Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Ελεγκτική Πληροφοριακών Συστημάτων Σωκράτης Κ. Κάτσικας.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Ελεγκτική Πληροφοριακών Συστημάτων Σωκράτης Κ. Κάτσικας."— Μεταγράφημα παρουσίασης:

1 Ελεγκτική Πληροφοριακών Συστημάτων Σωκράτης Κ. Κάτσικας

2 2 Πληροφοριακά Συστήματα (ΠΣ) 4 ΠΣ: ένα οργανωμένο σύστημα από 5 στοιχεία (Ανθρώπινο Δυναμικό, Υλικό, Λογισμικό, Δεδομένα και Διαδικασίες) που αλληλεπιδρούν μεταξύ τους και με το περιβάλλον, με σκοπό την παραγωγή και διαχείριση πληροφορίας για την υποστήριξη ανθρώπινων δραστηριοτήτων στα πλαίσια του οργανισμού.

3 3 Δομή και Λειτουργία ΠΣ 4 Βασίζεται σε αιτιοκρατικές αρχές λειτουργίας 4 Οι προδιαγραφές (requirements) και οι στόχοι (objectives) λειτουργίας του είναι προκαθορισμένοι - Εξ ορισμού ατελής σχεδίαση, υλοποίηση και λειτουργία - Αποκλίσεις ανάμεσα σε προβλεπόμενα και πραγματικά αποτελέσματα του ΠΣ

4 4 Ρόλος Ελεγκτικής ΠΣ 4 Εντοπισμός των αποκλίσεων (αποδεκτών και μη) 4 Εντοπισμός των αιτίων που προκαλούν τις αποκλίσεις 4 Διατύπωση προτάσεων (recommendations) για λήψη μέτρων

5 5 Στάδια Ελέγχου ΠΣ 4 Είσοδος –συλλογή πληροφοριακών στοιχείων (evidence) που παράγονται από το ΠΣ 4 Επεξεργασία –Εύρημα (finding) και Επίπτωση (impact) 4 Έξοδος –Πρόταση για βελτίωση (recommendation)

6 6 Αντικείμενο ελέγχου 4 Αξιοπιστία και αποδοτικότητα ΠΣ 4 Διαχείριση ανάπτυξης ΠΣ 4 Διαχείριση ανάπτυξης εφαρμογών 4 Διαχείριση δεδομένων ΠΣ 4 Διαχείριση τεκμηρίωσης ΠΣ

7 7 Ελεγκτική Ασφάλειας ΠΣ 4 Προστασία των θεμελιωδών εννοιών –Ακεραιότητα, –Εμπιστευτικότητα –Διαθεσιμότητα 4 Ιδιωτικότητα Προσωπικών Δεδομένων 4 Οπτική γωνία του ελέγχου (Audit Context) 4 Συνδυασμός εννοιών από –Πληροφορική –Παραδοσιακή Ελεγκτική –Διοίκηση Πληροφοριακών Συστημάτων –Επιστήμες της Ανθρώπινης Συμπεριφοράς

8 8 Βασικές Έννοιες Ελέγχου ΠΣ (1/3) 4 Δομές Ελέγχου (Control Structures) 4 Τεκμηρίωση (Documentation) 4 Πληροφοριακά αγαθά (assets) 4 Έλεγχος (Control/Audit/Test/Check) –Control –Audit –Test –Check 4 Ελεγκτική ΠΣ (IS Auditing)

9 9 Βασικές Έννοιες Ελέγχου ΠΣ (2/3) 4 Εξωτερικός Έλεγχος (External Audit) 4 Εσωτερικός Έλεγχος (Internal Audit) –Νομοθετικό πλαίσιο (Ν. 3016/2002) 4 Επίπεδο Κινδύνου (Risk Level) 4 Έκταση / Εύρος Ελέγχου (Scope of Audit)

10 10 Βασικές Έννοιες Ελέγχου ΠΣ (3/3) 4 Πρότυπα (Standards) –Προδιαγεγραμμένα επίπεδα απόδοσης του ΠΣ –Πρότυπα Ελέγχου ΠΣ (IS Auditing Standards) 4 Οδηγίες Εφαρμογής (Guidelines) 4 Διαδικασίες (Procedures) 4 Βέλτιστες Πρακτικές (Best Practices)

11 11 Σημασία του Ελέγχου ΠΣ 4 Κόστος από ανασφαλή λήψη αποφάσεων 4 Κόστος από απώλεια των δεδομένων 4 Κόστος από αναποτελεσματική χρήση του ΠΣ 4 Κόστος από κατάχρηση του ΠΣ 4 Κόστος από απώλεια Εμπιστευτικότητας και Ιδιωτικότητας Δεδομένων 4 Κόστος από εσφαλμένη λειτουργία του ΠΣ

