Click to edit Master title style

Transcript

1 Τράπεζα Εµπορίου και Ανάπτυξης Ευξείνου Πόντου ιακυβέρνηση Πληροφορικής, Ασφάλεια και ο ρόλος του Εσωτερικού Ελέγχου Click to edit Master title style Παρουσίαση του κ. Παύλου Παυλίδη, ιευθυντή Εσωτερικού Ελέγχου στο Ελληνικό Ινστιτούτο Εσωτερικών Ελεγκτών, Αθήνα, 29 Μαρτίου 2006 Ατζέντα Εισαγωγή Το σκηνικό στην διακυβέρνηση της Πληροφορικής Επισκόπηση και προσδιορισµός των πλαισίων των καλών πρακτικών (frameworks of best practices), συµπεριλαµβανοµένων και αυτών για την Ασφάλεια Πληροφορικής Οφέλη της υιοθέτησης των πλαισίων των καλών πρακτικών (best practices) Ο ρόλος του Εσωτερικού Ελέγχου Συµπεράσµατα 1

2 Εισαγωγή Ο Οµιλητής Παύλος Παυλίδης, B.Sc., M.Sc., MIIA, CISA ιευθυντής Εσωτερικού Ελέγχου, Τράπεζα Εµπορίου και Ανάπτυξης Ευξείνου Πόντου Πρώην Μέλος και Γραµµατέας του Banking and Financial Services Group του IIA (UK & Ireland) 2

3 Η Τράπεζα Εµπορίου και Ανάπτυξης Εύξεινου Πόντου Η ΤΕΑΠ είναι ιεθνής Χρηµατοδοτικός Οργανισµός που ιδρύθηκε από το Αζερµπαϊτζάν, την Αλβανία, την Αρµενία, την Βουλγαρία, την Γεωργία, την Ελλάδα, την Μολδαβία, την Ουκρανία, την Ρουµανία, την Ρωσσία, και την Τουρκία. Με µετοχικό κεφάλαιο 1 δις SDR (περίπου 1,325 δις ολλάρια), η Τράπεζα στηρίζει την οικονοµική ανάπτυξη και την περιφερειακή συνεργασία, παρέχοντας δάνεια, εγγυήσεις και επενδύοντας σε µετοχές, προς αναπτυξιακά προγράµµατα ιδιωτικών και δηµόσιων επιχειρήσεων των χωρών µελών της. Η Τράπεζα Εµπορίου και Ανάπτυξης Εύξεινου Πόντου Η ιδρυτική συµφωνία κυρώθηκε από την Ελληνική Κυβέρνηση µε τον Ν.2308/1996 (ΦΕΚ 38/1996) Η έδρα της Τράπεζας βρίσκεται στην Θεσσαλονίκη (Συµφωνία έδρας µεταξύ της κυβέρνησης της Ελληνικής ηµοκρατίας και της Τράπεζας Εµπορίου και Ανάπτυξης Ευξείνου Πόντου-ΦΕΚ Ν.2707) Η Τ.Ε.Α.Π., ως I.F.I., δεν υπόκειται σε νοµοθεσία αλλά λειτουργεί κάτω από δικούς της κανονισµούς. Ακολουθεί τις βέλτιστες πρακτικές (best practices) σε σχέση µε την Εταιρική ιακυβέρνηση ( Corporate Governance ), συµπεριλαµβανοµένης και της ιακυβέρνησης της Πληροφορικής ( IT Governance ). 3

4 Το σκηνικό στην διακυβέρνηση της Πληροφορικής Σηµαντικά προβλήµατα που αντιµετωπίζουν οι εταιρείες σχετικά µε την πληροφορική (2006) Προβλήµατα στον διαχωρισµό των καθηκόντων, στις εφαρµογές και στην έγκαιρη εγκατάσταση νέων χρηστών και την ακύρωση παλιών. Ελειπής επιτήρηση των αλλαγών στις εφαρµογές. Ανεπαρκής καταγραφή, εξέταση και παρακολούθηση ελεγκτικών αναφορών πληροφοριακών συστηµάτων (audit trails/ audit logs). Αδυναµία έγκαιρου εντοπισµού αντικανονικών συναλλαγών. Έλλειψη κατανόησης των βασικών δοµών των συστηµάτων. Συστήµατα που δεν λειτουργούν στο αναµενόµενο επίπεδο και συστήµατα που δεν συνεργάζονται µεταξύ τους. 4

