T Ö L V U M Á L | 3 3 vefviðskipti. Slíkan búnað ætti ekki að taka í notkun bara vegna þess að hann er „sniðugur“ heldur vegna þess að fyrir liggi að hann styðji við viðskiptaleg markmið fyrirtækisins. Það er einmitt hlutverk yfirstjórnar fyrirtækisins að tilgreina hver þau markmið eru og koma þeim markmiðum til réttra aðila. Áhættugreining: Það er mjög mikilvægt að hafa heildaryfirlit um öll tölvukerfi og hugbúnað fyrirtækisins, eins konar upplýsingaeignaskrá ef svo mætti segja. Þetta er fyrsta skrefið í að leggja mat á mikilvægi viðkomandi upplýsingaeigna fyrir fyrirtækið og flokka þessar eignir eftir því. Með því móti er hægt að gera sér betur grein fyrir hverju skal til kosta til að vernda þessar mikilvægustu eignir. Leggið einnig mat á eðlisáhættu (inherent risk), hvaða eftirlitsþættir eru til staðar til að lækka þessa áhættu (mitigating controls) og hvað stendur eftir af áhættu (residual risk) og hvort það sé ásættanleg áhætta fyrir viðkomandi fyrirtæki. Það verður líka að hafa í huga að það sem lagt er í að lágmarka áhættu má ekki vera dýrara en sá kostnaður sem hlytist af því ef það gerðist sem varna skal gegn. Almennur rekstur tölvukerfa Það er mikilvægt að kerfisstjóri setji það niður fyrir sér hver sé stefna hans í rekstri upplýsingakerfa, þ.e.a.s. hvert hann vilji fara, hver markmið hans séu og hvaða leiðir hann vilji fara til að ná þessum markmiðum. Þessi markmið eru gjarnan mælanleg og þá þarf líka að vera til staðar búnaður sem mælir eða skráir með öðrum hætti niður það sem mæla á. Sem dæmi mætti nefna afritunartökur. Það sé til dæmis stefna fyrirtækisins að eiga mánaðarafrit af öllum gögnum en dagsafrit af þeim mikilvægustu. Þetta sé gert með tilteknu afritunarferli sem sé skráð. Þetta ferli sé síðan prófað á sannarlegan hátt og þær prófanir skráðar. Sama mætti segja um netkerfi og eldveggi. Setja ætti stefnu á blað, teikna upp netkerfið og uppfæra þá teikningu reglulega, skrá niður öll atvik og aðgerðir gegn þeim. Verkefnastjórnun Formleg aðferðafræði. Oft er óljóst hver skilin eru á milli verkefnastjórnunar og breytingastjórnunar. Stundum eru notaðar viðmiðanir eins og hvort verkefni taki lengri tíma en 60 daga eða kosti meira en eitthvað ákveðið. Meginatriðið er hins vegar að sé um verkefni að ræða sem telst mikið að umfangi þá er rétt að nota formlega aðferðarfræði við verkefnastjórnun. Það eru til nokkrar viðurkenndar aðferðir við verkefnisstjórnun og mikilvægt er að viðeigandi aðferðafræði sé valin og henni fylgt. Mistök í verkefnisstjórnun eru mjög kostnaðarsöm bæði í beinhörðum peningum og í að uppsett kerfi uppfylli ekki þær kröfur og þarfir er til var ætlast. Hérlendis hafa umfangsbreytingar (scope changes) verið hvað kostnaðarsamastar. Það gerist til dæmis þegar hugbúnaðarkerfi er falið að takast á við fullt af nýjum verkefnum á uppsetningartíma sem er svona svipað og gjörbreyta teikningum af 3 hæð húss þegar búið er að byggja bæði kjallarann og fyrstu 2 hæðirnar. Slíkar breytingar verða oft og tíðum afskaplega kostnaðarsamar. Þannig að meginatriðið er að fylgja formlegri aðferðafræði við verkefnistjórnun, skipa verkefnistjórn, skilgreina tímaramma, gera kostnaðaráætlun og annað það sem viðkomandi aðferðafræði tiltekur og halda sig við það. Breytingastjórnun Stefna og yfirsýn. Kerfisstjóri skyldi setja upp stefnu varðandi breytingar og uppfærslur á núverandi hugbúnaði. Breytingastjórnun tekur til atriða eins og tíðni uppfærslna eða þá yfirleitt uppfærslna á notendahugbúnaði t.d Office eða undirliggjandi stýrikerfum, fjárhagshugbúnaði, samskiptahugbúnaði o.s.frv. Hún tekur einnig til vinnuferla við breytingar á hugbúnaði almennt t.d. hver geti beðið þjónustuaðila um að breyta hugbúnaði, hvernig aðferðafræði þjónustuaðili