Πρότυπα Πληροφοριακών Συστηµάτων Διοίκησησ

Transcript

1 Πρότυπα Πληροφοριακών Συστηµάτων Διοίκησησ Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων -Διάλεξη 6 ΤΕΙ Δυτικής Ελλάδος Τµήµα Διοίκησης Επιχειρήσεων - Μεσολόγγι

2 Πληροφοριακά Συστήµατα (ΠΣ) ΠΣ: ένα οργανωµένο σύστηµα από 5 στοιχεία (Ανθρώπινο Δυναµικό, Υλικό, Λογισµικό, Δεδοµένα και Διαδικασίες) που αλληλεπιδρούν µεταξύ τους και µε το περιβάλλον, µε σκοπό την παραγωγή και διαχείριση πληροφορίας για την υποστήριξη ανθρώπινων δραστηριοτήτων στα πλαίσια του οργανισµού. 2

3 3 Κατηγορίες ΠΣ Μπορούµε να διακρίνουµε τα Π.Σ. σε κατηγορίες ανάλογα µε το ρόλο τους. Μια κατηγορία είναι τα Π.Σ. Διεξαγωγής Συναλλαγών. Τα συστήµατα αυτά διαχειρίζονται πληροφορίες που αφορούν δοσοληψίες: π.χ. διαχείριση αποθήκης, διαχείριση βιβλιοθήκης, διαχείριση λογαριασµών ΔΕΗ, διαχείριση πωλήσεων ενός καταστήµατος, διαχείριση τραπεζικών λογαριασµών, κλπ.

4 4 Κατηγορίες ΠΣ Μια δεύτερη κατηγορία είναι τα Π.Σ. Διοίκησης. Είναι συστήµατα που υποστηρίζουν τις δραστηριότητες της διοίκησης και τις διαδικασίες λήψης αποφάσεων παράγοντας πληροφορίες µε τη µορφή αναφορών και εκθέσεων χρήσιµων στη διοίκηση ενός οργανισµού για το στρατηγικό σχεδιασµό και τη λήψη αποφάσεων. Μια τρίτη κατηγορία είναι τα Π.Σ. Υποστήριξης Αποφάσεων. Τα συστήµατα αυτά αποτελούν εξειδίκευση των Π.Σ. Διοίκησης και είναι εφοδιασµένα µε ειδικό λογισµικό για την υποστήριξη αποφάσεων. Βασίζουν τη λειτουργία τους σε συνδυασµό δεδοµένων και κατάλληλων µοντέλων.

5 5 Δοµή και Λειτουργία ΠΣ Βασίζεται σε αιτιοκρατικές αρχές λειτουργίας Οι προδιαγραφές (requirements) και οι στόχοι (objectives) λειτουργίας του είναι προκαθορισµένοι Ø Εξ ορισµού ατελής σχεδίαση, υλοποίηση και λειτουργία Ø Αποκλίσεις ανάµεσα σε προβλεπόµενα και πραγµατικά αποτελέσµατα του ΠΣ

6 6 Ρόλος Ελεγκτικής ΠΣ Εντοπισµός των αποκλίσεων (αποδεκτών και µη) Εντοπισµός των αιτίων που προκαλούν τις αποκλίσεις Διατύπωση προτάσεων (recommendations) για λήψη µέτρων

7 7 Στάδια Ελέγχου ΠΣ Είσοδος συλλογή πληροφοριακών στοιχείων (evidence) που παράγονται από το ΠΣ Επεξεργασία Εύρηµα (finding) και Επίπτωση (impact) Έξοδος Πρόταση για βελτίωση (recommendation)

8 8 Αντικείµενο Ελεγκτικής ΠΣ Αξιοπιστία και αποτελεσµατικότητα ΠΣ Διαδικασίες λειτουργίας Διαχείριση ανάπτυξης Διαχείριση ανάπτυξης εφαρµογών λογισµικού Διαχείριση δεδοµένων

