INFORMACINIŲ SISTEMŲ AUDITO VADOVAS · Šis vadovas skirtas padėti auditoriams geriau suprasti...
Transcript of INFORMACINIŲ SISTEMŲ AUDITO VADOVAS · Šis vadovas skirtas padėti auditoriams geriau suprasti...
1 Veiklos audito vadovas
Lietuvos Respublikos valstybės kontrolė
LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLĖ
INFORMACINIŲ SISTEMŲ AUDITO VADOVAS
Vilnius
2013
Informacinių sistemų audito vadovas
Lietuvos Respublikos valstybės kontrolė
Turinys
1. Informacinių sistemų audito samprata 6
1.1. IS audito tikslas ir uždaviniai 6
1.2. IS audito objektas ir samprata 7
1.3. IS audito vertinimo kriterijai 8
1.4. IS audito procesas 8
2. Planavimas 10
2.1. Strateginis tyrimas 10
2.2. IS vidaus kontrolės vertinimo planavimo procesas 10
2.2.1. IS vidaus kontrolės vertinimo planavimas veiklos audito metu 11
2.2.2. IS bendrosios kontrolės vertinimas finansinio audito metu 13
2.3. IS veiklos audito planavimas 15
3. Pagrindinis tyrimas 17
3.1. IS vidaus kontrolės vertinimas 17
3.1.1. IS bendrosios kontrolės vertinimas 17
3.1.2. IS kūrimo kontrolės vertinimas 18
3.1.3. Taikomųjų programų kontrolės vertinimas 20
3.1.4. Taikomųjų programų kontrolės vertinimas finansinio audito metu 22
3.2. IS veiklos auditai 23
4. Duomenų rinkimas ir vertinimas 24
5. Darbo dokumentavimas 26
6. Audito ataskaita 27
7. Audito kokybės užtikrinimas 28
8. Stebėjimas po audito 29
Priedai 30
3 Informacinių sistemų audito vadovas
Lietuvos Respublikos valstybės kontrolė
Įvadas
Šis Informacinių sistemų audito vadovas yra sudėtinė Valstybės kontrolės parengtų
metodinių dokumentų, susijusių su audito atlikimu, dalis. Vadovas skirtas auditoriams atliekantiems
informacinių sistemų auditus ir informacinių sistemų vertinimus finansinio ar veiklos audito metu.
Šis vadovas skirtas padėti auditoriams geriau suprasti informacinių sistemų audito procesą ir siekti
geresnės auditų kokybės.
Vadovas nustato bendrus informacinių sistemų audito atlikimo – planavimo, vykdymo,
ataskaitų rengimo – etapus ir principus. Kiekvienas informacinių sistemų auditas reikalauja
bendrųjų audito įgūdžių, informacinių sistemų valdymo, kompiuterių mokslo ir elgsenos žinių, todėl
šiame dokumente siekiama paaiškinti informacinių sistemų audito paskirtį ir tai, kaip jis atliekamas
Valstybės kontrolėje. Vadovo priedus auditoriai interpretuoja savarankiškai.
Vadovas parengtas vadovaujantis bendraisiais veiklos audito principais, pateiktais
Tarptautinės aukščiausiųjų audito institucijų organizacijos INTOSAI audito standartuose. Rengiant
šį dokumentą atsižvelgta į Valstybės kontrolės Veiklos ir Finansinio ir teisėtumo audito vadovus,
Tarptautinės informacinių sistemų audito ir kontrolės asociacijos ISACA informacinių sistemų
audito standartus ir į asociacijos parengtas Informacinių sistemų audito gaires bei kitą ISACA
metodinę medžiagą, pavyzdžiui, informacinių technologijų valdymo metodikos ir gerosios
praktikos rinkinį COBIT.
Vadove taip pat panaudotos valstybinių auditorių žinios ir praktinė patirtis, kitų
aukščiausiųjų audito institucijų patirtis ir ekspertų rekomendacijos.
Sąvokų žodynas
4
Sąvokų žodynas
3E – veiklos audito vertinimo aspektai: ekonomiškumas, efektyvumas ir rezultatyvumas
(angl. economy, efficiency, effectiveness);
Bendrosios kompiuterių kontrolės priemonės (angl. general computer controls) – kitos nei
taikomųjų programų vidaus kontrolės priemonės, susijusios su aplinka, kurioje kuriamos,
prižiūrimos ir veikia kompiuterizuotos taikomųjų programų sistemos ir dėl to tinkamos visoms
taikomosioms programoms. Bendrųjų kompiuterių kontrolės priemonių tikslai yra užtikrinti
tinkamą taikomųjų programų kūrimą ir vykdymą, programų ir duomenų rinkinių bei kompiuterio
operacijų vientisumą. Kaip ir taikomųjų programų kontrolės priemonės, bendrosios kompiuterių
kontrolės priemonės gali būti arba neautomatinės, arba suprogramuotos.
CAAT – kompiuterinė priemonė, skirta audito procesui automatizuoti (įvairios paskirties
programinė įranga, dažniausia skirta duomenų analizei);
COBIT – Tarptautinės informacinių sistemų audito ir kontrolės asociacijos (ISACA)
parengtas informacinių sistemų valdymo metodika ir gerosios praktikos rinkinys: COBIT 4.1
metodika, kontrolės tikslai, valdymo gairės, brandos modeliai, 2011 m., Vilnius.
Duomenų valdytojai (angl. data owners) – asmenys, paprastai vadovai ar direktoriai,
atsakingi už kompiuterizuotų duomenų vientisumą, tikslumą ir naudojimą.
Elektroninė informacija – elektroninių ryšių tinklais perduodama ar informacinėse
sistemose arba registruose saugoma ir tvarkoma informacija ar duomenys, įskaitant programinę
įrangą, skirtą informacinės sistemos funkcijoms atlikti.
Gebėjimų brandos modelis (GBM) (angl. Capability Maturity Model (CMM)) – programų
inžinerijos instituto (angl. Software Engineering Institute) sukurtas programinės įrangos kūrimo
GBM. Daugelio organizacijų naudojamas modelis, skirtas įvertinti ir padidinti programinės įrangos
kūrimo procesų brandą.
Informacija – tai duomenys, kurių turinys ir forma tinka tam tikram naudojimui.
Informacija gaunama duomenis apdorojus (pvz.: formatuojant, filtruojant, sumuojant, atliekant
analizę ar kitas sudėtingesnes operacijas).
Informaciniai ištekliai – informacijos, kurią valdo informacinės visuomenės nariai ir kuri
apdorojama informacinių technologijų priemonėmis, ir ją apdorojančių informacinių technologijų
priemonių visuma.
Informacinė sistema (IS) – informacijos apdorojimo procesus (duomenų ir dokumentų
tvarkymo, skaičiavimo, bendravimo nuotoliniu būdu ir t. t.) vykdanti sistema, kuri veikia
informacinių ir ryšių technologijų pagrindu. Ši sąvoka apima valstybės ir žinybinius registrus ir
elektroninių duomenų perdavimo tinklus. IS sudaro 4 pagrindinai komponentai: techninė įranga,
programinė įranga, duomenys ir žmonės.
Sąvokų žodynas
5
IS auditas – yra audito dalis, kai surinkti įrodymai ir atliktas vertinimas leidžia nuspręsti, ar
IS efektyviai naudoja organizacijos išteklius, užtikrina jų saugą, duomenų vientisumą ir padeda
efektyviai siekti organizacijos tikslų.
IS bendroji kontrolė – tai kontrolės priemonės, kurios taikomos visiems konkrečios
organizacijos IS komponentams, procesams ir duomenims ar informacinių technologijų aplinkai.
Šios kontrolės priemonių visuma turi užtikrinti tinkamą kompiuterizuotų taikomųjų programų plėtrą
ir įgyvendinimą, taip pat taikomųjų programų, duomenų bylų ir kompiuterinių operacijų vientisumą.
IS kūrimo kontrolė – kontrolės procedūros ir priemonės, sukurtos remiantis sistemų kūrimo,
projektavimo, bandymų ir projektų valdymo metodika, kuri užtikrina tikslų ir efektyvų planavimą,
biudžeto ir išlaidų kontrolę. Kiekviename kūrimo etape nagrinėjama informacinių technologijų, projekto
valdymo, biudžeto, vidaus kontrolės, veiklos procesų ir trečiųjų šalių paslaugų teikėjų ir kitų išorės
subjektų įtaka IS.
ISACA – Tarptautinė profesinė organizacija orientuota į informacinių technologijų valdymą
(anksčiau žinoma kaip Informacinių sistemų audito ir kontrolės asociacija).
Informacinės technologijos (IT) – ištekliai, reikalingi tam tikrai informacijai gauti, tvarkyti,
saugoti ir skleisti: techninė, programinė įranga, komunikacijos ir kita įranga, naudojama bet kokios
formos duomenims įvesti, saugoti, apdoroti, perduoti ir išvesti.
Rizika – veiklos kontekste tai galimybė, kad tam tikra grėsmė dėl turto vieneto ar turto
vienetų grupės silpnųjų pusių sukels turto ir / ar lėšų praradimą ir (arba) padarys jam žalos.
Paprastai vertinama poveikio ir atsitikimo tikimybės deriniu.
SKGC – sistemos kūrimo gyvavimo ciklas (angl. Systems Development Life Cycle (SDLC)).
Etapai, išdėstyti kuriant ar įsigyjant programinės įrangos sistemą. Paprastai tai tokie etapai:
ekonominio pagrįstumo analizė, reikalavimų analizė, reikalavimų apibrėžimas, detalus projektas,
programavimas, testavimas, diegimas ir įdiegtos sistemos analizė.
Taikomoji programa – programa, kuri apdoroja veiklos duomenis atliekant duomenų įvedimą,
atnaujinimą ar pateikiant užklausą. Ji skiriasi nuo sistemų programų – operacinių sistemų ar tinklo
kontrolės programų – ir nuo paslaugų – kopijavimo (angl. copy) ar rūšiavimo (angl. sort) – programų.
Taikomųjų programų kontrolė – su duomenų įvestimi, apdorojimu, duomenų bankais ir
duomenų gavimu susijusi vidaus kontrolė.
Taikomųjų programų kontrolės priemonės (angl. application controls) – kontrolės
priemonės, integruotos į automatizuotus sprendimus (taikomąsias programas).
Vidaus kontrolė – politika, planai ir procedūros bei organizacijos struktūros, skirtos
užtikrinti, kad veiklos tikslai būtų pasiekti, o nepageidaujamiems įvykiams būtų užkirstas kelias
arba jie būtų nustatyti ir ištaisyti.
Kitos IS audito vadove vartojamos sąvokos atitinka Lietuvos Respublikos valstybės
informacinių išteklių valdymo įstatyme ir kituose teisės aktuose vartojamas sąvokas.
1. Informacinių sistemų audito samprata
6
1. Informacinių sistemų audito samprata
IS auditas yra audito dalis, kai surinkti įrodymai ir atliktas vertinimas leidžia nuspręsti, ar IS
efektyviai naudoja organizacijos išteklius, užtikrina jų saugą, duomenų vientisumą ir padeda
efektyviai siekti organizacijos tikslų.
IS audito poreikis atsirado, nes IS tapo neatsiejama bet kurios organizacijos veiklos dalimi
arba vienu svarbiausių veiklos vykdymo įrankių. Organizacijų ir IT padalinių vadovai suprato, kad
kompiuteriai ir IS yra vertingi ištekliai, kurie turi būti valdomi taip pat, kaip ir bet kuris kitas
organizacijos turtas, todėl buvo pradėtas vertinti IS kūrimo, diegimo, naudojimo ir priežiūros
ekonomiškumas, efektyvumas ir rezultatyvumas.
1.1. IS audito tikslas ir uždaviniai
IS audito tikslas – įvertinti IT valdymo aplinką ir atskleisti IT valdymo aplinkos tobulinimo
galimybes. IS auditas apima IT valdymą (angl. IT governance) ir padeda organizacijoms pagerinti
keturias sritis:
IS auditas dažniausia pasižymi labai techninio pobūdžio pastebėjimais, todėl pagrindinis IS
audito uždavinys – techninio pobūdžio pastebėjimus audito išvadose pateikti kaip pažeidžiamumą ir
poveikį audituojamo subjekto veiklai. IS audito rezultatai turi skatinti audituojamą subjektą daugiau
dėmesio skirti IS, taikomųjų programų ir IT valdymo aplinkos tobulinimui.
1. Informacinių sistemų audito samprata
7
1.2. IS audito objektas ir samprata
Siekiant išvengti IS valdymo ir saugos užtikrinimo problemų, buvo sukurti bendrieji IS
kontrolės metodai. IS auditas dažniausia skirtas šiems kontrolės metodams įvertinti, todėl IS audito
metu vertinama, kaip vadovybė valdo IT infrastruktūrą.
Audituojamo subjekto vidaus kontrolės vertinimas yra veiklos ir finansinių auditų vertinimo
sritis. IS auditai gali būti dviejų tipų (1 pav.):
1. IS vidaus kontrolės vertinimas, kuris apima:
IS bendrosios kontrolės vertinimą, kai įvertinama vidaus kontrolė, apimanti visas
organizacijos IS.
IS kūrimo kontrolės vertinimą, kai įvertinamas IS kūrimo valdymas ir kontrolė nuo
sistemos koncepcijos atsiradimo iki jos įteisinimo, apimant IS pakeitimų ir versijų valdymą.
Taikomųjų programų kontrolės vertinimą, kai įvertinama kontrolė, susijusi su duomenų
įvedimu, apdorojimu, duomenų saugojimu ir išvestimi konkrečiose taikomosiose programose.
2. IS veiklos auditas – IS efektyvumo, ekonomiškumo ir rezultatyvumo vertinimas.
1 pav. IS audito apimtis
Finansinis
auditas IS AUDITAS
IS vidaus kontrolės vertinimasIS vertinimas 3E požiūriu
(IS veiklos auditas)
IS bendrosios
kontrolės
vertinimas
IS kūrimo
kontrolės
vertinimas
Taikomųjų
programų
kontrolės
vertinimas
Veiklos
auditas
Vykstant sparčiai IT plėtrai, daugėja viešojo sektoriaus veiklos automatizavimo procesų,
kurių vertinimą turėtų atlikti ne tik IS auditoriai. Veiklos, finansiniai, IS auditoriai ir IT specialistai,
tarpusavyje koordinuodami veiksmus, turėtų planuoti audito procedūras, kontroliuoti atliekamą
darbą ir vertinti gautus rezultatus.
IS audito pasiskirstymas tarp auditorių pateiktas 1 lentelėje, joje išvardyti ir šio IS audito
vadovo priedai, kuriais rekomenduojama naudotis atliekant IS vertinimus ir auditus.
1. Informacinių sistemų audito samprata
8
1 lentelė. Auditorių pasiskirstymas pagal IS audito objektus.
IS audito
objektai IS sudėtingumas Auditą atlieka Procedūros
Rekomenduojama
vadovautis 1. IS bendroji
kontrolė
Paprasta, vidutinio
sudėtingumo, sudėtinga
Visi auditoriai* 2.2.2. skirsnis 1 ir 2 priedais
IS auditoriai 2.2.1 ir 3.1.1 skirsniai Visais priedais
2. IS kūrimo
kontrolė
Paprasta, vidutinio
sudėtingumo, sudėtinga IS auditoriai 2.2.1 ir 3.1.2 skirsniai 5 ir 11 priedais
3. Taikomųjų
programų kontrolė
Paprasta, vidutinio
sudėtingumo, sudėtinga
Visi auditoriai* 3.1.4 skirsnis 3 priedu
IS auditoriai 2.2.1 ir 3.1.3 skirsniai 6 ir 12 priedais
4. IS vertinimas
3E požiūriu
Paprasta, vidutinio
sudėtingumo, sudėtinga
Veiklos auditoriai 2.3 ir 3.2 poskyriai Veiklos audito vadovu
IS auditoriai
* IS sudėtingumas nustatomas užpildant 1 priedą, vertinant sudėtingų IS bendrąją ir taikomųjų programų
kontrolę rekomenduojama pasitelkti IS auditorius. IS auditoriai atlieka detaliuosius sudėtingų valstybės IS ir
pagrindinių valstybės registrų valdymo auditus, IS sudėtingumas nustatomas strateginio planavimo metu.
Prireikus pagalbos, finansinio ar veiklos audito metu (1 lentelėje numatytais atvejais)
auditoriai, vadovaudamiesi valstybės kontrolieriaus patvirtinta tvarka, į pagalbą turėtų pasitelkti
Valstybės kontrolės IS auditorius arba išorės arba vidaus IS / IT specialistus dėl išsamesnės analizės
ir paaiškinimų.
1.3. IS audito vertinimo kriterijai
Atliekant IS vidaus kontrolės vertinimo auditus audituojamo subjekto IT procesai vertinami
remiantis COBIT metodika ir joje pateiktais IT procesų kontrolės tikslų ir jų metrikų aprašymais,
informacijos kontrolės kriterijais. Vertinimo kriterijų formulavimui gali būti naudojamos ir
informacinių išteklių (IS, registrų, el. duomenų perdavimo tinklų) valdymo reikalavimus
nustatančių teisės aktų nuostatos.
Atliekant IS veiklos auditus ir vertinant IT valdymo aplinką efektyvumo, ekonomiškumo ir
rezultatyvumo aspektais, vertinimo kriterijams formuluoti taikoma veiklos auditams skirta metodika
(detaliau Veiklos audito vadovo dalis Audito objekto, tikslo, vertinimo kriterijų, apimties ir metodų
nustatymas kartu su INTOSAI praktika).
1.4. IS audito procesas
IS audito procesą, kuriame įvertinama IT, taikomųjų programų ir kuriamų IS valdymo
aplinka, sudaro šie pagrindiniai etapai (2 pav.):
planavimas – strateginis tyrimas ir audito planavimas;
atlikimas (pagrindinis tyrimas);
stebėjimas po audito.
1. Informacinių sistemų audito samprata
9
2 pav. IS audito proceso etapai ir parengiami dokumentai
Pastabos: Nurodyti etapai būdingi kiekvienam IS auditui, tačiau būna ir išimčių:
1 – finansinio audito metu sudėtingų IS vidaus kontrolės vertinimui gali būti pasitelkti IS auditoriai (paraiška),
vertinimas baigiamas parengiant IS bendrosios kontrolės ir taikomųjų programų kontrolės vertinimo darbo
dokumentus;
2 – veiklos audito metu gali būti pasitelkiami IS auditoriai (paraiška), IS auditorių darbo rezultatai pateikiami
darbo dokumente;
3 – IS auditas gali baigtis išankstiniu tyrimu (nusprendus neatlikti pagrindinio tyrimo);
4 – IS auditas gali būti pradėtas be strateginio ir išankstinio tyrimo (pavyzdžiui, įtraukus į valstybinio audito
programą Seimo nutarimu pavestą atlikti auditą);
5 – IS vidaus kontrolės vertinimo metu nerengiama išankstinio tyrimo ataskaita, audito planavimas baigiamas
parengiant IS audito planą.
IS audito procese atsiradus kitoms išimtims negu nurodyta 2 pav., sprendimus dėl jų taikymo priima valstybės
kontrolierius ir (ar) jo pavaduotojas, koordinuojantis ir kontroliuojantis IS auditus atliekančio audito
departamento veiklą.
IS auditas atliekamas vadovaujantis INTOSAI standartais, šiuo IS audito vadovu,
Tarptautinės informacinių sistemų audito ir kontrolės asociacijos (ISACA) IS audito standartais ir
atsižvelgiant į asociacijos parengtas IS audito gaires, taip pat Finansinio ir teisėtumo ir Veiklos
audito vadovais. Metodinių dokumentų sąrašas pateiktas 13 priede.
Finansiniai auditoriai, atlikę IS bendrosios kontrolės ar taikomųjų programų kontrolės
vertinimą, rezultatus (darbo dokumento elektroninę kopiją) pateikia IS auditus atliekančiam
Valstybės kontrolės struktūriniam padaliniui. IS vidaus kontrolės vertinimo rezultatai apibendrinami
pagal valstybės kontrolieriaus įsakymu patvirtintų Valstybinių auditų, atliktų vykdant metinę
programą, rezultatų apibendrinimo taisyklių atitinkamą priedą.
IS audito proceso etapai ir kiekviename etape parengiami dokumentai išsamiau aprašyti
tolesnėse IS audito vadovo dalyse.
Paraiška dėl IS auditorių pasitelkimo1
IT ir IS sudėtingumo
vertinimas
IS bendrosios
kontrolės vertinimas
IS taikomųjų
programų
kontrolės
vertinimas
Finansinis
auditas
Stebėjimas po
audito Planavimas Pagrindinis
tyrimas / Audito
atlikimas
Strateginis tyrimas Audito planavimas /
Išankstinis tyrimas
Siūlymai valstybinio
audito programai4
IS audito planas
Išankstinio tyrimo
ataskaita5
Rekomendacijų
įgyvendinimo
ataskaita
IT arba IS vertinimo
darbo dokumentas Paraiška dėl IS auditorių pasitelkimo2
IS audito ataskaita
Veiklos auditas
IS vidaus kontrolės
vertinimas
IS veiklos auditas3
2. Planavimas
10
2. Planavimas
Siekiant racionaliai naudoti audito išteklius (finansinius, žmogiškuosius, materialinius ir
kitus), labai svarbu tinkamai suplanuoti IS audito procesą.
2.1. Strateginis tyrimas
IS audito strateginis tyrimas atliekamas pagal Veiklos audito vadovą. Išsamiau strateginio
tyrimo procesą, darbų pasidalijimą, informacijos kaupimo ir pateikimo formas, terminus ir kt.
nustato valstybės kontrolieriaus įsakymu patvirtinta Veiklos audito strateginio tyrimo organizavimo
ir vykdymo metodika. Planuojant IS vidaus kontrolės vertinimus atsižvelgiama į valstybės įstaigos
valdomų informacinių išteklių (IS, registrų ir kt.) duomenų svarbą ir finansinių auditorių pateiktą IS
vidaus kontrolės vertinimo medžiagą. IS veiklos audito strateginiam planavimui naudojami
duomenys, gauti analizuojant IS bendrosios kontrolės vertinimus.
2.2. IS vidaus kontrolės vertinimo planavimo procesas
Viena iš vidaus kontrolės sudedamųjų dalių yra IS, apimanti audituojamos organizacijos
veiklos procesus, todėl būtina gerai susipažinti su audituojamo subjekto IS aplinka, kad auditorius
nustatytų IS sudėtingumą, subjekto veiklos priklausomybės nuo IS lygį ir galėtų įvertinti auditui
svarbias IS.
Vidaus kontrolės vertinimas, kuriame planuojama vertinti IS, taikomųjų programų ar
kuriamų IS valdymo aplinką, atliekamas tokia seka:
pirmiausia planuojamas IS bendrosios kontrolės vertinimas, atliekama IS dokumentų
analizė, preliminarus IS kontrolės vertinimas ir nustatoma IS bendrosios kontrolės branda (būklė);
atlikus IS bendrosios kontrolės vertinimą planuojamas IS kūrimo kontrolės vertinimas ir
tik po to – taikomųjų programų kontrolės vertinimas. Jeigu IS kūrimo arba taikomųjų programų
kontrolę planuojama vertinti atskirai, tai IS bendroji kontrolė vertinama tiek, kiek ji tiesiogiai susijusi
su IS kūrimo arba taikomųjų programų kontrole.
Šia seka planuojami ir IS vidaus kontrolės vertinimo auditai, kurių objektu yra IS kūrimo ir
taikomųjų programų kontrolės vertinimas.
Toliau pateikiami skirtingos apimties IS vidaus kontrolės vertinimo planavimo etapai.
IS bendroji kontrolė
IS kūrimo kontrolė
Taikomųjų programų kontrolė
2. Planavimas
11
2.2.1. IS vidaus kontrolės vertinimo planavimas veiklos audito metu
IS vidaus kontrolės audito planavimas atliekamas vadovaujantis ISACA standartais ir
gairėmis, apibrėžiančiais audito planavimo procesus ir rekomendacijas. IS audito uždavinius lemia
aukščiausiojo lygio vadovybės nustatyta vidaus kontrolės sistema. Jeigu nustatytos sistemos nėra,
kaip pagrindas detaliems IS audito uždaviniams nustatyti turi būti naudojama COBIT metodika.
