ISBENDING Endurskoðun á upplýsingakerfum Ragnar Þ. Guðgeirsson löggiltur endurskoðandi Samhliða aukinni tölvuvæðingu og sjálfvirkni í skráningu fjárhagsupp- lýsinga hefur orðið til sérstakt starfssvið meðal endurskoðenda sem lengst af hefur verið nefnt tölvuendur- skoðun. Flestar alþjóðlegar endurskoð- unarskrifstofur hal'a rekið einhvers konar tölvudeildir (Electronic Data Processing, EDP) sem hafa haft með höndum alla þjónuslu sem við kemur tölvumálum. Þessum deildum hefur nú almennt verið skipt upp í eftirlit með öryggi upplýsinga (Information Risk Control, ÍRC) annars vegar og hins vegar ráðgjöf á sviði upp- lýsingatækni (Information Technology, IT). Það sem verður gert að umtalsefni hér er hvaða atriði eru skoðuð við úttekt á öryggismálum upplýsingakerfa (IRC). Eins og þessi hugtök bera með sér hefur áherslan færst frá tölvukerfum eingöngu yfir í upplýsingakerfi almennt. Astæðan er að undir þcssa nýju skilgreiningu l'alla bæði fleiri tegundir vélbúnaðar og hug- búnaðar, ásamt þeim reglum sem almennt gilda unt meðferð og drcifingu upplýs- inga, hvort sem um eraðræða í tölvutæku formi eða á pappír. Tengingar við utan- aðkomandi aðilaog sendingar upplýsinga út úr fyrirtækjum l'alla einnig undir þetta hugtak. Úttekt á upplýsinga- kerfum Þeim alriðum sem koma til skoðunar við úttekt á upplýsingakerfum má skipta í sex meginflokka Aðgangur og öryggismál Stefnumótun í upplýsinga- tækni Niðurstöður um mat á upplýsingakerfi Vinnsla og kerfislýsingar Almenn citriði og lagarammi j’arið er yfir hvort aðilar utan fyrirtæk- isins annast umsjón með kerfuni og h vort vinnsla upplýsinga fer að einhverju leyti fram hjá öðrum. Ef ekki er til kort af upplýsingakerfinu er það kortlagt í grófum dráttum þannig að auðveldara sé að fjalla um einstaka hluta þess og hvar veikleikar eða sty rkur liggur. Kannað erhvernig samningum við birgja er háttað og hvernig try ggingavernd fyrir- tækisins er með tillili til vélþúnaðar, hug- búnaðar og tjóns á upplýsingunt. Hluti af skoðuninni felst í því að kanna h vort upplýsi ngakerfið og meðferð gagna uppfylli ákvæði laga um bókhald, upp- lýsingalaga eða annarra laga sem við eiga. Stefnumótun í upplýs- ingatœkni Kannað er hvort l'yrir liggur skril'leg stefna í upplýsingatækni hjá fyrir- tækinu og hvort settar hafa verið skrif- legar öryggisreglur. Farið er yfir aðferðir sern nolaðar eru við að framl'ylgja stefn- unni og hvernig eftirliti er háttað. I fram- haldi af því er athugað hvort áhættumat fer reglulega fram innan fyrirtækisins. Skipulag og stjórnun Stjórnskipulag fyrirtækisins er skoðað og hvernig deildaskipting er frá sjón- arhóli innra eftirlits. í því sambandi er verkaskipting könnuð og starfslýsingar einstakra starfsmanna. I fyrirtækjum sem vinna með viðkvæmar upplýsingar er gerð athugun áhvort starfsmennhafi und- irritað þagnareið og auk þess eru ráðn- ingarsamningar lykilstarfsmanna skoð- aðir. Reynt er að kortleggja hverjir bera ábyrgð á einstökum þáttum upplýsingakerfanna og hvernig eflirliti með starfsfólki tölvu- deilda er háttað. Lagt er mat á þekkingu starfsmanna og endurmenntun og metið hvort áhætta sé tekin með of miklu vinnu- álagi á einstaka starfsmenn. I fyrirtækjumeralgengtaðákveðnirstarfs- menn sent vinna að tölvumálum eða öðr- um einstökum þáttum upplýsingakerfa verði nær ómissandi. I úttekt sem þessari er reynt að koma auga á hvort slíkt ástand er til staðar og hvemig fyrirtækið hefur varið sig fyrir vandræðum sem kunna að verða við forlöll slíks starfsmanns. Þróun og viðhald Gengið cr úr skugga um hvort þróun og viðhald kerfa sé í samræmi við skrillegar vinnureglur. I slíkum reglum þarf að koma fram hvernig ákvarðanir eru teknar, hvaðareglurgilda um prófanir og hvaða skilyrði þarf að uppfylla fyrir gangsetningu á nýjum eða breyttum bún- aði. 1 öllum fyrirtækjum, sem eru aðmiklu leyti háð upplýsingakerfum þarf að vera til staðar neyðaráætlun og er lagt mat á liana. Þrátt fyrir að neyðaráætlun sé til staðarerekki vístaðhúnhafi veriðprófuð og er það jafnframt kannað. Vinnsla og kerfislýsingar Gerðar eru athuganir á eftirliti með vinnslu og hvort kerfislýsingar liggi fyrir á hverjum tíma. Farið er yfir skrán- ingu á vandamálum sem upp koma í tengslum við kerfið og hvort haldið er utan um úrvinnslu þeirra. Þá er kannað hvort til eru reglur um meðferð upplýs- inga og dreifingu á skýrslum, hvort sem um er að ræða innan húss eða utan. Ástand handbóka og gátlista tölvumanna er kannað og hvernig þeim er haldið við. Aðgangur og önnur öryggisatriði Síðast en ekki síst er mikilvægt að yfir- faraaðgangsheimildirstarfsmannaog viðskiptamanna ásamt reglum sem gilda um lykilorð. Þá þarf að skoða skilgrein- ingar á eignarhaldi kerfa og upplýsinga. Önnur mikilvæg öryggisatriði sem má nel'na eru umhverl'isöryggi, afritun, vír- usaleit og annað sem snertir öry ggi gagna. Eitt af þeirn atriðum sem litið er til í út- tekt á öryggismálum er hvað fyrirtækið getur gert lil að konta í veg fyrir vanda- mál tengd ártalinu 2000 í vél- og hug- búnaði. Svo virðist sem umræða um þau mál sé skammt á veg komin en búast má við að hún verði háværari eftir því sem nær dregur aldamótunum. Horfur á næstu árum s Asíðustu árum hefur hraði við úr- vinnslufjárhagsupplýsingastórauk- ist. Kröfur um að ársreikningarfyrirtækja liggi fyrir sem næst lokum reikningsárs eru að aukast og eru þær kröfur raunar eðlilegar þar sem tæknin eykst sífellt. Stjórnendur fyrirtækja vilja nota nýjar upplýsingar sem stjórntæki og fjárfestar til ákvarðanatöku, eins og umræðan um upplýsingagjöf fyrirtækja á Verðbréfa- þingi Islands ber merki. Samhliða þessari þróun kemur starf end- urskoðandans í auknum rnæli til með að færast yfir í athuganir á því að upplýsinga- kerfin vinni eins og þau eiga að gera. Ein aðalforsendan fyrir því að slík endurskoð- un sé möguleg er að vinnubrögð innan fyrirtækjanna séu öguð eins og fram kem- ur í upptalningunni hér að framan. Stefna þarf að því að íslensk fyrirtæki tileinki sér slík vinnubrögð. 2

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4