Указания за одит на информационни системи за управление на публичния дълг



Изтегляне 0.55 Mb.
страница4/4
Дата25.10.2018
Размер0.55 Mb.
#97170
1   2   3   4





Фиг. 1: Одити на публичен дълг, извършени от ВОИ на Бразилия

Одит на интегрираната система относно дълга (ИСД), извършен през

2014 г. от Сметната палата на Бразилия към федералното правителство

на Бразилия

Като взе предвид, че се провежда тестване на ИСД относно вътрешния

секюритизиран дълг, одитният екип реши да се концентрира единствено върху

тестване на процесите, свързани с управление на външния дълг (секюритизиран и

договорен). Стигна се до следните одитни наблюдения и констатации:

Стратегия и общо управление на ИТ системата
Съгласно Оперативния наръчник, с цялостното въвеждане на ИСД на

разположение ще бъдат следните функции:

а) голямо разнообразие от функции за изчисления, като актуализирана номинална

стойност, единична цена, обща стойност (както на секюритизирания дълг, така и на

договорните дългови задължения), финансово планиране на договорите и

договорно и облигационно ценообразуване и падежи;

б) разнообразни функции за търсене и докладване, както по отношение на

регистриране на данни, така и резултати от изчисления;

в) финансови операции, сред които издаване на облигации, погасяване

на договорни задължения, обратно изкупуване и прехвърляне и т.н.; и

г) информационен регистър, който се използва в пълна степен в различните бизнес

модули
По отношение на стратегията и общото управление на ИТ системата, основните

наблюдения и одитни констатации са както следва:



  • Няма програма за обучение по най-широко използваните системи

за управление на публичния дълг, Сеорфи и ИСД;

  • Няма очаквана дата на цялостно въвеждане на ИСД, което включва

и вътрешния секюритизиран дълг;

  • Някои важни операции, като задействане на договор, погасяване,

обратно изплащане, промяна в лихвените нива или в договорени стойности,

се извършват от един-единствен човек. Не е необходимо одобрение

или двойно оторизиране в системата. Сигурността на операциите

зависи единствено от адекватността на профила, което поражда проблем

във връзка с разделянето на задълженията;


  • Друг проблем относно разделянето на задълженията е недостига

на служители за разработване на ИСД; разработват я служители на

СУД, едновременно с изпълнение на редовните си служебни задължения;



  • Оценката на уязвимостта на операционните рискове в ИТ процесите е

готова, но липсва оценка за смекчаване на тези рискове;
Контроли на сигурността и околната среда

По отношение на контролите на сигурността и околната среда, основните

наблюдения и одитни констатации са както следва:

  • СУД не е назначил Ръководител по информационна сигурност и комуникации, а Комитетът по информационна сигурност, който отговаря за назначаването на ръководителя, не е започнал да работи да ефективно;




на публичния дълг са в процес на преглед с цел изготвяне на ПНД;


  • Анализът, извършен от одитния екип отбелязва наличието на трима

активни генерични потребителя, което възпрепятства добрите ИТ практики, основаващи се на точка 11.2.1 от ISO / IEC 27002: 2005, където се

препоръчва ползването на уникален потребителски идентификатор, за да

се гарантира отчетността по отношение на всеки потребител на

системата;




  • Независимо, че дефинирането на достъпа до ИСД следва да се направи единствено посредством A3 цифров сертификат и достъпът чрез национален идентифициращ номер и парола следва да бъде изключение, анализът на базата на данни с потребители на ИСД показва, че не е заложен краен срок за действие на изключението;




  • Анализът на базата на данни с потребители на ИСД показва пропуски в процеса за преглед на достъпа на потребителите;




  • Одитният екип установи пропуски и в ежедневната рутинна автоматична поддръжка на базата данни с потребители на ИСД;




  • ИСД не прави запис на одитната следа за повечето от транзакциите, като в резултат СУД не провежда периодичен преглед на одитните следи генерирани от системата, както и не осъществява мониторинг върху транзакциите в ИСД;




  • ИСД не притежава одитна функция, която обичайно генерира, съхранява и анализира системния регистър;




  • Одитният екип забеляза отсъствие на тестови план и свързаните с него резултати в системите с най-широка употреба в СУД – Сеорфи и ИСД;




  • Одитният екип не получи потвърждение, че е създаден екип за реагиране на инциденти в компютърните мрежи, който да отговаря за получаване на информация, преглед и реагиране на инциденти в областта на сигурността;




