszabá-lyoknak való megfelelés
TitkosságSértetlenségRendelkezésre állás
A minõség kapcsán elsõsorban annak "negatív" aspek-tusaira koncentráltunk (hibamentesség, megbízhatóság,stb.), amelyek nagy részével a sértetlenségi kritérium isfoglalkozik. A minõség pozitív, de kevésbékézzelfogható oldalait (stílus, vonzó tulajdonságok,elvárásokat meghaladó teljesítmény, stb.) egyelõre nemvettük figyelembe az informatikai kontroll célkitûzésekszempontjából. Abból az alapkoncepcióból indultunkki, hogy a legfontosabb prioritás a kockázatok, nempedig a lehetõségek megfelelõ kezelése. A minõséghasználhatóságra vonatkozó aspektusával azeredményességi kritérium foglalkozik. A minõséginformatikai szolgáltatási aspektusa átfedéseket mutat abiztonsági követelmények rendelkezésre állásravonatkozó aspektusával és bizonyos mértékben azeredményességgel és a hatékonysággal is. Végül aköltség kritériummal a hatékonyság is foglalkozik.
A fiduciáris követelmények kapcsán a COBIT nemakarta újra feltalálni a kereket - átvettük a mûködéseredményességére és hatékonyságára, az információkmegbízhatóságára és a jogszabályoknak, illetverendelkezéseknek való megfelelésére vonatkozó COSOdefiníciókat, azzal a különbséggel, hogy az informá-ciók megbízhatósági kritériumát kiterjesztettük mindeninformációra - nemcsak a pénzügyiekre.
A biztonsági követelmények kapcsán a COBIT atitkosságot, a sértetlenséget és a rendelkezésre állástkezeli a legfontosabb kritériumokként - ezt a háromszempontot használják világszerte az informatikaibiztonsági követelmények leírásához.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 17
A KERETRENDSZER ALAPELVEI
Minõségikövetelmények
Fiduciáriskövetelmények(COSO JJelentés)
Biztonságikövetelmények
Az átfogóbb tartalmú minõségi, fiduciáris és biztonságikövetelményekbõl kiindulva hét különbözõ, bizonyosesetekben egymást átfedõ, kategória került meghatáro-zásra. Ezeknek a kategóriáknak a tartalmát az alábbiakszerint definiálja a COBIT:
az információra vonatkozóan aztjelenti, hogy az adott üzleti folya-mat szempontjából fontos-e, aszolgáltatása kellõ idõben, pontos,konzisztens és használható módontörténik-e
az információ elõállítására vonat-kozik, amely az erõforrások opti-mális (a lehetõ legtermelékenyebbés leggazdaságosabb) felhasználá-sával történik.
a kényes tartalmú információjogosulatlan felfedés elleni védel-mére vonatkozik.
az információ pontosságára, tel-jességére, valamint az üzleti érté-keknek és elvárásoknak megfelelõérvényességére vonatkozik.
arra vonatkozik, hogy az infor-máció most és a jövõben rendel-kezésre áll mindenkor, amikor ezaz üzleti folyamathoz szükséges.Érinti továbbá a szükséges erõfor-rások és feltételek védelmét is.
azoknak a törvényeknek, rendele-teknek és szerzõdéses kötelezett-ségeknek a betartásáravonatkozik, amelyek az üzletifolyamatra hatnak; pl. az ún. kül-sõ üzleti kritériumok betartására.
arra vonatkozik, hogy a vezetésszámára megfelelõ információkatnyújtanak a vállalkozás mûködte-téséhez, valamint a pénzügyi és amegfelelõségi jelentési kötelezett-ségeinek teljesítéséhez.
A COBIT keretében meghatározott informatikai erõfor-rások az alábbiak szerint definiálhatók:
a szó legtágabb értelmében vettjelek, amelyek lehetnek struk-turáltak és nem strukturáltak, gra-fikonok, hangfelvételek, stb.
a manuális és programozott eljá-rások összessége.
hardver, operációs rendszerek,adatbázis-kezelõ rendszerek,hálózatok, multimédia, stb.
az információrendszerek elhelye-zéséhez és támogatásához hasz-nált összes erõforrás.
mindazon, a személyzethez kötöttszakértelmet, tudatosságot ésproduktivitást jelenti, amely azinformációrendszerek és szolgál-tatások tervezését, szervezését,beszerzését, szolgáltatását, támo-gatását és monitorozását érintik.
18 I T G O V E R N A N C E I N S T I T U T E
A KERETRENDSZER ALAPELVEI, folytatás
Eredményesség
Hatékonyság
Titkosság
Sértetlenség(integritás)
Rendelkezésre áál-lás
Megfelelõség
Az iinformációmegbízhatósága
Adatok
Alkalmazásirendszerek
Technológia
Létesítmények
Emberek
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 19
A pénzt, illetve tõkét nem soroltuk az informatikaierõforrások közé a kontroll célkitûzések besorolásakapcsán, mivel azt a fenti erõforrások bármelyikénekbiztosításához fel lehet használni. Meg kell azt is je-gyezni, hogy a Keretrendszer nem hivatkozik külön azegyes informatikai folyamatokhoz kapcsolódó összeslényeges kérdés dokumentációjára. A megfelelõ kont-rollhoz nélkülözhetetlen a dokumentáció, ezért az ilyen
leírások hiánya további ellenõrzések és elemzések el-végzését teszi szükségessé minden egyes konkrét vizs-gálati területen.
Az informatikai erõforrások és a szolgáltatások biztosí-tása közötti kapcsolatot egy más szemszögbõl világítjameg az alábbi ábra:
Az információkhoz kapcsolódó üzleti követelményekteljesítése érdekében megfelelõ kontroll intézkedéseketkell kialakítani, bevezetni és fenntartani a fenti erõfor-rásokra vonatkozóan. De vajon hogyan tudnak a szer-
vezetek meggyõzõdni arról, hogy a kapott információkrendelkeznek a szükséges tulajdonságokkal? Ehhezszükséges a Kontroll célkitûzések keretrendszere. Akövetkezõ ábra ezt a koncepciót illusztrálja.
20 I T G O V E R N A N C E I N S T I T U T E
A COBIT Keretrendszer egy átfogó struktúra szerintcsoportosítja az általános szintû Kontroll célkitûzése-ket. A csoportosítás arra az alapkoncepcióra épül, hogyaz informatikai erõforrások felhasználásának irányításakapcsán három szintrõl lehet beszélni. Alul helyezked-nek el azok a tevékenységek és feladatok, amelyek amérhetõ eredmények eléréséhez szükségesek. A tevé-kenységeknek van bizonyos életciklusa, míg a felada-tok sokkal különállóbb jellegûek. Az életciklussal bírótevékenységekhez más kontroll követelményekkapcsolódnak, mint a körülhatárolt feladatokhoz. Kö-zépen helyezkednek el a folyamatok, amelyek olyanösszekapcsolódó tevékenységek és feladatok soroza-tából állnak, amelyekbe természetes ellenõrzési pontokvannak beépítve. A legfelsõ szinten a folyamatok ter-mészetes módon, bizonyos szakterületekre csoportosul-nak. Ez a természetes alapú csoportosítás gyakranfelelõsségi területként ölt formát a szervezeti struk-túrán belül és összhangban áll az informatikai folyama-tokhoz kapcsolódó irányítási ciklussal illetveéletciklussal.
A fogalmi keretrendszert tehát három oldalról lehetmegközelíteni: (1) az információ-kritériumok, (2) azinformatikai erõforrások és (3) az informatikai folya-matok oldaláról. Ezt a három megközelítési oldaltszemlélteti az ún. COBIT Kocka:
A KERETRENDSZER ALAPELVEI, folytatás
A fenti keretrendszerben szereplõ szakterületek meg-határozásakor olyan kifejezéseket igyekeztünk keresni,amelyeket nap mint nap használnak a vezetõk - nemellenõri zsargont. Négy általános szakterületet határoz-tunk meg, nevezetesen az alábbiakat: tervezés és szer-vezet, beszerzés és rendszermegvalósítás, szolgáltatásés támogatás, valamint monitorozás.
A fenti négy általános jellegû szakterület tartalma azalábbiak szerint definiálható:
Ez a szakterület a stratégiát éstaktikát fedi le, és annak megha-tározására vonatkozik, hogy azinformatika milyen módon járul-hat hozzá a legnagyobb mérték-ben az üzleti célkitûzésekmegvalósításához. Ezen túlmenõ-en, a stratégiai jövõkép megvaló-sítását meg kell tervezni,kommunikálni és irányítani kell akülönbözõ perspektívák szerint.Végül, megfelelõ módon felépí-tett szervezet és technológiaiinfrastruktúra létrehozására vanszükség.
Tervezés éésszervezet
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 21
Az informatikai stratégia megva-lósításához informatikai megoldá-sokat kell meghatározni,kifejleszteni vagy beszerezni, il-letve implementálni és integrálniaz üzleti folyamatokba. Ehhez aszakterülethez tartozik továbbá ameglévõ rendszerek változtatásaés karbantartása a rendszerekéletciklusának fenntartása érdeké-ben.
E szakterület az igényelt szolgál-tatások tényleges teljesítésévelfoglalkozik, amely a biztonságraés folytonosságra vonatkozó ha-gyományos mûveletektõl a képzé-sig terjed. A szolgáltatásokellátásához be kell vezetni a szük-séges támogatási folyamatokat.Ehhez a területhez tartozik azadatok tényleges feldolgozása azalkalmazási rendszerekben; ame-lyeket gyakran applikációskontrollokként osztályozzák.
Rendszeresen fel kell mérni vala-mennyi informatikai folyamat mi-nõségét és a kontrollkövetelményeknek való megfele-lõségét. Ezért ez a terület a szer-vezet kontroll folyamatánakvezetõi felügyeletével, valamint abelsõ és külsõ auditok által nyúj-tott, illetve egyéb forrásokból be-szerzett független megerõsítésselfoglalkozik.
Meg kell jegyezni, hogy ezeket a folyamatokat külön-bözõ szinteken lehet alkalmazni a szervezeteken belül.Például bizonyos folyamatokat vállalati szinten szüksé-ges alkalmazni, másokat az információ-szolgáltatásfunkcionális szintjén, megint másokat az üzleti folya-matokért felelõs vezetõk szintjén, stb.
Azt is meg kell jegyezni, hogy az üzleti követelmé-nyeknek megfelelõ megoldások kidolgozásához kap-csolódó eljárások eredményességi kritériuma néhalefedi a rendelkezésre állásra, a sértetlenségre és a tit-kosságra vonatkozó kritériumokat is - a gyakorlatbanezek üzleti követelményekként jelennek meg. Példáulaz "automatizált megoldások meghatározása" folyamatsorán figyelembe kell venni a rendelkezésre állás, asértetlenség és a titkosság követelményeit is.
Nyilvánvaló, hogy a különbözõ kontroll intézkedéseknem ugyanolyan mértékben járulnak hozzá az informá-ciókhoz kapcsolódó különbözõ üzleti követelményekteljesítéséhez.
• elsõdlegesek azok a kontroll célkitûzések,amelyek közvetlenül befolyá-solják az érintett információ-kritérium kielégítését.
• másodlagosak azok a kontroll célkitûzések,amelyek csak kisebb mértékbenvagy közvetve befolyásolják azérintett információ-kritérium ki-elégítését.
• üresen hagyottak azok a kontroll célkitûzések,amelyek alkalmazhatóak lehet-nek ugyan, de a követelményekteljesítését hatékonyabban tudjákbiztosítani az adott eljáráson be-lüli más kritériumok vagy máseljárások.
Beszerzés éésrendszer-
megvalósítás
Szolgáltatás ééstámogatás
Monitorozás
22 I T G O V E R N A N C E I N S T I T U T E
Hasonlóképpen, a különbözõ kontroll intézkedéseknem ugyanolyan mértékben hatnak a különbözõ ITerõforrásokra. A COBIT Keretrendszer éppen ezértkonkrétan megjelöli, hogy melyek azok az IT erõforrá-sok, amelyek a vizsgált folyamat által irányítottak(nem pusztán részt vesznek a folyamatban). Ez azosztályozás kutatók és szakértõk munkája és közremû-ködése alapján, a korábban jelzett szigorú definíciók fi-gyelembe vételével került kidolgozásra.
Összefoglalva, a szervezet célkitûzéseinek teljesítésé-hez szükséges információk biztosítása érdekében azinformatikai erõforrásokat bizonyos természetszerûlegösszetartozó folyamatok keretében kell kezelni, amely-rõl az informatikai irányításnak kell gondoskodnia. Akövetkezõ ábra ezt a koncepciót illusztrálja:
A COBIT ÁLTAL A NÉGY SZAKTERÜLETREVONATKOZÓAN MEGHATÁROZOTT
INFORMATIKAI FOLYAMATOK
A KERETRENDSZER ALAPELVEI, folytatás
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 23
A COBIT harmadik kiadása a Control Objectives forInformation and related Technology (Az informatika ésa kapcsolódó technológia kontroll célkitûzései) leg-újabb változata, amely elsõ alkalommal 1996-ban je-lent meg az Information Systems Audit and ControlFoundation (ISACF) (Információrendszer Audit ésKontroll Alapítvány) kiadásában. Az 1998-ban megje-lent második kiadás a forrás-dokumentumok számánakbõvülése nyomán felülvizsgálta a magas szintû és arészletes kontroll célkitûzéseket, és kiegészült azImplementációs eszköztárral. A COBIT harmadik kiadá-sa új fõkiadó, az IT Governance Institute (IT IrányításiIntézet) gondozásában jelent meg.
Az IT Governance Institute-ot 1998-ban hozta létre azInformation Systems Audit and Control Association(ISACA) (Információrendszer Audit és Kontroll Egye-sület) és a hozzá tartozó Alapítvány azzal a céllal, hogytámogassa és segítse az informatikai irányítás alapelve-inek megértését és alkalmazását. Minthogy a COBITharmadik kiadása kiegészült a Vezetõi útmutató címûrésszel és fokozott hangsúlyt helyez az informatikaiirányítás kérdésére, az IT Governance Institute vezetõszerepet vállalt a kiadvány továbbfejlesztésében.
A COBIT eredetileg az ISACF által kiadott Kontrollcélkitûzésekre épült, és kiegészült a meglévõ és újon-nan kidolgozott nemzetközi technikai, szakmai, szabá-lyozási és ágazat-specifikus szabványokkal. Az ígylétrejött kontroll célkitûzések a szervezetek egészérekiterjedõ információrendszerek vonatkozásában alkal-mazhatóak. Az "általános érvényû és elfogadott" kife-jezést ugyanúgy kell értelmezni, ahogy az ÁltalánosanElfogadott Számviteli Alapelvek (GAAP) esetében.
A COBIT, terjedelmét tekintve, viszonylag rövid ésmegpróbál mind pragmatikus lenni, mind alkalmazkod-ni az üzleti igényekhez, ugyanakkor független az egyesszervezeteknél alkalmazott informatikai platformoktól.
Nem kizárva a kutatómunka során az információrend-szerek kontrollja terén esetleg napvilágra kerülõ egyébelfogadott szabványokat, forrásként az alábbiakat jelöl-jük meg:
Mûszaki szabványok - ISO, EDIFACT, stb.Magatartási kódexek - az Európa Tanács, az OECD.az ISACA, stb. által kiadott kódexekMinõsítési kritériumok informatikai rendszerekhezés eljárásokhoz - ITSEC, TCSEC, ISO 9000, SPICE,TickIT, Common Criteria, stb.Belsõ kontroll és audit szabványok - COSO, IFAC,AICPA, CICA, ISACA, IIA, PCIE, GAO, stb.Ágazati normák és követelmények - ágazati fórumok(ESF, I4), kormány-támogatású platformok (IBAG,NIST, DTI), stb.; továbbáÚjonnan megfogalmazott ágazat-specifikus követel-mények - a banki üzletág, az elektronikus kereskede-lem és az informatikai gyártás területérõl.
Lásd: II. Melléklet: A COBIT projekt ismertetése;III. Melléklet: Elsõdleges COBIT hivatkozási forrá-sok; és IV. Melléklet: Szójegyzék
COBIT TÖRTÉNELEM ÉS ELÕZMÉNYEK
24 I T G O V E R N A N C E I N S T I T U T E
COBIT TERMÉK-FEJLESZTÉSA COBIT az elkövetkezõ évek során tovább fog fejlõd-ni, alapul szolgálva a további kutatásokhoz. Ily módonlétrejön a COBIT termékcsalád, amelynek nyomán to-vább finomodnak az informatikai kontroll célkitûzésekmeghatározásakor alapul vett informatikai feladatok éstevékenységek, és az ágazat változó arculatának fényé-ben felülvizsgálatra kerül az egyes szakterületek ésfolyamatok egyensúlya.
A kutatási munkához és a kiadványok elkészítéséheznagymértékben hozzájárultak a PricewaterhouseCoop-ers, valamint az ISACA szervezeteitõl és tagjaitól ka-pott jelentõs adományok. Az European Security Forum(ESF) kutatási anyagok átadásával segítette a projektmunkáját. A Gartner Group részt vett a munkálatokbanés minõségbiztosítási szempontból is áttekintette a Ve-zetõi útmutatót.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 25
A COBIT ÉS AZ AUDITÁLÁSI ÚTMUTATÓAz Auditálási útmutató olyan segédeszköz, amelymegkönnyíti a CobiT Keretrendszer és a Kontrollcélkitûzések alkalmazását az ellenõrzési és értékelésitevékenységek során. Az Auditálási útmutató célja az,hogy általánosan elfogadott auditálási módszerekalapján egy olyan egyszerû struktúrát biztosítson akontroll mechanizmusok ellenõrzéséhez ésértékeléséhez, amely jól illeszkedik a COBIT rend-szerébe.
A konkrét auditálási célok és módszerek jelentõsmértékben eltérhetnek egymástól a különbözõszervezeteknél, és a vizsgálathoz kapcsolódó feladatokellátásában sokféle szakember vesz részt, pl. külsõkönyvvizsgálók, informatikai ellenõrök, belsõellenõrök, értékelõk, minõségellenõrök és mûszakielemzõk. Az Auditálási útmutatók struktúrája ezértáltalános jellegû és magas szintû, nem specifikusjellegû.
Az auditorokkal szemben általános követelmény az,hogy megerõsítést és tanácsadást nyújtsanak a vezetésés az üzleti folyamatok felelõsei felé a kontroll eljárá-sokra vonatkozóan: kellõ biztosítékot nyújtsanak akontroll célkitûzések teljesülésére vonatkozóan;rávilágítsanak azokra a területekre, amelyeken akontroll mechanizmusok komoly hiányosságokatmutatnak; meghatározzák az ilyen hiányosságokhozkapcsolódó kockázatokat; és végül tanácsadássalszolgáljanak a vezetõk számára a korrekciósintézkedések megtételéhez. A CobiT világos szabá-lyokat és bevált módszereket nyújt az informatikai és akapcsolódó egyéb technológiai rendszerek biztonsági,valamint irányítási és ellenõrzési kérdéseinekmegoldásához. Ezért az Auditálási útmutatóknakszorosan a Kontroll célkitûzésekre való építése kizárjaaz auditor magánvéleményét a vizsgálatikövetkeztetésekbõl, azt mértékadó kritériumokkalváltva fel (a világ különbözõ szabványosítássalfoglalkozó testületei által meghatározott 41 szabvány-nyal és legjobb gyakorlatra vonatkozó normával).
Ezek az Auditálási útmutatók segítséget nyújtanak aCobiT Keretrendszerhez és a részletes Kontrollcélkitûzésekhez integrálódó vizsgálati tervekelkészítéséhez. Az útmutatókat a CobiT Keretrend-szerrel és a Kontroll célkitûzésekkel összhangban kellalkalmazni, és azok konkrét vizsgálati programokkáfejleszthetõk tovább. Ezek az útmutatók azonban nemmerítik ki teljesen a témakört és nem is lezártak. Nemjelenthetnek mindenki számára mindent, és azokat akonkrét körülményekhez kell igazítani.
Van négy olyan dolog azonban, amelyek semmiképpensem tartoznak az útmutatók céljai közé:
1. Az Auditálási útmutatók célja nem az, hogy azátfogó vizsgálati terv és audit általi lefedettségkidolgozásának eszközei legyenek, egy sor olyantényezõt is figyelembe véve, mint a múltbelihiányosságok, a szervezetet fenyegetõ kockázatok,az ismert rendkívüli események, az új fejleményekés a stratégiai választási lehetõségek. Bár aKeretrendszer és a Kontroll célkitûzések megadják amegfelelõ útmutatást, a konkrét tennivalókrairányuló útmutatás kívül esik az Auditálásiútmutatók tárgykörén.
2. Az Auditálási útmutatók nem kívánnak egyfajtatananyagként szolgálni az auditálás alapjainakelsajátításához, annak ellenére sem, hogy magukbafoglalják az általános és az informatikai auditálásáltalánosan elfogadott alapkoncepcióit.
3. Az Auditálási útmutatók nem kísérlik megrészletesen kifejteni azt, hogy a számítógépestervezési, értékelési, elemzési és dokumentációseszközök (amelyek közé tartoznak a számítógéppeltámogatott vizsgálati technikák is) hogyan használ-hatók fel az informatikai folyamatok auditálásánaktámogatására és automatizálására. Az informatikaszámtalan lehetõséget kínál a vizsgálatokhatékonyságának és eredményességénekjavításához, de az erre vonatkozó útmutatás szinténkívül esik az Auditálási útmutatók tárgykörén.
BEVEZETÕ AZ AUDITÁLÁSI ÚTMUTATÓHOZ
26 I T G O V E R N A N C E I N S T I T U T E
4. Az Auditálási útmutatók nem merítik ki teljesen atémát és nem lezártak, hanem a CobiT tal és azabban foglalt részletes Kontroll célkitûzésekkelegyütt fejlõdnek tovább.
A CobiT Auditálási útmutatója lehetõvé teszi az infor-matikai ellenõr számára azt, hogy a CobiT-ban javasoltKontroll célkitûzések alapján áttekintse az egyeskonkrét informatikai folyamatokat és annak segít-ségével megerõsítést nyújtson a vezetés számáraazokra a kontroll mechanizmusokra vonatkozóan,amelyek megfelelõek, illetve tanácsot adjon atovábbfejlesztésre szoruló folyamatokat illetõen.
Ha a vezetés szemszögébõl nézzük a dolgot, az üzletifolyamatok gazdái azt kérdezik maguktól: "Jó az, amitcsinálok? És ha nem, hogyan javíthatom ki?" A CobiTKeretrendszer és az Auditálási útmutató segít választadni ezekre a kérdésekre. Ez a megközelítési módegyfajta utólagos, "reaktív" perspektívát jelent,ugyanakkor az auditoroknak "proaktív", azaz megelõzõjellegû segítséget is kell nyújtaniuk a vezetésnek. AKeretrendszer és az Auditálási útmutató megelõzõjelleggel is alkalmazhatók a folyamatok és a projektekkorai fejlõdési szakaszaiban a "Mit tegyek, hogykésõbb ne kelljen kijavítani azt?" jellegû kérdésekmegválaszolásához.
AZ AUDITÁLÁSI ÚTMUTATÓ ÁLTALÁNOSSTRUKTÚRÁJAA kontroll eljárások értékelésének legáltalánosabbanalkalmazott modellje az auditálási modell. Napjainkbanegyre gyakrabban alkalmazzák a kockázat-elemzésimodellt is, amellyel a bevezetõ rész végén fogunkfoglalkozni. A kontroll mechanizmusok értékelésébenrészt vevõk bármelyik modellt választhatják.
Az auditálás céljai az alábbiak:
• a kontroll célkitûzések teljesítésének kellõmegerõsítése a vezetés felé;
• ahol komoly hiányosságok vannak, a hiányossá-gokhoz kapcsolódó kockázatok meghatározása;továbbá
• tanácsadás a vezetésnek a szükséges korrekciósintézkedésekre vonatkozóan.
Az auditálási folyamat általánosan elfogadott struk-túrája a következõ:
• feltárás és dokumentáció• értékelés• a szabályoknak való megfelelés tesztelése• lényegi tesztelés
Az informatikai folyamatok auditálása tehát azalábbiak szerint történik:
Az üzleti követelményekhez kapcsolódó kockázatokés az ezekhez tartozó kontroll intézkedések feltárása
a kinyilvánított kontroll mechanizmusokmegfelelõségének értékelése
a megfelelõség felmérése annak teszteléserévén, hogy a kinyilvánított kontroll mechaniz-musok az elõírtaknak megfelelõen,konzisztensen és folyamatosan mûködnek-e,vagy sem
a kontroll célkitûzések teljesítésénekelmaradásához kapcsolódó kockázatokmeghatározása elemzési módszerekkel illetvealternatív források igénybevételével.
A vezetés számára a megerõsítés és tanácsadásformájában történõ segítségnyújtás célját szem elõtttartva ezt a struktúrát olyan auditálási keretrendszerréfejlesztettük tovább, amely a CobiT követelményeireépül:
• lépcsõzetes megjelenítés (szintek)• az üzleti célok elõtérbe állításával• a folyamatok által vezérelve• központba helyezve:- a kezelendõ erõforrásokat- a szükséges információ-kritériumokat
A legmagasabb szinten ezt az általános auditálásimegközelítést az alábbiak támasztják alá:
• a CobiT Keretrendszer, különösen az informatikaieljárások osztályozása, a vonatkozó információ-kritériumok és informatikai erõforrások (lásd a 36.oldalt).
• magára az auditálási folyamatra vonatkozókövetelmények (lásd Az auditálási folyamatravonatkozó követelmények részt, 28. oldal).
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 27
• az informatikai folyamatok auditálására vonatkozóáltalános követelmények (lásd az Általános infor-matikai auditálási útmutató részt, 29. oldal).
• a kontrollra vonatkozó általános elvek (lásd Akontroll folyamatok megfigyelése részt, 29. oldal).
A második szint az egyes informatikai folyamatokhozkapcsolódó részletes auditálási útmutatókból áll, amelye kötet fõ részét alkotja.
Az útmutatókat egységes formában mutatjuk be azadatgyûjtés, kiértékelés, elemzés és megállapításokalátámasztása általános struktúrát követve. Ezt a formáthasználtuk az általános informatikai Auditálásiútmutató és a részletes Auditálási útmutatókismertetésénél egyaránt.
A harmadik és egyben legalsó szinten az auditor ahelyi feltételeknek megfelelõen az audit tervezésiszakaszában olyan vizsgálati sarokpontokkal egészí-theti ki az Auditálási útmutatókat, amelyek az alábbitényezõk révén befolyásolják a részletes kontrollcélkitûzéseket:
• ágazat-specifikus kritériumok• ágazati normák• platform-specifikus elemek• alkalmazott részletes kontroll módszerek.
E szint szempontjából fontos az a tény, hogy a kontrollcélkitûzések nem szükségszerûen érvényesekmindenkor és mindenhol. Ezért javasolt egy magasszintû kockázat-felmérést végezni annak megál-lapítására, hogy mely célkitûzésekre kell különösenkoncentrálni és melyeket lehet figyelmen kívül hagyni.
Mindezek az elemek rendelkezésre állnak az infor-matikai auditok megtervezéséhez és végrehajtásához,valamint a részletes auditálási útmutatók integráltabbalkalmazásához. Az útmutatók nem teljesen merítik kia témát és nem univerzális érvényûek. A magas szintûkiegészítõ információk (általános irányelvek, az auditfolyamatra vonatkozó követelmények és a kontrollmechanizmusokra vonatkozó észrevételek) hasznossegítséget nyújtanak az auditoroknak a megfelelõvizsgálati program kidolgozásához.
AZ AUDITÁLÁSI ÚTMUTATÓK ALKALMAZÁSÁNAK RÉSZLETES STRUKTÚRÁJA
1. szintÁltalános informatikai auditálási megközelítés
2. szintA folyamatra vonatkozó útmutatók
3. szintAuditálási sarokpontok a részletes kontrollcélkitûzések kiegészítésére
CobiT KeretrendszerAz audit folyamatára vonatkozó követelményekA kontroll mechanizmusokra vonatkozó
észrevételekÁltalános auditálási útmutató
Részletes Auditálási útmutatók
Helyi feltételek• ágazat-specifikus kritériumok• ágazati szabványok• platform-specifikus elemek• az alkalmazott részletes kontroll , technikák
28 I T G O V E R N A N C E I N S T I T U T E
AZ AUDIT FOLYAMATRA VONATKOZÓKÖVETELMÉNYEKMiután döntés született arról, hogy mit fogunkauditálni és mirõl kívánunk megerõsítést adni, meg kellhatároznunk az auditálási munka végrehajtásánaklegmegfelelõbb módszerét illetve stratégiáját. Elsõlépésként meg kell határozni a vizsgálat helyeshatókörét. E célból az alábbi tényezõket kell megvizs-gálni, elemezni és meghatározni:
• az érintett üzleti folyamatok• az üzleti folyamatot támogató platformok és infor-
mációrendszerek, valamint azok kapcsolódása másplatformokhoz és rendszerekhez
• a meghatározott informatikai feladatok ésfelelõsségi körök, beleértve a kiszervezetttevékenységeket is
• a kapcsolódó üzleti kockázatok és stratégiaiválasztási lehetõségek.
Következõ lépésként meg kell határozni, hogy melyekazok az információs követelmények, amelyekkülönösen fontosak a vizsgált üzleti folyamatokvonatkozásában. Ezt követõen azonosítani kell azinformatika belsõ kockázatait, valamint a vizsgáltüzleti folyamathoz kapcsolható kontroll általánosszintjét. E célból az alábbiakat kell megvizsgálni:
• az üzleti környezetben bekövetkezett legutóbbiváltozások, amelyeknek informatikai kihatása isvan
• az informatikai környezetben bekövetkezettlegutóbbi változások, új fejlesztések, stb.
• a kontroll eljárásokhoz és az üzleti környezethezkapcsolódó legutóbbi rendkívüli események
• a vezetés által alkalmazott informatikaimonitorozási kontroll eljárások
• a legutóbbi vizsgálati és/vagy tanúsítási jelentések• a legutóbbi önértékelések eredményei.
A megszerzett információk alapján már ki tudjukválasztani a megfelelõ CobiT folyamatokat valamint azazokhoz kapcsolódó erõforrásokat. Ez a különbözõplatformok illetve rendszerek esetében szükségesséteheti bizonyos CobiT folyamatok többszöriauditálását.
Ki kell alakítani egy vizsgálati stratégiát, amely alapjánki kell dolgozni egy részletes vizsgálati tervet, pl. elkell dönteni, hogy a kontroll mechanizmusravonatkozó, vagy lényegi tesztet hajtunk végre.
Végezetül számba kell venni az auditálás végreha-jtásával kapcsolatos valamennyi lépést, feladatot ésdöntési pontot. Az V. függelékben bemutatunk egypéldát az általános auditálási folyamatra (a szükségeslépésekkel, feladatokkal és döntési pontokkal együtt)az általános minta alapján.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 29
AZ AUDITÁLÁSI FOLYAMATRA VONATKOZÓ KÖVETELMÉNYEK
• a vizsgálat hatókörének meghatározása
• a vizsgált üzleti folyamat szempontjábólreleváns információs követelményekmeghatározása
• az informatikával együtt járó belsõ (inherens)kockázatok és a kontroll általános szintjénekfeltárása
• a vizsgálandó folyamatok és platformokkiválasztása
• a vizsgálati stratégia kidolgozása
az érintett üzleti folyamatokaz üzleti folyamatot támogató platformok és
információrendszerek, valamint azok kapcsolataifeladatok, felelõsségi körök és szervezeti struktúra
az üzleti folyamatra vonatkozó relevancia
az üzleti és a technológiai környezetbenbekövetkezett legutóbbi rendkívüli események ésváltozásoka vizsgálatok, önértékelések és tanúsító
vizsgálatok eredményeia vezetés által alkalmazott monitorozási kontroll
eljárások
folyamatokerõforrások
a kontrollok és kockázatok összevetéselépések és feladatokdöntési pontok
ÁLTALÁNOS INFORMATIKAI AUDITÁLÁSIÚTMUTATÓA 31. oldalon (illetve e kötet végén kihajthatóformában) található minta bemutatja az informatikaifolyamatok auditálására vonatkozó általánoskövetelményeket és meghatározza az auditálásiútmutatók elsõ szintjét, amely általános jelleggelminden folyamatra egyaránt vonatkozik. Ez a szintelsõsorban a folyamatok megértésére és az azokhozkapcsolódó felelõsségi és hatásköri kérdések megál-lapítására irányul, de egyúttal alapul és hivatkozásikeretként szolgál minden részletes auditálásiútmutatóhoz is.
Ezt követõen ugyanezt a mintát alkalmaztuk a CobiTKeretrendszerben meghatározott 34 folyamatravonatkozóan is.
A KONTROLL FOLYAMATRA VONATKOZÓMEGFIGYELÉSEK
Az általános kontroll alapelvek további betekintéstnyújtanak az Auditálási útmutatók kiegészítésénekmódjára vonatkozóan. Ezek az alapelvek elsõsorban afolyamatokhoz és a kontrollhoz kapcsolódófelelõsségekre, a kontroll szabványokra és a kontrollinformációk áramlására koncentrálnak.
A kontroll (azaz irányítás és ellenõrzés) a vezetésszemszögébõl úgy definiálható, mint annakmeghatározása, hogy éppen minek a végrehajtásatörténik; azaz a nyújtott teljesítmény értékelése, ésamennyiben szükséges, korrekciós intézkedésekmeghozatala annak érdekében, hogy a teljesítmény atervek szerint alakuljon.
30 I T G O V E R N A N C E I N S T I T U T E
A kontroll folyamat négy lépésbõl áll. Elsõ lépéskéntmeg kell határozni az egyes folyamatok kívánt teljesít-ményére vonatkozó normákat. Második lépéskéntvalamilyen módon érzékelni kell azt, hogy mi történika folyamatban, azaz a folyamatnak kontroll-informá-ciókat kell nyújtania a vezérlõ egység felé. Harmadiklépésként a vezérlõ egységnek össze kell hasonlítania a
kapott információkat a meghatározott normákkal.Negyedik lépésként pedig, amennyiben a ténylegestörténések eltérnek a meghatározott normáktól, avezérlõ egységnek utasítást kell adnia korrekciósintézkedések megtételére, majd a végrehajtottlépéseket, mint információkat, vissza kell csatolnia afolyamatba.
Ebbõl a modellbõl a kontrollra vonatkozó alábbimegfigyelések lehetnek relevánsak az auditálásszempontjából:
1. A fenti modell csak akkor mûködõképes, havilágosan meg vannak határozva az érintett üzleti(illetve jelen esetben informatikai) folyamathozkapcsolódó felelõsségi körök és egyértelmû aszámonkérhetõség. Ha ez nincs így, a kontroll-infor-mációk nem áramlanak megfelelõen és a korrekciósintézkedéseknek nem lesz foganatja.
2. A normák sokrétûek lehetnek, a felsõ szintûtervektõl és stratégiáktól kezdve a részletes ésmérhetõ kulcsfontosságú teljesítmény-mutatókig(KTM) vagy kritikus sikertényezõkig (KST)terjedõen. A jó kontroll eljáráshoz nélkülözhetetlena normák világos dokumentálása, karbantartása éskommunikálása. Ezzel kapcsolatban a normákkidolgozásáért és kezeléséért felelõs személyekmeghatározása is alapvetõ fontosságú.
3. A kontroll folyamatra ugyanezek a követelményekérvényesek: a mûködésének megfelelõ dokumen-tálása és a felelõsségi körök egyértelmûmeghatározása. Fontos szempont annak világosdefiniálása, hogy mi minõsül eltérésnek, azazmelyek az eltérések határai.
4. A kontroll információk és egyéb információkidõszerûsége, sértetlensége és helyessége alapvetõfontosságú a kontroll rendszer megfelelõmûködéséhez és ezzel a kérdéssel az auditornak isfoglalkoznia kell.
5. Mind a kontroll információk, mind a korrekciósintézkedésekre vonatkozó információk esetébenkövetelmény a bizonyíthatóság, amely elenged-hetetlen az események utáni, számonkérhetõségszempontjából.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 31
ÁLTALÁNOS AUDITÁLÁSI ÚTMUTATÓ
A HELYZET MEGÉRTÉSE ÉS ADATGYÛJTÉS
A KONTROLL MECHANIZMUSOK ÉRTÉKELÉSE
A MEGFELELÕSÉG FELMÉRÉSE
A MEGFELELÕSÉG FELMÉRÉSE
A kontroll célkitûzéseket alátámasztó tevékenységek dokumentálására, valamint a kinyilvánított és bevezetett kontrollintézkedések/eljárások meghatározására irányuló audit lépések.Interjúk folytatandók az illetékes vezetõkkel és alkalmazottakkal az alábbiak megértése érdekében:
• Az üzleti követelmények és a kapcsolódó kockázatok• A szervezeti struktúra• A feladat- és felelõsségi körök• A szabályok és eljárások• A törvények és jogszabályok• A bevezetett kontroll intézkedések• A vezetõi jelentések (helyzet, teljesítmény, intézkedési pontok)
Dokumentálandók a vizsgált folyamat által elsõdlegesen érintett informatikai erõforrások. Megerõsítendõ a vizsgáltfolyamat, a kulcsfontosságú teljesítmény-mutatók (KTM) és a kontroll kihatások megértése, pl. a folyamat bejárásarévén.
A bevezetett kontroll intéuzkedések eredményességének vagy a kontroll célkitûzések teljesülése mértékének megál-lapítására irányuló audit lépések. Lényegében döntés hozandó arról, hogy mit és hogyan kell tesztelni, illetve kell-etesztelni.Az azonosított kritériumok és az ágazati szabványos gyakorlat, a kontroll intézkedésekre vonatkozó kritikussikertényezõk (KST), valamint az auditor szakmai megítélése alapján értékelendõ a vizsgált folyamathoz kapcsolódókontroll intézkedések megfelelõsége.
• Léteznek-e dokumentált folyamatok• Léteznek-e a megfelelõ végtermékek• Egyértelmûen meghatározták-e a felelõsségi köröket és a számonkérhetõség módját, és azokat érvenybe léptették-e.• Léteznek-e kiegészítõ kontroll mechanizmusok, ahol azok szükségesek
Következtetésként megállapítandó a kontroll célkitûzések teljesülésének mértéke.
A bevezetett kontroll intézkedések elõírások szerinti, konzisztens és folyamatos mûködésének, valamint a kontrollkörnyezet megfelelõ voltának megállapítására irányuló audit lépések.Közvetlen vagy közvetett bizonyítékok kell szerezni a kiválasztott tételekre/idõszakokra vonatkozóan, amelyek alapjánbizonyítható, hogy a vizsgált idõszak alatt betartották az elõírt eljárásokat.Korlátozott vizsgálat révén ellenõrizendõ a folyamatok végtermékeinek megfelelõsége.Meghatározandó, hogy az informatikai folyamatok megfelelõ voltának megerõsítéséhez milyen mélységû lényegitesztelés és további munka szükséges.
A kontroll célkitûzések teljesítésének elmaradása által okozott kockázatok meghatározására irányuló audit lépések,megfelelõ elemzési módszereket felhasználva és/vagy alternatív forrásokat igénybevéve. A cél az auditori vélemény alátá-masztása és a vezetés "felrázása" a cselekvés érdekében. Az informatikai ellenõröknek kreatívaknak kell lenniük az ilyen,gyakran kényes és bizalmas jellegû információk feltárása és közlése során.Dokumentálandók a kontroll mechanizmusok hiányosságai, valamint az azokból eredõ fenyegetések és sebezhetõség.Megállapítandó és dokumentálandó a tényleges és a potenciális hatás, pl. okfeltáró elemzés révén.Összehasonlító információk nyújtandók, pl. összemérés révén.
32 I T G O V E R N A N C E I N S T I T U T E
A kontroll mechanizmusok emellett különbözõszinteken mûködnek a vezetés által jól ismert,hagyományos tervezés végrehajtás-ellenõrzés-korrekció ciklusban. Ez a modell jól rávilágít azalábbiakra:
• a tervezés-végrehajtás-ellenõrzés logikai sorrend-jére és a terv szükség esetén történõ korrigálására;
• a folyamat mûködésének módjára - a stratégiai, ataktikai és az adminisztratív szinten;
• néhány vertikális és horizontális kapcsolatra:- a stratégiai szinten a " végrehajtás" eredménye a
taktikai tervezés- a taktikai szinten a " végrehajtás" eredménye a
adminisztratív szintû tervezés- az "ellenõrzési" és "végrehajtási" tevékenységek
folyamatosan együtt mûködnek és befolyásoljákegymást
- a adminisztratív szinten történõ "ellenõrzési"tevékenységrõl jelentés készül a taktikai szintû"ellenõrzés" felé, amely hasonlóképpen a straté-giai szint felé jelent.
A kontroll mechanizmusok értékelése során azértékelést végzõ személynek tisztában kell lennie azzal,hogy a kontroll eljárások a fentiek szerinti különbözõszinteken mûködnek és bonyolult módon
kapcsolódnak egymáshoz. Bár a CobiT folyamat-központú szemlélete ad némi útmutatást a különbözõkontroll folyamatokra, szintekre és azokkapcsolódására vonatkozóan, de a kontroll rendszerektényleges megvalósításakor illetve értékelésekorfigyelembe kell venni a fenti komplex dimenziót is.
AZ ELÕZÕEK ÖSSZEILLESZTÉSE
Összefoglalva, a részletes Auditálási útmutatók mindigkiegészíthetõk az "Általános útmutatók" és a vizsgáltfolyamat figyelembevétele alapján, és továbbivizsgálati feladatok határozhatók meg az auditcélkitûzésének elérése érdekében. Magának a vizsgálatiprogramnak a kidolgozása során is hasznos segítségnyerhetõ az informatikai auditálási folyamatravonatkozó követelmények, a CobiT Keretrendszer ésaz általános Kontroll célkitûzések, valamint és afentebb említett kontroll megfontolások áttekintéserévén.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 33
A KONTROLL CÉLKITÛZÉSEK ÉS AZAUDITÁLÁSI ÚTMUTATÓK KÖZÖTTIKAPCSOLAT
A célkitûzéseket folyamat központú szemlélettel alakí-tottuk ki, mivel a vezetés proaktív, azaz megelõzõjellegû tanácsokat szeretne kapni arra vonatkozóan,hogy az informatikát hogyan tartsa irányítása ésellenõrzése alatt. A Kontroll célkitûzések segítenek avezetésnek a folyamatok feletti kontrollmegvalósításában, míg az Auditálási útmutatók azauditornak vagy az értékelést végzõ személynek adnaksegítséget annak megerõsítéséhez, hogy az adottfolyamat valóban megfelelõ kontroll alatt mûködik-eannak biztosítása érdekében, hogy teljesüljenek azüzleti célkitûzések megvalósításához szükséges infor-mációs követelmények.
A kettõ között az informatikai folyamatok jelentik akapcsolódási pontot, ezért az Auditálási útmutatók azegyes folyamatokhoz, nem pedig a kontrollcélkitûzésekhez kapcsolódóan kerültek kidolgozásra.
Hivatkozva a kontroll keretrendszert megjelenítõ"vízesés modellre", az auditálási útmutatók visszac-satolást jeleznek a kontroll folyamatoktól az üzleti
célkitûzések felé. A kontroll célkitûzések jelentik azt avízesés lépcsõin lefelé haladó útmutatást, amely azinformatikai folyamat kontrollját megteremti. Azauditálási útmutatók a vízesésen felfelé haladva teszikfel a kérdést: "Van-e arra biztosíték, hogy az üzleticélkitûzések teljesülnek?" Az auditálási útmutatóknéha tükörfordításai a kontroll célkitûzéseknek; azesetek többségében azonban bizonyítékot keresnekarra, hogy az adott folyamat megfelelõ kontroll alattáll.
AZ ÉRTÉKELÉSI FELADATOK LEHETÕSÉGEIÉS KIHÍVÁSAI
A Keretrendszer, a Kontroll célkitûzések és azAuditálási útmutató használata bizonyos határozottelõnyöket kínál az auditálási/értékelési feladatokelvégzéséhez:
• az információ-kritériumok elsõdleges és másod-lagos osztályozásának felhasználása révénlehetõvé teszi az auditálási feladatok és a vizsgáltterületek prioritási sorrendjének meghatározását
• olyan területek vizsgálatához is elvezet,amelyekkel máskülönben — keretrendszer illetvemodell alkalmazása nélkül — nem foglalkoznának
34 I T G O V E R N A N C E I N S T I T U T E
• abból eredõen, hogy az auditor lépésenként haladvégig az adott folyamaton, az interjúk felépítése éssorrendje logikusabban határozható meg
• a vizsgálatok koncentráltabbak lehetnek azokat ajelzéseket felhasználva, amelyek azt mutatják,hogy mely erõforrások mely folyamatok esetébenfontosabbak
• egyfajta szabványként használhatóak a vizsgá-landó informatikai területek meghatározásához astratégiai audit terv elkészítése során, biztosítva:- a vizsgálatok általi kellõ lefedettséget- a szükséges auditálási ismeretek kellõ idõben
történõ elsajátítását/megszerzését.
Mindazonáltal bizonyos kihívásokat is rejt az, ha akeretrendszert és az útmutatókat is be kívánják építeniaz informatikai ellenõr munkájába:
• a változtatás sohasem megy könnyen (hozzáállás,eszközök, szakismeret, stb.)
• a részletes kidolgozottság kezdetben fáradságossáteszi a munkát, különösen a vizsgált területhezkapcsolódó kontroll célkitûzések teljességének ésalkalmazhatóságának ellenõrzése esetében
• szükségszerûen van némi ismétlõdés az Auditálásiútmutatókban, mivel ritka az olyan eset, amikoregy-egy irányú kapcsolat áll fenn valamelykontroll célkitûzés és a kontroll mechanizmusokközött: az egyes kontroll mechanizmusokáltalában változó módon több célkitûzéshez iskapcsolódnak, míg valamely kontroll célkitûzésteljesítéséhez általában több mechanizmusra vanszükség
• bizonyos formai követelményeknek valómegfelelõséget igényel (pl. háttér információkdokumentálása), amelyek szükségtelennektûnhetnek.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 35
A KOCKÁZAT-ELEMZÉS, MINT ALTERNATÍVÉRTÉKELÉSI MÓDSZER
A költségek és kockázatok egyensúlyának megtalálásajelenti a következõ kérdést, azaz annak tudatosmegválasztása, hogy minden egyes kontroll célkitûzéstmeg kell-e valósítani, és ha igen, akkor hogyan. Akockázat-elemzési módszerek ezzel a kérdésselfoglalkoznak, bár a proaktivitás elve továbbra isérvényben marad: elsõsorban a kontroll célkitûzéseketkell alkalmazni valamely információ-kritérium(eredményesség, hatékonyság, titkosság, rendelkezésre
állás, sértetlenség, megfelelõség és megbízhatóság)megvalósítása érdekében. Magától értetõdõ, hogy avezetésnek szüksége van bizonyos üzleti kockázat-becslésekre ahhoz, hogy meg tudja határozni aszükséges intézkedéseket (lásd a PO9 sz. Kontrollcélkitûzést). Az auditoroknak szintén végezniük kellvalamilyen kockázat-felmérést a vizsgálandó folyamat-szakterületek és kontroll célkitûzésekmaghatározásához.
Az informatikai kockázatok elemzésének egyelfogadott módszerét szemlélteti az alábbi ábra:
A modell azoknak az eszközöknek az értékelésébõlindul ki, amelyek A CobiT Keretrendszer esetébenazokat az információkat jelentik, amelyeknek aszükséges kritériumokkal kell rendelkezniük ahhoz,hogy elõ tudják segíteni az üzleti célkitûzésekmegvalósítását (beleértve az információk elõállításáhozszükséges valamennyi erõforrást is). A következõ lépésa sebezhetõség elemzése, amely azt vizsgálja meg,hogy az egyes információ kritériumok mennyirefontosak a vizsgált folyamat esetében, pl. ha valamelyüzleti folyamat sebezhetõvé válik az információksértetlenségének elvesztése miatt, akkor különintézkedéseket kell hozni ezzel kapcsolatban. Akövetkezõ lépés a fenyegetettséget értékeli, vagyisazokat a veszélyeket, amelyek kiaknázhatják asebezhetõséget*. A fenyegetettség valószínûségének, asebezhetõség mértékének és a következmények
súlyosságának összevonása eredményezi a kockázatbecslést. Ezt követõen kerül sor a megfelelõ ellenin-tézkedések (kontroll intézkedések) kiválasztására ésazok eredményességének értékelésére, amelymeghatározza a fennmaradó kockázat mértékét. Afolyamat végeredménye egy cselekvési terv, amelyután elölrõl kezdõdhet a ciklus.
* a sebezhetõség elemzésének eredményeként kerülnekmeghatározásra a kapcsolódó fenyegetések, míg a fenyegetésekelemzésének eredményeként kerülnek meghatározásra a kapcsolódósebezhetõségi pontok.
36 I T G O V E R N A N C E I N S T I T U T E
KONTROLL CÉLKITÛZÉSEKÖSSZEFOGLALÓ TÁBLÁZAT
Az alábbi táblázat az egyes informatikai folyamatokraés szakterületekre vonatkozóan megjelöli, hogy azáltalános szintû kontroll célkitûzések mely információ-
kritériumokat érintik, illetve mely informatikai erõfor-rásokra vonatkoznak.
SZAKTERÜLETTervezés ésszervezet
Beszerzés, Rendszer-
megvalósítás
Szolgáltatás éstámogatás
Monitorozás
PO1PO2PO3PO4PO5PO6PO7PO8PO9
PO10PO11
AI1AI2AI3AI4AI5AI6
DS1DS2DS3DS4DS5DS6DS7DS8DS9
DS10DS11DS12DS13
M1M2
M3M4
FOLYAMATAz informatikai stratégiai terv meghatározása
Az információ-architektúra meghatározása
A technológiai irány meghatározása
Az informatikai szervezet és kapcsolatainak meghatározása
Az informatikai beruházás kezelése
A vezetõi célok és irányvonal kommunikálása
Az emberi erõforrások kezelése
A külsõ követelmények betartásának biztosítása
A kockázatok értékelése
A projektek irányítása
A minõségirányítás
Az automatizált megoldások meghatározása
Az alkalmazási szoftverek beszerzése és karbantartása
A technológiai infrastruktúra beszerzése és karbantartása
Az eljárások kifejlesztése és karbantartása
A rendszerek installálása és jóváhagyása
A változáskezelés
A szolgáltatási szintek meghatározása és kezelése
A külsõ szolgáltatások kezelése
A teljesítmény és a kapacitás kezelése
A folyamatos mûködés biztosítása
A rendszer biztonságának megvalósítása
A költségek megállapítása és felosztása
A felhasználók oktatása és képzése
A felhasználók segítése és tanácsadás
A konfigurációkezelés
A problémák és rendkívüli események kezelése
Az adatok kezelése
A létesítmények kezelése
Az üzemeltetés irányítása
A folyamatok nyomon követése, felügyelete
A belsõ irányítási és ellenõrzési eljárások megfelelõségének
felmérése
Független megerõsítõ vizsgálatok végeztetése
Független auditálás végeztetése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 37
AZ AUDITÁLÁSI ÚTMUTATÓK NAVIGÁCIÓS ÁTTEKINTÉSE
Az Auditálási útmutatók rész a CobiT 34 informatikai folyamatának mindegyikére vonatkozóan részletesauditálási útmutatókat határoz meg. A baloldali lap az általános szintû kontroll célkitûzéseket tartalmazza. Azinformatikai szakterület jelzése (az angol rövidítéseket megtartva a konzisztens hivatkozás érdekében - PO -Tervezés és szervezet, AI - Beszerzés és rendszermegvalósítás, DS - Szolgáltatás és támogatás, és M -Monitorozás) baloldalt felül található. A vonatkozó infomáció-kritériumok és a kezelt informatikai erõforrásokjelzése a következõ oldalon bemutatott mini-mátrixokban szerepel. A jobboldali lapon kezdõdik az informatikaifolyamatra vonatkozó auditálási útmutatók közlése.
A COBIT Keretrendszer az általános szintû kontrollcélkitûzésekre korlátozódik, amelyek az egyes infor-matikai folyamatokhoz kapcsolódó üzletikövetelmények formájában kerültek megfogal-mazásra. Az egyes kontroll célkitûzésekmegvalósítását a vonatkozó kontroll norma teszilehetõvé, amelyek kapcsán figyelembe kell venni apotenciálisan alkalmazható kontroll eljárásokat.
A Kontroll célkitûzések csoportosításafolyamatok/tevékenységek szerint történt, deismertetésük az eligazodást segítõ navigációs ábrákatis tartalmaz, amelyek nemcsak a fenti megközelítésinézõpontok bármelyikébõl történõ kiindulást
könnyítik meg, de segítik a kombinált, illetveglobális megközelítési módot is, mint amilyenpéldául egy folyamat bevezetése, valamely folya-mathoz kapcsolódó átfogó irányítási feladatok, illetvevalamely folyamat által használt informatikai erõfor-rások.
Azt is meg kell jegyezni, hogy a Kontrollcélkitûzések általános formában kerültekmeghatározásra, azaz függetlenül az alkalmazotttechnikai platformtól, de elfogadva azt a tényt, hogybizonyos konkrét technológiai környezetek esetébenkülön kontroll célkitûzésekre lehet szükség.
38 I T G O V E R N A N C E I N S T I T U T E
A kontroll célkitûzéseknek a különféle nézõpontokszerinti hatékony alkalmazása érdekében ún. navigációsábrákat is mellékeltünk az általános szintû informatikaikontroll célkitûzések ismertetéséhez. Navigációs segít-séget nyújtunk mind a három dimenzióhoz - azaz afolyamatokhoz, az informatikai erõforrásokhoz és azinformáció-kritériumokhoz - kapcsolódóan, amelymentén a COBIT Keretrendszer megközelíthetõ.
Az egyes informatikai szakterületeket a Kontroll célkitûzésekettartalmazó oldalak JOBB FELSÕ SARKÁBAN megtalálható ikon(lásd jobbra) jelzi, kiemelve és nagyobb mérettel megjelenítveaz éppen vizsgált terület.
Az információ-kritériumokra vonatkozó utalás a Kontroll célki-tûzéseket tartalmazó oldalak BAL FELSÕ SARKÁBAN találhatómeg egy mini-mátrix formájában (lásd jobbra), amely megmu-tatja, hogy mely kritériumok érvényesek az egyes általánosszintû Kontroll célkitûzések esetében, és milyen mértékben(elsõdleges vagy másodlagos).
