IT

Published on July 7th, 2010 | by Nermin Catovic

0

Interne kontrole




S aspekta revizije informacionih tehnologija, interne kontrole predstavljaju politike, planove i procedure kao i organizacione strukture dizajnirane da omoguće realnu sigurnost kako bi poslovni ciljevi bili postignuti i neželjeni događaji spriječeni, detektovani i ispravljeni.

Interne kontrole kreiraju organizacioni plan i sve koordinacione metode usvojene unutar preduzeća kako bi zaštitili svoju imovinu, provjerili preciznost i pouzdanost računovodstvenih podataka, promovisali operacionu efikasnost i podsticali pridržavanje propisanih menadžerskih politika. Svaki sistem i proces unutar kompanije postoji kako bi zadovoljio određene poslovne svrhe. Revizor mora tražiti postojanje rizika za te svrhe a zatim osigurati da su interne kontrole na pravom mjestu za ublažavanje tih rizika.

Stoga su interne kontrole skupine međusobno povezanih komponenti čiji učinci pravilno uslađeni zajednički podupiru implementaciju predodređenih ciljeva informacionog sistema. Da bi se postigle ove, specifične organizacione, osnovne i aplikativne kotrole su implementirane u svim dijelovima i nivoima funkcioniranja informacionog sistema.

Postoje tri fundamentalna tipa internih kontrola neovisno o kojem tipu revizije se radi:

    • Preventivne / Zaštitne kontrole

Glavna zadaća preventivnih / zaštitnih kontrola je utvrditi probleme ili neželjene pojave prije nego što se pojave, predviditi ih i korištenjem preventivnih mjera pokušati zaustaviti, kao i stalno pratiti rad informacionog sistema. Tipični primjeri su preventivnih kontrola su zapošljavanje obrazovanih i kvalificiranih radnika, utvrđivanja organizacije tijela koja se koriste za praćenje rada informacionog sistema (IT Upravnog odbora), stvaranje odjela za unutarnju reviziju informacionog sistema, podizanje svijesti o stalnim potrebama revizije i kontrole, dodjeljivanje dužnosti i odgovornosti, kao i stvaranje priručnika o sigurnosnoj politici informacionog sistema.

    • Detektivne kontrole

Detektivne kontrole su one koje utvrđuju i detektuju greške i probleme bilo kojeg dijela informacionog sistema. Tipični primjeri su razne osnovne kontrole informacionih sistema, kontrole ulaznih podataka, kontrole ovlasti, fizičke i logističke kontrole pristupa informacionom sistemu, provjere dozvola za sisteme, kontrole tačnosti, kontrole procesa, kontrola podataka i sl.

    • Korektivne / reaktivne kontrole

Cilj ovih kontrola je da minimizira efekat pogreški i problema koji mogu ugroziti informacioni sistem. Čim se uoči prijetnja ove kontrole izvršavaju specijalne instrukcije tako da detektovane pogreške ili prijetnje mogu biti ispravljene. Procedure kopiranja i arhiviranja podataka, kontrole prenosa podataka, kontrole nad ključnom opremom su samo neke od čestih reaktivnih kontrola.

Kontrole informacionih tehnolgija mogu se podijeliti prema specifičnim područjima koje obuhvaćaju, tako da imamo sigurnosne kontrole, informacione kontrole (podatkovne), kontrole kontinuiteta poslovanja, itd.

Primjeri internih kontrola su:

Kontrole promjene software-a

  • Programeri nemaju logičan pristup kako bi izvršili nadogradnje produkcionog koda
  • Ljudi koji imaju logički pristup kako bi izvršili nadogradnje produkcionog koda neće to uraditi bez dokaza o testiranju i odobrenja.

Pristupne kontrole

  • Potreba za unošenjem korisničkog imena i šifre kako bi pristupili sistemu je tip interne kontrole
  • Ograničen broj aplikacija za korisnika koji određuju sigurnosni administratori koji ujedno kontrolišu dodavanje novih korisnika u sistem je također tip interne kontrole

Sigurnosne kopije i planovi oporavljanja nakon katastrofe sistema

  • Pravljenje kopija sistema  i podataka periodično je interna kontrola
  • Dostavljanje kopija na drugo mjesto je interna kontrola
  • Dokumentovanje plana za oporavljanje nakon katastrofe sistema je interna kontrola.

Osnovni ciljevi sistema internih kontrola unutar informacionog sistema

Interne kontrole predstavljaju skup postupaka koje oblikuje uprava, menadžment i ostali zaposlenici sa svrhom sticanja razumnog uvjerenja da će se organizacijski ciljevi uspjeti ostvariti, a neželjeni rizici predvidjeti, otkriti, i na vrijeme anulirati. U tu se svrhu razvijaju brojne politike, procedure , prakse i postupci. Menadžment kompanije, u suradnji s menadžmentom informacionog sistema direktno je odgovoran za oblikovanje, provedbu i ocjenu efikasnosti sistema internih kontrola unutar informacionog sistema. U svjetskim razmjerama, već su prisutne koordinirane inicijative koje vode ka standardizaciji okvira internih kontrola pri čemu je čest zaključak da učinkovita provedba sistema internih kontrola nije nikako moguća bez učinkovitog sistema internih kontrola informacionog sistema, poznat kao Serbanes-Oxley Zakon.

Osnovni ciljevi procesa internih kontrola informacionog sistema su:

  • Čuvanje imovine informacionog sistema (sigurnosni ciljevi)
  • Osiguravanje što višeg stepena integriteta informacionog sistema i njegova neposrednog okruženja, uključujući djelovanje sistemskog software-a, upravljanje mrežama i radom samog sistema,
  • Osiguravanje što višeg stepena integriteta upravljanja informacijama i integriteta kritičnih dijelova aplikacionog softwarea (informacioni ciljevi)
    • Autorizacija ulaza
    • Tačnost i potpunost transakcijskog dijela sistema
    • Pouzdanost svih aktivnosti vezanih za obradu informacija
    • Tačnost, potpunost i sigurnost izlaznih vrijednosti
    • Što viši integritet baza podataka
  • Osiguranje djelotvornosti i učinkovitosti informacionog sistema
  • Uskladjenost sa zahtjevima korisnika, organizacionim precedurama i ciljevima, zakonskim i drugim aktima (ciljevi uskladjivanja)
  • Donošenje planova za arhiviranje (backup) sadržaja i ponovno pokretanje sistema nakon neželjenog dogadjaja (disaster recovery)
  • Razvoj procedura i pravila kojima se postupa u slučaju incidenta, čiji je osnovni zadatak što prije omogucćti neprekidnost poslovanja uz minimalne gubitke i troškove (business continuity). Uspješne kompanije cčsto propisuju i neke dodatne uslove glede ciljeva neprekidnosti poslovanja.

Reference:

  • Auburn University, Department of Internal Auditing, “Internal Control FAQ” 2010. [Online]. Available: http://www.auburn.edu/administration/internal_auditing/internalcontrolfaq.html [Accessed May. 6, 2010].
  • D.Hoelzer, “Fundamental IT Audit controls”, SANS 2009. [Online]. Available: http://blogs.sans.org/it-audit/2009/09/15/fundamental-it-audit-controls/ [Accessed May. 7, 2010].

Tags: , , , , , ,


About the Author

Osnivač portala itrevizija.ba i pristalica edukacije kroz besplatne članke, materijale i međusobne diskusije. Zainteresovan za područja IT revizije, informacione sigurnosti, zaštite podataka, implementacije ISO standarda, kontinuiteta poslovanja i projekt menadžmenta.



Comments are closed.

Back to Top ↑

UA-16409049-1