5 Σκέψεις σχετικά µε την ιακυβέρνηση Πληροφορικής (1) Σχετίζει η επιχείρηση την Εταιρική ιακυβέρνηση µε την ιακυβέρνηση της Πληροφορικής? Συµφωνεί µε την αντίληψη ότι η ιακυβέρνηση Πληροφορικής επικεντρώνεται σε ειδικά θέµατα? Αναγνωρίζει πως οι λειτουργίες της Πληροφορικής θα πρέπει να διέπονται από οµαδοποιηµένες διαδικασίες? Αναγνωρίζει πως στον εταιρικό σκοπό θα πρέπει να περιλαβαµβάνονται και οι δραστηριότητες που αφορούν την Πληροφορική? Κατανοεί ότι οι δικλείδες ασφάλειας (control processes) διασφαλίζουν το επιθυµητό αποτέλεσµα? Σκέψεις σχετικά µε την ιακυβέρνηση Πληροφορικής(2) Είναι κατανοητό πως η αποτελεσµατικότητα και η αποδοτικότητα των διαδικασιών βελτιώνεται λαµβάνοντας υπόψη τις συνέπειες που επιφέρει η πάροδος του χρόνου? Η εταιρεία χρησιµοποιεί µετρήσιµα µεγέθη? Στον προσδιορισµό της κατάστασης των συστηµάτων και των διαδικασιών λαµβάνεται υπόψη ο συσχετισµός του αποτελέσµατος µε την προσπάθεια που καταβάλλεται? Βάσει των παραπάνω συµπερασµάτων πραγµατοποιούνται οικονοµικά αποδοτικότερες µετατροπές/βελτιώσεις? Ποιά πλαίσια/βέλτιστες πρακτικές(best practices) θα χρησιµοποιηθούν? Ποιός είναι ο ρόλος του ιοικητικού Συµβουλίου, της ιοίκησης, της ιεύθυνσης, του CIO και του Εσωτερικού Ελέγχου? 5

6 Βασικά κανονιστικά πλαίσια στην ιακυβέρνηση COBIT ISO ειδικά σε σχέση µε την ασφάλεια Πληροφορικής ITIL BS Στόχοι των δικλείδων ασφαλείας πληροφορικής (IT control objectives) των Sarbanes Oxley (SOX) 404, του πλαισίου COSO, και της Βασιλείας ΙΙ (Basel II) Τον Μάρτιο του 2005 η Ευρωπαϊκή Επιτροπή υιοθέτησε το COBIT µαζί µε το ISO και το BS ως διεθνή πρότυπα διακυβέρνησης µε σκοπό την παροχή ασφάλειας και ελέγχου στην πληροφορία. Άλλα πλαίσια/ βέλτιστες πρακτικές (best practices) COSO (Committee Of Sponsoring Organizations of the Treadway Commission) CMM PRINCE2 EFQM ISO 9001 PAS 56.. Και άλλα 6

7 Στρατηγικοί Προβληµατισµοί πάνω στην ιακυβέρνηση Πληροφορικής Η υιοθέτηση στρατηγικής στην ιακυβέρνηση Πληροφορικής προϋποθέτει τoν επαναπροσδιορισµό µερικών πολύ σηµαντικών ενδοεπιχειρησιακών σχέσεων ανάµεσα στο τµήµα Πληροφορικής και : το ιοικητικό Συµβούλιο τις επιχειρησιακές µονάδες (business units) το.σ. και τις επιχειρησιακές µονάδες. Είναι σηµαντικό η στρατηγική να καθορίζεται είτε από αναγνωρισµένα πρότυπα, όπως το COBIT, το ISO ή το ITIL, είτε από ένα επίσηµο πλαίσιο σχεδιασµένο από το.σ. σε συνεργασία µε τον CIO, τα εταιρικά τµήµατα (... και τον Εσωτερικό Έλεγχο). Επισκόπηση του COBIT (Control Objectives for Information and related Technology) 7

