چک لیست شناسایی ریسک ها و روشهای کنترل سیستمهای اطلاعاتی
قسمت دوم
ادامه قسمت اول :
کنترل های سازماندهی و مدیریت فناوری اطلاعات :
کنترل های سازماندهی و مدیریت فناوری اطلاعات این اطمینان را به وجود می آورند که سازمان با خطوط گزارشگری و مسئولیت هایی که به روشنی مشخص شده اند ساختارمند شده و فرایندهای کنترل بگونه ای موثر و کارآمد از سه جنبه ی تفکیک وظایف – کنترلهای مالی – کنترلهای مدیریت به شرح ذیل بدرستی اجرا میشوند.
1 - آیا تفکیک مناسب وظایف فناوری اطلاعات این اطمینان را بوجود می آورد که هیچ فردی به تنهایی نمی تواند با استفاده از سیستم ، هم مرتکب خطا و تقلب شود و هم آن را پنهان نماید؟
2 -آیا وظیفه ورود اطلاعات – پردازش – آزمون داده ها از یکدیگر به درستی تفکیک شده است؟
3 -آیا مجوز دسترسی به اطلاعات سیستم متناسب با مسئولیتهای افراد ، برای دسترسی و پردازش اطلاعات بدرستی طبقه بندی شده است؟
4 -آیا بهینه سازی و توسعه سیستم توسط افرادی غیر از مسئولین اجرای سیستم انجام می گیرد ؟
5- آیا مسئولین راه اندازی سیستم تنها وظیفه تغییر در نرم افزارها و سیستم ها را بر عهده دارند و محدودیتهایی جهت این کار برای ایشان در نظر گرفته شده است؟
6-آیا بازده سرمایه گذاری انجام شده در فناوری اطلاعات ، بازده مناسب و مورد انتظار بوده و صرفه جویی در هزینه ها با استفاده از سیستم جدید توسط حسابداری مدیریت تحلیل و گزارش می شود؟
7-آیا انجام هزینه های جدید جهت بهینه سازی سیستم واجرای سیستمهای اطلاعاتی جدید ، قبلاً بررسی و میزان صرفه آن مشخص شده است؟
8 -ایا هرگونه تغییرات اساسی در سیستم های فناوری اطلاعات پس از اخذ مجوز لازم از سرپرست انجام شده است؟
9 -آیا نتایج حاصل از تغییرات بصورت مدون به مدیریت گزارش شده است؟
10-آیا تغییرات ایجاد شده نتایج مطلوبی به همراه داشته و این موضوع به اطلاع سرپرست رسانده شده است ؟
11-آیا منابع فناوری اطلاعات در اطاقهای بسته قرار دارند و دسترسی به آنها محدود شده است؟
12 - آیا تجهیزات مناسب اعلام و اطفاء حریق در محل نصب شده است ؟
13 - آیا پیش بینی لازم جهت حفاظت امکانات و تجهیزات فناوری اطلاعات از ریسکهای محیطی نظیر سیل ، زلزله ، مواد قابل اشتعال و حساس به نور آفتاب و .... انجام شده است؟
14 -آیا اقدامات مناسب جهت بهینه سازی ، توسعه و آزمایش برنامه های پوششی برای مقابله با رویدادهای ناگوار انجام شده است ؟
15-آیا تخصیص دسترسی به سیستمها براساس سیاستهای سازمان انجام شده است ؟
16 -آیا کنترلهای آنلاین ترکیب بندی هایی که تفکیک مناسب وظایف را انجام می دهند ، اعمال شده است ؟
17 - آیا ورودی های غیر مجاز به سیستم در فواصل معین کنترل می شود ؟
18- آیا اقدامات لازم جهت جلوگیری از ورود غیر مجاز به سیستم انجام و موارد شناسایی وگزارش می شود ؟
19 - آیا روشهای دقیق و سیستماتیک جهت ردیابی و کنترل تغییرات سیستم انجام میگیرد ؟
سیستمهای کاربردی که در درون سازمان توسعه و برنامه ریزی شده اند و یا از فروشنده خارج از سازمان خریداری میگردند ، باید اطلاعات را به گونه ای موثر و کارآمد و مطابق با الزامات استفاده کنندگان پردازش نمایند و اطمینان نسبی نسبت به اجرای موارد ذیل بدست آید :
1- آیا الزامات استفاده کنندگان و سنجش میزان دستیابی به این الزامات مستند شده است ؟