Atsižvelgiant į konkretaus IS audito apimtį turi būti parenkami konkretūs COBIT procesai,
kontrolės tikslai ir susijusios valdymo praktikos. Auditas turi apimti visų COBIT metodikoje
nurodytų IT išteklių naudojimo ir apsaugos kontrolės sistemas: duomenis, taikomąsias programas,
technologijas, įrangą, žmones ir IT valdymą.
IS vidaus kontrolės vertinimo auditų planavimas vykdomas etapais (žr. 2 lentelę),
kiekviename etape priimtus sprendimus būtina dokumentuoti. Audito planavimui skirti klausimynai
(4–7 priedai) sudaryti pagal ISACA IS audito gairių rekomendacijas ir COBIT metodiką, kuri
leidžia įvertinti subjekto taikomų IT valdymo metodų visumą. Detalesnis IS audito planavimo etapų
darbų aprašymas pateikiamas audito dokumentavimo IS.
2 lentelė. IS vidaus kontrolės audito planavimo etapai ir tikslai
IS bendroji kontrolė IS kūrimo kontrolė Taikomųjų programų
kontrolė Nagrinėjama, ar IS funkcija atitinka
subjekto misiją, viziją, vertybes, tikslus
ir strategijas, ar IT funkcijai yra aiškiai
nustatyti veiklos rezultatai, kurių tikisi
organizacija, ir įvertinti, ar jie pasiekti.
Nagrinėjama, ar IS steigimas, kūrimas,
diegimas, įteisinimas ir pakeitimai yra
tinkamai kontroliuojami.
Nustatyti, išbandyti ir įvertinti
kontrolės priemones, kurias
subjektas taiko taikomosioms
programoms.
Audito planavimo etapo darbų planas
Numatyti planavimo etapo darbų atlikimo terminus ir apimtis, plano forma pateikiama 8 priede.
Susipažinimas su audituojamo subjekto veikla Susipažinti su subjekto veiklos sritimis,
kuriose kritinį vaidmenį vaidina IS.
Sugretinti subjekto veiklos tikslus su IT
tikslais, įvertinti jo valdomų (naudojamų)
IS sudėtingumą. Išanalizuoti IT
reglamentuojančius teisės aktus,
nustatyti, ar subjektas IT funkciją
perleidžia tretiesiems asmenims.
Išsiaiškinti kitą auditoriaus nuomone
reikšmingą informaciją.
Susipažinti su IS kūrimo aplinka,
subjekto pasirinktu IS įsigijimo / kūrimo
būdu, mastu, technologijomis, įsigijimo /
kūrimo tikslais ir susipažinti su IS
naudojimo būdais.
Susipažinti su aplinka,
kurioje taikomosios
programos yra kuriamos,
palaikomos ir
eksploatuojamos. Nustatyti
jų dydį, sudėtingumą ir
subjekto priklausomybės
nuo taikomųjų programų
lygį.
Susipažinimas su IS valdymu ir preliminarus vidaus kontrolės įvertinimas Įvertinti subjekto pasirinktas IS
kontrolės priemones ir praktinį jų
taikymą, nustatyti, ar IS atitinka teisės
aktus; įvertinti kitą, auditoriaus
nuomone, reikšmingą informaciją,
susijusią su IS valdymu.
Įvertinti rizikingiausias IS valdymo sritis
pagal 4 priede nurodytus pagrindinius
aspektus.
Nustatyti dabartinį IS įsigijimo / kūrimo
etapą, projekto valdymo struktūrą,
įsigijimui / kūrimui skirtas ir planuojamas
skirti lėšas. Įvertinti ankstesnių kūrimo
etapų peržiūros rezultatus, rizikas galinčias
paveikti IS įsigijimo / kūrimo ciklą,
vadovybės nurodomas problemas dėl IS
įsigijimo / kūrimo priežiūros ir kitus
aspektus, nurodytus 5 priede. Atliekant
vertinimą rekomenduojama naudotis
ISACA IS kūrimo ir projektų valdymo
audito programa.
Įvertinti COBIT IT procesus
pagal 6 priede nurodytus
aspektus. Atliekant
vertinimą rekomenduojama
naudotis ISACA Taikomųjų
programų audito programa.
Kiti klausimai gali būti nagrinėjami atsižvelgiant į audituojamo subjekto veiklos specifiką, audito tikslą ir auditui
numatytą atlikti laiką.
2. Planavimas
12
Ankstesnių valstybinių auditų rezultatų analizė
Įvertinti, ar pašalinti nustatyti pažeidimai, ištaisytos klaidos ir laiku įgyvendintos rekomendacijos ir kokia neištaisytų
pažeidimų įtaka atliekamam auditui
Vidaus auditorių ir kitų specialistų darbo panaudojimas
Įvertinti, ar galima pasinaudoti vidaus auditorių ar kitų specialistų atlikto darbo rezultatais
Reikšmingumo nustatymas
Nustatyti priimtiną reikšmingumo lygį
Rizikos įvertinimas IS bendrosios kontrolės testavimo
apimtys turi būti pagrįstos auditoriaus
atliktu IS bendrosios kontrolės silpnų
vietų ir rizikų vertinimu.
IS kūrimo kontrolės testavimo
apimtys turi būti pagrįstos
auditoriaus atliktu IS kūrimo
kontrolės silpnų vietų ir rizikų
vertinimu.
Taikomųjų programų kontrolės
testavimo apimtys turi būti
pagrįstos auditoriaus atliktu
taikomųjų programų kontrolės
silpnų vietų ir rizikų vertinimu.
Rizikos suvestinė (IS audito vadovo 9 priedo Audito plano 2 priedas).
Audito plano parengimas Tolesniam vertinimui rekomenduojama
pasirinkti PO1, PO4, PO5, PO6, PO9,
AI1, AI2, AI3 ir ME4 procesus. Įvertinus
audito atlikimui skirtą laiką ir turimus
išteklius, gali būti pasirenkami ir (arba)
kiti planavimo metu analizuoti COBIT
procesai pvz.: PO2, PO3, PO7, PO8,
PO10, DS1, DS2, DS3, DS6, DS7, DS8,
DS9, DS10, DS12, DS13, AI6 ir ME1.
Tolesniam vertinimui
rekomenduojama pasirinkti PO5,
PO10, AI1-AI7 ir DS1 procesus.
Įvertinus audito atlikimui skirtą
laiką ir turimus išteklius, gali būti
pasirenkami ir (arba) kiti
planavimo metu analizuoti COBIT
procesai pvz.: PO7, PO8, ME1,
ME2, ME4 ir AC6.
Tolesniam vertinimui
rekomenduojama pasirinkti AI1,
AI2, AI4, AI7 ir AC1-AC6
procesus. Įvertinus audito
atlikimui skirtą laiką ir turimus
išteklius, gali būti pasirenkami ir
(arba) kiti planavimo metu
analizuoti COBIT procesai pvz.:
AI6, DS5 ir kt.
Tolesniam vertinimui rekomenduojama pasirinkti ne daugiau kaip 10 planavimo metu analizuotų IT procesų.
Pasirinkti procesai įraukiami į rengiamą audito planą (9 priedas).
Jei IS audito metu planuojama įvertinti IS bendrąją, kūrimo ir taikomųjų programų kontrolę,
2 lentelėje nurodytus planavimo etapus reikia įvertinti pagal 7 priede pateiktas rekomendacijas. Kiti
klausimai papildomai gali būti nagrinėjami atsižvelgiant į audituojamo subjekto veiklos specifiką,
audito tikslą ir numatytą auditui atlikti laiką. Atliekant tokį IS auditą rekomenduojama naudotis
ISACA Taikomųjų programų ir IS kūrimo ir projektų valdymo audito programomis.
2. Planavimas
13
2.2.2. IS bendrosios kontrolės vertinimas finansinio audito metu
Finansinio audito planavimo etape susipažįstant su audituojamo subjekto vidaus kontrolės
aplinka ir procedūromis yra vertinama IS bendroji kontrolė, o atliekant kontrolės procedūrų
efektyvumo vertinimą – apskaitoje naudojamų taikomųjų programų kontrolė. Audituojamo
subjekto IS bendroji kontrolė vertinama tam, kad auditorius galėtų nustatyti ir įvertinti reikšmingo
iškraipymo riziką ir, atsižvelgdamas į ją, suplanuoti ir atlikti tolesnes audito procedūras. Apskaitoje
naudojamų taikomųjų programų kontrolė vertinama siekiant gauti audito patikimumą iš vidaus
kontrolės ir įsitikinti duomenų, naudojamų audito metu, patikimumu.
Norint tinkamai suplanuoti auditą, reikia įvertinti audituojamo subjekto IS sudėtingumą,
įgimtą riziką ir priimti sprendimą, ar reikia kreiptis pagalbos į IT specialistus ar IS auditorius,
atliekant tolesnį IS vertinimą (3 pav.). IS audito vadovo 1 priedas turėtų būti naudojamas siekiant
įvertinti, kokioje aplinkoje veikia IS, pavyzdžiui, ar audituojamas subjektas vykdo pagrindinių IS
pirkimus (kūrimą), ar buvo didelių problemų su IT operacijomis, ar audituojamas subjektas naudoja
sudėtingas IT programas, ar buvo kilę reikšmingų problemų su audituojamo subjekto IS.
3 pav. IS bendrosios kontrolės vertinimo planavimas
Susipažinti su IT aplinka ir nustatyti naudojamų
IS svarbą audituojamo subjekto veiklai
Surinkti pirminę informaciją ir įvertinti
auditui aktualių IS svarbą, jų sudėtingumą ir riziką
Auditorius įvertina informaciją apie IT ir auditui aktualias IS pagal 1 priedą.
Ar IS sudėtinga?
Auditorius įvertina audituojamo subjekto IS aplinką kaip sudėtingą, vidutinę ar paprastą (įvertinimo
paaiškinimas pateiktas 1 priede) ir susipažinęs su IT aplinka parengia klausimyną IS bendrajai kontrolei
vertinti.
Prireikus (jei IS aplinka sudėtinga) kreipiasi dėl konsultacijų į IT specialistus ar IS auditorius.
IS bendrosios kontrolės vertinimas (4 pav.)
Auditorius, susipažindamas su audituojamo subjekto vidaus kontrolės aplinka ir procedūromis,
turi įvertinti audituojamo subjekto IS bendrąją kontrolę ir atlikti 4 pav. numatytas procedūras.
2. Planavimas
14
4 pav. IS bendrosios kontrolės vertinimas finansinio audito metu
Atlikti IS bendrosios kontrolės įvertinimą
(peržiūrėti nustatytas procedūras ir įvertinti jų veikimą) Atlikti IS bendrosios kontrolės vertinimą pagal 2 priedą ir išnagrinėti šias sritis:
audituojamo subjekto taikomą saugos politiką;
IT operacijas (procedūras) ir duomenų bylų kontrolę;
IT organizavimą ir valdymą;
programų kūrimą ir IS pokyčių valdymą;
IS veiklos tęstinumą ir incidentų valdymą.
Įvertinti ar numatytos kontrolės priemonės veikia tinkamai.
Įvertinti IS bendrosios kontrolė būklę (labai gera/ gera/ tobulintina / silpna)
1. Jei IS bendrosios kontrolės būklė tobulintina ar silpna, auditorius turi įvertinti, ar taikomos kompensuojančios
kontrolės visoms aukštos rizikos IS sritims.
2. Fiksuoti pastebėjimus, pateikti vertinimus ir rekomendacijas dėl IS bendrosios kontrolės tobulinimo.
Ar bus naudojami IT priemonėmis gauti įrodymai?
Auditorius, rengdamas finansinio audito strategiją, turėtų apsvarstyti ir IT įtaką audito procedūroms, įskaitant
duomenų prieinamumą, patikimumą ir tikėtiną kompiuterinių audito metodų taikymą, ir nuspręsti, ar naudos IT
priemonėmis gautus įrodymus (IS duomenys, el. lentelės ir kt.).
Jei nusprendžiama naudoti IT įrodymus, auditorius turi įvertinti konkrečios IS taikomųjų programų kontrolę.
TAIP NE
Pastaba: Jei esant silpnai IS bendrajai kontrolei
nusprendžiama naudoti IT priemonėmis gautus
įrodymus, atliekant taikomųjų programų
kontrolės vertinimą turi būti padidintas kontrolės
testų kiekis.
1. Finansinio audito strategijoje nurodyti, kad nebus
naudojami IS duomenys (įrodymai gauti IT
priemonėmis).
2. Siekiant įsitikinti duomenų patikimu turi būti
perskaičiuoti visi el. priemonėmis gauti duomenys
(pvz., xls formato žiniaraščiai).
Taikomųjų programų kontrolės
vertinimas (6 pav.)
Pabaiga
Atlikdamas IS bendrosios kontrolės vertinimą, auditorius turi įvertinti, jo nuomone,
reikšmingą informaciją, susijusią su IS panaudojimu. Vertinant rekomenduojama naudotis 2 priede
pateiktu klausimynu. Priede pateiktas klausimynas padeda įvertinti IS bendrąją kontrolę ir surinkti
apibendrinančią informaciją apie audituojamuose subjektuose veikiančias IS.
Auditoriai rinkdami audito įrodymus gali naudoti įprastines audito procedūras ir
kompiuterizuotas audito priemones arba abiejų šių metodų derinius. Kai kurių apskaitos sistemų
veiklos procesus automatizuoja specializuota taikomoji programinė įranga, todėl be kompiuterizuotų
audito įrankių auditoriui gali būti sudėtinga (arba net neįmanoma) patikrinti, įvertinti ir patvirtinti
duomenų tikrumą. Kompiuterizuotos audito priemonės taip pat gali padėti išsamiau patikrinti
elektroninių operacijų ir sąskaitų įrašus, kad būtų įgyvendintas tinkamas atsakas į įvertintą reikšmingo
iškraipymo dėl apgaulės riziką (daugiau 4 skyriuje).
Auditorius įvertina audituojamo subjekto IS bendrosios kontrolės būklę kaip labai gerą,
gerą, tobulintiną ar silpną (įvertinimo paaiškinimas pateiktas 2 priede). Atlikus IS bendrosios
kontrolės vertinimą, jo rezultatai (darbo dokumento el. kopija) pateikiami IS auditus atliekančiam
Valstybės kontrolės struktūriniam padaliniui.
Auditorius, atlikęs IS bendrosios kontrolės ir taikomųjų programų kontrolės vertinimą, jo
rezultatus panaudoja vertinant visos audituojamo subjekto vidaus kontrolės sistemos būklę.
2. Planavimas
15
2.3. IS veiklos audito planavimas
IS vertinimas 3E požiūriu yra veiklos audito sritis, todėl tokio audito planavimas atliekamas
vadovaujantis Veiklos audito vadovu. Žemiau pateikiami IS veiklos auditų tikslai (5 pav.) ir vertinimo
aspektai, į kuriuos auditorius papildomai turėtų atkreipti dėmesį.
5 pav. IS veiklos audito lygiai
IT POVEIKIS
VISUOMENEIIT VALDYMAS IS KŪRIMAS
IS kūrimas (IS veiklos auditas skirtinguose IS kūrimo etapuose) – vertinamas IS įsigijimas
ir kūrimas efektyvumo ir ekonomiškumo požiūriu. Analizuojamas IS kūrimas, eksploatacija,
valdymas ir IS atnaujinimai, taip pat gali būti analizuojami klausimai, susiję su IS kokybe ir sauga.
IT valdymas – vertinami priimti IT naudojimo sprendimai ir parengti planai, pirminės
informacijos, kuri reikalinga sprendimams priimti, kokybė, teisės aktų laikymasis ir kontrolės
veiksmingumas naudojant IS.
IT poveikis visuomenei – vertinami teikiamų paslaugų apimties, kokybės, vientisumo ir
privatumo aspektai.
3E kriterijai IS audito požiūriu
Ekonomiškumas (taupumas) suprantamas kaip mokėjimas mažiau už tos pačios kokybės
išteklių naudojimą arba nenaudojimas nebūtinų brangių išteklių.
IT srities neekonomiškumo požymiai:
• Įsigyjama brangių kompiuterių, kai užduotims atlikti gali būti naudojami paprastesni.
• Perkamos išorės IT paslaugos, kai užduotį atlikti galima naudojant turimus išteklius.
• Kuriama individuali IS, kai galima nusipirkti standartinę programinę įrangą.
Efektyvumas – turint tuos pačius išteklius pasiekiami geresnės kokybės rezultatai. Jis siejamas
su procesais. Neefektyvus procesas naudoja daug išteklių, kad pasiektų tam tikros kokybės rezultatą.
IT srities neefektyvumo požymiai:
• Atliekami niekam nereikalingi patikrinimai.
• Dubliuojama informacija skirtingose sistemose.
• Neefektyviai panaudojama kompiuterio atmintis ar procesoriaus laikas.
Rezultatyvumas suprantamas kaip išmintingas išteklių ir efektyvių procesų naudojimas,
siekiant gauti nustatytos kokybės rezultatus.
2. Planavimas
16
IT srities nerezultatyvumo požymiai:
• Neaiškiai parengtos strategijos, programos ar planai (pvz., neadekvatus poreikių įvertinimas, neaiškūs
ir nenuoseklūs tikslai, sunkiai įgyvendinami uždaviniai ar nustatytos netinkamos priemonės).
• Veiklos procesų neaptarnaujančios IS.
• IS, naudojančios didesnius išteklius negu jų teikiami rezultatai.
• Nepatikimos IS.
Pagrindiniai nesėkmingais veikiančios IS požymiai: naudotojų nepasitenkinimas IS, sistemų
nepatikimumas, bloga integracija su kitomis IS, išaugusios IS kūrimo ir eksploatacijos išlaidos, ilgai
užtrunkantis naujų IS įdiegimas, nebevykdomi (nebaigti) projektai, įsigytų IS brangumas ir ginčai
su IT paslaugų teikėjais.
3. Pagrindinis tyrimas
17
3. Pagrindinis tyrimas
Pagrindinio tyrimo tikslas – surinkti pakankamus ir tinkamus audito įrodymus, kuriais
remdamasis auditorius galėtų atsakyti į audito klausimus ir pagrįsti audito ataskaitoje pateiktas
išvadas ir rekomendacijas.
Pagrindinis tyrimas pradedamas patvirtinus audito planą (IS veiklos auditų atveju) ir
išankstinio tyrimo ataskaitą ir informavus audituojamą subjektą apie pagrindinio tyrimo metu
planuojamus atlikti veiksmus, audito apimtį ir pan.
3.1. IS vidaus kontrolės vertinimas
Vertinant IS vidaus kontrolę nagrinėjamos planavimo metu pasirinktos sritys, atliekamos
audito procedūros, susijusios su duomenų rinkimu ir vertinimu. Vertindamas IS valdymą auditorius
turi atsižvelgti į rekomenduojamą IT valdymo gerąją praktiką, į tai, kokius IT valdymo, projektų
valdymo, saugos užtikrinimo ir kt. metodus taiko audituojamas subjektas, ir pagal metodikų
kriterijus vertinti audito metu nustatytus faktus.
3.1.1. IS bendrosios kontrolės vertinimas
IS bendrosios kontrolės audito metu auditorius turi įvertinti pasirinktus IT procesus pagal
nustatytus vertinimo kriterijus ir nustatyti, ar informacinių sistemų valdymas atitinka teisės aktus.
Vertinant IS valdymą rekomenduojama naudoti COBIT IT kokybės užtikrinimo vadove nurodytus
pavyzdinius testavimo metodus ir / arba kitą audituojamo subjekto pasirinktą metodiką ar
reikalavimus (pvz., projektų valdymui PMBOK, PRINCE2).
Atliekant IS valdymo vertinimą būtina įvertinti ir tai, kaip audituojamame subjekte veikia IS
ir įgyvendinamos informacijos saugos strategijos, politikos (nuostatai), tvarkos, taisyklės, projektų
specifikacijos, naudotojų instrukcijos, ar audituojamas subjektas vadovaujasi minėtais dokumentais.
Įvertinus konkretų IT procesą, pateikiamas bendras vertinimas dėl audituojamo subjekto
pasirinktų kontrolės priemonių pakankamumo, jų taikymo efektyvumo, išskiriant neatitiktį teisės
aktų reikalavimams. Jei audito metu nustatoma geroji IT valdymo praktika, kuri galėtų būti
pritaikyta kitame viešojo sektoriaus subjekte, tai pažymima pateikiant nagrinėtos srities vertinimą.
Pateikiant apibendrintus vertinimus, turi būti įvertintas nustatytų faktų / trūkumų reikšmingumas,
mastas, priežastys ir poveikis.
IS bendroji kontrolė gali būti įvertinta naudojantis Gebėjimų brandos modeliu (10 priedas).
IS gebėjimų branda gali būti nustatoma įvertinant visą IS bendrąją kontrolę (suteikiant vieną bendrą
balą) arba įvertinant IT procesų kontrolę (suteikiant balus kiekvienam procesui atskirai).
3. Pagrindinis tyrimas
18
Inicijavimo stadija
Specifikavimo stadija
3.1.2. IS kūrimo kontrolės vertinimas
IS kūrimas vertinamas pagal teisės aktų reikalavimus IS kūrimui, ISACA Sistemų
projektavimo ir projektų valdymo audito programą1 ir / arba audituojamo subjekto pasirinktą
projekto valdymo metodiką – priklausomai nuo IS kūrimo etapo.
Teisės aktuose numatyta IS gyvavimo ciklo metodika apima stadijas, etapus, kontrolę ir
dokumentų rengimo tvarką visame IS plėtros procese. Atlikto darbo išsamumui ir kokybei patikrinti
kiekvieno etapo metu numatomi kontrolės taškai ir tikrinimo procedūros. Kontrolės taškai turi sutapti
su tais laiko momentais, kuriuose numatoma gauti konkrečius rezultatus, pavyzdžiui: projektinius
sprendimus, dokumentus ir pan.
Šios stadijos metu audituojamas subjektas turi parengti įtikinamą, įrodymais ir
faktais pagrįstą IS kūrimo pagrindimą. Inicijavimo dokumentai turėtų būti
kruopščiai įvertinti ir leisti auditoriui susidaryti nuomonę apie priimtą sprendimą, susijusį su IS kūrimo pagrįstumu. Šie
dokumentai turėtų įtikinti, kad projektas subjektui atneš realios naudos, pagrįstų būtinybę toliau tęsti arba nutraukti
inicijuotą projektą. Inicijavimo metu turėtų būti iš vadovybės gautas sutikimas pradėti projektą ir su ja aptartas projekto
valdymo modelis. Taip pat nusakytas IS kūrimo pagrindas, apibūdinta organizacinė struktūra ir kaupiamų duomenų
šaltiniai, numatyta IS funkcinė ir informacinė struktūra. Ši informacija turėtų atsispindėti rengiant IS nuostatų projektą ir
tvirtinant nuostatus. Inicijavimas gali būti susijęs su viso arba vieno iš projekto etapų įgyvendinimu, todėl iniciavimo
etapas gali pasikartoti IS gyvavimo cikle.
Šios stadijos metu turi būti nustatomi tikslai, kurių siekiama kuriant IS, pasiūlyta IS
koncepcija, t. y. samprata apie IS. Taip pat turi būti suformuluoti reikalavimai
būsimai IS, nustatyti jos kūrimo ribojimai (finansiniai, techniniai ir kt.) ir parengta IS specifikacija, aprašanti kūrimo
tikslus, projekto valdymą, IS keliamus reikalavimus, finansinius ir kitokius ribojimus. Analizuodami specifikavimo
stadiją, auditoriai turi įvertinti, ar į specifikacijos rengimo procesą buvo įtraukti galutiniai vartotojai, ar buvo peržiūrėti
visi reikiami dokumentai, identifikuoti visi duomenys ir duomenų apdorojimo procesai, kurie būtini būsimos IS funkcijų
apibrėžimui. Taip pat auditoriui svarbu įsitikinti, ar specifikavimo metu galutinių vartotojų reikalavimai buvo tinkamai
suprasti ir įtraukti į specifikaciją, siekiant vėlesniuose kūrimo etapuose išvengti naujų pokyčių ar reikalavimų, kurie
vėlintų visą kūrimo procesą arba turėtų įtakos IS veiksmingumui.