8 COBIT: Ενα πλαίσιο σηµείων ελέγχου Πληροφορικής(IT control Framework) Ξεκινάει µε την προϋπόθεση ότι η πληροφορική πρέπει να παρέχει πληροφορίες χρήσιµες για την επίτευξη των στόχων της εταιρείας. Προάγει την υπάρξη διαδικασιών και τον καθορισµό υπευθύνων ως προς την διατήρηση και την ενηµέρωση αυτών. Χωρίζει το IT σε 34 διαδικασίες που ανήκουν σε 4 τοµείς (domains) και παρέχει υψηλού επιπέδου σηµεία ελέγχου (control objectives) για το καθένα. Εξετάζει τις ανάγκες για εχεµύθεια, ποιότητα και ασφάλεια των επιχειρήσεων, παρέχοντας επτά κριτήρια που µπορεί να χρησιµοποιηθούν για τον προσδιορισµό των εταιρικών απαιτήσεων προς το τµήµα Πληροφορικής. Περιέχει πάνω από 300 αναλυτικά σηµεία ελέγχου. Σχεδιασµός Προµήθεια και εφαρµογή Παράδοση & Υποστήριξη Παρακολούθηση Αποδοτικότητα Αποτελεσµατικότητα ιαθεσιµότητα Ακεραιότητα Εµπιστευτικότητα Αξιοπιστία Συµµόρφωση COBIT Υπέρ Ολοκληρωµένο και διαθέσιµο πλαίσιο ελέγχου πληροφορικής Αποδεκτό ως πρότυπο Υποστηρίζεται από το ISACA / ITGI Υποστηρίζεται από εκτενή ακαδηµαϊκή έρευνα Κατά Πολυπλοκότητα 34 διαδικασίες, 318 σηµεία ελέγχου Εχουν την ιδιότητα της οδηγίας µόνο χωρίς ειδικά σηµεία ελέγχου πληροφοριών εν έχουν καταγραφεί µέθοδοι ροής έργου, διαδικασίες κτλ για υποστήριξη Η ασφάλεια δεν αποτελεί «δυνατό σηµείο» ίνεται η αίσθηση πως έχουν συνταχθεί και αναπτυχθεί από ελεγκτές. 8

9 Επισκόπηση ISO Πρότυπα Ασφάλειας Πληροφοριών ISO/IEC 17799:2005 Αποτελεί κώδικα πρακτικής για την διαχείριση της ασφάλειας πληροφοριών. Παρέχει 132 οδηγίες για την ασφάλεια πληροφοριών, κάτω από 11 κύριες κατηγορίες,µε σκοπό να διευκολυνθεί ο ενδιαφερόµενος στο να βρει αυτά τα σηµεία ελέγχου ασφάλειας που αφορούν ειδικά την επιχείρησή του ή ειδικά την περιοχή αρµοδιότητάς του. Μαζί µε τα λεπτοµερή σηµεία ελέγχου ασφάλειας για υπολογιστές και δίκτυα, το ISO/IEC παρέχει επίσης καθοδήγηση σε πολιτικές ασφάλειας, ενηµέρωση του προσωπικού για την ασφάλεια, σχέδιο συνέχειας επιχειρησιακών διαδικασιών και νοµικές απαιτήσεις. 9