2 - آیا فرایند طراحی رسمی سیستمها به منظور حصول اطمینان از اینکه الزامات استفاده کنندگان تحقق می یابند و کنترلها به گونه ای مناسب در نرم افزار ها نصب میشوند اجرا شده است ؟
3 - آیا برای حصول اطمینان از اینکه عناصرخاص و ارتباط درون سیستم به خوبی کارکرده و قابلیت های مورد نظر به نحوه مناسب ارائه می دهند آزمون انجام شده و کاربران با موضوع درگیر شده اند؟
4 - آیا تغییرات اساسی در برنامه ها و آزمون تغییرات قبل از اجرای برنامه انجام می شود ؟
5 - آیا داده های وارده به سیستم معتبر کامل و درست است ؟
6 - آیا داده های خارج شده از سیستم مطابق با آنچه مورد نظر است پردازش می شود ؟
7 - آیا داده های ذخیره شده کامل و درست هستند ؟
8 -آیا خروجی ها کامل و درست می باشند ؟
9 -آیا انتقال داده ها در سیستم ثبت می شود ؟
10-آیا کنترلهای ورودی طوری طراحی شده اند تا صحت داده های وارده به سیستم را آزمون نمایند ؟
11-آیا کنترلهای پردازش طوری طراحی شده اند تا اطمینان حاصل شود که پردازش داده ها معتبر ، کامل و درست هستند ؟
12- آیا کنترلهای خروجی طوری طراحی شده اند تا معتبر بودن ، کامل و درست بودن خروجی های برنامه را مورد آزمون قرار دهند و این اطمینان حاصل شود که خروجی ها فقط به دست دریافت کنندگان مورد نظر میرسد ؟
13-آیا رسیدگی های حسابرسی مدیریت را قادر می سازد تا رویدادها را از آغاز فرایند تا انتها و از انتها تا شروع فرایند ردیابی نماید ؟
کنترل های امنیت اطلاعات :
کنترل های امنیت اطلاعات جزء لاینفک کنترلهای فناوری اطلاعات بوده وسیستم را از دسترسی های فیزیکی و غیر مجاز حفاظت می نماید . کنترلهای دسترسی فیزیکی ، امنیت را بر منابع مشهود فناوری اطلاعات ، بر قرار می کند و به جهت حصول اطمینان نسبی می بایست موارد ذیل کنترل شود .
1 -آیا اقدامات امنیتی لازم نظیر قفل زدن به دربها ، نصب دوربین های نظارت کننده ، محافظان امنیتی در حد کفایت انجام شده است ؟
2- آیا کنترلهای دسترسی منطقی ، امنیت نرم افزار ها و اطلاعات نصب شده در سیستم برقرار می کنند ؟
3- آیا اقدامات امنیتی نظیر دیوار آتش ، رمزگذاری ، ثبت شناسه کاربران ، رمز های عبورتغییر کننده ، جداول دسترسی های مجاز و ثبت عملیات انجام شده درسیستم بدرستی انجام شده است ؟
4- آیا هرگونه نقاط ضعف در کنترل های امنیت اطلاعات که اثر بخشی سایر کنترلهای مربوط به نظام راهبری فناوری اطلاعات ، مدیریت و کنترلهای فنی را به خطر می اندازد ، شناسایی و به مقام مسئولی گزارش می شود ؟
5- آیا فرایند نظام راهبری فناوری اطلاعات بدرستی اجرا می شود و اهداف و استراتژیهای سازمان را پشتیبانی می کند ؟
6- آیا ریسکهای سیستمهای اطلاعاتی سازمان بدرستی شناسایی و اندازه گیری می شود ؟
7- آیا کفایت و اثر بخشی کنترلها در واکنش به ریسکهای پیش روی سیستمهای اطلاعاتی سازمان ، ارزیابی می شود
اهمیت سیستم مکانیزه در شرکت مورد رسیدگی :
با توجه با لزوم تهیه و راه اندازی سیستم یکپارچه (ERP) واستفاده از مزایای عمده نرم افزار که مهمترین آنها افزایش سرعت و دقت پردازش اطلاعات ، کاهش هزینه و یکپارچگی آن میباشد ، به جهت حصول اطمینان نسبی از نحوه اجرای سیستم جدید در شرکت می بایست موارد ذیل کنترل شود .