Turi būti detalizuota ir patikslinta IS specifikacija: konkretizuota joje pateikta IS
samprata, sudarytas IS koncepcinis modelis (jis turi atitikti subjekto poreikius) ir
išanalizuoti IS realizavimo variantai. Pasirinktas IS realizavimo variantas turi būti ekonomiškai, techniškai ir socialiai
pagrįstas. Remiantis IS reikalavimais turi būti suformuluoti reikalavimai ir parengtos specifikacijos IS komponentams.
Parengtą bendrą IS projektą (aprašą) turi patvirtinti audituojamo subjekto vadovybė. Jei kuriama nesudėtinga IS, jos
koncepcinio modelio galima nerengti, tačiau turi būti patikslinta IS specifikacija. Sudėtingos IS koncepcinis modelis ir
aprašas gali būti hierarchinis. Aukščiausiojo lygio IS koncepciniame modelyje ir specifikacijoje turi būti nagrinėjamos
kompiuterizuojamo objekto ir kuriamų posistemių sąveika. Kiekvienai posistemei turi būti rengiamas savas koncepcinis
modelis, specifikacija ir t. t.
Šios stadijos metu turi būti sukurti arba įsigyti reikalingi IS komponentai
(aparatinė, programinė įranga, taikomosios programos, duomenų bazės ir kt.),
kurie turi būti sujungti į visumą. Sukonstruota IS turi tenkinti specifikacijoje ir parengtame projekte suformuluotus
reikalavimus. Yra daug įvairių būdų, kuriais gali būti kuriami IS komponentai, pavyzdžiui: „krioklio“ (angl. waterfall),
prototipo metodas, skubus taikomųjų programų kūrimas (angl. Rapid application developmen (RAD)), CASE ir
objektinis programavimas ir t. t. Kiekviena metodika turi savo kūrimo etapus. Etapų eiliškumas ir reikalingumas
aprašomas konkretaus kūrimo atveju, tačiau nepriklausomai nuo pasirinktos kūrimo metodikos konstruojami IS
komponentai turi būti tinkamai išbandyti, atliktas jų integravimas ir bendras sukonstruotų IS bandymas. Auditorius pagal
taikytą kūrimo metodiką turi įvertinti parengtų IS komponentų dokumentų ir atliktų programavimo darbų tinkamumą, jų
bandymų rezultatus.
1 Systems Development and Project Management Audit/Assurance Program (Jan 2009), ISACA, 2009, USA.
Projekto rengimo stadija
Konstravimo stadija
3. Pagrindinis tyrimas
19
Šios stadijos metu sukonstruota IS turi būti įdiegta, parengta darbui, parengtos
darbo vietos ir išmokyti dirbti būsimi IS vartotojai. Taip pat turi būti atlikta
diegiamos IS bandomoji eksploatacija, pašalinti jos metu pastebėti trūkumai. Atsižvelgiant į bandomosios eksploatacijos
metu sukauptą patirtį diegiama IS turi būti patobulinta. Diegiant IS keliose vietose trūkumų šalinimas turi būti
kartojamas kiekvienoje vietoje. Diegimo stadijos metu sukurta IS turi būti pradėta eksploatuoti. Jei sukurta IS turi
pakeisti anksčiau veikusią IS, bandomosios eksploatacijos metu galima pradėti senos IS likvidavimo darbus. Perėjimas
nuo senos IS prie naujos arba tik naujos IS diegimas turi įvykti po to, kai naujai sukurta IS buvo sėkmingai išbandyta ir
audituojamas subjektas pasirašė jos priėmimo perdavimo aktą, o galutiniai vartotojai yra patenkinti naujai sukurtu
produktu. IS diegimo stadijos etapas turėtų baigtis audituojamam subjektui nustačius IS kūrimo projekto sėkmės lygį ir
įvertinus ar nauja IS pasiekė planuotus kūrimo tikslus, vartotojų lūkesčius ir techninius reikalavimus. Taip pat svarbu
nustatyti visas išmoktas pamokas, kurios gali būti naudojamos, siekiant pagerinti audituojamo subjekto IS kūrimo
procesą. Auditorius turėtų įvertinti, ar audituojamas subjektas atliko minėtus veiksmus ir ar jo atliktas IS kūrimo
projekto vertinimas atitinka faktinius kūrimo rezultatus.
Turi būti įgyvendinti IS specifikacijoje numatyti tikslai ir tenkinami specifikavimo
stadijos metu nustatyti vartotojų poreikiai. Šiame etape aptarnaujant IS, stebint jos
darbą saugumo, integralumo, veiklos tęstinumo, duomenų kopijų darymo ir kiti
trūkumai turi būti aptinkami ir šalinami. Eksploatuojama IS turi būti nuolat
tobulinama, pritaikant ją kintantiems vartotojų poreikiams. Peržiūrint IS
eksploatacijos metu sukauptą informaciją gali būti priimtas sprendimas tobulinti IS
specifikaciją. Modernizuojant sukurtą IS turi būti laikomasi IS gyvavimo ciklo reikalavimų nuo iniciavimo iki
naudojimo, administravimo, priežiūros ir modernizavimo stadijos.
Ji prasideda tada, kai nusprendžiama esamą IS pakeisti nauja arba jeigu yra
panaikinamos teisės aktuose nustatytos funkcijos, kurioms atlikti buvo įsteigta IS.
Šios stadijos metu turi būti pamažu nustojama eksploatuoti esama IS ir, jei nusprendžiama, pradedama naudoti naujoji.
Šiems darbams turi būti tinkamai pasiruošta – suplanuota esamos IS likvidavimo eiga ir eksploatacijos pabaiga. IS
likvidavimo priemonės rengiamos tada, kai norima pereiti nuo esamos prie naujos IS. Esama IS gali būti likviduojama
vykdant naujos IS bandomąją eksploataciją. Eksploatacijos pabaiga yra tada, kai pagal esamos IS likvidavimo planą
nustojama naudotis IS funkcijomis, ir IS likviduojama.
Projektuojant paprastesnes IS, projekto rengimo ir konstravimo stadijos gali būti sujungtos į
vieną – projekto rengimo stadiją.
Vertinant IS kūrimą rekomenduojama naudotis 11 priede pateiktu aprašymu, kuriame
nurodytos pavyzdinės, auditoriaus laisvai pasirenkamos kiekvienos stadijos tikrinimo užduotys ir
kontrolės taškai, ir pavyzdine ISACA Sistemų kūrimo ir projektų valdymo audito programa.
IS kūrimo kontrolės vertinimo rezultatai gali būti pateikti įvertinant procesų brandą pagal
ISACA Sistemų kūrimo ir projektų valdymo audito programos rekomendacijas.
Diegimo stadija
Likvidavimo stadija
Naudojimo,
administravimo,
priežiūros ir
modernizavimo stadija
3. Pagrindinis tyrimas
20
Apdorojimo kontrolės
testavimas
Įvesties kontrolės
testavimas
3.1.3. Taikomųjų programų kontrolės vertinimas
Taikomųjų programų kontrolės priemonės yra unikalios kiekvienai taikomajai programai,
todėl IS audito vadove pateikiamos tik pagrindinės kontrolės testavimo užduotys. Auditorius,
vertindamas taikomųjų programų kontrolę, turėtų atlikti ne mažiau kaip 5 išsamius sistemos darbo
stebėjimus – nuo duomenų suvedimo iki rezultato gavimo. Nuspręsdamas, ar taikomųjų programų
kontrole galima pasikliauti, auditorius turėtų įsitikinti, kad kontrolė veikė efektyviai visą audituojamą
laikotarpį. Taikomųjų programų kontrolės vertinimo etapai:
Tikslas – įsitikinti, kad į taikomąją programą įvedami duomenys yra tikslūs,
autentiški, išsamūs, anksčiau nebuvo naudojami ir įvedami tiksliai be
dubliavimo tik tam įgaliojimus turinčių asmenų.
Duomenų įvesties kontrolė ypač svarbi, siekiant išvengti taikomųjų programų klaidų, sukčiavimo atvejų ir užtikrinant
taikomosios programos vientisumą. Duomenų įvesties kontrolė gali būti pripažinta netinkama, jei taikomojoje
programoje įdiegtas kontrolės priemones galima apeiti, o taikomosios programos duomenis pakeisti arba įvesti kitais
būdais. Būtina išnagrinėti šiuos duomenų įvesties kontrolės aspektus:
Įvesties autorizacija. Audituojamas subjektas turi nustatyti procedūras ir kontroliuoti, kad visi duomenys prieš juos
įvedant į taikomąją programą būtų įvesti ir patvirtinti tik tam įgaliojimus turinčių asmenų. Reikia įsitikinti, kad
atitinkami taikomosios programos prieigos lygiai buvo nustatyti ir jie buvo veiksmingi visą audituojamą laikotarpį.
Įvesties duomenų išsamumas. Auditorius turi įsitikinti, kad taikomosios programos įrašai išsamūs ir juose netrūksta
jokių esminių duomenų. Svarbu įsitikinti, kad išlaikomas visas taikomajai programai apdoroti išsiųstų įvesties
duomenų ir kompiuterinių operacijų įrašų žurnalas (angl. log), kuris turėtų būti peržiūrėtas ir patvirtintas veiksmus
atlikusių darbuotojų vadovo. Taip pat būtina patikrinti, ar taikomoji programa fiksuoja neišsamius įvesties duomenis ir
parengia jų įvesties ataskaitas.
Įvesties duomenų patvirtinimas (pripažinimas galiojančiu). Taikomosiose programose turi būti sukurtos kontrolės
priemonės, kurios patikrina, ar įvesties duomenys yra tikslūs ir galiojantys, pavyzdžiui: įvesties duomenų formato
patikrinimai, leistinų ribų, limitų, įvestų skaitmenų patikrinimas, duomenų suderinamumo patikrinimas ir kt.
Patvirtinimas taip pat gali būti atliekamas rankiniu būdu, pavyzdžiui: įvesties duomenis patikrina ne juos įvedęs asmuo
arba įvestus duomenis peržiūri vadovas. Įvesties duomenų patvirtinimas gali sumažinti taikomosios programos loginių
klaidų riziką, nes galima išvengti loginių klaidų, kurios atsiranda bandant apdoroti įvesties duomenis su reikšmėmis,
viršijančiomis iš anksto nustatytus apribojimus (pvz., tryliktas mėnuo, neigiamas skaičius ir pan.).
Dublikatų patikrinimais. Įvesties duomenų, kuriuos reikia apdoroti apskaitos ar kitoms taikomosiomis programomis,
nuolat daugėja. Nesiimant kontrolės priemonių, didėja rizika, kad bus įvesti pasikartojantys įrašai ir jie liks nepastebėti.
Siekiant sumažinti šią riziką taikomosiose programose turi būti sukurta galimybė nustatyti pasikartojančius įvesties
įrašus, pvz., lyginant naujus įvesties duomenis su anksčiau įvestais. Auditoriui, norinčiam patikrinti, ar taikomosiose
programose nėra pasikartojančių įrašų, rekomenduojama pasinaudoti CAAT programine įranga (detaliau žr. 4 skyrių).
Sutampantys įvesties duomenys. Reikia įsitikinti, ar taikomoji programa patikrina ir lygina įvesties įrašų duomenis su
duomenimis, esančiais kitame susijusiame įraše, pavyzdžiui, įvesti duomenys apie gautas prekes yra automatiškai
palyginami su tiekėjo sąskaita faktūra ir sistemoje esančiais užsakymo duomenimis. Nustačius neatitikimą, taikomoji
programa turėtų suformuoti duomenų neatitikties ataskaitą, o atsakingi asmenys imtis veiksmų, kad nustatytų
neatitikimų priežastis.
Taikomosios programos atmesta įvestis. Reikia įsitikinti, ar nustatytos procedūros, kaip elgtis su įvesties
duomenimis, kuriuos taikomoji programa atmetė (pvz., jie neatitiko taikomojoje programoje numatytų įvesties
reikalavimų). Taip pat reikia patikrinti, ar nustatytos procedūros, kurios užtikrina, kad visi atmesti įvesties duomenys
vėliau bus ištaisyti, pakartotinai pateikti ir priimti taikomojoje programoje. Auditorius turi patikrinti, kaip taikomojoje
programoje identifikuojami, koreguojami ir trinami neatpažinti įvesties duomenys.
Tikslas – įsitikinti, kad taikomojoje programoje bus išsamiai ir teisingai
apdorojami įvesties duomenys, o neteisingi duomenys nebus tvarkomi.
Duomenų apdorojimo kontrolė turėtų užtikrinti, kad naudojami tik teisėti duomenys ir programos bylos (failai), duomenų
apdorojimas yra tikslus ir užbaigtas, o tvarkomi duomenys bus įrašyti į tinkamas bylas (failus). Taikomoji programa turėtų
patikrinti duomenų, kuriuos ji apdoroja, vientisumą, pavyzdžiui, naudojant duomenis, gautus iš kontrolinių sumų.
Taikomoji programa taip pat turi turėti apdorojamų duomenų žurnalą (angl. log), kuriame turi būti pakankamai
informacijos aiškiai identifikuoti kiekvieno duomens apdorojimą. Auditoriui reikia įsitikinti, ar taikomojoje programoje
sukurtos kontrolės priemonės aptinka neišsamius arba netikslius apdorojamus įvesties duomenis, aptikusi apdorojimo
proceso klaidas, apie jas praneša atsakingiems asmenims. Taip pat turi būti numatytos procedūros, kurios leidžia nustatyti
ir peržiūrėti visas neaiškias operacijas, kurios įvyko per tam tikrą laiką, pavyzdžiui, per mėnesį, ketvirtį ar metus.
3. Pagrindinis tyrimas
21
Tikslas – įsitikinti, kad taikomosios programos pateikiama išvestis yra
išsami, tiksli, teisinga ir laiku pateikta.
Siekiant apsaugoti duomenų išvedimo vientisumą turi būti įdiegtos fizinės ir loginės kontrolės, o išvedami duomenys ir
duomenų bylos turi būti apsaugoti nuo neteisėto pakeitimo. Siekiant nuslėpti neteisėtus procesus, gali būti keičiami
išvedami duomenys. Auditorius turėtų įvertinti, ar kontrolės priemonės užtikrina išvedamų arba persiunčiamų iš vieno
apdorojimo etapo į kitą duomenų tikslumą. Duomenų išvedimas iš vienos IS gali formuoti įvedimą kitoje IS, kol
galiausiai gaunamas išvesties rezultatas.
Tikslas – įsitikinti, kad taikomosios programos pagrindinių duomenų bylų
įrašai yra išsamūs, tikslūs, o pagrindinės duomenų bylos tinkamai
apsaugotos.
Fizinė ir loginė prieiga prie taikomosios programos pagrindinių duomenų bylų (angl. master data files) turi būti
ribojama ir kontroliuojama. Pakeitimus pagrindiniams duomenims gali atlikti tik įgalioti asmenys, o jų atliekami
veiksmai turi būti tinkamai kontroliuojami. Taikomosios programos pakeitimų procedūros turėtų būti tinkamai
dokumentuotos, valdomos įgaliotų vadovų ir vėliau peržiūrimos atsakingų asmenų. Pagrindinių duomenų bylų ir juose
esančių įrašų vientisumas turėtų būti patvirtinamas periodiškai juos suderinant su nepriklausomai saugomais įrašais,
pavyzdžiui duomenų bylų atsarginėmis kopijomis.
Vertinant taikomųjų programų kontrolę rekomenduojama naudotis 12 priede pateiktu
aprašymu, kuriame nurodytos pavyzdinės visų etapų kontrolės testavimo užduotys ir pavyzdinė
ISACA Taikomųjų programų audito programa. Testavimo užduotis auditorius gali keisti ir pasirinkti
atsižvelgdamas į audituojamo subjekto taikomųjų programų kontrolės aplinką, tačiau visi testavimo
užduočių pasirinkimai turi būti pagrįsti ir dokumentuoti.
Auditorius, atlikęs taikomosios programos duomenų įvesties, apdorojimo, išvesties ir
pagrindinių duomenų ir duomenų bylų kontrolės analizės ir testavimo procedūras, įvertina
taikomosios programinės įrangos patikimumą (12 priedas). Atkreiptinas dėmesys, kad taikomųjų
programų kontrolės būklė tiesiogiai susijusi su bendrosios kontrolės būkle. Taikomųjų programų
kontrolės būklė gali būti įvertinta pagal ISACA Taikomųjų programų audito programoje pateiktas
brandos įvertinimo gaires.
Taikomųjų programų kontrolės vertinimo rezultatai gali būti panaudoti planuojant IS veiklos
auditus (žr. 2.3 poskyrį).
Pagrindinių duomenų bylų
kontrolės testavimas
Išvesties kontrolės
testavimas
3. Pagrindinis tyrimas
22
3.1.4. Taikomųjų programų kontrolės vertinimas finansinio audito metu
Atlikdamas audituojamo subjekto apskaitoje naudojamų taikomųjų programų kontrolės
vertinimą, auditorius turi nustatyti, ar kontrolės procedūros įdiegtos ir jos veikia įvedant duomenis į
konkrečią sistemą, juos apdorojant, išvedant ir apsaugant pagrindines duomenų bylas (pvz.:
klasifikatorių duomenis: PVM, nusidėvėjimo normatyvai). Taikomųjų programų kontrolės
dokumentų analizė, kontrolės testavimas ir įvertinimas atliekami taip, kaip nurodyta 6 pav.,
rekomenduojama naudotis 3 priede pateiktu klausimynu. (2014-11-27 Nr. V-206).
6 pav. Taikomųjų programų kontrolės vertinimas
Įvertinti taikomųjų programų kontrolės priemones
Įvertinti taikomųjų programų kontrolę pagal 3 priedą.
Pastaba: sudėtingų IS vertinimui gali būti pasitelkiami IS auditoriai.
Ar kontrolės procedūros efektyvios?
TAIP NE
Nekeisti kontrolės rizikos įvertinimo. Pakeisti (peržiūrėti) kontrolės rizikos įvertinimą
(negaunamas kontrolės patikimumas) ir reikiamų
pagrindinių audito procedūrų apimtis.
Atlikti suplanuotas pagrindines audito procedūras ir pateikti vertinimą.
aa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaa
Pabaiga
Auditorius, vertindamas taikomųjų programų kontrolės efektyvumą, turėtų atlikti 1–2
išsamius automatizuotų kontrolės priemonių sistemos darbo stebėjimus (nuoseklios peržiūros testus)
– nuo duomenų suvedimo iki rezultato gavimo. Rankinių kontrolės priemonių apimtis nustatoma
pagal Finansinio ir teisėtumo audito vadovo 17 dalį „Audito atranka“.
Auditorius, atlikęs taikomųjų programų kontrolės vertinimą, nustato, kiek galima pasitikėti
taikomąja programine įranga. Jeigu numatytos pakankamos vidaus kontrolės procedūros ir jos veikia,
yra nuolat stebimos, tai vidaus kontrolė gali užtikrinti informacijos saugumą (konfidencialumą,
vientisumą ir prieinamumą). Jeigu vidaus kontrolės procedūros nepakankamos, bet yra riziką
mažinančių priemonių (kompensuojamoji kontrolė, pvz., dalies duomenų dubliavimas popieriuje),
el. duomenų patikimumas padidėja. Jeigu auditorius nustato, kad institucijoje nėra sukurta tinkama IS
bendroji kontrolė ir (ar) apskaitoje naudojamų taikomųjų programų kontrolė neužtikrina teisingo
duomenų suvedimo, apdorojimo, saugojimo ir gavimo, auditorius apie tai informuoja audituojamą
subjektą. Atlikto taikomųjų programų kontrolės vertinimo rezultatai (darbo dokumento el. kopija)
pateikiami IS auditus atliekančiam Valstybės kontrolės struktūriniam padaliniui.
3. Pagrindinis tyrimas
23
3.2. IS veiklos auditai
IS veiklos auditai atliekami pagal Veiklos audito vadove numatytas procedūras,
rekomenduojama atsižvelgti į INTOSAI IT audito komiteto parengtą mokymo „Value for Money
Audit“ medžiagą IT auditoriams.
4. Duomenų rinkimas ir vertinimas
24
4. Duomenų rinkimas ir vertinimas
Audito metu IS auditorius turi gauti pakankamų ir tinkamų įrodymų, būtinų audito tikslams
pasiekti. Audito išvados turi būti pagrįstos audito įrodymais. Duomenys renkami ir vertinami
skirtinguose audito proceso etapuose – planuojant auditą, atliekant pagrindinį tyrimą ir stebėjimą po
audito. Visuose etapuose auditoriai gali taikyti skirtingus duomenų rinkimo ir vertinimo metodus
(Veiklos audito vadovo 4 priedas).
ISACA 2205 gairė IS auditoriui rekomenduoja, kaip gauti tinkamus ir pakankamus audito
įrodymus ir parengti pagrįstas išvadas, kuriomis remtųsi audito rezultatai. Nustatydamas audito
imties dydį ir struktūrą, IS auditorius turėtų atsižvelgti į konkrečius audito tikslus, duomenų aibės
savybes ir imties bei atrankos metodus. Vykdant kontrolės priemonių atitikties testavimą paprastai
naudojama atranka pagal požymius, kai atrankos vienetas yra operacija arba įvykis (pvz., tokia
kontrolės priemonė kaip leidimas, nurodomas ant sąskaitos faktūros). Detaliojo testavimo atveju
dažnai naudojamas statistinis piniginio vieneto atrankos metodas. Norint palengvinti efektyvų ir
rezultatyvų atrankos planavimą, galima pasinaudoti stratifikacija 2
2. Nustatydamas atrankos dydį, IS
auditorius turėtų atsižvelgti į jos riziką, priimtiną klaidų lygį ir tikėtiną jų pasitaikymo lygį (detaliau
apie pavyzdžių atranką ir dokumentavimą ISACA 2208 IS audito gairėje). (2014-11-27 Nr. V-206).
Kompiuterizuotos audito priemonės (CAAT)
Sąvoka CAAT vartojama įvairiausioms programuotoms procedūroms ir paketams, kuriuos
auditoriai gali naudoti, norėdami atlikti kontrolės testus arba surūšiuoti, palyginti ar paimti
duomenis išsamiam testavimui. Naudojant CAAT galima efektyviai patikrinti kontrolės procedūras
ir atlikti detaliuosius testus ten, kur nėra įvesties dokumentų ar aiškios audito sekos, arba kai
populiacijos ir imties dydžiai yra labai dideli.
Taikant CAAT, labai svarbu užtikrinti, kad auditoriaus naudojami duomenys būtų faktiškai
išsamūs ir teisingi. CAAT panaudojimas turi būti suplanuotas ir naudojamas tik tada, kai suteikia
papildomos naudos, ar kai rankinės procedūros yra neįmanomos ar mažiau efektyvios. CAAT gali
būti taikomos šiose srityse:
patikrinti (angl. validate) programas / sistemas. Vertinamas programinių kontrolių
funkcionalumas, atliekant programinio kodo peržiūrą, pavyzdžiui, atliekant išsamų programų
išeities kodo tyrimą, siekiant nustatyti klaidingą, savavališką (angl. unauthorised), neveiksmingą,
neefektyvų ar nestandartinį programos kodą, programos kodo palyginimą, lygiagretų modeliavimą,
sekimą (angl. tracing) ir momentines nuotraukas (angl. snapshot);
analizuoti duomenų bylas (angl. file). Naudojama duomenų bylų užklausų programinė
įranga (angl. File Interrogation Software), bendroji audito programinė įranga (pvz. ACL ir IDEA)
2 Stratifikacija – aibės suskirstymas į panašiomis savybėmis pasižyminčius poaibius, kai tos savybės apibrėžiamos labai tiksliai, kad
kiekvienas atrankos vienetas galėtų priklausyti tik vienam poaibiui.
4. Duomenų rinkimas ir vertinimas
25
ir integruoti audito moduliai (angl. Embedded Audit Module).
Valstybės kontrolėje yra galimybė naudoti IDEA ir MS Excel audito priemones3. IDEA
įgalina duomenis analizuoti įvairiais pjūviais, leidžia lengvai iš didelės visumos išskirti dominančius
įrašus, daryti atranką ir grupuoti, siekiant nustatyti klaidas, problemas, specifinius klausimus ir
tendencijas. IDEA tiesiogiai nepadeda tikrinant procedūras, tačiau, jei auditorius, su IDEA atlikęs tam
tikrus tikrinimus, nustato, jog klaidų nėra, galima daryti išvadą, kad procedūros veikia tinkamai.