9 9 Ελεγκτική Ασφάλειας ΠΣ Προστασία των θεµελιωδών εννοιών Ακεραιότητα, Εµπιστευτικότητα Διαθεσιµότητα Ιδιωτικότητα Προσωπικών Δεδοµένων Συνδυασµός εννοιών από Πληροφορική Παραδοσιακή Ελεγκτική Διοίκηση Πληροφοριακών Συστηµάτων Επιστήµες της Ανθρώπινης Συµπεριφοράς

10 10 Βασικές Έννοιες Ελέγχου ΠΣ 1(3) Δοµές Ελέγχου (Control Structures) Τεκµηρίωση (Documentation) Έλεγχος (Control/Audit/Test/Check) Control Audit Test Check Ελεγκτική ΠΣ (IS Auditing)

11 11 Βασικές Έννοιες Ελέγχου ΠΣ 2(3) Εξωτερικός Έλεγχος (External Audit) Εσωτερικός Έλεγχος (Internal Audit) Νοµοθετικό πλαίσιο (Ν. 3016/2002) Επίπεδο Κινδύνου (Risk Level) Έκταση / Εύρος Ελέγχου (Scope of Audit)

12 12 Βασικές Έννοιες Ελέγχου ΠΣ 3(3) Πρότυπα (Standards) Πρότυπα Ελέγχου ΠΣ (IS Auditing Standards) Οδηγίες Εφαρµογής (Guidelines) Διαδικασίες (Procedures) Βέλτιστες Πρακτικές (Best Practices)

13 Πρότυπα 13

14 Οδηγίες και τεχνικές 14

15 15 Σηµασία του Ελέγχου ΠΣ Ανασφαλή λήψη αποφάσεων Απώλεια των δεδοµένων Αναποτελεσµατική χρήση του ΠΣ Κατάχρηση του ΠΣ Απώλεια Εµπιστευτικότητας και Ιδιωτικότητας Δεδοµένων Εσφαλµένη λειτουργία του ΠΣ

16 16 Χαρακτηριστικά του Ελέγχου ΠΣ Ατελή µέσα µέτρησης Απόδοσης ΠΣ Καταλληλότητας µέσων ελέγχου Εύλογο Επίπεδο Διασφάλισης (Reasonable Assurance Level) Ανάλυση Κόστους / Ωφέλειας (Cost/Benefit Analysis)

17 17 Οργάνωση του Ελέγχου ΠΣ Επιτροπή Ελέγχου (Audit Committee) Καταστατικός Χάρτης Ελέγχου ΠΣ (IS Audit Charter) Υπευθυνότητες και σκοποί της Διοίκησης Εξουσιοδοτήσεις προς άλλα τµήµατα του οργανισµού (delegation)

18 18 Σχεδιασµός Ελέγχου ΠΣ 1(5) Πλάνο Ελέγχου (ΠΕ) Απαιτούµενες ενέργειες ελέγχου Χρονοδιάγραµµα ενεργειών Οικονοµικά στοιχεία Επιπτώσεις στον οργανισµό από τον έλεγχο Εξαιρέσεις Αναδροµική δοµή

19 19 Σχεδιασµός Ελέγχου ΠΣ 2(5) Ανάπτυξη Πλάνου Ελέγχου Στόχοι ελέγχου Τεχνολογική υποδοµή Ρόλος και σηµασία του αντικειµένου του ελέγχου για τον Οργανισµό Ανάλυση Επικινδυνότητας Νοµικό και Κανονιστικό Πλαίσιο Χρονικές προθεσµίες για την υλοποίηση ΠΣ Τρέχουσες τεχνολογίες και τάσεις πληροφορικής Περιορισµοί των πληροφοριακών πόρων Γνώση του περιβάλλοντος ΠΣ και του τοµέα (industry)