10 Πρότυπα Ασφάλειας Πληροφοριών ISO/IEC 27001:2005 (νέα έκδοση του BS 7799 Part 2) Αποτελεί πρότυπο διοίκησης, και εξηγεί πως δηµιουργείται, διατηρείται και βελτιώνεται ένα σύστηµα διοίκησης ασφάλειας πληροφοριών (ISMS). Εχει στοιχειοθετηθεί πάνω στην εκτίµηση των κινδύνων και στο µοντέλο του Σχεδιάζω- Πραγµατοποιώ - Ελέγχω-Ενεργώ, τα οποία είναι δύο πολύ σηµαντικά στοιχεία της εταιρικής διακυβέρνησης. Παρέχει µία άριστη βάση για την δηµιουργία των σηµείων ελέγχου που είναι απαραίτητοι για να εκπληρώσει η ιοίκηση την εταιρική αποστολή της, να διαχειριστεί τους κινδύνους, να εξασφαλίσει αποδοτικούς ελέγχους και να αναζητήσει βελτιώσεις όπου χρειάζεται. ISO/IEC Έκδοση ISO/IEC (Part 1) έχει αναθεωρηθεί και είναι γνωστό ως ISO/IEC 17799:2005 (Πληροφορική Τεχνικές Ασφάλειας Κώδικας Πρακτικής ιοίκησης Ασφάλειας Πληροφοριών) Καλύπτει: Πολιτική Ασφάλειας, Οργάνωση Ασφάλειας Πληροφοριών, ιαχείρηση Ενεργητικού, Ασφάλεια ιαχείρησης Προσωπικού, Φυσική και Περιβαλλοντική Ασφάλεια, ιαχείρηση Επικοινωνιών και Εργασιών, Έλεγχος Πρόσβασης, Απόκτηση/Ανάπτυξη/ ιατήρηση Πληροφοριακών Συστηµάτων, ιαχείρηση Περιπτώσεων Ασφάλειας Πληροφοριών, ιαχείρηση Συνέχισης Επιχειρήσεων, Συµµόρφωση (Compliance). Τα σηµεία ελέγχου (controls) για την ασφάλεια, αποτελούν δυνατό σηµείο του ISO 17799, δεν εξηγείται όµως το «πως» εφαρµόζονται. 10

11 Επισκόπηση του ITIL Βιβλιοθήκη υποδοµής Πληροφορικής (ITIL) Μια σειρά βιβλίων που περιγράφουν το πλαίσιο των καλών πρακτικών (best practices) για την παροχή ποιοτικών υπηρεσιών Πληροφορικής. Η πρώτη καταγραφή του έγινε την περίοδο και αναθεωρήθηκε την περίοδο Τυπώθηκε στο Ηνωµένο Βασίλειο από The OGC και εκδόθηκε από το The Stationery Office Non-proprietary, αµερόληπτο, γενικό και ευρέως διαθέσιµο Στοχεύει στην εφαρµογή, διατήρηση και βελτίωση της υψηλής ποιότητας και της αποδοτικότητας, ως προς το κόστος, των υπηρεσιών πληροφορικής. Προωθεί µια ποιοτική προσέγγιση της επίτευξης της αποδοτικότητας και αποτελεσµατικότητας των επιχειρήσεων στην χρήση των πληροφοριακών συστηµάτων. 11

12 Βιβλιοθήκη υποδοµής Πληροφορικής (ITIL) Βασίζεται επιλεκτικά στην εµπειρία των επαγγελµατιών εµπορικών ή κρατικών επιχειρήσεων σε παγκόσµια κλίµακα. Χρησιµοποιείται από µερικές από τις µεγαλύτερες παγκοσµίως επιχειρήσεις και µπορεί να εφαρµοστεί και σε όλους τους οργανισµούς. Αποτελεί την βάση για το Βρεταννικό Πρότυπο BS15000 και το ιεθνές Πρότυπο ISO20000 Υιοθετεί το πλαίσιο και το προσαρµόζει για να ανταπεξέλθει στις απαιτήσεις ενός οργανισµού. Τα βιβλία του ITSM στο ITIL 12

13 Φιλοσοφία του ITIL Προσέγγιση µέσω διαδικασιών οι οποίες διέπουν τις λειτουργικές οµάδες. Κλιµακωτό κατάλληλο για πολύ µικρούς και πολύ µεγάλους οργανισµούς Ολοκληρωµένες διαδικασίες που σχετίζονται στενά µεταξύ τους το σύνολο είναι καλύτερο από το επιµέρους άθροισµα Οδηγεί στην βέλτιση διαχείρηση του ανθρώπινου δυναµικού, των διαδικασιών και της τεχνολογίας Η συνεχής βελτίωση αποτελεί βασική αρχή Οι διαδικασίες πληροφορικής αποτελούν το δυνατό σηµείο του ITIL, παρουσιάζει όµως περιορισµένη έκταση στην ανάπτυξη της ασφάλειας και των συστηµάτων. Συνεχής Βελτίωση Υπηρεσιών 13