Taikant CAAT turi būti taikomos įprastos audito įrodymų gavimo taisyklės.
3 Detaliau apie Valstybės kontrolėje naudojamas kompiuterizuotas audito priemones intraneto srityje Darbo įrankiai–
Kompiuterizuotos audito priemonės.
5. Darbo dokumentavimas
26
5. Darbo dokumentavimas
IS audito darbo dokumentai rengiami pagal valstybės kontrolieriaus patvirtintus reikalavimus
veiklos audito darbo dokumentams. Jie turi būti parengti prieš audito ataskaitos projekto rengimą.
Surinkti audito įrodymai turi būti tinkamai dokumentuoti ir pateikti taip, kad jais būtų galima
pagrįsti IS audito išvadas. Auditorius turi dokumentuoti audito planą, kuriame pateikiama išsami
informacija apie audito tikslus, laiką, apimtį ir reikalingus išteklius. Audito procesą būtina pagrįsti
dokumentais, aprašant atliktą audito darbą ir audito įrodymus, pagrindžiančius auditoriaus išvadas.
IS audito darbo dokumentai yra oficialūs dokumentai, kuriuose registruojamas atliekamas audito
darbas ir surinkti įrodymai. Audito darbo dokumentai turi būti išsamūs, aiškūs, struktūrizuoti, su
rodykle, o peržiūrą atliekančiam asmeniui turi būti lengva jais naudotis ir suprasti. Būtina dokumentuoti:
ankstesnės audito dokumentacijos peržiūrą;
audito apimties ir tikslų planavimą ir rengimą;
vadovybės peržiūros posėdžių ir kitų su auditu susijusių posėdžių protokolus;
audito planą ir audito procedūras, atitinkančias audito tikslus;
vykdytus audito etapus ir surinktus audito įrodymus, vertinant kontrolės priemonių
stipriąsias ir silpnąsias puses;
audito rezultatus, išvadas ir rekomendacijas;
bet kokius apibendrinančius atlikto audito darbo dokumentus;
peržiūrą.
Darbo dokumentai įforminami pagal valstybės kontrolieriaus įsakymu patvirtintas Valstybės
kontrolės dokumentų rengimo taisykles. Darbo dokumentai tvarkomi ir saugomi pagal valstybės
kontrolieriaus įsakymu patvirtintas Valstybės kontrolės dokumentų tvarkymo ir apskaitos taisykles.
6. Audito ataskaita
27
6. Audito ataskaita
Išnagrinėjus visas pasirinktas sritis ir parengus audito darbo dokumentus, turi būti parengtas
IS audito ataskaitos projektas. Nustačius IS valdymo veiklos trūkumų, teikiamos rekomendacijos /
siūlymai dėl veiklos tobulinimo, siūloma ištaisyti pastebėtas kontrolės sistemos spragas.
IS auditų ataskaitos rengiamos ir įforminamos pagal valstybės kontrolieriaus patvirtintus
reikalavimus veiklos audito ataskaitoms. IS vidaus kontrolės vertinimo ataskaitose papildomai gali
būti pateikiama dalis „IS vidaus kontrolės branda“. IS vidaus kontrolės vertinimo ataskaitos turinys
pateikiamas pagal vertintus IT procesus. Audito ataskaitoje turi būti nurodyta atlikto audito tikslai,
pobūdis, audituojamas laikotarpis, apimtis ir atliktas audito darbas. Ataskaitoje turi būti pateikti
pastebėjimai, išvados ir rekomendacijos, taip pat bet kokie apribojimai, kvalifikacijos arba apimties
apribojimas, kuriuos turi auditorius audito atžvilgiu.
ISACA audito gairės rekomenduoja teikiant IS audito rezultatus informuoti apie imties
apribojimus tais atvejais, kai auditorius negali gauti pakankamų audito įrodymų. IS ataskaitoje
nurodomos neefektyvios kontrolės priemonės, jų nebuvimas ar nepakankamumo reikšmingumas ir
tai, ar jos gali turėti įtakos reikšmingiems ar esminiams trūkumams. Nustatydamas, kuriuos
rezultatus, išvadas ir rekomendacijas įtraukti į ataskaitą, IS auditorius turėtų atsižvelgti tiek į bet
kokių aptiktų klaidų reikšmingumą, tiek į galimą reikšmingumą tų klaidų, kokios galėtų atsirasti dėl
silpnų kontrolės priemonių. Tai turėtų būti laikoma reikšmingu dalyku ir todėl įtraukta į ataskaitą,
jeigu dėl kontrolės nebuvimo neįmanoma pagrįstai tvirtinti, kad bus pasiekti kontrolės tikslai.
Atsižvelgdamas į IS audito tikslus, auditorius turėtų svarstyti poreikį pranešti audituojamo
subjekto vadovybei ir apie tuos nustatytus vidaus kontrolės trūkumus, kurie nėra reikšmingi, ypač,
jeigu kontrolės priemonių sustiprinimo kaina yra maža.
7. Audito kokybės užtikrinimas
28
7. Audito kokybės užtikrinimas
IS auditų kokybės užtikrinimas atliekamas vadovaujantis valstybės kontrolieriaus
patvirtintomis Valstybinių auditų organizavimo, kokybės užtikrinimo ir kontrolės taisyklėmis. Tais
atvejais, kai IS auditoriai pasitelkiami atlikti audito procedūras veiklos ar finansinių auditų metu,
taikomos papildomos procedūros, numatytos Valstybės kontrolės Informacinių sistemų ir
infrastruktūros audito departamento dalyvavimo kitų audito departamentų atliekamuose audituose
tvarkos apraše.
Išorės ekspertų darbo įvertinimas
Jei atliekant IS auditą buvo pasitelkti ekspertai ar kiti auditoriai, atlikdamas jų darbo
dokumentų peržiūrą auditorius turi atlikti pakankamą audito darbą, kad galėtų patvirtinti, jog kito
eksperto darbas buvo tinkamai suplanuotas, prižiūrimas, dokumentuotas ir peržiūrėtas, ir
apsvarstyti, ar jų darbe teikiami audito įrodymai yra tinkami. Auditorius taip pat turi nuspręsti,
kokia apimtimi galima naudotis ir remtis eksperto darbu. Taip pat turėtų būti įvertinta atitiktis
taikytiniems profesiniams standartams.
Auditorius turi peržiūrėti kito eksperto parengtą galutinę atskaitą (-as), kad galėtų patvirtinti,
jog ji atitinka audito užduotyje nurodytą audito apimtį. Be to, turėtų įvertinti kitų ekspertų parengtų
ataskaitų naudingumą, tinkamumą ir atsižvelgti į svarbias kitų auditorių arba ekspertų išvadas.
Auditorius privalo įvertinti kito eksperto nustatytų įrodymų ir išvadų svarbą bendrajam
audito tikslui ir patikrinti, ar atliktas visas, pagrindiniam audito tikslui įgyvendinti reikalingas,
papildomas darbas.
8. Stebėjimas po audito
29
8. Stebėjimas po audito
Baigus IS vidaus kontrolės vertinimo ar IS veiklos auditą, rekomendacijų įgyvendinimo
stebėsena vykdoma vadovaujantis valstybės kontrolieriaus įsakymu patvirtintu Valstybinio audito
rekomendacijų pateikimo ir įgyvendinimo stebėsenos tvarkos aprašu. Už IS audito rekomendacijų
įgyvendinimo stebėseną ir atsiskaitymą už jų įgyvendinimo rezultatus atsakingas audito grupės
vadovas ar kitas audito departamento vadovo paskirtas auditorius.
Priedai
30
Priedai Informacinių sistemų audito vadovo
1 priedas
(2014-11-27 Nr. V-206).
Auditui aktualių IS sudėtingumo vertinimas
Įvadas
Šiuo sudėtingumo vertinimo klausimynu siekiama padėti finansiniam auditoriui įvertinti subjekto informacinėms sistemoms būdingą sudėtingumo lygį ir apsispręsti, ar reikalinga IS
audito ar IT specialistų pagalba planuojant ir vykdant audito procedūras.
Klausimyną sudaro standartiniai klausimai, kurių kiekvienas turi standartinių atsakymų rinkinį.
Finansinis auditorius šį klausimyną turėtų pildyti diskutuodamas su audituojamo subjekto IT vadovais ir kiekvienam klausimui pasirinkti subjekto aplinkybes labiausiai atitinkantį
atsakymą.
Kiekvienas atsakymas vertinamas taškais. Kuo aukštesnis sudėtingumo lygis, tuo daugiau taškų. Užpildžius klausimyną, apskaičiuojama bendra taškų suma. Finansinis auditorius,
norėdamas nustatyti sudėtingumo lygį, turi patikrinti, kurias Įvertinimo lape pateiktas sudėtingumo ribas atitinka gauta bendra taškų suma.
Auditorius, įvertinęs subjekto IS sudėtingumą ir nustatęs, kad ji yra PAPRASTA arba VIDUTINĖ, sistemos vertinimą (pradedant dokumentų analize, įvertinimu ir baigiant IS
testavimu) turėtų atlikti savarankiškai, vadovaudamasis IS audito vadovu.
Jeigu įvertinus IS sudėtingumą nustatoma, kad ji yra SUDĖTINGA, šiuo atveju turėtų būti pasitelkti IS auditoriai ar IT specialistai.
Pažymėtina, kad taškų sistema ir sudėtingumo ribos yra tik santykinis rodiklis, kuriuo vertinamas subjekto IS sudėtingumas. Finansiniai auditoriai ir toliau turėtų vadovautis
profesine nuovoka planuodami audito procedūras ir IS auditorių ar IT specialistų dalyvavimą, ypač tais atvejais, kai IS įvertinimas svyruoja tarp VIDUTINĖS ir SUDĖTINGOS. Tai
nereiškia, kad IS neturėtų būti vertinama; finansiniai auditoriai gali apsispręsti, ar IS auditoriaus ar IT specialisto dalyvavimas yra būtinas IS vertinimo užbaigimui ir išsamesniam
finansinių operacijų testavimui.
IS analizės metu gali išaiškėti, kad audituojamo subjekto apskaitos informacijos apdorojimą ir priežiūrą atlieka išorinė trečioji šalis. Tokiais atvejais audito procedūros turėtų būti
atliekamos pagal 402-ojo TAS nuostatas.
Formos struktūra (pildoma XLS). Formą sudaro įvertinimo lapas, kuriame pateikiami sudėtingumo lygiai, susieti su vertinimo bendro taškų skaičiaus ribomis, ir klausimai.
Kiekvienas klausimas, jeigu įmanoma, pateikiamas su komentarais ir paaiškinimais.
SVARBU Klausimynas neskirtas pateikti audituojamam subjektui.
Klausimyną pildo pats auditorius, kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir analizuodamas surinktus įrodymus.
Priedai
31
KLAUSIMAS ĮVERTINIMAS 1 Kokia audito apimtis?
Pasirinkite visus tinkamus atsakymus.
Finansinis ir teisėtumo auditas [5 taškai]
Teisėtumo auditas [0 taškų]
Reikalavimas pateikti komentarus specifiniais IT klausimais [20 taškų]
2 Ar audituojamas subjektas dalyvauja šių sričių veikloje?
Pasirinkite visus tinkamus variantus, net jeigu tik viena sritis yra pagrindinė subjekto veiklos sritis.
Mokesčių pajamų surinkimas, soc. draudimo įmokų surinkimas ir išmokos, sveikatos draudimo įmokų surinkimas ir išmokos [30 taškų]
Pajamų už teikiamas paslaugas surinkimas
(kai tai sudaro reikšmingą dalį nuo visų pajamų) [5 taškai]
Biudžeto programų vykdymas [5 taškai]
3 Kokios kitos subjekto sistemos šalia pagrindinių apskaitos žurnalų (didžiosios knygos) yra kompiuterizuotos?
Pasirinkite vieną variantą.
Kitos IS paprastai apima atsargų apskaitos, personalo, darbo užmokesčio ir kitų apskaitos sričių ar atskaitomybės sistemas.
Visos arba dauguma veiklos sistemų [10 taškų]
Kai kurios kitos apskaitos sistemos [5 taškai]
Jokių kitų sistemų [0 taškų]
4 Ar audituojamas subjektas naudojasi tiesioginiais kompiuterizuotais ryšiais su trečiosiomis šalimis?
Pasirinkite „Taip“ arba „Ne“. Jeigu tokie ryšiai yra esminė subjekto veiklos sąlyga ir pagrindinis jos vykdymo elementas, pasirinkite „Taip“.
Čia patenka keitimasis el. duomenimis (išskyrus el. paštą) - el. iš anksto suformuotų finansinių operacijų ar duomenų, tokių kaip pavedimai ar prekių užsakymai, perdavimas.
Taip [30 taškų]
Ne [0 taškų]
5 Ar audituojamas subjektas turi įsidiegęs bet kokias kliento serverio aplikacijas savo pagrindinėse darbo vietose?
Pasirinkite „Taip“ arba „Ne“. Kliento serverio aplikacija – tai programinė įranga, leidžianti vykdyti didelės apimties duomenų apdorojimą keliose geografiškai skirtingose
vietose. Kliento serverio technologijos pavyzdžiai: SAP, Oracle Financials, PeopleSoft.
Taip [20 taškų]
Ne [0 taškų]
6 Kiek audituojamas subjektas turi IT specialistų?
Pasirinkite vieną atsakymą. Į šį skaičių įeina audituojamo subjekto darbuotojai, trečiųjų šalių (pvz., IT paslaugų tiekėjų) specialistai ir pagal sutartis samdomi IT specialistai.
Keturi ir mažiau [0 taškų]
Nuo 5 iki 50 [5 taškai]
Nuo 51 iki 99 [15 taškų]
Šimtas ir daugiau [40 taškų]
IT priežiūrą vykdo trečioji šalis pagal sutartį [10 taškų]
Priedai
32
7 Kiek vartotojų turi prieigą prie auditui aktualios informacinės sistemos?
Pasirinkite vieną atsakymą. Į šį skaičių nepatenka IT personalas, kuris pateko į 6-ojo klausimo atsakymą.
Mažiau negu penkiasdešimt [0 taškų]
Nuo 50 iki 100 [5 taškai]
Nuo 101 iki 500 [10 taškų]
Nuo 501 iki 1000 [20 taškų]
Daugiau negu 1000 [40 taškų]
8 Įvertinkite vidutinę daugumos galutinių vartotojų (pvz., darbuotojų) patirtį?
Pasirinkite vieną atsakymą.
Iki šešių mėnesių [20 taškų]
Nuo 6 mėnesių iki 1 metų [10 taškų]
Nuo 1 iki 2 metų [5 taškai]
Daugiau negu 2 metai [0 taškų]
9 Kuris iš šių variantų geriausiai apibūdina subjekto IS ryšius ir techninės įrangos aplinką?
Pasirinkite vieną atsakymą. Jei tinka keli variantai, pasirinkite tą, kuris geriausiai apibūdina subjekto IT aplinką.
Tarnybinių stočių (serverių) ir personalinių kompiuterių tinklas (duomenų srautai vidaus, į(iš) išorę(ės)) [20 taškų]
Tarnybinių stočių (serverių) ir personalinių kompiuterių tinklas (duomenų srautai vidaus, tik į išorę) [15 taškų]
Tarnybinių stočių (serverių) ir personalinių kompiuterių tinklas (tik vidaus duomenų srautai) [10 taškų]
Personaliniai kompiuteriai, kurių kiekvienas skirtas daugiau nei vienam vartotojui, arba personalinių kompiuterių tinklas be tarnybinės stoties
(serverio) [5 taškai]
Nesujungti į tinklą personaliniai kompiuteriai, kurių kiekvienas skirtas tik vienam vartotojui [0 taškų]
10 Kokiu mastu subjektas naudojasi internetu?
Pasirinkite vieną atsakymą. Didelė įtaka reikštų situaciją, kai nuo interneto priklauso subjekto veiklos pagrindinės sritys (teikiamos paslaugos), o ne smulki pagalbinė
(papildoma) veikla. Auditorius turės atlikti išsamų šios srities vertinimą ir nustatyti tikėtiną tokios veiklos įtaką finansinei atskaitomybei.
Turi didelę įtaką pagrindinėms subjekto veiklos sritims [40 taškų]
Turi įtakos kai kurioms subjekto veiklos sritims [10 taškų]
Neturi įtakos subjekto veiklai [0 taškų]
11 Kiek subjektas naudoja telekomunikacijų sąsajas?
Pasirinkite vieną atsakymą. Atsakant į klausimą turėtų būti atsižvelgiama į tai, kokia apimtimi subjektas yra susijęs su skirtingais interneto adresais tiesioginio
(pastovaus)/momentinio (per modemą) ryšio priemonėmis, ir į tai, kokia apimtimi šios ryšio priemonės naudojamos tiekėjų ir vartotojų prisijungimams prie subjekto IS.
Plačiai naudojama daugelyje vietų [20 taškų]
Šiek tiek naudojama keliose vietose [10 taškų]
Mažai naudojama arba visai nėra (tik vidaus tinklo naudojimas) [0 taškų]
Priedai
33
12 Kiek audituojamas subjektas turi programinė įrangos, sukurtos pagal užsakymą (nestandartinių programinės įrangos paketų pirkimas)?
Pasirinkite vieną atsakymą.
Programinės įrangos kūrimas pagal užsakymą reiškia, kad ją kūrė specialiai subjektui jo paties IT specialistai arba pagal sutartis trečiosios šalys. Nepaisant to, reiktų būti
atidiems vertinant išteklių planavimo sprendimus (angl. Enterprise Resource Planing, ERP), tokius kaip SAP ar ORACLE. Nepaisant to, kad tai standartiniai programinės
įrangos paketai, norint juos pritaikyti konkretaus subjekto veiklai, reikia atlikti daug specifinių ir daug žinių reikalaujančių pritaikymo, modifikavimo darbų, todėl atsakant į šį
klausimą tokie darbai turėtų būti laikomi kūriniais pagal užsakymą.
Auditorius taip pat turėtų įvertinti programinės įrangos modifikavimo apimtis, nes smulkūs pakeitimai ne visada daro didelę įtaką.
Svarbiausios sistemos iš esmės buvo modifikuotos (pakeistos pagrindinės funkcijos) [30 taškų]
Audituojamu laikotarpiu buvo šiek tiek pakeitimų užsakymų [15 taškų]
Mažai arba visai nebuvo programavimo užsakymų [0 taškų]
13 Kaip dažnai subjektas keičia savo taikomąsias programas?
Pasirinkite vieną atsakymą.
Pakeitimai apima atnaujinimus ir vartotojų inicijuotus programinės įrangos patobulinimus.
Dažni pakeitimai (pvz., kiekvieną mėnesį vyksta svarbiausių sistemų įvairūs pakeitimai) [20 taškų]
Šiek tiek pokyčių (pvz., kiekvienos taikomosios programos 4 ar 5 pokyčiai per metus) [10 taškų]
Labai mažai arba jokių pokyčių [0 taškų] 14 Kiek sudėtingos yra subjekto taikomosios programos?
Pasirinkite visus tinkamus atsakymus, tačiau tik tuos, kurie susiję su svarbiais subjekto veiklos aspektais.
Yra automatizuotos sąsajos tarp taikomųjų programų bei sistemų ir duomenų valdymo sistemos [5 taškai]
Sistema generuoja operacijas, žmogus šiame procese nedalyvauja [20 taškų]
Trūksta veiksmų atlikimo sekos (angl. audit trail) įrašų ir operacijų autorizavimo, inicijavimo ir vykdymo popierinių įrodymų [10 taškų]
Vykdomi išplėstiniai ir kompleksiniai skaičiavimai [5 taškai]
15 Koks yra įprastas ūkinės operacijos įvesties į sistemą būdas?
Pasirinkite vieną variantą.
Jeigu įvestis skirtingose taikomosiose programose skiriasi, pasirinkite pačią sudėtingiausią taikomąją programą.
Duomenų įvesties apdorojimas vykdomas realiu laiku, pagrindinės bylos yra atnaujinamos iš karto [30 taškų]
Ūkinių operacijų paketai įvedami tiesioginio prisijungimo būdu, tačiau pagrindinės bylos atnaujinamos sukauptų duomenų paketais [10 taškų]
Įvedami tik duomenų paketai (nėra duomenų atnaujinimo tiesioginio prisijungimo būdu) [0 taškų]
Priedai
34
16 Kokios svarbos audituojamo subjekto naudojama finansinės apskaitos (ar kita auditui aktuali) informacinė sistema?
Pasirinkite vieną atsakymą.
Ypatingos svarbos ir svarbūs valstybės informaciniai ištekliai – tai IS, kurioje logiškai tarpusavyje susijusių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo
praradimas gali sukelti ypač sunkius padarinius valstybei arba turėti neigiamą įtaką kitų valstybės institucijų ar įstaigų veiklai. Daugeliu atvejų atitinka teisės aktuose
numatytą I arba II IS kategoriją (pvz.: VBAMS, SFMIS, MAKIS ir pan.).
Žinybinės svarbos ir kiti informaciniai ištekliai – tai IS, kurioje programinės įrangos priemonėmis įgyvendinti tam tikri norminiais aktais nustatyti kontrolės mechanizmai
(pvz.: specializuotos apskaitos programos LABBIS III, UAB „Edrana“ programų rinkinys, „Navision Financials“, ligoninių IS, dokumentų vadymo IS ir pan.) logiškai
tarpusavyje susijusių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamą įtaką organizacijos ar jos padalinio veiklai. Daugeliu atvejų
atitinka teisės aktuose numatytą III arba IV IS kategoriją.
Veikla nekompiuterizuota ar naudojamos tik standartizuotos biuro programos, pvz.: „MS Word“, „MS Excel“.
Ypatingos svarbos ir svarbūs valstybės informaciniai ištekliai [20 taškų]
Žinybinės svarbos ir kiti informaciniai ištekliai [10 taškų]
Veikla nekompiuterizuota [0 taškų]
BENDRAS TAŠKŲ SKAIČIUS 0
Įvertinimo skalė
Įvertinimo
taškai
Sudėtingumo
vertinimas
Audito metodai
0 iki 100 PAPRASTA Nereikia IS audito specialistų. Subjekto IS testavimas atliekamas pagal IS audito vadove numatytas procedūras.
101 iki 250 VIDUTINĖ Nereikia IS auditorių ar IT specialistų. Subjekto IS testavimas atliekamas pagal IS audito vadove numatytas procedūras. Jeigu bendras taškų
skaičius yra netoli viršutinės įvertinimo „VIDUTINĖ“ ribos, turi būti svarstoma galimybė pasitelkti IS auditorius ar IT specialistus,
padėsiančius pasirinkti ir suplanuoti audito metodus, priemones ir procedūras.
251 ir
daugiau
SUDĖTINGA Turi būti pasitelkiamas IS auditorius ar IT specialistas pasirenkant ir planuojant audito metodus, priemones ir procedūras. Šiuo atveju
nepakanka įvertinti subjekto IS pagal IS audito vadove numatytas procedūras.
Išvada ir numatomos audito procedūros:
Priedai
35
Informacinių sistemų audito vadovo
2 priedas
(2014-11-27 Nr. V-206).
IS BENDROSIOS KONTROLĖS VERTINIMAS SVARBU Klausimynas (forma) neskirtas (-a) pateikti audituojamam subjektui.
Klausimyną (formą) pildo pats auditorius, kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir analizuodamas surinktus įrodymus.
Bendroji IS kontrolė – sisteminė programinė įranga ir fizinės procedūros, sukuriančios visuotinę organizacijos kontrolės aplinką. Tai informacinės sistemos procesų
organizavimas, rizikos vertinimas, saugumo politika, vidaus audito domėjimasis, teisinis reguliavimas, informacinių technologijų turto apsauga ir kt.
Pagrindiniai IS bendrosios kontrolės tikslai – apsaugoti duomenis, programinę ir kompiuterinę įrangą nuo neteisėto pakeitimo, sunaikinimo ar naudojimo ir užtikrinti
nenutrūkstamą saugų ir patikimą duomenų įvestį ir apdorojimą. Jeigu institucijoje nėra tinkamos IS bendrosios kontrolės sistemos, galima daryti prielaidą, kad joje saugomi
duomenys yra nepatikimi.