20 20 Σχεδιασµός Ελέγχου ΠΣ 3(5) ΠΕ Κρίσιµοι Παράγοντες Επιτυχίας Σκοπός λειτουργίας του ΠΣ (IS business purpose) Λειτουργίες που υλοποιεί το ΠΣ Χρησιµοποιούµενες τεχνολογίες Ανάλυση επικινδυνότητας Επισκόπηση των µηχανισµών ελέγχου Καθορισµός εύρους και στόχων ελέγχου Διαµόρφωση στρατηγικής ελέγχου Κατανοµή των ελεγκτικών πόρων

21 21 Σχεδιασµός Ελέγχου ΠΣ 4(5) Έκταση και Χαρακτήρας Ελέγχου Κάθετος σε συγκεκριµένο αντικείµενο ελέγχου (επιχειρησιακή λειτουργία µισθοδοσίας) Οριζόντιος σύνολο αντικειµένων ελέγχου, µε συγκεκριµένο επίπεδο λεπτοµέρειας (έλεγχος των διαδικασιών ασφάλειας του οργανισµού)

22 22 Σχεδιασµός Ελέγχου ΠΣ 5(5) Νοµικά και Κανονιστικά θέµατα Εξωτερικές απαιτήσεις Πρακτικές και µηχανισµοί ελέγχου ΠΣ τρόπος αποθήκευσης υπολογιστών, λογισµικού και δεδοµένων Οργάνωση και δραστηριότητες του ΠΣ Νοµικό / Κανονιστικό πλαίσιο διαχείρισης εγγράφων Διερεύνηση βαθµού συµµόρφωσης του οργανισµού Διερεύνηση βαθµού αποτελεσµατικότητας των διαδικασιών κατά την καθηµερινή λειτουργία του ΠΣ

23 23 Κίνδυνοι και Ανάλυση Επικινδυνότητας Κίνδυνος (risk): διαφορετική έννοια σε διαφορετικά περιβάλλοντα Η δυνατότητα µιας δεδοµένης απειλής να εκµεταλλευτεί ευπάθειες σε ένα αγαθό ή οµάδα αυτών µε συνέπεια πρόκληση απώλειας ή ζηµιάς στα αγαθά. Η επίπτωση ή σχετική σοβαρότητα του κινδύνου είναι ανάλογη µε την επιχειρησιακή αξία της απώλειας / ζηµιάς και την εκτιµώµενη πιθανότητα εκδήλωσης της απειλής. [ISO /IEC TR , 1996]

24 24 Διαχείριση Κινδύνων Άµβλυνση των κινδύνων µε την εφαρµογή των µηχανισµών ελέγχου (2) Αξιολόγηση του επιπέδου ασφάλειας (3) Ανάλυση επικινδυνότητας (1) Εντοπισµός των Αντικείµενων Ελέγχου Επιλογή Ελεγκτικών Στόχων Κατάρτιση Προγραµµάτων Ελέγχου

25 25 Ελεγκτική ΠΣ και Ανάλυση Επικινδυνότητας Αποτελεσµατική αποτύπωση του ΠΣ Αποτελεσµατική κατανοµή των περιορισµένων ελεγκτικών πόρων Σύνδεση του συγκεκριµένου αντικείµενου ελέγχου µε τον οργανισµό Αφετηρία για αποτελεσµατική διαχείριση του τµήµατος Εσωτερικού Ελέγχου

26 26 Μηχανισµοί Ελέγχου ΠΣ 1(2) Μέσα εύλογης διαβεβαίωσης επίτευξης των επιχειρησιακών στόχων Διακρίνονται σε: Πολιτικές Διαδικασίες Πρακτικές Οργανωσιακές Δοµές

27 27 Μηχανισµοί Ελέγχου ΠΣ 2(2) Ποιότητα των Μηχανισµών Ελέγχου Τύπος (Προληπτικοί, Διαγνωστικοί, Διορθωτικοί) Βαθµός αυτοµατοποίησης Βαθµός τεκµηρίωσης Τάσεις και εξέλιξη Εµπέδωση οργανωσιακής κουλτούρας ελέγχου Συνεχής Έλεγχος ΠΣ (IS Continuous Auditing)