14 BS15000 Μοντέλο ιαδικασίας Σχεδιασµός των Πλαισίων/ Ανταπόκριση στις απαιτήσεις των: COSO, Sarbanes-Oxley και Basel II 14

15 Σηµεία Ελέγχου Πληροφορικής στο Sarbanes Oxley Το Ινστιτούτο ιακυβέρνησης Πληροφορικής ( εξέδωσε οδηγία προς τους επαγγελµατίες πληροφορικής σχετικά µε την εφαρµογή του Sarbanes-Oxley υπό το πρίσµα της Πληροφορικής: Sarbanes-Oxley; Η σηµασία της Πληροφορικής στον σχεδιασµό, εφαρµογή και στήριξη των εσωτερικών δικλείδων ασφαλείας Η έκδοση είναι αποτέλεσµα οµαδικής προσπάθειας της βιοµηχανίας και των ελεγκτών. Το ITGI είναι παγκοσµίως αναγνωρισµένο ως πρωτοπόρο στην διακυβέρνηση, τον έλεγχο και την διασφάλιση της Πληροφορικής µε µέλη σε περισσότερες από 100 χώρες. Αλλες οδηγίες ελέγχου εξετάστηκαν και εναρµονίστηκαν µε αυτήν την προσέγγιση κατά το στάδιο της διαδικασίας ανάπτυξης, συµπεριλαµβάνοντας το ISO 17799, Κοινά Κριτήρια, το ITIL, και το SysTrust «Μοντέλο COSO» Το COSO αποτελεί το πλαίσιο από το οποίο επιλέγονται τα σηµεία ελέγχου µε σκοπό την συµµόρφωση µε το SOX Και τα 5 επίπεδα πρέπει να λαµβάνονται υπόψη στην αξιολόγηση των εσωτερικών δικλείδων ασφαλείας (internal controls) To CΟΒΙT αποτελεί ένα κοινά αποδεκτό πλαίσιο δικλείδων ασφαλείας πληροφορικής (IT control framework) (ITGI) COBIT παρέχει 4 κατηγορίες (domains) ελέγχου πληροφορικής (IT control) Τα σηµεία ελέγχου του COBIT απευθύνονται στα 5 επίπεδα του COSO Με την υιοθέτηση αυτής της προσέγγισης,οι οργανισµοί διασφαλίζουν την συµµόρφωσή τους µε το COSO. 15

16 COBIT και COSO Η έκδοση του ITGI παρέχει οδηγίες στους επαγγελµατίες πληροφορικής για το πως να εφαρµόσουν τις απαιτήσεις του SOX. ίνονται λεπτοµερή σηµεία ελέγχου για κάθε κατηγορία του COBIT τα οποία επιµερούνται στις αντίστοιχες οµάδες του COSO Παρέχεται η βάση για την καθιέρωση των σηµείων ελέγχου της πληροφορικής στα πλαίσια του Sarbanes-Oxley Οι Οργανισµοί θα πρέπει να προσδιορίσουν τις ανάγκες τους και να διαµορφώσουν την προσέγγισή τους ανάλογα. Ευθυγραµµίζοντας COBIT, ITIL και ISO για το καλό της επιχείρησης Μια ιοικητική Σύνοψη από το ITGI και το γραφείο του Κρατικού Εµπορίου (Office of Government Commerce) Κοινή µελέτη, µε την πρωτοβουλία του ITGI και του γραφείου Κρατικού Εµπορίου της Βρεταννικής Κυβέρνησης Απαντά στην όλο και µεγαλύτερη σηµασία των καλών πρακτικών στην βιοµηχανία της Πληροφορικής και στην ανάγκη της κατανόησης της αξίας τους και του τρόπου εφαρµογής τους από τις µεγάλες επιχειρήσεις και τους ιευθυντές Πληροφορικής. Εξειδικευµένες πρακτικές και πρότυπα όπως το ITIL και το ISO καλύπτουν διακριτικές περιοχές και µπορούν να επιµεριστούν στο πλαίσιο του COBIΤ, ταξινοµώντας τις οδηγίες. Αυτό το έγγραφο υποδεικνύει µε ποιό τρόπο συνδέονται όλα µεταξύ τους. 16

