چک لیست شناسایی ریسک ها و روشهای کنترل سیستمهای اطلاعاتی

قسمت دوم

ادامه قسمت اول :

کنترل های سازماندهی و مدیریت فناوری اطلاعات :

کنترل های سازماندهی و مدیریت فناوری اطلاعات این اطمینان را به وجود می آورند که سازمان با خطوط گزارشگری و مسئولیت هایی که به روشنی مشخص شده اند ساختارمند شده و فرایندهای کنترل بگونه ای موثر و کارآمد از سه جنبه ی تفکیک وظایف – کنترلهای مالی – کنترلهای مدیریت به شرح ذیل بدرستی اجرا میشوند. 

  1 - آیا تفکیک مناسب وظایف فناوری اطلاعات این اطمینان را بوجود می آورد که هیچ فردی به تنهایی نمی تواند با استفاده از سیستم ، هم مرتکب خطا و تقلب شود و هم آن را پنهان نماید؟

2 -آیا وظیفه ورود اطلاعات – پردازش – آزمون داده ها از یکدیگر به درستی تفکیک شده است؟

3 -آیا مجوز دسترسی به اطلاعات سیستم متناسب با مسئولیتهای افراد ، برای دسترسی و پردازش اطلاعات بدرستی طبقه بندی شده است؟

4 -آیا بهینه سازی و توسعه سیستم توسط افرادی غیر از مسئولین اجرای سیستم انجام می گیرد ؟

5- آیا مسئولین راه اندازی سیستم تنها وظیفه تغییر در نرم افزارها و سیستم ها را بر عهده دارند و محدودیتهایی جهت این کار برای ایشان در نظر گرفته شده است؟

6-آیا بازده سرمایه گذاری انجام شده در فناوری اطلاعات ، بازده مناسب و مورد انتظار بوده و صرفه جویی در هزینه ها با استفاده از سیستم جدید توسط حسابداری مدیریت تحلیل و گزارش می شود؟

7-آیا انجام هزینه های جدید جهت بهینه سازی سیستم واجرای سیستمهای اطلاعاتی جدید ، قبلاً بررسی و میزان صرفه آن مشخص شده است؟

8 -ایا هرگونه تغییرات اساسی در سیستم های فناوری اطلاعات پس از اخذ مجوز لازم از سرپرست انجام شده است؟

9 -آیا نتایج حاصل از تغییرات بصورت مدون به مدیریت گزارش شده است؟

10-آیا تغییرات ایجاد شده نتایج مطلوبی به همراه داشته و این موضوع به اطلاع سرپرست رسانده شده است ؟

11-آیا منابع فناوری اطلاعات در اطاقهای بسته قرار دارند و دسترسی به آنها محدود شده است؟

12 - آیا تجهیزات مناسب اعلام و اطفاء حریق در محل نصب شده است ؟

13 - آیا پیش بینی لازم جهت حفاظت امکانات و تجهیزات فناوری اطلاعات از ریسکهای محیطی نظیر سیل ، زلزله ، مواد قابل اشتعال و حساس به نور آفتاب و .... انجام شده است؟

14 -آیا اقدامات مناسب جهت بهینه سازی ، توسعه و آزمایش برنامه های پوششی برای مقابله با رویدادهای ناگوار انجام شده است ؟

15-آیا تخصیص دسترسی به سیستمها براساس سیاستهای سازمان انجام شده است ؟

16 -آیا کنترلهای آنلاین ترکیب بندی هایی که تفکیک مناسب وظایف را انجام می دهند ، اعمال شده است ؟

17 - آیا ورودی های غیر مجاز به سیستم در فواصل معین کنترل می شود ؟

18- آیا اقدامات لازم جهت جلوگیری از ورود غیر مجاز به سیستم انجام و موارد شناسایی وگزارش می شود ؟

19 - آیا روشهای دقیق و سیستماتیک جهت ردیابی و کنترل تغییرات سیستم انجام میگیرد ؟

سیستمهای کاربردی که در درون سازمان توسعه و برنامه ریزی شده اند و یا از فروشنده خارج از سازمان خریداری میگردند ، باید اطلاعات را به گونه ای موثر و کارآمد و مطابق با الزامات استفاده کنندگان پردازش نمایند و اطمینان نسبی نسبت به اجرای موارد ذیل بدست آید :