A Kontroll célkitûzéseket tartalmazó oldalak BAL ALSÓSARKÁBAN egy másik mini-mátrix jelöli azokat az informatikaierõforrásokat, amelyek a vizsgált folyamat által közvetlenülirányítottak, nem csupán részt vesznek a folyamatban. Példáula "kezelje az adatokat" folyamat elsõsorban az adatforrássértetlenségére és megbízhatóságára koncentrál.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 39
A KONTROLL CÉLKITÛZÉSEK KÖZÖTTI KAPCSOLATSZAKTERÜLETEK, FOLYAMATOK ÉS KONTROLL CÉLKITÛZÉSEK
TERVEZÉS ÉS SZERVEZET1.0 Informatikai stratégiai terv meghatározása
1.1 Az információ-technológia mint aszervezet hosszú- és rövid távú terveinekrésze
1.2 Hosszú távú informatikai terv1.3 Hosszú távú informatikai tervezés -
Módszer és struktúra1.4 A hosszú távú informatikai terv
módosítása1.5 Az informatikai funkció rövid távú
tervezése1.6 Az informatikai tervek kommunikációja1.7 Az informatikai tervek megvalósulásának
ellenõrzése és értékelése1.8 A meglévõ rendszerek értékelése
2.0 Az információ-architektúra meghatározása2.1 Információ-architektúra modell2.2 Vállalati adatszótár és adatszintaktikai
szabályok2.3 Adatosztályozási rendszer2.4 Biztonsági szintek
3.0 A technológiai irány meghatározása3.1 Technológiai infrastruktúra tervezés3.2 A jövõbeni trendek és jogszabályok
figyelemmel kísérése3.3 A technológiai infrastruktúra
üzemfolytonossága3.4 Hardver és szoftver beszerzési tervek3.5 Technológiai szabványok
4.0 Az informatikai szervezet és kapcsolatainakmeghatározása4.1 Informatikai Tervezési vagy Irányító
Bizottság4.2 Az informatikai funkció szervezeti
elhelyezkedése4.3 A szervezeti eredmények áttekintése4.4 Feladatok és felelõsségi körök4.5 Minõségbiztosítási felelõsség4.6 Logikai és fizikai biztonsági felelõsség4.7 Tulajdonlás és kezelés4.8 Az adatok és rendszerek tulajdonlása
4.9 Felügyelet4.10 A feladatkörök szétválasztása4.11 Az informatikai személyzettel való
gazdálkodás4.12 Az informatikai személyzet munkaköri
leírásai4.13 Informatikai kulcsszemélyek4.14 A szerzõdéses személyzetre vonatkozó
szabályok és eljárások4.15 Kapcsolatok
5.0 Az informatikai beruházás kezelése5.1 Éves informatikai mûködési költségvetés5.2 Költség-hasznon monitoring5.3 A költségek és a haszon igazolása
6.0 A vezetõi célok és irányvonal kommunikálása6.1 Pozitív informatikai kontroll környezet6.2 A vezetés felelõssége a szabályok kidolgo-
zásával kapcsolatban6.3 A szervezeti szabályok közlése6.4 A szabályok bevezetéséhez szükséges
erõforrások6.5 A szabályok aktualizálása6.6 A szabályok, eljárások és szabványok
betartása6.7 A minõség iránti elkötelezettség6.8 A biztonságra és a belsõ kontroll rendszer-
re vonatkozó szabályok6.9 Szellemi tulajdonjogok6.10 Konkrét kérdésekhez kapcsolódó szabá-
lyok6.11 Az informatikai biztonsági tudatosság
kommunikálása7.0 Az emberi erõforrások kezelése
7.1 A dolgozók felvétele és elõléptetése7.2 A személyzet képzettsége és minõsítései7.3 Feladatok és felelõsségi körök7.4 A dolgozók képzése7.5 Átképzés vagy helyettesítés7.6 Személyes átvilágítási eljárások7.7 A dolgozók teljesítmény-értékelése7.8 A munkakörök változtatása és megszûn-
tetése
40 I T G O V E R N A N C E I N S T I T U T E
SZAKTERÜLETEK, FOLYAMATOK ÉS KONTROLL CÉLKITÛZÉSEK
TERVEZÉS ÉS SZERVEZET, folytatás8.0 A külsõ követelmények betartásának
biztosítása8.1 A külsõ követelmények áttekintése8.2 A külsõ követelmények betartásához
kapcsolódó gyakorlat és eljárások8.3 A balesetvédelmi és ergonómiai elõírások
betartása8.4 Személyiségi jogok, szellemi tulajdon és
adatáramlás8.5 Elektronikus kereskedelem8.6 A biztosítási szerzõdések betartása
9.0 A kockázatok értékelése9.1 Az üzleti kockázatok értékelése9.2 Kockázatértékelési stratégia9.3 A kockázatok azonosítása9.4 A kockázatok mérése9.5 Kockázati cselekvési terv9.6 Kockázatviselés9.7 A védelem kiválasztása9.8 A kockázatértékelés melletti
elkötelezettség10.0 A projektek irányítása
10.1 Projektirányítási keretrendszer10.2 A felhasználó osztály részvétele a projekt
kezdeményezésében10.3 Projekt munkacsoport tagjai és feladatai10.4 A projektek meghatározása10.5 A projektek jóváhagyása10.6 A projekt szakaszainak jóváhagyása10.7 Felsõ szintû projekt-terv10.8 Rendszer-minõségbiztosítási terv10.9 A megerõsítõ vizsgálati módszerek
tervezése10.10 Formális projekt-kockázatkezelés10.11 Tesztelési terv10.12 Képzési terv10.13 Megvalósítást követõ vizsgálati terv
11.0 A minõségirányítás11.1 Általános minõségi terv11.2 Minõségbiztosítási stratégia11.3 A minõségbiztosítás tervezése11.4 Az informatikai szabványok és eljárások
betartására vonatkozó minõségbiztosításifelülvizsgálat
11.5 Rendszerfejlesztési életciklus módszertan11.6 Rendszerfejlesztési életciklus módszertan
az alkalmazott technológia jelentõsmegváltoztatása esetén
11.7 A rendszerfejlesztési életciklus módszer-tan aktualizálása
11.8 Koordináció és kommunikáció11.9 A technológiai infrastruktúra beszerzésére
és karbantartására vonatkozó keretrend-szer
11.10 Kapcsolattartás külsõ rendszermeg-valósítókkal/fejlesztõkkel
11.11 Program dokumentációs szabványok11.12 Program tesztelési szabványok11.13 Rendszer tesztelési szabványok11.14 Párhuzamos futtatás/kísérleti tesztelés11.15 A rendszer tesztelés dokumentációja11.16 A fejlesztési szabványok betartását
ellenõrzõ minõségbiztosítási értékelés11.17 Az informatikai célkitûzések teljesítésére
vonatkozó minõségbiztosítási ellenõrzés11.18 A minõség mérése11.19 Jelentéskészítés a minõségbiztosítási
ellenõrzésekrõl
BESZERZÉS ÉS RENDSZERMEGVALÓSÍTÁS1.0 Az automatizált megoldások meghatározása
1.1 Az információs követelményekmeghatározása
1.2 Alternatív cselekvési lehetõségek kidolgo-zása
1.3 A beszerzési stratégia kidolgozása1.4 A külsõ szolgáltatásokra vonatkozó
követelmények1.5 Technológiai megvalósíthatósági tanul-
mány1.6 Gazdasági megvalósíthatósági tanulmány1.7 Információ-architektúra1.8 Kockázatelemzési jelentés1.9 Költséghatékony biztonsági eljárások1.10 Az audit szempontú nyomonkövethetõség
kialakítása1.11 Ergonómia1.12 A rendszer-szoftver kiválasztása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 41
1.13 A beszerzés irányítása és ellenõrzése1.14 A szoftver-termékek beszerzése1.15 A külsõ fél által végzett szoftver-karban-
tartás1.16 Szerzõdéses alkalmazás-programozás1.17 A létesítmények átvétele1.18 A technológia átvétele
2.0 Az alkalmazási szoftverek beszerzése éskarbantartása2.1 Kiviteli tervkészítési módszerek2.2 A meglévõ rendszerek jelentõsebb
módosítása2.3 A kiviteli terv jóváhagyása2.4 Az adatállományokra vonatkozó
követelmények meghatározása ésdokumentálása
2.5 Program-specifikáció2.6 A forrás-adatok összegyûjtésének terve2.7 Az inputokra vonatkozó követelmények
meghatározása és dokumentálása2.8 Az interfészek meghatározása2.9 A felhasználó és a számítógép közötti
interfész2.10 Az adatfeldolgozási követelmények
meghatározása és dokumentálása2.11 Az outputokra vonatkozó követelmények
meghatározása és dokumentálása2.12 Kontrollálhatóság2.13 A rendelkezésre állás, mint kulcs-
fontosságú tervezési faktor2.14 Az adatok sértetlenségét biztosító
funkciók a az alkalmazási szoftverekben2.15 Az alkalmazási szoftverek tesztelése2.16 A felhasználói kézikönyvek és segédletek
és2.17 A rendszer kiviteli tervének felülvizsgálata
3.0 A technológiai infrastruktúra beszerzése éskarbantartása3.1 Az új hardverek és szoftverek értékelése3.2 Preventív hardver-karbantartás3.3 A rendszer-szoftverek biztonsága3.4 A rendszer-szoftverek telepítése3.5 A rendszer-szoftverek karbantartása
3.6 A rendszer-szoftverek változáskezelése3.7 A rendszer-segédprogramok használata és
monitorozása4.0 Az eljárások kifejlesztése és karbantartása
4.1 Üzemeltetési követelmények és szolgál-tatási szintek
4.2 A felhasználói eljárások kézikönyvei4.3 Üzemeltetési kézikönyv4.4 Oktatási anyagok
5.0 A rendszerek installálása és jóváhagyása5.1 Képzés5.2 Az alkalmazási szoftverek teljesít-
ményének méretezése5.3 Rendszermegvalósítási terv5.4 Rendszer-konverzió5.5 Adat-konverzió5.6 Tesztelési stratégiák és tervek5.7 A változtatások tesztelése5.8 A párhuzamos futtatás/kísérleti tesztelés
kritériumai és végrehajtása5.9 Végsõ átvételi teszt5.10 Biztonsági tesztelés és jóváhagyás5.11 Üzemi teszt5.12 Üzemi környezetbe helyezés5.13 A felhasználói igényeknek való megfelelés
értékelése5.14 A megvalósítást követõ vezetõi ellenõrzés
6.0 A változáskezelés6.1 A változtatási kérelmek kezdeményezése
és kontrollja6.2 Hatás-elemzés6.3 Változáskezelés6.4 Kényszerhelyzeti változtatások6.5 Dokumentáció és eljárások6.6 Engedélyezett karbantartás6.7 A szoftver-változatok kibocsátására
vonatkozó szabályok6.8 A szoftverek terítése
SZAKTERÜLETEK, FOLYAMATOK ÉS KONTROLL CÉLKITÛZÉSEK
42 I T G O V E R N A N C E I N S T I T U T E
SZAKTERÜLETEK, FOLYAMATOK ÉS KONTROLL CÉLKITÛZÉSEK
SZOLGÁLTATÁS ÉS TÁMOGATÁS1.0 A szolgáltatási szintek meghatározása és
kezelése1.1 A szolgáltatási szint megállapodásokra
vonatkozó keretrendszer1.2 A szolgáltatási szint megállapodásokban
szabályozott kérdések1.3 Teljesítési eljárások1.4 Felügyelet és jelentéskészítés1.5 A szolgáltatási szint megállapodások és
szerzõdések felülvizsgálata1.6 Kiterhelhetõ költségtételek1.7 Szolgáltatás-fejlesztési program
2.0 A külsõ szolgáltatások kezelése2.1 Szállítói kapcsolatok2.2 Kapcsolattartási felelõs2.3 A külsõ felekkel kötött szerzõdések2.4 A külsõ felek minõsítése2.5 Szolgáltatás-kiszervezési szerzõdések2.6 A szolgáltatások folyamatossága2.7 Biztonsági megállapodások2.8 Folyamatos ellenõrzés
3.0 A teljesítmény és kapacitás kezelése3.1 A rendelkezésre állásra és a teljesítményre3.2 Rendelkezésre állási terv3.3 Monitorozás és jelentéskészítés3.4 Modellezési eszközök3.5 Proaktív teljesítményirányítás3.6 Az üzemi terhelés elõrejelzése3.7 Az erõforrások kapacitás-kezelése3.8 Az erõforrások rendelkezésre állása3.9 Az erõforrások ütemezése
4.0 A folyamatos mûködés biztosítása4.1 Informatikai folytonossági keretrendszer4.2 Az informatikai folytonossági tervre
vonatkozó stratégia és filozófia4.3 Informatikai folytonossági terv tartalma4.4 Az informatikai folytonossági
követelmények minimalizálása4.5 Az informatikai folytonossági terv karban-
tartása4.6 Az informatikai folytonossági terv
tesztelése
4.7 Az informatikai folytonossági tervhezkapcsolódó képzés
4.8 Az informatikai folytonossági tervszétosztása
4.9 A felhasználói terület által kialakítottalternatív feldolgozási folyamatok,helyettesítõ eljárások
4.10 Kritikus fontosságú informatikai erõfor-rások
4.11 Tartalék telephely és hardverek4.12 A mentési anyagok külsõ tárolása4.13 Értékelési és módosítási eljárások
5.0 A rendszer biztonságának megvalósítása5.1 A biztonsági intézkedések kezelése5.2 Azonosítás, hitelesítés és hozzáférési
jogosultság5.3 Az adatok hozzáférésének biztonsága
közvetlen kapcsolat esetén5.4 A felhasználói azonosítók kezelése5.5 A felhasználói azonosítók vezetõi
ellenõrzése5.6 A felhasználói azonosítók felhasználói
kontrollja5.7 Biztonsági felügyelet5.8 Az adatok osztályozása5.9 Központi felhasználó-azonosítás és
jogosultságkezelés5.10 Jelentéskészítés a biztonsági elõírások
megsértésérõl és a biztonságitevékenységrõl
5.11 A rendkívüli események kezelése5.12 Újrahitelesítés5.13 A másik fél hitelesítése5.14 A tranzakciók engedélyezése5.15 Letagadhatatlanság5.16 Hitelesített útvonalak5.17 A biztonsági funkciók védelme5.18 A kriptográfiai kulcsok kezelése5.19 A rossz szándékú szoftverek megje-
lenésének megelõzése, felderítése éselhárítása
5.20 Tûzfal architektúrák és kapcsolódás anyilvános hálózatokhoz
5.21 Az elektronikus értékek megvédése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 43
6.0 A költségek megállapítása és felosztása6.1 Felszámítható költségtételek6.2 Költségszámítási eljárások6.3 Felhasználói számlázási és visszaterhelési
eljárások7.0 A Felhasználók oktatása és képzése
7.1 Az oktatási igények meghatározása7.2 A képzés megszervezése7.3 A biztonsági alapelvekre és a tudatosságra
irányuló képzés8.0 A felhasználók segítése és tanácsadás
8.1 Help Desk8.2 A felhasználói kérdések nyilvántartása8.3 A felhasználói kérdések továbbítása a
megoldók felé8.4 A felhasználói kérdések megoldásának
figyelemmel kísérése8.5 A trendek elemzése és jelentése
9.0 A konfigurációkezelés9.1 A konfiguráció nyilvántartása9.2 A konfiguráció bázisának nyilvántartása9.3 A státusz nyilvántartása9.4 A konfiguráció nyilvántartás kontrollja9.5 Engedély nélküli szoftverek9.6 A szoftverek tárolása9.7 Konfigurációkezelési eljárások9.8 A szoftverekre vonatkozó elszá-
moltathatóság10.0 A problémák és rendkívüli események
kezelése10.1 Probléma-kezelõ rendszer10.2 A problémák megfelelõ illetékességi
szintekre történõ továbbítása (eszkaláció)10.3 A problémák ellenõrzési szempontú
nyomonkövethetõsége10.4 A kényszerhelyzeti és ideiglenes
hozzáférés engedélyezése10.5 Kényszerhelyzeti feldolgozási prioritások
11.0 Az adatok kezelése11.1 Adatelõkészítési eljárások11.2 A forrás-dokumentumok engedélyezési
eljárásai11.3 A forrás-dokumentumok adatainak össze-
gyûjtése
11.4 A forrás-dokumentumok hibáinak kezelése11.5 A forrás-dokumentumok megõrzése11.6 Adatbevitel-engedélyezési eljárások11.7 A pontosság, teljesség és engedélyezettség
ellenõrzése11.8 Az adatbeviteli hibák kezelése11.9 Az adatfeldolgozás sértetlensége11.10 Az adatfeldolgozás érvényességének
ellenõrzése és a szerkesztés11.11 Az adatfeldolgozási hibák kezelése11.12 A kimenõ adatok kezelése és megõrzése11.13 A kimenõ adatok szétosztása11.14 A kimenõ adatok egyeztetése11.15 A kimenõ adatok felülvizsgálata és a
hibakezelés11.16 A kimenõ adatokról készült jelentésekre
vonatkozó biztonsági elõírások11.17 A bizalmas információk védelme
adattovábbítás és szállítás közben11.18 A megsemmisítendõ bizalmas információk
védelme11.19 Az adattárolás kezelése11.20 Megõrzési idõ és tárolási feltételek11.21 Adathordozó-könyvtár kezelõ rendszer11.22 Az adathordozó-könyvtár kezeléséhez
kapcsolódó felelõsségek11.23 Mentés és helyreállítás11.24 Mentési munkafolyamatok11.25 A mentések tárolása11.26 Archiválás11.27 A bizalmas üzenetek védelme11.28 Hitelesítés és sértetlenség11.29 Az elektronikus tranzakciók sértetlenségek11.30 A tárolt adatok sértetlenségének folyama-
tos fenntartása12.0 A létesítmények kezelése
12.1 Fizikai védelem12.2 Az informatikai telephelyre vonatkozó
információk elrejtése12.3 A látogatók kísérése12.4 A személyzet egészség- és munkavédelme12.5 A környezeti tényezõkkel szembeni
védelem12.6 Szünetmentes áramforrás
SZAKTERÜLETEK, FOLYAMATOK ÉS KONTROLL CÉLKITÛZÉSEK
44 I T G O V E R N A N C E I N S T I T U T E
SZAKTERÜLETEK, FOLYAMATOK ÉS KONTROLL CÉLKITÛZÉSEK
SZOLGÁLTATÁS ÉS TÁMOGATÁS, folytatás13.0 Az üzemeltetés irányítása
13.1 A feldolgozási üzemeltetési eljárások ésutasítások kézikönyve
13.2 Az indítási folyamat és egyéb üzemeltetésieljárások dokumentációja
13.3 A gépi mûveletek ütemezése13.4 Eltérések a gépi mûveletek elõírt
ütemezésétõl13.5 A feldolgozás folytonossága13.6 Üzemeltetési naplók13.7 A speciális nyomtatványok és output
eszközök védelme13.8 Távoli üzemeltetés
MONITOROZÁS1.0 A folyamatok nyomon követése, felügyelete
1.1 A monitoring adatok összegyûjtése1.2 A teljesítmény értékelése1.3 A felhasználói elégedettség értékelése1.4 Vezetõi jelentések
2.0 A belsõ irányítási és ellenõrzési eljárásokmegfelelõségének felmérése
2.1 A belsõ irányítás és ellenõrzésmonitorozása
2.2 A belsõ kontroll eljárások kellõ idõbentörténõ alkalmazása
2.3 Jelentés a belsõ kontroll szintjérõl2.4 Megerõsítõ vizsgálatok a biztonságra és a
belsõ kontrollok mûködésére vonatkozóan3.0 Független megerõsítõ vizsgálatok végeztetése
3.1 Az informatikai szolgáltatások bizton-ságára és belsõ kontrolljára vonatkozófüggetlen tanúsítás/jóváhagyás
3.2 A külsõ szolgáltatókra vonatkozó bizton-sági és belsõ kontroll szempontú függetlentanúsítás/jóváhagyás
3.3 Az informatikai szolgáltatásokeredményességének független értékelése
3.4 A külsõ szolgáltatók eredményességénekfüggetlen értékelése
3.5 A törvényi és jogszabályi elõírások,valamint a szerzõdéses kötelezettségekbetartásának független megerõsítése
3.6 A törvényi és jogszabályi elõírások,valamint a szerzõdéses kötelezettségekkülsõ szolgáltatók általi betartásánakfüggetlen megerõsítése
3.7 A független megerõsítést nyújtó szervezetszakmai kompetenciája
3.8 Az audit funkció proaktív közremûködése4.0 Független auditálás végeztetése
4.1 Auditálási, ellenõrzési szabályzat4.2 Függetlenség4.3 Szakmai etika és szabványok4.4 Szakmai kompetencia4.5 Tervezés4.6 Az audit végrehajtása4.7 Jelentéskészítés4.8 A javaslatok végrehajtásának
nyomonkövetése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 45
AUDITÁLÁSI ÚTMUTATÓK
46 I T G O V E R N A N C E I N S T I T U T E
Ez az oldal szándékosan maradt üresen.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 47
T E R V E Z É S É S S Z E R V E Z E T
48 I T G O V E R N A N C E I N S T I T U T E
PO1 Tervezés és SzervezetAz informatikai stratégiai terv meghatározása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az informatikai stratégiai terv kidolgozása
A folyamattal szemben támasztott üzleti követelmény:
az információ-technológiában rejlõ lehetõségek és az informatikával szemben támasz-tott üzleti követelmények optimális egyensúlyának kialakítása, valamint az egyensúlykésõbbi megvalósításának biztosítása
A megvalósítás feltételei:
rendszeres jellegû stratégiai tervezési munka és ennek alapján hosszú távútervek kidolgozása: a hosszú távú terveket le kell bontani olyan idõszaki ope-ratív tervekre, amelyek világos és konkrét rövid távú célokat határoznak meg
Mérlegelendõ kérdések:
• szervezeti/vállalati üzleti stratégia• annak a meghatározása, hogy az üzleti célkitûzéseket hogyan
támogatja az informatika • a technológia megoldások és a jelenlegi infrastruktúra
feltérképezése• a technológiai piacok figyelése• kellõ idõben végzett megvalósíthatósági tanulmányok és
ellenõrzések• a meglévõ rendszerek értékelése• a vállalkozás viszonyulása a kockázat, a piaci reagálási idõ és a
minõség kérdéséhez• a felsõ vezetõi elkötelezettség, támogatás és kritikai
szemléletû átvilágítás szükségessége
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 49
PO1AZ INFORMATIKAI STRATÉGIAI TERV MEGHATÁROZÁSA
KONTROLL CÉLKITÛZÉSEK
1 Az információ-technológia mint a szervezet hosszú- és rövid távú terveinek része2 A hosszú távú informatikai terv3 Hosszú távú informatikai tervezés - Módszer és struktúra4 A hosszú távú informatikai terv módosítása5 Az informatikai funkció rövid távú tervezése 6 Az informatikai tervek kommunikációja7 Az informatikai tervek megvalósulásának ellenõrzése és értékelése8 A meglévõ rendszerek értékelése
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:VezérigazgatóTermelési vezetõPénzügyi vezetõInformatikai vezetõAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai felsõ vezetés és humán szolgáltatási dolgozók
Adatgyûjtés:A tervezési folyamathoz kapcsolódó szabályok és eljárásokA felsõ vezetés irányítási feladatai és felelõsségeA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekHelyzetjelentések és a tervezõ/irányító bizottság üléseinek jegyzõkönyvei
Megvizsgálandó kérdések:Az informatikai egység illetve a vállalkozás szabályai és eljárásai strukturált tervezési módszert
határoznak-e megBevezettek-e valamely módszertant a tervek kidolgozására és módosítására vonatkozóan, amely legalább
az alábbi kérdéseket lefedi:• a szervezet küldetése és céljai• informatikai kezdeményezések a szervezet küldetése és céljai támogatása érdekében• az informatikai kezdeményezésekre vonatkozó lehetõségek• az informatikai kezdeményezések megvalósíthatósági tanulmányai• az informatikai kezdeményezések kockázat-becslése• a jelenlegi és jövõbeni informatikai beruházások optimális megvalósítása• az informatikai kezdeményezések módosítása a szervezet küldetésében és céljaiban bekövetkezett
változásoknak megfelelõen
50 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Az Informatikai tervezési/irányító bizottsági üléseinek jegyzõkönyvei visszatükrözik-e a tervezési folya-
matotMegvannak-e a tervezési módszertan végtermékei, dokumentumai és azok megfelelnek-e az elõírtaknakA vonatkozó informatikai kezdeményezések bekerülnek-e a hosszú- és rövid távú informatikai tervekbe
(ú.m. hardver változtatások, kapacitás-tervezés, információ-architektúra, új rendszerek fejlesztéseilletve beszerzése, katasztrófa-helyreállítási tervek, új adatfeldolgozó platformok üzembehelyezése,stb.)
Az informatikai kezdeményezések támogatják-e a hosszú- és rövid távú terveket és figyelembe veszik-ea kutatási, képzési, munkaerõ-, létesítmény , hardver- és szoftver követelményeket
Meghatározták-e az informatikai kezdeményezések mûszaki kihatásait Foglalkoztak-e a jelenlegi és jövõbeni informatikai beruházások optimalizálásának kérdésévelA hosszú- és rövid távú informatikai tervek összhangban állnak-e a szervezet hosszú- és rövid távú
terveivel és a szervezeti követelményekkelA terveket módosították-e a változó feltételek függvényébenA hosszú távú informatikai tervek alapján rendszeres idõközönként kidolgoznak-e rövid távú terveket Ki vannak-e jelölve a tervek végrehajtására vonatkozó feladatok
Megvizsgálandó kérdések, folytatás:• az alternatív adatfeldolgozási alkalmazásokra, technológiákra és szervezetre vonatkozó stratégiák
értékeléseA szervezeti változásokat, a technológiai fejlõdést, a szabályozási követelményeket, az üzleti folyamatok
átalakítását, a munkaerõ-szükségletet, a szolgáltatások belsõ megszervezésének illetvekiszervezésének lehetõségeit, stb. figyelembe veszik-e és megfelelõen kezelik-e a tervezési folya-matban
Léteznek-e hosszú- és rövid távú informatikai tervek, amelyek aktuálisak és megfelelõ módonfoglalkoznak a vállalkozás egészével, annak céljaival és legfontosabb üzleti funkcióival
Az informatikai projektek megfelelõ dokumentációval vannak-e alátámasztva az informatikai tervezésimódszertanban foglaltaknak megfelelõen
Léteznek-e olyan ellenõrzési pontok, amelyek gondoskodnak arról, hogy az informatikai célok és ahosszú- ill. rövid távú tervek folyamatosan igazodjanak az általános szervezeti célokhoz és a hosszú-ill. rövid távú tervekhez
Az informatikai terveket felülvizsgálják-e és hivatalosan jóváhagyják-e az üzleti folyamatok gazdái és afelsõ vezetés
Az informatikai terv értékeli-e a meglévõ rendszereket az üzletvitel automatizációjának mértéke, afunkcionalitás, a stabilitás, a komplexitás, a költségek, valamint az erõsségek és gyenge pontokvonatkozásában.
Az információrendszerekre és a kapcsolódó infrastruktúrára vonatkozó hosszú távú tervek hiánya nemeredményez-e olyan rendszereket, amelyek nem támogatják a vállalati célkitûzéseket és az üzletifolyamatokat, illetve amelyek nem gondoskodnak megfelelõ módon az információk sértetlenségérõl,biztonságáról és kontrolljáról.
PO1 Tervezés és SzervezetAz informatikai stratégiai terv meghatározása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 51
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A stratégiai informatikai tervek összemérése hasonló szervezetek terveivel illetve a megfelelõ nemzetközi
szabványokkal/elismert ágazati legjobb gyakorlattalAz informatikai tervek részletes áttekintése annak ellenõrzése céljából, hogy az informatikaikezdeményezések összhangban állnak-e a szervezet küldetésével és célkitûzéseivelAz informatikai tervek részletes áttekintése annak megállapítása céljából, hogy a szervezeten belüliismert hiányosságok megoldására vonatkozóan tartalmaznak-e valamilyen javaslatot a tervekbenjavasolt informatikai megoldások
Feltárva az alábbiakat:Ahol az informatikai rendszer nem felel meg a szervezet küldetésének és céljainak, Ahol a rövid távú informatikai tervek nem állnak összhangban a hosszú távú tervekkelAhol az informatikai projektek nem igazodnak a rövid távú tervekhezAhol az informatikai egység nem tartja a rá vonatkozó költség- és idõnormákatAz elmulasztott üzleti lehetõségekAz elmulasztott informatikai lehetõségek
PO1
52 I T G O V E R N A N C E I N S T I T U T E
PO2 Tervezés és szervezetAz információ-architektúra meghatározása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az információ-architektúra meghatározása
A folyamattal szemben támasztott üzleti követelmény:
az információrendszerek optimális szervezettségének kialakítása
A megvalósítás feltételei:
szervezeti/üzleti információs modell kidolgozása és karbantartása, valamintolyan megfelelõ rendszerek létrehozása, amelyek biztosítják az információkoptimális felhasználását
Mérlegelendõ kérdések:
• automatizált adatszótár és repozitórium• adat-szintaktikai szabályok • adat-tulajdonlás és az adatok osztályozása fontosság és biztonság
szempontjából• az üzletet leképezõ információ-modell• szervezeti szintû információ-architektúra szabványok és elõírások
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 53
PO2AZ INFORMÁCIÓ-ARCHITEKTÚRA MEGHATÁROZÁSA
KONTROLL CÉLKITÛZÉSEK
1 Információ-architektúra modell2 Vállalati adatszótár és adatszintaktika3 Adatosztályozási rendszer4 Biztonsági szintek
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Informatikai vezetõAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai felsõ vezetésBiztonsági felelõs
Adatgyûjtés:Az információ-architektúrához kapcsolódó szabályok és eljárásokAz információ-architektúra modellAz információ-architektúra modellt alátámasztó dokumentumok, beleértve a vállalati adatmodellt isA vállalati adatszótárAz adattulajdonosokra vonatkozó szabályozásokA felsõ vezetés irányítási feladatai és felelõsségeAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekA tervezõ/irányító bizottság helyzetjelentései és üléseinek jegyzõkönyvei
Megvizsgálandó kérdések:Az informatikára vonatkozó szabályok és eljárások foglalkoznak-e az adatszótár kidolgozásának és
karbantartásának kérdésévelAz információ-architektúra modell aktualizálási folyamata a hosszú- és rövid távú terveken alapul-e,
figyelembe veszi-e a kapcsolódó költségeket és kockázatokat, továbbá gondoskodik-e arról, hogy amodell csak akkor változtatható meg, ha azt a felsõ vezetés elõzetesen jóváhagyja
Létezik-e olyan folyamat, amely az adatszótár és az adatszintaktikai szabályok aktualizálására irányulOlyan közeget használnak-e az adatszótár terítéséhez, amely gondoskodik arról, hogy a fejlesztési
területek is hozzá tudjanak férni az adatszótárhoz és az adatszótár azonnal tükrözze a változásokatAz informatikai szabályok és eljárások foglalkoznak-e az adatok osztályozásával, beleértve a biztonsági
kategóriákat és az adatok tulajdonlásának kérdését is, és az egyes adatkategóriákhoz történõhozzáférés szabályai egyértelmûen és megfelelõen vannak-e meghatározva
Léteznek-e szabványok az olyan adatok alapértelmezés szerinti osztályba sorolására, amelyek nem tartal-maznak adat-osztályozási azonosítót.
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Az információ-architektúra modell összemérése hasonló szervezetek modelljeivel illetve a megfelelõ
nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz adatszótár részletes áttekintése a kulcsfontosságú elemek teljességének ellenõrzése érdekébenA bizalmas adatokra vonatkozóan meghatározott biztonsági szintek részletes áttekintése annak ellenõrzése
céljából, hogy a hozzáférés megfelelõ engedélyezés alapján történik-e és a megadott hozzáférésiengedélyek összhangban vannak-e az informatikai szabályokban és eljárásokban meghatározottbiztonsági szintekkel
54 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Az információ-architektúra modell változtatásai megfelelnek-e a hosszú- és rövid távú informatikai
tervekben történt változtatásoknak, és meghatározták-e a kapcsolódó költségeket és kockázatokatFel kell mérni az adatszótárral kapcsolatban végrehajtott módosítások illetve változtatások kihatásait és
ellenõrizni kell, hogy azokat megfelelõen kommunikálják-eAz adatszótárt használták-e az adatok definiálásához a különbözõ mûködõ alkalmazási rendszerek és
fejlesztési projektek esetében Megfelelõ-e az adatszótár dokumentációja abból a szempontból, hogy valamennyi adatelemre
meghatározza az attribútumokat és a biztonsági szintetMegfelelõek-e az adatosztályok, a biztonsági szintek, a hozzáférési szintek és az alapértelmezés szerinti
jellemzõkMinden egyes adatosztály esetében egyértelmûen meghatározták-e azt, hogy:
• kinek van hozzáférési joga• ki a felelõs a megfelelõ hozzáférési szint meghatározásáért• szükséges-e külön jóváhagyás a hozzáféréshez• milyen speciális követelményei vannak a hozzáférésnek (pl. titoktartási megállapodás)
Megvizsgálandó kérdések, folytatás:Az informatikai szabályok és eljárások kitérnek-e az alábbi kérdésekre:
• olyan engedélyezési folyamat jusson érvényre, amely megköveteli, hogy az adatok tulajdonosa(amint azt az adattulajdonlási szabályzat meghatározza) engedélyezze az adatokhoz és az adatokbiztonsági paramétereihez történõ hozzáférést
• minden egyes adatosztály biztonsági szintje meg legyen határozva• meg legyenek határozva a hozzáférési szintek és azok feleljenek meg az adatosztályozásnak• a bizalmas adatokhoz történõ hozzáférés külön hozzáférési szinteket igényeljen, és az adatokat
csak azok ismeretének szükségessége esetén bocsássák rendelkezésre.
PO2 Tervezés és SzervezetAz információ-architektúra meghatározása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 55
PO2Feltárva az alábbiakat:Ellentmondások az információ-architektúra modell és a vállalati adatmodell, a vállalati adatszótár, a
kapcsolódó információrendszerek valamint a hosszú- és rövid távú informatikai tervek közöttElévült adatszótár tételek és adatszintaktikai szabályok, amelyek aktualitása azért veszett el, mert az
adatszótár felé nem kielégítõ módon kommunikálták a bekövetkezett változásokatAdattételek, amelyek esetében a tulajdonos nincs egyértelmûen illetve megfelelõen meghatározvaNem megfelelõen meghatározott adatosztályokAz "ismeret szükségessége" szabályát figyelmen kívül hagyó adatbiztonsági szintek
56 I T G O V E R N A N C E I N S T I T U T E
PO3 Tervezés és szervezetA technológiai irány meghatározása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a technológiai irány meghatározása
A folyamattal szemben támasztott üzleti követelmény:
a rendelkezésre álló és az újonnan megjelenõ technológiák által kínált elõnyök kihasz-nálása az üzleti stratégia kialakítása és megvalósítása érdekében
A megvalósítás feltételei:
olyan technológiai infrastruktúra terv kidolgozása és karbantartása, amelymeghatározza és kezeli a technológiával szemben támasztott egyértelmû ésreális elvárásokat a termékek, szolgáltatások és szolgáltatásnyújtási mecha-nizmusok tekintetében
Mérlegelendõ kérdések:
• a meglévõ infrastruktúra által kínált lehetõségek• a technológiai fejlõdés figyelemmel kísérése megbízható források
alapján• új elképzelések, ötletek életképességének bizonyítása• kockázatok, korlátok és a lehetõségek• beszerzési tervek• az új technológiára történõ áttérés stratégiája és ütemterve• a beszállítókkal, partnerekkel kialakított kapcsolatok• a technológiai lehetõségek független értékelése• a hardver és szoftver ár/teljesítmény változásai.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 57
PO3A TECHNOLÓGIAI IRÁNY MEGHATÁROZÁSA
KONTROLL CÉLKITÛZÉSEK
1 Technológiai infrastruktúra tervezés2 A jövõbeni trendek és jogszabályok figyelemmel kísérése3 A technológiai infrastruktúra üzemfolytonossága4 Hardver és szoftver beszerzési tervek5 Technológiai szabványok
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:VezérigazgatóTermelési vezetõPénzügyi vezetõInformatikai vezetõAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai felsõ vezetés
Adatgyûjtés:A technológiai infrastruktúra tervezésére és felügyeletére vonatkozó szabályok és eljárásokA felsõ vezetés irányítási feladatai és felelõsségeA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai hardver- és szoftver beszerzési tervA technológiai infrastruktúra tervA technológiai szabványokA tervezõ/irányító bizottság helyzetjelentései és üléseinek jegyzõkönyvei
Megvizsgálandó kérdések:Kialakították-e a technológiai infrastruktúra terv kidolgozására és rendszeres aktualizálására vonatkozó
folyamatot, amely biztosítja azt, hogy a javasolt változtatások esetében elõször felmérik a kapcsolódóköltségeket és kockázatokat, és a terv bármilyen jellegû megváltoztatásához megszerzik a felsõvezetés elõzetes jóváhagyását
Összehasonlítják-e a technológiai infrastruktúra tervet a hosszú- és rövid távú informatikai tervekkelKialakították-e a szervezet aktuális technológiai helyzetének értékelésére vonatkozó folyamatot, amely
olyan kérdésekre is kitér, mint a rendszer-architektúra, a technológiai fejlõdés iránya és a migrációsstratégiák
Az informatikai szabályok és eljárások biztosítják-e annak szükségességét, hogy értékeljék ésfigyelemmel kísérjék a jelenlegi és jövõbeni technológiai trendeket és szabályozási feltételeket, ésazokat figyelembe vegyék a technológiai infrastruktúra terv kidolgozása és aktualizálása során
A tervek kidolgozásakor figyelembe veszik-e a technológia beszerzések logisztikai és környezeti hatásait
58 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Megvizsgálandó kérdések, folytatás:Az informatikára vonatkozó szabályok és eljárások biztosítják-e annak szükségességét, hogy szisztematikusan
felmérjék a technológiai terv üzemfolytonossági vonatkozásait (azaz az infrastruktúra redundanciáját,alkalmazkodóképességét, a feladatra való megfelelõségét és fejleszthetõségét)Értékeli-e az informatikai vezetés az új technológiákat és az arra alkalmas technológiákat beépíti-e az
informatikai infrastruktúrábaA hardver- és szoftver beszerzési tervek a gyakorlatban igazodnak-e a technológiai infrastruktúra tervben
meghatározott igényekhez, és megfelelõen jóváhagyásra kerülnek-eVannak-e technológiai szabványok érvényben a technológiai infrastruktúra tervben leírt technológiai
komponensekre vonatkozóan
PO3 Tervezés és SzervezetA technológiai irány meghatározása
Tesztelendõ:Az informatikai vezetés tisztában van-e a technológiai infrastruktúra terv tartalmával és használja-e a
tervetA technológiai infrastruktúra tervben történt módosításokhoz milyen költségek és kockázatok
kapcsolódnak, továbbá, ezek a változtatások megfelelnek-e a hosszú- és rövid távú informatikaitervekben végrehajtott változtatásoknak
Az informatikai vezetés tisztában van-e a megjelenõ új technológiák figyelemmel kísérésének ésértékelésének folyamatával és megfelelõ technológiákat épít-e be az informatikai infrastruktúrába
Az informatikai vezetés tisztában van-e a technológiai tervhez kapcsolódó üzemfolytonosságivonatkozások (azaz az infrastruktúra redundanciája, alkalmazkodóképessége, feladatra valómegfelelõsége és fejleszthetõsége) szisztematikus felmérésének folyamatával
Az informatikai funkció meglévõ fizikai környezete megfelel-e a jelenleg használt hardver eszközöknekés szoftvereknek és a jóváhagyott beszerzési terv alapján késõbb alkalmazni kívánt hardvereknekilletve szoftvereknek
A hardver- és szoftver beszerzési tervek megfelelnek-e a hosszú- és rövid távú informatikai terveknek ésösszhangban állnak-e a technológiai infrastruktúra tervben meghatározott igényekkel
A technológiai infrastruktúra terv foglalkozik-e a jelenlegi és jövõbeni technológiák alkalmazásánakkérdésével
Betartják-e a technológiai szabványokat és azok a fejlesztési folyamat részét képezik-eAz engedélyezett hozzáférés megfelel-e az informatikai szabályokban és eljárásokban meghatározott
biztonsági szinteknek és a hozzáféréseket az elõírásoknak megfelelõ módon engedélyezték-e
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A technológiai infrastruktúra tervezési eljárásának összemérése hasonló szervezetek tervezési eljárásaival
illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz adatszótár részletes áttekintése a kulcsfontosságú elemek teljességének ellenõrzése céljábólA bizalmas adatokra vonatkozóan meghatározott biztonsági szintek részletes áttekintése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 59
Feltárva az alábbiakat:Ellentmondások az információ-architektúra modell és a vállalati adatmodell, a vállalati adatszótár, a
kapcsolódó információrendszerek, valamint a hosszú- és rövid távú informatikai tervek közöttElévült adatszótár tételek és adatszintaktikai szabályokA technológiai infrastruktúra terv által nem érintett üzemfolytonossági vonatkozásokAhol az informatikai hardver- és szoftver beszerzési tervek nem veszik figyelembe a technológiai infra-
struktúra tervben meghatározott igényeketAz olyan technológiai szabványok, amelyek nincsenek összhangban a technológiai infrastruktúra tervvel
illetve az informatikai hardver- és szoftver beszerzési tervekkelAhol a technológiai infrastruktúra terv illetve az informatikai hardver- és szoftver beszerzési tervek
nincsenek összhangban a technológiai szabványokkalAz adatszótárból hiányzó kulcsfontosságú elemekAz olyan bizalmas adatok, amelyek nem lettek akként osztályba sorolva, vagy amelyekhez biztonsági
szint hozzárendelésére nem került sor.
PO3
60 I T G O V E R N A N C E I N S T I T U T E
PO4 Tervezés és szervezetAz informatikai szervezet és kapcsolatainak meghatározása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az informatikai szervezet és kapcsolatainak meghatározása
A folyamattal szemben támasztott üzleti követelmény:
a megfelelõ informatikai szolgáltatások biztosítása
A megvalósítás feltételei:
olyan, megfelelõ számú és képzettségû személybõl álló szervezet felállítása afeladatok és felelõsségi körök meghatározása és kommunikálása mellett,amely igazodik a vállalkozás igényeihez, segíti a stratégia végrehajtását ésemellett hatékony irányítást és megfelelõ ellenõrzést tesz lehetõvé
Mérlegelendõ kérdések:
• igazgató tanácsi szintû felelõsség az informatikai területért• az informatika irányítása és felügyelete felsõ vezetõi szinten• az informatika és az üzleti folyamatok összehangolása• az informatika bevonása a kulcsfontosságú döntési folyamatokba• szervezeti rugalmasság• világosan meghatározott feladat- és felelõsségi körök• optimális egyensúly megtalálása a felelõsségi körök átruházása és
irányítási jogkörök megtartása között• munkaköri leírások• munkakörök betöltöttségi szintje és kulcsfontosságú
dolgozók• a biztonsági, minõségbiztosítási és belsõ kontroll
funkciók elhelyezése a szervezeten belül• a hatáskörök különválasztása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 61
PO4AZ INFORMATIKAI SZERVEZET ÉS KAPCSOLATAINAK MEGHATÁROZÁSA
KONTROLL CÉLKITÛZÉSEK
1 Informatikai Tervezési vagy Irányító Bizottság2 Az informatikai funkció szervezeti elhelyezkedése3 A szervezeti eredmények áttekintése4 Feladatok és felelõsségi körök5 Minõségbiztosítási felelõsség6 Logikai és fizikai biztonsági felelõsség7 Tulajdonlás és kezelés8 Az adatok és rendszerek tulajdonlása9 Felügyelet10 A feladatkörök szétválasztása11 Az informatikai személyzettel való gazdálkodás12 Az informatikai személyzet munkaköri leírása13 Informatikai kulcsszemélyek14 A szerzõdéses személyzetre vonatkozó szabályok és eljárások15 Kapcsolatok
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:VezérigazgatóTermelési vezetõPénzügyi vezetõInformatikai vezetõMinõségbiztosítási felelõsBiztonsági felelõsAz informatikai tervezõi/irányító bizottság tagjai, az emberi erõforrás-gazdálkodás vezetése és a felsõ
vezetés
Adatgyûjtés:A felsõ vezetés tervezési/irányítási feladatai és felelõsségeA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai és az egyéb funkciók kapcsolatait bemutató szervezeti ábra Az informatikai szervezetre és kapcsolataira vonatkozó szabályok és eljárásokA minõségbiztosításra vonatkozó szabályok és eljárásokAz informatikai funkció munkaerõ-igényeinek meghatározásához használt szabályok és eljárásokAz informatikai funkció szervezeti ábrájaAz informatikai funkció feladat- és felelõsségi köreiAz informatikai funkció kulcsfontosságú beosztásainak (munkaköri) leírásaA tervezõ/irányító bizottság helyzetjelentései és üléseinek jegyzõkönyvei
62 I T G O V E R N A N C E I N S T I T U T E
PO4 Tervezés és SzervezetAz informatikai szervezet és kapcsolatainak meghatározása
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:A felsõ vezetés célkitûzései és megnyilatkozásai biztosítják-e az informatikai funkció függetlenségét és
hatáskörétMeghatározták-e az informatikai tervezõ/irányító bizottság összetételét, funkcióit és feladatköreitAz informatikai tervezõ/irányító bizottság mûködési szabályzata hozzáigazítja-e a bizottság céljait a
szervezeti célkitûzésekhez és a hosszú- ill. rövid távú tervekhez, valamint az informatikaicélkitûzésekhez és a hosszú- ill. rövid távú informatikai tervekhez
Érvényesülnek-e olyan folyamatok, amelyek célja az információk kezeléséhez kapcsolódó kérdésekfeltárásához és megoldásához szükséges tudatosság, hozzáértés és szakképzettség javítása
A szervezeti szabályok foglalkoznak-e a szervezeti struktúra értékelésének és - amennyiben akörülmények megváltozása illetve a célkitûzések módosítása azt szükségessé teszi - módosításánakszükségességével
Léteznek-e megfelelõ folyamatok és teljesítmény-mutatók az informatikai funkció eredményességének éselfogadottságának meghatározásához
A felsõ vezetés gondoskodik-e a kijelölt feladat- és felelõsségi körök ellátásáról Léteznek-e olyan szabályok, amelyek meghatározzák a szervezet alkalmazottjainak feladat- és felelõsségi
köreit az információrendszerekkel, a belsõ kontrollal és a biztonsággal kapcsolatosanTartanak-e rendszeresen felvilágosító kampányt a szervezetnél a belsõ kontrollra és a biztonságra
vonatkozó tudatosság, illetve az azokhoz való hozzáállás javítása érdekébenLétezik-e a szervezetnél minõségbiztosítási funkció és szabályzatA minõségbiztosítási funkció kellõ mértékben független-e a rendszerfejlesztési személyzettõl, továbbá
kellõ létszámú és megfelelõ szakismerettel bíró munkaerõvel rendelkezik-e feladatai ellátásáhozA minõségbiztosítási funkción belül érvényesülnek-e folyamatok az erõforrások ütemezésére és annak
biztosítására, hogy a minõségbiztosítási tesztelések és jóváhagyások még a rendszerek illetverendszer-módosítások bevezetése elõtt megtörténjenek
A vezetés formálisan, a szervezet egészére kiterjedõ szinten határozta-e meg a biztonsági felelõsfeladatkörét a belsõ kontrollra és biztonságra (mind a logikai, mind a fizikai biztonságra) vonatkozószabályok és eljárások kidolgozását illetõen
Az informatikai biztonsági felelõs tisztában van-e a saját feladataival és felelõsségével és ezekösszhangban állnak-e a szervezet informatikai biztonsági szabályzatával
A szervezet biztonsági szabályzata egyértelmûen meghatározza-e azt, hogy az információk biztonsága ésvédelme érdekében az egyes informatikai eszközök tulajdonosainak (pl. felhasználóknak, vezetésnek,biztonsági alkalmazottaknak, stb.) milyen feladatokat kell ellátniuk
Léteznek-e megfelelõ szabályok és eljárások, amelyek minden jelentõsebb adatforrásra és rendszerrevonatkozóan lefedik azok tulajdonlásának kérdését
Léteznek-e megfelelõ eljárások, amelyek gondoskodnak az adatok és rendszerek tulajdonosaibanbekövetkezett változások rendszeres idõközönként történõ áttekintésérõl és kezelésérõl
Léteznek-e szabályok és eljárások az olyan felügyeleti eljárások meghatározására vonatkozóan, amelyekgondoskodnak a kijelölt feladatok és felelõsségi körök megfelelõ ellátásáról, valamint arról, hogyminden dolgozó megfelelõ erõforrásokkal és hatáskörrel rendelkezzen feladatai végrehajtásához
Szét vannak-e választva a feladatkörök az alábbi funkciók között:• rendszerfejlesztés és karbantartás• rendszerfejlesztés és üzemeltetés• rendszerfejlesztés/karbantartás és informatikai biztonság
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 63
PO4
A megfelelõség felmérése:
Tesztelendõ:Az informatikai tervezõi/irányító bizottság ellenõrzi-e az informatikai funkció tevékenységét és megteszi-
e a cselekvési tervben elõírt intézkedéseketMegfelelõ-e az informatikai funkció jelentési hierarchiája Az informatikai funkció megfelelõen helyezkedik-e el a szervezeti hierarchiában, abban a tekintetben,
hogy a felsõ vezetéssel partneri kapcsolat alakulhasson kiAz informatikai funkció felsõ vezetése tisztában van-e azzal, hogy milyen folyamatok szerint történik az
informatikai funkció teljesítményének értékelése és méréseA teljesítmény mérése megfelelõ mutatók alapján történik-eHa a tényleges eredmények nem érik el a tervezett szintet, megfelelõ módon elemzik-e az elért
eredményeket a szükséges korrekciós intézkedések meghatározása céljábólAz elvárt teljesítményi szintektõl történõ jelentõs eltérések esetén megtett vezetõi intézkedésekA felhasználó/tulajdonos vezetése kiértékeli-e, hogy az informatikai funkció milyen mértékben képes
reagálni és olyan informatikai megoldásokat biztosítani, amelyek megfelelnek a felhasználóiigényeknek
Az informatikai vezetés tisztában van-e feladataival és felelõsségévelA minõségbiztosítási funkció részt vesz-e az informatikai projekt-tervek tesztelésében és jóváhagyásábanAz informatikai biztonsági alkalmazottak felülvizsgálják-e az alapvetõ operációs rendszereket és a
felhasználói rendszereketMegfelelõek-e a biztonsági funkció által a megvalósított vagy fejlesztés alatt álló információ-biztonságra
(mind a fizikai, mind a logikai biztonságra) vonatkozóan végzett értékelések, jelentések illetvedokumentáció
Kellõ mértékben ismerik-e és konzisztensen alkalmazzák-e az informatikai biztonsági szabályokat éseljárásokat
• üzemeltetés és adatellenõrzés• üzemeltetés és felhasználók• üzemeltetés és informatikai biztonság
Az informatikai funkció dolgozói létszáma és szakmai kompetenciája megfelelõ-e ahhoz, hogyeredményes technológiai megoldásokat tudjon biztosítani
Léteznek-e megfelelõ szabályok és eljárások, az informatikai munkaköri leírások értékelésére ésújraértékelésére
Megfelelõen meghatározták-e a kulcsfontosságú folyamatokhoz kapcsolódó feladatokat és felelõsségiköröket, beleértve a rendszerfejlesztési életciklushoz kapcsolódó tevékenységeket (követelményekmeghatározása, tervezés, fejlesztés, tesztelés), az informatikai biztonságot, valamint a beszerzést és akapacitás-tervezést
Használnak-e megfelelõ és hatékony kulcsfontosságú teljesítmény-mutatókat illetve kritikussikertényezõket annak mérésére, hogy az informatikai funkció milyen eredményeket ért el aszervezeti célkitûzések teljesítésében
Léteznek-e megfelelõ szabályok és eljárások az informatikai tanácsadók és más szerzõdéses dolgozóktevékenységeinek ellenõrzésére, ezáltal biztosítva a szervezet vagyonának védelmét
A külsõ informatikai szolgáltatásokra vonatkozó eljárások megfelelõek-e és összhangban állnak-e aszervezet beszerzési politikájával
Léteznek-e folyamatok az informatikai funkcionális egységen belüli és kívüli érdekek összehangolására,kommunikálása és dokumentálására.
64 I T G O V E R N A N C E I N S T I T U T E
PO4 Tervezés és SzervezetAz informatikai szervezet és kapcsolatainak meghatározása
Tesztelendõ, folytatás:A dolgozók részesülnek-e az informatikai biztonságra és a belsõ kontrollra vonatkozó képzésbenMinden információs eszközre meghatározták-e az adat- és rendszer tulajdonosokat Az adat és rendszer tulajdonosok jóváhagyták-e az adatok és rendszerek változtatásait Van-e minden adatnak és rendszernek tulajdonosa illetve kezelõje, aki felel az érintett adatok illetve
rendszerek megfelelõ szintû kontrollálásáértJóváhagyja-e az érintett eszköz tulajdonosa az adatokhoz és rendszerekhez történõ hozzáféréseket Igazodnak-e az egyes munkakörökhöz tartozó közvetlen felügyeleti hatáskörök az adott munkakört
betöltõ személy felelõsségi köréhezA munkaköri leírások világosan meghatározzák-e mind a hatáskört, mind a feladatokatA munkaköri leírások világosan meghatározzák-e a szükséges üzleti, kapcsolati és szakmai
követelményeketA munkaköri leírásokról pontos tájékoztatást kaptak-e az érintettek és megértették-e aztAz informatikai funkció munkaköri leírásai tartalmazzák-e azokat a kulcsfontosságú teljesítmény
mutatókat, amelyeket korábban ismertettek a személyzettelMegfelelnek-e az informatikai személyzet feladatai és felelõsségei mind a közzétett munkaköri leírá-
soknak, mind a szervezeti ábrának Kidolgozták-e a kulcsfontosságú beosztások munkaköri leírásait, amelyek tartalmazzák az informá-
ciórendszerekkel, a belsõ kontrollal és a biztonsággal kapcsolatos feladatokat isA munkaköri leírások pontosak-e az adott pozíciókat jelenleg betöltõ személyek feladataival összevetveMennyire felel meg az informatikai funkción belül a feladatok különválasztása és a funkciók korlátozása
a szándékoknakAz informatikai személyzettel való gazdálkodás fenntartja-e a személyzet kompetenciájátA munkaköri leírások megfelelõ alapot nyújtanak-e a feladatok, hatáskörök és teljesítményi kritériumok
meghatározásáhozA szerzõdéskötésekkel kapcsolatos feladatok ellátására ki vannak-e jelölve a megfelelõ alkalmazottakA szerzõdések feltételei összhangban vannak-e a szerzõdésekre vonatkozó általános szervezeti elõírá-
sokkal és a standard szerzõdéses feltételekkel, amelyek egyezõségét rendszeresen felülvizsgálja ésértékeli-e az ezzel a feladattal megbízott jogi tanácsadó
A szerzõdések megfelelõ rendelkezéseket tartalmaznak-e a vállalati biztonsági és belsõ kontroll szabá-lyok és az informatikai szabványok betartására vonatkozóan
Megfelelõ eljárások illetve struktúrák biztosítják-e a sikeres kapcsolattartáshoz szükséges eredményes éshatékony koordinációt
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 65
PO4A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A szervezeti felépítés és a kapcsolati formák összemérése hasonló szervezetek szervezeti felépítésével és
kapcsolati formáival illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalRészletes áttekintés annak megállapítása céljából, hogy milyen kihatásokkal jár a szervezet egészére
nézve az, ha az informatikai tervezõi/irányító bizottság nem megfelelõ hatékonysággal látja elfeladatait
Részletes áttekintés annak értékelése céljából, hogy az informatikai funkció milyen elõrelépéseket ért elaz információrendszerekhez kapcsolódó kérdések kezelésében és a technológiai megoldásokbevezetésében
Részletes áttekintés a szervezeti struktúra, a munkaerõ létszáma és szakképzettsége, a kijelölt feladat- ésfelelõsségi körök, az adat- és rendszer tulajdonlás, a felügyelet, a feladatkörök szétválasztása, stb.értékelése céljából
A minõségbiztosítási funkció mûködésének részletes áttekintése annak megállapítása céljából, hogy aminõségbiztosítási funkció milyen mértékben felel meg a szervezet követelményeinek
Az informatikai biztonsági funkció mûködésének részletes áttekintése annak megállapítása céljából, hogymennyire tudta hatékonyan ellátni (mind fizikai, mind logikai) biztonsági feladatait és milyeneredményeket ért el az informatikai biztonsági felvilágosító képzés terén
Szerzõdésekbõl vett minta részletes áttekintése annak ellenõrzése céljából, hogy mindkét fél megfelelõenteljesítette-e szerzõdéses kötelezettségeit és a szerzõdésben foglalt rendelkezések megfelelnek-e aszervezet által a szerzõdésekre vonatkozóan meghatározott elõírásoknak
Feltárva az alábbiakat:Az informatikai funkció hiányosságai illetve gyenge pontjai, amelyek a mûködését ellenõrzõ
tervezõ/irányító bizottság nem megfelelõ hatékonyságú munkájára vezethetõk visszaRések, átfedések, stb. a szervezeti struktúrában, amelyek miatt az informatikai funkció nem tudja
eredményesen illetve hatékonyan ellátni feladataitNem megfelelõ szervezeti struktúrák, hiányzó funkciók, nem megfelelõ munkaerõ, a szaktudás hiánya,
nem megfelelõ feladat- és felelõsségi körök, az adat- illetve rendszer-tulajdonosok nem egyértelmûmeghatározása, felügyeleti problémák, a feladatkörök szétválasztásának hiánya, stb.
Olyan rendszerek, amelyeknek folyamatban lévõ fejlesztése, módosítása illetve bevezetése nem felel mega minõségbiztosítási követelményeknek
Olyan rendszerek, amelyeknek folyamatban lévõ fejlesztése, módosítása illetve bevezetése nem felel mega biztonsági (mind fizikai, mind logikai biztonsági) követelményeknek
Olyan szerzõdések, amelyek nem felelnek meg a szervezet által meghatározott szerzõdési elõírásoknakNem megfelelõ hatékonyságú koordináció és kommunikáció az informatikai funkció és az informatikai
funkción belüli, illetve azon kívül esõ különbözõ érdekcsoportok között.
66 I T G O V E R N A N C E I N S T I T U T E
PO5 Tervezés és szervezetAz informatikai beruházás kezelése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az informatikai beruházások kezelése
A folyamattal szemben támasztott üzleti követelmény:
finanszírozás biztosítása és a finanszírozási források felhasználásának irányítása ésellenõrzése
A megvalósítás feltételei:
rendszeres beruházási és mûködési költségvetés kidolgozása és jóváhagyásaaz üzleti terület részérõl
Mérlegelendõ kérdések:
• finanszírozási alternatívák• a költségvetésért való felelõsség pontos rögzítése• a tényleges kiadások kontrollja• a költségek indokoltságának alátámasztása és az eszközök birtok-
lásából eredõ teljes költségek ismerete• az elõnyök indoklása és realizálódásának számonkérhetõsége• a technológiák és az alkalmazási szoftverek életciklusa• igazodás a vállalkozás üzleti stratégiájához• hatáselemzés• eszközgazdálkodás
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 67
PO5AZ INFORMATIKAI BERUHÁZÁS KEZELÉSE
KONTROLL CÉLKITÛZÉSEK
1 Éves informatikai mûködési költségvetés2 Költség-haszon monitoring3 A költségek és a haszon igazolása
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Pénzügyi vezetõInformatikai vezetõAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai felsõ vezetés
Adatgyûjtés:A költségvetési tervezésre és a költségszámításra vonatkozó szervezeti szintû szabályok, módszerek és
eljárásokA költségvetési tervezésre és a költségszámításra vonatkozó informatikai szabályok és eljárások Az informatikai funkció folyó évi és megelõzõ évi mûködési költségvetéseA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekA felsõ vezetés tervezési/irányítási feladatai és felelõsségeEltérés-jelentések és a költségtervektõl való eltérések figyelésével és kontrollálásával kapcsolatos egyéb
dokumentumokA tervezõ/irányító bizottság üléseinek helyzetjelentései és jegyzõkönyvei
Megvizsgálandó kérdések:Az informatikai funkció költségtervezési eljárása összhangban van-e a szervezet költségtervezési
eljárásávalMegfelelõ szabályok és eljárások gondoskodnak-e arról, hogy az informatikai funkció éves mûködési
költségvetése a szervezeti költségvetés, a hosszú- és rövid távú szervezeti tervek, valamint az infor-matikai funkció hosszú- és rövid távú tervei alapján kerüljön kidolgozásra és jóváhagyásra
A költségvetés elkészítésében az informatikai funkció nagyobb egységeinek vezetõi is részt vesznek-eMegfelelõ szabályok és eljárások vannak-e érvényben, amelyek gondoskodnak a ténylegesen felmerült
költségek figyelemmel kísérésérõl és a tervezett költségekkel történõ összehasonlításáról, valamintarról, hogy a tényleges költségekre vonatkozó információk a szervezet költség-elszámolási rendsze-rére épüljenek
Megfelelõ szabályok és eljárások garantálják-e azt, hogy az informatikai funkció által nyújtott szolgál-tatások költségei indokoltak és megfelelnek az ágazati normáknak
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A költségvetési tervek és költségek összemérése hasonló szervezetek költségvetéseivel és költségeivel
illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalA folyó évi és a megelõzõ évi költségvetés összevetése a tényleges eredményekkel; az eltérések és a
korrekciós intézkedések részletes áttekintése
Feltárva az alábbiakat:Olyan tételek az informatikai költségvetésben, amelyek nincsenek összhangban a szervezet
költségvetésével illetve hosszú- és rövid távú terveivel, valamint a hosszú- és rövid távú informatikaitervekkel
Az informatikai funkciónál felmerült olyan tényleges költségek, amelyek nem kerülnek rögzítésre
68 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Az informatikai funkció költségvetése igazodik-e az informatikai funkció éves mûködési tervéhezAz informatikai funkció költségvetésében meghatározott költség-kategóriák teljeskörûek-e, pontosak-e és
megfelelõen vannak-e besorolvaMegfelelõ rendszerben történik-e az informatikai funkció tevékenységeihez kapcsolódó költségek rutin
jellegû nyilvántartása, feldolgozása és az azokhoz kapcsolódó jelentések elkészítéseA költség-monitoring folyamat keretében megfelelõen összehasonlítják-e a tényleges és a tervezett
költségeketA költség/haszon elemzéseket megfelelõen ellenõrzi-e az érintett felhasználói csoport és az informatikai
vezetés, valamint szervezet felsõ vezetéseA költség-monitoring folyamatában alkalmazott eszközök hatékonyak-e és megfelelõen használják-e
azokat
PO5 Tervezés és SzervezetAz informatikai beruházás kezelése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 69
PO5Ez az oldal szándékosan maradt üresen.
70 I T G O V E R N A N C E I N S T I T U T E
PO6 Tervezés és szervezetA vezetõi célok és irányvonal kommunikálása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a vezetõi célok és irányvonal kommunikálása
A folyamattal szemben támasztott üzleti követelmény:
a felhasználók tájékoztatása a fenti célokról, és a célok megértetése
A megvalósítás feltételei:
szabályok kidolgozása és kommunikálása a felhasználók felé; továbbá olyanszabványok kidolgozása szükséges, amelyek a stratégiai választási lehetõsé-geket átültetik a gyakorlatban alkalmazható felhasználói szabályokba
Mérlegelendõ kérdések:
• világosan megfogalmazott szervezeti célok• az üzleti célokhoz kapcsolt technológiai elõírások/direktívák• magatartási/etikai kódex• a minõség iránti elkötelezettség• biztonsági és belsõ kontroll politika• biztonsági és belsõ kontroll gyakorlat• vezetés példák mutatásával• folyamatos tájékoztatási programok• útmutatás nyújtása és azok betartásának ellenõrzése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 71
PO6A VEZETÕI CÉLOK ÉS IRÁNYVONAL KOMMUNIKÁLÁSA
KONTROLL CÉLKITÛZÉSEK
1 Pozitív informatikai kontroll környezet2 A vezetés felelõssége a szabályok kidolgozásával kapcsolatban3 A szervezeti szabályok közlése4 A szabályok bevezetéséhez szükséges erõforrások5 A szabályok aktualizálása6 A szabályok, eljárások és szabványok betartása7 A minõség iránti elkötelezettség8 A biztonságra és a belsõ kontroll rendszerre vonatkozó szabályok9 Szellemi tulajdonjogok10 Konkrét kérdésekhez kapcsolódó szabályok11 Az informatikai biztonsági tudatosság kommunikálása
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:VezérigazgatóTermelési vezetõPénzügyi vezetõInformatikai vezetõBiztonsági felelõsAz informatikai felsõ vezetésAz informatikai tervezõ/irányító bizottság tagjai
Adatgyûjtés:A vezetés pozitív kontroll keretrendszeréhez és a tudatosságra irányuló programjához, a biztonsági és
belsõ kontroll keretrendszerhez, valamint az informatikai minõségirányítási programhoz kapcsolódószabályok és eljárások
A felsõ vezetés tervezési/irányítási feladatai és felelõsségeA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekA tervezõ/irányító bizottság üléseinek helyzetjelentései és jegyzõkönyveiA kommunikációs program
Megvizsgálandó kérdések:A szervezeti szintû szabályok és eljárások olyan keretrendszert és tudatosságra irányuló programot
alkotnak-e, amely kiemelt figyelmet fordít az informatikára, elõsegíti a pozitív kontroll környezetkialakítását és foglalkozik az alábbi kérdésekkel:• integritás, erkölcsi tartás• etikai értékek
72 I T G O V E R N A N C E I N S T I T U T E
Megvizsgálandó kérdések, folytatás• magatartási kódex• biztonsági és belsõ kontroll mechanizmusok• a személyzet kompetenciája• vezetési filozófia és irányítási stílus• az igazgatótanács illetve hasonló jellegû testület által biztosított számonkérhetõség, figyelem és
iránymutatásA felsõ vezetés személyes példamutatással támogatja-e a pozitív kontroll környezet kialakítását, illetve
fenntartásátA vezetés teljes körû felelõsséget vállalt-e az általános célkitûzéseket meghatározó szabályok kidolgo-
zására, megfogalmazására, dokumentálására, terjesztésére, kontrollálására és rendszeres felülvizs-gálatára
Létezik-e formális tudatosító program a vezetés által kialakított pozitív kontroll környezet folyamatoskommunikálására és az ahhoz kapcsolódó oktatásra
Megfelelõ szervezeti szabályok és eljárások gondoskodnak-e arról, hogy a szervezeti szabályokmegvalósításához szükséges erõforrások rendelkezésre álljanak a kellõ idõben
Megfelelõ eljárások gondoskodnak-e arról, hogy a alkalmazottak megértsék és betartsák a bevezetettszabályokat és eljárásokat
Az informatikai szabályok és eljárások formális filozófiát, szabályokat és célokat határoznak-e meg arendszerek és szolgáltatások minõségének szabályozására, biztosítják-e azok dokumentálását éskarbantartását, és azok összhangban állnak-e a szervezet filozófiájával, szabályaival és célkitûzéseivel
Az informatikai vezetés gondoskodik-e arról, hogy a minõségirányítási filozófiát, szabályokat éscélkitûzéseket megértsék, megvalósítsák és fenntartsák az informatikai funkció minden szintjén
Vannak-e érvényben olyan eljárások, amelyek biztosítják az informatikához kapcsolódó legfontosabbszabványok, utasítások, szabályok és eljárások rendszeres idõközönkénti felülvizsgálatának ésmegerõsített jóváhagyásának szükségességét
A felsõ vezetés teljes körû felelõsséget vállalt-e egy általános biztonsági és belsõ kontroll keretrendszerkidolgozására
A biztonsági és a belsõ kontroll keretrendszer dokumentuma meghatározza-e a biztonság és belsõ kontrollszabályait, célját és célkitûzéseit, irányítási struktúráját, a szervezeten belüli érvényességi körét, afelelõsségi köröket, valamint azt, hogy milyen büntetéseket illetve fegyelmi intézkedéseket von magaután a biztonsági illetve belsõ kontroll elõírások betartásának elmulasztása
Érvényben vannak-e olyan formális biztonsági és belsõ kontroll szabályok, amelyek meghatározzák aszervezet belsõ kontroll folyamatát és az alábbiak szerinti kontroll-elemeket foglalják magukba:• kontroll környezet• kockázat-becslés• irányítási és ellenõrzési tevékenységek• információk és kommunikáció• monitorozás
Érvényben vannak-e olyan konkrét kérdésekkel kapcsolatos szabályok, amelyek dokumentálják a vezetésmeghatározott tevékenységekkel, alkalmazásokkal, rendszerekkel illetve technológiákkal kapcso-latban meghozott döntéseit
PO6 Tervezés és SzervezetA vezetõi célok és irányvonal kommunikálása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 73
PO6A megfelelõség felmérése:
Tesztelendõ:A vezetés pozitív kontroll környezetet kialakítására irányuló erõfeszítései kitérnek-e az olyan kulcs-
fontosságú kérdésekre, mint az erkölcsi tartás, az etikai értékek, a magatartási kódex, a biztonsági ésbelsõ kontroll mechanizmusok, a személyzet kompetenciája, a vezetési filozófia és irányítási stílus, azigazgatótanács illetve hasonló jellegû testület által biztosított számonkérhetõség, figyelem és irány-mutatás
A alkalmazottak megkapták-e a szervezet magatartási kódexét és megértették-e aztA vezetés ténylegesen kommunikálja-e a szervezet belsõ kontroll környezetére vonatkozó szabályokat A vezetés ténylegesen rendelkezésre bocsátott-e erõforrásokat a belsõ kontroll környezetre vonatkozó
szabályok kidolgozására, megfogalmazására, dokumentálására, terjesztésére és kontrollálásáraA vezetés rendszeresen felülvizsgálja-e a szabványok, utasítások, szabályok és eljárások megfelelõségét
és a változó feltételekhez való alkalmazkodóképességétA vezetés folyamatos felügyeleti tevékenysége nyomán elégséges és megfelelõ erõforrások állnak-e a
kellõ idõben rendelkezésre a szervezeti szabályok megvalósításához A vezetés által a belsõ kontroll környezetre vonatkozó szabványok, utasítások, szabályok és eljárások
betartatására tett erõfeszítések biztosítják-e az azoknak való megfelelést a szervezet egészébenA minõségirányítási filozófia, szabályok és célkitûzések a szervezet egészére és az informatikai funkcióra
vonatkozó filozófia, szabályok és célkitûzések betartásának és konzisztenciájának irányába hatnak-eA kiválasztott informatikai vezetõk illetve fejlesztési és üzemeltetési munkatársak meghatározzák-e a
minõségirányítási filozófiát, és az informatikai funkción belül minden szinten megértik és betartják-eaz ahhoz kapcsolódó szabályokat, eljárásokat és célkitûzéseket
A minõség-mérési folyamatok biztosítják-e a szervezeti célkitûzések teljesítésétA vezetés kiválasztott tagjai, ellenõrzési feladataik részeként részt vesznek-e a biztonsági és belsõ kontroll
tevékenységek (ú.m. a kivételes esetekrõl történõ jelentéskészítés, egyeztetések, összehasonlítások,stb.) kidolgozásában és tisztában vannak-e azok tartalmával
Az egyéni feladatokat, felelõsségeket és hatásköröket egyértelmûen kommunikálják-e, és tisztábanvannak e azok tartalmával a szervezet minden szintjén
A kiválasztott osztályok értékelik-e az eljárásokat a biztonsági és belsõ kontroll tevékenységek (ú.m.kivételes esetekrõl történõ jelentéskészítés, egyeztetések, összehasonlítások, stb.) rutin jellegûmonitorozása céljából, és mûködik-e a vezetés felé történõ visszajelzés folyamata
A kiválasztott rendszer-dokumentációk megerõsítik-e azt, hogy a rendszer-specifikus vezetõi döntésekdokumentálásra és jóváhagyásra kerültek a szervezeti szabályokban és eljárásokban foglaltaknakmegfelelõen
A kiválasztott rendszer-dokumentációk megerõsítik-e azt, hogy az egyes konkrét tevékenységekkel,alkalmazásokkal, rendszerekkel illetve technológiákkal kapcsolatosan meghozott vezetõi döntéseket afelsõ vezetés jóváhagyta
74 I T G O V E R N A N C E I N S T I T U T E
PO6 Tervezés és SzervezetA vezetõi célok és irányvonal kommunikálása
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A vezetés informatikai kontroll keretrendszerének és tudatosító programjának összemérése hasonló
szervezetekéivel illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalA biztonsággal és a belsõ kontrollal kapcsolatos, jóváhagyott projektek közül választott minta részletes
áttekintése annak eldöntése céljából, hogy a projektek prioritási fokának meghatározása ésjóváhagyása megfelelõ kockázat- illetve költség/haszon elemzésekre épült-e
Feltárva az alábbiakat:Gyenge kontroll keretrendszer, amely megkérdõjelezi, hogy a vezetés elkötelezte magát egy pozitív belsõ
kontroll környezet kialakítása és fenntartása mellettAhol a vezetés nem kommunikálta megfelelõen a szervezet belsõ kontroll környezetére vonatkozó
irányelveitAhol nem állnak rendelkezésre megfelelõ erõforrások a belsõ kontroll környezetre vonatkozó irányelvek
megfogalmazásához, kidolgozásához, dokumentálásához, terjesztéséhez és kontrollálásáhozA nem idõszerû szabványok, utasítások, szabályok és eljárásokAhol a vezetésnek a megfelelõség monitorozására irányuló tevékenysége nem biztosítja azt, hogy a
szabványokat, utasításokat, szabályokat és eljárásokat a szervezet egészében betartsákAhol hiányosságok mutatkoznak az informatikai funkció minõség melletti elkötelezettsége, illetve arra
vonatkozó képessége terén, hogy hatékonyan meghatározza, dokumentálja, karbantartsa és kommu-nikálja a minõségre vonatkozó filozófiáját, szabályait és célkitûzéseit
Az informatikai funkció biztonsági és belsõ kontroll keretrendszerének hiányosságai és gyenge pontjaiAzok a hiányzó konkrét kérdésekre vonatkozó szabályok, amelyek bizonyos meghatározott
tevékenységek, alkalmazások, rendszerek illetve technológiák kezeléséhez szükségesek
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 75
PO6Ez az oldal szándékosan maradt üresen.
