Aplikacja pod kontrolą
- Radosław Kaczorek,
- 26.05.2009
- procedury i kontrola przetwarzania - wprowadzone do systemu dane są wielokrotnie przetwarzane w zautomatyzowanych procedurach, które muszą obejmować wbudowane mechanizmy kontrolne; bez tego nie jest możliwe potwierdzenie kompletności i integralności, a w konsekwencji wiarygodności danych i informacji;
- kontrola wyjścia - polegająca na zapewnieniu, że przetwarzanie i informacje o stanie przetwarzania danych oraz żądania o wprowadzenie danych lub inne działania są kierowane przez system do właściwego użytkownika i we właściwym czasie;
- dostęp do systemu aplikacyjnego - obejmuje mechanizmy kontroli dostępu do poszczególnych funkcji aplikacji (m.in. poprzez prawa dostępu do pozycji menu aplikacyjnego) oraz wdrożenie reguł podziału obowiązków zgodnie z logiką biznesową;
- rejestracja zdarzeń systemowych - niezwykle istotna ze względu na to, że umożliwia śledzenie operacji wykonywanych przez użytkowników i błędów przetwarzania oraz przypisanie odpowiedzialności za wykonane operacje;
- przetwarzanie po stronie użytkownika - użytkownicy często korzystają z dodatkowych narzędzi, które ułatwiają pracę z aplikacją i danymi (np. arkusze kalkulacyjne); wnosi to dodatkowe ryzyka, które wynikają głównie z tego, że narzędzia te często nie mają wbudowanych mechanizmów kontroli dostępu, kontroli nad zmianami i procedur zapewnienia jakości;
- Business Intelligence - systemy BI oferują nieocenioną pomoc każdemu menedżerowi, ale towarzyszy temu szczególna grupa ryzyk związanych z agregacją danych, ochroną prywatności, kompletnością informacji prezentowanych w określonym celu oraz wyrażeniu zagregowanej informacji w prawidłowej walucie.
Audyt systemu aplikacyjnego
Zgodnie ze standardem audytowania systemów informatycznych "S6 - Przeprowadzenie audytu", audytor powinien zgromadzić wystarczające, wiarygodne i adekwatne dowody audytowe, a obserwacje i wnioski audytora powinny opierać się na ich odpowiedniej analizie i interpretacji.
Najwięcej problemów nastręcza wymóg adekwatności. Wynika to z ewentualnych wątpliwości co do zakresu audytu, tj. co badać a czego nie, żeby prawidłowo wykonać audyt systemu aplikacyjnego. Wytyczna audytowania systemów informatycznych "G14 - Przegląd systemów aplikacyjnych (ISACA 2008)", podpowiada procesy (zgodnie z COBIT 4.1), które powinny zostać objęte audytem:
Podstawowe:
- PO9 - Ocena i zarządzanie ryzykiem
- AI2 - Nabycie i utrzymanie systemów aplikacyjnych
- DS5 - Zapewnienie bezpieczeństwa systemów
- ME2 - Monitorowanie i ocena systemu kontroli wewnętrznej
Uzupełniające:
- PO7 - Zarządzanie zasobami ludzkimi w informatyce
- PO8 - Zarządzanie jakością
- A16 - Zarządzanie zmianami
- DS3 - Zarządzanie wydajnością i potencjałem
- DS10 - Zarządzanie problemami
- DS11 - Zarządzanie danymi