1- آیا الزامات استفاده کنندگان و سنجش میزان دستیابی به این الزامات مستند شده است ؟

2 - آیا فرایند طراحی رسمی سیستمها به منظور حصول اطمینان از اینکه الزامات استفاده کنندگان تحقق می یابند و کنترلها به گونه ای مناسب در نرم افزار ها نصب میشوند اجرا شده است ؟

3 - آیا برای حصول اطمینان از اینکه عناصرخاص و ارتباط درون سیستم به خوبی کارکرده و قابلیت های مورد نظر به نحوه مناسب ارائه می دهند آزمون انجام شده و کاربران با موضوع درگیر شده اند؟

4 - آیا تغییرات اساسی در برنامه ها و آزمون تغییرات قبل از اجرای برنامه انجام می شود ؟

5 - آیا داده های وارده به سیستم معتبر کامل و درست است ؟

6 - آیا داده های خارج شده از سیستم مطابق با آنچه مورد نظر است پردازش می شود ؟

7 - آیا داده های ذخیره شده کامل و درست هستند ؟

8 -آیا خروجی ها کامل و درست می باشند ؟

9 -آیا انتقال داده ها در سیستم ثبت می شود ؟

10-آیا کنترلهای ورودی طوری طراحی شده اند تا صحت داده های وارده به سیستم را آزمون نمایند ؟

11-آیا کنترلهای پردازش طوری طراحی شده اند تا اطمینان حاصل شود که پردازش داده ها معتبر ، کامل و درست هستند ؟

12- آیا کنترلهای خروجی طوری طراحی شده اند تا معتبر بودن ، کامل و درست بودن خروجی های برنامه را مورد آزمون قرار دهند و این اطمینان حاصل شود که خروجی ها فقط به دست دریافت کنندگان مورد نظر میرسد ؟

13-آیا رسیدگی های حسابرسی مدیریت را قادر می سازد تا رویدادها را از آغاز فرایند تا انتها و از انتها تا شروع فرایند ردیابی نماید ؟

کنترل های امنیت اطلاعات :

کنترل های امنیت اطلاعات جزء لاینفک کنترلهای فناوری اطلاعات بوده وسیستم را از دسترسی های فیزیکی و غیر مجاز حفاظت می نماید . کنترلهای دسترسی فیزیکی ، امنیت را بر منابع مشهود فناوری اطلاعات ، بر قرار می کند و به جهت حصول اطمینان نسبی می بایست موارد ذیل کنترل شود .

1 -آیا اقدامات امنیتی لازم نظیر قفل زدن به دربها ، نصب دوربین های نظارت کننده ، محافظان امنیتی در حد کفایت انجام شده است ؟

 2- آیا کنترلهای دسترسی منطقی ، امنیت نرم افزار ها و اطلاعات نصب شده در سیستم برقرار می کنند ؟

3- آیا اقدامات امنیتی نظیر دیوار آتش ، رمزگذاری ، ثبت شناسه کاربران ، رمز های عبورتغییر کننده ، جداول دسترسی های مجاز و ثبت عملیات انجام شده درسیستم بدرستی انجام شده است ؟

4- آیا هرگونه نقاط ضعف در کنترل های امنیت اطلاعات که اثر بخشی سایر کنترلهای مربوط به نظام راهبری فناوری اطلاعات ، مدیریت و کنترلهای فنی را به خطر می اندازد ، شناسایی و به مقام مسئولی گزارش می شود ؟

5- آیا فرایند نظام راهبری فناوری اطلاعات بدرستی اجرا می شود و اهداف و استراتژیهای سازمان را پشتیبانی می کند ؟

6- آیا ریسکهای سیستمهای اطلاعاتی سازمان بدرستی شناسایی و اندازه گیری می شود ؟

7- آیا کفایت و اثر بخشی کنترلها در واکنش به ریسکهای پیش روی سیستمهای اطلاعاتی سازمان ، ارزیابی می شود