28 28 Στόχοι των Μηχανισµών Ελέγχου Στόχοι ασφάλειας ΠΣ Λειτουργικοί στόχοι Στόχοι συµµόρφωσης Στόχοι ανάκτησης Στόχοι συνέχειας

29 Δοµικά στοιχεία των Μηχανισµών Ελέγχου ΠΣ Λογιστικοί έλεγχοι Ασφάλεια των αγαθών του ΠΣ Αξιοπιστία των οικονοµικών εγγραφών Λειτουργικοί έλεγχοι Καθηµερινές λειτουργίες και δραστηριότητες του ΠΣ Ευθυγράµµιση της λειτουργίας του ΠΣ µε τους σκοπούς του οργανισµού Διοικητικοί έλεγχοι συµµόρφωση µε τις πολιτικές της Διοίκησης Υποστήριξη των λειτουργικών ελέγχων 29

30 30 Κύριες Περιοχές Ελέγχου ΠΣ 1(2) Ορισµός και διαχωρισµός Ρόλων και Υπευθυνοτήτων Πολιτική Ασφάλειας Πληροφοριών Διαδικασίες Πρόσληψης και Εκπαίδευσης Προσωπικού σε Επιχειρησιακές Δράσεις Συστήµατα Ελέγχου Λογικής Πρόσβασης Συστήµατα Ελέγχου Φυσικής Πρόσβασης

31 31 Κύριες Περιοχές Ελέγχου ΠΣ 2(2) Διεξαγωγή ελέγχων του τεχνικού επιπέδου ασφάλειας των (υπο) συστηµάτων του ΠΣ Τεκµηρίωση Συστηµάτων και Διαδικασιών Διεξαγωγή χαµηλού επίπέδου ελέγχων Ακεραιότητα των µηχανισµών αναφοράς του ΠΣ Ακεραιότητα του πυρήνα του Λ.Σ. (kernel) Διεξαγωγή ελέγχων για εξακρίβωση του τεχνικού επιπέδου ασφάλειας των εφαρµογών (applications) του ΠΣ

32 32 Το πλαίσιο Αναφοράς COBIT COBIT (Control Objectives for Information and related Technology) De facto πρότυπο Συνδυάζει και συνδέει τους οργανωσιακούς κινδύνους µε µηχανισµούς ελέγχου και τεχνικά θέµατα υλοποίησης Ένα σύνολο από 34 σκοπούς ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν αντίστοιχες διεργασίες του κύκλου ζωής ενός ΠΣ

33 33 Το πλαίσιο Αναφοράς COBIT Το πιο σηµαντικό πλαίσιο στο οποίο αναφέρονται όλοι οι επαγγελµατίες που σχετίζονται µε τη διακυβέρνηση ή τον έλεγχο της πληροφορικής είναι το πλαίσιο COBIT («Control OBjectives for Information and related Technology»). Το διεθνώς αναγνωρισµένο πλαίσιο COBIT περιγράφει αναλυτικά την εφαρµογή των δικλίδων ασφαλείας σε όλο το φάσµα της λειτουργίας και της διακυβέρνησης της πληροφορικής. Περιέχει τα κύρια πρότυπα που σχετίζονται µε την πληροφορική, όπως το ITIL (Information Technology Infrastructure Library).

34 34

35 35 Χρησιµότητα Οι διοικήσεις των εταιρειών αξιοποιούν το πλαίσιο COBIT ώστε να επιτύχουν επιπρόσθετη αξία στις επενδύσεις στα πληροφοριακά συστήµατα, καθώς επίσης και για να εξισορροπήσουν τους κινδύνους µε τις απαιτούµενες δικλίδες ασφαλείας. Τα ανώτερα στελέχη των επιχειρήσεων και των οργανισµών αναγνωρίζουν την ανάγκη της συµµόρφωσης µε το πλαίσιο COBIT, ώστε να διασφαλίσουν την αποδεκτή διαχείριση και τον επαρκή έλεγχο των υπηρεσιών της πληροφορικής.