76 I T G O V E R N A N C E I N S T I T U T E
PO7 Tervezés és szervezetAz emberi erõforrások kezelése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az emberi erõforrások kezelése
A folyamattal szemben támasztott üzleti követelmény:
motivált és kompetens munkaerõ kialakítása és megtartása, és az alkalmazottak szemé-lyi hozzájárulásának maximálása az informatikai folyamatokhoz
A megvalósítás feltételei:
egységes, méltányos ás jól áttekinthetõ munkaerõ-gazdálkodási gyakorlat al-kalmazása a dolgozók felvétele, foglalkoztatása, gondozása, javadalmazása,képzése, értékelése, elõléptetése és elbocsátása terén
Mérlegelendõ kérdések:
• felvétel és elõléptetés• szakképzettségi és minõsítési követelmények• a tudatosság erõsítése• kereszt-képzés és a munkakörök rotációja• a munkaerõ-felvételre, gondozásra és elbocsátásra vonatkozó
eljárások• a teljesítmények objektív mérése és értékelése• a technikai és piaci változásokra való reagálás• a belsõ és külsõ erõforrások megfelelõ egyensúlya• a kulcspozíciók utódlására vonatkozó terv
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 77
PO7AZ EMBERI ERÕFORRÁSOK KEZELÉSE
KONTROLL CÉLKITÛZÉSEK
1 A dolgozók felvétele és elõléptetése2 A személyzet képzettsége és minõsítései3 Feladatok és felelõsségi körök4 A dolgozók képzése5 Átképzés vagy helyettesítés6 Személyes átvilágítási eljárások7 A dolgozók teljesítmény-értékelése8 A munkakörök változtatása és megszûntetése
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Emberi erõforrás-gazdálkodási vezetõ és a szakterület kiválasztott dolgozóiBiztonsági felelõsA biztonsági funkció kiválasztott dolgozóiAz informatikai vezetõAz informatikai emberi erõforrás-gazdálkodási felelõsAz informatikai vezetés kiválasztott tagjaiAz informatikai szervezeti egység kiválasztott dolgozóiAz informatikai funkció bizalmas pozícióit betöltõ kiválasztott személyek
Adatgyûjtés:Az emberi erõforrás-gazdálkodásra vonatkozó szabályok és eljárásokMunkaköri leírások, teljesítmény-értékelési lapok, képzési és fejlesztési ûrlapokBizonyos kiválasztott beosztásokat betöltõ személyek és a személyzet kiválasztott tagjainak személyzeti
nyilvántartási anyaga
Megvizsgálandó kérdések:A megüresedett állásokra jelentkezõk kiválasztásánál és felvételénél meghatározott szempontokat
alkalmaznak-eAz egyes beosztások betöltésére vonatkozó szakképzettségi elõírások figyelembe veszik-e a megfelelõ
szakmai szervezetek követelményeit is, ott ahol ez értelmezhetõA vezetés és az alkalmazottak elfogadják-e a munkaköri alkalmassági eljárástA képzési programok összhangban vannak-e az informatikai biztonsági kérdések oktatására és az azokkal
kapcsolatos általános tudatosságra vonatkozóan meghatározott minimális szervezetikövetelményekkel
A vezetés támogatja-e a személyzet képzését és a karrier-építéstFeltárják-e a szakmai és vezetõi ismeretek terén meglévõ hiányosságokat és megfelelõ intézkedéseket
tesznek-e ezek pótlására
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
78 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A felvételi illetve elõléptetési döntések és a kiválasztási kritériumok objektivitást tükröznek-e és
relevánsak-e az adott munkakörhöz kapcsolódó követelményekkelA alkalmazottak megfelelõ ismeretekkel rendelkeznek-e munkakörükre vagy felelõsségi területeikre
vonatkozó üzemi tevékenységekrõlLéteznek-e munkaköri leírások, azokat rendszeresen felülvizsgálják-e és napra készen tartják-eA személyzeti nyilvántartásokban megtalálható-e az alkalmazottak nyilatkozata arról, hogy tisztában
vannak a szervezet általános képzési és tájékoztató programjávalA kritikus funkciókat betöltõ, megfelelõ alkalmazottak folyamatos továbbképzésben részesülnek-eAz informatikai személyzet megfelelõ képzésben részesült-e a biztonsági eljárásokra és módszerekre
vonatkozóanAz informatikai vezetés és személyzet ismeri és megértette-e a szervezeti szabályokat és eljárásokatA biztonsági átvilágítás során alkalmazott nyomozási eljárások megfelelnek-e a személyes adatok
védelmére vonatkozó jogszabályok rendelkezéseinekA kritikus informatikai funkciókat ellátó alkalmazottaknak az üzleti célkitûzésekre vonatkozó ismeretei
kiterjednek-e a belsõ kontroll filozófiára, valamint az információrendszerek biztonságára éskontrolljára vonatkozó koncepciókra is
PO7 Tervezés és SzervezetAz emberi erõforrások kezelése
Megvizsgálandó kérdések, folytatásA kritikus munkakörökre vonatkozóan folyamatos-e a kereszt-képzés és helyettesítõ munkatársak
biztosításaÉrvényre juttatják-e a megszakítás nélküli szabadságolást Megfelelõ-e a szervezetnél mûködõ biztonsági átvilágítási folyamat A alkalmazottak kompetenciáját az egyes munkakörökre vonatkozóan elõre meghatározott egységes
szempontok szerint értékelik-e, és az értékelést rendszeres idõközönként elvégzik-e A munkakör-változtatással és elbocsátással kapcsolatos folyamatok gondoskodnak-e a szervezet erõforrá-
sainak védelmérõlAz emberi erõforrás-gazdálkodási szabályok és eljárások összhangban vannak-e a vonatkozó törvények és
jogszabályok rendelkezéseivel
Az alábbi feladatok elvégzése révén:Az emberi erõforrás-gazdálkodási tevékenységek összemérése hasonló szervezetek ilyen jellegû
tevékenységeivel illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz informatikai funkció emberi erõforrás-gazdálkodási tevékenységeinek részletes áttekintése
Feltárva az alábbiakat:A potenciális/tényleges állás-pályázók kifogásainak/sérelmeinek okaiRendellenességek a dolgozói felvételek, áthelyezések, elõléptetések és elbocsátások terén az alábbiak
nyomán:• a szabályok és eljárások be nem tartása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 79
• az illetékes vezetõ által jóvá nem hagyott intézkedések• a nem a munkaköri leírásokon illetve a meglévõ szakképzettségen alapuló intézkedések
Azok a dolgozók, akik:• nem rendelkeznek megfelelõ képzettséggel• képzési és fejlõdési lehetõségei nem a kompetenciájuk terén fennálló hiányosságokhoz
kapcsolódnak• esetében hiányzik a munkateljesítmény értékelése, illetve az értékelés nem kapcsolódik a betöltött
pozícióhoz és/vagy az elvégzett feladatokhoz• belépésük idején nem estek át megfelelõ biztonsági átvilágításon• nem estek át a rendszeres idõközönkénti biztonsági átvilágításon
Hiányosságok a képzési programok és a személyzeti fejlesztési tevékenységek terénHiányosságok a kereszt-képzés és a kulcsszemélyek helyettesítésének biztosítása terénA biztonsági szabályok tudomásul vételének alá nem írt elismervényeiAhol nem áll rendelkezésre megfelelõ költségkeret és idõ a képzési és a személyzeti fejlesztési
programokhozA kritikus funkciókat ellátó alkalmazottak azon munkaidõ-kimutatásai, amelyek nem jelzik, hogy szabad-
napokat és szabadságot vettek volna ki
PO7
80 I T G O V E R N A N C E I N S T I T U T E
PO8 Tervezés és szervezetA külsõ követelmények betartásának biztosítása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a külsõ követelmények betartásának biztosítása
A folyamattal szemben támasztott üzleti követelmény:
a jogi, jogszabályi és szerzõdéses kötelezettségek betartása
A megvalósítás feltételei:
a külsõ követelmények informatikai kihatásainak feltárása és elemzése, vala-mint az azoknak való megfelelést biztosító intézkedések meghozatala
Mérlegelendõ kérdések:
• törvények, jogszabályok és szerzõdések• a jogi és szabályozási környezet változásainak figyelemmel
kísérése• a szabályoknak való megfelelés rendszeres figyelemmel kísérése• balesetvédelem és ergonómia• személyiségi jogok• szellemi tulajdon
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 81
PO8A KÜLSÕ KÖVETELMÉNYEK BETARTÁSÁNAK BIZTOSÍTÁSA
KONTROLL CÉLKITÛZÉSEK
1 A külsõ követelmények áttekintése2 A külsõ követelmények betartásához kapcsolódó gyakorlat és eljárások3 A balesetvédelmi és ergonómiai elõírások betartása4 Személyiségi jogok, szellemi tulajdon, és adatáramlás5 Elektronikus kereskedelem6 A biztosítási szerzõdések betartása
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:Jogi tanácsadóEmberi erõforrás-gazdálkodási vezetõAz informatikai felsõ vezetés
Adatgyûjtés:Azok a kormányzati és/vagy külsõ követelmények (azaz törvények, jogszabályok, irányelvek,
rendelkezések és szabványok), amelyek a külsõ kapcsolatokra és a külsõ követelmények felülvizs-gálatára, a munka-, baleset- és egészségvédelemmel kapcsolatos kérdésekre (az ergonómiát isbeleértve), a személyes adatok védelmére, az információrendszerek biztonsági követelményeire és atitkosított adattovábbításra vonatkoznak
Az elektronikus kereskedelemre vonatkozó országos illetve nemzetközi számviteli szabványok/állás-foglalások
Az elektronikus kereskedelemre vonatkozó adózási szabályokAz alábbi területekre vonatkozó szabványok, szabályok és eljárások:
• a külsõ követelmények áttekintése• munkavédelem, baleset- és egészségvédelem (az ergonómiát is beleértve)• a személyes adatok védelme• biztonság• a bevitel, feldolgozás, tárolás, output és továbbítás alatt álló adatok bizalmassági fokozat szerinti
besorolása• elektronikus kereskedelem• biztosítás
Az összes elektronikus kereskedelmi partnerrel és az elektronikus adattovábbító (EDI) szolgáltatókkalmegkötött valamennyi szerzõdés másolata, ahol ez értelmezhetõ
Az informatikai funkcióhoz kapcsolódó összes biztosítási szerzõdés másolataiA jogi tanácsadó véleménye a biztosítási szerzõdésekre vonatkozó "uberrimae fidei" (a legteljesebb
jóhiszemûség) követelményérõl (Az "uberrimae fidei" elv megköveteli, hogy a feleknek tájékoztat-niuk kell egymást minden lényeges kockázati tényezõrõl. Ha ebben a vonatkozásban nem érvényesülta jóhiszemûség, a szerzõdést a károsult fél semmisnek tekintheti és azt a vétkes fél nem érvényesít-heti.)
A külsõ könyvvizsgálók, a külsõ szolgáltatók és a kormányzati szervek audit jelentései
82 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A külsõ követelmények áttekintése:
• aktuális, teljes körû és alapos-e a jogszabályi és szabályozási kérdések vonatkozásában• azonnali korrekciós intézkedéseket von-e maga után
Tartanak-e rendszeres munka-, baleset- és egészségvédelmi ellenõrzéseket az informatikai funkcióterületén a külsõ követelmények betartásának biztosítása érdekében
Megteszik-e a szükséges korrekciós lépéseket azokon a területeken, amelyek nem felelnek meg a munka-,baleset- és egészségvédelmi elõírásoknak
Betartják-e az informatikai funkciónál a személyes adatok védelmére és a biztonságra vonatkozódokumentált szabályokat és eljárásokat
A külföldre történõ adattovábbítások során nem sértik-e meg az érvényben lévõ export-jogszabályokatAz elektronikus kereskedelmi partnerekkel meglévõ szerzõdések megfelelõen figyelembe veszik-e a
szervezeti szabályokban és eljárásokban meghatározott követelményeketA meglévõ biztosítási szerzõdések megfelelõen figyelembe veszik-e a szervezeti szabályokban és eljárá-
sokban meghatározott követelményeket
PO8 Tervezés és SzervezetA külsõ követelmények betartásának biztosítása
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:Megfelelõ szabályok és eljárások vannak-e életben, amelyek:
• gondoskodnak a külsõ követelmények áttekintése alapján szükséges korrekciós intézkedésekkellõ idõben történõ végrehajtásáról és a követelményeknek történõ folyamatos megfelelésrõl
• összehangolják a külsõ követelmények áttekintését annak érdekében, hogy a korrekciósintézkedések végrehajtása kellõ idõben megtörténjen, így biztosítva a külsõ követelményeknekvaló megfelelést
• a megfelelõ munkavédelem, a baleset- és egészségvédelmi célkitûzések megvalósítását célozzák• gondoskodnak arról, hogy minden dolgozó megfelelõ munkavédelmi, baleset- és
egészségvédelmi oktatásban részesüljön• figyelemmel kísérik a vonatkozó munkavédelmi, baleset- és egészségvédelmi törvények és jog
szabályok elõírásainak betartását• megfelelõ figyelmet fordítanak a személyiségi jogok védelmének kérdésére, az ehhez kapcsolódó
valamennyi jogszabályi elõírás betartása érdekében• tájékoztatják a biztosítókat az informatikai környezetben bekövetkezett valamennyi lényeges
változásról• gondoskodnak a biztosítási szerzõdésben foglalt követelmények betartásáról• gondoskodnak az adatok felfrissítésérõl, amikor új/módosított biztosítási szerzõdés lép érvénybe
A biztonsági eljárások összhangban vannak-e a jogi követelményekkel és megfelelõen kezelik-e az alábbikérdéseket:• jelszó-védelem és hozzáférést korlátozó szoftver• engedélyezési eljárások• a terminálokra vonatkozó biztonsági intézkedések• adatrejtjelezési intézkedések• tûzfalas védelmi intézkedések• vírusvédelem• a szabálytalanságokról készített jelentések gyors, megfelelõ idõben történõ nyomonkövetése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 83
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A külsõ követelményeknek való megfelelés, valamint az EDI tevékenységekre és a biztosítási
szerzõdésekre vonatkozó követelmények összemérése hasonló szervezetekkel illetve a megfelelõnemzetközi szabványokkal/ágazati legjobb gyakorlattal
A külsõ követelmények áttekintésérõl készített anyagok részletes felülvizsgálata annak ellenõrzésecéljából, hogy megtették-e, a szükséges korrekciós intézkedéseket, illetve azok végrehajtása folya-matban van-e
A biztonsági jelentések részletes áttekintése annak megállapítása céljából, hogy a magánjellegû illetvebizalmas információk megfelelõ biztonsági és személyiségi jogi védelemben részesülnek-e(függetlenül attól, hogy azok ilyen minõsítése belsõ eljárások vagy külsõ rendelkezések alapjántörtént-e)
Feltárva az alábbiakat:Azok a külsõ követelmények, amelyeket nem tart be a szervezetA külsõ követelmények áttekintése nyomán kezdeményezett lényeges megoldatlan/korrigálatlan
intézkedésekA munkahelyi környezetben fennálló olyan baleset- és egészségvédelmi kockázatok (ideértve az
ergonómiát is), amelyekre vonatkozóan nincsenek érvényben megfelelõ elõírások Az adatáramláshoz és/vagy a külföldre történõ adattovábbításhoz kapcsolódó, a személyiségi jogok
védelme és a biztonság terén fennálló hiányosságok.Az elektronikus kereskedelem üzemkimaradásaiA kommunikációs folyamatokkal, a tranzakciós üzenetekkel, a biztonsággal és/vagy az adattárolással
kapcsolatos hiányosságok a kereskedelmi partnerekkel megkötött szerzõdésekbenA kereskedelmi partnerekkel meglévõ bizalmi kapcsolatok hiányosságaiA biztosítással való lefedettség gyenge pontjai illetve hiányosságaiA biztosítási szerzõdések feltételeinek megszegése
PO8Az alkalmazott titkosítási eljárás megfelel-e a jogszabályi elõírásoknak azokban az esetekben, ahol a
jogszabályok korlátozzák az alkalmazható titkosítási módot (pl. a kulcs hosszát)Azokban az esetekben, amelyekben a jogszabályok illetve a belsõ eljárások bizonyos adatelemekre
vonatkozóan magas fokú védelmet és/vagy titkosítást írnak elõ (pl. banki PIN kódok, adózásinyilvántartási számok, jelszavak, katonai hírszerzés), megadják-e ezt a védelmet/titkosítást az ilyenadatoknak
A szervezet által alkalmazott elektronikus adattovábbítási (EDI) eljárások megfelelnek-e a szervezetiszabályoknak és eljárásoknak valamint az egyes elektronikus kereskedelmi partnerekkel megkötöttszerzõdésekben foglalt rendelkezéseknek (továbbá az EDI szolgáltatóval kötött megállapodásnak,amennyiben van ilyen)
84 I T G O V E R N A N C E I N S T I T U T E
PO9 Tervezés és szervezetA kockázatok értékelése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a kockázatok felmérése
A folyamattal szemben támasztott üzleti követelmény:
a vezetés döntéseinek támogatása az informatikai célkitûzések teljesítése és az infor-matikai szolgáltatások ellátását fenyegetõ veszélyekre való reagálás által, a komplexitáscsökkentése, az objektivitás növelése és a fontos döntési tényezõk meghatározása révén
A megvalósítás feltételei:
az informatikai kockázatok feltárása és azok hatásainak elemzése több szak-mai területet átfogóan, valamint költséghatékony intézkedések megtétele akockázatok csökkentésére
Mérlegelendõ kérdések:
• a kockázat kezeléséért viselt felelõsség és annak számon-kérhetõsége
• a különbözõ fajta informatikai kockázatok (technológiai, bizton-sági, üzletvitel-folytonossági, szabályozási, stb.)
• a kockázat-tolerancia profilok meghatározása és kommunikálása• ok-okozati elemzések és kockázati 'brainstorming' megbeszélések• a kockázatok mennyiségi, illetve minõségi mérése• kockázat-becslési módszertan• kockázati cselekvési terv• a kockázat-becslés aktualizálása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 85
PO9A KOCKÁZATOK ÉRTÉKELÉSE
KONTROLL CÉLKITÛZÉSEK
1 Az üzleti kockázatok értékelése2 Kockázatértékelési stratégia3 A kockázatok azonosítása4 A kockázatok mérése5 Kockázati cselekvési terv6 Kockázatviselés7 A védelem kiválasztása8 A kockázatértékelés melletti elkötelezettség
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Az informatikai felsõ vezetésAz informatikai szervezeti egység kiválasztott dolgozóiA kockázat-kezeléssel foglalkozó alkalmazottakAz informatikai szolgáltatások kulcsfelhasználói
Adatgyûjtés:A kockázat-értékelésre vonatkozó szabályok és eljárásokAz üzleti kockázatok értékeléséhez kapcsolódó dokumentumokA mûködési kockázatok értékeléséhez kapcsolódó dokumentumokAz informatikai szervezeti egység kockázat-értékelési dokumentumaiA kockázatok és a kockázati fenyegetettség mérésének alapjaiA kockázat-értékelésben részt vevõ kiválasztott alkalmazottak személyzeti anyagaA fennmaradó kockázat lefedésére vonatkozó biztosítási szabályokA szakértõi véleményekA hasonló kérdésekben érintett társszervezetek, szakmai csoportok vizsgálataiA kockázatkezelési adatbázis vonatkozó adatai
Megvizsgálandó kérdések:Olyan szisztematikus kockázat-értékelési keretrendszer van-e érvényben, amely kiterjed a szervezeti
célkitûzések teljesítéséhez kapcsolódó informatikai kockázatokra és megfelelõ alapot képez annakmeghatározásához, hogy a kockázatok hogyan szorítandóak le egy elfogadható szintre
A kockázat-értékelési módszer gondoskodik-e a kockázat-értékelések rendszeres aktualizálásáról mindglobális, mind rendszer-specifikus szinten
Megfelelõ kockázat-értékelési eljárások gondoskodnak-e arról, hogy a feltárt kockázatok a külsõ és belsõtényezõket egyaránt magukban foglalják és figyelembe vegyék az auditok, az ellenõrzések és a feltártrendkívüli esetek eredményeit
A kockázatok azonosítására irányuló folyamat a szervezet egészére kiterjedõ célkitûzéseket foglal-emagába
86 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Betartják-e a kockázat-értékelési keretrendszerben foglaltakat abban az értelemben, hogy a kockázat
értékeléseket rendszeresen aktualizálják a kockázatok elfogadható szintre történõ leszorításaérdekében
A kockázat-értékelési dokumentáció megfelel a kockázat-értékelési keretrendszer elõírásainak, valamint adokumentációt megfelelõen készítik-e el és tartják karban
Az informatikai vezetés és személyzet tisztában van-e a kockázat-értékelési folyamattal és részt vesz-eabban
A vezetés tisztában van-e a kockázati tényezõkkel és a fenyegetések valószínûségévelAz illetékes alkalmazottak megértik-e és formálisan elfogadják-e a fennmaradó kockázatokatA felsõ vezetés megfelelõ idõben jelentést kap-e abból a célból, hogy áttekintse a feltárt kockázatokat és
maga is értékelje azokat, valamint figyelemmel kísérje a kockázatok csökkentése érdekében tettlépéseket
PO9 Tervezés és SzervezetA kockázatok értékelése
Megvizsgálandó kérdések, folytatásA rendszerek feldolgozási mûveleteinek változásait figyelemmel kísérõ eljárások gondoskodnak-e a
rendszerekre vonatkozó kockázatok és kockázati fenyegetettség megfelelõ idõben történõmódosításáról
Vannak-e érvényben eljárások a kockázat-értékelésre és a kockázatokat csökkentõ kontroll mechaniz-musok kidolgozására vonatkozó folyamatok állandó megfigyelésére és fejlesztésére
A kockázat-értékelési dokumentáció tartalmazza-e:• a kockázat-értékelési módszertan leírását• a jelentõs fenyegetettség és az azokhoz kapcsolódó kockázatok azonosítását• a kezelendõ kockázatokat és a kapcsolódó fenyegetettséget
A kockázatok meghatározásakor megfelelõ valószínûség-, gyakoriság- és fenyegetettség-elemzésitechnikákat alkalmaznak-e
A kockázat-értékelést végzõ alkalmazottak megfelelõ képzettséggel rendelkeznek-eA kockázatok, a fenyegetések és a fenyegetettség mértékének meghatározása és mérése formális mennyi-
ségi és /vagy minõségi (vagy kombinált) módszer alapján történik-e A kockázatok, a fenyegetések és a fenyegetettség mértékének mérésére alkalmaznak-e számításokat és
egyéb módszereketA kockázatok, a fenyegetések és a fenyegetettség mértékének csökkentését célzó intézkedések végrehaj-
tása kockázati cselekvési terv keretében történik-eA fennmaradó kockázati szint elfogadása során figyelembe veszik-e:
• a szervezeti szabályokat• a kockázatok meghatározását és mérését• a magában a kockázat-értékelési módszerben rejlõ bizonytalanságokat• a védelmi és kontroll mechanizmusok megvalósításának költségeit és eredményességét
A biztosítások lefedik-e a fennmaradó kockázatotAlkalmaznak-e formális mennyiségi és/vagy minõségi megközelítési módszereket a beruházások
maximális hozamát biztosító kontroll intézkedések kiválasztásáraMegfelelõ egyensúly van-e az alkalmazott felderítõ, megelõzõ, korrekciós és helyreállítási intézkedések
közöttFormális eljárások szerint történik-e a kontroll intézkedések céljainak kommunikálása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 87
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A kockázat-értékelési keretrendszer összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi
szabványokkal/ágazati legjobb gyakorlattalA kockázatok meghatározásához, méréséhez és a fennmaradó kockázat elfogadható szintre történõ
csökkentéséhez használt kockázat-értékelési módszer részletes áttekintése
Feltárva az alábbiakat:Felderítetlen kockázatokNem mért kockázatokAz elfogadható szintre le nem szorított kockázatok Elévült kockázat-értékelések és/vagy elévült információk a kockázat-értékelésekbenA kockázatok, fenyegetettség és a fenyegetettség mértékének hibás mennyiségi és/vagy minõségi méréseOlyan kockázati cselekvési tervek, amelyek nem eredményeznek költséghatékony kontroll mechanizmu-
sokat és biztonsági intézkedéseketA fennmaradó kockázat formális elfogadásának hiányaNem megfelelõ biztosítási lefedettség
PO9A kockázatok elemzésére alkalmazott módszer a kockázati fenyegetettség mennyiségi vagy minõségi
(illetve kombinált) mérését eredményezi-eA vezetés által meghatározott kockázatokat, fenyegetéseket és a fenyegetettség mértékét, valamint a
kockázatokkal kapcsolatos sajátosságokat alkalmazzák-e az egyes konkrét fenyegetések valamennyielõfordulásának feltárására
A kockázati cselekvési terv idõszerû-e, és költségtakarékos kontroll mechanizmusokat és biztonságiintézkedéseket tartalmaz-e a kockázatokból származó fenyegetettség csökkentésére
Meghatározták-e a prioritásokat a legmagasabbtól a legalacsonyabb fokig, és minden egyes kockázatravonatkozóan alkalmaznak-e megfelelõ ellenintézkedést az alábbiak szerint:• elõre tervezett, megelõzõ kockázat-csökkentõ kontroll mechanizmust• másodlagos, felderítõ kontroll mechanizmust• harmadlagos, korrekciós kontroll mechanizmust
A kockázatokkal szemben alkalmazott kontroll mechanizmusokra vonatkozó forgatókönyveketmegfelelõen dokumentálták-e, azok idõszerûek-e és a megfelelõ személyzet felé kommunikálták-eazokat
Az elfogadott fennmaradó kockázatokat megfelelõen lefedik-e a biztosítások, és azok esetében számoltake olyan különféle fenyegetésekkel, mint:• tûz, árvíz, földrengés, forgószél, terrorcselekmények, egyéb elõre nem látható természeti
katasztrófák• az alkalmazottak visszaélései a bizalmi felelõsségi körökkel • az üzletmenet megszakadása - elmaradt bevételek, elmaradt vevõk, stb.• egyéb olyan kockázatok, amelyekre általában nem terjednek ki a fenti informatikai és üzleti
kockázati/folytonossági tervek
88 I T G O V E R N A N C E I N S T I T U T E
PO10 Tervezés és szervezetA projektek irányítása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a projektek irányítása
A folyamattal szemben támasztott üzleti követelmény:
a projekt prioritások meghatározása és a projektek megfelelõ idõben és költségkeretenbelüli végrehajtása
A megvalósítás feltételei:
a projektek meghatározása és prioritási sorrendjük megállapítása a mûködésitervvel összhangban, továbbá minden egyes projektre vonatkozóan megfele-lõ projekt-irányítási technika kidolgozása és alkalmazása
Mérlegelendõ kérdések:
• a projektek szponzorálása a szervezet felsõ vezetése részérõl • program irányítás• projektirányítási képességek, szakmai felkészültség• a felhasználók bevonása• a feladatok lebontása, projekt mérföldkövek meghatározása és a
szakaszok jóváhagyása• a felelõsségi körök kijelölése• a mérföldkövek és a leszállítandó termékek teljesítésének szigorú
nyomonkövetése• költségkeret és emberi erõforrás szükséglet, a belsõ és
külsõ erõforrások kiegyensúlyozása• minõségbiztosítási tervek és módszerek• a programok és projektek kockázatainak
értékelése• a fejlesztésbõl az üzemeltetésre való áttérés
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 89
PO10A PROJEKTEK IRÁNYÍTÁSA
KONTROLL CÉLKITÛZÉSEK
1 Projektirányítási keretrendszer2 A felhasználó osztály részvétele a projekt kezdeményezésében3 A projekt munkacsoport tagjai és feladatai4 A projektek meghatározása5 A projektek jóváhagyása6 A projekt szakaszainak jóváhagyása7 Felsõ szintû projekt-terv 8 Rendszer-minõségbiztosítási terv9 A megerõsítõ vizsgálati módszerek tervezése10 Formális projekt-kockázatkezelés11 Tesztelési terv12 Képzési terv13 Megvalósítást követõ vizsgálati terv
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:A minõség irányításáért felelõs vezetõ Projekt minõségirányítási felelõs/koordinátorProjekt tulajdonosok/szponzorokProjekt munkacsoport vezetõMinõségbiztosítási koordinátorBiztonsági felelõsAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai vezetés
Adatgyûjtés:A projekt-irányítási keretrendszerre vonatkozó szabályok és eljárásokA projekt-irányítási módszertanra vonatkozó szabályok és eljárásokA minõségbiztosítási tervekre vonatkozó szabályok és eljárásokA minõségbiztosítási módszerekre vonatkozó szabályok és eljárásokSzoftver projekt keretterv1Szoftver minõségbiztosítási terv2Projekt helyzetjelentésekA tervezõ/irányító bizottság üléseinek helyzetjelentései és jegyzõkönyveiProjekt minõségbiztosítási jelentések
1 Software Project Master Plan (SPMP)2 Sofware Quality Assurance Plan (SQAP)
90 I T G O V E R N A N C E I N S T I T U T E
PO10 Tervezés és SzervezetA projektek irányítása
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:A projekt-irányítási keretrendszer:
• meghatározza-e a projekt-irányítás kiterjedési körét és határait• rendelkezik-e arról, hogy az egyes projekt indítási kérelmek esetében meg kell vizsgálni azt,
hogy azok mennyire vannak összhangban a jóváhagyott mûködési tervvel, és a projektek priori-tási fokát az e tervben foglaltaknak megfelelõen határozták-e meg
• meghatározza-e a valamennyi projektre adaptálandó és alkalmazandó projekt-irányítási módszer-tant, beleértve az alábbiakat:• projekt-tervezés• személyzettel való ellátás• a felelõsségi- és hatáskörök felosztása• a feladatok lebontása• a határidõk és az erõforrások tervezése• teljesítési mérföldkövek• ellenõrzési pontok• jóváhagyások
• teljes és naprakész-e• rendelkezik-e arról, hogy az érintett felhasználói osztály (tulajdonos /szponzor) vezetésének részt
kell vennie a fejlesztési, megvalósítási illetve módosítási projektek kidolgozásában és engedé-lyezésében
• meghatározza-e, azt, hogy milyen alapon kell kijelölni a projektben részt vevõ alkalmazottakat• meghatározza-e a projekt munkacsoport tagjainak felelõsségét és hatásköreit• rendelkezik-e arról, hogy a projekt munkálatainak megkezdése elõtt írásbeli dokumentum
formájában meg kell határozni a projekt jellegét és kiterjedési körét • rendelkezik-e arról, hogy olyan indító projekt-meghatározási dokumentum készüljön, amely
világosan megfogalmazza a projekt jellegét és kiterjedési körét• tartalmazza-e a projekt végrehajtásának alábbi okait:
• a megoldandó probléma illetve a fejlesztendõ folyamat ismertetése• a projekt szükségességének összefoglalása, amelynek megfogalmazása hangsúlyozza azt,
hogy a projekt mennyiben járul hozzá a szervezet célkitûzéseinek teljesítésére vonatkozófeltételek javításához
• a vonatkozó meglévõ rendszerek hiányosságainak elemzése• a gazdaságosabb illetve hatékonyabb mûködés számára megteremtésre kerülõ lehetõségek• a projekt által kielégítésre kerülõ, a belsõ kontroll illetve biztonság által támasztott igény
• meghatározza-e azt, hogy a javasolt projekt megvalósíthatósági tanulmányait hogyan kellelkészíteni és azokat a felsõ vezetés hogyan bírálja el és hagyja jóvá, beleértve az alábbiakat is:• a projekt környezete - hardver, szoftver, telekommunikáció• a projekt kiterjedési köre - mi tartozik bele és mi nem az elsõ és az azt követõ implementá-
ciók során• a projekt korlátjai - mit kell megtartani a projekt során még az esetben is, ha bizonyos rövid
távú javítási lehetõségek kézenfekvõnek tûnnének • a projekt szponzora illetve tulajdonosa számára jelentkezõ elõnyök és az általa viselendõ
költségek
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 91
PO10
A megfelelõség felmérése:
Tesztelendõ:Következetesen követték-e a projekt-irányítási módszertant és az összes követelményt teljesítették-eA projekt-irányítási módszertanról tájékoztatást kapott-e a projektben részt vevõ minden érintett dolgozóA projekt jellegének és kiterjedési körének írásbeli meghatározása megfelel-e az erre vonatkozóan
kialakított szabványos mintánakA tulajdonosok/szponzorok részvételének jellege és mértéke a projekt meghatározásában és engedé-
lyezésében, valamint annak összhangja a projekt-irányítási keretrendszerben meghatározott elvártrészvétellel
• felvázolja-e azt, hogy a fejlesztési folyamat egyes szakaszait (úm. a megvalósíthatósági tanul-mány elkészítése, a követelmények meghatározása, a rendszertervezés, stb.) milyen módon kelljóváhagyni a projekt következõ szakaszának megkezdése (úm. a programozás, a rendszertesztelése, a tranzakciók tesztelése, a párhuzamos tesztelés, stb.) elõtt
• elõírja-e azt, hogy valamennyi projekt esetében ki kell dolgozni egy szoftver projekt kerettervetés meghatározza-e a projekt teljes életciklusa alatti kontrollálásának módját, a projekt idõkereteit(mérföldköveit) és költségvetését
• megfelel-e a szervezet szoftver projekt keretterveire vonatkozó szabványnak, illetve annakhiányában valamilyen megfelelõ szabványnak
• elõírja-e azt, hogy valamennyi projekt esetében ki kell dolgozni egy szoftver minõségbiztosításitervet és gondoskodik-e arról, hogy ez a terv integrált legyen a szoftver projekt kerettervvel, ésminden érintett fél által hivatalosan felülvizsgálatra és jóváhagyásra kerüljön
• felvázolja-e azt, hogy a formális kockázatkezelési program milyen módon küszöbölje ki vagyminimalizálja a projekthez kapcsolódó kockázatokat
• rendelkezik-e arról, hogy valamennyi fejlesztési, megvalósítási illetve módosítási projektesetében tesztelési terv készüljön
• rendelkezik-e arról, hogy valamennyi fejlesztési, megvalósítási illetve módosítási projektesetében megfelelõ terv kerüljön kidolgozásra a tulajdonos/szponzor osztály és az informatikaifunkció dolgozóinak oktatására vonatkozóan
Figyelemmel kísérik-e a tervezett és tényleges teljesítési határidõk és költségek alakulását és jelentéstkészítenek-e arról a felsõ vezetésnek a projekt minden jelentõsebb szakaszában (ú.m. szoftverbeszerzés, hardver beszerzés, alkalmazásfejlesztés külsõ féllel kötött szerzõdés keretében, hálózatfej-lesztések, stb.)
Szükség van-e a megfelelõ szervezeti vezetõk jóváhagyására a tervezett határidõk és költségkeretek túllépéséhez
A szoftver minõségbiztosítási terv megfelel-e a szervezet erre vonatkozó szabványának, illetve annakhiányában a fentebb megjelölt kritériumoknak
A szoftver minõségbiztosítási tervvel kapcsolatos megerõsítõ vizsgálati feladatok támogatják-e az újilletve módosított rendszerek jóváhagyását, és bizonyosságot adnak-e arról, hogy a belsõ kontrollmechanizmusok és a biztonsági jellemzõk megfelelnek a követelményeket
Minden projekt tulajdonos/szponzor hozzájárult-e mind a szoftver projekt keretterv, mind a szoftverminõségbiztosítási terv kidolgozásához, és egyetértett-e azzal, hogy mik legyenek a projekt végter-mékei
A projektirányítási keretrendszer szerves részét képezi-e a megvalósítást követõ ellenõrzési folyamat,amely azt vizsgálja, hogy az új illetve módosított információrendszerek megvalósították-e a tervezettelõnyöket
92 I T G O V E R N A N C E I N S T I T U T E
PO10 Tervezés és SzervezetA projektek irányítása
Tesztelendõ, folytatásBetartották-e a projekt végrehajtásában részt vevõ alkalmazottak kijelölésére és a projekt csoporttagok
felelõsségi- és hatásköreinek meghatározására vonatkozó elõírásokatVannak-e arra bizonyítékok, hogy még a projekt munkálatainak megkezdése elõtt írásban és egyértelmûen
meghatározták a projekt jellegét és kiterjedési körétElkészült-e és jóváhagyásra került-e a vonatkozó megvalósíthatósági tanulmányA fejlesztési projekt minden egyes szakaszát jóváhagyták-e az érintett tulajdonosok/szponzorok és az
informatikai vezetésTeljesítették-e és a szoftver projekt keretterv elõírásainak megfelelõen elfogadták-e a projekt minden
egyes szakaszátA szoftver projekt keretterv és a szoftver minõségbiztosítási terv kidolgozása és jóváhagyása a projekt
irányítási keretrendszerrel összhangban történt-eA szoftver projekt keretterv és a szoftver minõségbiztosítási terv kellõ részletességû és specifikus-eA kötelezõen elõírt teendõket /jelentéseket valóban végrehajtották/elkészítették-e (ú.m. a felsõ vezetõi
irányító bizottság üléseire, a projekt értekezletekre és a hasonló egyeztetésekre az elõre meghatározottidõközönként került-e sor, az ülésekrõl készültek-e jegyzõkönyvek és azokat megkapták-e az érintettfelek, valamint elkészültek-e az elõre meghatározott jelentések és azokat megkapták-e az érintettfelek)
A projekt-irányítási keretrendszernek megfelelõen sor került-e a tesztelési terv kidolgozására ésjóváhagyására, és az kellõ részletességû és specifikus-e
A tesztelési tervben meghatározott kötelezõ teendõket/jelentéseket valóban végrehajtották/elkészítették-eMeghatározták a projektek jóváhagyásának követelményeit, és azok(at):
• a célokból és a teljesítmény-mutatókból vezették le• a jóváhagyott mennyiségi követelményekbõl származtatták • garantálják a biztonsági és belsõ kontroll követelményeknek való megfelelést• az alapvetõ "Mit" kérdéshez kapcsolódnak, nem az önkényes "Hogyan"-hoz• meghatározzák az elfogadás illetve elutasítás formális eljárását• rövid határidõn belül objektíven bemutathatók és leellenõrizhetõk • nem csupán újra fogalmazzák a tervezési dokumentumokban leírt követelményeket
Alkalmaztak-e projekt-kockázatkezelési programot a projekthez kapcsolódó kockázatok meghatározása éskiküszöbölése, illetve legalábbis minimalizálása céljából
Betartották-e a tesztelési terveket, a tulajdonos/szponzor, valamint a programfejlesztõ és a minõségbiz-tosítási funkció készített-e írásbeli jegyzõkönyveket a tesztelés felülvizsgálatairól, és az elfogadásieljárás a terveknek megfelelõen folyt-e le
Készült-e írásos terv az érintett tulajdonos/szponzor dolgozói és az informatikai személyzet számára, azelégséges idõt biztosított-e a szükséges oktatás befejezéséhez, és a tervet valóban felhasználták-e aprojekt során
Betartották-e a projekt megvalósítását követõ ellenõrzési eljárásra vonatkozóan elkészített tervet
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 93
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A projekt-irányítási keretrendszer összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi
szabványokkal/ágazati legjobb gyakorlattalAz alábbiak részletes áttekintése:
• a projekt keretterv a tulajdonos/szponzor részvétele mértékének, valamint a projektmeghatározására, engedélyezésére és végrehajtására vonatkozó általános eljárásmegfelelõségének meghatározása céljából, beleértve az alábbiakat:• a rendszer funkciók meghatározása• megvalósíthatóság, a projekt adott korlátjai• a rendszer költségei és a rendszerbõl származó elõnyök meghatározása• a rendszer kontroll mechanizmusainak megfelelõsége• a tulajdonos/szponzor más rendszereire gyakorolt hatás és az azokkal való integrálódás• a tulajdonos/szponzor által biztosított erõforrások (pénz és emberek)• a projektben részt vevõ személyek felelõsségi- és hatásköreinek meghatározása• az elfogadási kritériumok megfelelõsége mind a kívánalmak, mind a teljesíthetõség szempon-
tjából • a mérföldkövek és ellenõrzési pontok alkalmazása a projekt különbözõ szakaszainak engedé-
lyezése során• Gantt ábrák, problémajelentési naplók, ülésekrõl készített emlékeztetõk, jegyzõkönyvek, stb.
használata a projekt irányításában• minõségbiztosítási jelentések, amelyekbõl meghatározható, hogy léteznek-e rendszeresen elõfor-
duló problémák a szervezet rendszer-minõségbiztosítási tervezési folyamatában• a formális projekt-kockázatkezelési program, amelybõl meghatározható, hogy a kockázatokat
feltárták és kiküszöbölték-e, illetve legalább minimalizálták-e• a tesztelési terv végrehajtása annak megállapítása céljából, hogy alapos tesztelést hajtottak-e
végre a teljes rendszerfejlesztési, megvalósítási illetve módosítási projektre vonatkozóan• a képzési terv végrehajtása annak megállapítása céljából, hogy a tulajdonos/szponzor osztályok és
az informatikai funkció dolgozói megfelelõ felkészítést kaptak- e a rendszer használatáravonatkozóan
• a projekt megvalósítását követõ ellenõrzés annak megállapítása céljából, hogy megtörtént-e atervezett és a projekt által realizált elõnyök összevetése
Feltárva az alábbiakat:Azok a projektek, amelyek:
• irányítása nem megfelelõ• túllépik a teljesítési határidõket• túllépik a költségkeretet• elszabadultak az ellenõrzés alól• nem kerültek engedélyezésre• technikai szempontból kivitelezhetetlenek• költségei nem indokoltak• nem hozzák meg a tervezett eredményeket
PO10
94 I T G O V E R N A N C E I N S T I T U T E
Feltárva az alábbiakat, folytatás• nem tartalmaznak ellenõrzési pontokat• folytatását nem hagyják jóvá a fontos ellenõrzési pontoknál• implementációjának jóváhagyása nem történt meg• nem felelnek meg a belsõ kontrollra és a biztonságra vonatkozó követelményeknek• nem küszöbölik ki, vagy nem csökkentik a kockázatokat• nem kerültek alapos tesztelésre• esetében nem került sor a szükséges oktatásra, vagy az nem volt megfelelõ• esetében nem került sor megvalósítás utáni ellenõrzésre
PO10 Tervezés és SzervezetA projektek irányítása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 95
PO10Ez az oldal szándékosan maradt üresen.
