Ελεγκτική Πληρουοριακών Συστημάτων

Ελεγκτική Πληρουοριακών Συστημάτων Βαζίιεο Σζνχκαο Σκήκα Πιεξνθνξηθήο Οηθνλνκηθφ Παλεπηζηήκην Αζελψλ Πιεξνθνξηαθά πζηήκαηα (Π) Π: έλα νξγαλσκέλν ζχζηεκα απφ 5 ζηνηρεία (Αλζξψπηλν Γπλακηθφ, Τιηθφ, Λνγηζκηθφ, Γεδνκέλα θαη Γηαδηθαζίεο) πνπ αιιειεπηδξνχλ κεηαμχ ηνπο θαη κε ην πεξηβάιινλ, κε ζθνπφ ηελ παξαγσγή θαη δηαρείξηζε πιεξνθνξίαο γηα ηελ ππνζηήξημε αλζξψπηλσλ δξαζηεξηνηήησλ ζηα πιαίζηα ηνπ νξγαληζκνχ. 2 1

Γνκή θαη Λεηηνπξγία Π Βαζίδεηαη ζε αηηηνθξαηηθέο αξρέο ιεηηνπξγίαο Οη πξνδηαγξαθέο (requirements) θαη νη ζηόρνη (objectives) ιεηηνπξγίαο ηνπ είλαη πξνθαζνξηζκέλνη Δμ νξηζκνχ αηειήο ζρεδίαζε, πινπνίεζε θαη ιεηηνπξγία Απνθιίζεηο αλάκεζα ζε πξνβιεπφκελα θαη πξαγκαηηθά απνηειέζκαηα ηνπ Π 3 Ρφινο Διεγθηηθήο Π Δληνπηζκφο ησλ απνθιίζεσλ (απνδεθηψλ θαη κε) Δληνπηζκφο ησλ αηηίσλ πνπ πξνθαινχλ ηηο απνθιίζεηο Γηαηχπσζε πξνηάζεσλ (recommendations) γηα ιήςε κέηξσλ 4 2

ηάδηα Διέγρνπ Π Δίζνδνο ζπιινγή πιεξνθνξηαθψλ ζηνηρείσλ (evidence) πνπ παξάγνληαη απφ ην Π Δπεμεξγαζία Δύξεκα (finding) θαη Δπίπησζε (impact) Έμνδνο Πξόηαζε γηα βειηίσζε (recommendation) 5 Αληηθείκελν Διεγθηηθήο Π Αμηνπηζηία θαη απνηειεζκαηηθφηεηα Π Γηαδηθαζίεο ιεηηνπξγίαο Γηαρείξηζε αλάπηπμεο Γηαρείξηζε αλάπηπμεο εθαξκνγψλ ινγηζκηθνχ Γηαρείξηζε δεδνκέλσλ 6 3

Διεγθηηθή Αζθάιεηαο Π Πξνζηαζία ησλ ζεκειησδψλ ελλνηψλ Αθεξαηφηεηα, Δκπηζηεπηηθφηεηα Γηαζεζηκφηεηα Ιδησηηθφηεηα Πξνζσπηθψλ Γεδνκέλσλ Οπηηθή γσλία ηνπ ειέγρνπ (Audit Context) πλδπαζκφο ελλνηψλ απφ Πιεξνθνξηθή Παξαδνζηαθή Διεγθηηθή Γηνίθεζε Πιεξνθνξηαθώλ Σπζηεκάησλ Δπηζηήκεο ηεο Αλζξώπηλεο Σπκπεξηθνξάο 7 Βαζηθέο Έλλνηεο Διέγρνπ Π 1(3) Γνκέο Διέγρνπ (Control Structures) Σεθκεξίσζε (Documentation) Έιεγρνο (Control/Audit/Test/Check) Control: πξφιεςε θαη εληνπηζκφο απνθιίζεσλ Audit: εμαθξίβσζε ηθαλφηεηαο/απνηειεζκαηηθφηεηαο κεραληζκψλ ειέγρνπ Test: δνθηκή κεραληζκψλ ειέγρνπ Check: έιεγρνο θαιήο ιεηηνπξγίαο ησλ ζπληζησζψλ ηνπ ζπζηήκαηνο Διεγθηηθή Π (IS Auditing): ε επηζηήκε ηεο αμηνιφγεζεο ησλ ππαξρφλησλ κεραληζκψλ ειέγρνπ ζε Π.. 8 4

