Фиг. 1: Одити на публичен дълг, извършени от ВОИ на Бразилия
Одит на интегрираната система относно дълга (ИСД), извършен през
2014 г. от Сметната палата на Бразилия към федералното правителство
на Бразилия
Като взе предвид, че се провежда тестване на ИСД относно вътрешния
секюритизиран дълг, одитният екип реши да се концентрира единствено върху
тестване на процесите, свързани с управление на външния дълг (секюритизиран и
договорен). Стигна се до следните одитни наблюдения и констатации:
Стратегия и общо управление на ИТ системата
Съгласно Оперативния наръчник, с цялостното въвеждане на ИСД на
разположение ще бъдат следните функции:
а) голямо разнообразие от функции за изчисления, като актуализирана номинална
стойност, единична цена, обща стойност (както на секюритизирания дълг, така и на
договорните дългови задължения), финансово планиране на договорите и
договорно и облигационно ценообразуване и падежи;
б) разнообразни функции за търсене и докладване, както по отношение на
регистриране на данни, така и резултати от изчисления;
в) финансови операции, сред които издаване на облигации, погасяване
на договорни задължения, обратно изкупуване и прехвърляне и т.н.; и
г) информационен регистър, който се използва в пълна степен в различните бизнес
модули
По отношение на стратегията и общото управление на ИТ системата, основните
наблюдения и одитни констатации са както следва:
-
Няма програма за обучение по най-широко използваните системи
за управление на публичния дълг, Сеорфи и ИСД;
-
Няма очаквана дата на цялостно въвеждане на ИСД, което включва
и вътрешния секюритизиран дълг;
-
Някои важни операции, като задействане на договор, погасяване,
обратно изплащане, промяна в лихвените нива или в договорени стойности,
се извършват от един-единствен човек. Не е необходимо одобрение
или двойно оторизиране в системата. Сигурността на операциите
зависи единствено от адекватността на профила, което поражда проблем
във връзка с разделянето на задълженията;
-
Друг проблем относно разделянето на задълженията е недостига
на служители за разработване на ИСД; разработват я служители на
СУД, едновременно с изпълнение на редовните си служебни задължения;
-
Оценката на уязвимостта на операционните рискове в ИТ процесите е
готова, но липсва оценка за смекчаване на тези рискове;
Контроли на сигурността и околната среда
По отношение на контролите на сигурността и околната среда, основните
наблюдения и одитни констатации са както следва:
-
СУД не е назначил Ръководител по информационна сигурност и комуникации, а Комитетът по информационна сигурност, който отговаря за назначаването на ръководителя, не е започнал да работи да ефективно;
на публичния дълг са в процес на преглед с цел изготвяне на ПНД;
-
Анализът, извършен от одитния екип отбелязва наличието на трима
активни генерични потребителя, което възпрепятства добрите ИТ практики, основаващи се на точка 11.2.1 от ISO / IEC 27002: 2005, където се
препоръчва ползването на уникален потребителски идентификатор, за да
се гарантира отчетността по отношение на всеки потребител на
системата;
-
Независимо, че дефинирането на достъпа до ИСД следва да се направи единствено посредством A3 цифров сертификат и достъпът чрез национален идентифициращ номер и парола следва да бъде изключение, анализът на базата на данни с потребители на ИСД показва, че не е заложен краен срок за действие на изключението;
-
Анализът на базата на данни с потребители на ИСД показва пропуски в процеса за преглед на достъпа на потребителите;
-
Одитният екип установи пропуски и в ежедневната рутинна автоматична поддръжка на базата данни с потребители на ИСД;
-
ИСД не прави запис на одитната следа за повечето от транзакциите, като в резултат СУД не провежда периодичен преглед на одитните следи генерирани от системата, както и не осъществява мониторинг върху транзакциите в ИСД;
-
ИСД не притежава одитна функция, която обичайно генерира, съхранява и анализира системния регистър;
-
Одитният екип забеляза отсъствие на тестови план и свързаните с него резултати в системите с най-широка употреба в СУД – Сеорфи и ИСД;
-
Одитният екип не получи потвърждение, че е създаден екип за реагиране на инциденти в компютърните мрежи, който да отговаря за получаване на информация, преглед и реагиране на инциденти в областта на сигурността;
-
Одитният екип забеляза отсъствие на план за непрекъснатост на ИТ услугите, който под формата на официален документ описва непрекъснатостта на всички ИТ услуги, управлявани от съответната агенция или организация;
Оперативни контроли и документация
По отношение на оперативните контроли и документация, основните наблюдения
и одитни констатации са както следва:
-
Интерфейсът не е особено лесен, заради което потребителите на ИСД следва да притежават повече предварителни познания за системата;
-
Няма наръчник за потребителя на ИСД;
-
Скоростта на обработка на необходимите изчисления е ниска. Това прави невъзможно едновременното генериране на изчисления и доклади. Тъй като има множество едновременни потребители на системата, този проблем би могъл да намали ефективността на системата. Одитният екип предложи СУД
да прецени евентуални подобрения с цел повишаване на обработващия капацитет на системата;
Контроли на приложенията
След като одитният екип проведе контролни тестове на входа, обработката и на
изхода на ИСД за външния държавен дълг, одитните констатации и наблюдения са
както следва:
-
Много от съобщенията за грешка са неясни, а понякога не се показват пред потребителя.
-
По време на тестове на контролите на „входа” на приложението одитният екип установява няколко съобщения за грешки, които не обясняват причината за грешката.
-
По време на тестове на контролите на приложението за обработката относно външния договорен дълг, одитният екип установява различия в стойностите на финансовия доклад за паричните потоци.
-
При тестове на контролите на приложението на „изхода”, одитният екип установява, че ако въведените данни не са коректни, приложението не генерира някои доклади относно договорения дълг, съгласно очакваното, като приложението не идентифицира грешка пред потребителя.
-
По време на тестове на контролите на приложението на „изхода”, одитният екип идентифицира грешки в докладите за договорния дълг заради използваните в системата остарели индекси.
-
Някои доклади за договорен дълг съдържат непълна информация.
Препоръки
Въз основа на одитните констатации и наблюдения, одитният екип препоръчва в
рамките на 90 дена Националният секретариат на държавната хазна да разработи
план за действие, който включва график за изпълнение на следното:
-
Определяне на очаквана дата за цялостно внедряване на ИСД, в това число и вътрешен секюритизиран дълг;
-
Назначаване на Ръководител по информационна сигурност и комуникации и Комитет за информационна сигурност;
-
Официализиране на ПНД;
-
Официализиране на План за непрекъснатост на ИТ услугите;
-
Създаване на екип за реагиране на инциденти в компютърните мрежи;
-
Оценка и смекчаване на оперативните ИТ рискове;
-
Преглед на рутинната ежедневна автоматична поддръжка на базата данни с
потребители на ИСД;
-
Преглед на процеса за преглед на достъпа на потребителите на ИСД;
-
Преглед на процеса за предоставяне на достъп на общите потребители на ИСД;
-
Установяване на процедури за периодичен преглед на одитните следи, генерирани от ИСД;
-
Предоставяне на архива на записите на приложението на ИСД;
-
Преглед на съобщенията за грешка в ИСД;
-
Разработване на ръководство за потребители на ИСД;
-
Преглед на рутинното докладване на ИСД.
|