Esant reikalui auditorius gali praplėsti klausimyną ir įtraukti klausimus suformuluotus kituose IS audito vadovo prieduose pateiktuose klausimynuose, pvz.: ar organizacijos IS
atitinka teisės aktus? Kaip organizacija laikosi IS ir informacijos saugos politikos (nuostatų), tvarkų ir taisyklių? Ar organizacijoje veikiančios IS atitinka IS projekto
specifikacijas? ir pan. Šis klausimynas yra pagalbinė ir rekomendacinė priemonė, skirta vertinti organizacijos vidaus kontrolę. Pildydami klausimyną vadovaukitės pateiktais
paaiškinimais ir pavyzdžiais (tekstas pilkame fone).
1. Institucijos informacinės sistemos ir registrai
Užpildykite 1 lentelę: išvardykite visas institucijos IS ir registrus, nurodykite jų valdytoją, tvarkytoją, tipą ir kategoriją, kurios IS ar registrai yra įteisinti. Tokių IS ar registrų
priėmimo pardavimo aktai turi būti įregistruoti Informacinės visuomenės plėtros komitete. Nurodykite, kurie IS apibūdinantys dokumentai (specifikacijos, nuostatai) yra patvirtinti
vadovybės, pridėkite šių dokumentų elektronines kopijas. Pateikite bendrą kiekvienos IS ar registro vartotojų skaičių, nurodykite, kuriose IS ar registruose tvarkomi duomenys yra su
slaptumo žyme (tokios informacijos tvarkymą reglamentuoja Valstybės ir tarnybos paslapčių įstatymas). Pažymėkite, ar naudojamas el. parašas; jeigu taip, kokiose IS ar registruose.
Elektroninis parašas – duomenys, kurie įterpiami, prijungiami ar logiškai susiejami su kitais duomenimis pastarųjų autentiškumui patvirtinti ir (ar) pasirašančiam asmeniui
identifikuoti. El. parašai gali būti skirstomi į kvalifikuotus ir nekvalifikuotus. Kvalifikuotam el. parašui keliami trys reikalavimai: a) jis turi būti saugus; b) sudarytas saugia parašo
formavimo technologija; c) patvirtintas galiojančiu kvalifikuotu sertifikatu. Sertifikatas – elektroninis liudijimas, kuris susieja parašo tikrinimo duomenis su pasirašančiu asmeniu ir
patvirtina arba leidžia nustatyti pasirašančio asmens tapatybę. Kvalifikuotam sertifikatui keliami papildomi reikalavimai – jį privalo sudaryti Vyriausybės ar jos įgaliotos institucijos
nustatytus reikalavimus atitinkantis sertifikavimo paslaugų teikėjas. Kvalifikuotas elektroninis sertifikatas visada siejamas tik su fiziniu asmeniu, t. y. juridinio asmens vardu jis
negali būti išduotas (juridinio asmens vardu gali pasirašyti įgaliotas fizinis asmuo).
IS valdytojas – valstybės institucija, kuri nustato IS tikslus, užsako, sukuria arba įsigyja ir valdo IS.
IS tvarkytojas – juridinis asmuo, pagal IS nuostatus įgaliotas tvarkyti IS ir duomenis, teikti informaciją ir paslaugas.
Audituojamos institucijos naudojamos IS valdytoju ir/ar tvarkytoju nebūtinai gali būti pati institucija, pvz., visi asignavimų valdytojai turi VBAMS, tačiau šios sistemos valdytojas ir
tvarkytojas yra vienas – Finansų ministerija.
Vertinimo skiltyje būtina įvardyti IS ar registro riziką ir įtaką auditui. Atskiroje grafoje nurodykite, ar planuojama atlikti konkrečios IS ar registro taikomosios programinės įrangos
vertinimą. Jeigu vertinimas bus atliekamas, būtina nurodyti, kas jį atliks (auditą atliekanti finansinio/veiklos audito grupė ar pasitelkti specialistai ar IS auditoriai). Jeigu taikomoji
programinė įranga nebus vertinama, vertinimo skiltyje būtina paaiškinti, kodėl nebus vertinama.
Įvardijant IS kategoriją būtina vadovautis Vyriausybės 2013-07-24 nutarimu Nr. 716 patvirtintu Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir
elektroninės informacijos svarbos nustatymo gairių aprašu.. Įvardijant IS įteisinimo faktą ir nurodant valstybės IS būtina vadovautis Vyriausybės 2013-02-27 nutarimu Nr. 180 patvirtintu Valstybės IS steigimo, kūrimo, modernizavimo ir
Priedai
36
likvidavimo tvarkos aprašu.
1 lentelė. Institucijos informacinės sistemos ir registrai
Eil.
Nr.
IS ar registro
pavadinimas
Valdytojas
V,
Tvarkytojas T,
Abu VT
Tipas:
VR –
valstybės registras
VIS –
valstybės IS
ŽR –
žinybinis registras
VAIS –
visos kitos IS
Kategorija (I, II, III,
IV)
Vadovybės
patvirtinti
nuostatai (Taip/ Ne)
Vadovybės
patvirtinta
specifikacija (Taip/ Ne)
Būklė:
kuriama K
eksploatuojama E
Modernizuojama
M likviduojama L
Įteisinta
(Taip/Ne)
Naudotojų
skaičius
Asmens
duomenys
tvarkomi ne vidaus
administravimui
Automatizuotai
tvarkomi
duomenys su slaptumo žyma
El.
parašas
(taip/ne)
Taikomosios
programinės
įrangos vertinimas
Auditoriaus
vertinimas ir
išvada ar paaiškinimai
Bu
s ver
tin
ama
(Tai
p)
/ n
ebu
s
ver
tinam
a (N
e)
Ver
tin
imą
atli
ks
aud
ito g
rupė
(AG
) /
pas
itel
kti
sp
ecia
list
ai
(S)
1.1
1.2
2. IS valdymo organizavimas
Užpildykite 2 lentelę: atsakykite į pateiktus klausimus, išvardykite prašomus duomenis, pateikite klausimuose minimų dokumentų elektronines kopijas ir savo vertinimus bei išvadas.
2 lentelė. IS valdymo organizavimas
Eil.
Nr. Klausimas
Auditoriaus
vertinimas ir
išvada
2.1 Ar dokumentuota institucijos IS strategija ir priemonių planas IS strateginėms nuostatoms įgyvendinti?
IS strategija – tai viena iš veiklos strategijos dalių, sujungianti įmonės veiklos tikslus, informacijos poreikio supratimą ir įdiegtą kompiuterinę
sistemą, kuri sudaro sąlygas pasiekti veiklos tikslus. Formuluojant IS strategiją institucijos dėmesys kreipiamas į jos poreikius, o ne į turimas
technologines galimybes. Nesant IS strategijos, atsiranda rizika, kad bus neefektyviai naudojami IT ištekliai, jie neatitiks institucijos poreikių, atsiras
programinės ir kompiuterinės įrangos nesuderinamumai tarp institucijos padalinių, kils pavojus duomenų (buhalterinės apskaitos, institucijos veiklos,
asmens ir kt. duomenų) saugumui.
IT plėtros planas privalomas institucijoms valdančioms ypatingos svarbos valstybės informacinius išteklius, šie planai turi būti suderinti su IVPK,
numatant IT priemonių uždavinius, numatomas kurti IS ar registrus, prioritetus, reikalingus finansinius išteklius ir kt. (VIIVĮ 9 str.)
Institucijoms, valdančioms kitos svarbos informaciniu išteklius, IT plėtros planas neprivalomas. Jeigu nėra šio dokumento, nurodykite, kokiame
dokumente IT plėtros kryptys ir nuostatos aprašytos?
2.2 Kas iš institucijos vadovybės kuruoja IS valdymą ir informacijos saugą?
IS saugą turi valdyti aukščiausio tinkamo lygio organizacijos darbuotojai, kad saugos veiksmų valdymas atitiktų veiklos poreikius.
Siekiant užtikrinti sklandžią institucijos IS priežiūrą, saugą ir suderinamumą su institucijos veiklos tikslais IS stebėsenoje turi dalyvauti institucijos
vadovybė. Turi būti paskirtas vadovybės atstovas (dažniausia tai – institucijos vadovo pavaduotojas), kuris kuruotų visų su IS susijusių klausimų
sprendimą.
Priedai
37
Jeigu institucijoje niekas iš vadovybės nekuruoja IS valdymo ir informacijos saugos, atsiranda rizika, kad IS neatitiks institucijos poreikių.
2.3 Ar institucijoje paskirtas(i) už informacijos saugą atsakingas asmuo (saugos įgaliotinis)?
Patvirtinus IS nuostatus, skiriamas saugos įgaliotinis. Jis įgyvendina informacijos saugą informacinėje sistemoje ir atsako už saugos dokumentų
reikalavimų vykdymą. Kai IS sudaro keletas savarankiškų dalių (posistemių), saugos įgaliotinis gali būti skiriamas kiekvienai tokiai daliai
(posistemei), tačiau dažniausia IS valdytojas ir/ar tvarkytojas skiria vieną saugos įgaliotinį visoms institucijos IS (šiuo atveju visoms IS turi būti
bendri saugos dokumentai).
Nesant institucijoje saugos įgaliotinio, atsiranda duomenų, pvz. buhalterinės apskaitos, praradimo, nesaugaus apdorojimo ir pan. rizika.
Daugiau informacijos apie IS saugos įgaliotinį galima rasti Vyriausybės 2003-07-24 nutarimu Nr. 716 patvirtintame Bendrųjų elektroninės
informacijos saugos reikalavimų apraše.
2.4 Ar institucijoje paskirtas (-i) duomenų valdymo įgaliotinis (-iai)?
Duomenų valdymo įgaliotiniu skiriamas IS valdytojo ir/ar tvarkytojo įstaigos padalinio, atsakingo už įstaigos veiklos ar funkcijos vykdymą, vadovas, o
jeigu tokio padalinio nėra – darbuotojas, atsakingas už šios veiklos ar funkcijos vykdymą. Dažniausiai šios kompiuterizuotos funkcijos ar veiklos yra
institucijos IS dalys (posistemiai) arba tos institucijos IS.
Pavyzdžiai: a) dokumentų valdymo IS (posistemio) duomenų valdymo įgaliotinis yra institucijos raštinės vadovas, b) buhalterinės apskaitos IS
(posistemio) duomenų valdymo įgaliotinis yra buhalterinės apskaitos padalinio vadovas, c) „X“ registro duomenų valdymo įgaliotinis yra institucijos
padalinio tvarkančio šį registrą vadovas.
Duomenų valdymo įgaliotinis tiesiogiai prižiūri, kad IS (posistemis), kompiuterizuojanti veiklą, už kurią atsakingas jo vadovaujamas padalinys,
atitiktų teisės aktų nustatytus tai veiklai reikalavimus, ir teikia pasiūlymus dėl darbuotojų, kuriems pavesta atlikti duomenų tvarkymo veiksmus toje IS
(posistemyje), teisių ir pareigų nustatymo.
Nesant institucijoje duomenų valdymo įgaliotinio, atsiranda duomenų netinkamo apdorojimo, saugumo ir neatitikties norminių aktų reikalavimams
bei institucijos veiklos tikslams rizika.
Pavyzdys: jeigu specializuota buhalterinės apskaitos IS neatitiks buhalterinei apskaitai keliamų reikalavimų, gali atsirasti netyčinių ir tyčinių klaidų
rizika. Šiuo atveju duomenų valdymo įgaliotinis turi užtikrinti, kad sistemoje būtų įdiegtos ir veiktų visos vidaus kontrolės procedūros, būtinos
buhalterinės apskaitos procesui.
2.5 Kas aptarnauja institucijos IS/IT išteklius?
Jeigu institucijos IS aptarnauja vidaus padalinys ar tam tikri atsakingi darbuotojai, nurodykite pareigybių skaičių.
Jeigu institucijos IS prižiūri ir aptarnauja ne institucijos specialistai ar padalinys, įvardykite visas įmones, kurios teikė šias paslaugas institucijai per
audituojamą laikotarpį.
2.6 Kokios paslaugos perkamos iš išorinių IT paslaugų teikėjų?
Pvz., perkamos IS kūrimo paslaugos, perkama visa IS funkcija (angl. – outsourcing; šiuo atveju institucija paprastai neturi savo IT padalinio) ir pan.
Rekomenduotina paimti IT paslaugų teikimo sutarčių sąrašą ir, atsitiktinai atsirinkus vieną arba dvi, pastarąsias paanalizuoti. Į sutartis turėtų būti
perkeltos Saugaus elektroninės informacijos tvarkymo taisyklių nuostatos.
2.7 Ar sukurta (įdiegta) IS kokybės valdymo sistema?
IS kokybės užtikrinimui institucija gali sukurti savo kokybės užtikrinimo sistemą arba taikyti esamą, kurioje būtų numatyti aiškūs kokybės
reikalavimai, procedūros ir politika, taip pat IS ir IT veiklos kokybės vertinimo rodikliai.
Pvz.: a) COBIT – viena iš populiariausių IT valdymo metodikų, b) ISO 9000 (kokybės valdymo standartų rinkinys).
Nesant institucijoje IS kokybės valdymo sistemos, atsiranda klaidingo duomenų apdorojimo ir interpretavimo rizika.
2.8 Ar atskirtos svarbiausios kritinės funkcijos?
Pareigų atskyrimas (padalijimas) – pagrindinė vidaus kontrolės priemonė, kuri užkerta kelią ar aptinka klaidas ir pažeidimus, kai skirtingiems
darbuotojams pavedama atsakomybė inicijuoti, įvesti ir tikrinti informaciją. Pareigų atskyrimas užtikrina, kad darbuotojai atliktų tik jiems pavestas
Priedai
38
pareigas, susijusias su jų darbu ir pareigomis. Pareigų atskyrimas gali būti kontrolės priemonė, integruota į veiklos proceso taikomąsias programas.
Šiuo atveju ji vadinama taikomųjų programų kontrolės priemone.
Remiantis pasaulyje pripažinta gerąja praktika COBIT, rekomenduojama, esant galimybei ir siekiant išvengti sukčiavimo ar piktnaudžiavimo, diegti
pareigų padalijimo principą t.y. įvykio iniciatorius ir jo vykdytojas turėtų būti du skirtingi žmonės (pvz., atskirti programavimo ir sistemų
administravimo veiklas) funkcijos, susijusios su IS plėtra, turi būti aiškiai atskirtos nuo administravimo (eksploatavimo) funkcijų.
3. Institucijos IS duomenys Užpildykite 3 lentelę: atsakykite į joje pateiktus klausimus, išvardykite prašomus duomenis, pateikite klausimuose minimų dokumentų elektronines kopijas ir savo vertinimus bei
išvadas pagal kiekvieną klausimą.
3 lentelė. Institucijos IS duomenys
Eil.
Nr. Klausimas
Auditoriaus
vertinimas ir išvada
3.1 Ar institucijos IS naudojami kitų įstaigų IS ir registrų duomenys?
Išvardykite įstaigas, taip pat jų IS (taip pat registrus), kurių duomenis institucija naudoja, įvertinkite, kokia apimtimi audituojama institucija
naudoja ne savo duomenis. Išanalizuokite, ar institucijoje yra kontrolės procedūros, užtikrinančios šių duomenų teisingumą.
Pavyzdys: institucijai naudojant valstybės tarnautojų registro duomenis darbo užmokesčio skaičiavimams ir nesant minėtų kontrolės procedūrų,
yra rizika, kad bus klaidingai apskaičiuoti tam tikri rodikliai, pvz., darbo stažas ir t. t.
4. IS/IT biudžetas Užpildykite 4 lentelę: atsakykite į joje pateiktus klausimus, išvardykite prašomus duomenis, pateikite klausimuose minimų dokumentų elektronines kopijas ir savo vertinimus bei
išvadas pagal kiekvieną klausimą.
4 lentelė. IS/IT biudžetas
Eil.
Nr. Klausimas
Auditoriaus
vertinimas ir
išvada
4.1 Kaip vykdomas IT investicijų valdymas, biudžeto sudarymas ir prioritetų nustatymas?
Tvarkydama IT investicijas institucija turi vadovautis Valstybės kapitalo investicijų metodika. IT investicijų prioritetai turi atitikti institucijos
strategines veiklos kryptis. Prioritetus ir investicijų pagrindimą turi nustatyti ir įvardyti ne IT specialistai, o darbuotojai, atsakingi už atitinkamas
veiklas, pvz. sprendimą atnaujinti buh. apskaitos posistemę priima institucijos apskaitos padalinio vadovas, o ne tos institucijos IT darbuotojas,
administruojantis ir aptarnaujantis šią posistemę.
4.2 Ar institucijoje inventorizuota ir pajamuota visa programinė įranga?
Programinės įrangos sąraše turėtų būti paminėta visa pačios institucijos ar kitų kompanijų sukurta taikomoji programinė įranga. Kompiuterių
programų naudojimo rekomendacijos reglamentuotos vidaus reikalų ministro 2001-05-09 įsakymu Nr. 220 „Dėl kompiuterių programų naudojimo
valstybės valdymo institucijose ir įstaigose rekomendacijų patvirtinimo“. Programinė įranga (taip pat ir taikomoji) turi būti pajamuota kaip
nematerialusis ilgalaikis turtas.
Jeigu institucijoje dalis programinės įrangos neinventorizuota, yra rizika, kad ji bus neprižiūrima ir nekontroliuojamas jos naudojimas.
4.3 Kiek lėšų per audituojamą laikotarpį panaudota naujai technologinei ir programinei (sukurtai/įsigytai) įrangai įsigyti arba sukurti?
(eurais per audituojamą laikotarpį) statistika
4.4 Kiek lėšų per audituojamą laikotarpį panaudota IS/IT eksploatavimo, priežiūros, valdymo paslaugoms įsigyti?
(eurais per audituojamą laikotarpį) statistika
4.5 Ar atliekama IS/IT išlaidų ir naudos analizė?
Priedai
39
IS/IT išlaidų ir naudos analizė – tai sisteminis kiekybinis IS kūrimo ir įsigijimo bei IT įsigijimo vertinimo metodas, leidžiantis nustatyti ir įvertinti
ilgalaikį finansinį ir ekonominį sukurtų IS/IT poveikį (naudą ir žalą).
Jeigu per audituojamą laikotarpį institucijoje buvo atliekamos IS/IT išlaidų ir naudos analizės, išvardykite jas, nurodykite, kada ir kas jas atliko.
4.6 Kokie buvo/yra vykdomi IS/IT projektai audituojamu laikotarpiu?
Išvardykite visus vykdytus/vykdomus IS/IT projektus ir nurodykite jų finansavimo šaltinius, nurodykite, ar jie buvo derinti su IVPK. statistika
5. IS rizikos valdymas Pagrindinis institucijos IS rizikos valdymo proceso tikslas – tai institucijos veiklos tinkamo vykdymo užtikrinimas, o ne vien IT turto apsauga. Todėl IS rizikos valdymas turėtų būti
laikomas viena iš svarbiausių institucijos valdymo funkcijų, darančių įtaką visoms veiklos sritims, ypač – apskaitai4.
Užpildykite 5 lentelę: atsakykite į joje pateiktus klausimus, išvardykite prašomus duomenis, pateikite klausimuose minimų dokumentų elektronines kopijas ir savo vertinimus bei
išvadas pagal kiekvieną klausimą.
5 lentelė. IS rizikos valdymas
Eil.
Nr. Klausimas
Auditoriaus
vertinimas ir
išvada
5.1 Ar audituojamu laikotarpiu buvo atliekamas IS rizikos vertinimas ir parengta IS rizikos vertinimo ataskaita?
Išvardykite atliktus vertinimus, jų atlikimo datas ir kas juos atliko.
Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius
grupės standartus „Informacijos technologija. Saugumo technika“, kasmet organizuoja visų IS rizikos įvertinimą. Prireikus saugos įgaliotinis gali
organizuoti neeilinį IS rizikos įvertinimą. IS valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, rašytiniu pavedimu IS rizikos įvertinimą gali
atlikti pats saugos įgaliotinis. Daugiau informacijos apie IS saugą rasite Vyriausybės 2013-07-24 nutarimu Nr. 716 patvirtintame Bendrųjų
elektroninės informacijos saugos reikalavimų apraše.
5.2 Kokiomis metodikomis vadovaujasi institucija, vertindama IS riziką (-as)?
COBIT metodika rekomenduoja sukurti IS rizikos valdymo sistemą, kuri būtų suderinta su institucijos rizikos valdymo sistema. Rizikos tikimybė ir
poveikis turi būti periodiškai vertinami kokybiniais ir kiekybiniais metodais. Pvz. 5.1 p. įvardyti dokumentai.
5.3 Ar patvirtintas rizikos įvertinimo ir jos valdymo priemonių planas?
Institucija visas IS rizikas turi išdėstyti pagal svarbą ir planuoti bei įgyvendinti jų mažinimo priemones.
Rekomenduotina išanalizuoti institucijos IS rizikų mažinimo priemonių planą, kaip jis įgyvendinamas (terminai, prioritetai, priemonių turinys, už
stebėseną atsakingi asmenys ir pan.)
6. IS ir informacijos sauga, kiti dokumentai Užpildykite 6 lentelę: atsakykite į joje pateiktus klausimus, išvardykite prašomus duomenis, pateikite klausimuose minimų dokumentų elektronines kopijas ir savo vertinimus bei
išvadas pagal kiekvieną klausimą.
6 lentelė. IS ir informacijos sauga, kiti dokumentai Eil. Klausimas Auditoriaus
4 315-asis TAS „Reikšmingo iškraipymo rizikos nustatymas ir įvertinimas susipažįstant su įmone ir jos aplinka“, 21 p.: „susipažindamas su įmonės kontrolės veiksmais, auditorius turi suprasti, kaip
įmonė atsižvelgia į rizikos veiksnius, susijusius su IT naudojimu“.
Priedai
40
Nr. vertinimas ir
išvada
6.1 Kokiais IS valdymo ir saugos standartais, metodikomis ar pan. vadovaujasi institucija?
Standartų ir metodikų pavyzdžiai: LST ISO/IEC 17799:2006, LST ISO/IEC 27001:2006; COBIT; ITIL.
6.2 Kokia institucijoje sukurta IS saugos organizavimo struktūra?
IS valdytojas ir/ar tvarkytojas gali sudaryti informacijos saugos darbo grupes, koordinuosiančias saugos politikos įgyvendinimą, informacijos saugos
priemonių ir metodų taikymą institucijoje, analizuosiančias ir koordinuosiančias institucijos informacinėse sistemose įvykusių informacijos saugos
incidentų tyrimą ir tvarkysiančias saugos dokumentaciją.
IS saugos organizavimas turi užtikrinti, kad labai svarbi ir konfidenciali informacija nepatektų tiems, kas neturi prie jos prieiti, kad automatizuotos
veiklos operacijos ir apsikeitimas informacija būtų patikimi, kad būtų prižiūrimas informacijos ir apdorojimo infrastruktūros vientisumas, kad visas IT
turtas būtų apskaitytas ir apsaugotas, kad IT paslaugos ir infrastruktūra galėtų atsilaikyti ir atsigauti nuo gedimų dėl klaidos, tyčinės atakos ar avarijos.
Daugiau informacijos apie IS saugos organizavimą galima rasti Vyriausybės 2013-07-24 nutarimu Nr. 716 patvirtintame Bendrųjų elektroninės
informacijos saugos reikalavimų apraše.
Jeigu institucijoje neformalizuotas IS saugos organizavimas, atsiranda duomenų nepatikimumo rizika, pvz., nenumačius institucijoje IS saugos
procedūrų, užtikrinančių tik sankcionuotą prieigą prie apskaitos duomenų, auditorius negali būti tikras, kad apskaitos duomenys nebuvo tyčia ar
netyčia sugadinti.
6.3 Ar institucijoje patvirtinti ir suderinti su VRM duomenų saugos nuostatai?
Duomenų saugos nuostatuose išdėstoma informacijos saugos politika, apimanti pagrindinius taikytinus informacijos saugos užtikrinimo ir valdymo
principus, pagrindines taisykles, į kurias atsižvelgiant derinami IS veiklos ir naudojimo procesai ir procedūros, rengiami juos reglamentuojantys
dokumentai. Duomenų saugos nuostatai reguliuoja elektroninės informacijos saugos valdymą, organizacinius techninius ir reikalavimus personalui,
kitus informacijos saugos reikalavimus.