Βαζηθέο Έλλνηεο Διέγρνπ Π 2(3) Δμσηεξηθφο Έιεγρνο (External Audit) Δζσηεξηθφο Έιεγρνο (Internal Audit) Ννκνζεηηθφ πιαίζην (Ν. 3016/2002): π.ρ. νξγαληζκνί εηζεγκέλνη ζην Υξεκαηηζηήξην Δπίπεδν Κηλδχλνπ (Risk Level): απνηηκψκελν επίπεδν επηθηλδπλφηεηαο πιεξνθνξηαθνχ αγαζνχ ηε ζηηγκή ηνπ ειέγρνπ Έθηαζε / Δχξνο Διέγρνπ (Scope of Audit): φξηα ειέγρνπ, επίπεδα ιεπηνκέξεηαο, νηθνλνκηθνί-ρξνληθνί πεξηνξηζκνί 9 Βαζηθέο Έλλνηεο Διέγρνπ Π 3(3) Πξφηππα (Standards) Πξνδηαγεγξακκέλα επίπεδα απφδνζεο ηνπ Π de jure: π.ρ. ISO de facto: π.ρ. TCP/IP Πξφηππα Διέγρνπ Π (IS Auditing Standards): ππνρξεσηηθέο απαηηήζεηο γηα ηε δηεμαγσγή ηνπ ειέγρνπ Π.. Οδεγίεο Δθαξκνγήο (Guidelines): ελδεηθηηθέο ζπκβνπιέο γηα ηελ εθαξκνγή ησλ ειεγθηηθψλ πξνηχπσλ Γηαδηθαζίεο (Procedures): ελδεηθηηθέο αθνινπζίεο ελεξγεηψλ πνπ κπνξεί λα αθνινπζήζεη έλαο ειεγθηήο Βέιηηζηεο Πξαθηηθέο (Best Practices): ζχλνια ηερληθψλ θαη πξαθηηθψλ πνπ βαζίδνληαη ζηελ πνιπεηή εκπεηξία εηδηθψλ αζθάιεηαο θαη ειέγρνπ 10 5

εκαζία ηνπ Διέγρνπ Π Αλαζθαιή ιήςε απνθάζεσλ Απψιεηα ησλ δεδνκέλσλ Αλαπνηειεζκαηηθή ρξήζε ηνπ Π Καηάρξεζε ηνπ Π Απψιεηα Δκπηζηεπηηθφηεηαο θαη Ιδησηηθφηεηαο Γεδνκέλσλ Δζθαικέλε ιεηηνπξγία ηνπ Π 11 Υαξαθηεξηζηηθά ηνπ Διέγρνπ Π Αηειή κέζα κέηξεζεο Απφδνζεο Π Καηαιιειφηεηαο κέζσλ ειέγρνπ Δχινγν Δπίπεδν Γηαζθάιηζεο (Reasonable Assurance Level): αλεθηφ επίπεδν εκπηζηνζχλεο φηη ηα απνηειέζκαηα ηνπ ειέγρνπ αληηθαηνπηξίδνπλ ηελ πξαγκαηηθή θαηάζηαζε ηνπ Π.. Αλάιπζε Κφζηνπο / Ωθέιεηαο (Cost/Benefit Analysis): θαηά πφζν ε δέζκεπζε πφξσλ γηα ηελ πξνζηαζία κηαο εππάζεηαο ηνπ Π.. σθειεί ηνλ νξγαληζκφ 12 6