  • Одитният екип забеляза отсъствие на план за непрекъснатост на ИТ услугите, който под формата на официален документ описва непрекъснатостта на всички ИТ услуги, управлявани от съответната агенция или организация;


Оперативни контроли и документация
По отношение на оперативните контроли и документация, основните наблюдения

и одитни констатации са както следва:


  • Интерфейсът не е особено лесен, заради което потребителите на ИСД следва да притежават повече предварителни познания за системата;




  • Няма наръчник за потребителя на ИСД;




  • Скоростта на обработка на необходимите изчисления е ниска. Това прави невъзможно едновременното генериране на изчисления и доклади. Тъй като има множество едновременни потребители на системата, този проблем би могъл да намали ефективността на системата. Одитният екип предложи СУД

да прецени евентуални подобрения с цел повишаване на обработващия капацитет на системата;
Контроли на приложенията
След като одитният екип проведе контролни тестове на входа, обработката и на

изхода на ИСД за външния държавен дълг, одитните констатации и наблюдения са



както следва:


  • Много от съобщенията за грешка са неясни, а понякога не се показват пред потребителя.




  • По време на тестове на контролите на „входа” на приложението одитният екип установява няколко съобщения за грешки, които не обясняват причината за грешката.




  • По време на тестове на контролите на приложението за обработката относно външния договорен дълг, одитният екип установява различия в стойностите на финансовия доклад за паричните потоци.

  • При тестове на контролите на приложението на „изхода”, одитният екип установява, че ако въведените данни не са коректни, приложението не генерира някои доклади относно договорения дълг, съгласно очакваното, като приложението не идентифицира грешка пред потребителя.

  • По време на тестове на контролите на приложението на „изхода”, одитният екип идентифицира грешки в докладите за договорния дълг заради използваните в системата остарели индекси.

  • Някои доклади за договорен дълг съдържат непълна информация.


Препоръки
Въз основа на одитните констатации и наблюдения, одитният екип препоръчва в

рамките на 90 дена Националният секретариат на държавната хазна да разработи

план за действие, който включва график за изпълнение на следното:


  • Определяне на очаквана дата за цялостно внедряване на ИСД, в това число и вътрешен секюритизиран дълг;

  • Назначаване на Ръководител по информационна сигурност и комуникации и Комитет за информационна сигурност;

  • Официализиране на ПНД;

  • Официализиране на План за непрекъснатост на ИТ услугите;

  • Създаване на екип за реагиране на инциденти в компютърните мрежи;

  • Оценка и смекчаване на оперативните ИТ рискове;

  • Преглед на рутинната ежедневна автоматична поддръжка на базата данни с

потребители на ИСД;

  • Преглед на процеса за преглед на достъпа на потребителите на ИСД;

  • Преглед на процеса за предоставяне на достъп на общите потребители на ИСД;

  • Установяване на процедури за периодичен преглед на одитните следи, генерирани от ИСД;

  • Предоставяне на архива на записите на приложението на ИСД;

  • Преглед на съобщенията за грешка в ИСД;

  • Разработване на ръководство за потребители на ИСД;

  • Преглед на рутинното докладване на ИСД.








Фиг. 2: Одити на публичен дълг, извършени от ВОИ на Молдова

Оценка на контролите на приложението, извършена от

Сметната палата на Молдова
Приложението СУДФА притежава достатъчно интегрирани контроли, които

автоматично проверяват дали въвеждането на данни е правилно

изпълнено. Обаче има някои аспекти, които будят тревога и следва да

бъдат решени: операторите могат да въвеждат данни в класификаторите

на приложението и в други системни таблици, които могат да повлияят

върху точността и интегритета на данните посредством дублиране или

заличаване на регистрации.
Препоръка № 15: Да се преразгледат правата на операторите за въвеждане,

промяна или заличаване на данни в класификатора на базата данни на СУДФА,

или да се идентифицират операциите, които водят до дублиране на данни или

грешни въвеждания.


Освен стандартните доклади в приложението СУДФА, голям брой общи доклади

се разработват в Excel. Не всички видове доклади се използват системно.

Повечето от изискуемите доклади се изготвят в Excel. Обаче има определени

доклади, които се генерират ръчно от данни, получени от други доклади.

Безпокойство предизвиква обновяването на данни в докладите в Excel.

