IT AUDIT METHODOLOGY(GREEK VERSION)

1. Αιτίες Ύπαρξης Συστήματος Ελέγχου Πληροφορικής

2. Στόχοι ενός Συστήματος Ελέγχου Πληροφορικής

3. Μεθοδολογία Ελέγχου Πληροφορικής

4. Θέματα Ελέγχου Πληροφορικής

IT Audit-Greek Version

John Kyriazoglou

October 2013

1. Αιτίες Ύπαρξης Συστήματος Ελέγχου Πληροφορικής

•ΠΛΗΡΟΦΟΡΙΕΣ: Κρίσιμα Περιουσιακά Στοιχεία

>>> επιχειρήσεις, κοινωνία, οικονομία •ΣΤΟΧΟΙ: Κοινωνικοί,Επιχειρησιακοί,Οικονομικοί

>>> Επίτευξη/Ανάπτυξη

>>> Ενίσχυση Νομιμότητας/Διαφάνειας >>> ΠΡΟΣΤΑΣΙΑ ΟΝΤΟΤΗΤΩΝ & ΤΟΥ ΑΤΟΜΟΥ

>>> μείωση παρανόμων πράξεων

• Να βοηθήσει και να υποστηρίξει τη Διοίκηση και το προσωπικό να εκτελέσουν όλες τις απαιτούμενες εργασίες με τον πιο αποτελεσματικό τρόπο, εντός ενός

δημιουργικού, επιχειρηματικού και ηθικού πλαισίου.

• Να ενθαρρύνει τη χρήση και την αξιοποίηση των πιο αποτελεσματικών και οικονομικών συστημάτων, μεθόδων και πρακτικών ελέγχου για τις πιο ορθές και έγκαιρες πληροφορίες.

• Να ενισχύσει τη σωστή διακυβέρνηση και την περάτωση όλων των λειτουργιών και δραστηριοτήτων της επιχείρησης ή του οργανισμού.

• Να βελτιώσει την αποδοτικότητα της εταιρείας και την επισκόπησή της από όλα τα ενδιαφερόμενα μέρη (κοινωνικούς και θεσμικούς εταίρους, ρυθμιστικές και κανονιστικές αρχές, επιτροπές κοινωνικού και άλλου ελέγχου κλπ. )

Στόχοι Συστήματος Ελέγχου Πληροφορικής

Μεθοδολογία Ελέγχου Πληροφορικής

Περιλαμβάνει:

• Το σύνολο των οργανωμένων διαδικασιών, εννοιών, κανόνων προτύπων, κατευθύνσεων και πρακτικών μεθόδων, που χρησιμοποιούνται για την ανάλυση, διεξαγωγή, επίλυση και ολοκλήρωση ενός συγκεκριμένου στόχου, σκοπού, συστήματος, προβλήματος κλπ.

• Τους κανόνες, τα κριτήρια και τις αξίες που σχετίζονται με τη δημιουργία γνώσης στο συγκεκριμένο γνωστικό πεδίο.

• Τα τεχνικά και εννοιολογικά εργαλεία (συμβολισμοί, γλώσσα, ρεπερτόριο σεναρίων, διαγράμματα, λογισμικό κλπ.) και τα κριτήρια αξιολόγησης της απόδοσης, που χρησιμοποιούνται για την τεκμηρίωση των αποτελεσμάτων από την εκτέλεση κάθε εργασίας του συγκεκριμένου βήματος ή φάσης της μεθοδολογίας.

Θέματα Ελέγχου Πληροφορικής

Α) Επιχειρησιακά θέματα

Β) Θέματα τεχνολογίας πληροφορικής

Επιχειρησιακά θέματα

Εταιρική διακυβέρνηση (corporate governance)

• Κανονιστικό και ρυθμιστικό πλαίσιο: Οικολογικές ευαισθησίες, κοινωνικές ευαισθησίες, συνδικαλιστικά θέματα, συστήματα κατανομής εξουσιών μεταξύ κεντρικής εξουσίας και τοπικών μονάδων. • Επιχειρησιακό μοντέλο: Εξωτερικοί παράγοντες, αγορά, συνεργασίες, υπηρεσίες, πελάτες, λειτουργίες, δήλωση αποστολής/οράματος, δημόσιες σχέσεις, καινοτομία, marketing, διοίκηση ρίσκων.• Στρατηγική διοίκηση: Business balanced scorecard, άλλα μοντέλα.• Σύστημα εσωτερικού ελέγχου: Πρότυπα, πολιτικές, μέθοδοι, διαδικασίες.• Ειδικό σύστημα εναντίον της απάτης:Μέθοδοι, τεχνικές, διαδικασίες, πολιτικές.• Σύστημα αξιολόγησης των υπηρεσιών.• Διοίκηση αποδοτικότητας: Συστήματος, μετρική.• Διοίκηση προσωπικού και αξιολόγηση: Συστήματος, μετρική.