17 Παράδειγµα: Mapping COBIT, ITIL και ISO Basel II Capital Accord Αναπτύχθηκε από Bank of International Settlement Σχεδιάστηκε για να εναρµονίσει τις κεφαλαιουχικές απαιτήσεις των τραπεζών, υπογραµµίζοντας τους κινδύνους (πιστωτικούς και λειτουργικούς) Απαιτείται: η µέτρηση, παρακολούθηση, αντιµετώπιση και αποκάλυψη του κινδύνου 17

18 Basel II Προσέγγιση βασισµένη στις σχετικές διαδικασίες µε την Ασφάλεια που ακολουθείται από µεγάλη εµπορική τράπεζα Αξιολόγηση Κινδύνων στην Ασφάλεια Πληροφοριών Απειλές, αδύνατα σηµεία, επιθέσεις, πιθανότητες ύπαρξης Στρατηγική στην Ασφάλεια Πληροφοριών Σχεδιασµός για την ενοποίηση της τεχνολογίας, πολιτικές, διαδικασίες και εκπαίδευση Εφαρµογή των ικλείδων Ασφαλείας (Security Controls) Απόκτηση και εφαρµογή της τεχνολογίας, κατάλληλα σηµεία ελέγχου των κινδύνων, διασφάλιση πως η διοίκηση και το προσωπικό κατανοούν τις ευθύνες τους. Έλεγχος Ασφάλειας Επιβεβαίωση πως τα σηµεία ελέγχου είναι αποτελεσµατικά και αποδίδουν στο αναµενόµενο. Παρακολούθηση και Αναθεώρηση Συνεχής συλλογή στοιχείων αναφορικά µε τις απειλές και τα αδύνατα σηµεία. Basel II Σηµεία Ελέγχου που εφαρµόζονται από µεγάλη εµπορική τράπεζα ιαχείρηση δικαιωµάτων πρόσβασης Πιστοποίηση Πρόσβαση ικτύου Πρόσβαση στο Λειτουργικό Σύστηµα Πρόσβαση στις Εφαρµογές Πρόσβαση σε αποµακρυσµένα συστήµατα Συστήµατα και Υπηρεσίες από εξωτερικούς συνεργάτες Καταγραφή και Συλλογή εδοµένων Χωρητικότητα, συνέχεια επιχειρησιακών διαδικασιών και Σχεδιασµός εκτάκτου ανάγκης 18

19 Sarbanes-Oxley και Basel II Με σκοπό την συµµόρφωση στο Sarbanes-Oxley και στο Basel II µπορούν να εφαρµοστούν το ίδιο πλαίσιο ιακυβέρνησης Πληροφορικής και οι ίδιες απαιτήσεις σε αναφορές και ελέγχους? Η απάντηση είναι απλά ΝΑΙ. Οφέλη από την εφαρµογή του πλαισίου καλών πρακτικών (best practices) 19

20 Οφέλη από την εφαρµογή των καλών πρακτικών (best practices) Αποφεύγεται η επαν-εφεύρεση του τροχού Μειώνεται η εξάρτηση από τους ειδικούς στην τεχνολογία Αυξάνεται η πιθανότητα να χρησιµοποιείται λιγότερα έµπειρο προσωπικό έχοντας σωστή εκπαίδευση Μετριάζεται η ανάγκη βοήθειας από εξωτερικούς συνεργάτες Ξεπερνά τις κάθετες απόψεις και απροσάρµοστες συµπεριφορές Μειώνονται οι κίνδυνοι και τα λάθη Βελτιώνεται η ποιότητα Βελτιώνεται η ικανότητα διαχείρησης και παρακολούθησης Αυξάνεται η προτυποποίηση µειώνοντας το κόστος Βελτιώνεται η εµπιστοσύνη και η πίστη της διοίκησης και των τρίτων Κερδίζεται ο σεβασµός των νοµοθετών και των άλλων αξιολογητών ιασφαλίζεται και βελτιώνεται η αξία Επίσης: ισχυροποιούνται οι σχέσεις µεταξύ προµηθευτή/πελάτη, διευκολύνεται η παρακολούθηση και η εφαρµογή των συµβατικών υποχρεώσεων, και βελτιώνεται η θέση στην αγορά των εταιρειών που τις εφαρµόζουν. Πλαίσια ιακυβέρνησης Πληροφορικής 20