1- آیا نیاز سنجی سیستمی کلیه حوزه ها قبل از راه اندازی سیستم های مکانیزه انجام شده است؟
2 -آیا انتقال اطلاعات از سیستم های قبلی ( اینفورمیکس –اوراکل) بصورت کامل صورت پذیرفته است ؟
3-آیا تدابیر لازم در خصوص جلوگیری از سرقت اطلاعات از سیستم یکپارچه ERP صورت پذیرفته است ؟
4 -آیا نسخه ای از آخرین تغییرات نرم افزاری در مدیریت توسعه سیستم های کاربردی نگهداری می شود؟
5 -آیا تدابیر لازم در خصوص کفایت میزان فضای ذخیره سازی اطلاعات انجام شده است ؟
6 -آیا تدابیر لازم در خصوص کپی و استفاده غیر مجاز از نرم افزارهای پارس خودرو انجام شده است ؟
7 -آیا از کارکنان کلیدی بخش فرایندی اطلاعات تعهد خدمت اخذ گردیده است ؟
8 -آیا وظایف اپراتور ،برنامه نویس ، بایگان و دیگر کارمندان به نحو مناسبی تفکیک و به ایشان اعلام شده است ؟
9 -آیا ارائه دسترسی به سیستم مکانیزه بر اساس ضوابط و دستور مدیریت واحد ارائه میگردد؟
10 -آیا امکان ارتقاء یا اصلاح برنامه های سیستم یکپارچه erp در سالهای بعد پیش بینی شده است ؟
11 -آیا جهت دسترسی به سیستم ها تعداد گروه کاربری ایجاد و برای هر گروه محدوده دسترسی خاصی مشخص شده است ؟
12- آیا هر یک از کاربران در گروه کاربرای ایجاد شده ، در گروه مخصوص خود قرار دارند و با تغییر مجوز دسترسی هر گروه کلیه کاربران آن گروه مشمول تغییر مجوز دسترسی میشوند؟
13- آیا ضوابط و روشهای ایمنی محافظت از دسترسی به اطلاعات و سیستم مکانیزه به کلیه کاربران آموزش داده شده است؟
14 - آیا ثبت اطلاعات بوسیله حوزه های مختلف پس از ارائه سیستم مربوطه توسط برنامه نویسان کنترل و گزارش گردیده است ؟
15-آیا سازگاری یا عدم سازگاری برخی از نرم افزارها به صورت موردی با سیستم یکپارچه شرکت آزمایش گردیده است ؟
16- آیا از دستورالعمل ها و آیین نامه ها و روش های اجرایی داخلی شرکت جهت بهینه نمودن سیستم های مکانیزه استفاده گردیده است
17- آیا تدابیر لازم جهت تهیه آیین نامه ، دستورالعمل و روش های اجرایی جدید با توجه به نوع نیاز سیستم مکانیزه صورت گرفته است ؟
18-آیا آموزش های لازم توسط شرکت مجری سیستمبه پرسنل حوزه طرح و برنامه جهت رفع نیازهای ضروری ارائه گردیده است ؟
19 - آیا اطلاعات هم در زمان بایگانی بودن آن در حافظه و انباره ها و هم در زمان انتقال در مسیرهای انواع شبکه های کامپیوتری محافظت میشود؟
20 - آیا درجه بندی ایمنی شبکه طبق استاندارد های درجه بندی ایمنی در حد مطلوب صورت پذیرفته است؟
21- آیا از کارکنان کلیدی بخش فرایندی اطلاعات تضامین کافی اخذ گردیده است ؟
22 - آیا در فواصل زمانی معین و مشخص از همه اطلاعات مهم نسخه پشتیبان (Backup) تهیه میگردد؟