Duomenų saugos nuostatuose nustatoma IS kategorija, pagal kurią turėtų būti parenkamos IS saugos užtikrinimo priemonės (vidaus reikalų ministro
2013-10-04 įsakymas Nr. 1V-832).
6.4 Ar institucijoje patvirtintos saugaus elektroninės informacijos tvarkymo taisyklės?
Kiekviena institucija elektroninės informacijos tvarkymo taisyklėse privalo aprašyti technines ir kitas saugos priemones, saugius elektroninės
informacijos tvarkymo būdus taip pat reikalavimus keliamus IS funkcionavimui reikalingoms paslaugoms ir jų tiekėjams.
Reikalavimus taisyklių turiniui rasite Vyriausybės 2013-07-24 nutarimu Nr. 716 patvirtintame Saugos dokumentų turinio apraše.
6.5 Ar institucijoje patvirtintas IS veiklos tęstinumo valdymo planas?
IS veiklos tęstinumo valdymo plane nurodyti: finansinių ir kitokių išteklių, numatomų informacinės sistemos veiklai atkurti, įvykus elektroninės
informacijos saugos incidentui, šaltiniai; informacinės sistemos veiklos kriterijai, pagal kuriuos galima nustatyti, ar informacinės sistemos veikla yra
atkurta; IS veiklos tęstinumo organizacinės nuostatos; detalus sistemos atkūrimo planas; IT įrangos sąrašai ir aprašai; tęstinumo plano išbandymo
nuostatos; reikalavimai IS naudotojų administravimo taisyklių turiniui (naudotojų įgaliojimai, teisės ir pareigos, jų supažindinimo su saugos
dokumentais ir duomenų naudotojams teikimo kontrolės tvarkomis).
IS veiklos tęstinumo valdymo plano nuostatos turi būti pagrįstos nenumatytų situacijų ir likviduojamų avarijų padarinių valdymo, institucijos veiklos
atkūrimo ir kitais principais. Nesant IS veiklos tęstinumo plano, atsiranda rizika prarasti svarbius, pvz., apskaitos duomenis.
6.6 Ar institucijoje patvirtintos IS naudotojų administravimo taisyklės? Taisyklėse turi būti nurodyti informacinės sistemos naudotojų įgaliojimai, teisės ir pareigos renkant, tvarkant, perduodant, saugant, naikinant ar
kitaip naudojant elektroninę informaciją. Turi būti numatyta tvarka, kuri bus taikoma registruojant ir išregistruojant informacinės sistemos
naudotojus, ir už šių veiksmų atlikimą atsakingas asmuo;
Reikalavimus taisyklių turiniui rasite Vyriausybės 2013-07-24 nutarimu Nr. 716 patvirtintame Saugos dokumentų turinio apraše.
6.7 Išvardykite kitas IS ir informacijos/duomenų tvarkymą reglamentuojančias tvarkas ir taisykles.
Priedai
41
Pvz.: pokyčių valdymo tvarka, saugos incidentų tyrimo tvarka, duomenų rezervinio kopijavimo tvarka, programinės ir aparatinės įrangos pirkimų
tvarka, IS bandymų metodika, reikalavimai paslaugos išorės tiekėjui, asmens duomenų tvarkymo taisyklės ir kt.
6.8 Jeigu institucijoje tvarkomi asmens duomenys ir joje nėra Asmens duomenų tvarkymo taisyklių, nurodykite, kokiuose institucijos vidaus
dokumentuose reglamentuotas asmens duomenų tvarkymas.
6.9 Ar organizacijos IS ir informacijos saugos politika (nuostatai), tvarkos ir taisyklės taikomos ir kompiuterizuotoms finansinėms apskaitos sistemoms5?
Institucijos IS ir informacijos saugos politikos (nuostatai), tvarkos ir taisyklės turėtų apimti visas institucijos IS. Minėtuose dokumentuose turėtų būti
įvardytos IS, kurioms taikomi šie dokumentai.
6.10 Kaip institucijoje saugomasi nuo virusų ir kitos kenksmingos programinės įrangos?
Siekiant apsisaugoti nuo virusų ir kitos kenksmingos programinės įrangos naudojamos antivirusinės programos, kurios turi būti nuolat atnaujinamos.
Kokios kenksmingos programinės įrangos aptikimo priemonės tam naudojamos ir koks jų atnaujinimų periodiškumas?
Daugiau informacijos galima rasti vidaus reikalų ministro 2013-10-04 įsakymu Nr. 1V-832 patvirtintuose Techniniuose valstybės registrų (kadastrų),
žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose.
6.11 Kaip užtikrinama tik tam įgaliojimus turinčių asmenų prieiga prie kompiuterinių programų ?
Pvz.: įjungiama ekrano užsklanda su slaptažodžiu, IS užsirakina, kad toliau naudotis galima būtų tik pakartojus tapatybės nustatymo ir autentiškumo
patvirtinimo veiksmus ir pan. Šios nuostatos turėtų būti įvardytos elektroninės informacijos tvarkymo taisyklėse arba kituose informacijos saugą
reglamentuojančiuose institucijos dokumentuose.
7. IS kūrimas Užpildykite 7 lentelę: atsakykite į joje pateiktus klausimus, išvardykite prašomus duomenis, pateikite klausimuose minimų dokumentų elektronines kopijas ir savo vertinimus bei
išvadas pagal kiekvieną klausimą.
Daugiau informacijos apie IS kūrimą galima rasti Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos įsakymu (2014-02-25 Nr. T-29) patvirtintoje Valstybės
informacinių sistemų gyvavimo ciklo valdymo metodikoje.
7 lentelė. IS kūrimas
Eil.
Nr. Klausimas
Auditoriaus
vertinimas ir
išvada
7.1 Kokia IS projektų valdymo metodika vadovaujamasi?
Organizacijoje turėtų būti įdiegta programų ir projektų valdymo sistema visiems IT projektams valdyti. Sistema turėtų užtikrinti tinkamą visų projektų
prioritetų nustatymą ir koordinavimą. Ji turėtų apimti bendrąjį planą, išteklių paskirstymą, laukiamų rezultatų apibrėžimą, IS naudotojų pritarimą,
įgyvendinimo etapais metodą, kokybės užtikrinimą, patvirtintą testavimo planą bei testavimo ir įdiegtos sistemos analizę. Toks metodas sumažina
nenumatytų sąnaudų ir projektų nutraukimo riziką, gerina ryšius su IS naudotojais.
Metodikų pavyzdžiai: PMBOK (angl. – The Project Management Body of Knowledge), PRINCE2 (angl. – PRojects IN Controlled Environents) ir kt.
PMBOK – tai pasaulyje pripažintas standartas, plačiai naudojamas projektų vadybos srityje. Jį išleido Projektų valdymo institutas (angl. PMI –
Project Management Institute), JAV. Juo siekiama susisteminti projektų valdymo žinias ir standartizuoti naudojamus metodus ir priemones. PRINCE2
– tai projekto valdymo metodas, kuris nustato kaip turi būti valdomi projektai ar jų grupės. PRINCE2 išleido JK Valstybinė Komercijos Tarnyba,
(angl. UK government agency Office of Government Commerce (OGC))
7.2 Ar buvo atlikta kuriamos (-ų) IS galimybių studija?
5 315-asis TAS „Reikšmingo iškraipymo rizikos nustatymas ir įvertinimas susipažįstant su įmone ir jos aplinka“, A74 p.: „...jei vadovybė neskiria pakankamai išteklių reaguoti į IT saugumo riziką, tai
gali daryti neigiamą įtaką vidaus kontrolei“.
Priedai
42
Prieš įsigyjant ar kuriant naują taikomąją programą ar funkciją, turėtų būti atliekama analizė ir užtikrinama, kad ši programa ar funkcija
rezultatyviai ir efektyviai patenkintų veiklos poreikius. Analizuojant turėtų būti apibrėžiami poreikiai, apsvarstomi alternatyvūs šaltiniai, peržiūrimos
technologinės ir ekonominės galimybės, atliekama rizikos ir ekonominės naudos analizė ir priimamas galutinis sprendimas – sukurti ar pirkti. Visi šie
analizės etapai sumažina organizacijų sprendimų įsigijimo ir įgyvendinimo išlaidas bei užtikrina, kad veikla pasiektų savo tikslus.
7.3 Ar planuojami IS ar jos dalių patobulinimai ir atnaujinimai?
Taikomosios programos ar IS turėtų būti įsigyjamos vadovaujantis veiklos poreikiais. Išvardykite institucijos dokumentus, kuriuose išdėstyti IS ar jos
dalių tobulinimo planai.
7.4 Kaip vykdomas IS pokyčių valdymas?
Visi IS pokyčiai, įskaitant ir avarinę priežiūrą ir pataisas, susijusias su infrastruktūra ir taikomosiomis programomis, turėtų būti standartizuotai
valdomi ir kontroliuojami. Pokyčiai (procedūrų, procesų, sistemų ir paslaugų parametrų) turėtų būti registruojami ir vertinami. Prieš įgyvendinant
pokyčius, jiems turėtų būti pritarta oficialiai (IS valdytojo ar jo atstovų pritarimas), o juos įgyvendinus jie turėtų būti peržiūrimi ir lyginami su
planuotais rezultatais. Toks pokyčių valdymas užtikrina jų neigiamos įtakos veiklai rizikos mažinimą.
7.5 Ar atliekamas sukurtos IS ar jos naujų dalių testavimas ir bandymai?
Baigus IS ar jos dalies kūrimo procesą, pradedama naudotis nauja sistema ar jos dalimi. Prieš naudojimą IS ar jos dalys turėtų būti tinkamai
testuojamos specialioje aplinkoje su aktualiais testavimo duomenimis, sudarant duomenų perkėlimo instrukcijas, planuojant paleidimą ir faktinę
eksploatacijos pradžią bei atliekant įdiegtos sistemos analizę. Testavime turi dalyvauti būsimi sistemos naudotojai ir administratoriai. Tai garantuoja,
kad įdiegtos ir veikiančios sistemos atitinka lūkesčius ir laukiamus rezultatus.
7.6 Ar numatomi ir vykdomi personalo, kuris dirba ar dirbs su naująja IS, mokymai, ar rengiama metodinė medžiaga ir teikiama pagalba vartotojams?
Jeigu buvo atnaujinta IS ar jos dalis, turėtų būti atnaujinama dokumentacija: instrukcijos, naudotojo ir administratoriaus vadovai ir pan.
8. IS eksploatavimas Užpildykite 8 lentelę: atsakykite į joje pateiktus klausimus, išvardykite prašomus duomenis, pateikite klausimuose minimų dokumentų elektronines kopijas ir savo vertinimus bei
išvadas pagal kiekvieną klausimą.
Daugiau informacijos apie kompiuterių programų naudojimą galima rasti vidaus reikalų ministro 2001-05-09 įsakymu Nr.220 patvirtintose Kompiuterių programų naudojimo
valstybės valdymo institucijose ir įstaigose rekomendacijose, taip pat Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos 2014-02-25 įsakymu Nr. T-29
patvirtintoje Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikoje.
8 lentelė. IS eksploatavimas
Eil.
Nr. Klausimas
Auditoriaus
vertinimas ir
išvada
8.1 Jeigu institucijoje nustatyta ir patvirtinta elektroninės informacijos apdorojimo tvarka, ar ji detaliai ir aiškiai nusako duomenų įvesties ir apdorojimo
bei informacijos išvesties ir archyvavimo procedūras?
8.2 Ar institucijos IT padalinys yra sudaręs naudojamos programinės įrangos sąrašą?
8.3 Ar IT sudarytas programinės įrangos sąrašas atitinka inventorizavimo dokumentus?
8.4 Ar yra IS/IT sutrikimų (incidentų) sąrašas (registras)?
Norint efektyviai valdyti problemas, reikia jas nustatyti ir klasifikuoti, analizuoti pagrindines jų priežastis ir spręsti. Problemų valdymo procesas
apima tobulėjimo rekomendacijų formulavimą, problemų įrašų palaikymą ir korekcinių veiksmų būklės peržiūrą. Efektyvus problemų valdymo
procesas gerina prieinamumą prie sistemoje saugomų duomenų, mažina sąnaudas ir didina patogumą sistemos naudotojams.
8.5 Ar yra IS eksploatavimo žurnalas (kompiuterizuotas arba ne)?
Eksploatuojant IS, rekomenduojama vesti IS eksploatacijos žurnalą ir fiksuoti visus IS sutrikimus ir visas vartotojų pastabas. Peržiūrint IS
Priedai
43
eksploatacijos žurnalą, apibendrinamos vartotojų pastabos, sprendžiama, ar reikia rengti IS tobulinimo specifikaciją. Nesant tokio žurnalo, kai
kuriais atvejais sunku pagrįsti IS ar jos dalių tobulinimą.
9. IS stebėsena ir vertinimas. IS vidaus auditas
Užpildykite 9 lentelę: atsakykite į joje pateiktus klausimus, išvardykite prašomus duomenis, pateikite klausimuose minimų dokumentų elektronines kopijas ir savo vertinimus bei
išvadas pagal kiekvieną klausimą.
9 lentelė. IS stebėsena, vertinimas ir auditas
Eil.
Nr. Klausimas
Auditoriaus
vertinimas ir
išvada
9.1 Ar institucijos IS vertino vidaus auditoriai arba išorės konsultantai (auditoriai)?
Ne rečiau kaip kartą per trejus metus turi būti vertinama, kaip veikia vidaus kontrolė (IS vidaus kontrolės procedūros) (Vidaus kontrolės ir vidaus
audito įstatymas). Taip pat ne rečiau kaip kartą per trejus metus turėtų būti atliekamas IT auditas – įvertinamas valstybės IS6 IT priemonių valdymas
ir sauga (Valstybės informacinių išteklių valdymo įstatymas).
Išvardykite atliktus vertinimus ir kas juos atliko, pridėkite elektronines dokumentų kopijas.
9.2 Ar atliktas IS saugos atitikties vertinimas?
Pirmosios ir antrosios kategorijos IS atitikties vertinimas turi būti atliekamas ne rečiau kaip kartą per metus, o trečiosios kategorijos IS – ne rečiau
kaip kartą per dvejus metus (Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų
elektroninės informacijos saugos reikalavimai; vidaus reikalų ministro 2013-10-04 įsakymas Nr.1V-832). Nurodykite datas ir kas atliko. Pridėkite
vertinimų elektronines kopijas.
9.3 Ar nustatyti veiklos kriterijai (rodikliai) IT procesų vertinimui?
Efektyviam IT veiklos valdymui reikalingas stebėsenos procesas: tinkamų veiklos rodiklių apibrėžimas, sistemingas ir laiku atliekamas atsiskaitymas
apie veiklą, greitas reagavimas esant nukrypimams. Stebėsena reikalinga norint užtikrinti, kad būtų taikomos tinkamos priemonės, atitinkančios
nustatytas IT veiklos kryptis ir politiką.
Nurodykite institucijos dokumentus, kuriuose įvardyti veiklos kriterijai, pagal kuriuos vertinami IT procesai. Pridėkite jų elektronines kopijas. Taip
pat pridėkite IT procesų vertinimų elektronines kopijas, jeigu tokie buvo atlikti ir dokumentuoti.
9.4 Ar sudaromi visų IS auditų (vertinimų) rekomendacijų įgyvendinimo planai, kas vykdo jų įgyvendinimo stebėseną?
Apibendrintos išvados ir svarbesni pastebėjimai dėl IS bendrosios kontrolės:
Pateikdami vidaus kontrolės būklės vertinimą, vadovaukitės toliau esančiomis vertinimo rekomendacijomis:
IS bendrosios kontrolės būklė
Labai gera
Organizacijos vadovybė valdo IS ir IS saugos procesus, IS rizikos vertinimo procesas formalizuotas ir pasikartojantis, sukurti visi būtini IS ir IS
saugos politikos ir procedūrų dokumentai. Visi IS ir IS saugos procesai matuojami. Vadovaujantis matavimo rezultatais IS ir IS saugos procesai
optimizuojami.
6 Valstybės IS, kuriomis apdorojama visai valstybei svarbi institucijos valdoma informacija, ir pagrindinių valstybės registrų, taip pat valstybės IS ir registrų, kuriems kurti ar modernizuoti viršytas
Vyriausybės ar jos įgaliotos institucijos nustatytas lėšų dydis (Vyriausybės 2013-02-27 nutarimas Nr. 180).
Priedai
44
Gera Organizacijoje atliktas išsamus IS rizikos vertinimas (būtina sąlyga IS duomenų valdymo įgaliotinių dalyvavimas šiame procese), sukurti IS ir IS
saugos nuostatai (t. y. aiškiai dokumentuota IS ir IS saugos politika), tačiau dar nesukurtos ir dokumentuotos visos IS ir IS saugos procedūros.
Tobulintina Institucijoje įsteigtas IS/IT padalinys, kurio veiklą prižiūri vienas iš institucijos vadovų. IS procedūros dokumentuojamos nesistemingai, dokumentacija
gali būti pasenusi ir jos nesilaikoma, nėra bendros ir dokumentuotos IS politikos.
Silpna Institucijos vadovybė visiškai nevaldo IS procesų (nėra koordinatoriaus, IS rūpinasi atskiri entuziastai).
Taip pat nurodykite nustatytus rizikos veiksnius ir pateikite jų pagrindimą.
Priedai
45
Informacinių sistemų audito vadovo
3 priedas
(2014-11-27 Nr. V-206).
Taikomųjų programų kontrolės vertinimas
SVARBU Klausimynas neskirtas pateikti audituojamam subjektui.
Klausimyną pildo pats auditorius, kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir analizuodamas surinktus įrodymus
Tikslas – įvertinti kontrolę, susijusią su duomenų įvestimi, apdorojimu, duomenų saugojimu ir duomenų gavimu konkrečiose taikomosiose programose (pvz.: „Navision Financials“,
LABBIS ir kt.). Taikomųjų programų kontrolės vertinimas – sudėtinė vidaus kontrolės vertinimo dalis. Atliekamos procedūros gali būti panaudotos ir kituose vidaus kontrolės
vertinimo etapuose.
Lentelėje pateikti klausimų pavyzdžiai. Auditorius pagal teisės aktų ar audituojamo subjekto vadovybės nustatytą bei, jo nuomone, būtiną kontrolę pats parenka arba papildo
klausimus. Naudojamų audito procedūrų skiltyje nurodyti naudotas audito procedūras (pvz.: stebėjimas, apklausa ir t. t.)
Lentelėje pateiktus klausimus auditoriai gali panaudoti sudarydami savo individualius klausimynus ir/arba įtraukti į jau sudarytus klausimynus.
Audituojamos kompiuterinės programos pavadinimas
Pokalbyje su programos vartotoju ar IT specialistu paklausti kompiuterinės programos pavadinimo. Jeigu auditoriui reikia įsitikinti patikimumu duomenų, gaunamų iš kelių
kompiuterinių programų, rekomenduojama pildyti atskirus klausimynus konkrečioms programoms.
1 lentelė. Klausimyno pavyzdinė forma
Kontrolės paskirtis Klausimai Naudojama audito
procedūra
Auditoriaus
vertinimas
Bendri klausimai
Kompiuterizuotų kontrolės priemonių efektyvumas priklauso
nuo stiprių bendrųjų IT kontrolės priemonių.
Nuo kada įstaigoje naudojama programinė įranga ir iš kur įsigyta?
Ar yra programinės įrangos dokumentacija?
Nurodyti programos paskirtį.
Ar yra sudaryta programos priežiūros sutartis?
Kokie vartotojų atsiliepimai apie kompiuterinę programą?
Ar audito metu galima naudoti kompiuterizuotas audito priemones:
ar iš audituojamo subjekto IS galima įsikelti duomenis?
ar audituojamas subjektas turi kompiuterizuotų duomenų aprašymą?
Kaip užtikrinamas atliktų veiksmų atsekamumas: ar įmanoma atsekti
kas, kada ir kokius veiksmus atliko sistemoje?
Priedai
46
Kontrolės paskirtis Klausimai Naudojama audito
procedūra
Auditoriaus
vertinimas
Kaip suteikiami slaptažodžiai Jūsų tikrinamoje programoje (žr.
audituojamo subjekto vidaus tvarkas)?
ar slaptažodžių ilgis viršija 8 simbolius?
ar įvesties metu slaptažodis maskuojamas?
kaip dažnai keičiamas slaptažodis?
ar reikalaujama, kad slaptažodžių nesudarytų prasminiai žodžiai?
Klaidų taisymo procedūros turi užtikrinti laiku vykdomą ir
tikslų duomenų taisymą
Kada sistemoje pastebimos duomenų klaidos?
Ar formuojamos klaidų ir jų taisymo ataskaitos?
Kaip programoje taisomos klaidos?
Duomenų šaltiniai
Duomenų šaltiniai turi būti patikimi. Kaip užtikrinama, kad į programą suvedamų duomenų šaltiniai
(pirminiai apskaitos dokumentai) būtų patikimi?
Ar yra numatytos procedūros, kaip turi elgtis duomenis į sistemą
įvedantis darbuotojas, jei pirminiai dokumentai yra netinkami įvesčiai
(nėra parašų ir kita).
Ar pakankamai apsaugoti pirminiai dokumentai, kad būtų neįmanoma jų
pakeisti dar prieš juos įvedant į sistemą?
Ar pirminiai dokumentai (duomenų šaltiniai) numeruoti?
Ar vedama dokumentų apskaita (kas, kada ir kiek dokumentų gavo)?
Duomenų įvestis
Į programą duomenys turi būti įvesti teisingi, visi ir laiku.
Duomenis turi įvesti tik įgaliojimus turintys darbuotojai.
Kaip sistemoje duomenys įrašomi jos „lūžimo“ metu? Ar nėra duomenų
dubliavimo ar praradimo grėsmės?
Ar yra nustatyti įgaliojimai darbuotojams įvesti atitinkamus duomenis į IS?
Ar yra nustatytos programos vartotojų teisės?
Ar yra atskirtos įvesties, pakeitimo ir tvirtinimo funkcijos programoje?
Ar įvestoms operacijoms yra numatytas papildomas patvirtinimas?
Kokioms operacijoms naudojama?
Kokia nustatyta maksimali suma, kurią galima įvesti be papildomo
tvirtinimo?
Kaip daromos įvestų duomenų peržiūros?
Kaip duomenų peržiūroms užtikrinamas „keturių akių principas“
(tvirtinimas)?
Ar informatikams leidžiama suvesti duomenis?
Kaip pirminiai dokumentai yra pažymimi, kad jų duomenys yra įvesti į
programą?
Per kiek laiko gauti dokumentai įvedami į sistemą?
Ar skirtingiems duomenims priskirti skirtingi formatai (data, sveikasis
skaičius)?
Priedai
47
Kontrolės paskirtis Klausimai Naudojama audito
procedūra
Auditoriaus
vertinimas
Ar sistemoje sukurti ribojimai, siekiant išvengti nelogiškų duomenų
įvesties (pvz., tryliktas mėnuo)?
Duomenų apdorojimas
Duomenų apdorojimas turi būti kontroliuojamas taip, kad būtų
apsisaugota nuo neteisėto duomenų papildymo, trynimo arba
keitimo.
Ar informatikai (arba kiti darbuotojai), neturėdami tam įgaliojimų, gali
keisti duomenų apdorojimo algoritmus?
Ar yra buvę atvejų, kad programa netinkamai apdoroja duomenis?
Įsitikinti (atlikti testus), ar sistema teisingai apdoroja duomenis.
Duomenų išvestis
Išvesti duomenys turi būti laiku pateikti asmenims, turintiems
tam įgaliojimus.
Išvesti duomenys turi būti peržiūrimi.
Ar įstaigoje yra nustatytas laikotarpis, kurio apskaitos registrai ar kiti
duomenys yra spausdinami?
Ar juos pasirašo atsakingi darbuotojai?
Kokios apsaugos priemonės taikomos išvestai informacijai? Ar
naudojamos žymos slaptai informacijai?
Ar vartotojai turi galimybę išvesti visą jiems reikalingą informaciją? Ar
išvesti apskaitos registrai yra informatyvūs, aiškūs ir suprantami?
Ar buvo atvejų, kai IS formavo klaidingas ataskaitas ?