Διακυβέρνηση πληροφορικής

• Λειτουργικό μοντέλο κέντρου πληροφορικής: Εξωτερικοί παράγοντες, αγορά, συνεργασίες, υπηρεσίες, πελάτες, λειτουργίες, δήλωση αποστολής/οράματος, δημόσιες σχέσεις, καινοτομία, marketing, διοίκηση ρίσκων.• Στρατηγική διοίκηση: Balanced scorecard πληροφορικής, άλλα μοντέλα.• Σύστημα εσωτερικού ελέγχου πληροφορικής: Πρότυπα, πολιτικές, μέθοδοι, επιχειρησιακές διαδικασίες.• Σύστημα αξιολόγησης των υπηρεσιών πληροφορικής.• Ωριμότητα οργανισμού σε πληροφοριακά θέματα. • Θέματα διοίκησης προσωπικού / Πολιτική.• Αξιολόγηση της λειτουργίας της Διεύθυνσης Πληροφορικής.• Διοίκηση εγκαταστάσεων από τρίτους.• Αρχιτεκτονική / Υποδομή πληροφορικής.• Στρατηγική διοίκηση χαρτοφυλακίου εφαρμογών.

Διεθνείς οργανισμοί / Ευρωπαϊκή

Ένωση• Σύνδεση με συστήματα πληροφορικής

• Ερευνητικά έργα

Θέματα τεχνολογίας πληροφορικής Οργάνωση πληροφορικής (ΙΤ organization & administration)

• Οργάνωση Διεύθυνσης / Τμήματος Πληροφορικής• Επιχειρησιακό σχέδιο εταιρείας και γενικού διευθυντή πληροφορικής• Προϋπολογισμός / Κοστολόγηση• Αναφορές διοίκησης• Παρακολούθηση της αποδοτικότητας• Σχεδιασμός της δυναμικότητας του υπολογιστικού συστήματος• Διοίκηση της αποδοτικότητας των υπηρεσιών πληροφορικής• Διαχείριση παγίων• Διοίκηση έργων (project management)• Διοίκηση προβλημάτων• Αναφορές ελέγχων• Προμήθεια συστημάτων πληροφορικής• Συμφωνίες υπηρεσιών πελατών• Διοίκηση προμηθευτών (vendor management)• Διοίκηση συμβολαίων• Ανάλυση οικονομικής σταθερότητας• Ασφάλιση υπολογιστών

Στρατηγική πληροφορικής

• Επεξεργασία στρατηγικής

• Στρατηγική διοίκηση

• Στρατηγική ηλεκτρονικής ανταλλαγής δεδομένων (EDI strategy)

• Σχεδιασμός για το ευρώ

Ασφάλεια συστημάτων

• Διοίκηση των θεμάτων της ασφάλειας πληροφοριών• Πολιτική ασφάλειας πληροφοριών• Ασφάλεια εξοπλισμού• Έλεγχος μαγνητικών μέσων• Ασφάλεια φυσικής πρόσβασης• Λειτουργικό σύστημα και βάσεις δεδομένων εφαρμογών• Δίκτυα• Κανόνες ηθικής προσωπικού πληροφορικής, χρηστών• Έλεγχοι σε δεδομένα και αρχεία• Κανόνες προστασίας δεδομένων• Σύστημα κατηγοριοποίησης δεδομένων

Σχεδιασμός εκτάκτων αναγκών (contingency planning)

• Προκαταρκτικός σχεδιασμός για κρίσιμες εφαρμογές

• Καθορισμός εναλλακτικών τρόπων λειτουργίας του υπολογιστικού κέντρου

• Παραδοτέα του σχεδίου αντιμετώπισης εκτάκτων αναγκών

• Έλεγχος σύμβασης αρχειοθέτησης / φύλαξης αντιγράφων πληροφοριακών αρχείων και πηγαίου κώδικα εφαρμογών από τρίτη, διαπιστωμένη οντότητα, π.χ. τράπεζα

• Επισκόπηση εναλλακτικών εγκαταστάσεων υπολογιστικών κέντρων

• Επισκόπηση εναλλακτικών προμηθευτών πληροφορικής

Αρχειοθέτηση αντιγράφων δεδομένων & λογισμικού συστημάτων πληροφορικής (software & computerised data – back up process)

• Επισκόπηση πολιτικής αντιγραφής & αρχειοθέτησης

• Επισκόπηση διαδικασίας εξασφάλισης ενδοκτιριακής πυρασφαλούς αποθήκης αρχειοθέτησης

• Επισκόπηση διαδικασίας εξασφάλισης πυρασφαλούς αποθήκης αρχειοθέτησης σε άλλο, ασφαλές κτίριο

• Επισκόπηση σχεδίου ελέγχου ανάκτησης δεδομένων και λογισμικού

• Ανακύκλωση μέσων αντιγραφής δεδομένων

• Ανακύκλωση μέσων αντιγραφής λογισμικού

Νομικά θέματα

• Legislation review (Επισκόπηση νομοθεσίας)