21 Μια ολοκληρωµένη προσέγγιση Η εφαρµογή για να είναι αποδοτική στην χρήση της, θα πρέπει να είναι δοµηµένη, βάση προτεραιοτήτων και σχεδιασµένη. Για να ευθυγραµµιστούν οι βέλτιστες πρακτικές (best practices) µε τις εταιρικές απαιτήσεις συνιστάται να χρησιµοποιηθεί το COBIT στο υψηλότερο επίπεδο, καθώς παρέχει ένα ολοκληρωµένο πλαίσιο δικλείδων ασφαλείας το οποίο βασίζεται σε ένα µοντέλο Πληροφορικής που θα πρέπει να ταιριάζει γενικά σε κάθε οργανισµό. Τις ειδικές περιοχές καλύπτουν ειδικές πρακτικές και πρότυπα, όπως το ITIL και ISO τα οποία µπορούν να σχεδιαστούν πάνω στο COBIT καθώς παρέχουν ιεραρχηµένο υλικό οδηγιών. Ο ρόλος του Εσωτερικού Ελέγχου 21

22 Ο ρόλος του Εσωτερικού Ελέγχου Να παρέχει διαβεβαίωση στην αξιολόγηση των δικλείδων ασφαλείας και στην διαδικασία διαχείρησης κινδύνων. Να «επαγρυπνεί» τον οργανισµό σχετικά µε τον κίνδυνο και την εταιρική διακυβέρνηση. Να χρησιµοποιεί τα αποτελέσµατα της διαχείρησης των κινδύνων. Να συµβάλλει στην γνώση του κινδύνου και του ελέγχου και να προάγει κουλτούρα ηθικής. Να βοηθά στην διευκόλυνση της εφαρµογής µιας µεθοδολογίας κινδύνου/ελέγχου. Η ΑΝΑΠΤΥΞΗ ΤΟΥ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ Παραδοσιακός Προοδευτικός Πρωτοποριακός Ασυνόµευση (εντοπίζει-ανιχνεύει) Βασισµένος σε χρηµατοοικονοµικές δικλείδες ασφαλείας Επικέντρωση στον έλεγχο Ιεραρχικός Αναδροµικός Πρόληψη Συνέταιρος στην Επιχείρηση Επικέντρωση στην επιχείρηση Με µελλοντική προσέγγιση των θεµάτων Τεχνολογικός Change Management Επικέντρωση στο ανθρώπινο δυναµικό Επιµορφωτικός Σύµβουλοι Κινδύνων Άϋλα στοιχεία ενεργητικού (intangible assets) 22