96 I T G O V E R N A N C E I N S T I T U T E
PO11 Tervezés és szervezetA minõségirányítás
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a minõségirányítás
A folyamattal szemben támasztott üzleti követelmény:
az informatikai felhasználók igényeinek kielégítése
A megvalósítás feltételei:
olyan minõségirányítási szabványok és rendszerek tervezése, alkalmazása éskarbantartása, amelyek világosan meghatározzák az egyes fejlesztési szaka-szokat, a leszállítandó termékeket és a felelõsségi köröket
Mérlegelendõ kérdések:
• a minõséghez kapcsolódó vállalati kultúra kialakítása• minõségi tervek• minõségbiztosítási felelõsség• minõségellenõrzési gyakorlat• rendszerfejlesztési életciklus módszertan• a programok és rendszerek tesztelése és dokumentálása• minõségbiztosítási ellenõrzések és jelentések• a végfelhasználók és a minõségbiztosítási dolgozók képzése és
bevonása• minõségbiztosítási tudásbázis kialakítása• ágazati normák szerinti összehasonlítás
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 97
PO11A MINÕSÉGIRÁNYÍTÁS
KONTROLL CÉLKITÛZÉSEK
1 Általános minõségirányítási terv2 Minõségbiztosítási stratégia3 A minõségbiztosítás tervezése4 Az informatikai szabványok és eljárások betartására vonatkozó minõségbiztosítási felülvizsgálat5 Rendszerfejlesztési életciklus módszertan6 Rendszerfejlesztési életciklus módszertan az alkalmazott technológia jelentõs megváltoztatása esetén7 A rendszerfejlesztési életciklus módszertan aktualizálása8 Koordináció és kommunikáció9 A technológiai infrastruktúra beszerzésére és karbantartására vonatkozó keretrendszer10 Kapcsolattartás külsõ rendszermegvalósítókkal/fejlesztõkkel11 Program dokumentációs szabványok12 Program tesztelési szabványok13 Rendszer tesztelési szabványok14 Párhuzamos futtatás/kísérleti tesztelés15 A rendszer tesztelés dokumentációja16 A fejlesztési szabványok betartását ellenõrzõ minõségbiztosítási értékelés17 Az informatikai célkitûzések teljesítésére vonatkozó minõségbiztosítási ellenõrzés18 A minõség mérése19 Jelentéskészítés a minõségbiztosítási ellenõrzésekrõl
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:VezérigazgatóAz informatikai tervezõ/irányító bizottság tagjaiInformatikai vezetõBiztonsági felelõsA szervezet minõségirányításáért felelõs vezetõjeAz informatikai szervezeti egység minõségirányítási felelõse Az informatikai vezetésRendszer-tulajdonosok/szponzorok
Adatgyûjtés:A minõségbiztosításra, a rendszerfejlesztésre és a rendszerek dokumentálására vonatkozó szabályok és
eljárásokA felsõ vezetés irányítási feladatai és felelõsségeA szervezeti stratégiai terv, minõségirányítási politika, minõségirányítási kézikönyv és minõségirányítási
tervAz informatikai stratégiai terv, minõségirányítási politika, minõségirányítási kézikönyv, minõségirányítási
terv és konfiguráció kezelési terve
98 I T G O V E R N A N C E I N S T I T U T E
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:A minõségirányítási terv:
• a szervezet hosszú- és rövid távú terveire épül-e• támogatja-e a folyamatos fejlõdés filozófiáját és választ ad-e a mit, ki és hogyan alapkérdésekre• teljes és naprakész-e
Az informatikai minõségirányítási terv:• a szervezet általános minõségirányítási tervére és a hosszú- és rövid távú informatikai tervekre
épül-e• támogatja-e a folyamatos fejlõdés filozófiáját és választ ad-e a mit, ki és hogyan alapkérdésekre• teljes és naprakész-e
Létezik-e szabványos minõségbiztosítási módszertan, és az:• érvényes-e mind az általános, mind a projekt-specifikus minõségbiztosítási tevékenységekre
egyaránt • skálázható, és így minden projektre alkalmazható-e• világos és egyértelmû-e a projektekben és a minõségbiztosítási feladatok ellátásában részt vevõ
személyek számára• kiterjed-e a projektek minden egyes szakaszára
A szabványos minõségbiztosítási módszertan meghatározza-e azt, hogy milyen típusú minõségbiztosításitevékenységeket (és konkrét vizsgálatokat, auditokat, ellenõrzéseket, stb..) kell elvégezni az általánosminõségirányítási tervben megfogalmazott célkitûzések teljesítése érdekében
A minõségbiztosítási tervezési eljárás elõírja-e a minõségbiztosítási tevékenységek kiterjedési körét ésvégrehajtásának ütemezését
A minõségbiztosítási vizsgálatok értékelik-e, az informatikára vonatkozó szabványok, szabályok éseljárások általános betartását
A felsõ vezetés meghatározta és bevezette-e az informatikára vonatkozó szabványokat, szabályokat éseljárásokat, beleértve egy akár házon belül kifejlesztett, akár megvásárolt, illetve a kettõ együtteseredményeként kialakított formális rendszerfejlesztési életciklus módszertant is
A rendszerfejlesztési életciklus módszertan:• szabályozza-e a számítógépes információrendszerek és az azokhoz kapcsolódó technológiák
fejlesztésének, beszerzésének, megvalósításának és karbantartásának folyamatát• támogatja-e és ösztönzi-e a szervezet és az informatikai funkció hosszú- és rövid távú terveivel
összhangban álló rendszerfejlesztési/módosítási elképzeléseket• olyan strukturált fejlesztési illetve módosítási folyamatot ír-e elõ, amely ellenõrzési pontokat
tartalmaz a legfontosabb döntési pontoknál és megköveteli a további munkák engedélyezésétminden egyes ellenõrzési pontnál
• teljes és naprakész-e
PO11 Tervezés és SzervezetA minõségirányítás
Adatgyûjtés, folytatásValamennyi minõségbiztosítási funkció szabályzataAz egyes minõségbiztosítási tervezési értekezletek jegyzõkönyveiA rendszerfejlesztési életciklus módszertan felülvizsgálata céljából összehívott ülések jegyzõkönyveiA rendszerfejlesztési életciklus módszertan felülvizsgálatáról készített dokumentumok másolataiA tervezõ/irányító bizottság helyzetjelentései és üléseinek jegyzõkönyvei
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 99
PO11• testre szabható/skálázható-e minden olyan fejlesztéshez, amelyre a szervezetnél sor kerül• mind a szoftverek kivitelezésére, mind karbantartására alkalmazható-e, a házon belül kifejlesztett
és a vásárolt szoftverek esetében egyaránt• megfelelõ elõírásokat tartalmaz-e a technológiai változásokra vonatkozóan• beleilleszkedik-e a technológiai infrastruktúra beszerzésére és karbantartására vonatkozó
általános keretrendszerbe• a benne foglalt lépéseket (például beszerzés; programozás, dokumentálás és tesztelés; paraméter
beállítás, karbantartás, hibajavítás) a technológiai infrastruktúra beszerzésére és karbantartásáravonatkozó általános keretrendszer vezérli-e, és azok összhangban állnak-e a keretrendszerrel
• megkövetel-e olyan elõírásokat, amelyek a külsõ rendszer-szállítókra vonatkozó átadás/átvételikritériumok meghatározására, a változások és problémák kezelésének módjára, a projektbenérintettek feladataikra, a létesítményekre, a szoftver-eszközökre és a szoftverekre vonatkozószabványokra és eljárásokra vonatkoznak
• elõírja-e azt, hogy részletes program- és rendszer-dokumentációt kell vezetni (ú.m. folya-matábrákat, adatáramlási diagramokat, a programokhoz fûzött írásos magyarázatokat, stb.), ésezekrõl a követelményekrõl minden érintett dolgozót tájékoztatni kell
• elõírja-e azt, hogy a dokumentációkat napra készen kell tartani a végrehajtott változtatásoknakmegfelelõen
• elõírja-e azt, hogy szigorú és szilárdan megalapozott program/rendszer-tesztelést kell végezni• meghatározza-e azokat a körülményeket, amelyek esetén párhuzamos rendszer futtatást illetve
kísérleti rendszer üzemeltetésével végrehajtott tesztelést kell végrehajtani az új illetve módosítottrendszerekre vonatkozóan
• elõírja-e azt, hogy minden egyes rendszerfejlesztési, megvalósítási illetve módosítási projektrészeként a teszteléseket független módon kell ellenõrizni, dokumentálni és megõrizni
• elõírja-e a projekt eredményeit beágyazó projektek engedélyezését• elõírja-e azt, hogy új rendszerek kifejlesztése vagy a meglévõk módosítása esetén költség/haszon
elemzést kell végezni A szervezet minõségbiztosítási módszertana:
• elõírja-e azt, hogy megvalósítást követõ ellenõrzést kell végezni annak biztosítása céljából, hogyvalamennyi új vagy módosított rendszer kifejlesztése és üzembe állítása a szervezet rendszerfe-jlesztési életciklus módszertanának megfelelõen történjék, illetve annak ellenõrzése céljából,hogy azt a projekt munkacsoport betartotta-e
• elõírja-e annak ellenõrzését, hogy az új illetve módosított rendszerek milyen mértékbenteljesítették a vezetés által velük kapcsolatban meghatározott célkitûzéseket
• rendelkezik-e arról, hogy olyan jelentések készüljenek a vezetés számára (mind a felhasználói,mind az informatikai vezetés felé), amelyek javaslatokat fogalmaznak meg a rendszerfejlesztésreés az eredményesség fokozására
• rendelkezik-e olyan javaslatokról, amelyek megvalósítását rendszeresen nyomon követik és azilletékes felsõ vezetõk számára jelentik
Az informatikai funkció felsõ vezetése rendszeres idõközönként felülvizsgálja és aktualizálja-e a rendsz-erfejlesztési életciklus módszertant annak érdekében, hogy az megfelelõ alapot nyújtson az újfejlesztésekhez/módosításokhoz és az új technológiákhoz
Változó szintû kontrollt alkalmaznak-e a különbözõ típusú fejlesztési és módosítási projektek esetében(például a nagyobb projekteknél több és mélyebb kontroll mechanizmust alkalmaznak-e, mint akisebb projektek esetében)
100 I T G O V E R N A N C E I N S T I T U T E
Megvizsgálandó kérdések, folytatásMegfelelõ együttmûködés és kommunikáció valósul-e meg az informatikai felhasználók és a rendszer
implementálók között a rendszerfejlesztés teljes életciklusa alattA szervezet különbözõ funkcionális egységeinek képviselõi (pl. informatikai vezetés, biztonsági felelõs,
jogi munkatársak, minõségbiztosítási alkalmazottak, belsõ ellenõrök, felhasználók, stb.) megfelelõmértékben részt vesznek-e a rendszerfejlesztésben
Bevezettek-e a tevékenységek mérésére olyan mutatókat, amelyek lehetõvé teszik annak értékelését, hogya minõségi célkitûzések teljesültek-e
PO11 Tervezés és SzervezetA minõségirányítás
A megfelelõség felmérése:
Tesztelendõ:Az informatikai minõségirányitási terv kidolgozására irányuló eljárások tartalmazzák-e az alábbi
inputokat:• a szervezet hosszú- és rövid távú tervei• a hosszú- és rövid távú informatikai tervek• a szervezeti szintû minõségirányítási szabályzat• az informatikai funkció minõségirányítási szabályzata• a szervezeti szintû minõségirányítási terv• az informatikai konfiguráció-kezelési terv
Az informatikai minõségirányítási terv a hosszú- és rövid távú informatikai tervekre épül-e, amelyekmeghatározzák-e:• az alkalmazási rendszerek fejlesztésére elõirányzott erõfeszítéseket és/vagy azok beszerzéseit• a más rendszerekhez (belsõ vagy külsõ) történõ kapcsolódást• a rendszerek és az interfészek támogatásához szükséges platformokat/infrastruktúrát• a célként meghatározott informatikai környezet kialakításához/támogatásához szükséges erõforrá-
sokat (pénzügyi és emberi erõforrásokat egyaránt)• a célként meghatározott informatikai környezet kialakításához/támogatásához szükséges képzést
Az informatikai minõségirányítási terv foglalkozik-e az alábbi kérdésekkel:• a mind a belsõ, mind a külsõ ügyfelek számára nyújtandó szolgáltatás tervezett szintje,
egyértelmû és mérhetõ fogalmakkal kifejezve• minden egyes rendszerre és platformra vonatkozóan a leállások/kiesések maximálisan
megengedett szintje, egyértelmû és mérhetõ fogalmakkal kifejezve • a teljesítményre/üzemszünetre vonatkozó célkitûzések teljesülésének figyelemmel kíséréséhez
szükséges teljesítményi statisztikák, beleértve azok jelentésének módját és a jelentésekszétosztásának körét is
• azok a monitorozási/felülvizsgálati folyamatok, amelyek annak biztosítására szükségesek, hogyaz informatikai környezet/infrastruktúra terén végrehajtott, a hosszú- és rövid távú informatikaitervekben meghatározott fejlesztések/módosítások/váltások jól tervezettek, kellõen monitoro-zottak és megfelelõ erõforrással ellátottak legyenek, és tesztelésük, oktatásuk, dokumentálásuk ésmegvalósításuk megfelelõ módon történjék
• a minõségirányítási terv aktualizálásának idõintervallumaiA minõségbiztosítással foglalkozó munkatársak következetesen betartják-e a minõségbiztosítási módszer-
tanban és tervben, valamint az egyéb idevonatkozó mûködési eljárásokban megfogalmazott elõírá-sokat
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 101
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A rendszerfejlesztési életciklus módszertan összemérése hasonló szervezetekével illetve a megfelelõ
nemzetközi szabványokkal/ágazati legjobb gyakorlattalA minõségirányítási tervben meghatározott teljesítmény-mutatók részletes áttekintése és annak megál-
lapítása, hogy azok:• teljesíthetõek-e• megfelelnek-e a vállalati követelményeknek/elvárásoknak• megfelelnek-e a felhasználói követelményeknek/elvárásoknak• mérhetõek-e
A projektek közül választott minta részletes vizsgálata annak ellenõrzése céljából, hogy:• betartották-e a rendszerfejlesztési életciklus módszertan elõírásait
PO11A rendszerfejlesztési életciklus módszertan megfelelõ-e arra, hogy biztosítsa az alábbiakat:
• megfelelõ szintû kontroll az új rendszerek és technológiák kifejlesztésének folyamata során• a rendszerek fejlesztésében és karbantartásában résztvevõ valamennyi alkalmazott felé irányuló
kommunikáció•eljárások alkalmazása a technológia változásaira vonatkozóan • eljárások alkalmazása a felhasználói elfogadásra és írásbeli jóváhagyásra vonatkozóan• a külsõ rendszer-megvalósítókkal kötött megállapodások megfelelõsége
A felhasználók tisztában vannak-e a rendszerfejlesztési életciklus módszertan irányítási és ellenõrzésieljárásaival és követelményeivel
A rendszerfejlesztési életciklus módszertan változáskezelési mechanizmusai lehetõvé teszik-e a módszer-tan megváltoztatását, és a módszertan "élõ" dokumentum-e
A szervezet rendszerfejlesztési életciklus módszertana felülvizsgálatainak és módosításainak naplójatükrözi-e azt, hogy milyen új rendszerek és technológiák bevezetését vették fontolóra, illetve melyekvárhatóak a jövõben
Az elvégzett program- és rendszer-tesztek eredményeit (beleértve a párhuzamos rendszer futtatások/kísér-leti rendszer tesztelések eredményeit is) felülvizsgálják-e és megõrzik-e a késõbbi tesztekhez
Megfelelõ folyamat mûködik-e a tesztelés során felmerült problémák megoldásáraA minõségbiztosítási személyzet végrehajtotta-e a megvalósítást követõ ellenõrzéstA rendszerfejlesztési projektekben a felhasználók képviseletében részt vett munkatársak elégedettek-e a
módszertan jelenlegi alkalmazásávalA minõségbiztosítási személyzet tisztában van-e a szervezeten belüli szerepkörévelSzükséges-e valamennyi rendszer-tesztelést követõen minõségbiztosítási ellenõrzést végezni, és a
tesztelés eredményeit át kell-e tekintenie és jóvá kell-e hagynia az informatikai vezetésnek, aminõségbiztosítási funkciónak és a felhasználói személyzetnek
A minõségbiztosítási ellenõrzések korrekciós vezetõi intézkedésekhez vezetnek-eSor kerül-e a megvalósítást követõ ellenõrzésekre, azok eredményeirõl tájékoztatást kap-e a felsõ vezetés,
és kell-e cselekvési tervet kidolgozni az implementáció valamennyi javításra szoruló területérevonatkozóan
Sor kerül-e a minõségirányítási célok teljesítésében elért eredmények mérésére és megteszik-e aszükséges intézkedéseket
Az alábbi feladatok elvégzése révén, folytatás• a rendszerfejlesztési életciklus módszertan bármely testre igazítása/skálázása megfelelõn történt-e
és jóváhagyásra került-e• a jóváhagyásokat valamennyi ellenõrzési ponton beszerezték-e, és az arra illetékes személyektõl
szerezték-e be (pl.: az informatikai biztonsági felelõs, a minõségbiztosítási felelõsök, afelhasználói osztályok képviselõi)
• szoros együttmûködés és megfelelõ kommunikáció valósult-e meg a felhasználói osztályok és arendszer kiépítõi (akár belsõ, akár külsõ) között
• betartották-e a technikai infrastruktúra beszerzésére és karbantartására vonatkozó keretrendszerelõírásait valamint annak valamennyi releváns lépését
• a fejlesztés/módosítás kielégítõ eredménnyel és kellõ idõben fejezõdött-e be• elkészültek-e a minõségbiztosítási ellenõrzések megfelelõ jelentései és kellõ idõben megtették-e a
szükséges korrekciós intézkedéseketA program- és rendszer-dokumentációk elkészítése, felülvizsgálata, jóváhagyása és karbantartása
módjának részletes áttekintéseA program- és rendszer-tesztelések (a párhuzamos futtatást/kísérleti rendszer tesztet is beleértve),
valamint a dokumentációk elvégzése ill. elkészítése, felülvizsgálata, jóváhagyása és karbantartásamódjának részletes áttekintése
A minõségbiztosítási funkció által elvégzett megvalósítást követõ vizsgálat folyamatának részletes átte-kintése annak megállapítása céljából, hogy a jelentések kitérnek-e a rendszerfejlesztési életciklusmódszertan elõírásainak betartására, valamint az újonnan megvalósított/módosított rendszerekeredményességére és minõségirányítási aspektusaira vonatkozó kérdésekre
Feltárva az alábbiakat:Az olyan minõségirányítási tervek, amelyek nem kapcsolódnak a hosszú- és rövid távú tervekhezAz olyan esetek, amelyek során a rendszerfejlesztési életciklus módszertan elõírásainak mellõzésére,
illetve túlzott alkalmazására került sor (ú.m. túlzott strukturáltság a kis projekteknél és elégtelen anagyoknál)
A rendszerfejlesztési életciklus módszertan helytelen alkalmazása (ú.m. a házon belüli fejlesztésrevonatkozó rendszerfejlesztési életciklus módszertan alkalmazása egy megvásárolt szoftverbevezetésére anélkül, hogy azt ennek megfelelõen módosították volna)
Az olyan esetek, amelyekben elégtelen volt vagy hiányzott az együttmûködés és kommunikáció a rend-szerfejlesztési folyamatban részt vevõ személyek között (beleértve a külsõ szolgáltatókat is)
Ahol a technológiai infrastruktúra beszerzésének és karbantartásának lépéseit (ú.m. beszerzés,programozás, dokumentálás és tesztelés, paraméter beállítás, hibajavítás, stb.) nem követtékmegfelelõ módon
Ahol a program- és/vagy rendszer-dokumentációk hiányoznak, nem megfelelõek, illetve nem naprakészek Ahol nem, vagy nem megfelelõen hajtották végre a programok/rendszerek tesztelését (beleértve a
párhuzamos rendszer futtatást/kísérleti rendszeren való tesztelést is), illetve nem, vagy nemmegfelelõen dokumentálták azokat
Ahol nem, illetve nem megfelelõen hajtották végre a minõségbiztosítási ellenõrzéseket és a megvalósítástkövetõ utóellenõrzéseket
Ahol a minõségbiztosítási ellenõrzések és a kiépítés utáni ellenõrzések eredményeit figyelmen kívülhagyta a vezetés, és olyan rendszereket telepítettek, amelyeket nem szabadott volna telepíteni
102 I T G O V E R N A N C E I N S T I T U T E
PO11 Tervezés és SzervezetA minõségirányítás
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 103
B E S Z E R Z É S É S R E N D S Z E R M E G V A L Ó S Í T Á S
104 I T G O V E R N A N C E I N S T I T U T E
AI1 Beszerzés és rendszermegvalósításAz automatizált megoldások meghatározása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az automatizált megoldások meghatározása
A folyamattal szemben támasztott üzleti követelmény:
hatékony és eredményes megközelítési mód kialakítása a felhasználók igényeinek ki-elégítésére
A megvalósítás feltételei:
az alternatív lehetõségek objektív és egyértelmû azonosítása és elemzése,összemérve a felhasználói igényekkel
Mérlegelendõ kérdések:
• a piacon beszerezhetõ megoldások ismerete• beszerzési és bevezetési/megvalósítási módszerek• a felhasználók részvétele és megnyerése • igazodás a szervezeti és informatikai stratégiához • az információs követelmények meghatározása• megvalósíthatósági tanulmányok (költségek, elõnyök, alter-
natívák, stb.)• funkcionális, üzemeltetési, elfogadhatósági és fenntarthatósági
követelmények• összhang a szervezet információ-architektúrájával• költségtakarékos biztonsági és kontroll mechanizmusok• a szállítók kötelezettségei
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 105
AI1AZ AUTOMATIZÁLT MEGOLDÁSOK MEGHATÁROZÁSA
KONTROLL CÉLKITÛZÉSEK
1 Az információs követelmények meghatározása2 Alternatív cselekvési lehetõségek kidolgozása3 A beszerzési stratégia kidolgozása4 A külsõ szolgáltatásokra vonatkozó követelmények5 Technológiai megvalósíthatósági tanulmány6 Gazdasági megvalósíthatósági tanulmány7 Információ-architektúra8 Kockázatelemzési jelentés9 Költséghatékony biztonsági eljárások10 Az audit szempontú nyomonkövethetõség kialakítása11 Ergonómia12 A rendszer-szoftver kiválasztása13 A beszerzés irányítása és ellenõrzése 14 A szoftver-termékek beszerzése 15 A külsõ fél által végzett szoftver-karbantartás16 Szerzõdéses alkalmazás-programozás17 A létesítmények átvétele18 A technológia átvétele
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:Informatikai vezetõBiztonsági felelõsAz informatikai felsõ vezetésProjekt tulajdonosok/szponzorokA szerzõdéses fél vezetése
Adatgyûjtés:A rendszerfejlesztés életciklusára és a szoftverek beszerzésére vonatkozó szabályok és eljárásokAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekKiválasztott projektek-dokumentumok, amelyek az alábbi kérdésekkel foglalkoznak: a követelmények
meghatározása, az alternatívák elemzése, technológiai megvalósíthatósági tanulmányok, gazdaságimegvalósíthatósági tanulmányok, információ-architektúra/vállalati adatmodell elemzések, kockázatelemzések, a belsõ kontroll/biztonsági eljárások költséghatékonyságának elemzése, az auditszempontú nyomonkövethetõségre vonatkozó elemzések, ergonómiai tanulmányok, valamint a létesít-mények és konkrét technológiák elfogadási tervei és tesztelési eredményei
A szoftverek beszerzéséhez, fejlesztéséhez illetve karbantartáshoz kapcsolódó kiválasztott szerzõdések
106 I T G O V E R N A N C E I N S T I T U T E
AI1 Beszerzés és rendszermegvalósításAz automatizált megoldások meghatározása
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:Megfelelõ szabályok és eljárások vannak-e érvényben, amelyek elõírják azt, hogy:
• az egyes fejlesztési, megvalósítási illetve módosítási projektek jóváhagyása elõtt világosan megkell határozni a meglévõ rendszer által kielégített, illetve a javasolt új/módosított rendszer általkielégítendõ felhasználói követelményeket
• az egyes fejlesztési, megvalósítási illetve módosítási projektek jóváhagyása elõtt az érintett tulaj-donosnak/szponzornak át kell tekintenie és írásban jóvá kell hagynia a felhasználóikövetelményekrõl készült dokumentációt
• meg kell felelni az alkalmazott megoldással szemben támasztott funkcionális és üzemeltetésikövetelményeknek, beleértve a teljesítményi, munkavédelmi, megbízhatósági, kompatibilitási,biztonsági és jogszabályi követelményeket egyaránt
• a szoftver megoldás kiválasztása elõtt tanulmányozni és elemezni kell a felhasználóikövetelményeket kielégítõ alternatív megoldásokat is
• a végsõ kiválasztási döntés elõtt meg kell vizsgálni, hogy a kereskedelmi forgalomban lévõszoftverek közül melyek felelnek meg a felhasználói követelményeknek az egyes rendszerfe-jlesztési illetve módosítási projektek kapcsán
• világosan meg kell határozni a szoftver-termékek beszerzési alternatíváit (ú.m. készen kaphatószoftver vásárlása, házon belüli fejlesztés, szerzõdés alapján történõ fejlesztés, illetve a meglévõszoftver továbbfejlesztése, vagy ezek kombinációja)
• a felhasználói követelményeknek megfelelõ minden egyes alternatív megoldásra vonatkozóanmûszaki megvalósíthatósági tanulmányt kell készíteni, amelyet az érintett tulajdonosnak/szpon-zornak elemeznie kell és jóvá kell hagynia
• minden egyes javasolt rendszerfejlesztési, megvalósítási illetve módosítási projekt esetébenelemezni kell a felhasználói követelményeknek megfelelõ alternatív megoldásokhoz kapcsolódóköltségeket és az általuk kínált elõnyöket
• a javasolt új rendszer kifejlesztésére illetve a meglévõ módosítására vonatkozó döntésmeghozatala elõtt gazdasági megvalósíthatósági tanulmányt kell készíteni, amelyet az érintetttulajdonosnak/szponzornak elemeznie kell és jóvá kell hagynia
• a vállalati adatmodellt figyelembe kell venni a megoldási lehetõségek kidolgozása ésmegvalósíthatóságuk elemzése során
• minden egyes javasolt rendszerfejlesztési, megvalósítási illetve módosítási projekt esetébenelemezni és dokumentálni kell a biztonságot fenyegetõ tényezõket, a potenciális sebezhetõségipontokat és hatásokat, valamint a feltárt kockázatok csökkentésére illetve kiküszöbölésérealkalmas biztonsági és belsõ kontroll eljárásokat
• körültekintõen meg kell vizsgálni a biztonsági eljárások költségeit és az általuk kínált elõnyöketannak érdekében, hogy a kontroll mechanizmusok költségei ne lépjék túl az általuk nyújtottelõnyöket
• a költség/haszon elemzéseket a vezetésnek formálisan is el kell fogadnia• megfelelõ audit szempontú nyomonkövetési lehetõségeket és kontroll mechanizmusokat kell
beépíteni valamennyi javasolt új/módosított rendszerbe a projekt rendszertervezési szakaszában • az audit szempontú nyomonkövetési lehetõségeknek és kontroll mechanizmusoknak lehetõséget
kell nyújtaniuk a felhasználók megvédésére személyi azonosságuk más felhasználók által történõkiderítése vagy azzal való visszaélése ellen (pl. névtelenség révén, álnév felkínálásával, a sze-méllyel való összekapcsolhatatlanság vagy észlelhetetlenség biztosítása révén), anélkül, hogy ez arendszer biztonságát veszélyeztetné
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 107
AI1• az informatikai vezetésnek minden olyan potenciális rendszerszoftvert meg kell határoznia, amely
megfelel az általa elõírt üzemeltetési követelményeknek• a megvásárolt termékeket meg kell vizsgálni és le kell tesztelni üzembeállításuk és vételáruk
kiegyenlítése elõtt• a szoftver-termékek beszerzésekor a szervezet azon beszerzési szabályai alapján kell eljárni,
amelyek meghatározzák az ajánlattételi felhívás elkészítésének, a szállító kiválasztásának és aszerzõdések megkötésének kereteit
• a külsõ féltõl beszerzett, licensz alapján használt szoftverek esetében a szolgáltatónak megfelelõeljárásokkal kell rendelkeznie a szoftver-termék integritását biztosító jogok érvényességénekigazolására, azok védelmére és karbantartására
• szerzõdés alapján történõ programkészítés esetén a szolgáltatás igénybevételét az informatikaifunkcionális terület erre kijelölt személye által tett írásos igény alapján kell igazolni
• a szállítóval megkötött szerzõdésben meg kell állapodni a létesítmények átvételére vonatkozótervben, amelyben meg kell határozni az átvétel eljárását és kritériumait
• a szerzõdés alapján történõ programkészítés keretében elvégzett munka végtermékét az infor-matikai minõségbiztosítási csoportnak és a többi érintett félnek a megfelelõ szabványok alapjánle kell tesztelnie a munka ellenértékének kiegyenlítése és a végtermék jóváhagyása elõtt
• a szállítóval kötött szerzõdésben meg kell állapodni a konkrét technológia átvételére vonatkozótervben, amelyben meg kell határozni az átvétel eljárását és kritériumait
A kockázatok elemzése az általános kockázat-értékelési keretrendszerben foglaltaknak megfelelõentörténik-e
Megfelelõ mechanizmusok gondoskodnak-e az exportált (letöltött) illetve importált (betöltött) adatokbiztonsági jellemzõkkel való ellátásáról , valamint azok helyes értelmezésérõl
A vezetés kidolgozott-e és bevezetett-e egy olyan központi beszerzési rendszert, amely meghatározza azinformatikai hardverek, szoftverek és szolgáltatások beszerzésekor követendõ eljárásokat ésszabványokat
A szerzõdések kikötik-e azt, hogy a szoftverek, dokumentációk és egyéb végtermékek elfogadására ésátvételére csak a megfelelõ tesztelések és ellenõrzések elvégzését követõen kerülhet sor
A szerzõdésekben meghatározott tesztelési rendelkezések magukban foglalják-e az alábbi teszteket:rendszer-tesztelés, integrációs tesztelés, hardver- és komponens tesztelés, eljárás tesztelés, terhelésesés tûrés tesztelés, a hangolás és a teljesítmény tesztelése, regressziós tesztelés, felhasználói elfogadóitesztelés, és végül a teljes rendszer kísérleti tesztelése a váratlan rendszerhibák elkerülése érdekében
Elvégzik-e a létesítmények átvételi tesztelését annak biztosítása céljából, hogy azok elhelyezése éskörnyezete megfeleljen a szerzõdésben rögzített követelményeknek
Az egyes konkrét technológiák átvételéhez kapcsolódó tesztek tartalmaznak-e a fizikai vizsgálatra, afunkcionalitásra és a terheléses próbákra vonatkozó teszteket is
108 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A egyes fejlesztési, megvalósítási illetve módosítási projektek végrehajtása elõtt az érintett felhasználó
világosan meghatározta-e, áttekintette-e és írásban jóváhagyta-e a meglévõ rendszer által kielégítettilletve a javasolt új/módosított rendszer által kielégítendõ felhasználói követelményeket
Betartották-e az alkalmazott megoldással szemben támasztott funkcionális és üzemeltetésikövetelményeket, beleértve a teljesítményi, munkavédelmi, megbízhatósági, kompatibilitási, bizton-sági és jogszabályi követelményeket egyaránt
Feltárták-e a meglévõ rendszer minden gyenge pontját és feldolgozási hiányosságát, és azokra teljeskörûen kitér-e és megoldást nyújt-e a javasolt új illetve módosított rendszer
Megfelelõen elemezték-e azokat az alternatív megoldási lehetõségeket, amelyek megfelelnek a javasolt újilletve módosított rendszerre vonatkozóan meghatározott felhasználói követelményeknek
Megfelelõen megvizsgálták-e azokat kereskedelmi forgalomban lévõ szoftvereket, amelyek megfelelnekaz egyes rendszerfejlesztési illetve módosítási projektek kapcsán meghatározott igényeknek
Az elõírt gazdasági megvalósíthatósági tanulmány keretében valamennyi alternatív megoldáshozkapcsolódóan megfelelõen alátámasztották-e és abba belefoglalták-e az összes azonosíthatóköltségtételt és elõnyt
A megoldási lehetõségek kidolgozásakor és megvalósíthatóságuk elemzésekor figyelembe vették-e a azinformáció-architektúrát/vállalati adatmodellt
Pontos és teljes körû-e a biztonságot fenyegetõ tényezõkrõl, a potenciális sebezhetõségi pontokról éshatásokról, valamint a feltárt kockázatok csökkentésére illetve kiküszöbölésére alkalmas biztonsági ésbelsõ kontroll eljárásokról készített kockázat-elemzési jelentés
A rendszerterv dokumentációk megfelelõen foglalkoznak-e a biztonság és a belsõ kontroll kérdéseivel A vezetés elfogadta és jóváhagyta-e azt, hogy az érvényben lévõ és tervezett kontroll mechanizmusok
elégségesek és megfelelõ elõnyöket kínálnak a ráfordításokkal szembenA kiválasztott megoldás megfelelõ audit szempontú nyomonkövetési mechanizmusokkal rendelkezik-e,
illetve lehetõséget nyújt-e azok kifejlesztéséreA rendszertervezés, valamint a képernyõ- és jelentés-formátumok, az online súgók, stb. kifejlesztése során
törekedtek-e olyan felhasználóbarát megoldások kialakítására, amelyek fokozzák a rendszerhasználatának készségét
A rendszertervezés és -fejlesztés során figyelembe vették-e a kapcsolódó ergonómiai kérdéseketA rendszertervezés és -fejlesztés megkezdése elõtt belefoglalták-e a felhasználói követelményekbe a
felhasználók teljesítményét fokozó tényezõket (ú.m. a rendszer válaszideje, letöltési/feltöltésilehetõségek, ad hoc jelentéskészítés)
Az informatikai funkció meghatározta-e az összes olyan potenciális rendszerszoftvert, amely megfelel azüzemeltetési követelményeknek
Az informatikai funkció egységes eljárások és szabványok szerint jár-e el az informatikai hardverek,szoftverek és szolgáltatások beszerzésekor
A megvásárolt termékeket megvizsgálják és letesztelik-e üzembe állításuk és vételáruk kiegyenlítése elõttA szoftver-beszerzési szerzõdések rendelkeznek-e arról, hogy a felhasználó birtokába kerül a program
forráskódjának egy példánya, amennyiben ez értelmezhetõA szoftver beszerzési dokumentumok rendelkeznek-e a magasabb verzióra való cserérõl (upgrade), a
technológiai frissítések módjáról és a szoftver hibák javítását szolgáló programokról A külsõ szolgáltatók által nyújtott szoftver-karbantartás kiterjed-e a szoftver-termékek integritását
biztosító jogok érvényességének igazolására, azok védelmére és karbantartására
AI1 Beszerzés és rendszermegvalósításAz automatizált megoldások meghatározása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 109
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Az automatizált megoldásokhoz kapcsolódó felhasználói követelmények meghatározási módjának
összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobbgyakorlattal
Az alábbiak részletes áttekintése:• a felhasználói követelményeket kielégítõ automatizált megoldások meghatározásának módja
(beleértve a felhasználói követelmények meghatározását, az alternatív megoldások kidolgozását,;a kereskedelemi forgalomban lévõ szoftverek azonosítását, valamint a technológiai és gazdaságimegvalósíthatóságra, az információ-architektúrára és a kockázat-elemzésre vonatkozó tanul-mányok végrehajtását)
• a kiválasztott megoldáshoz kapcsolódóan rendelkezésre álló illetve kifejleszthetõ biztonsági ésbelsõ kontroll mechanizmusok (beleértve a felhasználóbarát tervezésre, az ergonómiára stb.vonatkozó megfontolásokat is), valamint az audit szempontú nyomonkövetési lehetõségek
• a rendszerszoftverek kiválasztása és bevezetése• az érvényben levõ szoftver-beszerzési szabályok és eljárások megfelelõsége szervezés, a belsõ
kontroll és a szabályoknak való megfelelés szempontjából• a külsõ szolgáltatók által végzett karbantartás irányításának módja• a szerzõdéses megbízás alapján történõ programkészítés felügyeletének és kezelésének módja• a létesítmények átvételére vonatkozó folyamat, annak ellenõrzése céljából, hogy az elhelyezésre
és a környezetre vonatkozó tesztek megfelelnek-e a szerzõdésben meghatározottkövetelményeknek
• az egyes konkrét technológiák átvételére vonatkozó folyamat, annak ellenõrzése céljából, hogy afizikai ellenõrzõ vizsgálatok, a funkcionalitási tesztek és a terheléses próbák megfelelnek-e aszerzõdésben meghatározott követelményeknek
Feltárva az alábbiakat:Hibák és hiányosságok a szervezet rendszerfejlesztési életciklus módszertanában Olyan informatikai megoldások, amelyek nem felelnek meg a felhasználói követelményeknekOlyan rendszerfejlesztési munkák, amelyek esetében:
• nem vizsgálták meg az alternatív megoldási lehetõségeket, így az optimálisnál költségesebbmegoldást alkalmaztak
• nem vizsgálták meg a kereskedelemi forgalomban lévõ szoftver-csomagokat, amelyeket rövidebbidõ alatt és alacsonyabb költséggel be lehetett volna vezetni
AI1A szerzõdéses megbízás alapján történõ programkészítési munkákra ugyanolyan szintû tesztelési,
ellenõrzési és jóváhagyási elõírások vonatkoznak-e, mint a szervezet saját programfejlesztéséreA szerzõdéses megbízás alapján dolgozó programozók munkájának ellenõrzéséért és jóváhagyásáért a
szervezet minõségbiztosítási funkciója felelõs-e Megfelelõ és teljes körû terv szabályozza-e a létesítmények átvételét, és meghatározza-e az
elfogadás/átvétel eljárását és kritériumait isMegfelelõ és teljes körû terv szabályozza-e az egyes konkrét technológiák átvételét, amely a fizikai
vizsgálatra, a funkcionalitásra és a terheléses próbákra vonatkozó tesztekrõl is rendelkezik-e
Feltárva az alábbiakat, folytatás• nem vizsgálták meg az alternatív megoldások technológiai megvalósíthatóságát, vagy nem
vizsgálták meg megfelelõen a kiválasztott megoldás technológiai megvalósíthatóságát, amelymiatt a megoldást nem lehetett az eredeti tervek szerint megvalósítani
• hibás feltételezéseket fogalmaztak meg a gazdasági megvalósíthatósági tanulmányban, amelynekeredményeként rossz megoldást választottak
• nem vizsgálták meg az információ-architektúrát/vállalati adatmodellt, amelynek eredményekéntrossz megoldást választottak
• nem hajtottak végre szilárdan megalapozott kockázat-elemzést, amelynek eredményeként vagynem határozták meg megfelelõen a kockázatokat (beleértve a fenyegetõ tényezõket, a potenciálissebezhetõségi pontokat és azok következményeit is), vagy nem alakítottak ki megfelelõ bizton-sági és belsõ kontroll mechanizmusokat a feltárt kockázatok csökkentésére illetvekiküszöbölésére
Az olyan megoldások, amelyek esetében:• a szükségesnél több illetve kevesebb kontroll mechanizmust alakítottak ki a kontroll és biztonsági
mechanizmusok költséghatékonyságának nem megfelelõ értékelése miatt• nem alakítottak ki megfelelõ audit szempontú nyomonkövetési lehetõségeket• nem foglalkoztak megfelelõen a felhasználóbarát tervezéssel és az ergonómiai kérdésekkel,
aminek következtében olyan adatbeviteli hibák jelentkeztek, amelyek elkerülhetõek lettek volna• nem tartották be a szervezet beszerzésekre vonatkozó szabályait, ami miatt szükségtelen
többletköltségeket kell viselnie a szervezetnekA szükséges rendszerszoftver hiányaA rendszerszoftver nem megfelelõ mûködése a rendszerparaméterek helytelen beállítása miattAhol a külsõ szolgáltatók által végzett szoftver-karbantartás nem felel meg a szerzõdésben meghatározott
feltételeknek, és ez hátrányosan befolyásolta a szervezet küldetésének vagy céljainak teljesítésétAhol a megbízás alapján készített programok nem felelnek meg a szerzõdésben meghatározott
feltételeknek, ezáltal többletköltségeket okoznak a szervezetnek, késleltetik a rendszermegvalósítását, stb.
Az olyan helyzetek, amelyekben a létesítményeket az elhelyezési környezet alapos tesztelése nélkülvették át, amelynek eredményeként a nyújtott szolgáltatások nem felelnek meg a felhasználóikövetelményeknek és/vagy a szerzõdésben foglalt feltételeknek
Ahol a konkrét technológiát átvették, de nem hajtották végre megfelelõen a fizikai vizsgálatokat, afunkcionális teszteket és a terheléses próbákat, és ennek eredményeként a technológia nem felel mega felhasználói követelményeknek és/vagy a szerzõdésben foglalt feltételeknek
Bármilyen rendszerhiba
110 I T G O V E R N A N C E I N S T I T U T E
AI1 Beszerzés és rendszermegvalósításAz automatizált megoldások meghatározása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 111
AI1Ez az oldal szándékosan maradt üresen.
112 I T G O V E R N A N C E I N S T I T U T E
AI2 Beszerzés és rendszermegvalósításAz alkalmazási szoftverek beszerzése és karbantartása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az alkalmazási szoftverek beszerzése és karbantartása
A folyamattal szemben támasztott üzleti követelmény:
az üzleti folyamatokat eredményesen támogató automatizált funkciók biztosítása
A megvalósítás feltételei:
a funkcionális és üzemeltetési követelmények pontos meghatározása ésszakaszokra bontott megvalósítás, pontosan meghatározott végtermékekkel.
Mérlegelendõ kérdések:
• funkcionális tesztelés és elfogadás/átvétel• az alkalmazási rendszerekbe épített ellenõrzések és biztonsági
követelmények• a dokumentációval szemben támasztott követelmények• az alkalmazási szoftver életciklusa• vállalati szintû információ-architektúra• rendszerfejlesztési életciklus módszertan• ember-gép kapcsolat, felhasználói interfész• az alkalmazási rendszer-csomagok beállítása a felhasználói
igényeknek megfelelõen
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 113
AI2AZ ALKALMAZÁSI SZOFTVEREK BESZERZÉSE ÉS KARBANTARTÁSA
KONTROLL CÉLKITÛZÉSEK
1 Kiviteli tervkészítési módszerek2 A meglévõ rendszerek jelentõsebb módosítása3 A kiviteli terv jóváhagyása4 Az adatállományokra vonatkozó követelmények meghatározása és dokumentálása5 Program-specifikáció6 A forrás-adatok összegyûjtésének terve7 Az inputokra vonatkozó követelmények meghatározása és dokumentálása8 Az interfészek meghatározása9 A felhasználó és számítógép közötti interfész10 Az adatfeldolgozási követelmények meghatározása és dokumentálása11 Az outputokra vonatkozó követelmények meghatározása és dokumentálása12 Kontrollálhatóság13 A rendelkezésre állás, mint kulcsfontosságú tervezési faktor14 Az adatok sértetlenségét biztosító funkciók az alkalmazási szoftverekben15 Az alkalmazási szoftverek tesztelése16 A felhasználói kézikönyvek és segédletek17 A rendszer kiviteli tervének felülvizsgálata
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:Informatikai vezetõBiztonsági felelõsAz informatikai felsõ vezetésProjekt tulajdonosok/szponzorok
Adatgyûjtés:A rendszerfejlesztési módszertanra vonatkozó szabályok és eljárásokAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekKiválasztott projekt-dokumentumok, amelyek az alábbi kérdésekkel foglalkoznak: a rendszertervek
jóváhagyásai, az adatállományokra vonatkozó követelmények meghatározása, programspecifikációk,a forrásadatok összegyûjtésének terve, az adatbevitellel kapcsolatos követelmények meghatározása, afelhasználói interfész, az adatfeldolgozási követelmények meghatározása, a kimenõ adatokkalszemben támasztott követelmények meghatározása, a belsõ kontrollra/biztonságra vonatkozókövetelmények, a rendszer rendelkezésre állására vonatkozó követelmények, az informatikaisértetlenség fenntartására vonatkozó intézkedések, az alkalmazási szoftverek tesztelési terve éseredményei, a felhasználói kézikönyvek és segédanyagok, valamint a rendszerterv újraértékelése
114 I T G O V E R N A N C E I N S T I T U T E
AI2 Beszerzés és rendszermegvalósításAz alkalmazási szoftverek beszerzése és karbantartása
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:Megfelelõ szabályok és eljárások vannak-e érvényben az alábbiak biztosítására:
• a szervezet rendszerfejlesztési életciklus módszertana az új rendszerek kifejlesztésére és ameglévõ rendszerek jelentõsebb módosításaira egyaránt érvényes és gondoskodik a felhasználókbevonásáról
• szoros kapcsolattartás révén a felhasználókat is bevonják a rendszerterv-specifikációk kidolgo-zásába, valamint a rendszerterv-specifikációknak a felhasználói követelmények alapján történõellenõrzésébe
• a meglévõ rendszerek jelentõs módosítása esetén az új rendszerek kifejlesztésekor alkalmazotthozhasonló rendszerfejlesztési életciklus folyamatot követnek
• a tervezési specifikációkat minden rendszerfejlesztési és módosítási projekt esetében jóvá kellhagynia a vezetésnek, az érintett felhasználói osztályoknak és a szervezet felsõ vezetésének is,amennyiben ez szükséges
• valamennyi rendszerfejlesztési és módosítási projekt esetében megfelelõ eljárást alkalmaznak azadatállományok formátumának meghatározásához és dokumentálásához, amely követelménykéntelõírja az adatszótár szabályainak betartását
• valamennyi rendszerfejlesztési és módosítási projekt során részletes írásbeli program-specifiká-ciót készítenek, amelyek összhangban állnak a rendszerterv-specifikációkkal
• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki az adatok összegyûjtésére és bevitelére
• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki az input követelmények meghatározására és dokumentálására vonatkozóan
• a felhasználó és a számítógép között olyan felületet fejlesztenek ki, amely könnyen kezelhetõ ésöndokumentáló jellegû (online súgó funkció révén)
• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki a belsõ és külsõ interfészek meghatározására és dokumentálására
• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki az adatfeldolgozási követelmények meghatározására és dokumentálására
• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki az output követelmények meghatározására és dokumentálására
• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki a belsõ kontrollra és a biztonságra vonatkozó követelmények érvényesítésére
• a belsõ kontrollra és a biztonságra vonatkozó követelmények olyan alkalmazási rendszer szintûkontroll mechanizmusokat is tartalmaznak, amelyek garantálják az bemenõ és a kimenõ adatokpontosságát, teljességét, idõszerûségét és engedélyezettségét
• a rendelkezésre állás követelményét az új illetve módosított rendszerek tervezése során a lehetõlegkorábbi fázisban figyelembe veszik és elemzik, és amennyiben szükséges, a karbantarthatóságés a megbízhatóság fokozásával javítják annak szintjét
• az alkalmazási programok olyan funkciókat is tartalmaznak, amelyek rutinszerûen ellenõrzik aszoftver által elvégzett feladatokat, és gondoskodnak az adatok integritásának helyreállításáról atranzakciók visszagörgetése, illetve más eszközök révén
• az alkalmazási szoftvereket a projekt tesztelési terve és a meghatározott tesztelési szabványokszerint letesztelik a felhasználók általi elfogadás elõtt
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 115
AI2• valamennyi rendszerfejlesztési illetve módosítási projekt keretében megfelelõ felhasználói
kézikönyveket és segédleteket készítenek (lehetõleg elektronikus formában)• a rendszertervet minden olyan esetben felülvizsgálják, amikor jelentõs technikai és/vagy logikai
rendellenességek jelentkeznek a rendszerfejlesztés, illetve a karbantartás soránA rendszerfejlesztési életciklus módszertan gondoskodik-e a felhasználói kézikönyvek és segédletek
pontos és kellõ idõben történõ aktualizálásárólA rendszerfejlesztési életciklus módszertan elõírja-e azt, hogy a rendszerfejlesztés illetve módosítás
kezdeményezésének szakaszában a elemzést kell végezi titkosság követelményére vonatkozóanA rendszerfejlesztési módszertan elõírja-e azt, hogy a kifejlesztendõ illetve módosítandó rendszer koncep-
tuális szintû megtervezésével egyidõben fel kell mérni a rendszer alapvetõ biztonsági és belsõkontroll aspektusait, annak érdekében, hogy a biztonsági szempontokat a tervezés lehetõ legkorábbiszakaszában be lehessen építeni
A rendszerfejlesztési módszertan elõírja-e azt, hogy az új rendszerek tervezése illetve a meglévõ rendsze-rek módosítása keretében foglalkozni kell a logikai szintû biztonsághoz és az alkalmazási rendszerszintû biztonsághoz kapcsolódó kérdésekkel, és azokat be kell építeni a rendszertervbe
A biztonságra és a belsõ kontrollra vonatkozó tényezõk felmérése megalapozott keretrendszer alapjántörténik-e
A mesterséges intelligenciát alkalmazó rendszerek esetében megfelelõ kezelõ személyzet gondoskodik-eaz alapvetõ fontosságú döntések jóváhagyásáról
Megakadályozzák-e az alkalmazás tesztelése során felhasznált bizalmas információk nyilvánosságrakerülését akár szigorú hozzáférés-korlátozással, akár a felhasznált adatok személyekhez valókapcsolódásának kiküszöbölése révén
A megfelelõség felmérése:
Tesztelendõ:A felhasználók nagymértékben részt vesznek-e a rendszerfejlesztési életciklus folyamatbanA szervezet rendszerfejlesztési életciklus módszertana biztosítja-e egy olyan folyamat érvényesülését,
amely megfelelõen kezeli a rendszertervezéshez kapcsolódó valamennyi kérdést (úm. adatbevitel,feldolgozás, kimenõ adatok, belsõ kontroll mechanizmusok, biztonság, katasztrófa-helyreállítás,válaszidõ, jelentéskészítés, változáskezelés, stb.)
A kulcsfelhasználók részt vesznek-e a rendszertervezés folyamatábanA rendszerterv felülvizsgálati és jóváhagyási folyamata biztosítja-e azt, hogy minden nyitott kérdést
tisztáznak a projekt következõ szakasza munkálatainak megkezdése elõtt A meglévõ rendszerek jelentõs módosítása esetén az új rendszerek kifejlesztésekor alkalmazotthoz
hasonló rendszerfejlesztési életciklus folyamatot követnek-eA rendszerterv aláírására vonatkozó eljárások biztosítják-e azt, hogy a rendszer programozása csak akkor
kezdõdhet meg, miután a terv megfelelõ hivatalos aláírásait beszereztékA rendszer adatállományokra vonatkozó követelményei, annak dokumentációja és az adatszótár
összhangban állnak-e a szabványokkalMegtörténik-e a végsõ fájl-specifikációk aláírással igazolt elfogadása a felhasználók részérõlA program-specifikációk összhangban állnak-e a rendszerterv-specifikációkkalAz adatgyûjtés és az adatbevitel szerkezetére vonatkozó specifikációk összhangban állnak-e egymássalLéteznek-e tervezési specifikációk a felhasználói felületre vonatkozóan A felhasználói felületre vonatkozó specifikációk könnyen kezelhetõek és öndokumentáló jellegûek-e
(online súgó funkció révén)
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Az alkalmazási szoftverek beszerzéséhez és kifejlesztéséhez kapcsolódó költségek összemérése hasonló
szervezetekéivel illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz alábbi dokumentumokból vett minta részletes áttekintése:
• rendszertervezési dokumentáció, amely alapján értékelendõ a terv-specifikáció megfelelõsége,valamint az, hogy a terv megfelel-e a specifikációnak
• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan megállapítandó, hogy a terv-specifikációk dokumentumait megvizsgálta ésjóváhagyta-e az informatikai funkció és az érintett felhasználói területek vezetése, valamint aszervezet felsõ vezetése, ahol ez értelmezhetõ,
116 I T G O V E R N A N C E I N S T I T U T E
AI2 Beszerzés és rendszermegvalósításAz alkalmazási szoftverek beszerzése és karbantartása
Tesztelendõ, folytatásDokumentálva vannak-e a belsõ és a külsõ interfészekA terv-specifikációk tartalmazzák-e az adatfeldolgozási követelményeketA terv-specifikációk tartalmazzák-e a kimenõ adatokra vonatkozó követelményeketA terv-specifikációk tartalmazzák-e a belsõ kontrollra és a biztonságra vonatkozó követelményeketAz alkalmazás szintû kontroll mechanizmusokra vonatkozó terv-specifikációk garantálják-e a bemenõ és
a kimenõ adatok pontosságát, teljességét, idõszerûségét és engedélyezettségétA rendszer konceptuális szintû tervébe a lehetõ legkorábbi idõpontban belefoglalják-e a belsõ kontrollra
és a biztonságra vonatkozó követelményeket (akár új rendszer kifejlesztése, akár valamely meglévõrendszer módosítása esetén)
A biztonsági felelõs aktívan részt vesz-e a rendszerfejlesztési illetve módosítási projektek rendszerter-vezési, fejlesztési és megvalósítási szakaszában
A rendszerterv utal-e arra, hogy a fokozott rendelkezésre állást/megbízhatóságot számszerûsített formábanis meghatározták, idõben vagy az eljárások hatékonyságának az elõzõekéhez viszonyított javulásábankifejezve, ahol ez értelmezhetõ
Az alkalmazási programok is tartalmaznak-e olyan funkciókat, amelyek rutinszerûen ellenõrzik a szoftveráltal elvégzett feladatokat, elõsegítve ezzel az adatok integritásának megõrzését
Léteznek-e elõre meghatározott tesztelési szabványokLétezik-e tesztelési terv és felhasználói jóváhagyási folyamat a projektre vonatkozóanRendelkezésre állnak-e felhasználói kézikönyvek és segédletek, valamint online segítõ funkciókA help desk funkció hatékonyan segíti-e a felhasználókat a komplexebb feldolgozási kérdésekbenA help desk által kezelt kérdések eszkalációjának folyamata magába foglalja-e azok nyomonkövetését,
monitorozását és az illetékes informatikai vezetés felé történõ jelentésétÉrvényesül-e valamely mechanizmus a felhasználói dokumentációk aktualizálásáraA felhasználói dokumentációban történt változtatásokról tájékoztatást adnak-e a gyakorlatban Sor kerül-e az újraértékelés folyamatára minden olyan esetben, amikor jelentõs technikai és/vagy logikai
rendellenességek merülnek fel
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 117
Az alkalmazási szoftverek beszerzéséhez és kifejlesztéséhez kapcsolódó költségek összemérése hasonlószervezetekéivel illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattal
Az alábbi dokumentumokból vett minta részletes áttekintése:• rendszertervezési dokumentáció, amely alapján értékelendõ a terv-specifikáció megfelelõsége,
valamint az, hogy a terv megfelel-e a specifikációnak• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekre
vonatkozóan megállapítandó, hogy a terv-specifikációk dokumentumait megvizsgálta ésjóváhagyta-e az informatikai funkció és az érintett felhasználói területek vezetése, valamint aszervezet felsõ vezetése, ahol ez értelmezhetõ,
• szoftver dokumentációk, amelyek alapján megállapítandó, hogy a projektet megvalósító munka-csoport világosan értelmezte-e az adatállományokra vonatkozó követelményeket (legalább azalább felsorolt fájlokra vonatkozóan), valamint azokat a rendszerre vonatkozó és a felhasználóikövetelményeknek megfelelõen, illetve a szervezet adatszótárának szabályai szerint strukturálták-e:• Törzsadatok• Tranzakció• Utasítás• Program• Vezérlés• Táblázat• Jelentés• Nyomtatás• Napló• Átvitel
• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan megállapítandó, hogy a folyamatábrákban/adatfolyam diagramokban meghatározottadatállományok, programok, forrásadat gyûjtési eszközök, bemenõ adatok, felhasználói felületek,adatfeldolgozási lépések és outputok megfelelnek-e a különbözõ rendszerterv-specifikációkelõírásainak
• az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan megállapítandó, hogy a rendszerterveket minden olyan esetben felülvizsgálták-e,amikor jelentõs technikai és/vagy logikai rendellenességek merültek fel
• az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan megállapítandó, hogy felmerült-e bármilyen rendellenesség a technikai kivitelitervre vonatkozóan, illetve jelentkezett-e bármilyen funkcionális változtatási igény
• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, valamint koncep-tuális szintû rendszertervek, amelyekre vonatkozóan értékelendõ a belsõ kontrollra és a bizton-ságra vonatkozó intézkedések megfelelõsége abból a szempontból, hogy azok biztosítják-e a be-és kimenõ adatok pontosságát, teljességét, idõszerûségét és engedélyezettségét, valamint azt,hogy a biztonsági elveket a tervezés lehetõ legkorábbi szakaszában beillesszék a rendszertervbe
• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan értékelendõ az, hogy a kiviteli terv mennyiben fokozza a végfelhasználók számárabiztosított rendelkezésre állást és megbízhatóságot, illetve a karbantartást végzõ személyzetszámára a karbantarthatóságot
• projektek, amelyek esetében értékelendõ az alkalmazási programok adatintegritási ellenõrzé-seinek megfelelõsége
AI2
118 I T G O V E R N A N C E I N S T I T U T E
AI2 Beszerzés és rendszermegvalósításAz alkalmazási szoftverek beszerzése és karbantartása
Az alábbi feladatok elvégzése révén, folytatásAz alábbiak eredményességének részletes áttekintése:
• a programspecifikációk elkészítésének folyamata, annak megállapítása céljából, hogy aprogramokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg
• az input specifikációk elkészítésének folyamata, annak megállapítása céljából, hogy aprogramokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg
• a felhasználói felületre vonatkozó specifikációk elkészítésének folyamata, annak megállapításacéljából, hogy a programokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg
• az adatfeldolgozási specifikációk elkészítésének folyamata, annak megállapítása céljából, hogy aprogramokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg
• a kimeneti adat-specifikációk elkészítésének folyamata, annak megállapítása céljából, hogy aprogramokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg
A szervezet tesztelési szabványainak valamint a kapcsolódó tesztelési tervek végrehajtásának részletesáttekintése, új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló, kiválasztott projektekesetében
Annak részletes áttekintése, hogy a felhasználók mennyire elégedettek a rendszerrel, a rendszer általkészített jelentésekkel, a felhasználói dokumentációval és egyéb kézikönyvekkel, a rendelkezésre állósegítségkérési lehetõségekkel, stb.
Feltárva az alábbiakat:Hibák és hiányosságok az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek
esetében használt rendszerfejlesztési életciklus módszertanban Tervezési specifikációk, amelyek nem felelnek meg a felhasználói követelményeknekAdatállomány követelmények, amelyek nincsenek összhangban a szervezet adatszótárának szabályaivalÚj rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyek esetében nem
megfelelõen definiált követelmények találhatók az adatállományokra, a programokra, a forrásadatokkiválasztására, a bemeneti adatokra, a felhasználói felületre, az adatfeldolgozásira, a kimenõ adatokraés a kontrollálhatóságra vonatkozóan
Új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyek esetében arendelkezésre állás kérdését nem vizsgálták meg a tervezési folyamat keretében
Új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyek esetében adatin-tegritási hiányosságok jelentkeznek az alkalmazási programokban
Hiányosságok a szervezet tesztelési szabványaiban, amelyek eredményeként olyan rendszerek kerültekmegvalósításra, amelyek nem megfelelõen dolgozzák fel az adatokat, nem megfelelõ jelentéseketkészítenek az adatokról, stb.
Hiányosságok az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek tesztelésiterveiben
Hiányosságok az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektekhezkapcsolódó felhasználói kézikönyvekben és segédletekben
Olyan, a rendszerfejlesztés vagy karbantartás során felmerült jelentõs technikai és/vagy logikai rendel-lenességek, amelyek nyomán nem vizsgálták meg újra a rendszertervet, így azok vagy kijavítatlanulmaradtak, vagy a rendszer nem hatékony, eredménytelen és gazdaságtalan foltozásaihoz vezettek
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 119
AI2Ez az oldal szándékosan maradt üresen.
120 I T G O V E R N A N C E I N S T I T U T E
AI3 Beszerzés és rendszermegvalósításA technológiai infrastruktúra beszerzése és karbantartása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a technológiai infrastruktúra beszerzése és karbantartása
A folyamattal szemben támasztott üzleti követelmény:
az üzleti alkalmazási rendszerekhez szükséges megfelelõ platformok (hardver és szoft-ver környezet) biztosítása
A megvalósítás feltételei:
hardver és szoftver beszerzés gondos elõkészítése, az alkalmazott szoftverekszabványosítása, a hardverek és szoftverek teljesítményének mérése és egysé-ges rendszer-adminisztráció.
Mérlegelendõ kérdések:
• a technológiai infrastruktúrára vonatkozó irányelvek és normákbetartása
• a technológia értékelése• az üzembe helyezés, karbantartás és a változáskezelés kontrollja• rendszer-frissítési/bõvítési, konverziós és migrációs tervek• belsõ és külsõ infrastruktúra és/vagy erõforrások alkalmazása • szállítói kötelezettségek és szállítói kapcsolatok• változáskezelés• a tulajdonlással járó teljes költség • a rendszer-szoftverek biztonsága
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 121
AI3A TECHNOLÓGIAI INFRASTRUKTÚRA BESZERZÉSE ÉS KARBANTARTÁSA
KONTROLL CÉLKITÛZÉSEK
1 Az új hardverek és szoftverek értékelése2 Preventív hardver-karbantartás3 A rendszer-szoftverek biztonsága4 A rendszer-szoftverek telepítése5 A rendszer-szoftverek karbantartása6 A rendszer-szoftverek változáskezelése7 A rendszer-segédprogramok használata és monitorozása
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Az informatikai tervezõ/irányító bizottság tagjaiInformatikai vezetõAz informatikai felsõ vezetés
Adatgyûjtés:A hardverek és szoftverek beszerzésére, bevezetésére és karbantartására vonatkozó szabályok és eljárásokA felsõ vezetés irányítási feladatai és felelõsségeAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekÉrtekezletek helyzetjelentései és jegyzõkönyveiSzállítói hardver- és szoftver-dokumentációkHardverre és szoftverre vonatkozó bérleti vagy lízing megállapodások
Megvizsgálandó kérdések:Vannak-e érvényben szabályok és eljárások az alábbiak biztosítása céljából:
• formális értékelési terv elkészítése az új hardverek és szoftverek által a rendszer egészénekteljesítményére gyakorolt hatások felmérésére
• a rendszer-szoftverekhez történõ hozzáférési lehetõség, és ezáltal az információrendszerek üzemikörnyezetét érõ megszakítások lehetõségének korlátozása
• a rendszer-szoftverek beállítása, installálása és karbantartása ne veszélyeztesse a rendszerbentárolt adatok és programok biztonságát
• a rendszer-szoftver paraméterei úgy kerüljenek megválasztásra, hogy biztosítsák a rendszerbentárolt adatok és programok sértetlenségét
• a rendszer-szoftverek üzembe helyezése és karbantartása a technológiai infrastruktúráravonatkozó beszerzési és karbantartási keretrendszer elõírásaival összhangban történjék
• a rendszer-szoftverek szállítói nyilatkozatban garantálják a szoftvereik és azok valamennyimódosításának integritását
• a rendszer-szoftvereket alapos tesztelésnek vessék alá (azaz rendszerfejlesztési életciklus mód-szertant használva) az éles üzemi környezetbe történõ bevezetésük elõtt
122 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Rendelkezésre áll-e minden rendszer-szoftverre vonatkozóan (beleértve valamennyi módosítást is) a
szállító nyilatkozata azok integritását illetõen, és az kitér-e az azzal kapcsolatos fenyegetésekkérdésére is
A teljesítmény-értékelés eredményeit összehasonlítják-e a rendszer követelményekkelVan-e érvényben formális folyamat a teljesítmény-értékelés jóváhagyására vonatkozóan A megelõzõ karbantartási ütemterv biztosítja-e azt, hogy a tervezett hardver-karbantartások ne befolyá-
solják negatívan a kritikus fontosságú illetve kényes alkalmazások mûködésétA karbantartási ütemtervek kidolgozásakor ügyelnek-e arra, hogy a karbantartások ne a terhelési
csúcsidõszakokra essenek, továbbá az informatikai funkció és az érintett felhasználói osztályokmûködési eljárásai megfelelõen rugalmasak legyenek a rutinjellegû megelõzõ karbantartási munkákfennakadások nélküli elvégzéséhez
Az informatikai üzemeltetési ütemterv biztosítja-e a megfelelõ felkészülést az elõre nem tervezett karban-tartások miatti hardver-leállásokra
A rendszer-szoftver paramétereket helyesen választotta-e meg az illetékes informatikai személyzet annakbiztosítása érdekében, hogy azok biztosítsák a rendszerben tárolt adatok és programok integritását
Az informatikai funkción belül csak korlátozott számú operátor tud-e hozzáférni a rendszer-szoftverekparamétereihez
A rendszer-szoftverek telepítése és karbantartása a technológiai infrastruktúrára vonatkozó beszerzési éskarbantartási keretrendszer elõírásaival összhangban történik-e
Valamennyi rendszer-szoftvert alapos tesztelés alá vetik-e (rendszerfejlesztési életciklus módszertanalapján) az éles üzembe történõ bevezetésük elõtt
A szállítók által megadott valamennyi rendszer-szoftver installációs jelszót megváltoztatták-e a telepítéssorán
A rendszer-szoftverek valamennyi változtatását a szervezet változáskezelési eljárásaival összhangbanhajtották-e végre
Csak korlátozott számú operátor jogosult-e rendszer-adminisztrációra (pl. új felhasználók felvétele arendszerbe illetve a hálózatba; adatbázis létrehozása és mentése; adattárolási lemezterület kijelöléseés hozzárendelése; rendszer-prioritások beállítása, stb.) az informatikai funkción belül
AI3 Beszerzés és rendszermegvalósításA technológiai infrastruktúra beszerzése és karbantartása
Megvizsgálandó kérdések, folytatás• a rendszer-szoftverek telepítése során megváltoztassák a szállító által megadott jelszavakat, és a
rendszer-szoftverek változtatásait a szervezet változáskezelési eljárásaival összhangban végezzék Vannak-e érvényben szabályok és eljárások a hardverek megelõzõ karbantartására (mind az informatikai
funkció, mind az érintett felhasználói funkció által üzemeltetett hardver esetében) a mûködési hibákgyakoriságának és hatásainak csökkentése érdekében
Az informatikai funkció és az érintett felhasználói osztályok betartják-e a megelõzõ karbantartás módjáraés gyakoriságára vonatkozó szállítói elõírásokat valamennyi általuk mûködtetett hardvereszközesetében
Léteznek-e szabályok és technikák a rendszer-segédprogramok használatára és használatukmonitorozására vonatkozóan
Egyértelmûen meg vannak-e határozva az érzékeny szoftvereszközök használatához kapcsolódófelelõsségi körök, azokkal tisztában vannak-e a programozók, és a segédprogramok használatátmonitorozzák és naplózzák-e
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 123
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A hardverek és szoftverek beszerzésének, bevezetésének és karbantartásának összemérése a hasonlószervezeteknél alkalmazottakkal, illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobbgyakorlattalAz alábbiak részletes áttekintése:• kiválasztott üzemelõ rendszerek, valamint rendszerfejlesztési illetve módosítási projektek
dokumentumai alapján megvizsgálandó, hogy formálisan meghatározták-e az egyes rendszerekesetében a hardverek és szoftverek teljesítményére vonatkozó követelményeket (beleértve afeldolgozandó tranzakciók mennyiségét, az adatfeldolgozási és válaszadási idõket, az adatál-lományok és adatbázisok méreteit, a hálózati forgalmat és a kommunikációs protokollok kompa-tibilitását is)
• a hardver-karbantartási gyakorlat alapján megvizsgálandó, hogy a karbantartási munkákat aszállítók által megadott útmutatások alapján hajtják-e végre, és úgy ütemezik-e azokat, hogy nebefolyásolják a rendszer általános teljesítményét
• kiválasztott üzemelõ rendszerek, valamint rendszerfejlesztési illetve módosítási projektekdokumentációi alapján megállapítandó, hogy milyen lehetõségek adódnak a rendszer logikaibiztonságát szolgáló, a rendszer-szoftver által nyújtott hozzáférés-korlátozások megkerülésére éskijátszására
• a rendszer-szoftverek telepítésére, karbantartására és változáskezelésére vonatkozó kontrollmechanizmusok megfelelnek-e a technológiai infrastruktúra beszerzésére és karbantartásáravonatkozó keretrendszer elõírásainak, és biztosítják-e a rendszerek integritásának megõrzését
Feltárva az alábbiakat:Teljesítmény-értékelések, amelyek hatással voltak a rendszer általános teljesítményéreMegelõzõ karbantartási problémák, amelyek hatással voltak a rendszer általános teljesítményéreHiányosságok a rendszer-szoftverek beállítása, telepítése és karbantartása terén (beleértve a rendszer
szoftverek paramétereinek nem megfelelõ beállítását is), amelyek veszélyeztették a rendszerben tároltadatok és programok biztonságát
Hiányosságok a rendszer-szoftverek tesztelése terén, amelyek veszélyeztethették a rendszerben tároltadatok és programok biztonságát
Hiányosságok a rendszer-szoftverek változáskezelési folyamatában, amelyek veszélyeztethették arendszerben tárolt adatok és programok biztonságát
AI3
124 I T G O V E R N A N C E I N S T I T U T E
AI4 Beszerzés és rendszermegvalósításAz eljárások kifejlesztése és karbantartása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
eljárások kifejlesztése és karbantartása
A folyamattal szemben támasztott üzleti követelmény:
az alkalmazási rendszerek és az alkalmazott technológiai megoldások megfelelõ hasz-nálatának biztosítása
A megvalósítás feltételei:
a felhasználói és üzemeltetési kézikönyvek, a szolgáltatási követelmények ésaz oktatási anyagok kidolgozásának strukturált megközelítése és kezelése
Mérlegelendõ kérdések:
• az üzleti folyamatok átszervezése/átalakítása• az eljárások más technológiai termékekkel azonos módon történõ
kezelése• a fejlesztések megfelelõ idõben történõ végrehajtása• felhasználói eljárások és kontrollok• üzemeltetési eljárások és kontrollok• oktatási anyagok• változáskezelés
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 125
AI4AZ ELJÁRÁSOK KIFEJLESZTÉSE ÉS KARBANTARTÁSA
KONTROLL CÉLKITÛZÉSEK
1 Üzemeltetési követelmények és szolgáltatási szintek 2 A felhasználói eljárások kézikönyvei3 Üzemeltetési kézikönyv4 Oktatási anyagok
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Az informatikai alkalmazásfejlesztési egységAz informatikai karbantartási egységAz informatikai változáskezelési egységAz informatikai üzemeltetési egységAz informatikai emberi erõforrás-gazdálkodási/képzési egységAz informatikai minõségbiztosítási egységAz információrendszerek kiválasztott felhasználói
Adatgyûjtés:A stratégiai tervezésre és az üzleti célkitûzések meghatározására, az információrendszerek tervezésére és
az alkalmazásfejlesztésre vonatkozó szervezeti szintû szabályok és eljárásokA rendszerfejlesztésre vonatkozó informatikai szabályok és eljárások, beleértve a szervezeti ábrát, a
rendszerfejlesztési életciklus módszertant, a kapacitás tervezést, a felhasználói és az üzemeltetésikézikönyveket, az oktatási anyagokat, az üzembe állítás elõtti tesztelés és a migráció dokumentumait,valamint az üzletvitel helyreállításának/folytonossága fenntartásának tervezésére vonatkozó dokumen-tumokat
Megvizsgálandó kérdések:Az üzemeltetési követelményeket a rendelkezésre álló múltbeli teljesítmény-statisztikák és a felhasználók
által jelzett várható növekedés illetve csökkenés alapján határozzák-e megA szolgáltatási szintre és a teljesítményre vonatkozó elvárások kellõ részletességûek-e és lehetõséget
nyújtanak-e a nyomon követésre, a jelentéskészítésre és a fejlesztésreAz üzemeltetési követelményeket és a szolgáltatási szinteket mind a múltbeli teljesítmény, mind a
felhasználói igénymódosítások, mind pedig az ágazati viszonyítási normák alapján határozzák-e megA szolgáltatási szintre és a feldolgozásra vonatkozó követelmények meghatározása az új rendszerek
tervezésének elválaszthatatlan részét képezi-eValamennyi információrendszer-fejlesztési, megvalósítási illetve módosítási projekt részeként kidolgo-
zásra kerülnek-e a felhasználói eljárások kézikönyvei, az üzemeltetési kézikönyv és az oktatásianyagok, és azokat napra készen tartják-e
126 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Vannak-e érvényben üzemeltetési követelmények, és azok tükrözik-e mind az üzemeltetési, mind a
felhasználói elvárásokatA üzemeltetési teljesítményt mérik-e, tájékoztatást adnak-e arról, és módosítják-e, amennyiben szükségesAz üzemeltetõ személyzet és a felhasználók tisztában vannak-e a teljesítményi követelményekkelAz üzemeltetõ személyzet rendelkezik-e üzemeltetési kézikönyvvel a felelõsségi körébe tartozó
valamennyi rendszerre és feldolgozásra vonatkozóanSzükséges-e az üzemeltetési kézikönyvek frissítése vagy újak készítése minden olyan esetben, amikor a
programokat az alkalmazásfejlesztési környezetbõl az üzemi környezetbe helyezik átValamennyi alkalmazásra vonatkozóan rendelkezésre állnak-e a felhasználói oktatási kézikönyvek, és
azok az alkalmazás aktuális funkcionalitását tükrözik-eMinden meglévõ és új rendszerre vonatkozóan rendelkezésre állnak-e az oktatási kézikönyvek, és amint a
napi gyakorlat mutatja, a felhasználók elégedettek-e azokkalA felhasználói kézikönyvek tartalmazzák-e az alábbi elemeket, de nem korlátozódnak azokra:
• a rendszer és környezetének áttekintése• a rendszer valamennyi bemeneti adata, programja, kimeneti adata és más rendszerekhez való
integrálódása• valamennyi adatbeviteli és adatmegjelentõ képernyõ magyarázata• az összes lehetséges hibaüzenet és az azokra adandó megfelelõ válaszok magyarázata• a problémák eszkalációjának eljárásai és/vagy az arra vonatkozó erõforrások
A operátori kézikönyvek tartalmazzák-e az alábbi elemeket, de nem korlátozódnak azokra:• a rendszer neve, a programok megnevezései, a végrehajtásuk sorrendje• bemeneti -, feldolgozási- és kimeneti adatállományok neve és az adathordozók formátuma• a napi, heti, havi, negyedéves, év végi, stb. futtatási ütemterv• az operátor által a konzolon megadandó utasítások és paraméterek• a konzolon megjelenõ hibaüzenetek és az azokra adandó válaszok• a mentési, újraindítási és helyreállítási eljárások a program futás különbözõ pontjain vagy abnor-
mális program leállások esetében• speciális output ûrlapok illetve eljárások; a jelentések/outputok szétosztása• kényszerhelyzetben alkalmazandó hibajavítási eljárások, amennyiben szükségesek
Folyamatosan karbantartják-e az alkalmazások dokumentációit, a felhasználói és az üzemeltetésikézikönyveket, és tartanak-e oktatásokat
AI4 Beszerzés és rendszermegvalósításAz eljárások kifejlesztése és karbantartása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 127
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Kiválasztott rendszerfejlesztési projektekre vonatkozóan megvizsgálandó a dokumentáció és azok
jóváhagyása, az alábbi szempontok szerint:• a jövõbeni követelmények és a felhasználókat érintõ szolgáltatási szintek figyelembe vétele• felhasználói kézikönyvek elkészítésének és karbantartásának feladata és annak végrehajtása• az üzemeltetési kézikönyvek elkészítésének és karbantartásának feladata és annak végrehajtása• a felhasználók új rendszer vagy új módosítás megértésére és használatára való oktatásának
feladata és annak végrehajtása Felhasználók meghallgatása a rendszerfejlesztések megfelelõségének megállapítása céljából, beleértve a
kidolgozott kézikönyveket és a nyújtott oktatást isMind a felhasználói, mind az üzemeltetési kézikönyvek naprakészségének és folyamatos aktualizálásának
elemzése
Feltárva az alábbiakat:• Hiányosságok a felhasználói, üzemeltetési és oktatási kézikönyvekben• szolgáltatási szint megállapodások hiánya:
• a szállító és az informatikai funkció között• az informatikai funkció és a felhasználók között
• szervezési hiányosságok a szükséges alkalmazások kifejlesztése és mûködtetése terén
AI4
128 I T G O V E R N A N C E I N S T I T U T E
AI5 Beszerzés és rendszermegvalósításA rendszerek installálása és jóváhagyása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a rendszerek installálása és akkreditálása
A folyamattal szemben támasztott üzleti követelmény:
az alkalmazott informatikai megoldás kívánt céloknak való megfelelõségének ellenõr-zése és megerõsítése
A megvalósítás feltételei:
jól kidolgozott installációs, migrációs, konverziós és átvételi tervek végrehaj-tása
Mérlegelendõ kérdések:
• a felhasználók és az informatikai üzemeltetõ személyzet képzése• adat-konverzió• a valós környezetet tükrözõ teszt-környezet• akkreditáció• a bevezetést követõ ellenõrzések és visszacsatolás• a végfelhasználók bevonása a tesztelésbe• folyamatos minõség-javítási tervek• üzletfolytonossági követelmények • a kapacitás és az áteresztõképesség mérése• egyeztetett átvételi kritériumok
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 129
AI5A RENDSZEREK INSTALLÁLÁSA ÉS JÓVÁHAGYÁSA
KONTROLL CÉLKITÛZÉSEK
1 Képzés2 Az alkalmazási szoftverek teljesítményének méretezése3 Rendszermegvalósítási terv4 Rendszer-konverzió5 Adat-konverzió6 Tesztelési stratégiák és tervek7 A változtatások tesztelése8 A párhuzamos futtatás/kísérleti tesztelés kritériumai és végrehajtása9 Végsõ átvételi teszt10 Biztonsági tesztelés és jóváhagyás11 Üzemi teszt12 Üzemi környezetbe helyezés13 A felhasználói igényeknek való megfelelés értékelése14 A megvalósítást követõ vezetõi ellenõrzés
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:Informatikai vezetõAz informatikai vezetésAz informatikai oktatási, alkalmazásfejlesztési, biztonsági, üzemeltetési és minõségbiztosítási vezetésBiztonsági felelõsÚjonnan kifejlesztett/fejlesztés alatt álló rendszerek felhasználóinak kiválasztott vezetõiRendszerfejlesztési erõforrásokra vonatkozó, külsõ szállítókkal kötött szerzõdések
Adatgyûjtés:A rendszerfejlesztési életciklus tervezésére vonatkozó szervezeti szintû szabályok és eljárások,valamint az alábbiakra vonatkozó informatikai szabályok és eljárások: biztonsági politika ésbizottságok; rendszerfejlesztési életciklus tervezés; rendszerfejlesztési tesztelési eljárások a program-,egység-, rendszer-tesztelési tervek kidolgozására; a felhasználók oktatása; a rendszerek migrációja atesztelési környezetbõl az üzemi környezetbe; minõségbiztosítás és képzésRendszerfejlesztési életciklus terv és ütemezés, a rendszerfejlesztési életciklus programjának kidolgo-zására vonatkozó szabványok, beleértve a változtatások kérelmezésének eljárását isRendszerfejlesztési státusz-jelentésekbõl vett mintaMegvalósítást követõ felülvizsgálati jelentések a korábbi fejlesztésekre vonatkozóan
130 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Tartozik-e minden rendszerfejlesztési munkához formális felhasználói oktatási terv A személyzet tudatában van-e annak és megérti-e azt, hogy minden fejlesztés installálásához és
megvalósításához kapcsolódóan szükség van formális rendszerfejlesztési kontroll mechanizmusokraés a felhasználók képzésére
A kiválasztott felhasználók tudatában vannak-e annak és megértik-e azt, hogy milyen feladataik ésfelelõsségük van a rendszerek tervezésének, jóváhagyásának, tesztelésének, oktatásának, konverzi-ójának és megvalósításának folyamataiban, és e feladatokat és felelõsséget elismerik-e
Nyomon követik-e az új illetve módosított rendszerek tényleges költségének és teljesítményénekatervezett költségekhez illetve teljesítményhez viszonyított alakulását
Érvényben van-e olyan tesztelési terv, amely az információrendszer erõforrások minden területérekiterjed: az alkalmazási szoftverekre, a létesítményekre, a technológiára és a felhasználókra egyaránt
AI5 Beszerzés és rendszermegvalósításA rendszerek installálása és jóváhagyása
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:Vannak-e érvényben szabályok és eljárások a rendszerfejlesztési életciklus folyamatra vonatkozóanVan-e érvényben formális rendszerfejlesztési életciklus módszertan a rendszerek installálására és
jóváhagyására vonatkozóan, amely tartalmazza az alábbi szakaszokat, de nem korlátozódik azokra:oktatás; a rendszer-teljesítmény méretezése; adat-konvertálási terv; a programok, program-csoportok(egységek) és a teljes rendszer tesztelése; párhuzamos futtatás illetve prototípus révén való tesztelésiterv; átvételi tesztelés; biztonsági tesztelés és jóváhagyás; üzemi tesztek; változáskezelés; amegvalósítás ellenõrzése és a megvalósítást követõ ellenõrzés; módosítás
Minden fejlesztési munka részeként megfelelõ képzésben részesülnek-e a felhasználókA programok/rendszerek kontroll mechanizmusai összhangban vannak-e a szervezet biztonsági
szabványaival és az informatikai szabályokkal, eljárásokkal és szabványokkalLéteznek-e elkülönített fejlesztési, tesztelési és üzemi rendszerkönyvtárak a fejlesztési folyamat külön-
bözõ szakaszaiban lévõ rendszerekhez kapcsolódóanElõre meg vannak-e határozva azok a kritériumok, amelyek eldöntik a tesztelés sikerességét, sikertelen-
ségét, illetve a munkák leállítását A minõségbiztosítási folyamat kiterjed-e a fejlesztések üzemi rendszerkönyvtárakba történõ migrációjára,
valamint a szükséges felhasználói és üzemeltetõi átvételi folyamat teljességére és befejezettségére isA folyamat kiterjed-e a terhelési mennyiségek szimulálására, a feldolgozási idõközökre és a kimeneti
adatok rendelkezésre állására vonatkozó tesztelési tervekre, valamint az installálásra és ajóváhagyásra is
A rendszerfejlesztési munkák közül kiválasztott mintához kapcsolódó oktatási programok tartalmazzák-eaz alábbiakat: a korábbi rendszertõl való eltérések, valamint a bemenõ adatokat, az adatbevitelt, afeldolgozást, az ütemezést, a szétosztást és a más rendszerekhez kapcsolódó interfészeket, a hibákatés az azok megoldását érintõ változtatások
Alkalmaznak-e automatizált eszközöket a kifejlesztett és üzembe állított rendszerek optimalizálásához, ésazokat felhasználják-e a hatékonyság növelésének eszközeként
Tesznek-e lépéseket a problémák megoldására az optimálisnál gyengébb teljesítmény esetén
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 131
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A rendszerek installálásának és jóváhagyásának összemérése hasonló szervezetek hasonló eljárásaival
illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz alábbiak részletes áttekintése:
• a fejlesztõ csoport betartja-e a határidõket és elvégzi-e a szükséges feladatokat a felhasználókmegelégedésére - beleértve a befejezett rendszer funkcionalitását is
• a korábbi rendszerekhez kapcsolódó oktatási anyagok• a minõségbiztosítási funkció által végzett független vizsgálat a rendszerek teszt-környezetbõl
üzemi státuszba és üzemi rendszerkönyvtárakba történõ migrációjára vonatkozóan• a rendszerek karbantartásához, optimalizálásához és a minimális költségek melletti maximális
teljesítmény eléréséhez szükséges statisztikai adatok összegyûjtéséhez használt hálózat- éserõforrás megfigyelõ eszközök
• egy fejlesztési munka során vezetett feljegyzések az alábbiak elvégzésének illetve megléténekmegállapítása céljából:• A felhasználók képzése• Biztonsági intézkedések• Szoftver-teljesítmény• Tesztelési dokumentációk és eredmények• A konverzió terve• Az üzemi környezetbe történõ migráció• Változáskezelés a fejlesztés során• A felhasználói igények teljesítése• Párhuzamos futtatás vagy kísérleti rendszer révén történõ tesztelés• A megvalósítást követõ ellenõrzés
• a belsõ vagy külsõ auditok megállapításai a rendszertervezési folyamatra vonatkozóan• a tesztelések eredményei annak megállapítása céljából, hogy az eredmények megfelelnek-e az
elõre meghatározott kritériumoknak, valamint a tesztelési tervek a rendszer minden funkciójárakiterjedtek-e
AI5A felhasználók tisztában vannak-e a rendszerfejlesztés minden szakaszával és feladatával, beleértve az
alábbiakat is:• tervezési specifikációk, beleértve a fejlesztési ciklus során szükséges iterációs eljárásokat is• költség/haszon elemzések és megvalósíthatósági tanulmány• a rendszerfejlesztési folyamat minden lépésének jóváhagyása• részvétel a tesztelési terv kidolgozásában és a tesztelésben, valamint a terv és az eredmények
értékelésében• a rendszer jóváhagyása és elfogadása a rendszerfejlesztési ciklus minden szakaszában• a rendszer végsõ jóváhagyása és elfogadása• az újonnan átadott rendszerekre vonatkozóan kapott képzés megfelelõségének értékelése
A fejlesztõ személyzet és vezetése megbizonyosodik-e a felhasználói követelmények stabilitásáról azokkölcsönös elfogadása után
A felhasználók elégedettsége a külsõ felek által leszállítandó termékekkel összemérhetõ-e a házon belülkifejlesztettekkel
Az alábbi feladatok elvégzése révén, folytatás• vezetõk által a tesztelések eredményeire vonatkozóan folytatott véleménycserék, valamint
bármely leállított teszt vagy fejlesztési projekt• a felhasználók részvétele a fejlesztési folyamatban• olyan audit szempontú nyomonkövetési lehetõségek, amelyek lehetõvé teszik bizonyos
tevékenységek megismétlését illetve a hibák elemzését• a külsõ szállítók részvétele a fejlesztési munkában, különös tekintettel az alábbiakra:
• A költségek megalapozottsága• A határidõk betartása• A leszállított rendszerek funkcionalitása
Feltárva az alábbiakat:Az utóbbi idõben végrehajtott, a rendszerfejlesztési életciklussal kapcsolatos projektekbõl vett minta
alapján:• a felhasználók részvétele és az általuk adott formális jóváhagyás a rendszerfejlesztési folyamat
valamennyi szakaszában• tesztelési tervek a programokra, program-egységekre, a rendszerekre (a párhuzamos futtatást
vagy kísérleti rendszert is beleértve), a konverzióra, a megvalósításra és a megvalósítástkövetõ ellenõrzésre vonatkozóan
• megfelelõ konzisztencia a biztonságra és a belsõ kontrollra vonatkozó szabványokkal• az adatkonverziós feladatok és ütemezésük megfelelõsége• a tesztelés a rendszer fejlesztését, módosítását vagy karbantartását végzõ személyektõl
függetlenül történik-e • a felhasználók formálisan is elfogadták-e a rendszerek funkcionalitását, biztonságát, integritását
és a fennmaradó kockázatotAz adatfeldolgozási folyamatok ütemezésére, futtatására, a helyreállításra/újraindításra, a mentésre és
visszaállításra és a hibakezelésre vonatkozó üzemeltetési kézikönyvek foglalkoznak-e az alábbikérdésekkel:• az éles rendszer könyvtárainak fizikai és logikai elkülönítése a fejlesztési és a tesztelési
könyvtáraktól• a felhasználói elvárások és az átadott rendszer által nyújtott funkcionalitás közötti eltérések
megoldási eljárásai konfliktus eseténA szállítókra vonatkozóan:
• hivatalosak-e a szállítói kapcsolatok és kötöttek-e szerzõdéseket• a szerzõdések meghatározzák-e a konkrét szolgáltatásokat és a költségeket• a külsõ szállítók által végzett munkákat is a rendszerfejlesztési életciklus módszertan alapján
kontrollálják-e• a szállító betartotta-e a szerzõdésben megszabott teljesítményi elõírásokat, határidõket és
költségeket
132 I T G O V E R N A N C E I N S T I T U T E
AI5 Beszerzés és rendszermegvalósításA rendszerek installálása és jóváhagyása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 133
AI5Ez az oldal szándékosan maradt üresen.