12 12 Χαρακτηριστικά του Ελέγχου ΠΣ 4 Ατελή μέσα μέτρησης –Απόδοσης ΠΣ –Καταλληλότητας μέσων ελέγχου 4 Εύλογο Επίπεδο Διασφάλισης (Reasonable Assurance Level) 4 Ανάλυση Κόστους / Ωφέλειας (Cost/Benefit Analysis)

13 13 Οργάνωση του Ελέγχου ΠΣ 4 Καταστατικός Χάρτης Ελέγχου ΠΣ (IS Audit Charter) –Υπευθυνότητες και σκοποί της Διοίκησης –Εξουσιοδοτήσεις προς άλλα τμήματα του οργανισμού (delegation) 4 Επιτροπή Ελέγχου (Audit Committee) 4 Διαχείριση ελεγκτικών πόρων

14 14 Σχεδιασμός Ελέγχου ΠΣ (1/5) 4 Βραχυπρόθεσμος και μακροπρόθεσμος 4 Πλάνο Ελέγχου (ΠΕ) –Απαιτούμενες ενέργειες ελέγχου –Χρονοδιάγραμμα ενεργειών –Οικονομικά στοιχεία –Επιπτώσεις στον οργανισμό από τον έλεγχο –Εξαιρέσεις –Αναδρομική δομή

15 15 Σχεδιασμός Ελέγχου ΠΣ (2/5) 4 Ανάπτυξη Πλάνου Ελέγχου –Στόχοι ελέγχου –Τεχνολογική υποδομή –Ρόλος και σημασία του αντικειμένου του ελέγχου για τον Οργανισμό –Ανάλυση Επικινδυνότητας –Νομικό και Κανονιστικό Πλαίσιο –Χρονικές προθεσμίες για την υλοποίηση ΠΣ –Τρέχουσες τεχνολογίες και τάσεις πληροφορικής –Περιορισμοί των πληροφοριακών πόρων –Γνώση του περιβάλλοντος ΠΣ και του τομέα (industry)

16 16 Σχεδιασμός Ελέγχου ΠΣ (3/5) 4 ΠΕ – Κρίσιμοι Παράγοντες Επιτυχίας –Σκοπός λειτουργίας του ΠΣ (IS business purpose) Επισκέψεις στις εγκαταστάσεις Εκδόσεις του χώρου δραστηριοποίησης Ετήσιες αναφορές Μακροπρόθεσμα στρατηγικά πλάνα Συνεντεύξεις με ανώτερα στελέχη Αποτελέσματα παρελθόντων ελέγχων –Λειτουργίες που υλοποιεί το ΠΣ –Χρησιμοποιούμενες τεχνολογίες –Ανάλυση επικινδυνότητας –Επισκόπηση των μηχανισμών ελέγχου –Καθορισμός εύρους και στόχων ελέγχου –Διαμόρφωση στρατηγικής ελέγχου –Κατανομή των ελεγκτικών πόρων

17 17 Σχεδιασμός Ελέγχου ΠΣ (4/5) 4 Έκταση και Χαρακτήρας Ελέγχου –Κάθετος – σε συγκεκριμένο αντικείμενο ελέγχου (π.χ. επιχειρησιακή λειτουργία μισθοδοσίας) –Οριζόντιος – σύνολο αντικειμένων ελέγχου, με συγκεκριμένο επίπεδο λεπτομέρειας (π.χ. έλεγχος των διαδικασιών ασφάλειας του οργανισμού) –Υβριδικός

18 18 Σχεδιασμός Ελέγχου ΠΣ (5/5) 4 Νομικά και Κανονιστικά θέματα –Εξωτερικές απαιτήσεις Πρακτικές και μηχανισμοί ελέγχου ΠΣ Τρόπος αποθήκευσης υπολογιστών, λογισμικού και δεδομένων Οργάνωση και δραστηριότητες του ΠΣ –Νομικό / Κανονιστικό πλαίσιο διαχείρισης εγγράφων –Διερεύνηση βαθμού συμμόρφωσης του οργανισμού –Διερεύνηση βαθμού αποτελεσματικότητας των διαδικασιών κατά την καθημερινή λειτουργία του ΠΣ