Οξγάλσζε ηνπ Διέγρνπ Π Καηαζηαηηθφο Υάξηεο Διέγρνπ Π (IS Audit Charter) Τπεπζπλφηεηεο θαη ζθνπνί ηεο Γηνίθεζεο Δμνπζηνδνηήζεηο πξνο άιια ηκήκαηα ηνπ νξγαληζκνχ (delegation) Δπηηξνπή Διέγρνπ (Audit Committee) Γηαρείξηζε ειεγθηηθψλ πφξσλ Γηαρείξηζε πξνζσπηθνχ Δπηινγή πξνζσπηθνχ Γηαξθήο εθπαίδεπζε πξνζσπηθνχ 13 ρεδηαζκφο Διέγρνπ Π 1(5) Πιάλν Διέγρνπ (ΠΔ) Απαηηνχκελεο ελέξγεηεο ειέγρνπ Υξνλνδηάγξακκα ελεξγεηψλ Οηθνλνκηθά ζηνηρεία Δπηπηψζεηο ζηνλ νξγαληζκφ απφ ηνλ έιεγρν Δμαηξέζεηο Αλαδξνκηθή δνκή Πεξηέρνληαη άιια πιάλα Τπάξρνπλ αλαθνξέο ζε άιια πιάλα 14 7

ρεδηαζκφο Διέγρνπ Π 2(5) Αλάπηπμε Πιάλνπ Διέγρνπ ηφρνη ειέγρνπ Σερλνινγηθή ππνδνκή Ρφινο θαη ζεκαζία ηνπ αληηθεηκέλνπ ηνπ ειέγρνπ γηα ηνλ Οξγαληζκφ Αλάιπζε Δπηθηλδπλφηεηαο Ννκηθφ θαη Καλνληζηηθφ Πιαίζην Υξνληθέο πξνζεζκίεο γηα ηελ πινπνίεζε Π Σξέρνπζεο ηερλνινγίεο θαη ηάζεηο πιεξνθνξηθήο Πεξηνξηζκνί ησλ πιεξνθνξηαθψλ πφξσλ Γλψζε ηνπ πεξηβάιινληνο Π θαη ηνπ ηνκέα (industry) 15 ρεδηαζκφο Διέγρνπ Π 3(5) ΠΔ Κξίζηκνη Παξάγνληεο Δπηηπρίαο θνπφο ιεηηνπξγίαο ηνπ Π (IS business purpose) Λεηηνπξγίεο πνπ πινπνηεί ην Π Υξεζηκνπνηνχκελεο ηερλνινγίεο Αλάιπζε επηθηλδπλφηεηαο Δπηζθφπεζε ησλ κεραληζκψλ ειέγρνπ Καζνξηζκφο εχξνπο θαη ζηφρσλ ειέγρνπ Γηακφξθσζε ζηξαηεγηθήο ειέγρνπ Καηαλνκή ησλ ειεγθηηθψλ πφξσλ 16 8

ρεδηαζκφο Διέγρνπ Π 4(5) Έθηαζε θαη Υαξαθηήξαο Διέγρνπ Κάζεηνο ζε ζπγθεθξηκέλν αληηθείκελν ειέγρνπ (επηρεηξεζηαθή ιεηηνπξγία κηζζνδνζίαο) Οξηδφληηνο ζχλνιν αληηθεηκέλσλ ειέγρνπ, κε ζπγθεθξηκέλν επίπεδν ιεπηνκέξεηαο (έιεγρνο ησλ δηαδηθαζηψλ αζθάιεηαο ηνπ νξγαληζκνχ) Τβξηδηθφο 17 ρεδηαζκφο Διέγρνπ Π 5(5) Ννκηθά θαη Καλνληζηηθά ζέκαηα Δμσηεξηθέο απαηηήζεηο Πξαθηηθέο θαη κεραληζκνί ειέγρνπ Π ηξφπνο απνζήθεπζεο ππνινγηζηψλ, ινγηζκηθνχ θαη δεδνκέλσλ Οξγάλσζε θαη δξαζηεξηφηεηεο ηνπ Π Ννκηθφ / Καλνληζηηθφ πιαίζην δηαρείξηζεο εγγξάθσλ Γηεξεχλεζε βαζκνχ ζπκκφξθσζεο ηνπ νξγαληζκνχ Γηεξεχλεζε βαζκνχ απνηειεζκαηηθφηεηαο ησλ δηαδηθαζηψλ θαηά ηελ θαζεκεξηλή ιεηηνπξγία ηνπ Π 18 9

