Vísbending - 30.01.1998, Blaðsíða 2
ISBENDING
Endurskoðun á upplýsingakerfum
Ragnar Þ. Guðgeirsson
löggiltur endurskoðandi
Samhliða aukinni tölvuvæðingu og
sjálfvirkni í skráningu fjárhagsupp-
lýsinga hefur orðið til sérstakt
starfssvið meðal endurskoðenda sem
lengst af hefur verið nefnt tölvuendur-
skoðun. Flestar alþjóðlegar endurskoð-
unarskrifstofur hal'a rekið einhvers konar
tölvudeildir (Electronic Data Processing,
EDP) sem hafa haft með höndum alla
þjónuslu sem við kemur tölvumálum.
Þessum deildum hefur nú almennt verið
skipt upp í eftirlit með öryggi upplýsinga
(Information Risk Control, ÍRC) annars
vegar og hins vegar ráðgjöf á sviði upp-
lýsingatækni (Information Technology,
IT). Það sem verður gert að umtalsefni
hér er hvaða atriði eru skoðuð við úttekt
á öryggismálum upplýsingakerfa (IRC).
Eins og þessi hugtök bera með sér hefur
áherslan færst frá tölvukerfum eingöngu
yfir í upplýsingakerfi almennt. Astæðan
er að undir þcssa nýju skilgreiningu l'alla
bæði fleiri tegundir vélbúnaðar og hug-
búnaðar, ásamt þeim reglum sem almennt
gilda unt meðferð og drcifingu upplýs-
inga, hvort sem um eraðræða í tölvutæku
formi eða á pappír. Tengingar við utan-
aðkomandi aðilaog sendingar upplýsinga
út úr fyrirtækjum l'alla einnig undir þetta
hugtak.
Úttekt á upplýsinga-
kerfum
Þeim alriðum sem koma til skoðunar
við úttekt á upplýsingakerfum má
skipta í sex meginflokka
Aðgangur
og
öryggismál
Stefnumótun
í upplýsinga-
tækni
Niðurstöður
um mat á
upplýsingakerfi
Vinnsla og
kerfislýsingar
Almenn citriði og
lagarammi
j’arið er yfir hvort aðilar utan fyrirtæk-
isins annast umsjón með kerfuni og
h vort vinnsla upplýsinga fer að einhverju
leyti fram hjá öðrum.
Ef ekki er til kort af upplýsingakerfinu er
það kortlagt í grófum dráttum þannig að
auðveldara sé að fjalla um einstaka hluta
þess og hvar veikleikar eða sty rkur liggur.
Kannað erhvernig samningum við birgja
er háttað og hvernig try ggingavernd fyrir-
tækisins er með tillili til vélþúnaðar, hug-
búnaðar og tjóns á upplýsingunt.
Hluti af skoðuninni felst í því að kanna
h vort upplýsi ngakerfið og meðferð gagna
uppfylli ákvæði laga um bókhald, upp-
lýsingalaga eða annarra laga sem við eiga.
Stefnumótun í upplýs-
ingatœkni
Kannað er hvort l'yrir liggur skril'leg
stefna í upplýsingatækni hjá fyrir-
tækinu og hvort settar hafa verið skrif-
legar öryggisreglur. Farið er yfir aðferðir
sern nolaðar eru við að framl'ylgja stefn-
unni og hvernig eftirliti er háttað. I fram-
haldi af því er athugað hvort áhættumat
fer reglulega fram innan fyrirtækisins.
Skipulag og stjórnun
Stjórnskipulag fyrirtækisins er skoðað
og hvernig deildaskipting er frá sjón-
arhóli innra eftirlits. í því sambandi er
verkaskipting könnuð og starfslýsingar
einstakra starfsmanna. I fyrirtækjum sem
vinna með viðkvæmar upplýsingar er
gerð athugun áhvort starfsmennhafi und-
irritað þagnareið og auk þess eru ráðn-
ingarsamningar lykilstarfsmanna skoð-
aðir.