134 I T G O V E R N A N C E I N S T I T U T E
AI6 Beszerzés és rendszermegvalósításA változáskezelés
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a változások kezelése
A folyamattal szemben támasztott üzleti követelmény:
a szolgáltatás megszakadása, az engedély nélküli módosítások és hibák valószínûségé-nek minimalizálása
A megvalósítás feltételei:
a meglévõ informatikai infrastruktúra megváltoztatására irányuló valamennyikérés elemzésére, megvalósítására és nyomonkövetésére kiterjedõ irányításirendszer
Mérlegelendõ kérdések:
• a változtatások azonosítása• kategorizálás, rangsorolás, kényszerhelyzeti eljárások• hatás-elemzés• a változtatás engedélyezése• a módosított szoftverek kibocsátásának szabályozása• a szoftverek terítése• automatizált eszközök használata• konfigurációkezelés• az üzleti folyamatok újraszervezése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 135
AI6A VÁLTOZÁSKEZELÉS
KONTROLL CÉLKITÛZÉSEK
1 A változtatási kérelmek kezdeményezése és kontrollja2 Hatás-elemzés3 Változáskezelés4 Kényszerhelyzeti változtatások5 Dokumentáció és eljárások6 Engedélyezett karbantartás7 A szoftver-változatok kibocsátásra vonatkozó szabályok8 A szoftverek terítése
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Informatikai vezetõAz informatikai vezetésAz informatikai rendszerfejlesztési, változáskezelési, minõségbiztosítási, üzemeltetési és biztonsági
vezetõkAz információrendszerek tervezésében és használatában részt vevõ felhasználók kiválasztott vezetõi
Adatgyûjtés:A szervezeti szintû szabályok és eljárások a következõkre vonatkozóan: az információrendszerek
tervezése, a változáskezelés, a biztonsági és a rendszerfejlesztési életciklusAz informatikai szabályok és eljárások a következõkre vonatkozóan: formális rendszerfejlesztési
életciklus módszertan, biztonsági szabványok, tesztelési szabványok, független minõségbiztosítás,implementáció, terítés, karbantartás, kényszerhelyzeti változtatások, a szoftver-verziók kibocsátása ésa rendszerek verzióinak kezelése
Az alkalmazási rendszerek fejlesztésére vonatkozó tervA változtatás kérelmezési lap és naplóAz alkalmazás-fejlesztési szolgáltatásokra vonatkozóan megkötött szállítói szerzõdések
Megvizsgálandó kérdések:Érvényben van-e valamely módszertan a felhasználóktól érkezõ rendszer-változtatási kérelmek prioritási
sorrendjének meghatározására és azt alkalmazzák-eA üzemeltetési kézikönyvek foglalkoznak-e a kényszerhelyzetek esetén alkalmazandó eljárásokkalA változtatások kezelése formális eljárás keretében történik-e mind a felhasználókra, mind a fejlesztõ
csoportokra vonatkozóan A változáskezelési naplóban szereplõ valamennyi változtatást végrehajtották-eA felhasználók elégedettek-e a változtatási kérelmek kezelésének gyorsaságával - azok kellõ idõben
történõ teljesítésével és költségével
136 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A változtatásokból választott minta alapján megállapítandó, hogy a vezetés jóváhagyta-e az alábbiakat:
• a változtatási kérelem• a változtatás specifikációja• a forrás-programhoz történõ hozzáférés• a változtatás programozói teljesítése• a forráskód teszt-környezetbe történõ helyezésének kérése• az elfogadási tesztek végrehajtása• a programkód-fordítás és az üzembe helyezés kérése• meghatározták és elfogadták-e az általános és specifikus biztonsági következményeket• kidolgozták-e a változás terítésének folyamatát
A változáskezelési dokumentumokból megállapítandó, hogy azok tartalmazzák-e az alábbiakat:• a változtatás kérésének idõpontja• a kérelmet benyújtó személy(ek)• a változtatási kérelem jóváhagyása• az elvégzett változtatás jóváhagyása - informatikai funkció• az elvégzett változtatás jóváhagyása - felhasználók• a dokumentációk aktualizálásának dátuma• az üzembe állítás dátuma• a változtatás minõségbiztosítási jóváhagyása• az üzemeltetés általi átvétel
A rendszer változtatásai típusainak elemzése a fõbb trendek megállapítása érdekébenAz informatikai szervezeti egység által használt könyvtárak megfelelõségének értékelése a hibák vissza-
térésének megakadályozására szolgáló bázis szintû programkódok meglétének megállapítása céljábólLéteznek-e eljárások a kódoknak a környezetbõl való eltávolítására és visszahelyezésére változtatások
eseténA változáskezelési naplóban szereplõ minden változtatást végrehajtották-e, azokkal a felhasználók
elégedettek voltak-e, és nem került-e sor olyan változtatásokra, amelyek nem szerepeltek a naplóbanA felhasználók tudatában vannak-e annak és megértik-e azt, hogy szükség van formális változáskezelési
eljárásokraA munkafegyelmi szabályozások biztosítják-e a változáskezelési eljárások betartását
AI6 Beszerzés és rendszermegvalósításA változáskezelés
Megvizsgálandó kérdések, folytatásA változáskezelési naplóból kiválasztott tételekre vonatkozóan megállapítandó:
• a változtatás kiváltotta-e a program- és üzemeltetési dokumentáció megváltoztatását is• a változtatásokat a dokumentált módon hajtották-e végre• a jelenleg használt dokumentációk megfelelnek-e a megváltozott környezetnek
Figyelemmel kísérik-e változáskezelés folyamatát annak érdekében, hogy továbbfejlesszék azt a kérelmekátvételének elismerése, a reakció-idõ, a reagálás eredményessége és a felhasználói elégedettség terén
A változáskezelési eljárások kiterjednek-e a házi alközpont (PBX) rendszerre is
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 137
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A változáskezelés összemérése a hasonló szervezeteknél alkalmazottal illetve a megfelelõ nemzetközi
szabványokkal/ágazati legjobb gyakorlattalKiválasztott információrendszerekre vonatkozóan:
• a dokumentációból megállapítható-e az, hogy a kérelmet vagy a rendszer megváltoztatásátjóváhagyta és prioritás szerint rangsorolta-e az érintett felhasználói terület vezetése és a szolgál-tató
• a változtatás-kérelmezési ûrlapon szerepel-e és megfelelõ-e a kért változtatás hatáselemzése • a rendszer-szolgáltató részleg elismerte-e a változtatási kérelem átvételét• megfelelõ fejlesztési erõforrásokat biztosítottak-e a változtatás végrehajtásához• megfelelõek voltak-e a rendszer- és felhasználói tesztelési tervek és azok eredményei • a tesztelési környezetbõl az üzemi környezetbe történõ áthelyezés formális migráció keretében, a
minõségbiztosítási csoport közremûködésével történt-e• módosították-e a felhasználói és üzemeltetési kézikönyveket a végrehajtott változtatásoknak
megfelelõen• az új verziókat megfelelõen terítették-e a megfelelõ felhasználókhoz
Feltárva az alábbiakat:Kiválasztott változtatásokra vonatkozóan:
• csak jóváhagyott változtatásokat hajtottak-e végre• minden változtatást nyilvántartásba vettek-e• a jelenleg használt könyvtárak (forrás és objektum) tükrözik-e a legfrissebb változtatásokat• nyilvántartják-e a változáskezelési eljárásoknak az alábbiak közötti eltéréseit:
• vásárolt és házon belül kifejlesztett programok• alkalmazási- és rendszer-szoftverek• a változáskezelésnek a szállítók általi alkalmazása
AI6
138 I T G O V E R N A N C E I N S T I T U T E
Ez az oldal szándékosan maradt üresen.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 139
S Z O L G Á L T A T Á S É S T Á M O G A T Á S
140 I T G O V E R N A N C E I N S T I T U T E
DS1 Szolgáltatás és támogatásA szolgáltatási szintek meghatározása és kezelése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a szolgáltatási szintek meghatározása és kezelése
A folyamattal szemben támasztott üzleti követelmény:
a szükséges szolgáltatási szint közös egyetértéssel való meghatározása
A megvalósítás feltételei:
szolgáltatási szint megállapodások kidolgozása, amelyek meghatározzák,hogy a szolgáltatások mennyiségének és minõségének mérése milyen teljesít-ményi kritériumok alapján történjék
Mérlegelendõ kérdések:
• formális megállapodások• a felelõsségi körök meghatározása• reagálási idõk és adatfeldolgozási volumenek• a költségek kiterhelése• az integritásra vonatkozó garanciák • titoktartási megállapodások• a felhasználók elégedettségének kritériumai• az igényelt szolgáltatási szintek költség-haszon elemzése• monitoring és jelentés
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 141
DS1A SZOLGÁLTATÁSI SZINTEK MEGHATÁROZÁSA ÉS KEZELÉSE
KONTROLL CÉLKITÛZÉSEK
1 A szolgáltatási szint megállapodásokra vonatkozó keretrendszer2 A szolgáltatási szint megállapodásokban szabályozott kérdések3 Teljesítési eljárások4 Felügyelet és jelentéskészítés5 A szolgáltatási szint megállapodások és szerzõdések felülvizsgálata6 Kiterhelhetõ költségtételek7 Szolgáltatás-fejlesztési program
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Informatikai vezetõAz informatikai vezetésAz informatikai szervezeti egység szerzõdéseket/szolgáltatási szinteket kezelõ ügyintézõjeAz informatikai üzemeltetés vezetéseA felhasználói osztályok vezetése
Adatgyûjtés:Szervezeti szintû szabályok és eljárások a szolgáltatók és a felhasználók közötti kapcsolatra vonatkozóan Informatikai szabályok és eljárások az alábbi kérdésekre vonatkozóan:
• Szolgáltatási szint megállapodások• Az üzemeltetésrõl készített jelentések tartalma, idõpontjai és kiosztása• Teljesítmény figyelési módszerek• Korrekciós intézkedések
Az informatikai funkció alábbiakra vonatkozó dokumentációi:• A szolgáltatási szintekre vonatkozó teljesítmény jelentések• A költségek kalkulációjának módszere és visszaterhelésének algoritmusai• A szolgáltatás javítására irányuló programok• A teljesítés elmaradása esetén érvényesíthetõ visszkereseti jogok• Szolgáltatási szint megállapodások belsõ és külsõ felhasználókkal és szolgáltatókkal
Megvizsgálandó kérdések:Vonatkozik-e szabályozás a szolgáltatási szint megállapodások folyamatáraSzükséges-e a felhasználók részvétele a megállapodások kidolgozása és módosítása folyamatábanMeghatározták-e a felhasználók és a szolgáltatók feladatait és felelõsségi köreit A vezetés folyamatosan figyelemmel kíséri-e a meghatározott szolgáltatási teljesítményi követelmények
teljesítését és az összes felmerülõ problémát, és készít-e jelentést azokról
142 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A múltbeli és az érvényben lévõ szolgáltatási szint megállapodások közül választott minta tartalmazza-e
az alábbiakat:• a szolgáltatás meghatározása• a szolgáltatás költsége• számszerûsíthetõ minimális szolgáltatási szint• az informatikai funkció által nyújtott támogatás szintje• rendelkezésre állás, megbízhatóság, bõvítési kapacitás• a megállapodás bármely pontjának módosítása esetén követendõ eljárás• az üzemfolytonosság tervezése• biztonsági követelmények• a szolgáltató és a szolgáltatás felhasználója között írásban megkötött és jóváhagyott megál-
lapodás• az érvényességi idõ és annak felülvizsgálata/megújítása/a megújítás kizárása• a teljesítési jelentések gyakorisága és tartalma, valamint a szolgáltatási díjfizetések• a szolgáltatási díjak reális volta a múltbeli, az ágazati vagy a legjobb gyakorlatra vonatkozó
összehasonlító adatok alapján• a díjtételek kiszámításának módja• a szolgáltatás javítására tett kötelezettségvállalás• mind a felhasználó, mind a szolgáltató általi formális jóváhagyás
Az érintett felhasználók ismerik-e és megértik-e a szolgáltatási szint megállapodásokra vonatkozófolyamatokat és eljárásokat
DS1 Szolgáltatás és támogatásA szolgáltatási szintek meghatározása és kezelése
Megvizsgálandó kérdések, folytatásLétezik-e rendszeres vezetõi felülvizsgálati folyamatA teljesítés elmaradása esetére meghatározták-e a visszkereset folyamatátA szolgáltatási szint megállapodások kitérnek-e az alábbi kérdésekre, de nem korlátozódnak azokra:
• a szolgáltatás meghatározása• a szolgáltatás költsége• számszerûsíthetõ minimális szolgáltatási szint• az informatikai funkció által nyújtott támogatás szintje• rendelkezésre állás, megbízhatóság, bõvítési kapacitás• az üzemfolytonosság tervezése • biztonsági követelmények• a megállapodás bármely pontjának módosítása esetén követendõ eljárás• a szolgáltató és a szolgáltatás felhasználója között írásban megkötött és jóváhagyott megál-
lapodás• az érvényességi idõ és annak felülvizsgálata/megújítása/a megújítás kizárása• a teljesítési jelentések gyakorisága és tartalma, valamint a szolgáltatási díjfizetések • a szolgáltatási díjak reális volta a múltbeli, az ágazati vagy a legjobb gyakorlatra vonatkozó
összehasonlító adatok alapján• a díjtételek kiszámításának módja• a szolgáltatás javítására tett kötelezettségvállalás
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 143
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A szolgáltatási szint megállapodások összemérése hasonló szervezetekéivel illetve a megfelelõ
nemzetközi szabványokkal/ágazati legjobb gyakorlattalMegvizsgálandók:
• a szolgáltatási szint megállapodások annak megállapítása céljából, hogy a minõségi és mennyi-ségi rendelkezések megerõsítik-e azt, hogy a kötelezettségeket meghatározták és betartják azokat
• kiválasztott szolgáltatási szint megállapodások, annak megerõsítése céljából, hogy azok tartal-maznak megoldási eljárásokat a problémákra, különösen a teljesítés elmaradására vonatkozóan,és azokat betartják
Feltárva az alábbiakat:Megfelelõek-e a szolgáltató és az informatikai szolgáltatások felhasználója közötti kapcsolatot leíró, azt
koordináló és kommunikáló rendelkezésekHelytelenül kiszámított díjak kiválasztott információ-kategóriák esetébenA vezetés folyamatosan áttekinti-e a szolgáltatási szintre vonatkozó jelentéseket és megteszi-e a korrek-
ciós intézkedéseket Megfelelõek-e a javasolt szolgáltatás-javítások a költség/haszon elemzésekkel összevetveA szolgáltatók megfelelõ lehetõségekkel rendelkeznek-e arra, hogy képesek legyenek eleget tenni a
szolgáltatás javítására tett kötelezettségeiknek a jövõben
DS1A felhasználók elégedettek-e az érvényben lévõ szolgáltatási szint folyamattal és az aktuális megállapodá-
sokkalA szolgáltatás nyilvántartási adatai alapján bizonyosság szerzendõ a nem-teljesítések okairól és a teljesít-
mény javítását célzó program érvényesülésérõlA ténylegesen kiterhelt díjak nagysága megegyezik-e a megállapodásban foglaltakkalKövetik-e a múltbeli teljesítménynek a korábbi szolgáltatás-javítási kötelezettségvállalásokhoz viszonyí-
tott alakulásátA vezetés megfelelõen használja-e fel a meghatározott szolgáltatási szintek teljesítésérõl készített jelen-
téseket a kielégítõ teljesítmény biztosítása érdekébenA vezetés megfelelõen használja-e fel az összes felmerülõ problémára vonatkozó jelentéseket a korrekciós
intézkedések megtételének biztosítása érdekében
144 I T G O V E R N A N C E I N S T I T U T E
DS2 Szolgáltatás és támogatásA külsõ szolgáltatások kezelése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a külsõ szolgáltatások kezelése
A folyamattal szemben támasztott üzleti követelmény:
a külsõ szolgáltatók feladatainak és felelõsségi köreinek világos meghatározása, továb-bá azok betartásának és a követelmények folyamatos teljesítésének biztosítása
A megvalósítás feltételei:
kontroll intézkedések, amelyek annak ellenõrzésére és rendszeres felülvizs-gálatára irányulnak, hogy a meglévõ szerzõdések és eljárások megfelelõ ered-ményt kínálnak-e és igazodnak-e a szervezeti célkitûzésekhez
Mérlegelendõ kérdések:
• a külsõ felekkel kötött szolgáltatási megállapodások• a szerzõdések kezelése• titoktartási megállapodások• jogi és szabályozási követelmények• a szolgáltatások teljesítésének figyelemmel kísérése és jelentés-
készítés• a vállalati és informatikai kockázatok elemzése• a teljesítményhez kapcsolódó jutalmazás, illetve büntetés• a külsõ és belsõ szervezeti számonkérhetõség• a költség- és szolgáltatási szintek eltéréseinek elemzése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 145
DS2A KÜLSÕ SZOLGÁLTATÁSOK KEZELÉSE
KONTROLL CÉLKITÛZÉSEK
1 Szállítói kapcsolatok2 Kapcsolattartási felelõs3 A külsõ felekkel kötött szerzõdések4 A külsõ felek minõsítése5 Szolgáltatás-kiszervezési szerzõdések6 A szolgáltatások folyamatossága7 Biztonsági megállapodások8 Folyamatos ellenõrzés
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Informatikai vezetõAz informatikai vezetésAz informatikai szervezeti egység szerzõdéseket/szolgáltatási szinteket kezelõ ügyintézõjeAz informatikai üzemeltetési vezetésBiztonsági felelõs
Adatgyûjtés:A vásárolt szolgáltatásokra, és különösen a külsõ szállítókkal való kapcsolatokra vonatkozó szervezeti
szintû szabályok és eljárásokAz alábbi kérdésekre vonatkozó informatikai szabályok és eljárások: a külsõ szállítókkal való kapcsolat-
tartás; a szállítók kiválasztásának eljárásai; az ilyen kapcsolatokra vonatkozó szerzõdések tartalma; afizikai és logikai biztonság; a szállítók minõségi szintjének fenntartása; az üzemfolytonosságfenntartására vonatkozó tervezés, valamint a tevékenységek kiszervezése
Valamennyi meglévõ külsõ szállítói kapcsolat listája és az azokkal kapcsolatos érvényben lévõszerzõdések
A külsõ felekkel való kapcsolatokra és az általuk nyújtott szolgáltatásokra vonatkozó, a szolgáltatásiszinttel kapcsolatos jelentések
A szerzõdések felülvizsgálatával, a teljesítmény értékelésével és a kapcsolatok kezelésével foglalkozómegbeszélések jegyzõkönyvei
A titoktartási megállapodások valamennyi külsõ féllel fenntartott kapcsolatra vonatkozóanA szállítók számára rendelkezésre álló hozzáférési jogosultságok listái a felhasználói profilokkal együtt,
valamint a rendelkezésükre álló erõforrások
Megvizsgálandó kérdések:Vannak-e érvényben informatikai szabályok és eljárások a külsõ felekkel történõ kapcsolattartásra
vonatkozóan, és azok összhangban vannak-e a szervezeti szintû általános szabályokkal
146 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Pontos-e a szerzõdések listája az érvényben lévõ szerzõdésekkel összevetveA szállítók nem nyújtanak-e olyan szolgáltatásokat, amelyek nem szerepelnek a szerzõdések listájánA szerzõdéses szállítók ténylegesen teljesítik-e a szerzõdésben meghatározott szolgáltatásokatA szolgáltatók vezetése/tulajdonosai tisztában vannak-e a szerzõdésekhez kapcsolódó felelõsségükkelVannak-e érvényben informatikai szabályok és eljárások a külsõ szolgáltatókkal történõ kapcsolattartásra
vonatkozóan, és azok összhangban állnak-e a szervezeti szintû általános szabályokkalVannak-e érvényben konkrét szabályok a szerzõdéskötés szükségességére, a szerzõdések tartalmának
meghatározására, valamint a szerzõdések elkészítéséért, karbantartásáért, nyomon követéséért és afeltételek szükség szerinti újratárgyalásáért felelõs kapcsolattartási vezetõ feladataira vonatkozóan
DS2 Szolgáltatás és támogatásA külsõ szolgáltatások kezelése
Megvizsgálandó kérdések, folytatásVannak-e érvényben konkrét szabályok a szerzõdések szükségességére, a szerzõdések tartalmának
meghatározására, valamint a szerzõdések elkészítéséért, karbantartásáért, nyomon követéséért és afeltételek szükség szerinti újratárgyalásáért felelõs kapcsolattartási vezetõ feladataira vonatkozóan
Meghatározták-e a projekt végrehajtásában részt vevõ független felekkel, például az alvállalkozókkalkialakított kapcsolódási felületeket
A szerzõdések teljes mértékben lefedik-e a külsõ szállítókkal kialakított kapcsolatokatKülön szerzõdések szabályozzák-e a szolgáltatások folyamatosságát, és ezek a szerzõdések tartalmazzák-e
a szállítók által végzendõ üzemfolytonossági tervezést a felhasználók számára nyújtott szolgáltatásokfolytonosságának fenntartása érdekében
A szerzõdések tartalmazzák-e legalább az alábbi elemeket:• formális vezetõi és jogi jóváhagyás• a szolgáltatást nyújtó jogi személy• a nyújtott szolgáltatások• szolgáltatási szint megállapodások, minõségi és mennyiségi vonatkozásban egyaránt• a szolgáltatások költségei és a díjfizetés gyakorisága• problémák megoldásának folyamata• büntetések a teljesítés elmaradása esetén• a megállapodás felbontásának szabályai• a módosítás folyamata• a szolgáltatásokról készítendõ jelentések - tartalom, gyakoriság és a címzettek• a szerzõdõ felek feladatai a szerzõdés ideje alatt• a folyamatos szolgáltatásnyújtásra vonatkozó szállítói garanciák• a felhasználó és a szolgáltató közötti kommunikáció módja és gyakorisága• a szerzõdés érvényességi ideje• a szállító számára biztosított hozzáférési jogosultság szintje• biztonsági követelmények• titoktartási garanciák• a megrendelõ hozzáférési és auditálási jogai
Megkötötték-e a forráskódok letétbe helyezésére vonatkozó (escrow) megállapodásokat, ahol ezértelmezhetõ
Az igényelt szolgáltatás nyújtására vonatkozó lehetõségeik alapján, megfelelõen minõsítik-e a potenciáliskülsõ feleket (kellõ gondosság)
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 147
DS2A szerzõdések teljes mértékben lefedik-e a külsõ szállítókkal kialakított kapcsolatokatKülön szerzõdések szabályozzák-e a szolgáltatások folyamatosságát, és ezek a szerzõdések tartalmazzák-e
a szállítók által végzendõ üzemfolytonossági tervezést a felhasználók számára nyújtott szolgáltatásokfolytonosságának fenntartása érdekében
A szerzõdések tartalmazzák-e legalább az alábbi elemeket:• formális vezetõi és jogi jóváhagyás• a szolgáltatást nyújtó jogi személy • a nyújtott szolgáltatások• szolgáltatási szint megállapodások, minõségi és mennyiségi vonatkozásban egyaránt• a szolgáltatások költségei és a díjfizetés gyakorisága• a problémák megoldásának folyamata• büntetések a teljesítés elmaradása esetén• a megállapodás felbontásának szabályai• a módosítás folyamata• a szolgáltatásokról készítendõ jelentések - tartalom, gyakoriság és a címzettek • a szerzõdõ felek feladatai a szerzõdés ideje alatt• a folyamatos szolgáltatásnyújtásra vonatkozó szállítói garanciák• a felhasználó és a szolgáltató közötti kommunikáció módja és gyakorisága• a szerzõdés érvényességi ideje• a szállító számára biztosított hozzáférési jogosultság szintje• biztonsági követelmények• titoktartási garanciák• a megrendelõ hozzáférési és auditálási jogai
A felhasználók tudatában vannak-e annak és megértik-e azt, hogy szükség van a szerzõdésekkel kapcso-latos szabályokra és szerzõdéskötésre a szolgáltatások nyújtásához kapcsolódóan
A szállító és a szervezet megfelelõ mértékben függetlenek-e egymástól A szállítók megbízása és kiválasztása független folyamat keretében történik-eA biztonsági listák tanúsága szerint a szállító dolgozói közül csak a szükséges minimális számú személy
rendelkezik-e hozzáférési jogosultsággal, és a részükre biztosított hozzáférés a szükséges minimálisszinten marad-e
A szervezet erõforrásaihoz történõ hozzáférést biztosító hardverek és szoftverek kezelése és ellenõrzéseolyan módon történik-e, hogy az minimalizálja a szállítók általi használatot
A ténylegesen teljesített szolgáltatási szint nagy mértékben igazodik-e a szerzõdésben foglaltkötelezettségekhez
A kiszervezett létesítmények, személyzet, üzemeltetés, valamint irányítási és ellenõrzési feladatokbiztosítják-e az elvárásoknak megfelelõ teljesítményi színvonalat
A vezetés folyamatosan figyelemmel kíséri-e a külsõ szállítók által nyújtott szolgáltatásokatVégeznek-e független auditálást a szerzõdéses partnerek tevékenységére vonatkozóanKészülnek-e olyan értékelõ jelentések a potenciális külsõ felekre vonatkozóan, amelyek felmérik, hogy
azok rendelkeznek-e a szükséges lehetõségekkel az igényelt szolgáltatások teljesítéséhez Van-e nyilvántartás a peres ügyek alakulásáról - a múltbeli és a folyamatban lévõ ügyekre vonatkozóan
egyarántDokumentálva vannak-e a szerzõdésekben a projekt végrehajtásában részt vett független felekhez való
kapcsolódási felületek A házi alközpont (PBX) szállítókkal kötött szerzõdések beletartoznak-e a fenti szempontrendszerbe
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Külsõ szolgáltatások összemérése hasonló szervezetek által igénybe vett hasonló szolgáltatásokkal illetve
a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalValamennyi külsõ féllel kötött szerzõdés részletes áttekintése annak megállapítása céljából, hogy azok
tartalmaznak-e minõségi és mennyiségi rendelkezéseket a kötelezettségek alátámasztására
Feltárva az alábbiakat:A szolgáltató és az informatikai szolgáltatások felhasználója közti kapcsolatot leíró, az együttmûködést és
a kölcsönös tájékoztatást megfogalmazó rendelkezések megfelelõek-eA szállító által kiállított számlák pontosan állapítják-e meg a szerzõdéses szolgáltatások díjait, néhány
kiválasztott szerzõdéses szolgáltatás eseténA szervezet olyan kapcsolatot tart-e fenn a szállítóval, amely lehetõséget ad a feleknek a szerzõdéssel
kapcsolatos kérdések megvitatásáraMinden szerzõdést jóváhagy-e a vezetés és a szervezet jogi tanácsadójaFolyamatosan elemzik-e a kockázatokat annak megállapítása céljából, hogy szükség van-e a kapcsolatra
illetve annak módosításáraA vezetés folyamatosan áttekinti-e a szerzõdésekre vonatkozó jelentéseket és megteszi-e a szükséges
korrekciós lépéseketMegvizsgálják-e, hogy a kiszámlázott díjak mennyire megalapozottak a különbözõ belsõ, külsõ és ágazati
összehasonlító adatok alapjánMegfelelõ tervek állnak-e rendelkezésre a rendkívüli események kezelésére a szerzõdéses szolgáltatá-
sokkal kapcsolatban, különösen az informatikai funkció katasztrófa-elhárítási és helyreállításiszolgáltatásaira vonatkozóan
A szolgáltatás-kihelyezési szerzõdés keretében igénybevett funkciók kapcsán figyelemmel kísérik-e ateljesítmény javításának és a költségek csökkentésének lehetõségeit illetve az ezeken a területekenmeglévõ hiányosságokat
Megvalósítják-e a szerzõdéses partner tevékenységére vonatkozóan elvégzett független vizsgálatokrólkészült jelentésekben szereplõ javaslatokat/ajánlásokat
148 I T G O V E R N A N C E I N S T I T U T E
DS2 Szolgáltatás és támogatásA külsõ szolgáltatások kezelése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 149
DS2Ez az oldal szándékosan maradt üresen.
150 I T G O V E R N A N C E I N S T I T U T E
DS3 Szolgáltatás és támogatásA teljesítmény és a kapacitás kezelése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a teljesítmény és kapacitás irányítása
A folyamattal szemben támasztott üzleti követelmény:
megfelelõ nagyságú kapacitás rendelkezésre állásának, valamint annak biztosítása,hogy az a leghatékonyabb és legoptimálisabb módon kerüljön kihasználásra a szüksé-ges teljesítményi igények kielégítéséhez
A megvalósítás feltételei:
az informatikai erõforrások teljesítményére, az alkalmazások méretezésére ésa munkaterhelési igényekre vonatkozó adatgyûjtés, elemzés és jelen-téskészítés
Mérlegelendõ kérdések:
• rendelkezésre állás és teljesítményi követelmények• automatizált monitoring és jelentéskészítés• modellezõ eszközök• kapacitás-kezelés• az erõforrások rendelkezésre állása• hardver és szoftver ár/teljesítmény változások
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 151
DS3A TELJESÍTMÉNY ÉS A KAPACITÁS KEZELÉSE
KONTROLL CÉLKITÛZÉSEK
1 A rendelkezésre állásra és a teljesítményre vonatkozó követelmények2 Rendelkezésre állási terv3 Monitorozás és jelentéskészítés4 Modellezési eszközök5 Proaktív teljesítményirányítás6 Az üzemi terhelés elõrejelzése7 Az erõforrások kapacitás-kezelése8 Az erõforrások rendelkezésre állása9 Az erõforrások ütemezése
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:Az informatikai felsõ vezetéseAz informatikai üzemeltetés vezetéseAz informatikai kapacitás-kezelés vezetéseAz informatikai hálózatkezelés vezetése
Adatgyûjtés:A rendelkezésre állásra, a teljesítmény figyelésére és az ahhoz kapcsolódó jelentések készítésére, az
üzemi terhelés elõrejelzésére, a kapacitás-kezelésre és a feladatok ütemezésére vonatkozó szervezetiszintû szabályok és eljárások
Az alábbi kérdésekre vonatkozó informatikai szabályok és eljárások: a kapacitás és a szervezetnek aszolgáltatások rendelkezésre állására vonatkozó üzleti terve közötti kapcsolódás; a rendelkezésre állástervezése; a teljesítmény folyamatos figyelemmel kísérése és a teljesítmény kezelése
A szállító termékeinek megfelelõsége a kapacitási és a teljesítményi normák szempontjábólLista a jelenlegi szállítóktól vásárolt valamennyi hardverrõl, szoftverrõl, kommunikációs eszközrõl és
perifériárólA kommunikációs hálózatokról készített hálózat-felügyeleti jelentésekA kapacitás-tervezéssel, a teljesítményi elvárásokkal és a rendszerek teljesítményének "finomhang-
olásával" foglalkozó megbeszélések jegyzõkönyveiA rendelkezésre állás, a kapacitás, az üzemi terhelés és az erõforrások tervezésére vonatkozó dokumen-
tumokAz éves informatikai költségvetés, beleértve a kapacitásra és a teljesítményre vonatkozó feltételezéseket
isAz informatikai funkció belsõ jelentései az üzemi teljesítményre vonatkozóan, beleértve a problémákról
készített jelentéseket és azok megoldását is
152 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A teljesítményre, a kapacitásra és a rendelkezésre állásra vonatkozó statisztikai jelentések pontosak-e és
magyarázatot adnak-e a ténylegesen megvalósult illetve az elõrejelzett teljesítmény közötti eltérésekreA rendelkezésre állás, a kapacitás és az üzemi terhelés tervezéséhez kapcsolódó dokumentumok
módosítására vonatkozó folyamat tükrözi-e a technológia illetve a felhasználói igények változásaitA munkafolyamatok elemzésére vonatkozó jelentések foglalkoznak-e a munkafolyamatok hatékonysága
növelésének további lehetõségeivelSzolgáltatnak-e a kihasználtságra és a rendelkezésre állásra vonatkozó, a teljesítmény-jelentésekbõl
származó információkat a felhasználók számára, beleértve a kapacitásra, az üzemi terhelésütemezésére és a trendekre vonatkozó adatokat is
Vannak-e érvényben eljárások a problémák eszkalációjára, azokat betartják-e, és azok megfelelõek-e aproblémák megoldására
A rendszerfejlesztési módszertan a megvalósítást követõ szakaszra vonatkozóan tartalmazza-e azokat aszempontokat, amelyek alapján meghatározásra kerülnek a jövõbeni növekedésre és teljesít-ményigény-változásra vonatkozó elõrejelzések
Az informatikai funkció által nyújtott támogatás szintjei elégségesek-e a szervezet céljai elérésénektámogatásához
DS3 Szolgáltatás és támogatásA teljesítmény és a kapacitás kezelése
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:Az informatikai funkció által nyújtott összes szolgáltatásra vonatkozóan meghatározták-e a szolgáltatás
idõkereteit és szintjétA szolgáltatási idõkeretek és szolgáltatási szintek összhangban állnak-e a felhasználói követelményekkel A szolgáltatási idõkeretek és a szolgáltatások szintje összhangban vannak-e a berendezések potenciális
lehetõségei alapján elvárt teljesítményekkelKészült-e rendelkezésre állási terv, az naprakész-e és igazodik-e a felhasználói követelményekhezFolyamatosan figyelemmel kísérik-e valamennyi berendezés teljesítményét és kapacitását, arról készülnek
e jelentések, továbbá a vezetés foglalkozik-e a teljesítménybeli hiányosságokkal és formálisan ismeghatározza-e a teljesítmény javításának lehetõségeit
Modellezési eszközökkel nyomon követik-e az adott konfiguráció lehetséges optimális teljesítményétannak érdekében, hogy maximális teljesítményt érjenek el a kapacitások szükséges szintre történõminimalizálása mellett
Mind a felhasználók, mind az üzemi teljesítményért felelõs csoportok áttekintik-e proaktív módon akapacitás és a teljesítmény alakulását, és végrehajtják-e az üzemi terhelés ütemezésének szükségesmódosításait
Az üzemi terhelési szint elõrejelzésénél figyelembe veszik-e a felhasználóktól származó, az igényekváltozásait érintõ információkat és a szállítók jelzéseit az új technológiákra illetve a friss termékfe-jlesztésekre vonatkozóan
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 153
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A teljesítmény- és kapacitás-kezelési eljárások összemérése hasonló szervezetek hasonló eljárásaival
illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalA folyamatosan fennálló üzleti igények alapján elvégzett tesztek révén megállapítandó, hogy az infor-
matikai rendelkezésre állási feltételek és követelmények megfelelõen összhangban állnak-e ezekkelaz igényekkel
A kapacitás- és erõforrás-tervezési folyamat áttekintése alapján megállapítandó, hogy a terveket idõbenmódosítják-e a változó üzleti igények függvényében
Ellenõrizendõ, hogy kielégítésre kerülnek-e a kapacitással, a válaszidõvel és a rendelkezésre állássalkapcsolatos teljesítményi elvárások
A teljesítménnyel szemben támasztott követelmények költség/haszon elemzési perspektívából történõvizsgálata alapján megállapítandó, hogy nincsenek-e felesleges kapacitások illetve erõforrások
Megállapítandó, hogy készülnek-e teljesítményi jelentések rendszeres idõközönként, és a vezetés áttekintie azokat
Feltárva az alábbiakat:A javítási lehetõségeket illetve a hiányosságok orvoslására vonatkozó lehetõségeket tartalmazó teljesít-
ményi jelentésekA felhasználók megerõsítik-e a teljesítményi elvárások kielégítését, és a változó követelmények alapján
történt módosítások megjelennek-e a tervbenKellõ idõben foglalkoztak-e a problémák naplóival illetve az adatfeldolgozás során felmerült problémákra
vonatkozó jelentésekkel, és megtették-e a szükséges korrekciós lépéseketKonkrét felmerült problémák, és megítélendõ a probléma-megoldási folyamat eredményessége
DS3
154 I T G O V E R N A N C E I N S T I T U T E
DS4 Szolgáltatás és támogatásA folyamatos mûködés biztosítása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a szolgáltatás folytonosságának biztosítása
A folyamattal szemben támasztott üzleti követelmény:
az informatikai szolgáltatások igények szerinti rendelkezésre állásának, valamint annakbiztosítása, hogy azok nagyobb mérvû megszakadása csak minimális üzleti következ-ményekkel járjon
A megvalósítás feltételei:
mûködõ és tesztelt informatikai folytonossági terv, amely összhangban áll azátfogó üzletfolytonossági tervvel és a vonatkozó üzleti követelményekkel
Mérlegelendõ kérdések:
• a rendelkezésre állási feltételek kritikusságának osztályozása• alternatív eljárások• mentés és helyreállítás• szisztematikus és rendszeres tesztelés és képzés• monitoring és feljebbviteli eljárások• belsõ és külsõ szervezeti felelõsség- és hatáskörök• az üzletfolytonossági terv aktiválása, visszaállási- és újrakezdési
tervek• kockázatkezelési tevékenységek• az egyetlen ok által kiváltható hibák felmérése• probléma-kezelés
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 155
DS4A FOLYAMATOS MÛKÖDÉS BIZTOSÍTÁSA
KONTROLL CÉLKITÛZÉSEK
1 Informatikai folytonossági keretrendszer2 Az informatikai folytonossági tervre vonatkozó stratégia és filozófia3 Az informatikai folytonossági terv tartalma4 Az informatikai folytonossági követelmények minimalizálása5 Az informatikai folytonossági terv karbantartása6 Az informatikai folytonossági terv tesztelése7 Az informatikai folytonossági tervhez kapcsolódó képzés8 Az informatikai folytonossági terv szétosztása9 A felhasználói terület által kialakított alternatív feldolgozási folyamatok, helyettesítõ eljárások10 Kritikus fontosságú informatikai erõforrások11 Tartalék telephely és hardverek12 A mentési anyagok külsõ tárolása13 Értékelési és módosítási eljárások
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:Az informatikai felsõ vezetésAz informatikai üzemeltetési vezetésAz informatikai üzemfolytonosságért felelõs vezetésAz emberi erõforrás-gazdálkodási vagy képzési vezetésA folyamatos szolgáltatást igénylõ felhasználói részlegekA külsõ fél által biztosított helyreállítási telephely vezetõjeA külsõ helyszínen történõ adattárolás vezetõjeA kockázatkezelési/biztosítási felelõs
Adatgyûjtés:Az üzemfolytonossági tervezésre vonatkozó szervezeti szintû szabályok és eljárásokAz alábbi kérdésekre vonatkozó informatikai szabályok és eljárások: az üzemfolytonosságra vonatkozó
keretrendszer, terv, filozófia és stratégia; az alkalmazási rendszerek prioritás szerinti rangsorolása; atervek tesztelése; a rendszeres mentés, rotáció és oktatás
Az informatikai üzemfolytonossági tervekAz üzemfolytonossági tervekben foglalt szolgáltatások felhasználóiAz üzemfolytonossági tervek, valamint a felhasználók üzletvitel helyreállítási tervei legutóbbi tesztelé-
seinek eredményeiAz alkalmazási rendszerek prioritás szerinti rangsorának megállapítási módja helyreállítás szükségessége
eseténKülsõ felekkel megkötött szerzõdések az üzemfolytonossági szolgáltatások támogatására Az üzletvitel megszakadására vonatkozó biztosítási politikák
156 I T G O V E R N A N C E I N S T I T U T E
DS4 Szolgáltatás és támogatásA folyamatos mûködés biztosítása
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:A szervezeti szintû szabályok elõírják-e azt, hogy a szokásos üzemeltetési követelmények részeként
üzemfolytonossági keretrendszert és tervet kell kidolgozni mind az informatikai funkció, mind azinformatikai erõforrásoktól függõ valamennyi szervezeti egységre vonatkozóan
Az informatikai szabályok és eljárások elõírják-e az alábbiakat:• egységes filozófia és keretrendszer kialakítása az üzemfolytonossági tervek kidolgozására
vonatkozóan• az alkalmazási rendszerek prioritási sorrendjének meghatározása, tekintettel a rendszerek kellõ
idõben történõ helyreállítására és újraindítására• a kockázatok felmérése és biztosítások megkötésének mérlegelése az üzletvitelnek a rendkívüli
helyzetekben történõ kiesésére vonatkozóan, mind az informatikai funkció, mind az informatikaierõforrások felhasználói esetében
• az üzemfolytonossági tervezéssel kapcsolatos konkrét feladat- és felelõsségi körökmeghatározása, a konkrét tesztelési, karbantartási és aktualizálási követelményekkel együtt
• formális szerzõdéses megállapodások megkötése a külsõ felekkel a tényleges igényekfelmerülését megelõzõen a helyreállítás szükségessége esetén nyújtandó szolgáltatásokravonatkozóan, beleértve a tartalék telephelyet vagy az informatikai szolgáltatási kapcsolatot is
• valamennyi üzemfolytonossági terv minimális tartalma, az alábbiak szerint:• A kényszerhelyzeti eljárások a személyzet valamennyi érintett tagjának védelme érdekében• Az informatikai funkció, a helyreállítási szolgáltatásokat nyújtó külsõ felek, a felhasználók és
a kisegítõ adminisztrációs személyzet feladatai és felelõsségi körei• A hosszú távú üzemfolytonossági tervvel konzisztens helyreállítási keretterv • Az alternatívák biztosítását igénylõ rendszer-erõforrások (hardverek, szoftverek, perifériák)
listája• Lista az alkalmazási rendszerek rangsoráról a legmagasabb prioritásútól a legalacsonyabbig,
a szükséges helyreállítási idõk és az elvárt teljesítményi normák feltüntetésével• A helyreállítás szükségessége esetén ellátandó adminisztratív feladatok, kommunikáció és
támogató szolgáltatások nyújtása céljából, pl. bérszámfejtés, külsõ kommunikáció, költségfi-gyelés, stb.
• Különféle helyreállítási forgatókönyvek a mûködõképesség kisebb mértékû csökkenéstõl ateljes mûködésképtelenségig terjedõ eseményekre vonatkozóan, a válaszlépéseket kellõenrészletezve azok lépésrõl lépésre történõ végrehajtásához
• A szükséges konkrét berendezések és készletek meghatározása, pl. nagysebességûnyomtatók, aláírásminták, nyomtatványok, kommunikációs eszközök, telefonok, stb., azokforrásainak és alternatív forrásainak megjelölésével
• Az üzemfolytonossági tervben szereplõ személyi és csoportos szerepkörökre vonatkozóoktatás, illetve azok tudatosítása
• Tesztelési ütemterv, a legutóbbi tesztelési eredmények, valamint a korábbi tesztek alapjánvégrehajtott korrekciós intézkedések
• A szerzõdéses szolgáltató partnerek, a szolgáltatások és a válaszlépésekkel kapcsolatoselvárások felsorolása
• A kulcsfontosságú erõforrások elhelyezésére vonatkozó logisztikai információk, beleértve azoperációs rendszerek, az alkalmazási rendszerek, az adatállományok, az üzemeltetésikézikönyvek és a program/rendszer/felhasználói dokumentációk helyreállítására szolgálótartalék telep- illetve tárolási helyeket is
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 157
DS4
A megfelelõség felmérése:
Tesztelendõ:Készült-e üzemfolytonossági terv, az naprakész-e és azt valamennyi érintett fél megérti-eTartottak-e rendszeres oktatást az üzemfolytonosságra vonatkozóan valamennyi érintett fél számáraBetartják-e a terv kidolgozására vonatkozó valamennyi szabályt és eljárástA terv tartalma a fentiekre épül-e és teljesültek-e az alábbiak:
• az üzemfolytonossági terv célkitûzéseit megvalósították • az irányítási feladatok ellátására kijelölték a megfelelõ személyeket• a tervet megfelelõ módon áttekintette és jóváhagyta a vezetés• a tervet rövid idõvel korábban tesztelték és a tesztek eredménye megfelelõ volt, illetve a feltárt
hiányosságoknak megfelelõen módosították a tervet• az üzemfolytonossági terv kapcsolódik a szervezet üzleti tervéhez• az alternatív manuális eljárásokat dokumentálták és az átfogó tesztelések keretében tesztelték
A felhasználók és az informatikai funkció dolgozói részesültek-e oktatásban illetve kaptak-e tájékoztatásta tervhez kapcsolódó konkrét szerepkörökre, feladatokra és felelõsségi körökre vonatkozóan
A külsõ felekkel megkötött szerzõdésekben foglalt kapcsolatok és elõkészületi idõk összhangban vannak-e a felhasználók elvárásaival és igényeivel
A tartalék telephelyek felkészítése naprakész és elégséges-e ahhoz, hogy a távoli helyszínnel valószokásos rotációs eljárásokat végre lehessen hajtani.
Meghatározták, dokumentálták és rangsorolták-e a kritikus fontosságú adatokat és mûveleteketA felsõ vezetés jóváhagyja-e a kritikus fontosságú adatok és mûveletek meghatározását
• A kulcsszemélyek neve, címe, telefon/személyhívó száma• Rekonstrukciós tervek az összes informatikai erõforrásnak a kényszerhelyzeti helyreállítás
utáni, eredeti helyen történõ helyreállítására vonatkozóan• Üzleti újraindítási alternatívák az összes felhasználóra vonatkozóan az informatikai erõfor-
rások rendelkezésre állásának biztosítása után használatba vehetõ alternatív munkahelyekkialakítása révén; azaz például olyan esetben, ha a rendszert egy alternatív helyszínenhelyreállították, de a felhasználók telephelye leégett és használhatatlan
Betartják-e az üzemfolytonosság tervezésére vonatkozó szakhatósági elõírásokatDolgoznak-e ki felhasználói üzemfolytonossági terveket arra az esetre, ha nem állnak rendelkezésre a
kritikus fontosságú manuális és számítógépes feldolgozási feladatok ellátásához szükséges fizikaierõforrások
Az üzemfolytonossági terv kiterjed-e a telefon-rendszerre, a hangpostára, a telefaxra és a képátvivõrendszerekre is
Az üzemfolytonossági terv kiterjed-e a dokumentumok elektronikus képét rögzítõ és tároló rendszerekre,a fax rendszerekre, a papíralapú dokumentumokra, valamint a mikrofilmekre és a tömegesadattárolásra szolgáló elektronikus adathordozókra is
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Az üzemfolytonossági tervezés összemérése hasonló szervezetek hasonló folyamataival illetve a
megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz alábbiak részletes áttekintése:
• a tervben szereplõ célkitûzések annak megállapítása céljából, hogy azok megfelelõ stratégiátalkotnak-e és kapcsolódnak-e az általános üzletfolytonossági stratégiához
• a kijelölt személyek tisztában vannak-e a terv-koordinátori szerepkörükkel kapcsolatos vezetõi ésirányítási feladataikkal és felelõsségükkel
• a terv, abból a szempontból, hogy azt áttekintették és jóváhagyták-e a felsõ vezetés megfelelõszintjein
• az informatikai funkció és a felhasználó osztályok kiválasztott dolgozói révén megállapítandó,hogy az üzemfolytonossági terv tartalmazza-e az üzleti igényeket
• a felhasználók alternatív manuális adatfeldolgozási eljárásai, annak megállapítása céljából, hogydokumentálták-e azokat a felhasználói osztályok a szükség esetén való és addig történõalkalmazásra, amíg a feldolgozási mûveleteket képesek helyreállítani az esemény után
• a konkrét alkalmazásokhoz kapcsolódó készletek, annak megállapítása céljából, hogy valamelytávoli telephelyen elégséges készletek állnak-e rendelkezésre (pl. mágnesszalagok, csekkkészletek, készlet igazolások, stb.)
Feltárva az alábbiakat:A külsõ felekkel megkötött szerzõdések rendelkeznek-e a készletek biztosításához szükséges elõkészületi
idõkrõl és kellõen részletezettek-e a szolgáltatások, a határidõk, a szolgáltatási szintek és a költségekvonatkozásában
Tettek-e lépéseket a speciális telekommunikációs illetve hálózati komponensek beszerzésére vonatkozóanA terv tartalmaz-e különféle forgatókönyveket a rövid idejûtõl az állandóig terjedõ leállások eseteire Az alkalmazási rendszerekre megállapított prioritási besorolás összhangban van-e a felhasználói elvárá-
sokkalVannak-e érvényben írásbeli szerzõdések az igényeknek megfelelõ távoli számítógépes létesítményekre
vonatkozóanAz alternatív telephelyek adatfeldolgozási sebessége, válaszideje, rendelkezésre állása és a felhasználók
számára nyújtott támogatása megfelel-e a felhasználói követelményeknekA külsõ felek üzemfolytonossági tervei biztosítják-e a szolgáltatás folyamatosságát helyreállítás
szükségessége eseténAz alternatív informatikai szolgáltató saját létesítményei kellõen távoliak-e ahhoz, hogy kizárható legyen
az egyidejû helyreállítás szükségességének felmerüléseA tervet rendszeres idõközönként tesztelték-e és sor került-e a módosítására a tesztek alapjánRendszeres oktatásban részesül-e mind az informatikai, mind a felhasználói személyzet az
üzemfolytonossági tervezésre vonatkozóanKi vannak-e jelölve hasonló rekonstrukciós csoportok, feladatok és felelõsségi körök, valamint tesztek a
feldolgozásnak az alternatív feldolgozás helyszínérõl az eredeti telephelyre történõ migrálására
158 I T G O V E R N A N C E I N S T I T U T E
DS4 Szolgáltatás és támogatásA folyamatos mûködés biztosítása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 159
DS4Ez az oldal szándékosan maradt üresen.