36 36 Χρησιµότητα Τα στελέχη των διευθύνσεων της πληροφορικής λειτουργούν σύµφωνα µε το πλαίσιο COBIT, ώστε να εγγυώνται τις απαραίτητες υπηρεσίες, σύµφωνα µε τις επιχειρησιακές ανάγκες. Κάθε ελεγκτής πληροφοριακών συστη- µάτων οφείλει να γνωρίζει επαρκώς το πλαίσιο COBIT για τη διαµόρφωση και την τεκµηρίωση της επαγγελµατικής του γνώµης σε σχετικά θέµατα.

37 Σύνθεση του πλαισίου COBIT 37

38 Επιχειρησιακές απαιτήσεις (Business Requirements) Το πλαίσιο COBIT βασίζεται σε επτά συγκεκριµένα κριτήρια, τα οποία ονοµάζει επιχειρησιακές απαιτήσεις (Business Requirements). Τα κριτήρια αυτά είναι: 1. Αποτελεσµατικότητα. Η πληροφορία θα πρέπει να είναι σχετική, συναφής, ακριβής, περιεκτική, αξιοποιήσιµη και άµεσα προσβάσιµη. 2. Αποδοτικότητα. Η επιχείρηση θα πρέπει να αξιοποιεί µε τον βέλτιστο τρόπο τους διαθέσιµους πόρους της πληροφορικής. 3.Εµπιστευτικότητα. Αφορά την προστασία των ευαίσθητων δεδοµένων. 4. Ακεραιότητα. Σχετίζεται µε την ακρίβεια, την πληρότητα και την εγκυρότητα της πληροφορίας. 38

39 39 Επιχειρησιακές απαιτήσεις (Business Requirements) 5. Διαθεσιµότητα. Η πληροφορία θα πρέπει να είναι διαθέσιµη σύµφωνα µε τις ανάγκες της επιχείρησης. 6. Συµµόρφωση. Αφορά τη συµµόρφωση της επιχείρησης µε κανόνες, ρήτρες συµβολαίων και νοµοθεσίες σχετικές µε τα πληροφοριακά συστήµατα. 7. Αξιοπιστία. Σχετίζεται µε την παροχή της κατάλληλης πληροφόρησης προς τη διοίκηση της επιχείρησης.

40 40

41 41 Το πλαίσιο Αναφοράς COBIT Σχεδιασµός και Οργάνωση (Planning and Organization) Προµήθεια και Υλοποίηση (Acquisition and Implementation) Παράδοση και Υποστήριξη (Delivery and Support) Έλεγχος και Παρακολούθηση (Monitoring)

42 42 Το πλαίσιο Αναφοράς COBIT Εκτελεστική Περίληψη Πλαίσιο Αναφοράς Σκοποί Ελέγχου Οδηγίες Εφαρµογής προς τη Διοίκηση Οδηγίες Εφαρµογής Ελέγχου Εργαλειοθήκη Υλοποίησης

43 43 Το πλαίσιο Αναφοράς COBIT 4(4) Τεχνικά πρότυπα (ISO, EDIFACT) Οδηγίες και κατευθυντήριες γραµµές από την ΕΕ και διεθνείς οργανισµούς (OECD, ISACA) Κριτήρια πιστοποίησης για ΠΣ, προϊόντα και διεργασίες ΠΣ (ISO27000, ISO 9000, TickIT, CC) Διεθνή πρότυπα για εσωτερικό έλεγχο (COSO, IFAC, AICPA) De Facto βέλτιστες πρακτικές Αναπτυσσόµενα πρότυπα και τεχνικές σε ειδικές αγορές και τοµείς δραστηριότητας (e-commerce, τράπεζες, e-government)

44 44 Βασικές Έννοιες του COBIT Εταιρική Διακυβέρνηση µέσω της Πληροφορικής (IT Governance) Τέσσερις τοµείς (domains) σκοπών ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν τον κύκλο ζωής ενός ΠΣ Διεργασίες Πληροφορικής (IT Processes) Δραστηριότητες (Activities/Tasks)

