IT audit

Informačné technológie dnes zohrávajú významnú rolu vo viacerých oblastiach a jednou z nich je aj spracovanie dát spoločností. Firmy sa čoraz viac spoliehajú na automatizované spracovanie údajov vo svojich informačných systémoch a zavedenie interného kontrolného systému na zabezpečenie a ochranu ich presnosti, integrity, spoľahlivosti a dôvernosti je tak nevyhnutnosťou.

Vzhľadom k neustálemu rozvoju nových technológií a využívaniu informačných systémov, rastie i význam kontroly prostredia IT. K faktorom vedúcim k stále väčšiemu dôrazu na túto problematiku sú:

– Čoraz väčšia integrácia informačných systémov do obchodných procesov podnikov, čo predstavuje zvýšené riziko súvisiace s týmito systémami vzťahujúce sa aj na finančné informácie. Zvýšená frekvencia nedávnych útokov navyše zdôrazňuje potrebu kontroly nad kybernetickou bezpečnosťou.

– Pretrvávajúce podvody a chyby vo finančných informáciách volajúce po väčšej pozornosti managementu a neustálom zlepšovaní kontrol.

– Rastúci tlak na manažment a audítorov z dôvodu sprísnenia regulačných požiadaviek.

Riziká IT a ich vzťah k finančným informáciám

  • Spoliehanie sa na systémy a programy, ktoré nesprávne spracúvajú dáta alebo spracúvajú nepresné dáta
  • Neoprávnený prístup k údajom môže mať za následok zničenie dát alebo ich nedovolenú zmenu, vrátane zaznamenávania neoprávnených, neexistujúcich či nepresných transakcií a opäť tak znižuje spoľahlivosť finančných údajov.
  • Možnosť, že IT personál získa prístupové oprávnenia nad rámec tých, ktoré potrebuje, pre plnenie pridelených povinností narušuje pravidlo SoD (Segregation of Duties), tzv. pravidlo rozdelenia právomocí, kedy užívateľ nemôže mať napr. rolu, ktorá ho oprávňuje k vydávaniu faktúr spoločne s rolou, ktorá faktúry kontroluje. Takéto zlyhanie v kontrolách užívateľského prístupu môže mať za následok zaznamenanie fiktívnych a chybných transakcií, čo má zase vplyv na spoľahlivosť finančných údajov.
  • Neoprávnené zmeny v kmeňových súboroch.
  • Neoprávnené zmeny systémov alebo programov môžu ovplyvniť spoľahlivosť reportov využívaných managementom i audítormi. Takisto automatizované kontroly (napr. automatizované vstupy, výstupy, spracovanie, kalkulácie a prístupové kontroly) môžu byť nevhodne zmenené. Nevhodné zmeny systémového softvéru, na ktorom sa nachádzajú aplikácie spracúvajúce finančné dáta, predstavujú ďalšie riziko zneužitia k získaniu neoprávneného prístupu k údajom a programom.
  • Neschopnosť previesť potrebné zmeny systémov a programov.
  • Nevhodné ručné zásahy.
  • Potenciálna strata dát alebo neschopnosť prístupu k údajom v prípade potreby, teda zlyhanie v kontrolách súvisiacich so zálohovaním a obnovou finančných údajov, taktiež ovplyvňujú spoľahlivosť a dostupnosť finančných údajov v prípade ich vymazania alebo straty bez možnosti obnovy.

Čo robíme:

  • Audit obecných kontrol – obecné kontroly IT sa zvyčajne zameriavajú na posúdenie praktík riadenia IT z hľadiska primeranosti ich návrhu a účinnosti. Hoci audit obecných kontrol môže byť obmedzený na určitú oblasť kontrol (napr. riadenie zmien alebo zálohovanie a obnova systémov), zvyčajne pokrývajú viacero oblastí, v ktorých sa odráža sled konkrétnych procesov alebo funkcií.
  • Audit aplikácií – jeho predmetom sú aplikácie s cieľom overenia ich spoľahlivosti, bezpečnosti a dostupnosti systému, prípadne určitého čiastkového aspektu (ako je napr. integrita dát alebo ukladanie a obnova dát po havárii).
  • Audit vývoja systémov – podľa úrovne komplexnosti môže byť jeho objektom kompletný vývoj a implementácia určitej aplikácie so zameraním na vývojový proces, jeho metodológiu a postupy, či preskúmanie výsledkov v jednotlivých vývojových fázach, splnenie potrieb užívateľov a spoľahlivosť a udržateľnosť systému.
  • Prevádzka IT – zahŕňa kontroly pre činnosti: riadenie prístupu, riadenie bezpečnosti, zálohovanie a obnova, zotavenie po havárii, scheduling a job monitoring.

Čo získate:

  • Zníženie rizika podvodu vďaka správne zabezpečenému a kontrolovanému prostrediu IT.
  • Menej zraniteľností, ktoré sa dajú zneužiť pri kybernetickom útoku.
  • Zvýšenú spoľahlivosť finančných údajov využívaných v obchodných operáciách, internom výkazníctve a strategickom rozhodovaní managementu.
  • Väčšiu šancu odhalenia nedostatkov skôr, ako prerastú vo väčší problém s významným dopadom na činnosť spoločnosti.
  • Jednoduchšie dodržiavanie zákonov a iných predpisov v prípade určitých odvetví, v ktorých je vyžadované kontrolované IT prostredie.
  • Zvýšenie produktivity v spoločnosti prostredníctvom efektívnych procesov.

Ak máte otázky, kontaktujte našich poradcov.

Mgr. Tomáš Ferianc
IT oddelenie

tomas.ferianc@moore-slovakia.sk