Klasifikatoriai (pastovūs duomenys)
Priėjimas prie mažai kintančių (nuolatinių) duomenų, jų
keitimas ir naudojimas turi būti kontroliuojamas.
Ar sistemoje sukurtos pasirinktys?
Kas turi teisę keisti klasifikatorių duomenis? Ar atliktas funkcijų
atskyrimas (darbuotojas, įvedantis ūkines operacijas, negali įvesti
klasifikatorių duomenų)?
Ar daromos klasifikatorių duomenų peržiūros? Kas jas atlieka?
Priedai
48
Rizikos: 2 lentelė. Rekomendacijos auditoriams, pildant Taikomųjų programų kontrolės vertinimo klausimyną.
Kontrolės paskirtis Klausimai Rekomendacijos, kaip tikrinti
Bendri klausimai
Kompiuterizuotų kontrolės
priemonių efektyvumas
priklauso nuo stiprių
bendrųjų IT kontrolės
priemonių.
Nuo kada įstaigoje naudojama programinė
įranga ir iš kur įsigyta?
Ar yra programinės įrangos dokumentacija?
Nurodyti programos paskirtį.
Ar yra sudaryta programos priežiūros sutartis?
Pokalbis su vyr. finansininku, Programos įsigijimo dokumentų tikrinimas; susipažinti su
programinės įrangos dokumentacija, išsiaiškinti, kokia kompiuterinės programos paskirtis.
Kokie vartotojų atsiliepimai apie kompiuterinę
programą?
Paklausinėti buhalterius ir kitus darbuotojus, kurie dirba su apskaitos programa, ar jiems ji
tinkama, su kokiais sunkumais susiduriama ir panašiai.
Ar audito metu galima naudoti
kompiuterizuotas audito priemones:
ar iš audituojamo subjekto informacinės
sistemos galima įsikelti duomenis?
ar audituojamas subjektas turi
kompiuterizuotų duomenų aprašymą?
Paprašoma pateikti auditui numatomus naudoti duomenis kompiuterizuota forma (diske, rakte, el.
paštu).
Paprašoma parodyti kompiuterizuotų duomenų aprašymą.
Kaip užtikrinamas atliktų veiksmų
atsekamumas, t. y. ar įmanoma atsekti kas, kada
ir kokius veiksmus atliko sistemoje?
Pokalbis su vyr. finansininku, įsitikinimui paprašyti programoje parodyti, kaip įmanoma pamatyti,
kas, kada ir kokius veiksmus atliko (kai kuriose programose – paspaudus dešinį pelės klavišą ant
operacijos, kai kuriose galima suformuoti ataskaitas, iš kurių matyti, kai kuriais atvejais reikia
kreiptis į administratorių, kuris nustato).
Pastaba. Bendrieji reikalavimai IS veiksmų atsekamumui suformuluoti teisės aktuose7.
Kaip suteikiami slaptažodžiai Jūsų tikrinamoje
programoje (žr. audituojamo subjekto vidaus
tvarkas)?
ar slaptažodžių ilgis viršija 8 simbolius?
ar įvesties metu slaptažodis maskuojamas?
kaip dažnai keičiamas slaptažodis?
ar reikalaujama, kad slaptažodžių
nesudarytų prasminiai žodžiai?
Įsitikinti, ar yra slaptažodžių suteikimo tvarka ir kaip jos laikomasi (ar audituojamo subjekto tvarkoje
numatyta. Jei ne, tai išsiaiškinti, kaip praktiškai suteikiama). Stebėjimo būdu patikrinti, kelių
simbolių slaptažodį darbuotojas įveda, norėdamas prisijungti prie programos, ar slaptažodį įveda iš
atminties, ar jie nėra užrašyti visiems matomoje ir prieinamoje vietoje (būna atvejų, kai yra užrašyti
ir padėti darbo vietoje, priklijuoti ant kompiuterio). Tokiu pat būdu įsitikinti, ar slaptažodis
maskuojamas. Klausimas: „kaip dažnai keičiamas slaptažodis?“ pateikiamas keliems darbuotojams.
Atsakymai palyginami su audituojamo subjekto vidaus tvarkoje pateiktu slaptažodžio atnaujinimo
laikotarpiu. Darbuotojo, atsakingo už kompiuterizuotas programas, paklausiama, ar slaptažodį gali
sudaryti prasminiai žodžiai (vardas, pavardė, gimimo metai ir pan.).
Pastaba. Bendrieji reikalavimai IS slaptažodžiams suformuluoti teisės aktuose8.
7 Lietuvos Respublikos vidaus reikalų ministro 2013-10-04 įsakymu Nr. 1V-832 patvirtinti Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių
sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, 5.2 - 5.5 p. 8 Ten pat, 5.7, 5.14 p.
Priedai
49
Kontrolės paskirtis Klausimai Rekomendacijos, kaip tikrinti
Klaidų taisymo procedūros
turi užtikrinti laiku
atliekamą ir tikslų duomenų
taisymą
Kada sistemoje pastebimos klaidos duomenyse?
Ar yra formuojamos klaidų ir jų taisymo
ataskaitos?
Pakalbėti su programa dirbančiais darbuotojais, ar sistemoje rodomos klaidos, įsitikinti, ar
sistemoje fiksuojamas klaidų taisymas.
Paklausti darbuotojų, ar programoje yra formuojamos klaidų ataskaitos. Jei taip, paprašyti, kad
parodytų klaidų ataskaitą. Paklausti, ar klaidų ataskaitos yra nagrinėjamos, ar atliekami taisymai
atsižvelgiant į jas.
Kaip programoje taisomos klaidos? Išsiaiškinti, kas turi teisę taisyti klaidas ir kokios nustatytos procedūros, jei klaidos yra
nustatomos.
Pažiūrėti, ar leidžia taisyti užfiksuotus operacijų įrašus atgaline data, einamuoju metu ir pasibaigus
ataskaitiniam laikotarpiui.
Duomenų šaltiniai
Duomenų šaltiniai turi būti
patikimi.
Kaip užtikrinama, kad į programą suvedamų
duomenų šaltiniai (pirminiai apskaitos
dokumentai) būtų patikimi?
Išsiaiškinti, gal yra įstaigoje dokumentuotos procedūros, kad prieš įvesdamas į programą
darbuotojas turi įsitikinti, ar dokumentai yra tinkamai įforminti, pasirašyti atsakingų asmenų ir
kita. Pasirenkama kuri nors apskaitos sritis ir darbuotojo, atsakingo už šią sritį, paklausiama, kas
jam pateikia pirminius dokumentus įvesti, ką jis patikrina pirminiame dokumente prieš įvesdamas,
paprašoma, kad parodytų, kaip suveda duomenis į sistemą (atsitiktiniu būdu atsirinkti įvesti
duomenys palyginami su pirminiais dokumentais, patikrinama, ar pasirašyti atsakingų asmenų ir
kita).
Ar yra numatytos procedūros, kaip turi elgtis
duomenis į sistemą įvedantis darbuotojas jei
pirminiai dokumentai yra netinkami įvesti (nėra
parašų ir kita).
Išsiaiškinti, kokios kontrolės priemonės įstaigoje numatytos, kurios užtikrintų, kad apskaitoje būtų
užregistruoti tik tinkami dokumentai (dažniausiai tai būna numatyta finansų kontrolės taisyklėse).
Ar pakankamai apsaugoti pirminiai dokumentai,
kad būtų neįmanoma jų pakeisti dar prieš juos
įvedant į sistemą?
Tuščių blankų apsauga ir apskaita.
Ar pirminiai dokumentai (duomenų šaltiniai)
numeruoti?
Pokalbis su vartotojais; paprašyti darbuotojo, atsakingo už tam tikrą apskaitos sritį, parodyti į
programą suvestus dokumentus, ar jie sunumeruoti. Įsitikinti, ar jie numeruojami eilės tvarka, ar
yra eilės tvarka susegti (gal mėtosi nesusegti). Pasirinkus tam tikrą laikotarpį, patikrinti, ar visi iš
eilės numeruoti dokumentai yra suvesti, ar nėra praleistų arba du kartus įvestų duomenų
(pavyzdžiui, pasirinkti numeriais nuo 1 iki 20, nuo 55 iki 70 sužymėtus dokumentus (sąskaitas-
faktūras, nurašymo aktus, avansines apyskaitas ir kt.) ir paprašyti darbuotojo, kuris juos suveda į
programą, parodyti programoje šiuos duomenis).
Tik esant dideliam popierinių dokumentų skaičiui, gali būti formuojami dokumentų paketai. Pvz.:
Nacionalinėje mokėjimų agentūroje paraiškos susegamos į paketus, rašomas lydraštis, kuriame
nurodoma susegtų dokumentų skaičius ir kita informacija. Jei yra formuojami dokumentų paketai,
išsiaiškinti, ar vedama dokumentų paketų apskaita (kas, kada ir kiek dokumentų gavo), ar sistema
atmeta iš dalies suformuotus dokumentų paketus.
Ar vedama dokumentų apskaita (kas, kada ir
kiek dokumentų gavo)?
Jei yra numatyta, kad gaunami dokumentai turi būti registruojami, patikrinti, ar jie suregistruoti ir
ar yra žymos apie jų perdavimą darbuotojui, kuris turi įvesti į programą.
Duomenų įvestis
Priedai
50
Kontrolės paskirtis Klausimai Rekomendacijos, kaip tikrinti
Į programą duomenys turi
būti įvesti teisingi, visi ir
laiku. Duomenis turi įvesti
tik įgaliojimus turintys
darbuotojai.
Kaip sistemoje duomenys įrašomi jos „lūžimo“
metu? Ar nėra duomenų dubliavimo ar
praradimo grėsmės?
Išsiaiškinti, ar daromos duomenų kopijos. Informaciją apie tai gauti apklausiant darbuotojus,
atsakingus už kompiuterinę sistemą. Taip pat paklausti darbuotojus, dirbančius su apskaitos
programomis, apie duomenų praradimo ir dubliavimo grėsmes. Pasidomėti, gal buvo ar yra tokių
problemų, ar buvo „lūžimų“, ar duomenys buvo sėkmingai atstatyti?
Pastaba. Bendrieji reikalavimai atsarginėms duomenų kopijoms suformuluoti LR teisės aktuose9.
Ar yra nustatyti įgaliojimai darbuotojams įvesti
atitinkamus duomenis į sistemą?
Paklausti vyr. finansininko, kokiu būdu yra paskirtos tam tikrų duomenų įvesties į programą
funkcijos atitinkamiems darbuotojams (pareigybės aprašyme, vadovo įsakymu ar kur kitur).
Išsiaiškinti, kurie darbuotojai ir už kokių duomenų įvestį į programą yra paskirti. Pasikalbėjus su
šiais darbuotojais, išsiaiškinti, ar jų faktiškai atliekamos funkcijos atitinka jiems priskirtas.
Ar yra nustatytos programos vartotojų teisės?
Ar yra atskirtos įvesties, pakeitimo ir tvirtinimo
funkcijos programoje?
Išsiaiškinti, kokia yra kiekvieno, dirbančio su programa, teisių nustatymo tvarka. Išsiaiškinti,
kokios teisės yra suteiktos konkretiems darbuotojams. Įsitikinimui, paprašyti darbuotojo,
dirbančio programa, atlikti programoje veiksmus, kuriems jam nesuteikta teisė (pavyzdžiui, jam
nėra suteikta teisė tam tikrus duomenis įvesti, trinti, keisti , tai paprašyti, kad jis parodytų, ar jam
leidžia tuos duomenis įvesti, trinti, keisti, ar ne).
Galima paprašyti programos naudotojų rolių matricos10
.
Ar įvestoms operacijoms yra numatytas
papildomas patvirtinimas?
Kokioms operacijoms naudojama?
Kokia nustatyta maksimali suma, kurią galima
įvesti be papildomo tvirtinimo?
Paklausti darbuotojų, ar yra nustatyta maksimali duomenų įvesties suma. Jei taip, tai kokia tai
suma. Jei įmanoma (atsižvelgiant į sumos dydį) stebėjimo būdu patikrinti, ar programa leido įvesti
didesnę už maksimaliai galimą sumą. Jei maksimali suma nustatyta, tai įsitikinti, ar yra nustatyta,
kas turi patvirtinti didesnes sumas, ir kas jas faktiškai tvirtina. Ar nustatytos ribos pagal finansinės
apskaitos taisykles?
Kaip daromos įvestų duomenų peržiūros?
Kaip duomenų peržiūroms užtikrinamas
„keturių akių principas“ (tvirtinimas)?
Patikrinti, ar peržiūros yra numatytos tvarkose, paklausti darbuotojų, kokios peržiūros faktiškai
yra atliekamos ir kas jas atlieka. Paprašyti pateikti peržiūrą įrodančius duomenis (paprašyti
parodyti, jei atliktos peržiūros matosi programoje, arba popierinius peržiūros dokumentus).
Darbuotojo, suvedančio tam tikrus duomenis į sistemą, paklausti, kas atlieka duomenų peržiūrą.
Darbuotojui, nurodžius kitą asmenį kartu atliekantį duomenų peržiūrą, paklausti nurodytojo
asmens, ar jis taip pat atlieka šią funkciją.
Ar informatikams leidžiama suvesti duomenis? Pažiūrėti kaip yra numatyta tvarkose. Jose turėtų būti nurodyta, kad informatikams duomenis
suvesti uždrausta.
Kaip pirminiai dokumentai yra pažymimi, kad
jų duomenys yra įvesti į programą?
Paklausti darbuotojų, ar ant pirminių dokumentų yra pažymima, kad šio dokumento duomenys yra
įvesti į programą (jei taip- tai kaip pažymima, pvz. gali būti parašant žodį įvesta, parašant
programos suteiktą operacijos registravimo numerį, jei toks yra, ir pasirašant duomenis įvedusiam
darbuotojui). Atsirinkus kelis pavyzdžius patikrinti, ar yra žymima.
9 Lietuvos Respublikos vidaus reikalų ministro 2013-10-04 d. įsakymu Nr. 1V-832 patvirtinti Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių
sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, 5.2.12 – 5.2.14 p. 10
Sukurta sistemos vartotojų teisių ir rolių sistema, leidžianti sistemų administratoriui kurti ir redaguoti vartotojų profilius.
Priedai
51
Kontrolės paskirtis Klausimai Rekomendacijos, kaip tikrinti
Kada gauti dokumentai įvedami į sistemą? Ar nustatytas laikas duomenų suvedimui ir ar suveda pagal nustatytas procedūras, pažiūrėti
ataskaitas.
Paklausti, ar yra numatyta tvarkose, per kiek laiko turi būti duomenys įvesti nuo jų gavimo.
Paklausti duomenis įvedančio darbuotojo, faktiškai per kiek laiko nuo gavimo duomenis jis
suveda. Atsitiktinės atrankos būdu atsirinkti kelis pirminius dokumentus ir paprašyti parodyti
programoje, kada jie buvo suvesti (jei programoje tai galima matyti), taip pat galima paimti
vėliausiai gautus pirminius dokumentus (pvz., kelis paskutinio mėnesio ar paskutinės savaitės),
kurie jau turėjo būti įvesti, ir patikrinti, ar jie jau yra įvesti į programą.
Ar skirtingiems duomenims priskirti skirtingi
formatai (data, sveikas skaičius)?
Paklausti su programa dirbančių darbuotojų. Ar galima įvesti vietoj datos ar sumos žodžius? Ar,
vietoj sumos įvedus datą, nesuskaičiuoja. Stebėjimo būdu įsitikinti, ar nėra galimybės įvesti
formato neatitinkančius duomenis (pvz., jei darbuotojas pabandytų datą įvesti žodžiais, ar
programa leistų tai padaryt ir pan.).
Ar sistemoje sukurti ribojimai, siekiant išvengti
nelogiškų duomenų įvesties (pvz., tryliktas
mėnuo)?
Jei yra, tai prašoma darbuotojo, dirbančio su auditorių dominančia sistema, parodyti ir
pratestuojame, t.y. paprašome įvesti nelogiškus duomenis (13 mėnesį, 32 dieną ar kita) ir stebime,
ar programa leidžia tai daryti.
Duomenų apdorojimas
Duomenų apdorojimas turi
būti kontroliuojamas taip,
kad būtų apsisaugota nuo
neteisėto duomenų
papildymo, trynimo arba
keitimo
Ar IT specialistai (arba kiti darbuotojai),
neturėdami tam įgaliojimų, gali keisti duomenų
apdorojimo algoritmus?
Išsiaiškinti, ar yra įstaigoje nustatyta tvarka ir procedūros, kas inicijuoja programos algoritmų
pakeitimą, kas duoda leidimą tai atlikti ir kas atlieka, ar darbuotojai, neturintys tam įgaliojimų, turi
galimybę tai padaryti, ar ne. Paklausti vyr. finansininko, kaip elgiamasi, kai norima keisti
duomenų apdorojimo algoritmus (jei programoje norima kažką keisti).
Ar yra buvę atvejų, kad programa netinkamai
apdoroja duomenis?
Ar pasitaiko sistemoje klaidų?
Pakalbėti su darbuotojais, ar buvo nustatyti atvejai, kad programoje būtų apdoroti ne visi įvesti
duomenys arba kad duomenys būtų apdoroti netinkamai. Kaip buvo ištaisyti neatitikimai (galbūt
nebuvo pasirinkti tinkami nustatymai ar kita). Arba gavus duomenis peržiūrėti, ar nėra dvigubų
įrašų arba tuščių laukų, atlikti perskaičiavimą.
Įsitikinti ar sistema teisingai apdoroja
duomenis.
Atlikti nuoseklios peržiūros testus perskaičiuojant ar palyginant rezultatus su sistemos
apskaičiuotais (pateiktais) duomenimis ir įsitikinti, kad įdiegtos tinkamos kontrolės priemonės
(pvz. ar visada sistema nukelia debeto ar kredito įrašą į teisingą buhalterinę sąskaitą ir pan.).
Tikrinant apskaitą galima būtų patikrinti, ar teisingai sistema apskaičiuoja ilgalaikio turto
nusidėvėjimą pagal į ją įvestus duomenis, t.y. perskaičiuoti ir sulyginti;
Duomenų išvestis
Išvesti duomenys turi būti
laiku pateikti asmenims
turintiems tam įgaliojimus.
Išvesti duomenys turi būti
peržiūrimi
Ar įstaigoje yra nustatytas laikotarpis, už kurį
yra spausdinami apskaitos registrai ar kiti
duomenys?
Ar juos pasirašo atsakingi darbuotojai?
Pasidomėti, ar yra nustatyta įstaigoje, kad turi būti popieriniai dokumentai ir koks numatytas
laikas.
Galima pažiūrėti ant atspausdinti dokumento, ar yra spausdinimo laikas.
Kokios apsaugos priemonės taikomos išvestai
informacijai? Ar naudojamos žymos slaptai
informacijai?
Išsiaiškinti, ar yra įstaigoje informacija, kuri yra priskiriama slaptai informacijai. Jei taip,
nustatyti, ar yra nustatytos apsaugos priemonės, kad išvestinius duomenis gali išvesti tik tam
įgaliojimus turintys asmenys.
Priedai
52
Kontrolės paskirtis Klausimai Rekomendacijos, kaip tikrinti
Ar vartotojai turi galimybę išvesti visą jiems
reikalingą informaciją? Ar išvesti apskaitos
registrai yra informatyvūs, aiškūs ir
suprantami?
Paklausti darbuotojų, ar jie gali išvesti visus duomenis, kokių jiems reikia (būna atvejų, kai
darbuotojai būna nepatenkinti, kad programoje mato reikalingą informaciją, bet neturi galimybės
jos išvesti).
Ar buvo atvejų kai sistema formuoja klaidingas
ataskaitas?
Išsiaiškinti, ar yra kontroliuojama, kad išvestiniai (pvz. atspausdinti) duomenys(ataskaitos,
žiniaraščiai) atitiktų apskaitos dokumentų duomenis.
Ar atspausdinta informacija sutampa su esančia programoje, pvz. nėra nurodytas turto vienetas
atspausdintame turto sąraše, jei turto vertė 0. Ar radus klaidų jos operatyviai taisomos? Ar yra
apskaitos registrų taisymo tvarka? Ar radus klaidų yra atliekami taisymai ir spausdinami nauji
registrai bei užtikrinama, kad į finansines ataskaitas būtų perkelta ir informacijos vartotojams būtų
pateikta naujų (pataisytų) registrų informacija?
Klasifikatoriai (pastovūs duomenys)
Priėjimas prie mažai
kintančių (nuolatinių)
duomenų, jų keitimas ir
naudojimas turi būti
kontroliuojamas
Ar sistemoje sukurtos pasirinktys? Jei yra, tai prašoma darbuotojo, dirbančio su sistema, parodyti. Pasirinktys – kai nereikia suvesti
duomenų, o reikia rinktis iš jau įvestų duomenų sąrašo, pvz. įvedant duomenis pasirinkti iš sąrašo
datą, tiekėją, jo banko sąskaitą, prekės kodą, atskaitingą asmenį, darbuotoją, programą, išlaidų
straipsnį, buhalterinės apskaitos sąskaitą ir kita).
Kas turi teisę keisti klasifikatorių duomenis? Ar
atliktas funkcijų atskyrimas (darbuotojas
įvedantis ūkines operacijas negali įvesti
klasifikatorių duomenų)?
Paklausti, kas keičia klasifikatorių duomenis ir ar į sistemą įvedantis duomenis asmuo negali keisti
klasifikatoriaus duomenų (čia gali būti duomenys – valiutų kursai, nusidėvėjimo normatyvai,
tiekėjai, atskaitingi asmenys ir kita). Paklausti darbuotojų, kas įtraukia į sistemą mažai kintančius
duomenis, iš kurių yra atliekamos pasirinktys, ir kokia yra naujų duomenų (apie tiekėjus,
atskaitingus asmenis ir kita) įtraukimo tvarka. (pvz., jei tiekėjas X nėra įtrauktas į sistemą, tai
darbuotojas negalės pasirinkti X tiekėjo, todėl ir negalės įvesti šio X tiekėjo sąskaitos–faktūros
duomenų. Tai mažina klaidingų duomenų apie tiekėjus įvesties riziką. Jei atsiranda nauji tiekėjai,
tai turėtų būti tvarka, kas turi teisę įtraukti naują tiekėją į sistemą ir kas duoda leidimą įtraukti).
Ar parengtos tvarkos, reglamentuojančios klasifikatorių duomenų keitimą? Ar pakeitus
klasifikatorių duomenis vykdomas testavimas? Tas, kas įveda duomenis, turėtų pažiūrėti, ar
įvedus naują klasifikatorių, gerai ir tinkamai veikia sistema.
Ar daromos klasifikatorių duomenų peržiūros?
Kas jas atlieka?
Išsiaiškinti (pokalbis)
Priedai
53
Informacinių sistemų audito vadovo
4 priedas
Klausimynas IS bendrosios kontrolės vertinimui planuoti
IS bendrosios kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
1. PLANAVIMAS IR ORGANIZAVIMAS
1.1 Strateginio IT plano apibrėžimas:
PO1
1.1.1 Ar sudarytas įstaigos strateginis veiklos planas?
1.1.2 Ar sudaryta įstaigos IT/IS strategija (ar IT plėtros planas) ir jos įgyvendinimo veiklos planai?
1.1.2.1 Jeigu taip, kaip organizuojamas ir vykdomas IT/IS strateginis planavimas (kokiu pagrindu rengiamas IT strateginis planas, kas atsakingas už rengimą,
vykdymo stebėseną, atnaujinimą ir kt.)?
1.1.3 Ar vykdomi IT projektai ir darbai yra nurodyti IT/IS strategijoje ir veiksmų planuose?
1.2 Informacinės architektūros nustatymas:
PO2
1.2.1 Ar įstaiga yra sukūrusi duomenų klasifikatorių ir identifikavusi informacijos srautus tarp IS?
1.2.2 Nustatykite kokios įstaigoje naudojamos IS ir registrai.
1.2.3 Nurodykite valdomų informacinių išteklių kategorijas.
1.2.4 Nurodykite ryšius su kitų įstaigų IS ar registrais.
1.3 Technologinės krypties nustatymas:
PO3
1.3.1 Ar sukurti technologinės infrastruktūros plėtros planai?
1.3.2 Kuo remiantis minėti planai sudaromi? Ar įstaiga vadovaujasi technologiniais standartais?
1.3.3 Ar yra nustatyta programinės ir aparatinės įrangos pirkimų tvarka?
1.3.4 Ar įstaigoje įdiegtas ir naudojamas elektroninis parašas?
1.4 IT procesų, organizacinės struktūros ir ryšių apibrėžimas:
PO4 1.4.1 Ar įsteigtas IT strateginio planavimo komitetas? Jeigu taip, tai kokia jo sudėtis ir kokiu dokumentu reglamentuojama?
