Tölvumál - 01.11.2009, Blaðsíða 33
T Ö L V U M Á L | 3 3
vefviðskipti. Slíkan búnað ætti ekki að taka í notkun bara vegna þess að
hann er „sniðugur“ heldur vegna þess að fyrir liggi að hann styðji við
viðskiptaleg markmið fyrirtækisins. Það er einmitt hlutverk yfirstjórnar
fyrirtækisins að tilgreina hver þau markmið eru og koma þeim markmiðum
til réttra aðila.
Áhættugreining: Það er mjög mikilvægt að hafa heildaryfirlit um öll
tölvukerfi og hugbúnað fyrirtækisins, eins konar upplýsingaeignaskrá ef svo
mætti segja. Þetta er fyrsta skrefið í að leggja mat á mikilvægi viðkomandi
upplýsingaeigna fyrir fyrirtækið og flokka þessar eignir eftir því. Með því
móti er hægt að gera sér betur grein fyrir hverju skal til kosta til að vernda
þessar mikilvægustu eignir. Leggið einnig mat á eðlisáhættu (inherent risk),
hvaða eftirlitsþættir eru til staðar til að lækka þessa áhættu (mitigating
controls) og hvað stendur eftir af áhættu (residual risk) og hvort það sé
ásættanleg áhætta fyrir viðkomandi fyrirtæki. Það verður líka að hafa í
huga að það sem lagt er í að lágmarka áhættu má ekki vera dýrara en sá
kostnaður sem hlytist af því ef það gerðist sem varna skal gegn.
Almennur rekstur tölvukerfa
Það er mikilvægt að kerfisstjóri setji það niður fyrir sér hver sé stefna hans
í rekstri upplýsingakerfa, þ.e.a.s. hvert hann vilji fara, hver markmið hans
séu og hvaða leiðir hann vilji fara til að ná þessum markmiðum. Þessi
markmið eru gjarnan mælanleg og þá þarf líka að vera til staðar búnaður
sem mælir eða skráir með öðrum hætti niður það sem mæla á. Sem dæmi
mætti nefna afritunartökur. Það sé til dæmis stefna fyrirtækisins að eiga
mánaðarafrit af öllum gögnum en dagsafrit af þeim mikilvægustu. Þetta sé
gert með tilteknu afritunarferli sem sé skráð. Þetta ferli sé síðan prófað á
sannarlegan hátt og þær prófanir skráðar.
Sama mætti segja um netkerfi og eldveggi. Setja ætti stefnu á blað, teikna
upp netkerfið og uppfæra þá teikningu reglulega, skrá niður öll atvik og
aðgerðir gegn þeim.
Verkefnastjórnun
Formleg aðferðafræði. Oft er óljóst hver skilin eru á milli verkefnastjórnunar
og breytingastjórnunar. Stundum eru notaðar viðmiðanir eins og hvort
verkefni taki lengri tíma en 60 daga eða kosti meira en eitthvað ákveðið.
Meginatriðið er hins vegar að sé um verkefni að ræða sem telst mikið að
umfangi þá er rétt að nota formlega aðferðarfræði við verkefnastjórnun.
Það eru til nokkrar viðurkenndar aðferðir við verkefnisstjórnun og
mikilvægt er að viðeigandi aðferðafræði sé valin og henni fylgt. Mistök í
verkefnisstjórnun eru mjög kostnaðarsöm bæði í beinhörðum peningum og
í að uppsett kerfi uppfylli ekki þær kröfur og þarfir er til var ætlast. Hérlendis
hafa umfangsbreytingar (scope changes) verið hvað kostnaðarsamastar.
Það gerist til dæmis þegar hugbúnaðarkerfi er falið að takast á við fullt af
nýjum verkefnum á uppsetningartíma sem er svona svipað og gjörbreyta
teikningum af 3 hæð húss þegar búið er að byggja bæði kjallarann
og fyrstu 2 hæðirnar. Slíkar breytingar verða oft og tíðum afskaplega
kostnaðarsamar. Þannig að meginatriðið er að fylgja formlegri aðferðafræði
við verkefnistjórnun, skipa verkefnistjórn, skilgreina tímaramma, gera
kostnaðaráætlun og annað það sem viðkomandi aðferðafræði tiltekur og
halda sig við það.