اهمیت سیستم مکانیزه در شرکت مورد رسیدگی :

با توجه با لزوم تهیه و راه اندازی سیستم یکپارچه (ERP) واستفاده از مزایای عمده نرم افزار که مهمترین آنها افزایش سرعت و دقت پردازش اطلاعات ، کاهش هزینه و یکپارچگی آن میباشد ، به جهت حصول اطمینان نسبی از نحوه اجرای سیستم جدید در شرکت می بایست موارد ذیل کنترل شود .

1- آیا نیاز سنجی سیستمی کلیه حوزه ها قبل از راه اندازی سیستم های مکانیزه انجام شده است؟

2 -آیا انتقال اطلاعات از سیستم های قبلی ( اینفورمیکس –اوراکل) بصورت کامل صورت پذیرفته است ؟

3-آیا تدابیر لازم در خصوص جلوگیری از سرقت اطلاعات از سیستم یکپارچه ERP صورت پذیرفته است ؟

4 -آیا نسخه ای از آخرین تغییرات نرم افزاری در مدیریت توسعه سیستم های کاربردی نگهداری می شود؟

5 -آیا تدابیر لازم در خصوص کفایت میزان فضای ذخیره سازی اطلاعات انجام شده است ؟

6 -آیا تدابیر لازم در خصوص کپی و استفاده غیر مجاز از نرم افزارهای پارس خودرو انجام شده است ؟

7 -آیا از کارکنان کلیدی بخش فرایندی اطلاعات تعهد خدمت اخذ گردیده است ؟

8 -آیا وظایف اپراتور ،برنامه نویس ، بایگان و دیگر کارمندان به نحو مناسبی تفکیک و به ایشان اعلام شده است ؟

9 -آیا ارائه دسترسی به سیستم مکانیزه بر اساس ضوابط و دستور مدیریت واحد ارائه میگردد؟

10 -آیا امکان ارتقاء یا اصلاح برنامه های سیستم یکپارچه erp در سالهای بعد پیش بینی شده است ؟

11 -آیا جهت دسترسی به سیستم ها تعداد گروه کاربری ایجاد و برای هر گروه محدوده دسترسی خاصی مشخص شده است ؟

12- آیا هر یک از کاربران در گروه کاربرای ایجاد شده ، در گروه مخصوص خود قرار دارند و با تغییر مجوز دسترسی هر گروه کلیه کاربران آن گروه مشمول تغییر مجوز دسترسی میشوند؟

13- آیا ضوابط و روشهای ایمنی محافظت از دسترسی به اطلاعات و سیستم مکانیزه به کلیه کاربران آموزش داده شده است؟

14 - آیا ثبت اطلاعات بوسیله حوزه های مختلف پس از ارائه سیستم مربوطه توسط برنامه نویسان کنترل و گزارش گردیده است ؟

15-آیا سازگاری یا عدم سازگاری برخی از نرم افزارها به صورت موردی با سیستم یکپارچه شرکت آزمایش گردیده است ؟

16- آیا از دستورالعمل ها و آیین نامه ها و روش های اجرایی داخلی شرکت جهت بهینه نمودن سیستم های مکانیزه استفاده گردیده است

17- آیا تدابیر لازم جهت تهیه آیین نامه ، دستورالعمل و روش های اجرایی جدید با توجه به نوع نیاز سیستم مکانیزه صورت گرفته است ؟

18-آیا آموزش های لازم توسط شرکت مجری سیستمبه پرسنل حوزه طرح و برنامه جهت رفع نیازهای ضروری ارائه گردیده است ؟

19 - آیا اطلاعات هم در زمان بایگانی بودن آن در حافظه و انباره ها و هم در زمان انتقال در مسیرهای انواع شبکه های کامپیوتری محافظت میشود؟

20 - آیا درجه بندی ایمنی شبکه طبق استاندارد های درجه بندی ایمنی در حد مطلوب صورت پذیرفته است؟