160 I T G O V E R N A N C E I N S T I T U T E
DS5 Szolgáltatás és támogatásA rendszer biztonságának megvalósítása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a rendszer biztonságának megvalósítása
A folyamattal szemben támasztott üzleti követelmény:
az információk védelme az engedély nélküli felhasználásuk, közzétételük és módosítá-suk ellen, illetve károsodásuk és elvesztésük megelõzése
A megvalósítás feltételei:
a hozzáférés logikai szintû kontrollja, amely csak az arra felhatalmazott fel-használók számára teszi lehetõvé a rendszerekhez, adatokhoz és programok-hoz történõ hozzáférést
Mérlegelendõ kérdések:
• a titkosságra és a személyiségi jogokra vonatkozó követelmények,• engedélyezés, hitelesítés és a hozzáférési jogosultságok kontrollja• a felhasználók azonosítása és jogosultsági profilok kialakítása• a 'csak amire szükség van' és a 'csak amit tudni kell' elvek• a kriptográfiai kulcsok kezelése• a rendkívüli események kezelése, jelentése és nyomonkövetése• vírusvédelem és -felderítés• tûzfalak• központi biztonsági adminisztráció• a felhasználók kiképzése• eszközök a szabályoknak való megfelelés
monitorozására, a behatolások észlelésére és ajelentéskészítésre
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 161
DS5A RENDSZER BIZTONSÁGÁNAK MEGVALÓSÍTÁSA
KONTROLL CÉLKITÛZÉSEK
1 A biztonsági intézkedések kezelése2 Azonosítás, hitelesítés és hozzáférési jogosultság3 Az adatok hozzáférésének biztonsága közvetlen kapcsolat esetén4 A felhasználói azonosítók kezelése5 A felhasználói azonosítók vezetõi ellenõrzése6 A felhasználói azonosítók felhasználói kontrollja7 Biztonsági felügyelet8 Az adatok osztályozása9 Központi felhasználó-azonosítás és jogosultságkezelés 10 Jelentéskészítés a biztonsági elõírások megsértésérõl és a biztonsági tevékenységrõl11 A rendkívüli események kezelése12 Újrahitelesítés13 A másik fél hitelesítése14 A tranzakciók engedélyezése15 Letagadhatatlanság16 Hitelesített útvonalak17 A biztonsági funkciók védelme18 A kriptográfiai kulcsok kezelése19 Rossz szándékú szoftverek megjelenésének megelõzése, felderítése és elhárítása20 Tûzfal architektúrák és kapcsolódás a nyilvános hálózatokhoz21 Az elektronikus értékek megvédése
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:A szervezet vezetõ biztonsági felelõseAz informatikai felsõ vezetés és a biztonsági vezetésAz informatikai szervezeti egység adatbázis-adminisztrátoraAz informatikai biztonsági felelõsAz informatikai alkalmazásfejlesztési vezetés
Adatgyûjtés:Az információrendszerek biztonságára és a hozzáférési jogosultságokra vonatkozó szervezeti szintû
szabályok és eljárásokAz információrendszerek biztonságára és a hozzáférési jogosultságokra vonatkozó informatikai szabályok
és eljárásokAz információrendszerek biztonsági követelményeire vonatkozó szabályok, eljárások, valamint jogsza
bályi és szabályozó testületi elõírások (ú.m. törvények, jogszabályok, irányelvek, ágazatiszabványok), beleértve az alábbiakat:• a felhasználói azonosítók kezelésére vonatkozó eljárások
162 I T G O V E R N A N C E I N S T I T U T E
DS5 Szolgáltatás és támogatásA rendszer biztonságának megvalósítása
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:Van-e érvényben stratégiai biztonsági terv, amely gondoskodik az információrendszerek biztonságának
központi irányításáról és ellenõrzésérõl, a felhasználói biztonsági követelményekre is kiterjedõen akonzisztencia érdekében
Mûködik-e olyan központi biztonsági egység, amely felelõs azért, hogy csak az arra jogosultakférhessenek hozzá a rendszer-erõforrásokhoz
Kialakítottak-e és ténylegesen alkalmaznak-e olyan adatosztályozási rendszert, amely minden rendszererõforrás esetében meghatározza a tulajdonost, aki felelõs annak biztonságáért és tartalmáért
Kialakítottak-e felhasználói biztonsági profilokat "a szükséges legalacsonyabb hozzáférési jogosultság "elve alapján, és ezeket a profilokat rendszeresen felülvizsgálja-e a vezetés ismételt jóváhagyáscéljából
A alkalmazottak kezdeti betanításakor kitérnek-e a biztonsági tudatosságra, az adattulajdonosi felelõsségreés a vírusvédelmi követelményekre is
Készülnek-e jelentések a biztonsági elõírások megsértésérõl és vannak-e érvényben formális problé-makezelési eljárások, továbbá a jelentések kiterjednek-e az alábbiakra:• engedély nélküli belépési kísérletek a rendszerbe• engedély nélküli hozzáférési kísérletek a rendszer-erõforrásokhoz • engedély nélküli kísérletek a biztonsági beállítások és szabályok megtekintésére illetve megvál-
toztatására • az erõforrásokhoz való hozzáférési jogosultságok felhasználói azonosítónként• a biztonsági beállítások és szabályok engedélyezett megváltoztatásai
Adatgyûjtés, folytatás• a felhasználókra vonatkozó biztonsági illetve információvédelmi szabályok• az elektronikus kereskedelemre vonatkozó szabványok• az adatosztályozási rendszer• a hozzáférési jogosultságot kezelõ szoftverek listája• az informatikai erõforrások elhelyezésére szolgáló épületek/helyiségek alaprajza• az informatikai erõforrások fizikai hozzáféréséi pontjainak (ú.m. modemek, telefonvonalak, és
távoli terminálok) listája vagy vázlata• a biztonsági szoftverek változáskezelési eljárásai• a biztonsági problémák nyomon követésének, megoldásának és eszkalációjának eljárásai• biztonsági szabályok megsértésérõl készített jelentések és az azokra vonatkozó vezetõi felülvizs-
gálati eljárások• az adattitkosító berendezések jegyzéke és a titkosítási szabványok• a rendszer-erõforrásokhoz hozzáférési jogosultsággal rendelkezõ szállítók és vevõk listája• az adatátvitelben részt vevõ szolgáltatók listája• a folyamatos biztonsági tesztelésre vonatkozó hálózatkezelési és felügyeleti eljárások• az adatátviteli szolgáltatókkal megkötött szerzõdések egy-egy példánya• a felhasználók aláírt nyilatkozatai a biztonsági szabályok tudomásul vételérõl• az új alkalmazottak képzéséhez használt oktatási anyagok biztonsági kérdésekkel foglalkozó
részei• a külsõ auditorok, a külsõ szolgáltatók és a kormányzati testületek vizsgálati jelentései az infor-
mációrendszerek biztonságára vonatkozóan
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 163
DS5• az erõforrásokhoz történt engedélyezett hozzáférések (felhasználók illetve erõforrások szerinti
bontásban)• a rendszer biztonsági státuszának megváltoztatása• hozzáférések az operációs rendszer biztonsági paraméter-tábláihoz
Léteznek-e kriptográfiai modulok és karbantartási eljárások a kulcsokra vonatkozóan, azokat központilagkezelik-e, és valamennyi külsõ hozzáférés vagy adatátvitel esetében alkalmazzák-e
Vannak-e érvényben szabványok a kriptográfiai kulcsokra, mind a központi, mind a felhasználóitevékenységre vonatkozóan
A biztonsági szoftverek változáskezelése formális eljárás keretében történik-e és összhangban van-e arendszerfejlesztésre és karbantartásra vonatkozó szabványokkal
Az alkalmazott azonosító mechanizmusok rendelkeznek-e egy vagy több jellemzõvel az alábbiak közül:• az azonosítási adatok egyszeri használata (pl. a jelszavakat nem lehet újra használni)• többszöri azonosítás (azaz kettõ vagy több különbözõ azonosítási mechanizmus alkalmazása)• szabályon alapuló azonosítás (azaz lehetõség arra, hogy külön azonosítási eljárásokat határoz-
zanak meg bizonyos konkrét eseményekre vonatkozóan)• igény szerinti azonosítás (azaz lehetõség arra, hogy a felhasználót az elsõ azonosítást követõen
bizonyos idõközönként újra azonosítsák)Korlátozott-e az ugyanazon felhasználó számára egyidejûleg rendelkezésére álló bejelentkezések száma Bejelentkezéskor figyelmezteti-e üzenet a felhasználót a hardverek és szoftverek, illetve a létesített
kapcsolat megfelelõ használatáraMegjelenik-e a bejelentkezés befejezése elõtt olyan figyelmeztetõ üzenet a képernyõn, amely tájékoztatja
a felhasználót arról, hogy az engedély nélküli belépés büntetést vonhat maga utánA sikeres belépést követõen megjelenik-e a képernyõn az adott felhasználói azonosítóval tett korábbi
sikeres és sikertelen belépési kísérletek listájaA jelszavakkal kapcsolatos szabályok kiterjednek-e az alábbiakra:
• az eredeti jelszó megváltoztatásának kikényszerítése az elsõ használatnál• megfelelõ minimális jelszó hosszúság• a jelszó megváltoztatásának megfelelõ és kikényszerített gyakorisága• a jelszó összevetése a nem engedélyezett értékeket tartalmazó listával (pl. szótárral való
egyeztetés)• a kényszerhelyzetben alkalmazandó jelszavak megfelelõ védelme
A formális problémakezelõ eljárások tartalmazzák-e a következõket:• A rendszer felfüggeszti a felhasználói azonosítót öt egymást követõ sikertelen belépési kísérlet
után• Belépéskor a rendszer tájékoztatja a jogosult felhasználót a legutóbbi belépés dátumáról és
idõpontjáról, valamint a sikertelen belépési kísérletek számáról• Az azonosításra öt perc áll rendelkezésre, amely után a rendszer megszakítja a kapcsolatot• A felfüggesztésrõl tájékoztatja a rendszer a felhasználót, de annak okáról nem
A telefonvonalon történõ belépés során alkalmazott eljárások tartalmazzák-e a következõket: visszahívásilletve azonosító eszköz használata, a behívó szám gyakori megváltoztatása, szoftveres éshardveres tûzfalak az eszközökhöz való hozzáférés korlátozására, valamint a jelszavak gyakorimegváltoztatása, illetve a korábbi alkalmazottak jelszavainak érvénytelenítése
Alkalmaznak-e bizonyos módszereket a helyszínek ellenõrzésére, annak érdekében, hogy bizonyoshelyszíneken további korlátozásokat vezessenek be
A hangposta szolgáltatásokhoz és a házi alközpont rendszerekhez történõ hozzáférésre ugyanolyan fizikaiés logikai biztonsági kontroll mechanizmusokat alkalmaznak-e, mint a számítógépes rendszerekesetében
164 I T G O V E R N A N C E I N S T I T U T E
DS5 Szolgáltatás és támogatásA rendszer biztonságának megvalósítása
A megfelelõség felmérése:
Tesztelendõ:Az informatikai funkció betartja-e az alábbiakra vonatkozó biztonsági szabványokat
• azonosítás és hozzáférési jogosultság• a felhasználói profilok kezelése és az adatok biztonsági osztályozása• a biztonsági elõírások megsértésérõl és a rendkívüli biztonsági eseményekrõl történõ jelen-
téskészítés és azok vezetõi áttekintése• a kriptográfiai kulcsok kezelésének szabványai• a vírusok felderítése, elhárítása és az azokra vonatkozó kommunikáció• az adatok osztályozása és tulajdonlása
Vannak-e érvényben eljárások a rendszerekhez történõ felhasználói hozzáférések kérelmezésére, létre-hozására és karbantartására
Vannak-e érvényben eljárások a rendszer-erõforrásokhoz történõ külsõ hozzáférésre, ú.m. bejelentkezés,azonosító kód, jelszó, visszahívás
Megvizsgálandó kérdések, folytatásÉrvényre juttatnak-e külön szabályokat a bizalmas pozíciókra vonatkozóan, kitérve az alábbiakra is:
• a bizalmas pozíciót betöltõ személyeknek minden naptári évben megfelelõ idõre távol kellmaradniuk a szervezettõl; ez idõ alatt a felhasználói azonosítójukat felfüggesztik, és az õkethelyettesítõ alkalmazottakat arra utasítják, hogy a biztonsággal kapcsolatosan észlelt bármelyrendellenességrõl értesítsék a vezetést
• a bizalmas tevékenységeket ellátó személyek körét idõrõl-idõre cserélik, annak bejelentése nélkülMegvédik-e a biztonsággal kapcsolatos hardvereket és szoftvereket, pl. a titkosító modulokat azok mani-
pulálásától vagy nyilvánosságra hozatalától, és a hozzáférésük szintjét a szükséges ismeret mértékealapján határozzák-e meg
A szükséges ismeret mértéke alapján korlátozzák-e a biztonsági intézkedésekre vonatkozó olyanadatokhoz való hozzáférést, mint a biztonsági felügyelet és irányítás, a bizalmas tranzakciók adatai, ajelszavak és titkosítási kulcsok
Megbízható csatornákat használnak-e a nem titkosított bizalmas információk továbbításáhozTesznek-e megelõzõ intézkedéseket a szolgáltatás megtagadására irányuló, tartalom nélküli faxüzenetek
formájában indított támadások elhárítására, például:• a fax-számok szervezeten kívüli közlésének korlátozása a szükséges ismeret mértéke alapján• az üzleti célokra használt fax-vonalakat nem használják más célokra
Hozott-e megelõzõ és felderítõ jellegû intézkedéseket a vezetés a számítógépes vírusok elleni védekezésérdekében
Tesznek-e intézkedéseket az elektronikus értékek integritásának megõrzésére, például:• a kártyaolvasó berendezések védelme a rongálásokkal, valamint a kártyákra vonatkozó informá-
ciók illetéktelen feltárásával vagy módosításával szemben• a kártya információk (PIN kódok és egyéb adatok) védelme azok belsõ körben történõ illeték-
telen feltárása ellen• a kártyák hamisításának megakadályozása
Tesznek-e intézkedéseket a biztonsági mechanizmusok érvényre juttatására, például:• bizonyos inaktív idõ után meg kell ismételni az azonosítási és hitelesítési eljárásokat• a terminál elhagyásakor egyetlen billentyû leütésével a rendszer lezárható, ismételt azonosítási
vagy leállítási folyamat indítható
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 165
DS5Napra készen tartják-e a hozzáférési jogosultságokkal kapcsolatos eszközök leltárát a teljesség szempont-
jábólAz operációs rendszer biztonsági paramétereit a szállítói/helyi szabványok alapján állítják-e be Kommunikálják, megértik és betartatják-e a hálózati biztonság kezelésének eljárásaitA külsõ hozzáférést biztosító szolgáltatókkal megkötött szerzõdések tartalmazzák-e a biztonsággal
kapcsolatos felelõsségeket és eljárásokatLéteznek-e tényleges bejelentkezési eljárások a rendszerekre, a felhasználókra és a külsõ felek általi
hozzáférésekre vonatkozóanKészülnek-e biztonsági jelentések a rendkívüli eseményekre való reagálás idõbeni voltáról, pontosságáról
és a vezetés által tett lépésekrõlLéteznek-e titkos kulcsok az adatátvitel használatáhozA rossz szándékú szoftverek elleni védelem eljárásai tartalmazzák-e az alábbiakat:
• a szervezet által vásárolt valamennyi szoftver esetében vírus-ellenõrzést végeznek az installálásukés használatba vételük elõtt
• írásban szabályozzák az ingyenes (freeware) és a szabadon terjeszthetõ, de regisztrálandó (share-ware) programok letöltését, elfogadását és használatát, és e szabályokat betartják
• a kritikus fontosságú alkalmazási szoftvereket MAC (Message Authentication Code - üzenethitelesítési kód) által, vagy digitális aláírással védik, és a sikertelen ellenõrzés letiltja a szoftverhasználatát
• a felhasználók utasításokat kapnak a vírusok észlelésére és jelentésére vonatkozóan, például amûködés lelassulása vagy az adatállományok megmagyarázhatatlan növekedése esetére
• szabályzatot és eljárást vezetnek be a szervezethez a szokásos beszerzési program keretébenkívülrõl behozott lemezek ellenõrzésére
A tûzfalak rendelkeznek-e legalább az alábbi tulajdonságokkal:• minden bentrõl kifelé és kintrõl befelé irányuló forgalomnak át kell haladnia a tûzfalon (ez nem
korlátozódhat csupán a logikai kontroll mechanizmusokra, hanem fizikailag is ki kell kénysze-ríteni)
• csak az engedélyezett forgalom haladhat át, ahogy azt helyi biztonsági politika meghatározza• a tûzfalnak magának is ellenállónak kell lennie a behatolási kísérletekkel szemben• csak az alkalmazási rétegben történhet adatforgalom a tûzfalon keresztül• a tûzfal architektúra kombinálja mind az alkalmazási, mind a hálózati rétegben alkalmazott
kontroll mechanizmusokat• a tûzfal architektúrának ki kell kényszerítenie a protokoll folytonosságának megszakítását a
szállítási rétegben• a tûzfal architektúrát a "lehetõ legegyszerûbb filozófia" szerint kell konfigurálni• a tûzfal architektúrának szigorú azonosítást kell megvalósítania a komponensei menedzseléséhez• a tûzfal architektúrának el kell rejtenie a belsõ hálózat struktúráját• a tûzfal architektúrának audit szempontú nyomonkövetési lehetõséget kell biztosítania a tûzfal-
rendszeren átmenõ minden kommunikációra vonatkozóan, és gyanús tevékenységek észleléseesetén riasztást kell generálnia
• a szervezet kiszolgáló gépeit, amelyek a nyilvános hálózatból beérkezõ szolgáltatási kérelmeketkezelik, a tûzfalon kívül kell elhelyezni
• a tûzfal architektúrának meg kell védenie magát a közvetlen támadásokkal szemben (pl. azadatforgalom aktív figyelésével és mintafelismerõ technológia alkalmazása révén)
• a belsõ hálózatba történõ bebocsátás elõtt minden végrehajtható kód esetében meg kell vizsgálni,hogy nem tartalmaz-e rosszindulatú kódot (pl. vírust vagy rosszindulatú programot)
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Az információrendszerek biztonságának összemérése hasonló szervezetek rendszereinek biztonságával
illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz információrendszerek biztonságának részletes felülvizsgálata, beleértve a számítógépes és kommu-
nikációs erõforrások fizikai és logikai biztonságának feltöréses értékelését isAz újonnan felvett alkalmazottakkal folytatott interjúk annak megállapítása céljából, hogy tisztában
vannak-e a biztonsági elõírásokkal és személyes felelõsségeikkel (pl. megerõsítik-e azt, hogy bizton-sági nyilatkozatot írtak alá és biztonságra vonatkozó oktatásban részesültek)
Interjúk a felhasználókkal annak megállapítása céljából, hogy, hogy a hozzáférési jogosultságokat valóbanaz üzleti igények ("a szükséges legalacsonyabb jogosultság") alapján határozzák-e meg, és azokhelyességét a vezetés rendszeresen felülvizsgálja-e
Feltárva az alábbiakat:Helytelenül megadott felhasználói hozzáférési jogosultságok a rendszer-erõforrásokhozEllentmondások a hálózat tervrajza vagy leltára és a valóság között, pl. hiányzó hozzáférési pontok,
hiányzó eszközök, stb.Szerzõdésbeli hiányosságok az adatok sértetlenségéhez és biztonságához kapcsolódó tulajdonlás és
felelõsség vonatkozásában az adattovábbítás bármely pontján a feladás és a fogadás közöttA legitim felhasználóként nem azonosítható alkalmazottak, vagy a még mindig hozzáférési joggal
rendelkezõ korábbi alkalmazottakInformális illetve jóvá nem hagyott hozzáférési jogosultság kérések Olyan hálózat-figyelõ szoftverek, amelyek nem adnak riasztást a hálózat-felügyelet felé a biztonsági
elõírások megsértése eseténHiányosságok a hálózati szoftver változáskezelési eljárásaibanA titkos kulcsok használatának elmulasztása a külsõ felekkel történõ kommunikáció soránHiányosságok a titkos kulcsok elõállítására, kiosztására, tárolására, a rendszerbe történõ felvételére,
felhasználására, archiválására és védelmére vonatkozó protokollokbanElévült víruskeresõ szoftver használata, illetve a vírusfertõzések megelõzésére, felderítésére, elhárítására
és jelentésére vonatkozó formális eljárások hiánya
166 I T G O V E R N A N C E I N S T I T U T E
DS5 Szolgáltatás és támogatásA rendszer biztonságának megvalósítása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 167
DS5Ez az oldal szándékosan maradt üresen.
168 I T G O V E R N A N C E I N S T I T U T E
DS6 Szolgáltatás és támogatásA költségek megállapítása és felosztása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a költségek meghatározása és felosztása
A folyamattal szemben támasztott üzleti követelmény:
az informatikai szolgáltatásokhoz kapcsolódó költségek pontos ismerete
A megvalósítás feltételei:
olyan költség-elszámolási rendszer alkalmazása, amely gondoskodik a költsé-gek megfelelõ részletességû nyilvántartásáról, kalkulációjáról és felosztásárólaz egyes szolgáltatások szintjére lebontva
Mérlegelendõ kérdések:
• azonosítható és mérhetõ erõforrások• költségfelosztási szabályok és eljárások• szolgáltatási norma díjak és visszaterhelési eljárás• kapcsolódás a szolgáltatási szint megállapodáshoz• automatizált jelentéskészítés• az elõnyök/hasznok megvalósulásának ellenõrzése• a külsõ szervezetekhez viszonyított normatív összehasonlítás
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 169
DS6A KÖLTSÉGEK MEGÁLLAPÍTÁSA ÉS FELOSZTÁSA
KONTROLL CÉLKITÛZÉSEK
1 Felszámítható költségtételek2 Költségszámítási eljárások3 Felhasználói számlázási és visszaterhelési eljárások
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Az informatikai adminisztratív vagy a költségek felosztásáért felelõs vezetésA költségek visszaterhelésében érintett kiválasztott költségviselõ felhasználói terület vezetése
Adatgyûjtés:A tervezésre és a költségvetés elkészítésére vonatkozó szervezeti szintû szabályok és eljárásokA költségek összesítésére, a visszaterhelés módszerére és a teljesítmény/költség viszony alakulására
vonatkozó jelentéseket érintõ informatikai szabályok és eljárásokAz informatikai funkcióra vonatkozóan:
• A tárgyévi és az elõzõ évi költségvetés• Az informatikai erõforrások kihasználtságának alakulásáról készített jelentések• A kihasználtság alakulásáról készített jelentések elkészítéséhez használt alapadatok• A költségfelosztási módszer illetve algoritmus• A költségek visszaterhelésérõl készült korábbi jelentések
A felhasználói területek vezetésének alábbi dokumentumai:• Az informatikai költségek tárgyévi és elõzõ évi költségvetése• A tárgyévi információrendszer-fejlesztési és karbantartási terv• Az informatikai erõforrásokra elkülönített költségek, beleértve a visszaterhelt illetve viselt
költségeket egyaránt
Megvizsgálandó kérdések:Az informatikai funkciónál van-e olyan csoport, amelynek feladata a felhasználóknak nyújtott szolgáltatá-
sokra vonatkozó számlák kiállítása és az ezekrõl készített beszámolók elkészítése Vannak-e érvényben eljárások az alábbiakra vonatkozóan:
• éves fejlesztési és karbantartási terv kidolgozása, amelyhez a felhasználók megjelölik afejlesztési, karbantartási és üzemeltetési költségek prioritásait is
• döntõ mértékben a felhasználók határozhatják meg azt, hogy az informatikai erõforrásokat mirefordítsák
• az éves informatikai költségvetés elkészítése az alábbi szempontok alapján és tartalommal:• A költségvetés elkészítésére vonatkozó szervezeti szintû követelmények betartása• Konzisztencia a felhasználói osztályok által felosztott költségekkel
170 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Van-e érvényben hivatalos költségfelosztási módszer, azt egyeztették-e a felhasználókkal a méltányosság
szempontjából, és amely alapján mind a költségek, mind a jelentések elõállnak; ez utóbbi számítássalellenõrizendõ
Van-e érvényben olyan program, amely a költségek csökkentésére illetve az informatikai erõforrásokteljesítményének növelésére irányul
A költségek felosztása és az azzal kapcsolatos jelentéskészítési rendszer az informatikai erõforrásoklegmegfelelõbb, leghatékonyabb és következetes felhasználására ösztönöz-e, biztosítja-e afelhasználói osztályok és igényeik méltányos kezelését, és a felszámított díjak igazodnak-e a szolgál-tatáshoz kapcsolódó költségekhez
DS6 Szolgáltatás és támogatásA költségek megállapítása és felosztása
Megvizsgálandó kérdések, folytatás• A múltbeli költségek és az új költségekre vonatkozó feltételezések közlése - annak
érdekében, hogy a felhasználók megértsék, hogy a kiterhelt díjak milyen költségeket tartal-maznak
• Az informatikai funkció által felosztandó valamennyi tervezett költség-elem hivataloselfogadása a felhasználói osztályok részérõl
• A jelentéskészítés és a költségek felhasználók felé történõ tényleges kiterhelésének gyako-risága
• a felosztott költségek nyomonkövetése az alábbi valamennyi informatikai erõforrásravonatkozóan, de nem korlátozódva azokra :• Az üzemelõ hardverek • Számítógép perifériák• A telekommunikáció használata• Az alkalmazási rendszerek fejlesztés és támogatása• Adminisztratív költségek• A külsõ felek által nyújtott szolgáltatások költségei• A help desk funkció költségei• A létesítmények és karbantartásuk• Közvetlen/közvetett költségek• Állandó és változó költségek• Kötött és szabad felhasználású költségek
• rendszeres jelentéskészítés a felhasználók felé a költségkategóriák szerinti teljesítésrevonatkozóan
• jelentéskészítés a felhasználók felé a költséghatékonyságra vonatkozó külsõ viszonyításinormákról, annak érdekében, hogy lehetõvé tegyék az ágazati elvárásokkal való összehasonlítást,illetve alternatív szolgáltatások igénybevételét a felhasználók részérõl
• a költségfelosztás kellõ idõben történõ módosítása az üzleti igények változásainak megfelelõen• a ténylegesen kiterhelt díjak formális jóváhagyása és elfogadása
o az informatikai fejlesztési lehetõségek meghatározása a visszaterhelt költségek csökkentése,vagy azok változatlan szintje mellett magasabb érték biztosítása érdekében
A jelentések biztosítják-e azt, hogy a felszámítható költségtételek azonosíthatóak, mérhetõek és elõretervezhetõek legyenek
A jelentések kimutatják és kiemelik-e az azok alapjául szolgáló költségelemek vagy költségfelosztásialgoritmus változásait
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 171
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A költségelszámolási és visszaterhelési módszerek összemérése hasonló szervezetekéivel illetve a
megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalA kiterhelt összegek ismételt kiszámítása az alapadatokból kiindulva, a költségfelosztási algoritmus
alapján a felhasználói jelentésekigA teljesítmény-jelentésekhez felhasznált adatok pontosak-e, például az alábbiakra vonatkozóan:
• a CPU használata• a perifériák használata• a közvetlen elérésû tárolóeszközök (DASD) használata• a megírt kódsorok• a kinyomtatott sorok/oldalak• az elvégzett program-változtatások• a PC-k, telefonok, adatállományok száma• a help desk-hez intézett kérdések• az adatátvitelek száma, hosszúsága
Pontosak-e az erõforrásokra vonatkozó alapadatokból készített teljesítményi jelentések Ténylegesen létezik-e algoritmus a költségek összesítésére és felosztására, és ennek alapján a visszater-
helés elkészítéséreA konkrét felhasználók felé történõ kiterhelések pontosságát gyakran tesztelik-e A kiterheléseket a felhasználók jóváhagyták-e Különbözõ felhasználók felé történõ költségterhelések közötti konzisztencia ellenõrzéseA felhasználók fejlesztési tervei végrehajtásának elõrehaladása a kiadott költségeken alapul-eA jelentések szétosztásának vizsgálata a jelentések felhasználása és a költségekre vonatkozó információk
szempontjábólA felhasználók elégedettségének vizsgálata az alábbiakra vonatkozóan:
• a kiterhelt költségek elfogadható volta a költségvetés szerinti várakozásokhoz viszonyítva• az éves fejlesztési terv alakulása a kiterhelt költségekhez viszonyítva• a kiterhelt költségek elfogadható volta az alternatív forrásokhoz viszonyítva (azaz a viszonyítási
normák alapján)• a kiterhelt költségeket növelõ/csökkentõ trendek kommunikációja• a várakozások szerinti kiterhelésektõl való eltérések feloldásának módja
Feltárva az alábbiakat:Lehetõségek a költségfelosztási módszer eredményességének és megfelelõségének javítására az alábbiak
révén:• több költség-komponens figyelembe vétele• a költségfelosztási mutatók illetve a mértékegységek módosítása• magának a költségfelosztási algoritmusnak a módosítása• a számítógépen futó feladatok elszámolási funkciójának összekapcsolása vagy integrálása a jelen-
téseket generáló alkalmazássalEllentmondások a költségfelosztási algoritmuson belülEllentmondások a költségek különbözõ felhasználók közötti felosztásában
DS6
Feltárva az alábbiakat, folytatásAz informatikai rendszer-erõforrások továbbfejlesztésének lehetõségeiA lehetõségek fokozása a felhasználók számára az informatikai erõforrások jobb felhasználására az üzleti
követelmények teljesítése érdekébenA hatékonyság fokozásának lehetõségei a költségtételekkel kapcsolatos adatgyûjtési, összesítési,
felosztási, jelentéskészítési és kommunikációs folyamatban, amelyek a teljesítmény javulását illetve afelhasználók számára nyújtott szolgáltatások költségeinek csökkenését eredményezik
Az eltérések és elemzések nyomán megállapított költség-trendek alapján módosították-e a kiterhelt díjakata következõ idõszakokban, valamint azokat tükrözi-e a költség-struktúra
Van-e a lehetõség arra, hogy az informatikai funkció ne költséghelyként, hanem olyan profit-központkéntmûködjön, amely szolgáltatásokat nyújt más belsõ és külsõ felhasználóknak
Amennyiben az informatikai funkció profit-központként mûködik, a funkció teljesítette-e a profithoz valótervezett hozzájárulását és költségvetését, és milyen lelhetõségek vannak a nyereségesség növelésére
172 I T G O V E R N A N C E I N S T I T U T E
DS6 Szolgáltatás és támogatásA költségek megállapítása és felosztása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 173
DS6Ez az oldal szándékosan maradt üresen.
174 I T G O V E R N A N C E I N S T I T U T E
DS7 Szolgáltatás és támogatásA felhasználók oktatása és képzése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a felhasználók oktatása és képzése
A folyamattal szemben támasztott üzleti követelmény:
gondoskodni kell arról, hogy a felhasználók hatékonyan tudják használni az infor-matikai technológiát, és tisztában legyenek az ahhoz kapcsolódó kockázatokkal, felada-tokkal és felelõsséggel
A megvalósítás feltételei:
átfogó képzési és továbbképzési terv
Mérlegelendõ kérdések:
• oktatási tematikák• a szükséges szakképzettségek listája • a tudatosság fokozását célzó kampány• új képzési és oktatási eszközök és módszerek használata• az alkalmazottak termelékenysége• tudásbázis kialakítása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 175
DS7A FELHASZNÁLÓK OKTATÁSA ÉS KÉPZÉSE
KONTROLL CÉLKITÛZÉSEK
1 Az oktatási igények meghatározása2 A képzés megszervezése3 A biztonsági alapelvekre és a tudatosságra irányuló képzés
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:A szervezeti szintû emberi erõforrás-gazdálkodási vagy képzési vezetõAz informatikai emberi erõforrás-gazdálkodási vagy képzési vezetõAz informatikai funkció kiválasztott vezetõi és dolgozóiA felhasználói osztályok kiválasztott vezetõi és dolgozói
Adatgyûjtés:A kontroll mechanizmusokra és a biztonsági tudatosság fokozására irányuló képzésre, a szakmai fejlõdést
ösztönzõ premizálási rendszerre, az informatikai szolgáltatások felhasználóira vonatkozó képzésiprogramokra, az oktatási erõforrásokra és létesítményekre, valamint a szakmai továbbképzésikövetelményekre vonatkozó szervezeti szintû szabályok és eljárások
Az informatikai funkció programjai, szabályai és eljárásai a kontroll mechanizmusokra és a biztonságitudatosság fokozására irányuló, valamint a mûszaki informatikai biztonsághoz és kontroll mechaniz-musokhoz kapcsolódó oktatásra és képzésre vonatkozóan
A rendelkezésre álló (belsõ és külsõ) képzési programok, amelyek a biztonságra, a kontroll mechanizmu-sokra és az azokkal kapcsolatos tudatosság fokozására irányuló bevezetõ és folyamatos képzésrevonatkoznak
Megvizsgálandó kérdések:Vannak-e érvényben szabályok és eljárások a biztonságra és a kontroll mechanizmusokra vonatkozó
tudatosság folyamatos fenntartásáraVan-e olyan képzési/oktatási program, amely az információrendszerek biztonsági, irányítási és ellenõrzési
alapelveit helyezi a középpontbaAz új alkalmazottak körében tudatosítják-e a biztonsággal és kontrollal kapcsolatos kötelezettségeiket és
felelõsségüket az informatikai erõforrások használatára és kezelésére vonatkozóanVannak-e érvényben szabályok és eljárások a képzésre vonatkozóan, és azok naprakészek-e az infor-
matikai erõforrások technikai konfigurációjának tekintetébenVannak-e házon belüli képzési lehetõségek, és azokon milyen gyakorisággal vesznek részt a dolgozókVannak-e külsõ technikai képzési lehetõségek, és azokon milyen gyakorisággal vesznek részt a dolgozókVan-e olyan oktatási funkcionális egység, amely felméri a személyzet oktatási szükségleteit a biztonságra
és a kontroll mechanizmusokra vonatkozóan, és a szükségletek alapján külsõ és belsõ oktatásilehetõségeket biztosít
176 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Az új alkalmazottak ismerik és megértik-e az informatikai erõforrások tulajdonlásához és használatához
kapcsolódó, a biztonságra, a kontrollra és a bizalmasságra vonatkozó kötelezettségeiket ésfelelõsségüket
Folyamatosan kommunikálják-e az alkalmazottak kötelezettségeit és felelõsségét valamennyi informatikaierõforrás titkosságára, sértetlenségére, rendelkezésre állására, megbízhatóságára és biztonságáravonatkozóan
Az informatikai funkción belül formálisan felelõs-e egy külön csoport az informatikai képzésért, abiztonság és a kontroll mechanizmusok iránti tudatosságért, valamint szakmai képesítést nyújtótovábbképzési programok mûködtetéséért
Folyamatosan felmérik-e az alkalmazottak képzési szükségleteitAz oktatási követelmények része-e a biztonsággal és a kontroll mechanizmusokkal kapcsolatos ismeretek
fejlesztése vagy az azokra vonatkozó tanfolyamokon való részvételVannak-e tényleges képzési programok az alkalmazottak biztonság iránti tudatosságának kialakítására és
hosszú távú fenntartásáraValamennyi dolgozó aláírt-e titoktartási és összeférhetetlenségi nyilatkozatotVannak-e hiányzó dolgozói titoktartási és összeférhetetlenségi nyilatkozatokTeljes körûen felmérik-e az alkalmazottak képzési igényeit
DS7 Szolgáltatás és támogatásA felhasználók oktatása és képzése
Megvizsgálandó kérdések, folytatásMinden dolgozónak rendszeres idõközönként részt kell-e vennie olyan oktatáson, amely a biztonság és
kontroll iránti tudatosság fokozására irányul, és amelyek kiterjednek az alábbiakra, de nem korlá-tozódnak azokra:• általános rendszer-biztonsági alapelvek• az informatikára vonatkozó etikai elõírások• a rendelkezésre állást, a titkosságot, az integritást, érintõ hibák káros hatásaival szemben
védelmet nyújtó biztonsági eljárások, valamint a munkafeladatok biztonságos módon történõellátásának gyakorlata
• az informatikai erõforrások kezeléséhez és használatához kapcsolódó felelõsség• az információrendszerek és információk biztonsága külsõ helyszínen történõ használat esetén
A biztonság iránti tudatosság fokozására irányuló oktatás kitér-e azokra a szabályokra is, amelyek abizalmas információk beszélgetések során történõ kiszivárgásának megelõzését szolgálják (pl. abeszélgetésben résztvevõ valamennyi személynek bejelentik az információk biztonsági besorolását)
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 177
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Az oktatási anyagok vizsgálata annak megállapítása céljából, hogy azok megfelelõek és elégségesek-e a
biztonságra, a titkosságra, a megbízhatóságra, a rendelkezésre állásra és a sértetlenségre vonatkozókontroll mechanizmusok tekintetében
Az informatikai személyzettel folytatott interjúk alapján megállapítandó, hogy meghatározták-e azoktatási szükségleteket és azokat milyen mértékben elégítették ki
Feltárva az alábbiakat:Inkonzisztenciák az oktatási szükségletek alapján összeállított tantervbenHiányosságok a felhasználóknak az informatikai erõforrások használatára vonatkozó biztonsági és belsõ
kontroll kérdéseket illetõ tudatossága terén
DS7
178 I T G O V E R N A N C E I N S T I T U T E
DS8 Szolgáltatás és támogatásA felhasználók segítése és tanácsadás
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az informatikai ügyfelek segítése, a számukra nyújtott tanácsadás
A folyamattal szemben támasztott üzleti követelmény:
a felhasználók által tapasztalt bármely probléma megfelelõ színvonalú megoldása
A megvalósítás feltételei:
elsõ vonalbeli, azonnali segítséget és tanácsot nyújtó ügyfélszolgálati (helpdesk) funkció
Mérlegelendõ kérdések:
• reagálás a felhasználói kérdésekre és problémákra • a kérdések monitorozása és megoldása• a trendek elemzése és jelentéskészítés• tudásbázis kialakítása• a problémák gyökerének feltárása• a problémák nyomon követése és továbbításuk a megoldók felé
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 179
DS8A FELHASZNÁLÓK SEGÍTÉSE ÉS TANÁCSADÁS
KONTROLL CÉLKITÛZÉSEK
1 Help Desk2 A felhasználói kérdések nyilvántartása3 A felhasználói kérdések továbbítása a megoldók felé4 A felhasználói kérdések megoldásának figyelemmel kísérése5 A trendek elemzése és jelentése
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Az informatikai help desk vezetõjeAz informatikai szolgáltatások kiválasztott felhasználói
Adatgyûjtés:Az informatikai szolgáltatások felhasználói számára történõ segítségnyújtásra és a támogatásukra
vonatkozó szervezeti szintû szabályok és eljárásokAz informatikai szervezeti egység alapszabálya, küldetése, szervezeti sémája és a help desk funkció
tevékenységeire vonatkozó szabályai és eljárásaiA felhasználói kérdésekhez és a kérdések megoldására vonatkozó jelentések, valamint a help desk
funkcióra vonatkozó teljesítményi statisztikákA help desk tevékenységekre vonatkozó bármely szabványAz informatikai funkció és a különbözõ felhasználók között megkötött szolgáltatási szint megállapodásokSzemélyzeti anyagok, amelyek alapján felmérhetõ a help desk funkciót ellátó személyzet tapasztaltsága és
szakképzettsége
Megvizsgálandó kérdések:Eredményes módon mûködik-e a help desk funkció (azaz hogyan dolgozzák fel a segítségkéréseket és
hogyan nyújtanak támogatást)Milyen létesítményekkel, eszközökkel és szervezettel látják el a help desk funkciót, és az mely személyek
vagy pozíciók feladata és felelõssége Megfelelõ szintû és naprakész-e a help desk funkció tevékenységeinek dokumentálása Kialakították-e a szolgáltatás-kérések naplózásának vagy regisztrálásának és a naplók felhasználásának
folyamatátMegfelelõ-e a kérdések eszkalációjának folyamata és elégséges-e a megoldásba való vezetõi beavatkozásMegfelelõek-e a beérkezõ kérések megoldására rendelkezésre álló idõkeretek Vannak-e érvényben eljárások a trendek figyelemmel kísérésére és a help desk tevékenységekre
vonatkozó jelentéskészítésreFormális keretek között történik-e a mûködés javítására irányuló kezdeményezések megtétele és végre-
hajtása Teljesítik-e a szolgáltatási szint megállapodásokat és megfelelnek-e a teljesítményi szabványoknak
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Kiválasztott felhasználókkal folytatott interjúk annak megállapítása céljából, hogy elégedettek-e:
• a help desk funkció mûködésével• a tevékenységi jelentésekkel• a szolgáltatási szintre vonatkozó kötelezettségek teljesítésével
A help desk funkciót ellátó személyzet feladatai ellátására vonatkozó kompetenciájának és képességeinekvizsgálata
Kiválasztott eszkalált megkeresések vizsgálata annak megállapítása céljából, hogy a válaszlépésekmegfelelõek voltak-e
A trendekre és a teljesítményjavítás lehetõségeire vonatkozó jelentéskészítés vizsgálata
Feltárva az alábbiakat:A help desk funkció tevékenységeinek nem kellõen interaktív kapcsolata az informatikai funkció más
egységeivel illetve a felhasználói szervezeti egységekkelNem elégséges eljárások és tevékenységek a problémák bejelentésére vonatkozó megkeresések fogadása,
regisztrációja, naplózása, nyomon követése, eszkalációja és megoldása terénHiányosságokat mutató eszkalációs folyamat a vezetõi részvétel vagy az eredményes korrekciós
intézkedések elmaradása miattA problémák bejelentésének nem kellõ idõzítései, illetve a felhasználók elégedetlensége a problémák
bejelentésének folyamatával
180 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A help desk tevékenységekre vonatkozó szabályok és eljárások naprakészek és pontosak-eBetartják-e a szolgáltatási szintre vonatkozó kötelezettségeket és az eltérésekre magyarázatot adnak-eKellõ idõben megoldják-e a beérkezõ kéréseket A trend-elemzés és a jelentéskészítés folyamata tartalmaz-e garanciákat arra, hogy:
• a jelentések elkészüljenek és a trendek alapján megtegyék a szolgáltatás javítását célzóintézkedéseket
• a jelentések konkrét problémákat tartalmazzanak, közöljék a trendek elemzését és meghatározzáka válaszidõket
• a jelentéseket megkapják a problémák megoldásához szükséges hatáskörrel felruházott személyekA segítségkérések körébõl vett mintára vonatkozóan megállapítandó, hogy a válasz-intézkedések pontosak
és elégségesek voltak-e, és kellõ idõben tették-e meg azokatKészültek-e felmérések a felhasználói elégedettség szintjére vonatkozóan és tettek-e lépéseket azok
nyomán
DS8 Szolgáltatás és támogatásA felhasználók segítése és tanácsadás
Megvizsgálandó kérdések, folytatásRendszeres idõközönként meghatározzák és jelentik-e a felhasználói elégedettség szintjét
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 181
DS8Ez az oldal szándékosan maradt üresen.
182 I T G O V E R N A N C E I N S T I T U T E
DS9 Szolgáltatás és támogatásA konfigurációkezelés
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a konfiguráció kezelése
A folyamattal szemben támasztott üzleti követelmény:
az összes informatikai alkotóelem számbavétele, az engedély nélküli változtatásokmegakadályozása, az eszközök meglétének ellenõrzése és megfelelõ kiindulópont biz-tosítása a változáskezeléshez
A megvalósítás feltételei:
ellenõrzési mechanizmusok, amelyek nyilvántartják az összes informatikaieszközt és azok feltalálási helyét, valamint rendszeres ellenõrzési program,amely megerõsíti az eszközök meglétét
Mérlegelendõ kérdések:
• az eszközök nyomonkövetése• konfiguráció-változás kezelés• az engedély nélküli szoftverek ellenõrzése• a szoftver tárolás kontrollálása• a szoftverek és hardverek közötti összefüggések és integráció• automatizált eszközök alkalmazása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 183
DS9A KONFIGURÁCIÓKEZELÉS
KONTROLL CÉLKITÛZÉSEK
1 A konfiguráció nyilvántartása2 A konfiguráció bázisának nyilvántartása3 A státusz nyilvántartása4 A konfiguráció nyilvántartás kontrollja5 Engedély nélküli szoftverek6 A szoftverek tárolása7 Konfigurációkezelési eljárások8 A szoftverekre vonatkozó elszámoltathatóság
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:Az informatikai üzemeltetés vezetéseAz informatikai rendszer-támogatási vezetésAz informatikai alkalmazásfejlesztési vezetésAz informatikai létesítményekért felelõs vezetésA szoftver szállítók támogató személyzeteA számítógépekkel kapcsolatos eszközgazdálkodási feladatokért felelõs alkalmazottakMinõségbiztosítási vezetõ
Adatgyûjtés:Konfiguráció leltár: hardverek, operációs rendszer szoftverek, alkalmazási rendszerek, létesítmények és
adatállományok - a belsõ és külsõ telephelyeken egyarántA vásárolt, bérelt illetve lízingelt számítástechnikai eszközök és szoftverek beszerzésére, készletezésére és
leselejtezésére vonatkozó szervezeti szintû szabályok és eljárásokAz engedély nélküli szoftverek és eszközök használatára vonatkozó szervezeti szintû szabályokA konfigurációs erõforrások beszerzésére, leselejtezésére és karbantartására vonatkozó informatikai
szabályok és eljárásokAz újonnan kifejlesztett illetve módosított szoftverek üzemi állapotba és fájlokba való független
áthelyezéséért és a migráció nyilvántartásáért felelõs minõségbiztosítási és változáskezelésifunkciókra vonatkozó informatikai szabályok és eljárások
A konfiguráció bázisára vonatkozó információkA rendszerek erõforrásokhoz kapcsolódó tárgyi eszközök és bérelt eszközök számviteli nyilvántartásaA rendszerek konfigurációjának új elemekkel való bõvítésére, meglévõ elemek eltávolítására illetve a
konfiguráció változtatásaira vonatkozó jelentésekListák a különbözõ könyvtárak tartalmáról - tesztelési, fejlesztési és üzemi könyvtárakA külsõ telephelyen tárolt készletek - berendezések, adatállományok, kézikönyvek és nyomtatványok -
listája, beleértve a szállítóknál lévõ anyagokat is
184 I T G O V E R N A N C E I N S T I T U T E
DS9 Szolgáltatás és támogatásA konfigurációkezelés
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:Megfelelõ-e a konfiguráció bázisvonalak (az a választópont a konfiguráció-elemek tervezésében és
fejlesztésében, amelyen túl a fejlesztés csak szigorú konfigurációkezelési eljárások betartása melletttörténhet) létrehozására és ellenõrzésére vonatkozó folyamat
Kialakítottak-e funkciókat a konfiguráció bázisvonalak karbantartásáraKialakították-e a vásárolt és lízingelt erõforrások státusza elszámolásának kontrollálására irányuló
folyamatot - beleértve az inputokat, az outputokat és a más folyamatokkal való integrációt isA konfigurációkezelési eljárások kiterjednek-e az alábbiakra:
• a konfiguráció bázisvonalak sértetlensége• a változáskezelési rendszerhez való programozott hozzáférés engedélyezési kontroll mechaniz-
musok • a konfiguráció-elemek és a változtatási kérelmek visszaállításának lehetõsége bármely
idõpontban• a konfiguráció végrehajtása és a konfiguráció-nyilvántartási eljárások megfelelõségét értékelõ
jelentések készítése• a konfiguráció-nyilvántartási funkció idõszakos értékelése• a konfigurációs kontroll eljárások ellenõrzéséért felelõs személyek rendelkezniük kell a
szükséges ismeretekkel, szakképzettséggel és képességekkel• eljárások kialakítása a szoftverek bázisvonalaihoz való hozzáférések ellenõrzésére• az ellenõrzések eredményeinek továbbítása a vezetés felé korrekciós intézkedések meghozatala
céljábólRendszeres idõközönként egyeztetik-e a konfigurációt a leltári és a számviteli nyilvántartásokkalA konfiguráció bázisvonalra vonatkozóan elégséges múltbeli adat áll-e rendelkezésre a változtatások
nyomon követéséhezVannak-e érvényben szoftver-változáskezelési eljárások az alábbiakra vonatkozóan:
• a licensz alapján használt alkalmazási programok könyvtárának létrehozása és karbantartása• a licensz alapján használt alkalmazási programok könyvtára megfelelõ kontrolljának biztosítása• a szoftver leltár megbízhatóságának és integritásának biztosítása• az engedélyezett és használatban lévõ szoftverek leltára megbízhatóságának és integritásának,
valamint az engedély nélküli szoftverekre vonatkozó ellenõrzés lehetõségének biztosítása• konkrét személy megbízása az engedély nélküli szoftverek kontrollálásának feladatával• az engedély nélküli szoftverek használatának nyilvántartása és arról jelentéskészítés a vezetés
számára a korrekciós intézkedések meghozatala céljából• annak eldöntése, hogy a vezetés tett-e korrekciós intézkedéseket a szabálysértések nyomán
A fejlesztés alatt álló alkalmazások tesztelési környezetbe, majd éles üzemi státuszba való migrációjakapcsolatban áll-e a konfigurációs jelentéskészítéssel
A szoftver-tárolási folyamat magában foglalja-e a következõket:• biztonságos tárolási terület (könyvtár) kijelölése minden érvényes szoftver esetében a rendszer-
fejlesztési életciklus megfelelõ szakaszaiban• annak elõírása, hogy a szoftverek tárolására szolgáló könyvtárak elválasztandók egymástól és a
fejlesztési, tesztelési illetve üzemi fájlok tárolásához használt területektõl• annak elõírása, hogy a forrás könyvtárakon belül lehetõséget kell adni az üzemi ciklusba kerülõ
forrás modulok ideiglenes könyvtárakban történõ elhelyezésére
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 185
DS9
A megfelelõség felmérése:
Tesztelendõ:A konfiguráció bázisvonalra vonatkozó kontroll mechanizmusok hatálya kiterjed-e valamennyi konfig-
uráció-elemre A konfigurációval kapcsolatos jelentéskészítés szabályai és eljárásai naprakészek és pontosak-e Betartják-e a konfiguráció karbantartására és az arra vonatkozó jelentéskészítésre vonatkozó
szabványokatVégrehajtják-e a konfiguráció bázisvonal összevetését a berendezések és eszközök fizikai leltárával és az
eszköznyilvántartás adataivalFüggetlen módon történik-e a tesztelésbõl az üzemi környezetbe történõ migráció és a változtatás nyilván-
tartása A konfiguráció bázisvonalra vonatkozó kiválasztott outputokra megállapítandó:
• a konfiguráció-elemekre vonatkozóan pontos, megfelelõ és jóváhagyott konfiguráció bázisvonalattartanak-e nyilván
• a konfiguráció nyilvántartásai valamennyi konfiguráció-elem aktuális állapotát tükrözik-e, éstartalmazzák-e a múltbeli változtatásokat is
• a vezetés rendszeres idõközönként felülvizsgálja és értékeli-e a konfiguráció nyilvántartáskonzisztenciáját és meghozza-e a szükséges korrekciós intézkedéseket
• az adatállomány-könyvtárak helyesen és megfelelõ módon, valamint a rendszerfejlesztésiéletciklus megfelelõ szakaszaiban kerültek-e meghatározásra
• készül-e jelentés az olyan esetekrõl, ha bármelyik személyi számítógép engedély nélküli szoftverttartalmaz, és a vezetés meghozza-e a szükséges korrekciós intézkedéseket
• pontos-e a külsõ felektõl beszerzett valamennyi erõforrás konfiguráció nyilvántartása a termék, averzió és a módosítások vonatkozásában
• pontosak-e a konfiguráció múltbeli változtatásaira vonatkozó nyilvántartási adatok
• annak elõírása, hogy az összes könyvtár minden elemének rendelkeznie kell kijelölt tulajdonossal• a logikai és fizika hozzáférés kontroll mechanizmusainak meghatározása• a szoftverekre vonatkozó elszámoltathatóság megvalósítása• az audit szempontú nyomonkövethetõség megvalósítása• az ezen eljárás be nem tartása valamennyi esetének felderítése, dokumentálása és a vezetés felé
történõ jelentése• annak eldöntése, hogy a vezetés tett-e korrekciós intézkedéseket
Változás esetén együttmûködik-e az alkalmazásfejlesztési, a minõségbiztosítási és az üzemeltetési funkcióa konfiguráció bázisvonal aktualizálásában
A szoftverek el vannak-e látva cimkével és rendszeres idõközönként leltározzák-e azokatHasználnak-e könyvtárkezelõ szoftvert az alábbi célokra:
• audit célú nyomonkövetés lehetõségének biztosítása a program-módosításokra vonatkozóan• a program verziószámok karbantartása• a programok változtatásainak nyilvántartása és az azokról való jelentéskészítés• az éles üzemû modulok létrehozására/idõpontjaira vonatkozó információk karbantartása• másolatok õrzése a korábbi változatokról• az egyidejû frissítések kontrollálása
186 I T G O V E R N A N C E I N S T I T U T E
Tesztelendõ, folytatás• vannak-e mechanizmusok annak biztosítására, hogy a számítógépekre ne kerüljenek fel engedély
nélküli szoftverek, beleértve az alábbiakat:• Szabályok és nyilatkozatok• A potenciális anyagi felelõsség (jogi és termékhez kapcsolódó) oktatása és tudatosítása• Valamennyi számítógépet használó alkalmazott által aláírt nyilatkozat a szabályok betartására
vonatkozóan• A számítógépes szoftverek központi kontrollálása• A számítógépes szoftverek folyamatos felülvizsgálata• Jelentéskészítés a felülvizsgálatok eredményeirõl• Korrekciós intézkedések a vezetés részérõl a felülvizsgálatok eredményei alapján
• meghatározzák-e az alkalmazási programok és forráskódjaik tárolási helyét a fejlesztési ciklussorán és megvizsgálják-e azoknak a konfiguráció nyilvántartásokra gyakorolt hatását
• a külsõ telephelyeken és a szállítóknál vezetett konfiguráció nyilvántartások elégségesek éssértetlenek-e, továbbá vannak-e elvárások a konfiguráció nyilvántartás pontosságára vonatkozóanés azokkal számolnak-e
• határoztak-e meg eljárásokat a konfiguráció bázisvonalra vonatkozóan az alábbiakat illetõen:• A konfiguráció bázisvonalat létrehozó eseménynek, a bázisvonal létrehozásának és az általa
kontrollálandó konfiguráció-elemeknek a nyilvántartása• A bázisvonal megváltoztatása, beleértve a korábban jóváhagyott konfiguráció bázisvonalak
megváltoztatásának jóváhagyásához szükséges hatáskört• A bázisvonal és az általa kontrollálandó konfiguráció-elemek módosításainak nyilvántartása• Annak biztosítása, hogy valamennyi konfiguráció-elem bázisvonalhoz tartozó termékként
nyilvántartásba vételre kerül • készül-e állapot-nyilvántartási jelentés az alábbiakról:
• Az összegyûjtendõ, tárolandó, feldolgozandó és jelentendõ információk típusa (Ennek tartal-maznia kell a bázisvonal státuszát; a bázisvonal ellenõrzésének megállapításait; a változtatásikérelmeket és azok státuszát; a konfigurációt ellenõrzõ testület (amennyiben létezik) általifelülvizsgálatot és jóváhagyását/elutasítását; a ténylegesen végrehajtott változtatásokat; aproblémákra vonatkozó jelentéseket és azok státuszát, valamint a konfiguráció múltbelifelülvizsgálatait)
• A változtatási kérelmekkel kapcsolatos kérdések megoldása abban az esetben, ha az állapotnyilvántartás nem teljes
• A generálandó állapot-nyilvántartási jelentések fajtái és azok gyakorisága• A fenti állapot-adatokhoz történõ hozzáférések kontrollálása
DS9 Szolgáltatás és támogatásA konfigurációkezelés
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 187
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A konfiguráció nyilvántartásokkal, a nyilvántartások módosításával, valamint a leltári, a számviteli és a
szállítói nyilvántartások egyeztetésével kapcsolatos vezetõi ellenõrzések gyakoriságának ésnaprakészségének részletes áttekintése
A különbözõ könyvtárak számítógépes szoftverrel történõ elemzése az esetleges ismétlések és hiányzótárgykódok azonosítása, valamint a szükségtelen adatok vagy kódállományok kiküszöböléseérdekében - és az így kapott eredmények átvezetése a konfiguráció nyilvántartásokon
Feltárva az alábbiakat:Hiányosságok a szervezeti szintû szabályok ismerete és helyes értelmezése terén a vezetés és az alkalma-
zottak körében az alábbiakra vonatkozóan:• A konfiguráció nyilvántartás és az abban eszközölt változtatások• A konfiguráció kontroll mechanizmusok helye a rendszerfejlesztési életciklusban• A konfiguráció-, számviteli- és szállítói nyilvántartások közötti integráció• Az engedély nélküli szoftverek használatának tilalma a személyi számítógépeken
Hiányosságok a konfiguráció báztisvonalak kidolgozását és karbantartását végzõ funkcióeredményességét és hatékonyságát javító fejlesztési lehetõségek terén
Hiányosságok a szállítókra vonatkozó változásoknak a konfiguráció nyilvántartásban történõátvezetésében, a nyilvántartás biztonsága terén, vagy a szállítónkénti bejegyzések helyessége terén.
DS9
188 I T G O V E R N A N C E I N S T I T U T E
DS10 Szolgáltatás és támogatásA problémák és rendkívüli események kezelése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a problémák és a rendkívüli események kezelése
A folyamattal szemben támasztott üzleti követelmény:
a problémák és rendkívüli események megoldása, továbbá az okok feltárása az ismételtelõfordulás megelõzése érdekében
A megvalósítás feltételei:
probléma-kezelõ rendszer alkalmazása, amely nyilvántartja a rendkívüli ese-ményeket és követi az azokkal kapcsolatos fejleményeket
Mérlegelendõ kérdések:
• a problémák és megoldások audit szempontú nyomonkövet-hetõsége
• a feltárt problémák megfelelõ idõben történõ rendezése• a problémák illetékesekhez történõ továbbításával kapcsolatos el-
járások• jelentés a rendkívüli eseményekrõl• a konfigurációra vonatkozó információk hozzáférhetõsége• a szállítók kötelezettségei• összehangolás a változáskezeléssel
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 189
DS10A PROBLÉMÁK ÉS RENDKÍVÜLI ESEMÉNYEK KEZELÉSE
KONTROLL CÉLKITÛZÉSEK
1 Probléma-kezelõ rendszer2 A problémák megfelelõ illetékességi szintekre történõ továbbítása (eszkaláció)3 A problémák ellenõrzési szempontú nyomonkövethetõsége4 Hozzáférés ideiglenes engedélyezése vészhelyzetekben5 Kényszerhelyzeti feldolgozási prioritások
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:Az informatikai üzemeltetési személyzetAz informatikai help desk személyzetAz informatikai rendszer-támogatási személyzetAz informatikai alkalmazási rendszer-támogatási személyzetAz informatikai erõforrások kiválasztott felhasználói
Adatgyûjtés:A probléma-kezelés céljait szolgáló létesítményekre és a probléma-kezelési funkcióhoz tartozó pozíciókra
vonatkozó összesítésekA probléma-kezelésre vonatkozó informatikai szabályok és eljárások, beleértve a problémák felis-
merésére, naplózására, megoldására, eszkalációjára, nyomon követésére és az arra irányuló jelen-téskészítésre vonatkozó folyamatokat
Valamely jellemzõ periódus során jelentett problémák listája, beleértve a felmerülés dátumára, azeszkaláció dátumára (amennyiben értelemszerû), a megoldás dátumára és a megoldás idõkereteirevonatkozó adatokat is
Azoknak a kritikus fontosságú alkalmazási rendszereknek a listája, amelyekkel kapcsolatos problémákatazonnal a felsõ vezetéshez kell továbbítani azok magas prioritású megoldása érdekében, illetveamelyek hibája kritikus problémaként jelentendõ
A probléma-kezelõ alkalmazási programok, és különösen azoknak az eljárásoknak az áttekintése, amelyekbiztosítják azt, hogy valamennyi problémát rögzítsék, megoldják és az elõírások szerint jelentsék
Megvizsgálandó kérdések:Kialakítottak-e egy olyan probléma-kezelõ folyamatot, amely biztosítja azt, hogy minden, a szokásos
üzemelés körén kívül esõ mûködési esemény rögzítésre, elemzésre és kellõ idõben megoldásra kerül,valamint a jelentõs problémákról jelentés készül
Vannak-e érvényben probléma-kezelési eljárások az alábbiakra vonatkozóan:• a probléma-kezelés rendszerének meghatározása és bevezetése• valamennyi nem szabványos esemény rögzítése, elemzése és kellõ idõben történõ megoldása
190 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A folyamat outputjai közül kiválasztott minta megfelel-e az alábbiakra vonatkozóan kinyilvánított eljárá-
soknak:• nem-kritikus problémák• eszkalációt igénylõ magas prioritású/kritikus problémák• a jelentésekre vonatkozó követelmények, tartalom, pontosság, címzettek és a megtett lépések• a felhasználók elégedettsége a probléma-kezelési eljárással és annak eredményeivel
Interjúk révén megállapítandó a probléma-kezelési folyamat ismerete és megértése
DS10 Szolgáltatás és támogatásA problémák és rendkívüli események kezelése
Megvizsgálandó kérdések, folytatás• rendkívüli esemény-jelentések kialakítása a kritikus eseményekre vonatkozóan, azoknak a
felhasználók felé történõ jelentése céljából• a problémák típusának meghatározása és egy olyan rangsorolási módszer kialakítása, amely a
kockázaton alapuló különféle megoldási lépésekre nyújt lehetõséget• a probléma-kezeléshez kapcsolódó információk logikai és fizikai kontroll mechanizmusainak
meghatározása• az outputoknak a "szükséges ismeret mértéke" elv alapján történõ szétosztása• a problémák tendenciáinak nyomon követése az erõforrások maximalizálása és a megoldási idõ
csökkentése érdekében• pontos, naprakész, konzisztens és használható adatokat összegyûjtése a jelentések elkészítéséhez• a vezetés megfelelõ szintjének értesítése eszkaláció és tájékoztatás céljából• annak eldöntése, hogy a vezetés rendszeresen értékeli-e a probléma-kezelési folyamatot annak
hatékonysága és eredményessége növelése céljából• kielégítõ audit szempontú nyomonkövetési lehetõségek biztosítása a rendszer-problémák
kezeléséhez• integráció a változás-, rendelkezésre állás- és konfigurációkezelési rendszerekkel és személy-
zettelKialakítottak-e feldolgozási prioritásokat kényszerhelyzet esetére, azokat dokumentálták-e, és azokra
vonatkozóan szükség van-e az illetékes program- és informatikai vezetõk jóváhagyásáraKialakítottak-e olyan kényszerhelyzeti és ideiglenes hozzáférés-engedélyezési eljárásokat, amelyek
elõírják az alábbiakat:• a hozzáférés szabványos nyomtatványokon történõ dokumentálása és azok lefûzése• jóváhagyás az illetékes vezetõk részérõl• a biztonsági funkció biztonságos módon történõ értesítése • a hozzáférés automatikus megszüntetése az elõre meghatározott idõ letelte után
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 191
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A bejelentett problémák közül kiválasztottak tesztelése annak megállapítása céljából, hogy a probléma
kezelési eljárásokat betartották-e minden nem szabványos tevékenység esetében, az alábbiakvonatkozásában:
• minden nem szabványos eseményt rögzítettek-e folyamatonként• minden eseményt nyomon követtek-e és megoldottak-e• megfelelõ szintû válaszlépéseket tettek-e az esemény prioritási foka alapján• alkalmazták-e az eszkaláció folyamatát a kritikus események esetében• megfelelõ volt-e a jelentéskészítés az informatikai funkciónál és a felhasználói csoportoknál• rendszeresen felülvizsgálják-e a folyamat hatékonyságát és eredményességét annak továbbfej-
lesztése céljából• mik voltak a teljesítmény-javítási program elvárásai és eredményei
Feltárva az alábbiakat:Olyan problémák, amelyeket a probléma-kezelési folyamat nem kezel formálisan Olyan problémák elõfordulása probléma-kezelõ folyamatonként, amelyeket felismertek, de nem oldottak
megEltérések a tényleges és a formális folyamat eseményei között a problémák megoldása terénHiányosságok a felhasználók oldaláról a probléma-kezelési folyamatban, a problémák kommunikációja és
a megoldás terén - a javítás lehetõségeit szem elõtt tartva
DS10
192 I T G O V E R N A N C E I N S T I T U T E
DS11 Szolgáltatás és támogatásAz adatok kezelése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az adatok kezelése
A folyamattal szemben támasztott üzleti követelmény:
az adatok teljességének, pontosságának és érvényességének megõrzése a rögzítés, azaktualizálás és a tárolás során
A megvalósítás feltételei:
az informatikai eljárásokhoz kapcsolódó általános, illetve az alkalmazásirendszerekbe épített kontrollok hatékony kombinációja
Mérlegelendõ kérdések:
• ûrlapok, formátumok megtervezése• a forrás-dokumentumok kontrollja• adatbeviteli (input), -feldolgozási és -kimeneti (output) kontrollok• adathordozók azonosítása, mozgatása és könyvtári kezelése• az adatok mentése és visszatöltése• hitelesítés és sértetlenség• adat-tulajdonlás• adat-adminisztrációs szabályok• adatmodellek és adatleírásra vonatkozó szabványok• integráció és konzisztencia a különbözõ informatikai
platformok között • törvényi és jogszabályi elõírások
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 193
DS11AZ ADATOK KEZELÉSE
KONTROLL CÉLKITÛZÉSEK
1 Adatelõkészítési eljárások2 A forrás-dokumentumok engedélyezési eljárásai3 A forrás-dokumentumok adatainak összegyûjtése4 A forrás-dokumentumok hibáinak kezelése5 A forrás-dokumentumok megõrzése6 Adatbevitel-engedélyezési eljárások7 A pontosság, teljesség és engedélyezettség ellenõrzése8 Az adatbeviteli hibák kezelése9 Az adatfeldolgozás sértetlensége10 Az adatfeldolgozás érvényességének ellenõrzése és a szerkesztés11 Az adatfeldolgozási hibák kezelése12 A kimenõ adatok kezelése és megõrzése13 A kimenõ adatok szétosztása14 A kimenõ adatok egyeztetése15 A kimenõ adatok felülvizsgálata és a hibakezelés16 A kimenõ adatokról készült jelentésekre vonatkozó biztonsági elõírások17 A bizalmas információk védelme adattovábbítás és szállítás közben18 A megsemmisítendõ bizalmas információk védelme19 Az adattárolás kezelése20 Megõrzési idõ és tárolási feltételek21 Adathordozó-könyvtár kezelõ rendszer22 Az adathordozó-könyvtár kezeléséhez kapcsolódó felelõsségek23 Mentés és helyreállítás24 Mentési munkafolyamatok25 A mentések tárolása26 Archiválás27 A bizalmas üzenetek védelme28 Hitelesítés és sértetlenség29 Az elektronikus tranzakciók sértetlensége30 A tárolt adatok sértetlenségének folyamatos fenntartása
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:Az informatikai üzemeltetési vezetésAz informatikai adatbázis-adminisztrátori vezetésAz informatikai alkalmazási rendszerfejlesztési vezetésAz informatikai emberi erõforrás-gazdálkodási/képzési vezetésAz informatikai rendszer-támogatási vezetésA tartalék telephely biztonsági és adminisztrációs vezetéseAz üzletmenet szempontjából kritikus fontosságú alkalmazásokat használó felhasználói területek vezetése
194 I T G O V E R N A N C E I N S T I T U T E
DS11 Szolgáltatás és támogatásAz adatok kezelése
Adatgyûjtés:Az adatok jellegére és kezelésére vonatkozó szervezeti szintû szabályok és eljárások, beleértve az alábbi-
akat is:• az adatok áramlása az informatikai funkción belül és azok felhasználói felé, illetve a
felhasználóitól• azok a pontok a szervezeten belül, ahol az adatokat elõállítják, csoportosítják, szerkesztik,
betáplálják, feldolgozzák, a feldolgozás eredményét kiadják, ellenõrzik, kijavítják és újra feldol-gozásra bocsátják, valamint továbbítják a felhasználókhoz
• a forrás-dokumentumok jóváhagyásának folyamata• az adatgyûjtési, nyomon követési és adatátviteli folyamatok• a bevitelre kész forrás-dokumentumok teljességét, pontosságát, nyilvántartását és átvitelét
biztosító eljárások• az adat-elõállítás során felmerülõ hibák feltárását és kijavítását biztosító eljárások• az Interneten illetve más nyilvános hálózaton keresztül továbbított bizalmas üzenetek sértetlen-
ségét, titkosságát és letagadhatatlanságát biztosító eljárások• a forrás-dokumentumok megõrzésére alkalmazott módszerek a szervezetnél (archiválás, elektro-
nikus képi rögzítés, stb.), a megõrizendõ dokumentumok köre, a jogszabályokban ésrendeletekben elõírt megõrzési kötelezettségek, stb.