eigi að fylgja, hvernig kostnaður er metinn og samþykktur og svo hvernig prófunum og samþykki skuli háttað. Það er einnig mikilvægt að gagnaeigendur (business owners) taki þátt í þessu ákvarðanaferli og í raun samþykki allar breytingar fyrirfram. Það ætti ekki að vera ákvörðun kerfisstjóra hvort og þá hvenær breytingar á til dæmis fjárhagshugbúnaði séu gerðar. Breytingar skulu gerðar þegar og ef viðskiptaleg rök hníga að því en ekki vegna þess að ný útgáfa hugbúnaðarins sé svo „flott“. Breytingastjórnun snýst því um að setja fram stefnu, setja upp vinnuferli og geta svo sannað það vinnuferli með skráningu allra breytingabeiðna. Aðgangur að kerfum Aðgangsstýringar og gögn: Aðgangur að kerfum og gögnum skyldi byggjast á tveimur meginþáttum. Í fyrsta lagi að veita aðgang einungis að því marki sem er nauðsynlegt fyrir viðkomandi starfsmann til að geta unnið sína vinnu og í öðru lagi þannig að tryggður sé aðskilnaður hlutverka. Það er því nauðsynlegt fyrir kerfisstjóra og eigendur gagna að setja upp formlega stefnu í aðgangsstýringarmálum og framfylgja svo þeirri stefnu með rekjanlegum og sannarlegum hætti. Það er því hluti af þessari stefnu að allt sé skráð niður varðandi aðgangsheimildir, hvernig þær séu veittar, hvernig að þeim er breytt og svo þegar þær séu felldar niður. Á hverjum tíma skyldi vera til greinargott yfirlit um alla starfsmenn, hvaða kerfum þeir hafa aðgang að, hvaða kerfishluta innan hvers kerfis og hvers konar heimildir (uppfæra,eyða,breyta). Að viðhalda slíku yfirliti er algjörlega nauðsynlegt til að sýna fram á skilvirka umsýslu með þessum þætti. Þetta er einnig sönnun á hinum meginþættinum sem er aðskilnaður hlutverka. Með aðskilnaði hlutverka er átt við að einn og sami aðili geti ekki stofnað til fjárhagslegra skuldbindinga eða ráðstafað fjármunum án þess að fyrir liggjandi sé samþykki hlutaðeigandi ábyrgðaraðila innan fyrirtækisins. Þetta á oftast við í tilfelli samþykktarferlis reikninga þar sem bókun og greiðsla reikninga skyldi ávallt vera aðskilin í aðgangsskilgreiningum viðkomandi fyrirtækis. Yfirlit Tölvuendurskoðun er orðin fastur hluti af árlegri endurskoðun hjá flestum fyrirtækjum og oftar en ekki eru það forstöðumenn upplýsingatæknisviðs sem þurfa að standa skil á nauðsynlegum upplýsingum til sinna endurskoðenda. Til þess að flýta þessari vinnu hefur að ofan verið gerð stuttlega grein fyrir þeim meginatriðum sem endurskoðendur leitast eftir og því sem kerfisstjórar þurfa að hafa á takteinum til að uppfylla þær kröfur endurskoðenda. Það má segja að þetta skiptist í tvennt svona í meginatriðum. Setja sér skriflega stefnu í öllum af ofangreindum 4 málaflokkum og svo framfylgja þeirri stefnu með sannarlegum hætti. Samningar við hýsingaraðila séu skriflegir, allar breytinga- og þjónustubeiðnir séu skráðar niður, öll stærri verkefni séu skráð niður og fylgi ákveðinni aðferðafræði með skriflegum gögnum, allar aðgangsbeiðnir og niðurfellingar á aðgangsheimildum í öllum kerfum séu skráðar niður og jafnframt uppfærðar í virku aðgangsstýringayfirliti. Framkvæmd tölvuendurskoðunar er samkvæmt tilteknum verkferlum sem miða að því að draga fram þau atriði sem minnst er á hér að ofan Sé vilji til þess geta kerfisstjórar eða aðrir þess til bærir aðilar notað þetta yfirlit til að standa klárir á sínu

Síða 1
Síða 2
Síða 3
Síða 4
Síða 5
Síða 6
Síða 7
Síða 8
Síða 9
Síða 10
Síða 11
Síða 12
Síða 13
Síða 14
Síða 15
Síða 16
Síða 17
Síða 18
Síða 19
Síða 20
Síða 21
Síða 22
Síða 23
Síða 24
Síða 25
Síða 26
Síða 27
Síða 28
Síða 29
Síða 30
Síða 31
Síða 32
Síða 33
Síða 34
Síða 35
Síða 36
Síða 37
Síða 38
Síða 39
Síða 40
Síða 41
Síða 42
Síða 43
Síða 44
Síða 45
Síða 46
Síða 47
Síða 48
Síða 49
Síða 50
Síða 51
Síða 52
Síða 53
Síða 54
Síða 55
Síða 56