19 19 Κίνδυνοι και Ανάλυση Επικινδυνότητας 4 Κίνδυνος (risk): διαφορετική έννοια σε διαφορετικά περιβάλλοντα 4 “Η δυνατότητα μιας δεδομένης απειλής να εκμεταλλευτεί ευπάθειες σε ένα αγαθό ή ομάδα αυτών με συνέπεια πρόκληση απώλειας ή ζημιάς στα αγαθά. Η επίπτωση ή σχετική σοβαρότητα του κινδύνου είναι ανάλογη με την επιχειρησιακή αξία της απώλειας / ζημιάς και την εκτιμώμενη πιθανότητα εκδήλωσης της απειλής.” [ISO /IEC TR , 1996]

20 20 Διαχείριση Κινδύνων 4 Άμβλυνση των κινδύνων με την εφαρμογή των μηχανισμών ελέγχου 4 Αξιολόγηση του επιπέδου ασφάλειας 4 Ανάλυση επικινδυνότητας –Εντοπισμός των Αντικείμενων Ελέγχου –Επιλογή Ελεγκτικών Στόχων –Κατάρτιση Προγραμμάτων Ελέγχου

21 21 Ελεγκτική ΠΣ και Ανάλυση Επικινδυνότητας 4 Αποτελεσματική αποτύπωση του ΠΣ 4 Αποτελεσματική κατανομή των περιορισμένων ελεγκτικών πόρων 4 Σύνδεση του συγκεκριμένου αντικειμένου ελέγχου με τον οργανισμό 4 Αφετηρία για αποτελεσματική διαχείριση του τμήματος Εσωτερικού Ελέγχου

22 22 Μηχανισμοί Ελέγχου ΠΣ (1/2) 4 Μέσα εύλογης διαβεβαίωσης επίτευξης των επιχειρησιακών στόχων 4 Διακρίνονται σε: –Πολιτικές –Διαδικασίες –Πρακτικές –Οργανωσιακές Δομές

23 23 Μηχανισμοί Ελέγχου ΠΣ (2/2) 4 Ποιότητα των Μηχανισμών Ελέγχου –Τύπος (Προληπτικοί, Διαγνωστικοί, Διορθωτικοί) –Βαθμός αυτοματοποίησης –Βαθμός τεκμηρίωσης 4 Τάσεις και εξέλιξη –Εμπέδωση οργανωσιακής κουλτούρας ελέγχου –Συνεχής Έλεγχος ΠΣ (IS Continuous Auditing)

24 24 Στόχοι των Μηχανισμών Ελέγχου 4 Στόχοι ασφάλειας ΠΣ 4 Λειτουργικοί στόχοι 4 Στόχοι συμμόρφωσης 4 Στόχοι ανάκτησης 4 Στόχοι συνέχειας

25 25 Δομικά στοιχεία των Μηχανισμών Ελέγχου ΠΣ 4 Λογιστικοί έλεγχοι –Ασφάλεια των αγαθών του ΠΣ –Αξιοπιστία των οικονομικών εγγραφών 4 Λειτουργικοί έλεγχοι –Καθημερινές λειτουργίες και δραστηριότητες του ΠΣ –Ευθυγράμμιση της λειτουργίας του ΠΣ με τους σκοπούς του οργανισμού 4 Διοικητικοί έλεγχοι –Συμμόρφωση με τις πολιτικές της Διοίκησης –Υποστήριξη των λειτουργικών ελέγχων

26 26 Κύριες Περιοχές Ελέγχου ΠΣ (1/2) 4 Ορισμός και διαχωρισμός Ρόλων και Υπευθυνοτήτων 4 Πολιτική Ασφάλειας Πληροφοριών 4 Διαδικασίες Πρόσληψης και Εκπαίδευσης Προσωπικού σε Επιχειρησιακές Δράσεις 4 Συστήματα Ελέγχου Λογικής Πρόσβασης 4 Συστήματα Ελέγχου Φυσικής Πρόσβασης

27 27 Κύριες Περιοχές Ελέγχου ΠΣ (2/2) 4 Διεξαγωγή ελέγχων του τεχνικού επιπέδου ασφάλειας των (υπο) συστημάτων του ΠΣ 4 Τεκμηρίωση Συστημάτων και Διαδικασιών 4 Διεξαγωγή χαμηλού επίπέδου ελέγχων –Ακεραιότητα των μηχανισμών αναφοράς του ΠΣ –Ακεραιότητα του πυρήνα του Λ.Σ. (kernel) 4 Διεξαγωγή ελέγχων για εξακρίβωση του τεχνικού επιπέδου ασφάλειας των εφαρμογών (applications) του ΠΣ