• az informatikai funkció számára adatokat biztosító illetve annak adatait használó kapcsolódórendszerek
• az adatkezelési feladatokra vonatkozóan megkötött szolgáltatási szerzõdések• a tevékenységek és készletek figyelemmel kísérésére használt vezetõi jelentések
Valamennyi jelentõsebb alkalmazás és felhasználói dokumentáció listája az alábbiakra vonatkozóan:• az adatbevitel pontosságát, teljességét és engedélyezettségét ellenõrzõ modulok• az egyes alkalmazások adatbeviteli funkciói• az adatbeviteli hibák kijavítását végzõ funkciók• a hibák megelõzésére (manuális és automatizált módon), felderítésére és kijavítására használt
módszerek• a feldolgozásra átadott adatok feldolgozási sértetlenségének kontrollálása• az adatok érvényességének ellenõrzése, szerkesztése és hitelesítése a feldolgozáshoz
kapcsolódóan, az adatok elõállításához lehetõ legközelebb esõ ponton • az alkalmazások által készített outputok kezelése és megõrzése• az outputok, azok szétosztása és az azokat használó kapcsolódó rendszerek• az outputoknak az ellenõrzõ összegekkel való összevetésére és az eltérések egyeztetésére
vonatkozó eljárások• a kimeneti adatokat tartalmazó jelentések és az információk pontosságának ellenõrzése• az elosztott feldolgozás kimeneti adatait tartalmazó jelentések védelme• a továbbított illetve az alkalmazások között mozgó adatok védelme• a bizalmas bemeneti, feldolgozási és kimeneti dokumentációk megsemmisítése• a külsõ félre vonatkozó kontroll mechanizmusok az elõkészítést, az adatbevitelt, a feldolgozást és
a kimeneti adatokat érintõenA szervezet bármely központi adatbázis repozitóriumára vonatkozó szabályok és eljárások, beleértve az
alábbiakat is:• adatbázis-szervezés és adatszótár• adatbázis-karbantartási és biztonsági intézkedések • az adatbázisok tulajdonlásának meghatározása és napra készen tartása
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 195
DS11
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:Az adatok elõkészítésére vonatkozóan:
• az adatelõkészítési eljárások gondoskodnak-e az adatok teljességérõl, pontosságáról ésérvényességérõl
• vannak-e érvényben jóváhagyási eljárások valamennyi forrás-dokumentumra kiterjedõen • különválasztották-e a forrás-dokumentumok elkészítésének, jóváhagyásának és számítógépes
adatokká történõ átalakításának munkaköri feladatait• a jóváhagyott adatok teljesek, pontosak és érvényesek maradnak-e a forrás-dokumentumok elõál-
lítása során• az adatok továbbítása megfelelõ idõben történik-e• rendszeres idõközönként ellenõrzik-e a forrás-dokumentumokat elkészítésük megfelelõsége és
jóváhagyásuk megtörténte szempontjából• megfelelõen kezelik-e a hibás forrás-dokumentumokat• megfelelõ kontroll mechanizmusok érvényesülnek-e a forrás-dokumentumokban szereplõ
bizalmas információk védelmére azok illetéktelen kezekbe történõ kerülésének megakadályozásaérdekében
• az eljárások biztosítják-e a forrás-dokumentumok teljességét és pontosságát, azok megfelelõnyilvántartását és kellõ idõben történõ számítógépes adatbevitelét
• a forrás-dokumentumokat kellõen hosszú ideig megõrzik-e ahhoz, hogy adatvesztés eseténlehetõvé tegyék a helyzet rekonstruálását, illetve azok rendelkezésre állását vizsgálatok, auditok,peres eljárások során, és megfeleljenek a megõrzési idõre vonatkozó elõírásoknak
• az adatbázisok tervére és tartalmára vonatkozó változáskezelési eljárások• az adatbázisokkal kapcsolatos tevékenységeket meghatározó vezetõi jelentések és audit
szempontú nyomonkövetési lehetõségek Az adathordozó-könyvtárra és az adatok külsõ telephelyen történõ tárolására vonatkozó szervezeti szintû
szabályok és eljárások, beleértve az alábbiakat is:• az adathordozó-könyvtár adminisztrációja és a könyvtárkezelõ rendszer • a valamennyi adathordozó eszköz külsején feltüntetendõ azonosító elõírása• annak elõírása, hogy leltári nyilvántartást vezessenek valamennyi adathordozó aktuális, teljes
tartalmára vonatkozóan, és kialakítsák a tevékenység kontrollálásának folyamatát• az adat-erõforrások védelmét szolgáló rendfenntartó és karbantartó eljárások• tényleges és a nyilvántartott adatok egyeztetési eljárásai• az olyan adatok kezelése, amelyek adathordozóit újrahasznosítják és rotálják• a leltár korábbi tesztelési adatai és a végrehajtott helyreállítási tesztek• az üzemfolytonossági tervekben meghatározott adathordozók és a külsõ telephelyek személy-
zetének feladatai
196 I T G O V E R N A N C E I N S T I T U T E
DS11 Szolgáltatás és támogatásAz adatok kezelése
Megvizsgálandó kérdések, folytatásAz adatbevitelre vonatkozóan:
• megfelelõ-e a forrás-dokumentumok jóváhagyásra történõ továbbításának útja az adatbevitel elõtt• megfelelõen szét vannak-e választva a benyújtási, jóváhagyási, engedélyezési és adatbeviteli
feladatok • a terminálok vagy munkaállomások el vannak-e látva egyedi kódokkal, és az operátorok bizton-
ságos módon azonosíthatóak-e• a munkaállomások és az operátorok azonosítóinak használata, karbantartása és kontrollja• a bemeneti adatok forrásának azonosítását biztosító audit szempontú nyomonkövetési lehetõségek• az adatbeviteli eljárások vagy az adatszerkesztések ellenõrzése az adatelõállítási ponthoz a lehetõ
legközelebb történik-e• megfelelõ-e a hibásan bevitt adatok kezelése • egyértelmûen kijelölték-e az adatok megfelelõ engedélyezésének betartatásáért való felelõsségi
köröket
Az adatfeldolgozásra vonatkozóan:A programok tartalmaznak-e hibákat megelõzõ, felderítõ és javító rutinokat:
• a programoknak tesztelniük kell a bemenõ adatokat az esetleges hibák szempontjából (azazérvényesség ellenõrzés és szerkesztés)
• a programoknak ellenõrizniük kell az összes tranzakció érvényességét az ugyanarra a tranzak-cióra vonatkozó törzsadatok alapján
• a programok nem engedhetik meg a hiba-körülmények felülbírálatátA hibakezelõ eljárások tartalmazzák-e a következõket:
• a hibák kijavítását és az adatok ismételt feldolgozásra való bocsátását jóvá kell hagyni• meg kell határozni a vonatkozó egyéni felelõsségi köröket• a feldolgozásra felfüggesztett fájloknak jelentést kell generálniuk a megoldatlan hibákra
vonatkozóan• rendelkezésre kell állnia a feldolgozásra felfüggesztett fájlok kor és típus szerinti prioritási
sémájának Rendelkezésre áll-e audit szempontú nyomonkövetési lehetõség a végrehajtott programokra és a feldolgo-
zott/elutasított tranzakciókra vonatkozóanFigyelemmel kíséri-e egy olyan ellenõrzõ csoport az adatbeviteli tevékenységet, amely kivizsgálja a nem
szabványos eseteket és valamennyi feldolgozott adatra vonatkozóan egyezteti a rekordszámot és azellenõrzõ összegeket
Minden mezõt szerkesztése megfelelõ módon történik-e, az esetben is, ha valamelyik mezõ hibásGyakran felülvizsgálják-e az érvényesség ellenõrzése során használt táblákat Írásban rögzített eljárások szabályozzák-e a hibás adatok kijavításának és ismételt feldolgozásra való
bocsátásának módját, beleértve az ismételt feldolgozás megszakításmentes megoldását isAz ismételt feldolgozásra bocsátott tranzakciókat pontosan ugyanúgy dolgozzák-e fel, mint az eredeti
tranzakciókatA hibák kijavítása az eredeti feldolgozásra bocsátást végzõ funkció feladata-eA mesterséges intelligenciával rendelkezõ rendszerek esetében olyan interaktív kontroll mechanizmu-
sokkal ellátott, emberi üzemeltetõket alkalmazó környezetet alakítottak-e ki, amely biztosítja azt,hogy a legfontosabb döntések jóváhagyásra kerülnek
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 197
DS11Az outputokra, az interfészekre és a kimeneti adatok szétosztására vonatkozóan:Az outputokhoz való hozzáférés fizikailag és logikailag is korlátozva van-e az arra jogosult személyek
számáraFolyamatosan felülvizsgálják-e az outputok elõállításának szükségességét A kimeneti adatokat rutinszerûen egyeztetik-e a megfelelõ ellenõrzõ összegekkel Vannak-e audit szempontú nyomonkövetési lehetõségek a tranzakció-feldolgozás követésére és a megsza-
kított feldolgozás adatainak egyeztetéséreEllenõrzik-e a kimeneti adatokat tartalmazó jelentések pontosságát, és a kimeneti adatokban lévõ hibákat
megfelelõen kezeli-e az erre kijelölt képzett személyzetVilágosan meghatározták-e az output, a rendszerek közötti kapcsolat és az outputok terítése folyamán
felmerülõ biztonsági kérdéseketTájékoztatják-e a vezetést a biztonsági elõírások bármely fázisban elõforduló megsértésérõl, arra
vonatkozóan meghozzák-e a szükséges intézkedéseket és azok tükrözõdnek-e új eljárásokban,amennyiben szükséges
Világosan meghatározták-e az outputok megsemmisítésének folyamatát és az ennek végrehajtásáravonatkozó felelõsségi köröket
Tanúk által igazolják-e a felhasznált, de a feldolgozást követõen szükségtelenné vált anyagok megsem-misítését
Minden adatbeviteli és kimeneti adathordozót külsõ telephelyen tárolnak-e arra az esetre, ha késõbbszükség lenne rájuk
A töröltként megjelölt információkat megváltoztatják-e oly módon, hogy azok többé ne legyenekvisszanyerhetõek
Az adathordozó-könyvtárakra vonatkozóan:Az adathordozó könyvtár tartalmát szisztematikusan leltározzák-e A leltár során feltárt rendellenességeket kellõ idõben kiküszöbölik-e Tettek-e intézkedéseket a könyvtárban tárolt mágneses adathordozók sértetlenségének megõrzésére Vannak-e érvényben rendtartási eljárások az adathordozó könyvtár tartalmának védelméreAz informatikai funkción belül ki vannak-e jelölve az adathordozó könyvtár kezeléséhez kapcsolódó
feladatok ellátásáért felelõs személyek Van-e érvényben mentési és helyreállítási stratégia az adathordozókra vonatkozóanKészítenek-e mentéseket az adathordozókról a meghatározott mentési stratégia alapján, és rendszeresen
ellenõrzik-e a mentések használhatóságátBiztonságos módon tárolják-e az adathordozókról készített másolatokat, és rendszeres idõközönként
ellenõrzik-e a tárolási helyszínek fizikai biztonságát, valamint az adatállományok és egyéb tételekbiztonságát
Meghatározták-e a dokumentumok, adatok, programok, jelentések és üzenetek (bejövõ és kimenõüzeneteket egyaránt beleértve), valamint az azok titkosításához és hitelesítéséhez használt adatok(kulcsok, tanúsítások) megõrzési idejét és tárolási feltételeit
A papír formátumú forrás-dokumentumok megõrzése mellett rögzítik és megõrizik-e a telefonbeszél-getéseket is - amennyiben ez nem ellentétes a személyi adatok védelmére vonatkozó helyitörvényekkel - az olyan üzleti tranzakciók illetve egyéb üzleti tevékenységek esetében, amelyekettradicionálisan telefonon keresztül szoktak elintézni
Megfelelõ eljárások vannak-e érvényben az információk (adatok és programok) archiválására, azokösszhangban vannak-e a jogi és üzleti követelményekkel, és biztosítják-e a számonkérhetõséget és areprodukálhatóságot
198 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Az adatok elõkészítése:A forrás-dokumentumokból vett mintára vonatkozóan megállapítandó, hogy a dokumentumok
megfelelnek-e az engedélyezésre, jóváhagyásra, pontosságra, teljességre és az adatbevitel céljábóltörténõ átvételre vonatkozóan kinyilvánított eljárásoknak, és az adatbevitel kellõ idõben történt-evégrehajtásra
A forrás-adatokkal, az adatbevitellel és az adat-konverzióval foglalkozó alkalmazottak ismerik-e ésmegértik-e az adatok elõkészítésére vonatkozó irányítási és ellenõrzési követelményeket
Az adatbevitel:Teszt-adatok bevitelével (amelyek helyes és hibás tranzakciókat egyaránt tartalmaznak) ellenõrizendõ,
hogy végrehajtásra kerülnek-e a pontosságra, a teljességre és az engedélyezettségre vonatkozóellenõrzések
Kiválasztott tranzakciókra vonatkozóan összehasonlítandó a törzsállományok adatbevitel elõtti és utániállapota
Érvényesül-e a hibák kezeléséhez kapcsolódó adatmegõrzés, hibaelhárítás és felülvizsgálat összhangjaA hibák kezeléséhez kapcsolódó eljárások és intézkedések összhangban vannak-e az érvényben lévõ
szabályokkal és kontroll mechanizmusokkal
Az adatok feldolgozása:Ténylegesen használják-e programfutások közötti ellenõrzõ összegeket és a törzsállományok frissítésének
kontroll eljárásaitTeszt-adatok bevitelével (amelyek helyes és hibás tranzakciókat egyaránt tartalmaznak) megállapítandó,
hogy az adatoknak a feldolgozáshoz kapcsolódó érvényesség ellenõrzésére, hitelesítésére ésszerkesztésére valóban az elõállítási ponthoz a lehetõ legközelebb kerül sor
A hibakezelési folyamat az érvényben lévõ eljárásoknak és kontroll mechanizmusoknak megfelelõenmûködik-e
Érvényesül-e a hibák kezeléséhez kapcsolódó adatmegõrzés, hibaelhárítás és felülvizsgálat üsszhangja, ésazok megfelelõen mûködnek-e
A hibakezelési eljárások és intézkedések összhangban vannak-e az érvényben lévõ szabályokkal éskontroll mechanizmusokkal
DS11 Szolgáltatás és támogatásAz adatok kezelése
Megvizsgálandó kérdések, folytatásAz információk hitelesítésére és sértetlenségére vonatkozóan:Rendszeres idõközönként ellenõrzik-e az adatállományok sértetlenségétA szervezethez kívülrõl, telefonon vagy hangpostán keresztül érkezõ kéréseket ellenõrzik-e visszahívással
vagy egyéb hitelesítési módszerrel Elõre meghatározott módszer szerint elvégzik-e a telefaxon illetve elektronikus képrögzítõ rendszeren
keresztül beérkezett kérések forrása és tartalma hitelességének független ellenõrzésétElektronikus aláírással vagy tanúsítvánnyal ellenõrzik-e a bejövõ elektronikus dokumentumok sértetlen-
ségét és hitelességét
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 199
DS11Az adatkimenet, az interfészek és az adatok szétosztásaA kimeneti adatokat rutinszerûen egyeztetik-e a vonatkozó ellenõrzõ összegekkel Biztosítanak-e audit szempontú nyomonkövetési lehetõségeket a tranzakció-feldolgozás követésére és a
megszakított feldolgozásokban szereplõ adatok egyeztetéséreA kimeneti jelentések készítõi és érintett felhasználói ellenõrzik-e azok pontosságátÉrvényesül-e a hibák kezeléséhez kapcsolódó adatmegõrzés, hibaelhárítás és felülvizsgálat összhangja, és
azok megfelelõ módon mûködnek-eA hibák kezeléséhez kapcsolódó eljárások és intézkedések összhangban vannak-e az érvényben lévõ
szabályokkal és kontroll mechanizmusokkalMegfelelõ biztonsági elõírások vonatkoznak-e a kiosztásra váró illetve a felhasználóknak már kiosztott
output jelentésekre, és azok összhangban vannak-e az érvényben lévõ eljárásokkal és kontroll mecha-nizmusokkal
Megfelelõ védik-e a bizalmas információkat az illetéktelen hozzáférésekkel és módosításokkal szembenazok átvitele illetve szállítása során
A leselejtezésre ítélt bizalmas információkra vonatkozó eljárások és intézkedések összhangban vannak-eaz érvényben lévõ szabályokkal és kontroll mechanizmusokkal
Az adathordozó könyvtár:Szisztematikusan leltározzák-e az adathordozó könyvtár tartalmát; a leltár során feltárt rendellenességeket
kellõ idõben kiküszöbölik-e, és tettek-e intézkedéseket a könyvtárban tárolt adathordozók sértetlen-ségének megõrzésére
Kidolgoztak-e rendtartási eljárásokat az adathordozó könyvtár tartalmának védelmére, és azokmegfelelõen mûködnek-e
Megfelelõen ki vannak-e jelölve az adathordozó könyvtár kezeléséhez kapcsolódó felelõsségi körökAz adathordozó könyvtár független-e az adatelõkészítési, -beviteli, -feldolgozási és a -kimeneti
funkcióktólMegfelelõ-e az adathordozók mentési és helyreállítási stratégiájaA mentésekre megfelelõ módon, az érvényben lévõ mentési stratégiával összhangban kerül-e sorAz adathordozók tárolásának helyszínei fizikailag biztonságosak-e és a leltáruk naprakész-eAz adattárolás kapcsán tekintettel vannak-e a visszakereshetõségi követelményekre és a
költséghatékonyságraMegfelelõek-e a dokumentumokra, adatokra, programokra és jelentésekre vonatkozóan meghatározott
megõrzési idõszakok és feltételek
Az információk hitelesítése és sértetlensége:Megfelelõen védik-e az Interneten illetve más nyilvános hálózaton keresztül továbbított bizalmas
üzenetek sértetlenségét, titkosságát és letagadhatatlanságátMegfelelõ eljárások révén minimalizálták-e az üzenetek (levelek, faxok, e-mail) téves címzésének
kockázatátAlkalmazzák-e a szokásos esetben valamely konkrét tranzakció vagy eljárás, például telefax vagy
automatikus telefon-üzenetrögzítõ használata esetében alkalmazott kontroll mechanizmusokat az adotttranzakciókat illetve eljárásokat támogató számítógépes rendszerek esetében is (pl. a személyiszámítógépre telepített fax-programok esetében)
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Az adatkezelés összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi
szabványokkal/ágazati legjobb gyakorlattalKiválasztott tranzakciókra vonatkozóan ellenõrizendõ a feldolgozás megfelelõsége az alábbiak során:
• az adatok elõkészítése• az input feldolgozása• az adatfeldolgozás• az output, a kiosztás vagy integráció• a hibakezelés a feldolgozás minden egyes szakaszában• az adatok sértetlensége a hibakezelés során a feldolgozás minden egyes szakaszában• a megõrzés és megsemmisítés
A tesztelés kiemelt szempontjai a következõk:• az adatok teljessége, pontossága és érvényessége a feldolgozás minden egyes szakaszában• megfelelõ jóváhagyások és engedélyezések• a megelõzõ, felderítõ és korrekciós kontroll mechanizmusok megléte - a feldolgozáson belül vagy
egy ellenõrzõ csoport manuális/eljárásbeli funkciói révén• a forrás-dokumentumok megõrzése a késõbb szükségessé váló ellenõrzésekhez - a megõrzésre
vonatkozó elõírások betartása• kiválasztott forrás-dokumentumok és tranzakciókat tároló adathordozók visszakeresése alapján
ellenõrizendõ azok megléte és pontossága• az audit szempontú nyomonkövethetõség elemzése: létezik-e, a forrás/operátor azonosítható-e és
minden kapcsolódó rendszer azonos szintû kontrollal rendelkezik-e a tranzakciók fölött• az adatbeviteli és feldolgozási programok szerkesztési jellemzõi, beleértve az alábbiakat, de nem
azokra korlátozódóan:• Üres helyek a kötelezõen kitöltendõ mezõkben• A tranzakció kódok érvényességének ellenõrzése• Negatív összegek• Minden egyéb megfelelõ feltétel
• a feldolgozáson belül elvégzett érvényesség-ellenõrzések elégséges volta• a hibás tranzakciókat tartalmazó függõ fájlokra vonatkozóan az alábbi kontroll mechanizmusok
megléte:• A hibát elkövetõ operátor azonnali azonosítása és értesítés a hibáról• Minden hibás tranzakció átmozgatása ezekbe a függõ fájlokba• Nyilvántartás vezetése mindaddig, amíg a tranzakciót nem tisztázzák és el nem távolítják• A hiba kódjának, a bevitel dátumának és idõpontjának, valamint az operátor/gép
azonosítójának feltüntetése a tranzakciók adataiban• Nyomon követési jelentések generálása a függõ fájlok által vezetõi felülvizsgálat, a tenden-
ciák elemzése és a hibák elhárítására irányuló oktatás céljából• az adat-elõállítási, -beviteli, -feldolgozási, érvényesség-ellenõrzési és -kiosztási munkaköri
feladatok elkülönítése egymástólKiválasztott kimeneti tranzakciókra vonatkozóan:
• a feldolgozott tranzakciókat tartalmazó listák közül kiválasztott minta ellenõrzése teljesség éspontosság szempontjából
200 I T G O V E R N A N C E I N S T I T U T E
DS11 Szolgáltatás és támogatásAz adatok kezelése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 201
DS11• az output jelentések közül kiválasztott minta ellenõrzése teljesség és pontosság szempontjából• az outputok megõrzésére vonatkozó tervek áttekintése megfelelõségük és az eljárásokkal való
összhangjuk szempontjából• annak ellenõrzése, hogy az outputok közül kiválasztott minta tényleges szétosztása pontosan
történt-e meg• az integrált feldolgozások ellenõrzése az egyik rendszer outputjaira és a másik inputjaira
vonatkozó tranzakció-feldolgozási naplók összevetése révén • az egyeztetési eljárások ellenõrzése valamennyi inputra, feldolgozási outputra és az egyéb rend-
szerek által használt tranzakciókra vonatkozóan• annak ellenõrzése, hogy csak az arra jogosult személyek férhetnek-e hozzá a bizalmas jelen-
tésekhez• annak ellenõrzése, hogy valamennyi adathordozó megsemmisítésére illetve külsõ tárolási helyen
történõ elhelyezésére a megõrzésre vonatkozó szabályoknak és eljárásoknak megfelelõen kerül-esor
• annak ellenõrzése, hogy a tényleges megõrzési idõk megfelelnek-e a megõrzési idõszakokravonatkozó eljárásoknak
• a bizalmas outputok tényleges kiszállításának vagy továbbításának megfigyelése annak megál-lapítása céljából, hogy az megfelel-e a feldolgozásra, a kiosztásra és a biztonságra vonatkozóeljárásoknak
• annak ellenõrzése, hogy a mentések elvégzése és integritása összhangban áll-e a szokásos feldol-gozási folyamatokkal és az üzemfolytonossági tervvel
Az adathordozó könyvtárra vonatkozóan:• az érzékeny rendszer-eszközök felhasználói hozzáférési jogainak áttekintése annak megállapítása
céljából, hogy az megfelelõ-e• a megsemmisítésre kerülõ adathordozók közül kiválasztott mintára vonatkozóan a teljes folyamat
megfigyelése annak megállapítása céljából, hogy az megfelel-e a jóváhagyott eljárásoknak• annak megállapítása, hogy megfelelõ kontroll mechanizmusokat alkalmaznak-e a külsõ
telephelyen történõ tárolásra és az adatok szállítására vonatkozóan• az adathordozó könyvtárban végzett legutóbbi leltározás eredményeinek áttekintése azok
pontosságának megállapítása céljából• megállapítandó, hogy elégségesek-e a nyilvántartások célját szolgáló feldolgozó egységek a
szükséges adathordozókhoz való hozzáféréshez• a belsõ és külsõ címkézési szabályok megkerülését korlátozó kontroll mechanizmusok áttekintése• a belsõ és külsõ kontroll mechanizmusoknak való megfelelés tesztelése kiválasztott adathordozók
ellenõrzése alapján• a mentések készítésére vonatkozó eljárások áttekintése annak megállapítása céljából, hogy
elégséges adatok állnak-e rendelkezésre katasztrófa-helyzet esetén• az adathordozó könyvtárra vonatkozó ellenõrzések alapján megállapítandó, hogy azokra az elõírt
ütemezési követelményeknek megfelelõen került-e sor
Feltárva az alábbiakat:• azok az esetek, amikor az operátorok az éles üzemû fájlokon közvetlenül hajtanak végre
mûveleteket, nem hozzák létre és nem õrzik meg azoknak a mûveleteket megelõzõ és azokatkövetõ állapotának képét
• nem védik a bizalmas input és output nyomtatványokat (pl. csekk készleteket, készlet igazolá-sokat)
• nem naplózzák a kötegelt mûveletekre és a feldolgozásokra vonatkozó ellenõrzõ összegeket afeldolgozás minden szakaszában
• az output jelentések nem hasznosak a felhasználók számára: az adatok nem relevánsak és nemhasznosak, nem megfelelõ a jelentések terítése, formája és gyakorisága, valamint nem kontrol-lálják a jelentésekhez történõ online hozzáférést
• az átvitelre kerülõ adatok esetében nem alkalmaznak olyan további kontroll mechanizmusokat,mint:• Korlátozott küldési/fogadási jogosultságok• A feladó és a fogadó megfelelõ engedélyezése és azonosítása• Biztonságos adatátviteli mód• A továbbításra kerülõ adatok titkosítása és megfelelõ kibontó algoritmus• Az adatátvitel teljességét ellenõrzõ integritási tesztek• Az ismételt továbbításra vonatkozó eljárások
• a hiányos kontroll mechanizmusokkal megkötött, pl. a megsemmisítésrõl nem rendelkezõszállítói szerzõdések
• a külsõ telephelyek olyan környezeti veszélyeket jelentõ hiányosságai, mint a tûz, víz, elektromosproblémák, illetve a jogosulatlan hozzáférés
202 I T G O V E R N A N C E I N S T I T U T E
DS11 Szolgáltatás és támogatásAz adatok kezelése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 203
DS11Ez az oldal szándékosan maradt üresen.
204 I T G O V E R N A N C E I N S T I T U T E
DS12 Szolgáltatás és támogatásA létesítmények kezelése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a létesítmények kezelése
A folyamattal szemben támasztott üzleti követelmény:
a megfelelõ fizikai környezet biztosítása, amely megvédi az informatikai eszközöket ésa dolgozókat az emberi eredetû és a természeti veszélyforrásoktól
A megvalósítás feltételei:
megfelelõ környezeti és fizikai védelmi kontrollok bevezetése és azok megfe-lelõ mûködésének rendszeres felülvizsgálata
Mérlegelendõ kérdések:
• hozzáférés a létesítményekhez• a telephely azonosítása• fizikai biztonság• vizsgálati és felterjesztési szabályok• üzletfolytonossági tervezés és válságkezelés• dolgozói egészség- és munkavédelem• megelõzõ karbantartási szabályok• a környezeti veszélyekkel szembeni védelem• automatikus felügyelet (monitoring)
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 205
DS12A LÉTESÍTMÉNYEK KEZELÉSE
KONTROLL CÉLKITÛZÉSEK
1 Fizikai védelem2 Az informatikai telephelyre vonatkozó információk elrejtése3 A látogatók kísérése4 A személyzet egészség- és munkavédelme5 A környezeti tényezõkkel szembeni védelem6 Szünetmentes áramforrás
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:A létesítményekért felelõs vezetõA biztonsági felelõsA kockázatkezelési vezetõAz informatikai üzemeltetési vezetõAz informatikai biztonsági vezetõ
Adatgyûjtés:A létesítmények kezelésére, elhelyezésére, biztonságára és munkavédelmére, a tárgyi eszközök leltárára,
valamint a tõke-beruházásokra/lízingre vonatkozó szervezeti szintû szabályok és eljárásokAz informatikai szabályok és eljárások a létesítmények elrendezésére, fizikai és logikai biztonságára,
védelmére, hozzáférhetõségük jogosultságaira, karbantartására, megjelölésére, a látogatókra, azegészség-, baleset-, munka- és környezetvédelmi követelményekre, a be- és kiléptetési mechanizmu-sokra, a biztonsággal kapcsolatos jelentésekre, a biztonsággal és karbantartással kapcsolatosszerzõdésekre, a berendezések leltározására, a felügyeleti eljárásokra és a jogszabályikövetelményekre vonatkozóan
Lista azokról a személyekrõl, akik hozzáférési jogosultsággal rendelkeznek a létesítményekhez és azokalaprajzához
Lista az informatikai erõforrások (létesítmények és berendezések) teljesítményi elvárásaival kapcsolatosteljesítményi-, kapacitás- és szolgáltatási szint megállapodásokról, az ágazati szabványokat isbeleértve
Az üzemfolytonossági terv egy példánya
Megvizsgálandó kérdések:A létesítmény helye kívülrõl nem nyilvánvaló-e, a lehetõ legnehezebben megközelíthetõ területen vagy
elrendezésben helyezkedik-e el, és a hozzáférés a lehetõ legkevesebb személyre korlátozódik-eMegfelelõek-e a logikai és fizikai hozzáférésre vonatkozó eljárások, beleértve a személyzet, a külsõ felek,
valamint a berendezések és a létesítmények karbantartói hozzáférési jogosultságainak profiljait is
206 I T G O V E R N A N C E I N S T I T U T E
DS12 Szolgáltatás és támogatásA létesítmények kezelése
Megvizsgálandó kérdések, folytatásMegfelelõek-e a kulcs- és kártyaolvasó-kezelési eljárások és módszerek, beleértve azok folyamatos aktua-
lizálását és felülvizsgálatát a szükséges legalacsonyabb hozzáférési jog elve alapjánMegfelelõ hozzáférési és engedélyezési szabályok vonatkoznak a be- és kilépésekre, a kíséretre, az
ideiglenes belépési engedélyekre és a figyelõ kamerákra, valamennyi terület, de különösen a bizal-masnak minõsülõ területek esetében
A hozzáférési jogosultságokat biztosító profilok idõszakos és rendszeres felülvizsgálata, beleértve avezetõi ellenõrzéseket is
A biztonsági elõírások megszegése esetén sor kerül-e a jogosultságok visszavonására, válaszintézkedésekre, illetve eszkalációs folyamatra
A biztonságra és a hozzáférésekre vonatkozó kontroll eljárások kiterjednek-e a hordozható és/vagy a külsõtelephelyen használt informatikai eszközökre is
Olyan jelzésrendszert alkalmaznak-e, amely nem azonosítja a bizalmasnak minõsülõ területeket, ésmegfelel a biztosításra vonatkozó követelményeknek, a helyi építési szabályoknak és a jogszabályikövetelményeknek
Felülvizsgálják-e a látogatók regisztrációját, a belépõkártyák kiosztását, a kíséretet, a látogatóért felelõsszemély kijelölésének megtörténtét, a látogatási naplót annak megállapítása céljából, hogy mind a be-,mind a kijelentkezés megtörtént-e, valamint azt, hogy a recepció személyzete tisztában van-e a bizton-sági eljárásokkal
Felülvizsgálják-e a tûz-, idõjárási- és elektromos figyelmeztetõ és riasztási eljárásokat, valamint a külön-bözõ szintû környezeti kényszerhelyzetekre vonatkozó cselekvési forgatókönyveket
Felülvizsgálják-e a légkondicionálásra, a szellõzésre és a páratartalom szabályozására vonatkozó eljárá-sokat, valamint az azok kiesése esetére vagy a nem várt eseményekre vonatkozó cselekvésiforgatókönyveket
Felülvizsgálják-e a biztonsági elõírások megszegéséhez kapcsolódó riasztási folyamatot, az alábbiakrakiterjedõen:• a riasztási prioritások meghatározása (azaz a szél által kinyitott ajtó esetétõl a fegyveres bombatá-
madó megjelenéséig terjedõ esetekre vonatkozóan)• az egyes riasztási prioritásokra vonatkozó cselekvési forgatókönyvek• a belsõ személyzet feladatai és felelõssége a helyi vagy a külsõ biztonsági személyzet feladataival
és felelõsségével szemben• együttmûködés a helyi hatóságokkal• a legutóbbi riasztási gyakorlat áttekintése
Van-e olyan szervezeti egység, amely felelõs az informatikai funkción belüli fizikai hozzáférésekért, azalábbiakra kiterjedõen:• a biztonsági szabályok és eljárások kidolgozása, karbantartása és folyamatos felülvizsgálata• kapcsolatok kiépítése biztonsági szolgáltatókkal• kapcsolattartás a létesítmény-kezeléssel a biztonsághoz kapcsolódó technikai kérdésekben• a biztonsági felvilágosítás és képzés szervezeti szintû koordinálása• a logikai hozzáférés kontrollálását érintõ tevékenységek koordinálása központi alkalmazási
rendszereken és az operációs rendszeren keresztül• biztonsági felvilágosítás és oktatás biztosítása nem csupán az informatikai funkción belül, hanem
a szolgáltatások felhasználói számára isLétezik-e kialakult gyakorlat a szervezet telephelyén tartózkodó takarító személyzet, valamint az étel- és
ital-automaták kiszolgáló személyzetének biztonsági átvilágítására
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 207
DS12A biztonsági szolgáltatási szerzõdések tartalma, azokat aktualizálják és újra tárgyalják-eA behatolási tesztek eljárásai és eredményei
• összehangolják-e a fizikai behatolási tesztekre vonatkozó forgatókönyveket• összehangolják-e a fizikai behatolási tesztelést a szolgáltatókkal és a helyi hatóságokkal
Betartják-e a baleset-, egészség- munka- és környezetvédelmi elõírásokatAz üzemfolytonossági terv kitér-e a fizikai biztonság kérdésére is, és hasonló fizikai biztonságot nyújt-e a
szolgáltatók létesítményeire vonatkozóan isRendelkezésre állnak-e a biztonság megvalósításához szükséges alábbi alternatív infrastruktúra-elemek:
• szünetmentes áramforrás• alternatív vagy átirányított telekommunikációs vonalak• alternatív víz-, gáz-, légkondicionálási és páratartalom-szabályozó erõforrások
A megfelelõség felmérése:
Tesztelendõ:A személyzet tudatában van-e a biztonsági és védelmi kontroll intézkedések szükségességének és megérti
e aztA kábelszekrények fizikailag biztonságosak-e, azokhoz csak az arra jogosult személyek férhetnek-e
hozzá, és a kábelek vezetése a lehetõségek szerint a padlózat alatt illetve biztonságos kábelc-satornákban történik-e
Azonosítják-e jelzések a kényszerhelyzet esetén használandó menekülési útvonalakat és megjelölik-e akényszerhelyzet esetére vagy a biztonsági elõírások megszegése esetére vonatkozó teendõket
A létesítmény más részeiben elhelyezett jelzések vagy telefonkönyvek nem utalnak-e arra, hogy melyek abiztonsági szempontból kényes területek
A látogatási napló megfelelõen követi-e a biztonsági eljárásokatSzükség van-e személyi azonosításra minden be- és kilépés esetén - megfigyelés révénFel vannak-e térképezve az ajtók, ablakok, felvonók, rakodóhelyek, szellõzõcsatornák, kürtõk és más
bejutási pontokA számítógépterem el van-e különítve és le van-e zárva, és oda csak az üzemeltetõ és a karbantartó
személyzet léphet-e be szükségességi alaponA létesítmény személyzete olyan mûszakváltásban dolgozik-e, ahol rendszeresen cserélik a mûszakokat,
és a személyzet megfelelõ szabadnapokat és szabadságokat vesz-e kiVannak-e érvényben karbantartási eljárások és nyilvántartások a munkák megfelelõ idõben történõ
elvégzésének érdekébenJelentik-e a szabályoktól és eljárásoktól való eltéréseket a 2. és 3. mûszakban történõ üzemeltetésre
vonatkozóanMódosítják-e a tervrajzokat a konfiguráció, a környezet és a létesítmények változásainak megfelelõen Alkalmaznak-e környezeti és biztonsági figyelõ berendezéseket - a padlózat alatt, felett és körülNem tárolnak-e veszélyes árukat, anyagokatVannak-e audit szempontú nyomonkövetési lehetõségek a biztonsági szoftverhez vagy a kulcskezelési
jelentésekhez való hozzáférések ellenõrzéséreNyomon követik-e a múltbeli kényszerhelyzeteket vagy azok dokumentációitA hozzáféréssel rendelkezõ személyzet tagjai ténylegesen alkalmazottak-eVégeznek-e ellenõrzéseket a hozzáféréseket biztosító kulcsok kezelése teljességére vonatkozóanMegfelelõ képzést és felvilágosítást kapnak-e a biztonsági õrök
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A létesítmény-kezelés összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi
szabványokkal/ágazati legjobb gyakorlattalA fizikai elhelyezkedés összehasonlítása az épületek rajzaival és a biztonsági eszközök valós
elhelyezésévelAz alábbiak megállapítása:
• a létesítmény maga nem tûnik-e rendszer-szolgáltatási központnak és nem utal-e erre közvetettformában valamilyen külsõ tábla, parkoló jelzés, stb.
• az ajtók számát korlátozzák-e a helyi építési/biztosítási szabályok • a helyszínt megfelelõ fizikai akadályok védik-e a jármûvek és személyek általi jogtalan
megközelítésével szemben• a közlekedési szabályok nem irányítják-e az embereket a biztonsági területek felé• kielégítõ-e a videó-megfigyelés és a szalagok felülvizsgálata• a számítógépes berendezések megfelelõ távolságra vannak-e elhelyezve egymástól a hozzáférés,
a hõelvezetés és a karbantartás szempontjából• megfelelõ védõborítások állnak-e rendelkezésre kényszerhelyzet esetére vízzel és egyéb idegen
elemmel szemben• felülvizsgálták-e a riasztó-rendszerrel kapcsolatos munkákat a karbantartási napló alapján és a
legutóbbi riasztási gyakorlatról készített jelentéstA hõmérséklet, a páratartalom és az elektromos áram tesztelése - az emelt padlózat alatt és fölött; ha
abnormális jelenségeket észleltek, milyen vizsgálatokat végeztek illetve milyen elhárítóintézkedéseket tettek azok nyomán
Valamennyi zár és belsõ zsanér ellenõrzéseA terület bejárása azonosító igazolvány nélkül, annak megállapítása céljából, hogy kérdõre vonják-e
annak hiányátA biztonsági õrök/portások felügyelete kiterjedésének megállapítása a látogatóknak a létesítményen
történõ átkísérése soránÁthatolási tesztek végrehajtása a biztonsági védelmen
208 I T G O V E R N A N C E I N S T I T U T E
DS12 Szolgáltatás és támogatásA létesítmények kezelése
Tesztelendõ, folytatásMegfelelõ-e a biztosítással való lefedettség, illetve kellõ szakértelem áll-e rendelkezésre a biztonsági
eseményekhez kapcsolódó költségekre, az elmaradt üzleti nyereségre és a létesítmény helyreál-lításához kapcsolódó költségekre vonatkozóan
Mûködik-e és ismert-e a kulcsokhoz és a folyamatok logikai kontroll mechanizmusaihoz való hozzáférésmegváltoztatásának folyamata
A környezet megfelel-e a jogszabályi követelményeknekA riasztási naplókat nem lehet-e jogtalanul megváltoztatniDokumentálják-e a hozzáférési jogosultságokat biztosító kódok módosításának és a hozzáférési profilok
felülvizsgálatának gyakoriságát - mind a felhasználókra, mind a létesítményekre vonatkozóan
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 209
Feltárva az alábbiakat:A tájékoztató jelzések, tûzoltó készülékek, sprinkler rendszerek, szünetmentes áramforrások, vízelvezetés,
kábelezés és rendszeres karbantartás megfelelõségeAz ablakok esetében annak megállapítása, hogy az erõforrások nem figyelhetõk-e meg kívülrõl, illetve az
adatfeldolgozási központok ablaka nem mûködik-e kirakatkéntA biztonsági behatolási tesztek meghatározásaA látogatói tesztek, beleértve a regisztrációt, a kitûzõket, a kíséretet, a csomagok átvizsgálását, a látogatók
magukra hagyásátEllentmondások a látogatói bejelentkezések és a látogatói belépõkártyákra vonatkozó feljegyzések közöttA hozzáférési jogosultságokat biztosító profilok és azok múltbeli alakulásának felmérése a kulcskezelésre
vonatkozó jelentések alapján, beleértve az elveszített kitûzõk/kulcskártyák pótlását és az elveszítettekletiltását is
A helyi katasztrófákra vonatkozó statisztikák áttekintéseKatasztrófa-helyzetekben történõ behatolásokra vonatkozó forgatókönyvek kidolgozásaVannak-e érvényben szolgáltatói szerzõdések a személyzet biztonsági átvilágítására, és megfelelnek-e az
egészség-, munka- és balesetvédelmi követelményeknekA szünetmentes tápegység mûködésének tesztelése annak megállapítása céljából, hogy az eredmények
megfelelnek-e a kritikus adatfeldolgozási tevékenységek fenntartásához szükséges kapacitás- ésüzemeltetési követelményeknek
Annak tesztelése, hogy a hozzáférésekrõl rögzített információk (naplók, szalagok, nyilvántartások)megfelelõségét áttekintik-e a felhasználók és a vezetés
A létesítményhez közel esõ bejáratok ellenõrzési eljárásainak tesztelése
DS12
210 I T G O V E R N A N C E I N S T I T U T E
DS13 Szolgáltatás és támogatásAz üzemeltetés irányítása
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
az informatikai üzemeltetés irányítása
A folyamattal szemben támasztott üzleti követelmény:
az informatikai részleg által nyújtott fontos támogató szolgáltatások megfelelõ ésrendszeres teljesítésének biztosítása.
A megvalósítás feltételei:
a támogatási tevékenységek ütemezése, amelynek végrehajtását nyilvántartjákés egyeztetik, hogy valamennyi tevékenység elvégzésre kerüljön
Mérlegelendõ kérdések:
• az üzemeltetési eljárások kézikönyve• a rendszer indítási eljárás dokumentációja• a hálózati szolgáltatások kezelése• a munkaterhelés és a személyzet beosztásának ütemezése• a mûszakváltásra, átadásra vonatkozó szabályok• a rendszer-események naplózása• a változáskezeléssel, a rendelkezésre állás biztosításával és az
üzletfolytonosság fenntartásával történõ koordináció• megelõzõ karbantartás• szolgáltatási szint megállapodások• automatizált, emberi felügyelet nélküli üzemeltetés• a rendkívüli események naplózása, nyomonkövetése
és felterjesztése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 211
DS13AZ ÜZEMELTETÉS IRÁNYÍTÁSA
KONTROLL CÉLKITÛZÉSEK
1 A feldolgozási üzemeltetési eljárások és utasítások kézikönyve2 Az indítási folyamat és egyéb üzemeltetési eljárások dokumentációja3 A gépi mûveletek ütemezése4 Eltérések a gépi mûveletek elõírt ütemezésétõl5 A feldolgozás folytonossága6 Üzemeltetési naplók7 A speciális nyomtatványok és output eszközök védelme8 Távoli üzemeltetés
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
Interjú készítés:Az informatikai üzemeltetési vezetésAz informatikai üzemfolytonossági tervezés vezetéseAz informatikai felsõ vezetésAz informatikai erõforrások kiválasztott felhasználóiSzoftver- és hardver szolgáltatásokat illetve termékeket nyújtó kiválasztott szállítók
Adatgyûjtés:A üzemeltetés irányítására, valamint az információrendszereknek az üzleti célkitûzések teljesítésében
betöltött szerepére vonatkozó szervezeti szintû szabályok és eljárásokInformatikai szabályok és eljárások az üzemeltetés szerepére, a teljesítményi elvárásokra, a gépi feladatok
ütemezésére, a szolgáltatási szint megállapodásokra, az operátorokra vonatkozó utasításokra, amunkakörök rendszeres cseréjére, az üzemfolytonossági tervezésre és a létesítmények távoliüzemeltetésére vonatkozóan
Az alábbi általános funkciókra vonatkozó üzemeltetési utasítások: rendszer indítás, leállítás a munkater-helés ütemezése, szabványok, szolgáltatási szint megállapodások, kényszerhelyzet esetén végrehaj-tandó gyors hibajavítások, abnormális feldolgozási válaszok, az operátori konzolok naplói, fizikai éslogikai biztonság, a fejlesztési és üzemelési könyvtárak szétválasztása, és probléma eszkalációseljárások
A legfontosabb alkalmazási rendszerekre vonatkozó üzemeltetési utasítások közül választott minta:ütemezés, adatbevitel, feldolgozási idõ, hibaüzenetek, abnormális befejezõdés estére vonatkozóutasítások, újraindítás, probléma eszkalációs eljárások, elõzetesen és utólagosan lefuttatandóprogramok, külsõ telephelyen tárolt adatállományok
212 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Az üzemeltetési személyzet tagjai ismerik-e az alábbiakat és megértik-e azokat:
• a felelõsségi körükbe tartozó üzemeltetési eljárások• a létesítményen belüli teljesítményi elvárások - szállítói normák, szervezeti szabványok és a
felhasználókkal kötött szolgáltatási szint megállapodások• a kényszerhelyzetben elvégzendõ gyors hibajavítások és az újraindítási/helyreállítási eljárások• a üzemeltetési napló vezetésére vonatkozó elõírások és a naplók vezetõi ellenõrzése• a problémák eszkalációjának eljárásai• a mûszakváltáskor szükséges információ-átadások és a mûszakok közötti feladatok• a fejlesztési programok üzemi környezetbe való mozgatására vonatkozó eljárások• a távoli és a központi adatfeldolgozó létesítmények közötti együttmûködés• a hatékonyság-javítási lehetõségeknek a vezetés felé történõ továbbításáért való felelõsség
DS13 Szolgáltatás és támogatásAz üzemeltetés irányítása
A kontroll mechanizmusok értékelése:
Megvizsgálandó kérdések:Rendelkezésre állnak-e bizonyítékok az alábbiak igazolására:
• valamennyi elvégzett feldolgozás, hideg indítás, újraindítás és helyreállítás teljessége• a kezdeti program-betöltések és rendszer-leállítások eljárásbeli megfelelõsége• az ütemezések végrehajtására vonatkozó statisztikák, amelyek igazolják valamennyi követelmény
sikeres teljesítését• a forrás- és tárgykódot tartalmazó könyvtárak és a tesztelési/fejlesztési/üzemi könyvtárak fizikai
és logikai különválasztása, valamint a programok könyvtárak közötti mozgatására vonatkozóváltozáskezelési eljárások betartása
• az üzemeltetési tevékenységekre vonatkozó teljesítményi statisztikák, beleértve az alábbiakat, denem korlátozódva azokra:• A hardverek és perifériák kapacitása, kihasználtsága és teljesítménye• A memória kihasználtsága és teljesítménye• A telekommunikációs eszközök kihasználtsága és teljesítménye
• a teljesítmény szintje milyen mértékben igazodik a termékek teljesítményi normáihoz, a házonbelüli teljesítményi szabványokhoz és a felhasználói szolgáltatási szint megállapodásokbanrögzített kötelezettség-vállalásokhoz
• a üzemeltetési naplókat megfelelõen vezetik-e, megõrzik-e és rendszeresen ellenõrzik-e• minden berendezés esetében idõben végrehajtják-e a szükséges karbantartásokat• az operátorok a mûszakokat rendszeresen cserélik-e, kiveszik-e szabadnapjaikat és szabad-
ságukat, és fenntartják-e kompetenciájukat
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 213
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:Az üzemeltetési teljesítményre vonatkozó statisztikák (eszköz- és dolgozói) áttekintése a kihasználtság
megfelelõségének ellenõrzése céljából, továbbá az adatok összemérése hasonló szervezetekstatisztikáival, szállítói normákkal, a vonatkozó ágazati szabványokkal, valamint a megfelelõ ágazativiszonyítási adatokkal/legjobb gyakorlattal
Az informatikai üzemeltetési kézikönyvek közül választott korlátozott minta alapján megállapítandó,hogy azok megfelelnek-e a kapcsolódó szabályokban és eljárásokban megfogalmazottkövetelményeknek
A rendszer-indítási és -leállítási folyamat dokumentációjának és gyakorlatának vizsgálata alapján megál-lapítandó, hogy az eljárásokat rendszeresen tesztelik és aktualizálják-e
A feldolgozási ütemtervek alapján megállapítandó, hogy a teljesítmény megfelel-e az ütemezettnek éselégséges-e ahhoz viszonyítva
Feltárva az alábbiakat:Kiválasztott felhasználókkal folytatott interjúk alapján megállapítandó, hogy az üzemelési teljesítmény
megfelel-e a folyamatos tevékenységeknek és a szolgáltatási szint megállapodásoknakAz abnormális leállással végzõdõ munkafolyamatokból vett minta alapján megállapítandó, hogy
megoldották-e a felmerült problémákatAz operátorok képzésére, a mûszakok cseréjére, a szabadnapok kivételére/szabadságolásra vonatkozó
tapasztalatokAz operátori konzol logok közül kiválasztott minta alapján megállapítandó a logok pontossága, a teljesít-
ményi tendenciák alakulása, valamint a logok vezetõi felülvizsgálata a problémák megoldásaérdekében - értékelendõ a problémák eszkalációja, amennyiben az értelmezhetõ
Megvizsgálandó, hogy a felhasználók mennyire elégedettek a szolgáltatási szint megállapodásokbanvállalt kötelezettségekkel
Megvizsgálandó, hogy minden eszköz esetében elvégezték-e a szállító által javasolt megelõzõ karban-tartási munkákat
DS13
214 I T G O V E R N A N C E I N S T I T U T E
Ez az oldal szándékosan maradt üresen.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 215
M O N I T O R O Z Á S
216 I T G O V E R N A N C E I N S T I T U T E
M1 MonitorozásA folyamatok nyomon követése, felügyelete
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a folyamatok felügyelete (monitoring)
A folyamattal szemben támasztott üzleti követelmény:
az informatikai folyamatokra vonatkozóan meghatározott teljesítményi célkitûzésekteljesítésének biztosítása
A megvalósítás feltételei:
a vonatkozó teljesítmény-mutatók meghatározása, a teljesítmény-adatokrendszeres és szisztematikus jelentése, továbbá azonnali lépésekkezdeményezése eltérések észlelése esetén.