Генерирането на доклади е сложна процедура, която може драстично да бъде

повлияна от човешки грешки. Нещо повече, генерираните доклади могат да

бъдат променяни без разрешение, а такива грешки могат да се появят и в други

важни обобщаващи доклади, при които сигурността трябва да е максимална и

които представляват основната дейност на Главната дирекция по публичен

дълг.
В резултат, някои малки пропуски биха могли да имат драматичен ефект

върху надеждността и точността на данните във важните доклади за дейността

на Главната дирекция по публичен дълг.
Препоръка № 16: Да се обмисли оптимизирането или автоматизирането на

процеса за промяна на докладите, които се генерират. Да се определи начин за

автоматично генериране на обобщаващи доклади, като се елиминира

вероятността за човешка грешка. Да се обмисли възможността за преминаване

към версия 6.0.




БИБЛИОГРАФИЯ

Азиатска организация на Върховните одитни институции. Изследователски проект. Указания за ИТ одити – 6то издание. септември 2003 г.


Галегос, Фредерик, Сандра Сенфт, Даниъл П. Мансън и Карол Гонзалес. Контрол и одит на информационни технологии. Издателство Ауербах. САЩ 2004 г.
Служба на главния контрольор и одитор на Индия. Одит на информационни технологии – общи принципи (серия от монографии по ИТ одит # 1).
Международен валутен фонд и Световна банка. Указания за управление на публичен дълг, 1 април, 2014 г.
Международна организация на Върховните одитни институции. МСВОИ 5440, Указания за извършване на одит на публичен дълг – Използване на тестове по същество във финансовите одити. ноември 2007 г.
Международна организация на Върховните одитни институции. МСВОИ 3000, Стандарти и указания за одит на изпълнението въз основа на одитните стандарти и практическия опит на ИНТОСАЙ. юли 2004 г.
Международна организация на Върховните одитни институции. МСВОИ 5310, Методология за преглед на сигурността на информационните системи. октомври 1995 г.
Инициатива на ИНТОСАЙ за развитие. РГОИТ, Наръчник на ИИР по ИТ одити за Върховни одитни институции. февруари 2014 г.
Паркър, Ксения Лий. Одити на информационни системи. CCH Incorporated. САЩ 2006 г.
Департамент по вътрешна сигурност на САЩ – интернет страница: http://www.dhs.gov.
Държавна служба на САЩ по отчетност. Ръководство за одити на контроли на федерални информационни системи (FISCAM). GAO-09-232G. февруари 2009 г.


1Онлайн курс на ИИР по одитиране на управлението на държавния дълг, сесия 6: Одитиране на информационната система за управление на държавния дълг.


2 Ксения Лий Паркър, Одити на информационните технологии, CCH Incorporated,САЩ 2006.


3 Паркър, Одити в областта на информационните технологии.


4 Служба на главния контрольор и главния одитор на Индия Общи принципи, Серия от монографии по ИТ одити # 1.


5 Фредерик Галегос, Сандра Сенфт, Даниел Мансън и Карол Гонзалес, Контрол и одит на информационни технологии – второ издание, Издателство Ауербах, САЩ 2004.

6 Галегос, Контрол и одит на информационни технологии.

7 Галегос, Контрол и одит на информационни технологии.

8 Галегос, Контрол и одит на информационни технологии.

9 Галегос, Контрол и одит на информационни технологии.

10 Азиатска организация на Върховните одитни институции, Ръководство за ИТ одити – 6то издание, септември 2003

11 Сметна палата на Индия, Одит на информационни технологииобщи принципи.

12 Служба на главния контрольор и главния одитор на Индия, Одит на информационни технологии – общи принципи.

13 Служба на главния контрольор и главния одитор на Индия, Одит на информационни технологии – общи принципи


Каталог: articles -> download
download -> Закон за върховната сметна палата на 14 декември 2005 г се навършват 125 години от приемането на първия Закон за Върховната сметна палата
download -> Одитен доклад №0400005712 за извършен одит за съответствие на декларираните приходи
download -> Одитирани обекти и дейности от сметната палата І. Първостепенни и второстепенни разпоредители с бюджетни кредити
download -> Закон за върховната сметна палата на българия уважаеми господин председател на Народното събрание
download -> Указания за финансов одит
download -> За извършен финансов одит на годишния финансов отчет
download -> Сборник документи издател на поредицата "архивите говорят": главно управление на архивите при министерския съвет

Изтегляне 0.55 Mb.

Сподели с приятели:
1   2   3   4



©obuch.info 2024
отнасят до администрацията
    Начална страница
Автореферат
Анализ
Бизнес-план
Биография
Глава
Диплом
Доклад
Задача
Закон
Занятие
Заседание