28 28 Το πλαίσιο Αναφοράς COBIT (1/4) 4 COBIT (Control Objectives for Information and related Technology) 4 De facto πρότυπο 4 Συνδυάζει και συνδέει τους οργανωσιακούς κινδύνους με μηχανισμούς ελέγχου και τεχνικά θέματα υλοποίησης 4 Ένα σύνολο από 34 σκοπούς ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν αντίστοιχες διεργασίες του κύκλου ζωής ενός ΠΣ

29 29 Το πλαίσιο Αναφοράς COBIT (2/4) 4 Σχεδιασμός και Οργάνωση (Planning and Organization) 4 Προμήθεια και Υλοποίηση (Acquisition and Implementation) 4 Παράδοση και Υποστήριξη (Delivery and Support) 4 Έλεγχος και Παρακολούθηση (Monitoring)

30 30 Το πλαίσιο Αναφοράς COBIT (3/4) 4 Εκτελεστική Περίληψη 4 Πλαίσιο Αναφοράς 4 Σκοποί Ελέγχου 4 Οδηγίες Εφαρμογής προς τη Διοίκηση 4 Οδηγίες Εφαρμογής Ελέγχου 4 Εργαλειοθήκη Υλοποίησης

31 31 Το πλαίσιο Αναφοράς COBIT (4/4) 4 Τεχνικά πρότυπα (ISO, EDIFACT) 4 Οδηγίες και κατευθυντήριες γραμμές από την ΕΕ και διεθνείς οργανισμούς (OECD, ISACA) 4 Κριτήρια πιστοποίησης για ΠΣ, προϊόντα και διεργασίες ΠΣ (ITSEC, ISO 9000, TickIT, CC) 4 Διεθνή πρότυπα για εσωτερικό έλεγχο (COSO, IFAC, AICPA) 4 De Facto βέλτιστες πρακτικές 4 Αναπτυσσόμενα πρότυπα και τεχνικές σε ειδικές αγορές και τομείς δραστηριότητας (e-Commerce, τράπεζες, e-Government)

32 32 Βασικές Έννοιες του COBIT 4 Εταιρική Διακυβέρνηση μέσω της Πληροφορικής (IT Governance): Δομή σχέσεων και διεργασιών που καθοδηγεί τον οργανισμό προκειμένου να πετύχει τους οργανωσιακούς του στόχους με χρήση των ΤΠΕ 4 Τέσσερις τομείς (domains) σκοπών ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν τον κύκλο ζωής ενός ΠΣ –Για κάθε τομέα: Διεργασίες Πληροφορικής (IT Processes) Δραστηριότητες (Activities/Tasks)

33 33

34 34 Σκοποί Ελέγχου κατά COBIT (1/2) 4 Πρωτεύων (Primary), όπου ο σκοπός ελέγχου επηρεάζει σε μεγάλο βαθμό τη διεργασία πληροφορικής 4 Δευτερεύων (Secondary), όπου ο σκοπός ελέγχου επηρεάζει τη διεργασία πληροφορικής σε μικρότερο βαθμό 4 Προαιρετικός (Blank), όπου ο σκοπός ελέγχου καλύπτεται από άλλους σκοπούς ελέγχου για τη συγκεκριμένη διεργασία πληροφορικής

35 35 Σκοποί Ελέγχου κατά COBIT (2/2) 4 Ορισμός σκοπών ελέγχου σε υψηλό επίπεδο 4 Επιχειρησιακή ανάγκη που εντάσσεται σε κάποια διεργασία του ΠΣ 4 Σύνδεση σκοπών με εφαρμόσιμους μηχανισμούς ελέγχου 4 Ανεξαρτησία από τεχνικές υλοποιήσεις και λεπτομέρειες 4 Σκοποί ελέγχου σε ειδικά περιβάλλοντα και ΠΣ ενδέχεται να προϋποθέτουν ειδικές παραδοχές 4 Οργάνωση ανά διεργασία/δραστηριότητα ΠΣ

36 36 COBIT – Οδηγίες Εφαρμογής προς τη Διοίκηση 4 Μετρικές, εργαλεία και τεχνικές τα οποία είναι στη διάθεση της Διοίκησης του ΠΣ 4 Μοντέλα Ωριμότητας (Maturity Models) 4 Κρίσιμοι Παράγοντες Επιτυχίας (Critical Success Factors) 4 Κύριοι Δείκτες Στόχων (Key Goal Indicators) 4 Κύριοι Δείκτες Απόδοσης (Key Performance Indicators)