45 45 Σκοποί Ελέγχου κατά COBIT 1(2) Πρωτεύων (Primary), όπου ο σκοπός ελέγχου επηρεάζει σε µεγάλο βαθµό τη διεργασία πληροφορικής Δευτερεύων (Secondary), όπου ο σκοπός ελέγχου επηρεάζει τη διεργασία πληροφορικής σε µικρότερο βαθµό Προαιρετικός (Blank), όπου ο σκοπός ελέγχου καλύπτεται από άλλους σκοπούς ελέγχου για τη συγκεκριµένη διεργασία πληροφορικής

46 46 Σκοποί Ελέγχου κατά COBIT 2(2) Ορισµός σκοπών ελέγχου σε υψηλό επίπεδο Επιχειρησιακή ανάγκη που εντάσσεται σε κάποια διεργασία του ΠΣ Σύνδεση σκοπών µε εφαρµόσιµους µηχανισµούς ελέγχου Ανεξαρτησία από τεχνικές υλοποιήσεις και λεπτοµέρειες Σκοποί ελέγχου σε ειδικά περιβάλλοντα και ΠΣ ενδέχεται να προϋποθέτουν ειδικές παραδοχές Οργάνωση ανά διεργασία/δραστηριότητα ΠΣ

47 47 COBIT Οδηγίες Εφαρµογής προς τη Διοίκηση Μετρικές, εργαλεία και τεχνικές τα οποία είναι στη διάθεση της Διοίκησης του ΠΣ Μοντέλα Ωριµότητας (Maturity Models) Κρίσιµοι Παράγοντες Επιτυχίας (Critical Success Factors) Κύριοι Δείκτες Στόχων (Key Goal Indicators) Κύριοι Δείκτες Απόδοσης (Key Performance Indicators)

48 48 COBIT Οδηγίες Εφαρµογής Ελέγχου Διευκόλυνση της εφαρµογή του Πλαισίου Αναφοράς και των γενικών Σκοπών Ελέγχου µέσα από ελεγκτικές διαδικασίες Παροχή µιας δοµηµένης προσέγγισης όσον αφορά τον έλεγχο και την αποτίµηση µηχανισµών ελέγχου ΠΣ

49 49

50 50 COBIT Εργαλειοθήκη Υλοποίησης Συµπυκνωµένη γνώση και εµπειρία από οργανισµούς οι οποίοι έχουν εφαρµόσει επιτυχώς το πλαίσιο COBIT Διάγνωση Διοικητικού Βαθµού Επίγνωσης (Management Awareness Diagnostic) Διάγνωση Ελέγχου ΠΣ (IT Control Diagnostic)

51 Περιορισµοί και ιδιαιτερότητες του COBIT Απαιτεί αναδιοργάνωση της οπτικής των οντοτήτων του οργανισµού που εµπλέκονται στην εφαρµογή του (key players) Το COBIT είναι ένα πλαίσιο που πρέπει να προσαρµοστεί στον συγκεκριµένο οργανισµό Το COBIT συνιστάται να χρησιµοποιηθεί εκ παραλλήλου µε άλλες ελεγκτικές προσεγγίσεις όπως το SysTrust Οι Οδηγίες Εφαρµογής προς τη Διοίκηση είναι γενικές και πρέπει να προσαρµοστούν ανάλογα 51

52 52 Διαδικασίες Ελέγχου ΠΣ Πολιτικές και πρακτικές οι οποίες έχουν εγκριθεί από τη Διοίκηση Στοχεύουν στην εύλογη διασφάλιση των στόχων ελέγχου Οι διαδικασίες αυτές είναι σκόπιµα γενικές και αφηρηµένες Μεταφράζονται σε συγκεκριµένες διαδικασίες ελέγχου, που ποικίλλουν ανάλογα µε το πληροφοριακό σύστηµα