Κίλδπλνη θαη Αλάιπζε Δπηθηλδπλφηεηαο Κίλδπλνο (risk): δηαθνξεηηθή έλλνηα ζε δηαθνξεηηθά πεξηβάιινληα Η δπλαηόηεηα κηαο δεδνκέλεο απεηιήο λα εθκεηαιιεπηεί εππάζεηεο ζε έλα αγαζό ή νκάδα απηώλ κε ζπλέπεηα πξόθιεζε απώιεηαο ή δεκηάο ζηα αγαζά. Η επίπησζε ή ζρεηηθή ζνβαξόηεηα ηνπ θηλδύλνπ είλαη αλάινγε κε ηελ επηρεηξεζηαθή αμία ηεο απώιεηαο / δεκηάο θαη ηελ εθηηκώκελε πηζαλόηεηα εθδήισζεο ηεο απεηιήο. [ISO /IEC TR 13335-1, 1996] 19 Γηαρείξηζε Κηλδχλσλ Άκβιπλζε ησλ θηλδχλσλ κε ηελ εθαξκνγή ησλ κεραληζκψλ ειέγρνπ (2) Αμηνιφγεζε ηνπ επηπέδνπ αζθάιεηαο (3) Αλάιπζε επηθηλδπλφηεηαο (1) Δληνπηζκφο ησλ Αληηθείκελσλ Διέγρνπ Δπηινγή Διεγθηηθψλ ηφρσλ Καηάξηηζε Πξνγξακκάησλ Διέγρνπ 20 10

Διεγθηηθή Π θαη Αλάιπζε Δπηθηλδπλφηεηαο Απνηειεζκαηηθή απνηχπσζε ηνπ Π Απνηειεζκαηηθή θαηαλνκή ησλ πεξηνξηζκέλσλ ειεγθηηθψλ πφξσλ χλδεζε ηνπ ζπγθεθξηκέλνπ αληηθείκελνπ ειέγρνπ κε ηνλ νξγαληζκφ Αθεηεξία γηα απνηειεζκαηηθή δηαρείξηζε ηνπ ηκήκαηνο Δζσηεξηθνχ Διέγρνπ 21 Μεραληζκνί Διέγρνπ Π 1(2) Μέζα εχινγεο δηαβεβαίσζεο επίηεπμεο ησλ επηρεηξεζηαθψλ ζηφρσλ Γηαθξίλνληαη ζε: Πνιηηηθέο Γηαδηθαζίεο Πξαθηηθέο Οξγαλσζηαθέο Γνκέο 22 11

Μεραληζκνί Διέγρνπ Π 2(2) Πνηφηεηα ησλ Μεραληζκψλ Διέγρνπ Σχπνο (Πξνιεπηηθνί, Γηαγλσζηηθνί, Γηνξζσηηθνί) Βαζκφο απηνκαηνπνίεζεο Βαζκφο ηεθκεξίσζεο Σάζεηο θαη εμέιημε Δκπέδσζε νξγαλσζηαθήο θνπιηνχξαο ειέγρνπ πλερήο Έιεγρνο Π (IS Continuous Auditing) 23 ηφρνη ησλ Μεραληζκψλ Διέγρνπ ηφρνη αζθάιεηαο Π Λεηηνπξγηθνί ζηφρνη ηφρνη ζπκκφξθσζεο ηφρνη αλάθηεζεο ηφρνη ζπλέρεηαο 24 12