Mérlegelendõ kérdések:
• értékelõ lapok, amelyek tartalmazzák a teljesítményre hatótényezõket és az eredmények mérését
• a felhasználók elégedettségének értékelése• vezetõi jelentések• a múltbeli teljesítmény-adatok tudásbázisának összeállítása• más szervezetekhez történõ viszonyítás (benchmarking)
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 217
M1A FOLYAMATOK NYOMON KÖVETÉSE, FELÜGYELETE
KONTROLL CÉLKITÛZÉSEK
1 A monitoring adatok összegyûjtése2 A teljesítmény értékelése3 A felhasználói elégedettség értékelése4 Vezetõi jelentések
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:VezérigazgatóInformatikai vezetõVezetõ belsõ ellenõrAz informatikai felsõ vezetés és a minõségellenõrzés vezetéseA könyvvizsgáló cég vezetõ menedzsereAz informatikai erõforrások kiválasztott felhasználóiAz audit bizottság tagjai, ha mûködik ilyen bizottság
Adatgyûjtés:A teljesítmény tervezésére, irányítására, monitorozására és a kapcsolódó jelentéskészítésre vonatkozó
szervezeti szintû szabályok és eljárásokA teljesítmény monitorozására és a kapcsolódó jelentéskészítésre, a teljesítmény javítását célzó
kezdeményezésekre, valamint a felülvizsgálat gyakoriságára vonatkozó informatikai szabályok éseljárások
Az informatikai tevékenységekre vonatkozó jelentések, beleértve az alábbiakat, de nem korlátozódvaazokra: belsõ jelentések, belsõ audit jelentések, külsõ könyvvizsgálói jelentések, felhasználói jelen-tések, a felhasználói elégedettségre vonatkozó felmérések, rendszerfejlesztési tervek és állapotjelen-tések, az audit bizottság üléseinek jegyzõkönyvei, valamint bármely egyéb felmérés a szervezetinformatikai erõforrásainak felhasználására vonatkozóan
Az informatikai szervezeti egység tervezési dokumentumai az egyes informatikai erõforrás-csoportokáltal elõállítandó végtermékekre vonatkozóan és a tényleges teljesítmény alakulása a tervekhez képest
Megvizsgálandó kérdések:Megfelelõek-e az informatikai erõforrások teljesítményének monitorozására meghatározott adatokAlkalmaznak-e kulcsfontosságú teljesítmény-mutatókat és/vagy kritikus sikertényezõket az informatikai
funkció teljesítményének a célként kitûzött szinthez viszonyított méréséreMegfelelõ-e az informatikai erõforrások (emberek, létesítmények, alkalmazási rendszerek, technológia és
adatok) kihasználtságára vonatkozó belsõ jelentéskészítésA vezetés áttekinti-e az informatikai erõforrások teljesítményére vonatkozó jelentéseketLéteznek-e monitorozási kontroll mechanizmusok, amelyek megbízható és hasznos visszajelzéseket
biztosítanak a kellõ idõben
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A teljesítmény-monitorozás összemérése a hasonló szervezeteknél alkalmazottal illetve a megfelelõ
nemzetközi szabványokkal/ágazati legjobb gyakorlattalA monitorozott folyamatokon belüli adatok relevanciájának ellenõrzéseA tényleges és a tervezett teljesítmény összehasonlítása valamennyi informatikai területenA tényleges és a várt felhasználói elégedettségi szint összehasonlítása valamennyi informatikai területenAnnak elemzése, hogy milyen mértékben valósították meg a teljesítmény javítására vonatkozó, célul
kitûzött kezdeményezéseketA vezetõi javaslatok megvalósítottsági szintjének elemzése
218 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Készülnek-e jelentések a teljesítmény-monitorozási adatokra vonatkozóanA vezetés áttekinti-e a teljesít-
mény-jelentéseket és kezdeményez-e korrekciós intézkedéseketA alkalmazottak ismerik és megértik-e a teljesítmény monitorozására vonatkozó szabályokat és eljárá-
sokatMegfelelõ-e az alábbiakra vonatkozó belsõ jelentéskészítés minõsége és tartalma:
• a teljesítmény-monitorozási adatok összegyûjtése• a teljesítmény-monitorozási adatok elemzése• az erõforrások teljesítmény-adatainak elemzése• a vezetés intézkedései a teljesítményi problémák nyomán• a felhasználók elégedettségére vonatkozó felmérések elemzése
A felsõ vezetés elégedett-e a teljesítmény monitorozására vonatkozó jelentéskészítéssel
M1 MonitorozásA folyamatok nyomon követése, felügyelete
Megvizsgálandó kérdések, folytatásA szervezet megfelelõen reagál-e a fejlesztést célzó minõségellenõrzési, belsõ ellenõri és könyvvizsgálói
javaslatokraTesznek-e célul kitûzött kezdeményezéseket a teljesítmény javítására és azoknak vannak-e eredményei Megvizsgálják-e, hogy a szervezeti teljesítmény hogyan alakul a szervezeten belüli összes csoportra
vonatkozóan kitûzött célok tükrébenElemzik-e a felhasználói elégedettség szintjétMegfelelõ-e az informatikai felhasználói körön kívül esõ felek, például a könyvvizsgálók, az audit
bizottság és a szervezet felsõ vezetése számára történõ teljesítményi jelentéskészítés megbízhatóságaés használhatósága
A jelentéskészítés kellõ idõben történik-e ahhoz, hogy lehetõséget adjon a feltárt teljesítményi hiányossá-gokra illetve a kivételes helyzetekre történõ gyors reagálásra
Elégséges-e a tevékenységek végzésére vonatkozó szabályok és eljárások betartására irányuló jelen-téskészítés (azaz a teljesítményre vonatkozó jelentéskészítés)
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 219
Feltárva az alábbiakat:A monitorozást végzõ személyzet kompetenciája, hatásköre és függetlensége az informatikai szervezeti
egységen belül
M1
220 I T G O V E R N A N C E I N S T I T U T E
M2 MonitorozásA belsõ irányítási és ellenõrzési eljárások megfelelõségének felmérése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
a belsõ kontroll-mechanizmusok megfelelõségének felmérése
A folyamattal szemben támasztott üzleti követelmény:
az informatikai folyamatokra vonatkozóan meghatározott belsõ kontroll célkitûzésekmegvalósításának biztosítása
A megvalósítás feltételei:
a belsõ kontroll-mechanizmusok mûködésének folyamatos felügyelete, ered-ményességének értékelése és rendszeres jelentéskészítés a fentiekrõl
Mérlegelendõ kérdések:
• a belsõ kontrollt érintõ felelõsségi körök kijelölése• a belsõ kontrollok folyamatos felügyelete• viszonyítási normák• jelentéskészítés a hibákról és rendkívüli esetekrõl• önértékelés• vezetõi jelentések• a törvényi, jogszabályi és egyéb szabályozási követelményeknek
való megfelelés
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 221
M2A BELSÕ IRÁNYÍTÁSI ÉS ELLENÕRZÉSI ELJÁRÁSOK MEGFELELÕSÉGÉNEK FELMÉRÉSE
KONTROLL CÉLKITÛZÉSEK
1 A belsõ irányítás és ellenõrzés monitorozása2 Belsõ kontroll eljárások kellõ idõben történõ alkalmazása3 Jelentés a belsõ kontroll szintjérõl4 Megerõsítõ vizsgálatok a biztonságra és a belsõ kontrollok mûködésére vonatkozóan
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:VezérigazgatóInformatikai vezetõVezetõ belsõ ellenõrAz informatikai felsõ vezetés és a minõségellenõrzés vezetéseA könyvvizsgáló cég vezetõ menedzsereAz informatikai erõforrások kiválasztott felhasználóiAz audit bizottság tagjai, ha mûködik ilyen bizottság
Adatgyûjtés:A belsõ kontroll mechanizmusok tervezésére, irányítására, monitorozására és a kapcsolódó jelen-
téskészítésre vonatkozó szervezeti szintû szabályok és eljárásokA belsõ kontroll mechanizmusok monitorozására és a kapcsolódó jelentéskészítésre, valamint az
ellenõrzések gyakoriságára vonatkozó informatikai szabályok és eljárásokAz informatikai tevékenységekre vonatkozó jelentések, beleértve az alábbiakat, de nem korlátozódva
azokra: belsõ jelentések, belsõ audit jelentések, külsõ könyvvizsgálói jelentések, felhasználói jelen-tések, rendszerfejlesztési tervek és állapotjelentések, az audit bizottsági üléseinek jegyzõkönyvei,valamint bármely egyéb felmérés az informatikai belsõ kontroll mechanizmusokra vonatkozóan
Konkrét informatikai szabályok és eljárások a mûködési biztonságra és a belsõ kontrollra vonatkozófüggetlen megerõsítést illetõen
Megvizsgálandó kérdések:Megfelelõek-e az informatikai belsõ kontroll mechanizmusok monitorozására meghatározott adatokMegfelelõ-e az informatikai belsõ kontroll adataira vonatkozó belsõ jelentéskészítésA vezetés felülvizsgálja-e az informatikai belsõ kontroll mechanizmusokatLéteznek-e monitorozási kontroll mechanizmusok, amelyek megbízható és hasznos visszajelzéseket
biztosítanak a kellõ idõbenA szervezet megfelelõen reagál-e a fejlesztést célzó minõségellenõrzési, belsõ ellenõri és könyvvizsgálói
javaslatokraTesznek-e célul kitûzött kezdeményezéseket Kitûznek-e belsõ kontroll javítására és azoknak vannak-e
eredményei
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A belsõ kontrollra vonatkozó felmérés összehasonlítása hasonló szervezetekéivel illetve a megfelelõ
nemzetközi szabványokkal/ágazati legjobb gyakorlattalA monitorozott folyamatokon belüli és a belsõ kontrollra vonatkozó jelentéskészítésben használt adatok
relevanciájának ellenõrzéseMegvizsgálandó, hogy a teljes szervezet és különösen az informatikai funkció belsõ kontroll-ellenõrzési
keretrendszere megfelelõ lefedettséget és különbözõ részletezési szinteket biztosít-e az egyes folya-matok tulajdonosai számára
A tényleges és a tervezett belsõ kontroll-ellenõrzések összehasonlítása valamennyi informatikai területenAnnak elemzése, hogy milyen mértékben valósították meg a belsõ kontroll javítására vonatkozó, célul
kitûzött kezdeményezéseketAz audit bizottság elégedettségének vizsgálata a belsõ kontroll mechanizmusokra vonatkozó jelen-
téskészítésselA vezetõi javaslatok megvalósítottsági szintjének elemzése
222 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:Készülnek-e jelentések a belsõ kontroll mechanizmusok monitorozására vonatkozóanA vezetés áttekinti-e a belsõ kontrollra vonatkozó jelentéseket és kezdeményez-e korrekciós
intézkedéseketAz alkalmazottak ismerik és megértik-e a belsõ kontroll monitorozására vonatkozó szabályokat és eljárá-
sokatMegfelelõ-e az alábbiakra vonatkozó belsõ jelentéskészítés minõsége és tartalma:
• a belsõ kontrollra vonatkozó monitorozás adatainak összegyûjtése• a belsõ kontrolloknak való megfelelés megvalósítása• a vezetés intézkedései a belsõ kontrollal kapcsolatos problémák nyomán• a mûködési biztonság és a belsõ kontroll független megerõsítése
A felsõ vezetés elégedett-e a biztonság és a belsõ kontroll monitorozására vonatkozó jelentéskészítéssel
M2 MonitorozásA belsõ irányítási és ellenõrzési eljárások megfelelõségének felmérése
Megvizsgálandó kérdések, folytatásMegvizsgálják-e, hogy a szervezeti teljesítmény hogyan alakul a belsõ kontrollokra vonatkozóan kinyil-
vánított célok tükrébenSzisztematikusan nyilvántartják-e a belsõ kontrollal kapcsolatos hibákra, inkonzisztenciára és kivételes
helyzetekre vonatkozó információkat és azokat jelentik-e a vezetés feléMegfelelõ-e az informatikai felhasználói körön kívül esõ felek, például a könyvvizsgálók, az audit
bizottság és a teljes szervezet felsõ vezetése számára történõ, a belsõ kontrollra vonatkozó belsõjelentéskészítés megbízhatósága és használhatósága
A jelentéskészítés kellõ idõben történik-e ahhoz, hogy lehetõséget adjon a belsõ kontrollal kapcsolatosfeltárt hiányosságokra illetve kivételes helyzetekre történõ gyors reagálásra
Elégséges-e a tevékenységek végzésére vonatkozó szabályok és eljárások betartásának belsõ kontrolljárairányuló jelentéskészítés (azaz a belsõ kontrollra vonatkozó jelentéskészítés)
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 223
Feltárva az alábbiakat:További lehetséges területek a belsõ kontrollra vonatkozó jelentéskészítés terén, az informatikai belsõ
ellenõrzési funkció, a vezetés, a könyvvizsgálók és a törvényességi felügyeletet gyakorlók általkifejtett aggályokkal összhangban
A belsõ kontroll ellenõrzését végzõ személyzet kompetenciája, hatásköre és függetlensége az informatikaifunkción belül
M2
224 I T G O V E R N A N C E I N S T I T U T E
M3 MonitorozásFüggetlen megerõsítõ vizsgálatok végeztetése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
független megerõsítõ vizsgálatok, értékelés végeztetése
A folyamattal szemben támasztott üzleti követelmény:
a szervezet, a felhasználók és a külsõ szolgáltatók közötti kölcsönös bizalom növelése
A megvalósítás feltételei:
független értékelések végrehajtása rendszeres idõközönként
Mérlegelendõ kérdések:
• független tanúsítványok / hitelesítések• független eredményességi értékelések• a törvények és jogszabályi elõírások betartásának független
értékelése• a szerzõdéses kötelezettségek betartásának független értékelése• a külsõ szolgáltatók értékelése• értékelõ ellenõrzések végrehajtása megfelelõ képzettségû
dolgozók révén• az audit funkció megelõzõ (proaktív) közremûködése
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 225
M3FÜGGETLEN MEGERÕSÍTÕ VIZSGÁLATOK VÉGEZTETÉSE
KONTROLL CÉLKITÛZÉSEK
1 Az informatikai szolgáltatások biztonságára és belsõ kontrolljára vonatkozó függetlentanúsítás/jóváhagyás
2 Külsõ szolgáltatókra vonatkozó biztonsági és belsõ kontroll szempontú független tanúsítás/jóváhagyás3 Az informatikai szolgáltatások eredményességének független értékelése4 A külsõ szolgáltatók eredményességének független értékelése 5 A törvényi és jogszabályi elõírások, valamint a szerzõdéses kötelezettségek betartásának független
megerõsítése6 A törvényi és jogszabályi elõírások, valamint a szerzõdéses kötelezettségek külsõ szolgáltatók általi
betartásának független megerõsítése7 A független megerõsítést nyújtó szervezet szakmai kompetenciája8 Az audit funkció proaktív közremûködése
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:VezérigazgatóInformatikai vezetõAz informatikai felsõ vezetésVezetõ belsõ ellenõrA könyvvizsgáló cég vezetõ menedzsereA független megerõsítést végzõ vezetõ menedzser
Adatgyûjtés:A teljes szervezeti ábra, a szabályok és eljárások kézikönyveA független megerõsítés folyamatára vonatkozó szabályok és eljárásokAz informatikai szolgáltatókkal kötött szerzõdések/szolgáltatási szint megállapodásokA vonatkozó jogszabályi elõírások és szerzõdéses kötelezettségvállalásokA független megerõsítõ vizsgálatok vonatkozó szabályzatok/szerzõdések, költségvetések, a korábbi
megerõsítõ vizsgálatok jelentései és végrehajtásuk történeteA független megerõsítõ vizsgálatokat végzõ munkatársak tapasztalataira és folyamatos szakmai képzésére
vonatkozó információkA korábbi audit jelentések
Megvizsgálandó kérdések:A független megerõsítõ vizsgálatra vonatkozó szabályzatok/szerzõdések tartalma és végrehajtása
megfelelõ vizsgálati lefedettséget biztosít-e (pl. tanúsítások/jóváhagyások, eredményességiértékelések és a szabályok betartásának értékelései révén)
Végeztetnek-e független tanúsítást/ jóváhagyást a kritikus fontosságú új informatikai szolgáltatásokmegvalósítása elõtt
226 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A felsõ vezetés jóváhagyja-e a független megerõsítõ vizsgálatot végzõ egység tevékenységének
eredményességétA kritikus fontosságú új informatikai szolgáltatások megvalósítása elõtt végrehajtott független
tanúsítási/jóváhagyási vizsgálatok teljes körûek és hiánytalanok-e, és azokat a kellõ idõben végezték-e el
Elvégzik-e az informatikai szolgáltatások megvalósítását követõen azok rendszeres idõközönként, rutin-szerûen végrehajtott független újra-tanúsítását/jóváhagyását és e vizsgálatok teljes körûek és hiányta-lanok-e, valamint azokat a kellõ idõben végzik-e el
A külsõ informatikai szolgáltatók szolgáltatásainak igénybevétele elõtt végrehajtott függetlentanúsítás/jóváhagyás teljes körû és hiánytalan-e, valamint kellõ idõben történik-e
Végeznek-e rendszeres idõközönként, rutinszerûen újra-tanúsítást/jóváhagyást, és az teljes körû és hiány-talan, valamint kellõ idõben történik-e
Elvégzik-e rendszeres idõközönként, rutinszerûen az informatikai szolgáltatások eredményességénekértékelését, és az arra vonatkozó vizsgálatok teljes körûek és hiánytalanok-e, valamint azokat kellõidõben hajtják-e végre
Elvégzik-e rendszeres idõközönként, rutinszerûen a külsõ informatikai szolgáltatók eredményességénekértékelését, és az arra vonatkozó vizsgálatok teljes körûek és hiánytalanok-e, valamint azokat kellõidõben hajtják-e végre
Elvégzik-e rendszeres idõközönként, rutinszerûen annak felülvizsgálatát, hogy az informatikai funkcióbetartja-e a jogszabályi elõírásokat és szerzõdéses kötelezettségeit, és ezek a vizsgálatok teljes körûekés hiánytalanok-e, valamint azokat kellõ idõben hajtják-e végre
Elvégzik-e rendszeres idõközönként, rutinszerûen annak felülvizsgálatát, hogy a külsõ szolgáltatókbetartják-e a jogszabályi elõírásokat és szerzõdéses kötelezettségeiket, és ezek a vizsgálatok teljeskörûek és hiánytalanok-e, valamint azokat kellõ idõben hajtják-e végre
Relevánsak-e a független megerõsítõ vizsgálatokról készült jelentések megállapításai, következtetései ésjavaslatai
M3 MonitorozásFüggetlen megerõsítõ vizsgálatok végeztetése
Megvizsgálandó kérdések, folytatásVégeztetnek-e rendszeres idõközönként, rutinszerûen végrehajtott független újra-tanúsítást/jóváhagyást Elvégeztetik-e az informatikai szolgáltatások eredményességének rendszeres idõközönként végrehajtott,
rutinszerû értékelésétElvégeztetik-e a külsõ informatikai szolgáltatók eredményességének rendszeres idõközönként végrehaj-
tott, rutinszerû értékelésétElvégeztetik-e annak rendszeres idõközönként végrehajtott, rutinszerû felülvizsgálatát, hogy az infor-
matikai funkció betartja-e a jogszabályi elõírásokat és szerzõdéses kötelezettségeitElvégeztetik-e annak rendszeres idõközönként végrehajtott, rutinszerû felülvizsgálatát, hogy a külsõ infor-
matikai szolgáltatók betartják-e a jogszabályi elõírásokat és szerzõdéses kötelezettségeiketA független megerõsítõ vizsgálatot végzõ munkatársak kellõ kompetenciával rendelkeznek-e és a
vonatkozó szakmai szabványoknak megfelelõen látják-e el munkájukatSzakmai továbbképzési programok révén gondoskodnak-e a független megerõsítõ vizsgálatokat végzõ
alkalmazottak technikai kompetenciájának fenntartásárólA vezetés kikéri-e proaktív módon az audit funkció részvételét az informatikai szolgáltatásokra vonatkozó
megoldások véglegesítése elõtt
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 227
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A független egység által végzett megerõsítõ vizsgálati tevékenységek összehasonlítása a hasonló
szervezeteknél folytatottakkal illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakor-lattal
Az alábbi részletes vizsgálatok alapján megállapítandó, hogy:• a vizsgálati tevékenységeket a független megerõsítésre vonatkozó
szabályzatoknak/szerzõdéseknek megfelelõen hajtják-e végre• a tanúsítások/jóváhagyások megfelelõek-e és azokat kellõ idõben hajtják-e végre• az újra-tanúsítások/jóváhagyások megfelelõek-e és azokat kellõ idõben hajtják-e végre• az eredményességre vonatkozó értékelések megfelelõek-e és azokat kellõ idõben hajtják-e végre• a jogszabályi elõírások és a szerzõdéses kötelezettségek betartására vonatkozó vizsgálatok
megfelelõek-e és azokat kellõ idõben hajtják-e végre• a független megerõsítõ vizsgálati funkciót ellátó személyzet kellõen kompetens-e• megvalósul-e az audit funkció proaktív közremûködése
Feltárva az alábbiakat:A független megerõsítõ vizsgálati tevékenységek által teremtett hozzáadott értékA végrehajtott vizsgálatok alakulása a független megerõsítésre vonatkozó tervekhez és költségvetéshez
viszonyítvaAz audit funkció proaktív közremûködésének mélysége és idõszerûsége
M3A független megerõsítõ vizsgálati funkció birtokában van-e a feladatai kompetens módon történõ
ellátásához szükséges szakismereteknek és tapasztalatoknakSor kerül-e az audit funkció proaktív módon történõ részvételére az informatikai szolgáltatásokra
vonatkozó megoldások véglegesítése elõtt
228 I T G O V E R N A N C E I N S T I T U T E
M4 MonitorozásFüggetlen auditálás végeztetése
ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS
A kontrollálandó informatikai folyamat:
független ellenõrzés, audit végeztetése
A folyamattal szemben támasztott üzleti követelmény:
a bizalom szintjének növelése és a legjobb gyakorlat követésére vonatkozó tanácsokbólszármazó elõnyök kihasználása
A megvalósítás feltételei:
független vizsgálat (audit) végrehajtása rendszeres idõközönként
Mérlegelendõ kérdések:
• az audit függetlensége• proaktív ellenõrzések, vizsgálatok• az auditálás végrehajtása megfelelõ képzettségû dolgozók által• az észrevételek és javaslatok hivatalos jóváhagyása, a végrehaj-
tásuk engedélyezése• a javaslatok megvalósításának nyomonkövetése• az audit alapján megfogalmazott javaslatok megvalósítási
hatásának elemzése (költségek, hasznok és kockázatok)
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 229
M4FÜGGETLEN AUDITÁLÁS VÉGEZTETÉSE
KONTROLL CÉLKITÛZÉSEK
1 Auditálási, ellenõrzési szabályzat2 Függetlenség3 Szakmai etika és szabványok4 Szakmai kompetencia5 Tervezés6 Az audit végrehajtása7 Jelentéskészítés8 A javaslatok végrehajtásának nyomonkövetése
AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:
A helyzet megértése és adatgyûjtés:
A kontroll mechanizmusok értékelése:
Interjú készítés:VezérigazgatóInformatikai vezetõVezetõ belsõ ellenõrAz informatikai felsõ vezetés és a minõségellenõrzés vezetéseA könyvvizsgáló cég vezetõ menedzsereAudit bizottsági tagok, ha mûködik ilyen bizottság
Adatgyûjtés:A teljes szervezeti ábra, a szabályok és eljárások kézikönyveA szervezeti magatartási kódexeA független audit folyamatra vonatkozó szabályok és eljárásokAz auditálási szabályzat, a küldetés megfogalmazása, szabályok és szabványok, korábbi jelentések és
auditálási tervekA külsõ könyvvizsgálók véleményei, vizsgálatai és auditálási terveiA belsõ ellenõri személyzet tapasztalatára és folytonos szakmai továbbképzésére vonatkozó információkAz audit-kockázatok értékelése, a költségvetés és a múltbeli audit tevékenységAz audit bizottság üléseinek jegyzõkönyvei, amennyiben mûködik ilyen bizottság
Megvizsgálandó kérdések:Megfelelõen állították-e fel az audit bizottságot és rendszeresen ülésezik-e, amennyiben mûködik ilyen
bizottság a szervezetnélMegfelelõen alakították-e ki a belsõ ellenõrzési funkció szervezeti felépítését A külsõ könyvvizsgálói ellenõrzések hozzájárulnak-e az auditálási terv megvalósításáhozAz audit funkció kellõ mértékben betartja-e a vonatkozó szakmai magatartási kódexek elõírásait Összeférhetetlenségi nyilatkozatok aláírásával is megerõsítik-e az ellenõrök függetlenségét Az auditálási terv kockázat-elemzési módszertanon alapul-e, és általánosságban kellõen kidolgozott-e
A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:
Az alábbi feladatok elvégzése révén:A belsõ ellenõrzési funkció összemérése a hasonló szervezeteknél mûködõkkel illetve a megfelelõ
nemzetközi szabványokkal/ágazati legjobb gyakorlattalRészletes vizsgálatok annak megállapítása céljából, hogy:
• az auditálási terv ciklikus és folyamatos ellenõrzést valósít-e meg• az audit funkció hozzájárul-e az üzleti és az informatikai tervek sikeréhez• a vizsgálatok során gyûjtött bizonyítékok alátámasztják-e a következtetéseket és javaslatokat• a vizsgálat alapján tett megállapításokat kommunikálják-e és kihasználják-e a lehetõségeket a
javításra vagy a kockázatok csökkentésére• a vizsgálatok nyomán tett javaslatokat végrehajtják-e és azok meghozzák-e a várt eredményeket
Feltárva az alábbiakat:A vizsgálatok nyomán tett javaslatok költsége/hasznaA végrehajtott vizsgálatok alakulása az auditálási tervhez és költségvetéshez viszonyítvaA külsõ és belsõ audit integrációjának mértéke
230 I T G O V E R N A N C E I N S T I T U T E
A megfelelõség felmérése:
Tesztelendõ:A felsõ vezetés jóváhagyja-e a független audit funkció folyamatos mûködésének eredményességétA felsõ vezetés hozzáállása összhangban van-e az auditálási szabályzatban foglaltakkalA belsõ ellenõrzés jellemzõinek összemérése a szakmai szabványokkalAz auditorok megbízásának módja garantálja-e az ellenõrök függetlenségét és megfelelõ képzettségétAz audit funkció személyzete folyamatosan fejleszti-e szakmai képesítéseitA vizsgálati jelentések tartalma releváns-e a javaslatokkalKészítenek-e összegzõ jelentéseket a javaslatok kellõ idõben történõ megvalósításának nyomon
követésére
M4 MonitorozásFüggetlen auditálás végeztetése
Megvizsgálandó kérdések, folytatásA vizsgálatokat megfelelõen megtervezik-e és megfelelõ felügyelet mellett hajtják-e végreA vizsgálatok során feltárt bizonyítékok kellõ mértékben alátámasztják-e a megállapításokat és
következtetéseketGondoskodnak-e folytonos szakmai továbbképzési programok révén az ellenõrök technikai kompeten-
ciájának fenntartásárólAz audit funkció személyzete megfelelõ kompetenciával rendelkeznek-e és a szakmai auditálási
szabványoknak megfelelõen látja-e el munkájukatMegfelelõ folyamatot alakítottak-e ki a vizsgálatok megállapításainak a vezetés felé történõ jelentéséreKellõ idõben nyomon követik-e valamennyi kontroll hiányosság megoldásának alakulásátAz auditálás lefedi-e az információrendszerek ellenõrzésének teljes körét (azaz az általános és
alkalmazási rendszer szintû kontroll mechanizmusokat, a rendszerfejlesztési életciklust, aköltséghatékonyságot, a gazdaságosságot, az eredményességet, a hatékonyságot, a proaktív auditálásimegközelítést, stb.)
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 231
M E L L É K L E T E K
232 I T G O V E R N A N C E I N S T I T U T E
Ez az oldal szándékosan maradt üresen.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 233
I. Melléklet
AZ INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ VEZETÕI ÚTMUTATÓ
Az alább közölt Vezetõi útmutató és Érettségi modell megadja az informatikai irányításhoz kapcsolódókritikus sikertényezõket, a kulcsfontosságú cél-mutatókat, a kulcsfontosságú teljesítmény-mutatókat és azérettségi modellt. Elõször definiálja az informatikai irányítást, hangsúlyozva az üzleti igényt. Ezt követõenmegfogalmazza az informatikai irányításhoz kapcsolódó információ-kritériumokat. Az üzleti igény a kulcs-fontosságú célmutatók alapján mérhetõ, és megvalósítását a megadott kontroll eljárás teszi lehetõvé, a jelzettinformatikai erõforrások felhasználásával. A célt megvalósító kontroll eljárás teljesítménye a kulcsfontosságúteljesítmény-mutatók segítségével mérhetõ, amely figyelembe veszi a kritikus sikertényezõket. Az érettségimodell segítségével értékelhetõ az, hogy a szervezet milyen szinten valósítja meg az informatikai irányítást -a 'Nem létezõ' (legalacsonyabb) szinttõl kiindulva a 'Kezdeti/ad hoc jellegû', az 'Ismétlõdõ, de intuitív jellegû',a 'Definiált folyamat' és az 'Irányított és mérhetõ' szinten át az 'Optimalizált' (legmagasabb) szintig. AzOptimalizált érettségi szintû informatikai irányítás eléréséhez a szervezetnek 'Optimalizált' szinten kell állniaa Monitorozás szakterület esetében, és legalább 'Irányított és mérhetõ' szintet kell elérnie az összes többitevékenységi területen.
(A fenti eszközök használatának részletes ismertetését lásd a COBIT Vezetõi útmutatójában.)
234 I T G O V E R N A N C E I N S T I T U T E
I. Melléklet
AZ INFORMATIKAI IRÁNYÍTÁSHOZKAPCSOLÓDÓ VEZETÕI ÚTMUTATÓ eredményesség
hatékonyságtitkosságsértetlenségrendelkezésre állásmegfelelésmegbízhatóság
emberek
alkalmazások
technológia
létesítmények
adatok
Információ-kritériumok Informatikai erõforrások
• Az informatikai folyamatok kedvezõbbköltséghatékonysága (költség/végtermékek)
• A folyamatok korszerûsítésére tett kezdeményezésekinformatikai intézkedési terveinek növekvõ száma
• Az informatikai infrastruktúra fokozott kihasználása• Az érintettek fokozott elégedettsége (felmérések és a
panaszok száma)• A személyzet fokozott termelékenysége (végter-
mékek száma) és morálja (felmérés)• A vállalkozás irányításához szükséges ismeretek és
információ fokozott hozzáférhetõsége• Szorosabb kapcsolat az informatika és a vállalkozás
irányítása között• A kiegyensúlyozott informatikai stratégiai
mutatószámrendszer alapján mért fokozott teljesít-mény
Kulcsfontosságú Teljesítménymutatók
• Fejlett teljesítmény- és költséggazdálkodás• A nagy informatikai beruházások kedvezõbb hozama• Rövidebb piaci bevezetés• Jobb minõség, hatékonyabb innováció és kockázat-
kezelés• Megfelelõen integrált és szabványosított üzleti
folyamatok• Új ügyfelek elérése és a meglévõk igényeinek
kielégítése• Megfelelõ sávszélesség, számítási teljesítmény és
informatikai szolgáltatási mechanizmusokrendelkezésre állása
• A folyamat ügyfele által támasztott igények éselvárások kielégítése - idõben és az elfogadottköltségvetésen belül
• A törvények, rendeletek, iparági szabványok ésszerzõdéses kötelezettségek betartása
• A kockázatvállalás áttekinthetõsége és az egyeztetettszervezeti kockázatvállalási alapelvek érvényesítése
• Az informatikai irányítás érettségének összehasonlítóértékelése
• Új szolgáltatási csatornák kialakítása
Kulcsfontosságú Célmutatók
• Az informatikai irányítás tevékenységei integrálódnak a vállalkozásirányításának folyamataiba és a vezetõi magatartásba.
• Az informatikai irányítás középpontjában a vállalkozás céljai, astratégiai kezdeményezések, a technológiának az üzlet fejlesztésecéljából történõ felhasználása, valamint az üzleti igényekkielégítését szolgáló elégséges erõforrások és lehetõségekrendelkezésre állásának biztosítása áll.
• Az informatikai irányítási tevékenységek célja pontosan meghatáro-zott, dokumentált és megvalósításuk a vállalkozás igényei alapjánés a számonkérhetõség egyértelmû meghatározásával történik.
• A vezetési módszerek fokozzák az erõforrások hatékony ésoptimális hasznosítását, valamint az informatikai folyamatokhatékonyságát.
• A szervezési módszerek megvalósítják a megbízható felügyeletet, akontroll környezetet/kultúrát, a szabványos gyakorlatként alkalma-zott kockázatelemzést, az elfogadott szabványok érvényesítését, akontroll hiányosságok és kockázatok monitorozását és kezelésüknyomon követését.
• Kontroll módszereket definiáltak a belsõ kontroll és felügyeletkieséseinek megelõzésére.
• Megvalósul az olyan összetettebb informatikai folyamatok integrá-ciója és interoperabilitása, mint a probléma-, a változtatás- éskonfigurációkezelés.
• Audit bizottságot hoztak létre, amely kinevez és felügyel egyfüggetlen auditort, az audit tervekre való ráhatás során kiemeltenkezeli az informatikát, és áttekinti az auditok és a külsõ vizsgálatokeredményeit.
Kritikus Sikertényezõk
Az információ-technológia és folyamatai fölötti irányítás azzal azüzleti céllal, hogy hozzáadott értéket állítson elõ a kockázat és ahozam egyensúlyának megteremtése mellett
biztosítja a szükséges információ-kritériumoknak megfelelniképes és a kulcsfontosságú célmutatókkal mért információelõállítását
feltétele a folyamatok és kontroll olyan, az üzlet számáramegfelelõ minõségû rendszerének felállítása éskarbantartása, amely irányítja és monitorozza azinformatika üzleti értéket elõállító folyamatát
figyelembe veszi a kritikus sikertényezõket, amelyekmozgósítják a szükséges informatikai erõforrásokat ésa kulcsfontosságú teljesítménymutatókkal mérhetõk
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 235
I. Melléklet
IT Irányítás Érettségi Modellje
Az információ-technológia és folyamatai fölötti irányí-tás azzal az üzleti céllal, hogy hozzáadott értéket állít-son elõ a kockázat és a hozam egyensúlyánakmegteremtése mellett
0 Nem létezõ Teljesen hiányzik bármely felismer-hetõ informatikai irányítási folyamat. A szervezetfel sem ismerte, hogy ezzel a kérdéssel foglalkoznikell, ezért nincs kommunikáció sem róla.
1 Kezdeti / Ad hoc jellegû Vannak arra utaló je-lek, hogy a szervezet felismerte, hogy léteznek azinformatikai irányítással kapcsolatos megoldandókérdések. Továbbra is hiányoznak azonban a szab-ványos folyamatok, helyettük egyedi vagy esetialapon ad-hoc módszereket alkalmaznak. A vezetésmegközelítése kaotikus, a kérdések és a megoldá-sukhoz szükséges módszerek kommunikációjaesetleges és következetlen. Létezhet bizonyos felis-merés arra vonatkozóan, hogy a szervezeteredmény-orientált folyamatai esetében érdemeshasznosítani az informatika nyújtotta lehetõsége-ket. Nincs szabványos értékelési eljárás. Az infor-matikai monitoringot reaktív jelleggel vezetik beolyan eseményre válaszul, amely veszteséget vagyzavart okozott.
2 Ismétlõdõ, de ösztönös Az informatikai irányí-tással kapcsolatos kérdések általánosan tudatosul-tak. Az informatikai irányítási tevékenységek ésteljesítménymutatók fejlesztés alatt állnak, azinformatikai tervezési, szolgáltatási és monitoringfolyamatokra kiterjedõen. Ezeknek az erõfeszíté-seknek a részeként az informatikai irányítási tevé-kenységek formálisan beágyazódnak a szervezetváltoztatás-kezelési folyamatába a felsõ vezetésaktív közremûködésével és felügyelete mellett. Bi-zonyos kiválasztott informatikai folyamatokat kije-lölnek az alapvetõ üzleti folyamatok fejlesztéséreés/vagy kontrollálására, ezeket mint beruházásokathatékonyan megtervezik és monitorozzák, és egymeghatározott informatikai architektúra kereteinekösszefüggéseibõl származtatják. A vezetés megha-tározta az informatikai irányítási mutatószámokat,
értékelési módszereket és technikákat, a folyamatotazonban a szervezet egészében nem vezették be.Hiányzik az irányítási szabványokra vonatkozóformális képzés és kommunikáció, a felelõsség azegyénre hárul. Az informatikai projekteken ésfolyamatokon belüli irányítási folyamatok egyénikezdeményezéseken alapulnak. Korlátozott irányí-tási eszközöket választanak ki és vezetnek be azirányítással kapcsolatos mérések értékeinek össze-gyûjtéséhez, sokuk teljes kapacitását azonban nemhasználják ki a funkcióikra vonatkozó szakismere-tek hiánya miatt.
3 Definiált folyamat Az informatikai irányítássalkapcsolatos cselekvés szükségességét felismertékés elfogadták. Kifejlesztették az informatikai irá-nyítás viszonyításai alap mutatószámait. Azeredmény-mutatók és teljesítményt meghatározótényezõk közötti összefüggéseket meghatározták,dokumentálták és integrálták a stratégiai és mûkö-dési tervezésbe és a monitoring folyamatokba. Azeljárásokat szabványosították, dokumentálták ésimplementálták. A vezetés kommunikálta a szabvá-nyos eljárásokat, és informális képzést vezettek be.Valamennyi informatikai irányítási tevékenységrevonatkozóan rögzítik és nyomon követik a teljesít-ménymutatókat, amelynek alapján a szervezet egé-szére vonatkozó fejlesztéseket kezdeményeznek.Bár mérhetõek, de az eljárások nem kifinomultak,voltaképpen a meglévõ gyakorlat formalizálásátjelentik. Az eszközök szabványosítottak, a rendel-kezésre álló technikákat alkalmazzák. Adaptálták akiegyensúlyozott informatikai stratégiaimutatószámrendszert. Azonban a képzés igény-bevételét, a szabványok követését és alkalmazásátaz egyes személyekre bízzák. Az alapvetõ okokelemzését csak esetenként alkalmazzák. A folya-matok többségét monitorozzák és bizonyos (viszo-nyítási alap-) mutatókkal összevetik azokat, de azeltérések nyomán csak egyéni kezdeményezésalapján hozzák meg a szükséges intézkedéseket, éskétséges, hogy az eltéréseket a vezetõk feltárnák.Ennek ellenére a kulcsfolyamatok teljesítményénekszámonkérése világos, és a menedzsment javadal-mazása az alapvetõ teljesítménymutatók függvé-nye.
236 I T G O V E R N A N C E I N S T I T U T E
I. Melléklet
4 Irányított és mérhetõ A szervezet minden szint-jén pontos ismeretekkel rendelkeznek az infor-matikai irányítással kapcsolatos kérdésekrõl, amitformális képzéssel támogatnak. Egyértelmû az,hogy ki az ügyfél, a kötelezettségeket szolgáltatásiszintre vonatkozó megállapodások révén meghatá-rozzák és monitorozzák. A kötelezettségek világo-sak, bevezették a folyamat-tulajdonlás elvét. Azinformatikai folyamatokat összhangba hozzák azüzleti és informatikai stratégiával. Az informatikaifolyamatok fejlesztése elsõsorban mennyiségi ér-telmezésen alapul, és lehetõség van az eljárá-soknak és a folyamatok mutatóinak valómegfelelés monitorozására és mérésére. Afolyamatokban érdekelt minden fél tudatában van akockázatoknak, az informatika jelentõségének ésaz általa kínált lehetõségeknek. A vezetés meghatá-rozta a folyamatok mûködésének tûréshatárait.Számos, de nem minden olyan esetben kezdemé-nyeznek intézkedéseket, amikor a folyamatok ha-tékonysága vagy eredményessége nem tûnikkielégítõnek. A folyamatokat alkalomszerûen fej-lesztik, és gondoskodnak a legjobb belsõ módsze-rek bevezetésérõl. Az alapvetõ okok elemzésétszabványosították. Megkezdték a folyamatos fej-lesztés bevezetését. A technológiát korlátozott, el-sõsorban taktikai jelleggel hasznosítják, kiforrotttechnikák és érvényesített szabványos eszközökalapján. Gondoskodnak a területek valamennyiszükséges belsõ szakértõjének bevonásáról. Azinformatikai irányítás a szervezet egészére kiter-jedõ folyamattá fejlõdik. Az informatikai irányításitevékenységek egyre inkább integrálódnak a vállal-kozás irányításának folyamatába.
5 Optimalizált A szervezetet az informatikai irányí-tásra vonatkozó kérdések és megoldások korszerûés elõremutató ismerete és értelmezése jellemzi. Aképzést és a kommunikációt élenjáró koncepciókés technikák támogatják. A folyamatokat a legjobb
külsõ gyakorlat szintjére fejlesztették a folyamatosfejlesztések és az egyéb szervezetekkel való érett-ségi modellezés eredményeként. Ezeknek a szabá-lyoknak az alkalmazása gyorsan alkalmazkodószervezethez, személyzethez és folyamatokhoz ve-zetett, amelyek teljes mértékben támogatják azinformatikai irányítás követelményeit. Elemzik azösszes probléma és eltérés alapvetõ okát, azonnalmeghatározzák és kezdeményezik a szükséges in-tézkedéseket. Az informatikát kiterjedt, integrált ésoptimalizált módon használják fel a technológiastratégiai szintû alkalmazására a munkafolyamatokautomatizálása és olyan eszközök biztosítása céljá-ból, amelyek javítják a minõséget és a hatékonysá-got. Az informatikai folyamatok haszna éskockázatai meghatározottak, kiegyensúlyozottak,és azokat kommunikálják a vállalat teljes körében.Bevonnak külsõ szakértõket és útmutatásként ösz-szeméréseket alkalmaznak. A monitoring, az önér-tékelés és az irányítással kapcsolatos elvárásokravonatkozó kommunikáció áthatja az egész szerve-zetet, és optimálisan hasznosítják a technológiát amérések, az elemzés, a kommunikációt és a képzéstámogatására. A vállalkozás és az informatika irá-nyítása stratégiai szinten kapcsolódnak egymáshoz,a technológiát, valamint a humán és a pénzügyierõforrásokat egyaránt a vállalkozás versenyelõ-nyének növelése érdekében mozgósítva.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 237
II. Melléklet
COBIT PROJEKT LEÍRÁS
A projektet továbbra is egy ipari, tudományos, kor-mányzati és ellenõrzési szakemberekbõl álló nemzet-közi "Projekt Irányító Bizottság" felügyeli. A ProjektIrányító Bizottság részt vett a COBIT Keretrendszer ki-dolgozásában és a kutatási eredmények alkalmazásá-ban. A projekt keretében végzett kutatások ésfejlesztések minõség-biztosítási és szakértõi elemzésifeladatainak elvégzésére nemzetközi munkacsoport lettfelállítva. A projekt általános irányítását az IT Gover-nance Institute végzi.
KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER AKORÁBBI KIADÁSOKNÁLAz 1. kiadásban meghatározott COBIT Keretrendszebõlkiindulva, nemzetközi szabványok és irányelvek alkal-mazása és a legjobb gyakorlatok felkutatása révén ke-rültek kifejlesztésre a kontroll célkitûzések. Akövetkezõ lépés az auditálási útmutató kidolgozásavolt, amely azt értékeli, hogy a fenti kontroll célkitûzé-sek megvalósítása megfelelõen történt-e.
Az 1. és 2. kiadáshoz kapcsolódó kutatási munka ré-szeként összegyûjtötték és elemezték az azonosítottforrásanyagokat, mely munkát európai (Free Universityof Amsterdam), amerikai (California PolytechnicUniversity) és ausztráliai (University of New SouthWales) kutató-csoportok végezték. A kutatók azt a fel-adatot kapták, hogy gyûjtsék össze, vizsgálják át, érté-keljék és rendezzék össze a Keretrendszerhez és azegyes kontroll célkitûzésekhez kapcsolódó nemzetközimûszaki szabványokat, magatartási kódexeket, minõsé-gi szabványokat, auditálási szakmai szabványokat, va-lamint ágazati gyakorlatot és követelményeket. Azadatok összegyûjtését és elemzését követõen a kutatókminden egyes informatikai szakterületet és folyamatotalaposan megvizsgáltak, majd javaslatokat tettek azegyes informatikai folyamatok esetében alkalmazandókontroll célkitûzésekre. Az eredményeket a COBIT Irá-nyító Bizottsága és az ISACF Kutatási Igazgatója ösz-szesítették.
KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER A 3.KIADÁSNÁLA COBIT 3. kiadásához kapcsolódó projekt keretébenkidolgozásra került a Vezetõi útmutató és megtörtént aCOBIT 2. kiadásának felülvizsgálata a legújabb nemzet-közi hivatkozási források és normák alapján.
Emellett, a vezetõi kontroll hatékonyabb segítése, a tel-jesítmény-irányítás bevezetése és az informatikai irá-nyítás tartalmának további részletezése érdekében sorkerült a COBIT Keretrendszer felülvizsgálatára és kibõ-vítésére is. Annak érdekében, hogy a vezetés a Keret-rendszer alapján fel tudja mérni az informatikáhozkapcsolódó kontroll eljárások megfelelõ végrehajtását,hogy választani tudjon azok közül illetve, hogy mérnitudja az eljárások teljesítményét, az egyes KontrollCélkitûzésekhez kapcsolódóan Érettségi Modellek, Kri-tikus Sikertényezõk, Kulcsfontosságú Célmutatók ésKulcsfontosságú Teljesítmény-mutatók is bekerültek aVezetõi Útmutatóba.
A Vezetõi Útmutató kidolgozásában egy 40 szakértõbõlálló nemzetközi panel vett részt, amelynek tagjai azipar, a tudomány, a kormányzatok valamint az informa-tikai biztonsági és ellenõrzési szakma képviselõi közülkerültek ki. Ezek a szakemberek bentlakásos mûhely-munkán vettek részt, ahol a COBIT Irányító Bizottságaáltal meghatározott irányelvek szerint, hivatásos irányí-tók segítségével folyt a munka. A mûhelymunkához je-lentõs támogatást nyújtott a Gartner Group és aPricewaterhouseCoopers, amely cégek a munka mene-tének irányítása mellett saját ellenõrzési, teljesítmény-kezelési és informatikai biztonsági szakértõiket iselküldték. A mûhelymunka eredményeként a COBITmind a 34 általános szintû kontroll célkitûzéséhez kap-csolódóan kidolgozásra kerültek az Érettségi Modellek,a Kritikus Sikertényezõk, a Kulcsfontosságú Célmuta-tók és Kulcsfontosságú Teljesítmény-mutatók terveze-tei. A COBIT Irányító Bizottsága minõségbiztosításiszempontból áttekintette a kidolgozott tervezeteket,majd az így kapott eredményeket nyilvános vitára
238 I T G O V E R N A N C E I N S T I T U T E
II. Melléklet
COBIT PROJEKT LEÍRÁS, folytatás
tették közzé az ISACA web-oldalán. Mindezek alapjánelkészült a Vezetõi útmutató elnevezésû új rész, amelyigazodik a COBIT Keretrendszerhez és hasznos eszköztkínál a vezetés számára.
A Kontoll célkitûzések legújabb nemzetközi hivatkozá-si források és normák alapján történõ aktualizálását azISACA tagszervezeteinek tagsága végezte el, a COBITIrányító Bizottságának irányítása mellett. A munka cél-ja nem az összes anyag átfogó elemzése vagy a Kont-roll célkitûzések átdolgozása volt, hanem egyfajtafokozatos aktualizálási eljárás kialakítása.
A Vezetõi útmutató kidolgozásának eredményei ezt kö-vetõen a COBIT Keretrendszer felülvizsgálatára kerül-tek felhasználásra, elsõsorban az általános kontrollcélkitûzésekhez kapcsolódóan a mérlegelendõ kérdé-sekre, a célokra és a megvalósítás módjára vonatkozómegállapításokat érintõen.
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 239
III. Melléklet
ELSÕDLEGES COBIT HIVATKOZÁSI FORRÁSOK
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - IntegratedFramework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security ofInformation, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and BritishStandard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality AssuranceStandards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance ofsoftware, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: NIST Special Publication 800-12, NationalInstitute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines devel-oped by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior OfficialsGroup on Information Security, advising the European Commission), Brussels, 1994.
NSW Premier's Office Statements of Best Practices and Planning Information Management andTechniques: Statements of Best Practice #1 through #6. Premier's Department New South Wales, Government ofNew South Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic DataProcessing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, MonographSeries #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (President's Council on Integrity and Efficiency) Model Framework: A Model Framework forManagement Over Automated Information Systems. Prepared jointly by the President's Council on ManagementImprovement and the President's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided bythe Chuo Audit Corporation, Tokyo, August 1994.
CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Au-dit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), FourthEdition, Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Informa-tion Systems Auditor Job Analysis Study," Rolling Meadows, IL, 1994.
IFAC International Information Technology Guidelines-Managing Security of Information: InternationalFederation of Accountants, New York, 1998.
240 I T G O V E R N A N C E I N S T I T U T E
III. Melléklet
ELSÕDLEGES COBIT HIVATKOZÁSI FORRÁSOK, folytatás
IFAC International Guidelines on Information Technology Management-Managing InformationTechnology Planning for Business Impact: International Federation of Accountants, New York, 1999.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NIST SpecialPublication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce,Washington, DC, 1988.
Government Auditing Standards: US General Accounting Office, Washington, DC, 1999.
SPICE: Software Process Improvement and Capability Determination. A standard on software process improve-ment, British Standards Institution, London, 1995.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants,Denmark, 1994.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery InstituteInternational. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Auditability and Control: Institute of Internal Auditors Research Foundation, SystemsAuditability and Control Report, Altamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors ResearchFoundation, Altamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) TechnicalCommittee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial
Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and FinancialServices, Draft, Switzerland, 1997.
Common Criteria and Methodology for Information Technology Security Evaluation: CSE (Canada), SCSSI(France), BSI (Germany), NLNCSA (Netherlands), CESG (United Kingdom), NIST (USA) and NSA (USA),1999.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department ofTrade and Industry (DTI), London, 1994
ESF Baseline Control-Communications: European Security Forum, London. Communications NetworkSecurity, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control-Microcomputers: European Security Forum, London. Baseline Controls MicrocomputersAttached to Network, June 1990
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 241
III. Melléklet
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the InformationSystems Audit and Control Foundation), Rolling Meadows, IL, 1992.
Standards for Internal Control in the Federal Government (GAO/AIMD-00-21.3.1): US General AccountingOffice, Washington, DC 1999.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, NationalInstitute for Standards and Technology, US Department of Commerce, Washington, DC, 1998.
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washing-ton, DC, 1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3rd Edition: Canadian Institute of Chartered Accoun-tants, Toronto, 1998.
ISO/IEC TR 13335-n Guidelines for the Management of IT Security (GMITS), Parts 1-5: InternationalOrganisation for Standardisation, Switzerland, 1998.
AICPA/CICA SysTrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute ofCertified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
242 I T G O V E R N A N C E I N S T I T U T E
IV. Melléklet
SZÓJEGYZÉK
AICPA American Institute of Certified Public Accountants - Okleveles Könyvvizsgálók AmerikaiEgyesülete
CICA Canadian Institute of Chartered Accountants - Okleveles Könyvvizsgálók KanadaiEgyesülete
CISA Certified Information Systems Auditor - Okleveles Információrendszer Auditor
CCEB Common Criteria for Information Technology Security - Informatika biztonság közös kritéri-umai
Kontroll Azok az irányelvek, eljárások, gyakorlatok és szervezeti struktúrák, amelyek célja az, hogygondoskodjanak az üzleti célkitûzések teljesítésérõl és a nemkívánatos eseményekmegelõzésérõl, felderítésérõl és korrekciójáról. Azok a szabályok, eljárások, gyakorlatokés szervezeti struktúrák, amelyek célja az, hogy gondoskodjanak az üzleti célkitûzésekteljesítésérõl és a nemkívánatos események megelõzésérõl, felderítésérõl és korrekciójáról.
COSO Committee of Sponsoring Organisations of the Treadway Commission - A TreadwayBizottság Szervezeteit Szponzoráló Bizottság
DRI Disaster Recovery Institute International - Nemzetközi Katasztrófa-helyreállítási Intézet
DTI Department of Trade and Industry of the United Kingdom - Az Egyesült Királyság Ipari ésKereskedelmi Minisztériuma
EDIFACT Electronic Data Interchange for Administration, Commerce and Trade - Adminisztrációs,kereskedelmi és üzleti célú elektronikus adatcsere
EDPAF Electronic Data Processing Auditors Foundation (now ISACF) - Elektronikus Adatfeldolgo-zási Auditorok Alapítványa (mai neve ISACF)
ESF European Security Forum - Európai Biztonsági Fórum, 70-nél több, elsõsorban multina-cionális társaság kutatási együttmûködési fóruma az informatikai biztonság és kontrollterületén
GAO U.S. General Accounting Office - Az Egyesült Államok Legfõbb Számvevõszéke
I4 International Information Integrity Institute (Az információk sértetlenségével ésösszhangjával foglalkozó nemzetközi intézet) az ESF-hez hasonló szervezet, hasonlócélokkal, de elsõsorban amerikai székhelyû és a Stanford Kutató Intézet irányítja.
IBAG Infosec Business Advisory Group - az Infosec Bizottságnak tanácsokat adó ágazati szakértõkcsoportja. A fenti Bizottság az Európai Közösség kormányzati tisztségviselõibõl áll és magais ad tanácsokat az Európai Bizottságnak informatikai biztonsági kérdésekben.
IFAC International Federation of Accountants - Nemzetközi Könyvvizsgálói Szövetség
IIA Institute of Internal Auditors - Belsõ Ellenõrök Intézete
INFOSEC Advisory Committee for IT Security Matters to the European Commission - Az EurópaiBizottság Informatikai Biztonsági kérdésekkel foglalkozó Tanácsadó Bizottsága
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 243
IV. Melléklet
ISACA Information Systems Audit and Control Association - Információrendszer Audit és KontrollEgyesület
ISACF Information Systems Audit and Control Foundation - InformációrendszerAudit és KontrollAlapítvány
ISO International Organisation for Standardization - Nemzetközi Szabványügyi Szervezet
IS09000 Az ISO által meghatározott minõségirányítási és minõségbiztosítási szabványok.
Informatikai A kontroll eljárások végrehajtása révén elérni kívánt eredmény illetve cél meghatározásakontroll célkitûzés
ITIL Information Technology Infrastructure Library - Információtechnológiai infrastruktúrakönyvtár
ITSEC Information Technology Security Evaluation Criteria - Információ-technológiai biztonságkiértékelésének kritérium rendszere. Franciaország, Németország, Hollandia és az EgyesültKirályság egységes kritériumai, amelyeket támogat az Európai Bizottság is (lásd még:TCSEC)
NBS National Bureau of Standards of the U.S. - USA Szabvánügyi Iroda
NIST National Institute of Standards and Technology - Nemzeti Szabványügyi és Technológiai(korábban NBS) Intézet (székhelye: Washington. D.C.)
NSW New South Wales, Australia - Új-Dél Wales, Ausztrália
OECD Organisation for Economic Cooperation and Development - Gazdasági Együttmûködési ésFejlesztési Szervezet
OSF Open Software Foundation - Nyitott Szoftver Alapítvány
PCIE President's Council on Integrity and Efficiency - Az integritással és hatékonysággal foglal-kozó Elnöki hivatal
SPICE Software Process Improvement and Capability Determination - Szoftver-folyamatfejlesztésés Teljesítmény-meghatározás - a szoftver-folyamatfejlesztésre vonatkozó szabvány
TCSEC Trusted Computer System Evaluation Criteria - Megbízható Számítógéprendszerek Kiértéke-lésének kritérium rendszere, más néven Orange Book: a számítógépes rendszerek biztonsá-gának értékelési kritériumai, amelyet eredetileg az Egyesült Államok VédelmiMinisztériuma dolgozott ki. Az európai megfelelõjét lásd az ITSEC-nél.
TickIT Guide to Software Quality Management System Construction and Certification Szoftverekminõségirányítási rendszerének kiépítésére és hitelesítésére vonatkozó útmutató
244 I T G O V E R N A N C E I N S T I T U T E
V. Melléklet
AZ AUDITÁLÁS FOLYAMATA(KÉSZÍTETTE AZ ISACA NATIONAL CAPITAL AREA TAGSZERVEZET)
Az alább bemutatott diagramok az egyes kontrollcélkitûzések teljesítéséhez kapcsolódó lépéseketillusztrálják. Meghatározzák az egyes lépések céljait,valamint azt, hogy az auditornak mit kell elérnie,mielõtt rátérne a következõ lépésre. Végezetül, egyfolyamatábra bemutatja az egyes lépések soránkövetendõ információ-gyûjtési és döntéshozatali eljárá-sokat is.
Minthogy számos célkitûzés egyedi jellegû, nemjavasoljuk az itt közölt mintát merev szabálykéntkezelni. A módszert hasznos útmutatónak találtuk, mertpontos fogalmi keretet nyújt az auditálási munkaminden egyes szakaszához. A minta ismertetése utánegy összevont szójegyzéket is közreadunk. A szójegy-zékben meghatározott fogalmak dõlt betûvel szere-pelnek a szövegben.
AZ AZONOSÍTÁS/DOKUMENTÁLÁS AUDITÁLÁSI
LÉPÉS:
Cél — Az azonosítás/dokumentálás auditálási lépéscélja az, hogy az auditor megismerkedjen a kontrollcélkitûzés által lefedett feladattal és azzal, hogy az
informatikai vezetés mit gondol arról, hogy azt hogyankontrollálja. Ez magába foglalja a vonatkozó feladatotellátó személyek, folyamatok és helyszínek, valamint afeladat kontrollálására kinyilvánított eljárásokazonosítását.
A lépéstõl elvárt eredmények - Azazonosítás/dokumentálás auditálási lépés befejezéséhezaz auditornak azonosítania, dokumentálnia és igazolniakell, hogy:
• Kik látják el a kontroll célkitûzés által lefedettfeladatot
• Hol látják el a feladatot• Mikor látják el a feladatot• Milyen bemenetek alapján látják el a feladatot• Milyen kimeneteket várnak el a feladattól, és• Milyen kinyilvánított eljárások vonatkoznak a
feladat ellátására
1. ÁBRA: Az azonosítás/dokumentálás auditálási lépés folyamatábrája
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 245
V. Melléklet
AZ ÉRTÉKELÉS AUDITÁLÁSI LÉPÉS:
Cél — az értékelés auditálási lépés célja a kinyilvání-tott eljárások értékelése és annak megállapítása, hogyaz eljárások hatékony kontroll struktúrát biztosítanak-e.Az eljárásokat az azonosított követelmények, ágazatiszabványos gyakorlat, valamint az auditor sajátszakmai megítélése alapján kell értékelni. A kontrollstruktúra abban az esetben hatékony, ha költség-takarékos, ugyanakkor kellõ biztosítékot nyújt a feladatellátására és a kontroll célkitzések teljesítésére.
A lépéstõl elvárt eredmények - az értékelés auditálásilépés befejezéséhez az auditornak az alábbiakat kellrendelkeznie:
• Annak értékelése, hogy milyen törvények, jogsza-bályi elõírások és szervezeti kritériumokvonatkoznak az eljárásokra
• Annak értékelése, hogy a kinyilvánított eljárásokköltségtakarékosak-e és kellõ biztosítékotnyújtanak-e a feladat ellátására és a kontrollcélkitûzések teljesítésére
• A gyenge eljárások megerõsítésére alkalmazottkiegészítõ kontroll mechanizmusok értékelése
• Állásfoglalás arra vonatkozóan, hogy a kinyilvání-tott eljárások és a kiegészítõ kontroll mechaniz-musok együttesen hatékony kontroll struktúrátbiztosítanak-e
• Annak megállapítása, hogy a megfelelõségtesztelése kielégítõ-e.
A MEGFELELÕSÉG TESZTELÉSE AUDITÁLÁSI LÉPÉS:
Cél — A megfelelõség tesztelése auditálási lépés céljaannak elemzése, hogy a szervezetnél mennyiben tartjákbe az elõírt kontroll mechanizmusokat. A ténylegeseljárásokat és a kiegészítõ kontroll mechanizmusokatössze kell hasonlítani a kinyilvánított eljárásokkal, ésdokumentumok áttekintése illetve interjúk révén megkell állapítani, hogy a kontroll mechanizmusokathelyesen és konzisztens módon alkalmazzák-e. Amegfelelõség tesztelése csak az eredményesnekminõsített eljárásokra vonatkozóan végzendõ el.
A lépéstõl elvárt eredmények - A megfelelõségitesztelési ellenõrzési lépés befejezéséhez az auditornakrendelkeznie kell az arra vonatkozó dokumentációval,hogy a szervezet mennyiben követi a fentiekbenmeghatározott eljárásokat, illetve az arra vonatkozómegállapítással, hogy a kinyilvánított eljárásokat és akiegészítõ kontroll mechanizmusokat helyesen éskonzisztens módon alkalmazzák-e a szervezetnél. Azauditornak a megfelelõség szintje alapján kellmeghatároznia azt, hogy milyen szintû lényegitesztelés szükséges annak megerõsítéséhez, hogy akontroll folyamat megfelel a követelményeknek.
2. ÁBRA: Az Értékelés auditálási lépés folyamatábrája
246 I T G O V E R N A N C E I N S T I T U T E
V. Melléklet
A LÉNYEGI TESZTELÉS AUDITÁLÁSI LÉPÉS:
Cél — A lényegi tesztelés auditálási lépés céljamegdönthetetlen bizonyosság szolgáltatása a vezetésfelé az adatok szükséges mértékû tesztelése révén,hogy egy adott üzleti célkitûzést teljesít-e a szervezet,vagy sem.
A lépéstõl elvárt eredmények - A lényegi tesztelésauditálási lépés befejezéséhez az auditornak megfelelõmértékben el kell végeznie a feladat kimeneteinektesztelését annak megállapításához, hogy az adott
kontroll célkitûzés megvalósításra kerül-e. Kiterjedtlényegi tesztelést kell végezni abban az esetben, ha:
• nem alkalmaznak semmilyen kontroll eljárást;• a kontroll mechanizmusok az elvégzett értékelés
alapján nem minõsülnek kielégítõnek, illetve ha• a megfelelõségi tesztek azt jelzik, hogy a kontroll
mechanizmusokat nem helyesen és konzisztensmódon alkalmazzák.
3. ÁBRA: A megfelelõség tesztelése auditálási lépés folyamatábrája
4. ÁBRA: A lényegi tesztelés auditálási lépés folyamatábrája
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E 247
V. Melléklet
SZÓJEGYZÉK:
Tényleges eljárások — A tényleges eljárások azok azeljárások, amelyeket a szervezet a kontroll célkitûzésteljesítése érdekében alkalmaz. A tényleges eljárásokazonosítására a vizsgálat megfelelõség tesztelésiszakaszában kerül sor.
Kiegészítõ kontroll mechanizmusok — A kiegészítõkontroll mechanizmusok olyan további irányítási ésellenõrzési lépések vagy eljárások, amelyek bár nemkapcsolódnak közvetlenül a vizsgált kontrollcélkitûzéshez, de alkalmazásuk a vizsgált kontrollcélkitûzéshez közvetlenül kapcsolódó kontroll mecha-nizmusok megerõsítését szolgálja. A kiegészítõ kontrollmechanizmusok azonosítására a vizsgálat megfelelõségtesztelési szakaszában kerül sor. A kiegészítõ kontrollmechanizmusok aktív feltárására csak abban az esetbenvan szükség, ha a kinyilvánított kontroll mechaniz-musok eredményessége megkérdõjelezhetõ.
Kontroll célkitûzés — A szervezetnél kialakítottbármely eljárás kívánt eredménye. Informatikaiszemszögbõl nézve a kontroll célkitûzéseket azelvégzendõ auditálási munka hatókörének katego-rizálásához és meghatározásához használják.
Kellõ megerõsítés — Egyes konkrét kontrollcélkitûzések teljesítése érdekében kialakított eljárásokmegfelelõségének értékelésére kialakított szabvány. Akellõ megerõsítés magába foglalja a megfelelõ infor-máltságon alapuló vélemény kialakítására irányulómegítélést, tudást és tapasztalatot. A kellõ megerõsítésfeltétele, hogy a vizsgált kontroll rendszer hatékonylegyen, de ne legyen eltúlzott. A kellõ megerõsítésrevonatkozó szabvány feltétele továbbá, hogy a kontrollrendszer költséghatékony legyen.
Kinyilvánított eljárások — Azok a kontroll mechaniz-musok, amelyekrõl a szervezet úgy véli, hogy azokatbevezették és betartják annak érdekében, hogybiztosítsák a kontroll célkitûzés teljesítését. Kinyilvání-tott eljárás az, amit a vezetés arra vonatkozóan gondol,hogy mit hajtanak végre. A kinyilvánított eljárásokmagukba foglalják mind az írott, mind a vezetés általmegjelölt informális eljárásokat is. A kinyilvánítotteljárások azonosítására a vizsgálatazonosítás/dokumentálás szakaszában, míg a ténylegeseljárásokkal való összehasonlításukra a megfelelõségtesztelési szakaszban kerül sor.
Feladat — Az egy bizonyos kontroll célkitûzéskereteibe tartozó eljárások kívánt kimenete. A feladatbármi lehet, amelynek biztosítása érdekében az adottkontroll célkitûzést kialakították.
Feladat bemenetek és kimenetek — A feladatteljesítéséhez szükséges, ahhoz kapcsolódó illetveabból eredõ produktumok, jelentések illetve informá-ciók.
248 I T G O V E R N A N C E I N S T I T U T E
I T G O V E R N A N C E I N S T I T U T E
AUDITÁLÁSI ÚTMUTATÓ
I T G O V E R N A N C E I N S T I T U T E
ÁLTALÁNOS AUDITÁLÁSI ÚTMUTATÓ
A HELYZET MEGÉRTÉSE ÉS ADATGYÛJTÉS
A KONTROLL MECHANIZMUSOK ÉRTÉKELÉSE
A MEGFELELÕSÉG FELMÉRÉSE
A MEGFELELÕSÉG FELMÉRÉSE
A kontroll célkitûzéseket alátámasztó tevékenységek dokumentálására, valamint a kinyilvánított és bevezetett kontrollintézkedések/eljárások meghatározására irányuló audit lépések.Interjúk folytatandók az illetékes vezetõkkel és alkalmazottakkal az alábbiak megértése érdekében:
• Az üzleti követelmények és a kapcsolódó kockázatok• A szervezeti struktúra• A feladat- és felelõsségi körök• A szabályok és eljárások• A törvények és jogszabályok• A bevezetett kontroll intézkedések• A vezetõi jelentések (helyzet, teljesítmény, intézkedési pontok)
Dokumentálandók a vizsgált folyamat által elsõdlegesen érintett informatikai erõforrások. Megerõsítendõ a vizsgáltfolyamat, a kulcsfontosságú teljesítmény-mutatók (KTM) és a kontroll kihatások megértése, pl. a folyamat bejárásarévén.
A bevezetett kontroll intéuzkedések eredményességének vagy a kontroll célkitûzések teljesülése mértékének megál-lapítására irányuló audit lépések. Lényegében döntés hozandó arról, hogy mit és hogyan kell tesztelni, illetve kell-etesztelni.Az azonosított kritériumok és az ágazati szabványos gyakorlat, a kontroll intézkedésekre vonatkozó kritikussikertényezõk (KST), valamint az auditor szakmai megítélése alapján értékelendõ a vizsgált folyamathoz kapcsolódókontroll intézkedések megfelelõsége.
• Léteznek-e dokumentált folyamatok• Léteznek-e a megfelelõ végtermékek• Egyértelmûen meghatározták-e a felelõsségi köröket és a számonkérhetõség módját, és azokat érvenybe léptették-e.• Léteznek-e kiegészítõ kontroll mechanizmusok, ahol azok szükségesek
Következtetésként megállapítandó a kontroll célkitûzések teljesülésének mértéke.
A bevezetett kontroll intézkedések elõírások szerinti, konzisztens és folyamatos mûködésének, valamint a kontrollkörnyezet megfelelõ voltának megállapítására irányuló audit lépések.Közvetlen vagy közvetett bizonyítékok kell szerezni a kiválasztott tételekre/idõszakokra vonatkozóan, amelyek alapjánbizonyítható, hogy a vizsgált idõszak alatt betartották az elõírt eljárásokat.Korlátozott vizsgálat révén ellenõrizendõ a folyamatok végtermékeinek megfelelõsége.Meghatározandó, hogy az informatikai folyamatok megfelelõ voltának megerõsítéséhez milyen mélységû lényegitesztelés és további munka szükséges.
A kontroll célkitûzések teljesítésének elmaradása által okozott kockázatok meghatározására irányuló audit lépések,megfelelõ elemzési módszereket felhasználva és/vagy alternatív forrásokat igénybevéve. A cél az auditori vélemény alátá-masztása és a vezetés "felrázása" a cselekvés érdekében. Az informatikai ellenõröknek kreatívaknak kell lenniük az ilyen,gyakran kényes és bizalmas jellegû információk feltárása és közlése során.Dokumentálandók a kontroll mechanizmusok hiányosságai, valamint az azokból eredõ fenyegetések és sebezhetõség.Megállapítandó és dokumentálandó a tényleges és a potenciális hatás, pl. okfeltáró elemzés révén.Összehasonlító információk nyújtandók, pl. összemérés révén.
I T G O V E R N A N C E I N S T I T U T E
AUDITÁLÁSI ÚTMUTATÓ
ÁLTALÁNOS AUDITÁLÁSI ÚTMUTATÓ(KIHAJTHATÓ LAP)
I T G O V E R N A N C E I N S T I T U T E
top related