53 53 Διεξαγωγή Ελέγχου ΠΣ Οικονοµικοί έλεγχοι Λειτουργικοί έλεγχοι Ενοποιηµένοι έλεγχοι Διοικητικοί έλεγχοι Έλεγχοι Πληροφοριακών Συστηµάτων

54 54 Γενικές διαδικασίες ελέγχου ΠΣ Κατανόηση του αντικειµένου του ελέγχου και του περιβάλλοντός του Ανάλυση επικινδυνότητας, γενικό πλάνο ελέγχου και χρονοπρογραµµατισµός Λεπτοµερές πλάνο ελέγχου Προπαρασκευαστική επισκόπηση του αντικειµένου υπό έλεγχο Αποτίµηση του αντικειµένου υπό έλεγχο Επιλεκτικοί έλεγχοι (tests of controls) Λεπτοµερείς έλεγχοι Δηµιουργία Αναφοράς Ελέγχου

55 55 Μεθοδολογία Ελέγχου ΠΣ Ένα σύνολο τεκµηριωµένων διαδικασιών ελέγχου, οι οποίες είναι σχεδιασµένες µε τρόπον ώστε να ικανοποιούν τους στόχους ελέγχου Καθορισµός της Έκτασης του Ελέγχου Καθορισµός των Στόχων του Ελέγχου Καθορισµός των Προγραµµάτων Ελέγχου

56 Προσδιορισµός του αντικειµένου και εύρους του ελέγχου Ικανοποιητικός προσδιορισµός αντικειµένου και εύρους ελέγχου? ΝΑΙ Προσδιορισµός των απαραίτητων ελεγκτικών πόρων και τεχνικών δεξιοτήτων 56 ΟΧΙ Ροή Εργασιών Ελέγχου ΠΣ ΟΧΙ Εκλογή της ελεγκτικής προσέγγισης και δοκιµής των µηχανισµών ελέγχου Προσδιορισµός των τοποθεσιών / εγκαταστάσεων για έλεγχο Προσδιορισµός των πηγών πληροφορίας προς έλεγχο ή επισκόπηση Προσέγγιση και µέθοδοι ελέγχου αποδεκτοί? ΝΑΙ Πηγές Πληροφορίας για τον οργανισµό, τα ΠΣ, κανονιστικό πλαίσιο, κλπ. Δηµιουργία λίστας ατόµων για λήψη συνέντευξης Παροχή πρόσβασης στις πηγές πληροφορίας για τον οργανισµό Διενέργεια Ελέγχων ΟΧΙ Τεκµηρίωση ελέγχου αποδεκτή? Επισκόπηση και αποτίµηση της επάρκειας της τεκµηρίωσης, των πολιτικών και διαδικασιών που σχετίζονται µε το αντικείµενο ελέγχου Προσέγγιση και µέθοδοι ελέγχου αποδεκτοί? ΝΑΙ Έκθεση Ελέγχου ΟΧΙ Προσδιορισµός των διαδικασιών αποτίµησης / δοκιµής των µηχανισµών ελέγχου Εκλογή Διαδικασιών για την αξιολόγηση των αποτελεσµάτων των ελέγχων

57 57 Τύποι Προγραµµάτων Ελέγχου Απουσία σαφών ορίων µεταξύ των περιοχών ελέγχου Επίπεδο Επιχειρησιακής Λειτουργίας Επίπεδο Διαδικασιών Επίπεδο Εφαρµογής Επίπεδο Αποθήκης Δεδοµένων Επίπεδο Πληροφοριακής Υποδοµής

58 58 Περιορισµοί και Κίνδυνοι του Ελέγχου ΠΣ Ελεγκτικός Κίνδυνος (Audit Risk) Εγγενής κίνδυνος (Inherent Risk) Κίνδυνος Μηχανισµού Ελέγχου (Control Risk) Κίνδυνος Διάγνωσης (Detection Risk) Ολικός Ελεγκτικός κίνδυνος (Overall Audit Risk)