Γνκηθά ζηνηρεία ησλ Μεραληζκψλ Διέγρνπ Π Λνγηζηηθνί έιεγρνη Αζθάιεηα ησλ αγαζψλ ηνπ Π Αμηνπηζηία ησλ νηθνλνκηθψλ εγγξαθψλ Λεηηνπξγηθνί έιεγρνη Καζεκεξηλέο ιεηηνπξγίεο θαη δξαζηεξηφηεηεο ηνπ Π Δπζπγξάκκηζε ηεο ιεηηνπξγίαο ηνπ Π κε ηνπο ζθνπνχο ηνπ νξγαληζκνχ Γηνηθεηηθνί έιεγρνη ζπκκφξθσζε κε ηηο πνιηηηθέο ηεο Γηνίθεζεο Τπνζηήξημε ησλ ιεηηνπξγηθψλ ειέγρσλ 25 Κχξηεο Πεξηνρέο Διέγρνπ Π 1(2) Οξηζκφο θαη δηαρσξηζκφο Ρφισλ θαη Τπεπζπλνηήησλ Πνιηηηθή Αζθάιεηαο Πιεξνθνξηψλ Γηαδηθαζίεο Πξφζιεςεο θαη Δθπαίδεπζεο Πξνζσπηθνχ ζε Δπηρεηξεζηαθέο Γξάζεηο πζηήκαηα Διέγρνπ Λνγηθήο Πξφζβαζεο πζηήκαηα Διέγρνπ Φπζηθήο Πξφζβαζεο 26 13

Κχξηεο Πεξηνρέο Διέγρνπ Π 2(2) Γηεμαγσγή ειέγρσλ ηνπ ηερληθνχ επηπέδνπ αζθάιεηαο ησλ (ππν) ζπζηεκάησλ ηνπ Π Σεθκεξίσζε πζηεκάησλ θαη Γηαδηθαζηψλ Γηεμαγσγή ρακεινχ επίπέδνπ ειέγρσλ Αθεξαηφηεηα ησλ κεραληζκψλ αλαθνξάο ηνπ Π Αθεξαηφηεηα ηνπ ππξήλα ηνπ Λ.. (kernel) Γηεμαγσγή ειέγρσλ γηα εμαθξίβσζε ηνπ ηερληθνχ επηπέδνπ αζθάιεηαο ησλ εθαξκνγψλ (applications) ηνπ Π 27 Σν πιαίζην Αλαθνξάο COBIT 1(4) COBIT (Control Objectives for Information and related Technology) De facto πξφηππν πλδπάδεη θαη ζπλδέεη ηνπο νξγαλσζηαθνχο θηλδχλνπο κε κεραληζκνχο ειέγρνπ θαη ηερληθά ζέκαηα πινπνίεζεο Έλα ζχλνιν απφ 34 ζθνπνχο ειέγρνπ πςεινχ επηπέδνπ πνπ αληηπξνζσπεχνπλ αληίζηνηρεο δηεξγαζίεο ηνπ θχθινπ δσήο ελφο Π 28 14

Σν πιαίζην Αλαθνξάο COBIT 2(4) ρεδηαζκφο θαη Οξγάλσζε (Planning and Organization) Πξνκήζεηα θαη Τινπνίεζε (Acquisition and Implementation) Παξάδνζε θαη Τπνζηήξημε (Delivery and Support) Έιεγρνο θαη Παξαθνινχζεζε (Monitoring) 29 Σν πιαίζην Αλαθνξάο COBIT 3(4) Δθηειεζηηθή Πεξίιεςε Πιαίζην Αλαθνξάο θνπνί Διέγρνπ Οδεγίεο Δθαξκνγήο πξνο ηε Γηνίθεζε Οδεγίεο Δθαξκνγήο Διέγρνπ Δξγαιεηνζήθε Τινπνίεζεο 30 15