37 37 COBIT – Οδηγίες Εφαρμογής Ελέγχου 4 Διευκόλυνση της εφαρμογής του Πλαισίου Αναφοράς και των γενικών Σκοπών Ελέγχου μέσα από ελεγκτικές διαδικασίες 4 Παροχή μιας δομημένης προσέγγισης όσον αφορά τον έλεγχο και την αποτίμηση μηχανισμών ελέγχου ΠΣ

38 38 COBIT – Εργαλειοθήκη Υλοποίησης 4 Συμπυκνωμένη γνώση και εμπειρία από οργανισμούς οι οποίοι έχουν εφαρμόσει επιτυχώς το πλαίσιο COBIT 4 Διάγνωση Βαθμού Επίγνωσης της Διοίκησης (Management Awareness Diagnostic) 4 Διάγνωση Ελέγχου ΠΣ (IT Control Diagnostic)

39 39 Περιορισμοί και ιδιαιτερότητες του COBIT 4 Απαιτεί αναδιοργάνωση της οπτικής των οντοτήτων του οργανισμού που εμπλέκονται στην εφαρμογή του (key players) 4 Το COBIT είναι ένα πλαίσιο που πρέπει να προσαρμοστεί στον συγκεκριμένο οργανισμό 4 Το COBIT συνιστάται να χρησιμοποιηθεί εκ παραλλήλου με άλλες ελεγκτικές προσεγγίσεις 4 Οι Οδηγίες Εφαρμογής προς τη Διοίκηση είναι γενικές και πρέπει να προσαρμοστούν ανάλογα

40 40 Διαδικασίες Ελέγχου ΠΣ 4 Πολιτικές και πρακτικές οι οποίες έχουν εγκριθεί από τη Διοίκηση 4 Στοχεύουν στην εύλογη διασφάλιση των στόχων ελέγχου 4 Οι διαδικασίες αυτές είναι σκόπιμα γενικές και αφηρημένες 4 Μεταφράζονται σε συγκεκριμένες διαδικασίες ελέγχου, που ποικίλλουν ανάλογα με το πληροφοριακό σύστημα

41 41 Διεξαγωγή Ελέγχου ΠΣ 4 Οικονομικοί έλεγχοι 4 Λειτουργικοί έλεγχοι 4 Ενοποιημένοι έλεγχοι 4 Διοικητικοί έλεγχοι 4 Έλεγχοι Πληροφοριακών Συστημάτων

42 42 Γενικές διαδικασίες ελέγχου ΠΣ 4 Κατανόηση του αντικειμένου του ελέγχου και του περιβάλλοντός του 4 Ανάλυση επικινδυνότητας, γενικό πλάνο ελέγχου και χρονοπρογραμματισμός 4 Λεπτομερές πλάνο ελέγχου 4 Προπαρασκευαστική επισκόπηση του αντικειμένου υπό έλεγχο 4 Αποτίμηση του αντικειμένου υπό έλεγχο 4 Επιλεκτικοί έλεγχοι (tests of controls) 4 Λεπτομερείς έλεγχοι 4 Δημιουργία Αναφοράς Ελέγχου

43 43 Μεθοδολογία Ελέγχου ΠΣ 4 Ένα σύνολο τεκμηριωμένων διαδικασιών ελέγχου, οι οποίες είναι σχεδιασμένες με τρόπον ώστε να ικανοποιούν τους στόχους ελέγχου 4 Καθορισμός της Έκτασης του Ελέγχου 4 Καθορισμός των Στόχων του Ελέγχου 4 Καθορισμός των Προγραμμάτων Ελέγχου

44 44

45 45 Τύποι Προγραμμάτων Ελέγχου 4 Απουσία σαφών ορίων μεταξύ των περιοχών ελέγχου 4 Επίπεδο Επιχειρησιακής Λειτουργίας 4 Επίπεδο Διαδικασιών 4 Επίπεδο Εφαρμογής 4 Επίπεδο Αποθήκης Δεδομένων 4 Επίπεδο Πληροφοριακής Υποδομής

46 46 Περιορισμοί και Κίνδυνοι του Ελέγχου ΠΣ 4 Ελεγκτικός Κίνδυνος (Audit Risk) 4 Εγγενής κίνδυνος (Inherent Risk) 4 Κίνδυνος Μηχανισμού Ελέγχου (Control Risk) 4 Κίνδυνος Διάγνωσης (Detection Risk) 4 Ολικός Ελεγκτικός κίνδυνος (Overall Audit Risk)


Κατέβασμα ppt "Ελεγκτική Πληροφοριακών Συστημάτων Σωκράτης Κ. Κάτσικας."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google