Reynt er að kortleggja hverjir bera ábyrgð
á einstökum þáttum upplýsingakerfanna
og hvernig eflirliti með starfsfólki tölvu-
deilda er háttað. Lagt er mat á þekkingu
starfsmanna og endurmenntun og metið
hvort áhætta sé tekin með of miklu vinnu-
álagi á einstaka starfsmenn.
I fyrirtækjumeralgengtaðákveðnirstarfs-
menn sent vinna að tölvumálum eða öðr-
um einstökum þáttum upplýsingakerfa
verði nær ómissandi. I úttekt sem þessari
er reynt að koma auga á hvort slíkt ástand
er til staðar og hvemig fyrirtækið hefur
varið sig fyrir vandræðum sem kunna að
verða við forlöll slíks starfsmanns.
Þróun og viðhald
Gengið cr úr skugga um hvort þróun
og viðhald kerfa sé í samræmi við
skrillegar vinnureglur. I slíkum reglum
þarf að koma fram hvernig ákvarðanir
eru teknar, hvaðareglurgilda um prófanir
og hvaða skilyrði þarf að uppfylla fyrir
gangsetningu á nýjum eða breyttum bún-
aði. 1 öllum fyrirtækjum, sem eru aðmiklu
leyti háð upplýsingakerfum þarf að vera
til staðar neyðaráætlun og er lagt mat á
liana. Þrátt fyrir að neyðaráætlun sé til
staðarerekki vístaðhúnhafi veriðprófuð
og er það jafnframt kannað.
Vinnsla og kerfislýsingar
Gerðar eru athuganir á eftirliti með
vinnslu og hvort kerfislýsingar liggi
fyrir á hverjum tíma. Farið er yfir skrán-
ingu á vandamálum sem upp koma í
tengslum við kerfið og hvort haldið er
utan um úrvinnslu þeirra. Þá er kannað
hvort til eru reglur um meðferð upplýs-
inga og dreifingu á skýrslum, hvort sem
um er að ræða innan húss eða utan.
Ástand handbóka og gátlista tölvumanna
er kannað og hvernig þeim er haldið við.
Aðgangur og önnur
öryggisatriði
Síðast en ekki síst er mikilvægt að yfir-
faraaðgangsheimildirstarfsmannaog
viðskiptamanna ásamt reglum sem gilda
um lykilorð. Þá þarf að skoða skilgrein-
ingar á eignarhaldi kerfa og upplýsinga.
Önnur mikilvæg öryggisatriði sem má
nel'na eru umhverl'isöryggi, afritun, vír-
usaleit og annað sem snertir öry ggi gagna.
Eitt af þeirn atriðum sem litið er til í út-
tekt á öryggismálum er hvað fyrirtækið
getur gert lil að konta í veg fyrir vanda-
mál tengd ártalinu 2000 í vél- og hug-
búnaði. Svo virðist sem umræða um þau
mál sé skammt á veg komin en búast má
við að hún verði háværari eftir því sem
nær dregur aldamótunum.
Horfur á næstu árum
s
Asíðustu árum hefur hraði við úr-
vinnslufjárhagsupplýsingastórauk-
ist. Kröfur um að ársreikningarfyrirtækja
liggi fyrir sem næst lokum reikningsárs
eru að aukast og eru þær kröfur raunar
eðlilegar þar sem tæknin eykst sífellt.
Stjórnendur fyrirtækja vilja nota nýjar
upplýsingar sem stjórntæki og fjárfestar
til ákvarðanatöku, eins og umræðan um
upplýsingagjöf fyrirtækja á Verðbréfa-
þingi Islands ber merki.
Samhliða þessari þróun kemur starf end-
urskoðandans í auknum rnæli til með að
færast yfir í athuganir á því að upplýsinga-
kerfin vinni eins og þau eiga að gera. Ein
aðalforsendan fyrir því að slík endurskoð-
un sé möguleg er að vinnubrögð innan
fyrirtækjanna séu öguð eins og fram kem-
ur í upptalningunni hér að framan. Stefna
þarf að því að íslensk fyrirtæki tileinki
sér slík vinnubrögð.
2