Breytingastjórnun
Stefna og yfirsýn. Kerfisstjóri skyldi setja upp stefnu varðandi breytingar og
uppfærslur á núverandi hugbúnaði. Breytingastjórnun tekur til atriða eins og
tíðni uppfærslna eða þá yfirleitt uppfærslna á notendahugbúnaði t.d Office
eða undirliggjandi stýrikerfum, fjárhagshugbúnaði, samskiptahugbúnaði
o.s.frv. Hún tekur einnig til vinnuferla við breytingar á hugbúnaði almennt t.d.
hver geti beðið þjónustuaðila um að breyta hugbúnaði, hvernig aðferðafræði
þjónustuaðili eigi að fylgja, hvernig kostnaður er metinn og samþykktur og
svo hvernig prófunum og samþykki skuli háttað. Það er einnig mikilvægt
að gagnaeigendur (business owners) taki þátt í þessu ákvarðanaferli og í
raun samþykki allar breytingar fyrirfram. Það ætti ekki að vera ákvörðun
kerfisstjóra hvort og þá hvenær breytingar á til dæmis fjárhagshugbúnaði
séu gerðar. Breytingar skulu gerðar þegar og ef viðskiptaleg rök hníga
að því en ekki vegna þess að ný útgáfa hugbúnaðarins sé svo „flott“.
Breytingastjórnun snýst því um að setja fram stefnu, setja upp vinnuferli og
geta svo sannað það vinnuferli með skráningu allra breytingabeiðna.
Aðgangur að kerfum
Aðgangsstýringar og gögn: Aðgangur að kerfum og gögnum skyldi
byggjast á tveimur meginþáttum. Í fyrsta lagi að veita aðgang einungis
að því marki sem er nauðsynlegt fyrir viðkomandi starfsmann til að geta
unnið sína vinnu og í öðru lagi þannig að tryggður sé aðskilnaður hlutverka.
Það er því nauðsynlegt fyrir kerfisstjóra og eigendur gagna að setja upp
formlega stefnu í aðgangsstýringarmálum og framfylgja svo þeirri stefnu
með rekjanlegum og sannarlegum hætti. Það er því hluti af þessari stefnu
að allt sé skráð niður varðandi aðgangsheimildir, hvernig þær séu veittar,
hvernig að þeim er breytt og svo þegar þær séu felldar niður. Á hverjum
tíma skyldi vera til greinargott yfirlit um alla starfsmenn, hvaða kerfum
þeir hafa aðgang að, hvaða kerfishluta innan hvers kerfis og hvers konar
heimildir (uppfæra,eyða,breyta). Að viðhalda slíku yfirliti er algjörlega
nauðsynlegt til að sýna fram á skilvirka umsýslu með þessum þætti. Þetta
er einnig sönnun á hinum meginþættinum sem er aðskilnaður hlutverka.
Með aðskilnaði hlutverka er átt við að einn og sami aðili geti ekki stofnað
til fjárhagslegra skuldbindinga eða ráðstafað fjármunum án þess að fyrir
liggjandi sé samþykki hlutaðeigandi ábyrgðaraðila innan fyrirtækisins. Þetta
á oftast við í tilfelli samþykktarferlis reikninga þar sem bókun og greiðsla
reikninga skyldi ávallt vera aðskilin í aðgangsskilgreiningum viðkomandi
fyrirtækis.
Yfirlit
Tölvuendurskoðun er orðin fastur hluti af árlegri endurskoðun hjá flestum
fyrirtækjum og oftar en ekki eru það forstöðumenn upplýsingatæknisviðs sem
þurfa að standa skil á nauðsynlegum upplýsingum til sinna endurskoðenda.
Til þess að flýta þessari vinnu hefur að ofan verið gerð stuttlega grein fyrir
þeim meginatriðum sem endurskoðendur leitast eftir og því sem kerfisstjórar
þurfa að hafa á takteinum til að uppfylla þær kröfur endurskoðenda. Það
má segja að þetta skiptist í tvennt svona í meginatriðum. Setja sér skriflega
stefnu í öllum af ofangreindum 4 málaflokkum og svo framfylgja þeirri
stefnu með sannarlegum hætti. Samningar við hýsingaraðila séu skriflegir,
allar breytinga- og þjónustubeiðnir séu skráðar niður, öll stærri verkefni séu
skráð niður og fylgi ákveðinni aðferðafræði með skriflegum gögnum, allar
aðgangsbeiðnir og niðurfellingar á aðgangsheimildum í öllum kerfum séu
skráðar niður og jafnframt uppfærðar í virku aðgangsstýringayfirliti.
Framkvæmd tölvuendurskoðunar er samkvæmt
tilteknum verkferlum sem miða að því að draga fram þau
atriði sem minnst er á hér að ofan
Sé vilji til þess geta kerfisstjórar eða aðrir þess til bærir
aðilar notað þetta yfirlit til að standa klárir á sínu