23 Καθοδήγηση των Εσωτερικών Ελεγκτών σε σχέση µε την εφαρµογή της ιακυβέρνησης της Πληροφορικής Από που πρέπει να ξεκινήσουν? ιοικητικό Συµβούλιο, ιοίκηση και CIO Αξιολόγηση του καθεστώτος που ισχύει κάνοντας κρίσιµες ερωτήσεις πάνω στην Πληροφορική. Υπάρχουν Στρατηγική Πληροφορικής και σχετική Οργανωτική Επιτροπή? Ερωτήσεις: Εντοπισµός θεµάτων Πληροφορικής που υπάρχουν Πόσο συχνά συναντάται αποτυχία έργων? Είναι ευχαριστηµένοι οι τελικοί χρήστες? Πόση προσπάθεια καταβάλλεται για τo (firefighting) και την συντήρηση? Κ.τ.λ. Αυτοαξιολόγηση των σηµείων ελέγχου κινδύνων Ερωτήσεις για να: Προσδιοριστεί πως η διοίκηση χειρίζεται θέµατα Πληροφορικής Πως οι στόχοι της Πληροφορικής ευθυγραµµίζονται µε αυτούς της επιχείρησης? Πως µετριέται η αξία που προσδίδει η Πληροφορική? ιατηρείται ένα ενήµερο πρωτόκολλο κινδύνων και πως αυτό χρησιµοποιείται? Κ.τ.λ. Αξιολόγηση των πρακτικών ιακυβέρνησης Πληροφορικής του ιοικητικού Συµβουλίου Το ιοικητικό Συµβούλιο έχει ξεκάθαρη εικόνα των κινδύνων και αποτελεσµάτων Πληροφορικής? Το ιοικητικό Συµβούλιο ενηµερώνεται συχνά µε αναφορές για την πρόοδο των κυριότερων έργων Πληροφορικής? Παρέχεται στο ιοικητικό Συµβούλιο ανεξάρτητη διαβεβαίωση στόχων και κινδύνων? Η Πληροφορικη χρησιµοποιεί ή ακολουθεί τις βέλτιστες πρακτικές (best practices)? Κ.τ.λ. 23

24 Η ανάγκη για δράση Συνέπειες ΧΑΣΜΑ ΕταιρικοίΚίνδυνοικαι Απαιτήσεις Συµµόρφωσης Ικανότητα ιαχείρησης Κινδύνων Χρόνος Ο οργανισµός χρειάζεται: Να καταλαβαίνει ξεκάθαρα τι πραγµατικά έχει σηµασία στους µετόχους (stakeholders). Να αναγνωρίζει τα γεγονότα και τις αβεβαιότητες που µπορεί να επηρεάσουν την αξία όπως αυτή γίνεται αντιληπτή από τους µετόχους. Να χρησιµοποιεί συστήµατα έγκαιρης προειδοποίησης για την αξιολόγηση των δραστηριοτήτων και των γεγονότων, ώστε να λαµβάνονται αποφάσεις που επηρεάζουν την αξία και µειώνουν τον χρόνο που αφιερόνεται για «πυρόσβεση» (firefighting). Να µετρούνται οι συνέπειες των στρατηγικών αποφάσεων πάνω στα βασικά περιουσιακά στοιχεία όπως αυτά γίνονται αντιληπτά από τους µετόχους. 24

25 Ποιά είναι τα χαρακτηριστικά των έγκαιρων προειδοποιήσεων στους βασικούς δείκτες κινδύνων? Πρέπει να είναι κάτι παραπάνω από απλά χρηµατοοικονοµικά µέτρα. Πρέπει να συµβαδίζουν µε την στρατηγική του οργανισµού Μπορούν να λαµβάνουν υπόψη τον χρόνο, το κόστος και την ποιότητα Να χρησιµοποιούνται δείκτες του COBIT Άλλα Συµπέρασµα 25

26 Συµπέρασµα: Μια τελευταία σύνοψη για τον Εσωτερικό Ελεγκτή Προώθηση της γνώσης των καλών πρακτικών(best practices) και εντοπισµός των αδυναµιών των δικλείδων ασφαλείας µε την εφαρµογή ερωτηµατολογίων και Αυτοαξιολόγησης (self assessment). ηµιουργία ενός πλάνου εφαρµογής χρησιµοποιώντας τα «επίπεδα ωρίµανσης» (maturity levels) που περιγράφονται στο COBIT. ηµιουργία ροής συναλλαγών και πινάκων Αξιολόγησης/ µέτρησης Κινδύνων(Risk Assessment Matrices). Εντοπισµός Βασικών εικτών Κινδύνων (Key Risk Indicators). Εφαρµογή συνεχούς παρακολούθησης. Ο Εσωτερικός Έλεγχος παίζει πολύ σηµαντικό ρόλο στην διαδικασία ιακυβέρνησης Πληροφορικής. Χρήσιµοι ικτυακοί Τόποι Σχετικά µε το COBIT: Σχετικά µε το ITIL: Σχετικά µε το ISO 17799: 26