Σν πιαίζην Αλαθνξάο COBIT 4(4) Σερληθά πξφηππα (ISO, EDIFACT) Οδεγίεο θαη θαηεπζπληήξηεο γξακκέο απφ ηελ ΔΔ θαη δηεζλείο νξγαληζκνχο (OECD, ISACA) Κξηηήξηα πηζηνπνίεζεο γηα Π, πξντφληα θαη δηεξγαζίεο Π (ITSEC, ISO 9000, TickIT, CC) Γηεζλή πξφηππα γηα εζσηεξηθφ έιεγρν (COSO, IFAC, AICPA) De Facto βέιηηζηεο πξαθηηθέο Αλαπηπζζφκελα πξφηππα θαη ηερληθέο ζε εηδηθέο αγνξέο θαη ηνκείο δξαζηεξηφηεηαο (e-commerce, ηξάπεδεο, e-government) 31 Βαζηθέο Έλλνηεο ηνπ COBIT Δηαηξηθή Γηαθπβέξλεζε κέζσ ηεο Πιεξνθνξηθήο (IT Governance) Τέζζεξηο ηνκείο (domains) ζθνπώλ ειέγρνπ πςεινύ επηπέδνπ πνπ αληηπξνζσπεύνπλ ηνλ θύθιν δσήο ελόο ΠΣ Γηεξγαζίεο Πιεξνθνξηθήο (IT Processes) Γξαζηεξηφηεηεο (Activities/Tasks) 32 16

COBIT Σκοποί και τομείς ελέγχου 33 θνπνί Διέγρνπ θαηά COBIT 1(2) Πξσηεύσλ (Primary), φπνπ ν ζθνπφο ειέγρνπ επεξεάδεη ζε κεγάιν βαζκφ ηε δηεξγαζία πιεξνθνξηθήο Γεπηεξεύσλ (Secondary), φπνπ ν ζθνπφο ειέγρνπ επεξεάδεη ηε δηεξγαζία πιεξνθνξηθήο ζε κηθξφηεξν βαζκφ Πξναηξεηηθόο (Blank), φπνπ ν ζθνπφο ειέγρνπ θαιχπηεηαη απφ άιινπο ζθνπνχο ειέγρνπ γηα ηε ζπγθεθξηκέλε δηεξγαζία πιεξνθνξηθήο 34 17

θνπνί Διέγρνπ θαηά COBIT 2(2) Οξηζκφο ζθνπψλ ειέγρνπ ζε πςειφ επίπεδν Δπηρεηξεζηαθή αλάγθε πνπ εληάζζεηαη ζε θάπνηα δηεξγαζία ηνπ Π χλδεζε ζθνπψλ κε εθαξκφζηκνπο κεραληζκνχο ειέγρνπ Αλεμαξηεζία απφ ηερληθέο πινπνηήζεηο θαη ιεπηνκέξεηεο θνπνί ειέγρνπ ζε εηδηθά πεξηβάιινληα θαη Π ελδέρεηαη λα πξνυπνζέηνπλ εηδηθέο παξαδνρέο Οξγάλσζε αλά δηεξγαζία/δξαζηεξηφηεηα Π 35 COBIT Οδεγίεο Δθαξκνγήο πξνο ηε Γηνίθεζε Μεηξηθέο, εξγαιεία θαη ηερληθέο ηα νπνία είλαη ζηε δηάζεζε ηεο Γηνίθεζεο ηνπ Π Μνληέια Ωξηκόηεηαο (Maturity Models) Κξίζηκνη Παξάγνληεο Δπηηπρίαο (Critical Success Factors) Κύξηνη Γείθηεο Σηόρσλ (Key Goal Indicators) Κύξηνη Γείθηεο Απόδνζεο (Key Performance Indicators) 36 18