21- آیا از کارکنان کلیدی بخش فرایندی اطلاعات تضامین کافی اخذ گردیده است ؟

22 - آیا در فواصل زمانی معین و مشخص از همه اطلاعات مهم نسخه پشتیبان (Backup) تهیه میگردد؟

23-آیا نسخه پشتیبان تهیه شده در محل مناسب و ایمن بایگانی و محافظت می شود ؟

24-آیا نصب نرم افزار مناسب برای نظارت بر شبکه جهت عدم نفوذ و خرابکاری انجام شده است ؟

25- آیا پرونده ثبت وقایع نرم افزارهای نظارت بر شبکه در فواصل زمانی مناسب مورد بررسی دقیق قرار گرفته است

26-آیا آزمایش درجه ایمنی شبکه پارس خودرو در فواصل معین انجام می شود ؟

27- آیا تاییدیه اصالت نرم افزارهای اجراشده در شرکت از شورای عالی انفورماتیک ایران توسط شرکت مجری اخذ و ارائه شده است ؟

28 -آیا شناسنامه نرم افزاری سیستم یکپارچه ERP (کلیه اطلاعات سیستم بصورت کامل) تهیه گردیده است ؟ 

29-آیا برخی از گزارشات ایجاد شده از لحاظ برنامه نویسی و فرمت گزارش با الگو برداری از سیستم های قبلی انجام شده است ؟

30-آیا گزارشات ایجاد شده کلیه نیازهای کاربران را پاسخگو و کامل می باشد؟

31-آیا در یک مقطع زمانی مشخص موازی کاری سیستم قبلی(اوراکل) و سیستم جدید ( ERP) انجام شده و خروجی های آنها با هم مقایسه و خطای ( bug ) احتمالی اصلاح و رفع گردیده است ؟

32-آیا ثبت اطلاعات در سیستم مکانیزه ERP (در صورت داشتن چندین اپراتور ثبت )جهت پیگیری و ردیابی اشتباهات و اطلاعات ثبت شده و . . . توسط اپراتور مربوطه مشخص می باشد؟

33 -آیا تدابیر لازم جهت ایجاد گزارشات با اهمیت وکاربردی از گزارش ساز به ERPانجام شده است ؟

34 - آیا زمان و سرعت دریافت گزارشات و ذخیره اطلاعات بررسی و در حد معقول می باشد ؟

35-آیا مکاتبات لازم در خصوص اختتام فاز اول پروژه(MIS) ، سیستم های مکانیزه ERP توسط مدیر پروژه بمنظور درج در سیستم حسابداری(بابت ثبت استهلاک )و جمعداری اموال (بابت تخصیص کد دارایی) صورت پذیرفته است؟

طبق استاندارد ایران – ایزو –آی ای سی -27001

1- آیا انجام ممیزی های داخلی سیستم مدیریت اطلاعات در فواصل زمانی طرح ریزی شده است؟

2-آیا سند خط مشی امنیت اطلاعات توسط مدیریت تصویب و منتشر و به اطلاع همه کارکنان و طرفهای مرتبط بیرونی رسیده است ؟

3-آیا انعقاد قراردادهای مربوط به سیستم اطلاعاتی به صورت کامل (پرهیز از نقض هر نوع قانون،مقررات ، الزامات آیین نامه ای و قراردادی و هر الزام امنیتی انجام شده است ؟

منابع :

- نشریه های شماره 73 – 83 – 91 – 116 – 130 و 152 سازمان حسابرسی مرتبط با نحوه ارزیابی کنترلهای داخلی در سیستمهای اطلاعاتی و فناوری اطلاعات .

-  استانداردهای حرفه ای ، توصیه های عملی و رهنمودهای مرتبط با حسابرسی جامع و یکپارچه فناوری اطلاعات مندرج در فصل هفتم  ( ریسک ها و کنترلهای فناوری اطلاعات ) نشریه انجمن حسابرسان داخلی ایران ( حسابرسی داخلی – خدمات اطمینان بخش و مشاوره ) .

- استاندارد ایران – ایزو –آی ای سی -  27001

موفق باشید