23-آیا نسخه پشتیبان تهیه شده در محل مناسب و ایمن بایگانی و محافظت می شود ؟
24-آیا نصب نرم افزار مناسب برای نظارت بر شبکه جهت عدم نفوذ و خرابکاری انجام شده است ؟
25- آیا پرونده ثبت وقایع نرم افزارهای نظارت بر شبکه در فواصل زمانی مناسب مورد بررسی دقیق قرار گرفته است
26-آیا آزمایش درجه ایمنی شبکه پارس خودرو در فواصل معین انجام می شود ؟
27- آیا تاییدیه اصالت نرم افزارهای اجراشده در شرکت از شورای عالی انفورماتیک ایران توسط شرکت مجری اخذ و ارائه شده است ؟
28 -آیا شناسنامه نرم افزاری سیستم یکپارچه ERP (کلیه اطلاعات سیستم بصورت کامل) تهیه گردیده است ؟
29-آیا برخی از گزارشات ایجاد شده از لحاظ برنامه نویسی و فرمت گزارش با الگو برداری از سیستم های قبلی انجام شده است ؟
30-آیا گزارشات ایجاد شده کلیه نیازهای کاربران را پاسخگو و کامل می باشد؟
31-آیا در یک مقطع زمانی مشخص موازی کاری سیستم قبلی(اوراکل) و سیستم جدید ( ERP) انجام شده و خروجی های آنها با هم مقایسه و خطای ( bug ) احتمالی اصلاح و رفع گردیده است ؟
32-آیا ثبت اطلاعات در سیستم مکانیزه ERP (در صورت داشتن چندین اپراتور ثبت )جهت پیگیری و ردیابی اشتباهات و اطلاعات ثبت شده و . . . توسط اپراتور مربوطه مشخص می باشد؟
33 -آیا تدابیر لازم جهت ایجاد گزارشات با اهمیت وکاربردی از گزارش ساز به ERPانجام شده است ؟
34 - آیا زمان و سرعت دریافت گزارشات و ذخیره اطلاعات بررسی و در حد معقول می باشد ؟
35-آیا مکاتبات لازم در خصوص اختتام فاز اول پروژه(MIS) ، سیستم های مکانیزه ERP توسط مدیر پروژه بمنظور درج در سیستم حسابداری(بابت ثبت استهلاک )و جمعداری اموال (بابت تخصیص کد دارایی) صورت پذیرفته است؟
طبق استاندارد ایران – ایزو –آی ای سی -27001
1- آیا انجام ممیزی های داخلی سیستم مدیریت اطلاعات در فواصل زمانی طرح ریزی شده است؟
2-آیا سند خط مشی امنیت اطلاعات توسط مدیریت تصویب و منتشر و به اطلاع همه کارکنان و طرفهای مرتبط بیرونی رسیده است ؟
3-آیا انعقاد قراردادهای مربوط به سیستم اطلاعاتی به صورت کامل (پرهیز از نقض هر نوع قانون،مقررات ، الزامات آیین نامه ای و قراردادی و هر الزام امنیتی انجام شده است ؟
منابع :
- نشریه های شماره 73 – 83 – 91 – 116 – 130 و 152 سازمان حسابرسی مرتبط با نحوه ارزیابی کنترلهای داخلی در سیستمهای اطلاعاتی و فناوری اطلاعات .
- استانداردهای حرفه ای ، توصیه های عملی و رهنمودهای مرتبط با حسابرسی جامع و یکپارچه فناوری اطلاعات مندرج در فصل هفتم ( ریسک ها و کنترلهای فناوری اطلاعات ) نشریه انجمن حسابرسان داخلی ایران ( حسابرسی داخلی – خدمات اطمینان بخش و مشاوره ) .
- استاندارد ایران – ایزو –آی ای سی - 27001
موفق باشید