COBIT Οδεγίεο Δθαξκνγήο Διέγρνπ Γηεπθφιπλζε ηεο εθαξκνγή ηνπ Πιαηζίνπ Αλαθνξάο θαη ησλ γεληθψλ θνπψλ Διέγρνπ κέζα απφ ειεγθηηθέο δηαδηθαζίεο Παξνρή κηαο δνκεκέλεο πξνζέγγηζεο φζνλ αθνξά ηνλ έιεγρν θαη ηελ απνηίκεζε κεραληζκψλ ειέγρνπ Π 37 COBIT Δξγαιεηνζήθε Τινπνίεζεο πκππθλσκέλε γλψζε θαη εκπεηξία απφ νξγαληζκνχο νη νπνίνη έρνπλ εθαξκφζεη επηηπρψο ην πιαίζην COBIT Γηάγλσζε Γηνηθεηηθνύ Βαζκνύ Δπίγλσζεο (Management Awareness Diagnostic) Γηάγλσζε Διέγρνπ ΠΣ (IT Control Diagnostic) 38 19

Πεξηνξηζκνί θαη ηδηαηηεξφηεηεο ηνπ COBIT Απαηηεί αλαδηνξγάλσζε ηεο νπηηθήο ησλ νληνηήησλ ηνπ νξγαληζκνχ πνπ εκπιέθνληαη ζηελ εθαξκνγή ηνπ (key players) Σν COBIT είλαη έλα πιαίζην πνπ πξέπεη λα πξνζαξκνζηεί ζηνλ ζπγθεθξηκέλν νξγαληζκφ Σν COBIT ζπληζηάηαη λα ρξεζηκνπνηεζεί εθ παξαιιήινπ κε άιιεο ειεγθηηθέο πξνζεγγίζεηο φπσο ην SysTrust Οη Οδεγίεο Δθαξκνγήο πξνο ηε Γηνίθεζε είλαη γεληθέο θαη πξέπεη λα πξνζαξκνζηνχλ αλάινγα 39 Γηαδηθαζίεο Διέγρνπ Π Πνιηηηθέο θαη πξαθηηθέο νη νπνίεο έρνπλ εγθξηζεί απφ ηε Γηνίθεζε ηνρεχνπλ ζηελ εχινγε δηαζθάιηζε ησλ ζηφρσλ ειέγρνπ Οη δηαδηθαζίεο απηέο είλαη ζθφπηκα γεληθέο θαη αθεξεκέλεο Μεηαθξάδνληαη ζε ζπγθεθξηκέλεο δηαδηθαζίεο ειέγρνπ, πνπ πνηθίιινπλ αλάινγα κε ην πιεξνθνξηαθφ ζχζηεκα 40 20

Γηεμαγσγή Διέγρνπ Π Οηθνλνκηθνί έιεγρνη Λεηηνπξγηθνί έιεγρνη Δλνπνηεκέλνη έιεγρνη Γηνηθεηηθνί έιεγρνη Έιεγρνη Πιεξνθνξηαθψλ πζηεκάησλ 41 Γεληθέο δηαδηθαζίεο ειέγρνπ Π Καηαλφεζε ηνπ αληηθεηκέλνπ ηνπ ειέγρνπ θαη ηνπ πεξηβάιινληφο ηνπ Αλάιπζε επηθηλδπλφηεηαο, γεληθφ πιάλν ειέγρνπ θαη ρξνλνπξνγξακκαηηζκφο Λεπηνκεξέο πιάλν ειέγρνπ Πξνπαξαζθεπαζηηθή επηζθφπεζε ηνπ αληηθεηκέλνπ ππφ έιεγρν Απνηίκεζε ηνπ αληηθεηκέλνπ ππφ έιεγρν Δπηιεθηηθνί έιεγρνη (tests of controls) Λεπηνκεξείο έιεγρνη Γεκηνπξγία Αλαθνξάο Διέγρνπ 42 21