• Licenses review (Επισκόπηση αδειών λογισμικού)

Έλεγχος περιβάλλοντος εργασίας

• Επισκόπηση πολιτικής για την προστασία από πυρκαγιά

• Επισκόπηση νομοθεσίας για την υγεία και την προστασία

• Επισκόπηση ελέγχων για την υγεία και την προστασία (για προσωπικό, εξοπλισμό, μέσα, τεκμηρίωση)

Ανάπτυξη και συντήρηση συστημάτων (system development & maintenance)

• Επισκόπηση πολιτικών διοίκησης• Επισκόπηση προτύπων και μεθοδολογιών• Επισκόπηση προδιαγραφών λογισμικού• Διαδικασίες διόρθωσης λαθών• Αξιολόγηση έτοιμων πακέτων λογισμικού• Συντήρηση βιβλιοθήκης προγραμμάτων• Δοκιμές προγραμμάτων και συστήματος• Επισκόπηση τεκμηρίωσης χρηστών• Επισκόπηση τεκμηρίωσης συστήματος• Επισκόπηση διαδικασιών έκτακτων γεγονότων• Επισκόπηση πολιτικής διατήρησης των δεδομένων εφαρμογών• Επισκόπηση σχεδίων εκπαίδευσης• Επισκόπηση αρχείου ελέγχου κινήσεων• Επισκόπηση σχεδίων μετατροπής δεδομένων

Διοίκηση υπολογιστικού κέντρου (data center operations)

• Επισκόπηση προτύπων λειτουργίας

• Επισκόπηση μητρώου λειτουργιών

• Επισκόπηση αναλώσιμων

• Εκτύπωση μαζικών / ευαίσθητων αναφορών

• Έλεγχος βιβλιοθήκης μέσων

• Έλεγχος πρόσβασης μέσων

Συντήρηση λειτουργικού συστήματος (systems software maintenance)

• Επισκόπηση απογραφής περιουσιακών στοιχείων λογισμικού

• Επισκόπηση συμβολαίων συντήρησης

• Συντήρηση βιβλιοθήκης προγραμμάτων

• Επίλυση προβλημάτων

• Επισκόπηση ασφάλειας

• Επισκόπηση τεκμηρίωσης συστήματος

• Αξιολόγηση διαχωρισμού καθηκόντων

• Παρακολούθηση αποδοτικότητας

Διαχείριση δεδομένων και τράπεζας πληροφοριών (data& database management)

• Σκοπός της διαχείρισης δεδομένων: Αναγνώριση, ταξινόμηση, κυριότητα, διανομή, προστασία, ακεραιότητα

• Επισκόπηση ελέγχων: Διοίκηση, μοντέλο εταιρικών δεδομένων, μεθοδολογία συλλογής και διαχείρισης τράπεζας δεδομένων, συγχρονισμός αρχείων δεδομένων

• Αξιολόγηση: Μοντελοποίηση δεδομένων, διαδικασίες βάσεων δεδομένων, ασφάλεια, προσωπικό διαχείρισης τράπεζας δεδομένων, εκπαίδευση χρηστών, παρακολούθηση αποδοτικότητας, ακεραιότητα βάσης δεδομένων

Προσωπικοί υπολογιστές (personal computers)

• Έλεγχος διοίκησης και επισκόπηση διαδικασιών• Επισκόπηση ασφάλειας• Έλεγχος τεχνικής υποστήριξης• Έλεγχος ανάπτυξης λογισμικού• Επισκόπηση υποστήριξης εφαρμογών γραφείου

Υποστήριξη χρηστών (user support)

• Αξιολόγηση ικανοποίησης χρηστών• Υποστήριξη Γραφείου Βοηθείας• Επισκόπηση αντιγραφής δεδομένων

Τηλεπικοινωνίες και δίκτυα δεδομένων (telecommunications & networking)

• Στρατηγικός σχεδιασμός και επισκόπηση σχεδίου

• Επισκόπηση ασφάλειας δικτύου

• Επισκόπηση συμβολαίου συντήρησης

• Επίλυση προβλημάτων και υποστήριξη

• Διοίκηση αλλαγών και αποδοτικότητας

(Application controls & testing) Δοκιμές εφαρμογών συστημάτων

• Αξιολόγηση ελέγχων επεξεργασίας

• Επισκόπηση αρχείου ελέγχου κινήσεων

• Επισκόπηση ελέγχων ακεραιότητας δεδομένων

• Επισκόπηση ελέγχων ακεραιότητας σχετικών με εφαρμογές: Εγκυρότητα στοιχείων δεδομένων, εγκυρότητα αρχείων, αρχείο ελέγχου κινήσεων, μετάδοση δικτύου, παράλληλη ενημέρωση, εφικτότητα, ποιότητα

• Συνέχιση της αδιάλειπτης λειτουργίας εφαρμογών

• Δοκιμές συναλλαγών