Μεζνδνινγία Διέγρνπ Π Έλα ζχλνιν ηεθκεξησκέλσλ δηαδηθαζηψλ ειέγρνπ, νη νπνίεο είλαη ζρεδηαζκέλεο κε ηξφπνλ ψζηε λα ηθαλνπνηνχλ ηνπο ζηφρνπο ειέγρνπ Καζνξηζκφο ηεο Έθηαζεο ηνπ Διέγρνπ Καζνξηζκφο ησλ ηφρσλ ηνπ Διέγρνπ Καζνξηζκφο ησλ Πξνγξακκάησλ Διέγρνπ 43 Ρνή Δξγαζηψλ Διέγρνπ Π Πξνζδηνξηζκόο Ιθαλνπνηεηηθόο Πξνζδηνξηζκόο ησλ ηνπ πξνζδηνξηζκόο απαξαίηεησλ αληηθεηκέλνπ αληηθεηκέλνπ θαη ΝΑΙ ειεγθηηθώλ πόξσλ θαη εύξνπο ηνπ εύξνπο ειέγρνπ θαη ηερληθώλ ειέγρνπ? δεμηνηήησλ ΟΧΙ Εθινγή ηεο ειεγθηηθήο πξνζέγγηζεο θαη δνθηκήο ησλ κεραληζκώλ ειέγρνπ Πξνζδηνξηζκόο ησλ ηνπνζεζηώλ / εγθαηαζηάζεσλ γηα έιεγρν Πξνζδηνξηζκόο ησλ πεγώλ πιεξνθνξίαο πξνο έιεγρν ή επηζθόπεζε ΟΧΙ Πξνζέγγηζε θαη κέζνδνη ειέγρνπ απνδεθηνί? ΝΑΙ Πεγέο Πιεξνθνξίαο γηα ηνλ νξγαληζκό, ηα ΠΣ, θαλνληζηηθό πιαίζην, θιπ. Δεκηνπξγία ιίζηαο αηόκσλ γηα ιήςε ζπλέληεπμεο Παξνρή πξόζβαζεο ζηηο πεγέο πιεξνθνξίαο γηα ηνλ νξγαληζκό Δηελέξγεηα Ειέγρσλ ΟΧΙ Τεθκεξίσζε ειέγρνπ απνδεθηή? Επηζθόπεζε θαη απνηίκεζε ηεο επάξθεηαο ηεο ηεθκεξίσζεο, ησλ πνιηηηθώλ θαη δηαδηθαζηώλ πνπ ζρεηίδνληαη κε ην αληηθείκελν ειέγρνπ Πξνζέγγηζε θαη κέζνδνη ειέγρνπ απνδεθηνί? ΝΑΙ Έθζεζε Ειέγρνπ ΟΧΙ Πξνζδηνξηζκόο ησλ δηαδηθαζηώλ απνηίκεζεο / δνθηκήο ησλ κεραληζκώλ ειέγρνπ Εθινγή Δηαδηθαζηώλ γηα ηελ αμηνιόγεζε ησλ απνηειεζκάησλ ησλ ειέγρσλ 44 22

Σχπνη Πξνγξακκάησλ Διέγρνπ Απνπζία ζαθψλ νξίσλ κεηαμχ ησλ πεξηνρψλ ειέγρνπ Δπίπεδν Δπηρεηξεζηαθήο Λεηηνπξγίαο Δπίπεδν Γηαδηθαζηψλ Δπίπεδν Δθαξκνγήο Δπίπεδν Απνζήθεο Γεδνκέλσλ Δπίπεδν Πιεξνθνξηαθήο Τπνδνκήο 45 Πεξηνξηζκνί θαη Κίλδπλνη ηνπ Διέγρνπ Π Διεγθηηθφο Κίλδπλνο (Audit Risk) Δγγελήο θίλδπλνο (Inherent Risk) Κίλδπλνο Μεραληζκνχ Διέγρνπ (Control Risk) Κίλδπλνο Γηάγλσζεο (Detection Risk) Οιηθφο Διεγθηηθφο θίλδπλνο (Overall Audit Risk) 46 23