1.4.2 Ar įstaigoje veikia IS valdymo komitetas? Jeigu taip, kokia jo sudėtis ir kokiu dokumentu reglamentuojama?
1.4.3 Ar paskirti IS ir duomenų valdymo įgaliotiniai ir prižiūrėtojai? Ar visų IS, ar tik jų dalių?
SVARBU Klausimynas neskirtas pateikti audituojamam subjektui. Klausimyną pildo pats auditorius kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir
analizuodamas surinktus įrodymus.
Klausimynas sudarytas pagal ISACA IS audito gairių rekomendacijas ir COBIT IT valdymo metodiką, kuri leidžia įvertinti subjekto taikomų IS metodų visumą.
Priedai
54
IS bendrosios kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
1.4.4 Ar paskirtas informacijos saugos įgaliotinis (už informacijos saugą atsakingas asmuo)?
1.4.5 Ar paskirti už rizikos įvertinimą atsakingi darbuotojai?
1.4.6 Ar paskirtas duomenų įgaliotinis?
1.4.7 Kokia įstaigą IS/IT aptarnaujančio padalinio sudėtis ir struktūra, jo vieta įstaigos organizacinėje struktūroje? Išnagrinėkite darbuotojų pareigybių aprašymus.
1.5 IT investicijų valdymas:
PO5
1.5.1 Ar parengti metiniai IS pirkimo planai?
1.5.2 Kaip sudaromas IT biudžetas?
1.5.3 Kaip nustatomi IT investicijų prioritetai?
1.5.4 Kokiose Valstybės investicijų programose dalyvauja ar dalyvavo įstaiga audituojamu laikotarpiu? Su kuo programos yra ar buvo derinamos ir kokiomis
lėšomis finansuojamos?
1.5.5 Įvertinkite ar su Informacinės visuomenės plėtros komitetu prie Susisiekimo ministerijos suderinti IT investicijų projektai.
1.6 Vadovybės tikslų ir krypties komunikavimas:
PO6
1.6.1 Kokios politikos, tvarkos, taisyklės, procedūros, reglamentuojančios su IS susijusius procesus, yra parengtos ir patvirtintos?
1.6.2 Ar parengti ir su atitinkamomis institucijomis suderinti ir vadovybės patvirtinti saugos politikos dokumentai (Duomenų saugos nuostatai; Saugaus elektroninės
informacijos tvarkymo taisyklės; Informacinės sistemos veiklos tęstinumo valdymo planas; IS naudotojų administravimo taisyklės)?
1.6.3 Ar IS ir informacijos saugos politikos (nuostatai), tvarkos ir taisyklės taikomos ir kompiuterizuotoms finansinėms sistemoms?
1.6.4 Ar su įstaigos IT strategija, politika, tvarkomis, taisyklėmis ir procedūromis supažindinami vartotojai?
1.7 IT žmogiškųjų išteklių valdymas:
PO7 1.7.1 Nustatykite kurios IT pareigybės kritinės? Ar yra jų pakeičiamumo sąrašas, kaip jis apibrėžtas?
1.7.2 Ar numatytas personalo pakeičiamumas (gretutinės funkcijos)?
1.7.3 Ar vykdomi IT personalo mokymai?
1.8 Kokybės valdymas: PO8
1.8.1 Ar sukurta (įdiegta) kokybės valdymo sistema? Kokiu dokumentu reglamentuojama?
1.8.2 Ar remiamasi IT kokybės valdymo standartais?
1.9 IT rizikos vertinimas ir valdymas:
PO9 1.9.1 Ar yra įstaigos veiklos rizikos vertinimo procesas?
1.9.2 Ar atliekamas IT rizikos vertinimas? Ar sudarytas veiksmų planas nustatytai rizikai sumažinti?
1.10 Projektų valdymas:
PO10 1.10.1 Ar organizacija turi ir vadovaujasi projektų valdymo metodika?
1.10.2 Kokie IT projektai vykdomi audituojamu laikotarpiu?
1.10.3 Ar sudarytos projektų valdymo struktūros?
Priedai
55
IS bendrosios kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
1.10.4 Ar yra projekto vykdymo ir kokybės planas?
2. ĮSIGIJIMAS IR ĮDIEGIMAS
2.1 Automatizuotų sprendimų nustatymas:
AI1 2.1.1 Ar funkcinių padalinių poreikiai nustatomi prieš pradedant sistemos parinkimo ir diegimo projektą?
2.1.2 Kaip nustatomi ir pagrindžiami poreikiai? Ar jie patvirtinti?
2.1.3 Ar atlikta ekonominio pagrįstumo analizė ir įvertinti alternatyvūs sprendimai?
2.2 Taikomosios programinės įrangos įsigijimas ir priežiūra:
AI2
2.2.1 Ar audituojamu laikotarpiu buvo įsigyta ar sukurta naujos taikomosios programinės įrangos?
2.2.2 Ar patvirtintos IS specifikacijos?
2.2.3 Kokie pasirinkti IS kūrimo metodai?
2.2.4 Kada atlikti paskutiniai esminiai IS ar jos posistemių patobulinimai, atnaujinimai ar jų palaikymo pakeitimai? Trumpai aprašyti juos.
2.2.5 Kokie planuojami artimiausi esminiai IS ar jos posistemių patobulinimai, atnaujinimai ar jų palaikymo pakeitimai? Trumpai aprašyti juos.
2.3 Technologinės infrastruktūros įsigijimas ir priežiūra:
AI3 2.3.1 Ar audituojamu laikotarpiu buvo atnaujinta/išplėsta technologinė infrastruktūra, pasirašytos jos palaikymo sutartys?
2.3.2 Ar nustatyti IS infrastruktūros (operacinės sistemos ir t. t.), jos palaikymo reikalavimai?
2.3.3 Kas atlieka programinės ir techninės įrangos įdiegimo darbus? Kur tai aprašyta?
2.4 Pasirengimas naudojimui:
AI4 2.4.1 Ar yra darbo su IS ar jos posistemėmis vartotojų ir (ar) administratorių vadovai?
2.4.2 Ar diegiant IS suplanuoti mokymai IS naudotojams ir administratoriams?
2.5 IT išteklių įsigijimas:
AI5 2.5.1 Kaip organizuojami pirkimai (vidaus tvarkos, atsakingi asmenys ir t. t.)? Kokie viešieji pirkimai buvo įgyvendinti audituojamu laikotarpiu?
2.5.2 Kaip vykdomas tiekėjų sutarčių valdymas?
2.6 Pokyčių valdymas:
AI6 2.6.1 Ar sukurta pokyčių valdymo tvarka arba procedūra?
2.6.1.1 Jei nėra pokyčių valdymo procedūrų:
2.6.1.1.1 Kaip inicijuojami pokyčiai?
2.6.1.1.2 Ar vyksta pokyčių stebėjimas ir fiksavimas?
2.7 Sprendimų ir pokyčių diegimas ir akreditavimas:
AI7
2.7.1 Kaip mokomi darbuotojai (IS vartotojai, administratoriai), įstaigoje įdiegus naują IS arba atliekant esamų IS ir jų komponentų pakeitimus? Ar sudaromi
mokymų planai?
2.7.2 Kaip atliekami naujai įdiegtų arba esamų IS ir jų komponentų pakeitimų bandymai (testavimas)? Ar sudaromi bandymų (testavimo) planai?
2.7.3 Ar nustatyta IS ir jų komponentų bandymų (testavimo) metodika, tvarkos ir taisyklės?
Priedai
56
IS bendrosios kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
2.7.4 Kaip naujai įdiegtos arba esamų IS ir jų komponentų pakeitimai parengiami nuolatinei eksploatacijai?
2.7.5 Ar atliekama naujai įdiegtų IS arba esamų IS ir jų komponentų pakeitimų peržiūra baigus diegimo procedūras?
3. TEIKIMAS IR PALAIKYMAS
3.1 Paslaugų lygių apibrėžimas ir valdymas:
DS1 3.1.1 Ar nustatytas IT aptarnavimo lygis ir IT paslaugų tiekimo procedūros?
3.1.2 Kaip valdomas tiekėjų aptarnavimo lygis ir paslaugų tiekimas?
3.1.3 Kaip matuojami pagrindiniai IT veiklos rodikliai, kaip jie reglamentuojami?
3.2 Trečiųjų šalių paslaugų valdymas:
DS2
3.2.1 Ar audituojamas subjektas turi IT sutarčių, veiklų su trečiosiomis šalimis, kokių?
3.2.2 Ar yra tvarkos ir taisyklės, reglamentuojančios IT santykius su trečiosiomis šalimis (pvz.: aptariamos sąvokos, problemų valdymas, saugumas, paslaugų
atlikimo laikas, kokybės standartai, atsakomybės ribos ir pan.)?
3.2.3 Ar sudaromas išorinių IT paslaugų tiekėjų sąrašas?
3.3 Veiklos efektyvumo ir pajėgumo valdymas:
DS3 3.3.1 Ar atliekamas IT išteklių panaudojimo (pajėgumo) stebėjimas?
3.3.2 Ar nustatyti IS pasiekiamumo ir funkcionavimo reikalavimai? Ar sudaromos IS funkcionavimo ir pasiekiamumo ataskaitos?
3.3.3 Ar institucija turi parengusi IS pasiekiamumo, pajėgumo, apkrovos ir išteklių planus?
3.4 Nepertraukiamo paslaugų teikimo užtikrinimas:
DS4
3.4.1 Ar institucija turi IS veiklos tęstinumo valdymo ir atstatymo po nenumatyto atvejo planus?
3.4.2 Ar nustatyti svarbiausi (kritiniai) IT procesai ir ištekliai, ar atlikta IS ir jų elementų klasifikacija?
3.4.3 Ar institucija turi duomenų archyvavimo/atsarginių kopijų darymo tvarką?
3.4.4 Kas paskirtas atsakingas už IS/IT veiklos tęstinumą ar atstatymą po nenumatyto atvejo?
3.5 Sistemų saugos užtikrinimas:
DS5
3.5.1 Kokia saugos organizavimo struktūra (pvz.: įsteigtas saugos komitetas, sudaryta saugos darbo grupė, paskirtas saugos įgaliotinis ir kt.)?
3.5.2 Ar institucija vadovaujasi saugos standartais (pvz.: ISO/IEC 17799, ISO/IEC 27001 ir pan.)? Nurodykite keletą pavyzdžių.
3.5.3 Ar sudarytas saugos užtikrinimo (plėtros) arba saugos strateginis planas?
3.5.4 Ar institucija turi dokumentus, reglamentuojančių IS/IT saugumo politiką (pvz.: duomenų saugos nuostatus, Saugaus elektroninės informacijos tvarkymo
taisykles, IS naudotojų administravimo taisykles ir pan.)?
3.5.5 Ar patvirtintos tvarkos ir taisyklės, reglamentuojančios ir užtikrinančios IS/IT saugą (pvz.: saugumo reikalavimų laikymosi, išorės ryšių saugumo, ugniasienės,
el. pašto, nešiojamųjų ar stacionarių kompiuterių saugumo, interneto naudojimo ir pan.)?
3.5.6 Kaip nustatoma prieiga prie IS ir įstaigos kompiuterizuotų darbo vietų?
3.5.7 Ar institucija turi dokumentų, reglamentuojančių IS ar jos komponentų naudotojų įgaliojimų, teisių ir pareigų nustatymo procesus?
Priedai
57
IS bendrosios kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
3.5.8 Kokiomis priemonėmis nustatoma IS naudotojų ir įstaigos kompiuterizuotų darbo vietų tapatybė?
3.5.9 Ar nustatyti IS ir įstaigos kompiuterizuotų darbo vietų naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai?
3.5.10 Ar nustatyta, kas institucijoje laikoma saugos incidentu?
3.5.11 Kaip užtikrinamas IS ir kompiuterizuotose darbo vietose atliktų veiksmų atsekamumas?
3.5.12 Ar stebimi neleistini bandymai prisijungti prie IS ir įstaigos kompiuterizuotų darbo vietų? Kas turi prieigą prie šių duomenų, kas juos peržiūri?
3.5.13 Kaip saugoma IS ir IT infrastruktūra nuo nesankcionuoto išorinio įsiskverbimo?
3.5.14 Ar institucija turi priemonių, užtikrinančių įsilaužimo (įsiskverbimo) stebėseną?
3.5.15 Ar saugomi/registruojami IS pažeidžiamumo rezultatai, ar yra nustatyti stebėsenos rezultatų saugojimo terminai?
3.5.16 Ar buvo atliktas (atliekamas) IS pažeidžiamumo testavimas?
3.5.17 Ar naudojamos šifravimo priemonės (raktai) perduodamos elektroninės informacijos apsaugai?
3.5.18 Kaip saugomasi nuo virusų ir kitos kenksmingos programinės įrangos?
3.5.19 Kokios įdiegtos tinklo stebėjimo ir saugumo užtikrinimo priemonės?
3.5.20 Ar IS tvarkomi duomenys su žyma? Kokiomis priemonėmis jie apdorojami?
3.6 Sąnaudų nustatymas ir paskirstymas:
DS6 3.6.1 Ar yra IT sąnaudų nustatymo ir jų priskirimo veiklos padalinių sąnaudoms tvarka?
3.6.2 Ar paskirtas už IT turtą atsakingas asmuo (asmenys)?
3.6.3 Ar organizacijoje sudaromas programinės įrangos sąrašas?
3.7 Naudotojų švietimas ir mokymas:
DS7 3.7.1 Kaip nustatomi IS vartotojų mokymo poreikiai?
3.7.2 Ar rengiami IT mokymo planai?
3.8 Pagalbos tarnybos ir incidentų valdymas/ Problemų valdymas:
DS8/DS10 3.8.1 Ar įkurta IT Pagalbos tarnyba?
3.8.2 Ar fiksuojami IS įvykę incidentai? Jei taip – pateikite paskutinio laikotarpio incidentų registravimo ataskaitą (suvestinę).
3.8.3 Ar yra incidentų fiksavimo ir stebėsenos procedūra?
3.9 Konfigūracijos valdymas:
DS9 3.9.1 Ar nusistatyta IS bazinė konfigūracija?
3.9.2 Ar IT personalas turi detalų aparatinės, programinės ir telekomunikacijos įrangos sąrašą (planus)?
3.9.3 Ar nustatytas standartinės darbo vietos programinė įrangos sąrašas?
3.10 Duomenų valdymas: DS11
3.10.1 Ar parengta tvarka (tvarkos) dėl elektroninės informacijos apdorojimo (įvesties/ išvesties, ataskaitų spausdinimo ir platinimo, archyvavimo)?
Priedai
58
IS bendrosios kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
3.10.2 Ar automatizuotai tvarkomi asmens duomenys ne tik vidaus administravimo tikslams? Kokie numatyti reikalavimai jų tvarkymui?
3.11 Fizinės aplinkos valdymas:
DS12 3.11.1 Ar įdiegtos aparatinės, sisteminės programinės įrangos ir informacinių išteklių fizinės apsaugos priemonės?
3.11.2 Ar paskirtas už fizinę saugą atsakingas asmuo?
3.12 Procesų valdymas:
DS13
3.12.1 Ar IT padalinys turi darbo grafikus (veiklos planus)?
3.12.2 Ar naudojamas IS eksploatacijos žurnalas?
3.12.3 Ar atliekama periodinė IT išteklių naudojimo analizė (pvz., išlaidos IT eksploatacijai)?
4. STEBĖSENA IR VERTINIMAS
4.1 IT veiklos stebėsena ir vertinimas:
ME1 4.1.1 Ar organizacija yra nustačiusi pagrindinius veiklos kriterijus (rodiklius) dėl IT procesų vertinimo?
4.1.2 Ar vykdoma vartotojų (IS naudotojų) apklausa? Ar gauta informacija analizuojama?
4.1.3 Kaip IT padalinys atsiskaito vadovybei?
4.2 Vidaus kontrolės stebėsena ir vertinimas:
ME2
4.2.1 Ar vidaus auditoriai kas 3 metai vertina institucijos IS vidaus kontrolę?
4.2.2 Kaip užtikrinama kontrolė po audito?
4.2.3 Ar buvo vykdyta IT savianalizė (savo veiklos įvertinimas)?
4.2.4 Ar atliekamas saugos atitikties vertinimas?
4.3 Atitikties išorės reikalavimams užtikrinimas:
ME3 4.3.1 Kokie pagrindiniai išoriniai reikalavimai?
4.3.2 Ar yra tvarka ir procedūra, užtikrinanti atitiktį išoriniams reikalavimams? Kas IT informuoja apie sritį reglamentuojančių teisės aktų pokyčius?
4.4 IT valdymo užtikrinimas
ME4 4.4.1 Kaip organizuojamas IT valdymas (metodika, principai)?
4.4.2 Kas iš vadovybės atsakingas už IT valdymą?
Priedai
59
Informacinių sistemų audito vadovo
5 priedas
(2014-11-27 Nr. V-206).
Klausimynas IS bendrosios ir kūrimo kontrolės vertinimui planuoti
Kūrimo kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
1. SUSIPAŽINTI SU IS KŪRIMO APLINKA
1.1 Suprasti IS kūrimo aplinką:
1.1.1 Koks taikytas IS įsigijimo / kūrimo būdas, technologija, dydis, tikslai ir numatomas naudojimo būdas?
1.1.2 Kokia IS projekto struktūra įsigijimo ir diegimo požiūriu?
1.1.3 Ar pakankama projekto grupės darbuotojų patirtis valdyti IS kūrimą?
1.1.4 Kokiame IS gyvavimo ciklo (SKGC) etape yra kuriama sistema?
1.1.5 Kokia yra rizika, galinti paveikti IS kūrimo eigą, vadovybės nerimai arba numatomos problemos?
1.1.6 Ar yra atliktos ankstesnių IS gyvavimo ciklo (SKGC) etapų peržiūros?
1.1.7 Ar yra kitų auditorių ar asmenų (pavyzdžiui, IT) rizikos įvertinimai / peržiūros, susijusios su IS kūrimu? Ar galima pasitikėti kitų asmenų atliktu
vertinimu?
1.1.8 Ar yra kitų panašių į kuriamą IS kūrimo peržiūrų?
1.1.9 Koks IS naudotojų skaičius?
1.2 Suprasti bendrųjų IT kontrolės priemonių aplinką.
Atliekant IS kūrimo kontrolės vertinimo planavimą rekomenduojama paklausti šiuos klausimus apie bendrąją IT kontrolės priemonių aplinką:
1.2.1 IT investicijų valdymas:
1.2.1.1 Ar parengti metiniai IS pirkimo planai?
1.2.1.2 Kaip sudaromas IT biudžetas?
1.2.1.3 Kaip nustatomi IT investicijų prioritetai?
1.2.1.4 Kokiose Valstybės investicijų programose dalyvauja ar dalyvavo įstaiga audituojamu laikotarpiu? Su kuo programos yra ar buvo derinamos ir
kokiomis lėšomis finansuojamos?
1.2.1.5 Patikrinti su Informacinės visuomenės plėtros komitetu prie Susisiekimo ministerijos suderintų IT investicijų projektų sąrašą (aprašymus)
PO5
SVARBU Klausimynas neskirtas pateikti audituojamam subjektu, jį pildo pats auditorius, kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir
analizuodamas surinktus įrodymus.
Klausimynas sudarytas pagal ISACA IS audito gairių rekomendacijas ir COBIT IT valdymo metodiką, kuri leidžia įvertinti subjekto taikomų IT metodų visumą.
Priedai
60
Kūrimo kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
1.2.2 IT žmogiškųjų išteklių valdymas:
1.2.2.1 Pasiimkite IT personalo pareiginius aprašymus.
1.2.2.2 Nustatykite kurios pareigybės kritinės? Ar yra jų pakeičiamumo sąrašas, kaip jis apibrėžtas?
1.2.2.3 Ar numatytas personalo pakeičiamumas (gretutinės funkcijos)?
1.2.2.4 Ar vykdomi IT personalo mokymai?
PO7
1.2.3 Kokybės valdymas:
1.2.3.1 Ar sukurta (įdiegta) kokybės valdymo sistema? Kokiu dokumentu reglamentuojama?
1.2.3.2 Ar remiamasi IT kokybės valdymo standartais?
PO8
1.2.4 Projektų valdymas:
1.2.4.1 Ar organizacija turi ir vadovaujasi projektų valdymo metodika?
1.2.4.2 Kokie IT projektai vykdomi audituojamu laikotarpiu?
1.2.4.3 Ar sudarytos projektų valdymo struktūros?
1.2.4.4 Ar yra projekto vykdymo ir kokybės planas?
PO10
1.2.5 Automatizuotų sprendimų nustatymas:
1.2.5.1 Ar funkcinių padalinių poreikiai nustatomi prieš pradedant IS parinkimo ir diegimo projektą?
1.2.5.2 Kaip nustatomi ir pagrindžiami poreikiai? Ar jie patvirtinti?
1.2.5.3 Ar atlikta ekonominio pagrįstumo analizė ir įvertinti alternatyvūs sprendimai?
AI1
1.2.6 Taikomosios programinės įrangos įsigijimas ir priežiūra:
1.2.6.1 Ar audituojamu laikotarpiu buvo įsigyta ar sukurta naujos taikomosios programinės įrangos?
1.2.6.2 Ar yra patvirtintų IS specifikacijų?
1.2.6.3 Išvardyti pasirinktus IS kūrimo metodus.
1.2.6.4 Kada atlikti paskutiniai esminiai IS ar jos posistemių patobulinimai, atnaujinimai ar jų palaikymo pakeitimai? Trumpai aprašyti juos.
1.2.6.5 Kokie planuojami artimiausi esminiai IS ar jos posistemių patobulinimai, atnaujinimai ar jų palaikymo pakeitimai? Trumpai aprašyti juos.
AI2
1.2.7 Technologinės infrastruktūros įsigijimas ir priežiūra:
1.2.7.1 Ar audituojamu laikotarpiu buvo atnaujinta/išplėsta technologinė infrastruktūra, pasirašytos jos palaikymo sutartys?
1.2.7.2 Ar nustatyti IS infrastruktūros (operacinės sistemos ir t. t.), jos palaikymo reikalavimai?
1.2.7.3 Kas atlieka programinės ir techninės įrangos įdiegimo darbus? Kur tai aprašyta?
AI3
1.2.8 Pasirengimas naudojimui:
1.2.8.1 Ar yra darbo su IS ar jos posistemėmis vartotojų ir (ar) administratorių vadovai?
1.2.8.2 Ar diegiant IS buvo suplanuoti mokymai IS naudotojams ir administratoriams?
AI4
1.2.9 IT resursų įsigijimas:
1.2.9.1 Kaip organizuojami pirkimai (vidaus tvarkos, atsakingi asmenys ir t. t.)? AI5
Priedai
61
Kūrimo kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
1.2.9.2 Kokie viešieji pirkimai buvo įgyvendinti audituojamu laikotarpiu?
1.2.9.3 Kaip vykdomas tiekėjų sutarčių valdymas?
1.2.10 Pokyčių valdymas:
1.2.10.1 Ar sukurta pokyčių valdymo tvarka arba procedūra?
1.2.10.2 Jei nėra pokyčių valdymo procedūrų:
1.2.10.2.1 Kaip inicijuojami pokyčiai?
1.2.10.2.2 Ar vyksta pokyčių stebėjimas ir fiksavimas?
AI6
1.2.11 Sprendimų ir pokyčių diegimas ir akreditavimas:
1.2.11.1 Kaip mokomi darbuotojai (IS vartotojai, administratoriai), įstaigoje įdiegus naują IS arba atliekant esamų IS ir jų komponentų pakeitimus? Ar
sudaromi mokymų planai?
1.2.11.2 Kaip atliekami naujai įdiegtų arba esamų IS ir jų komponentų pakeitimų bandymai (testavimas)? Ar sudaromi bandymų (testavimo) planai?
1.2.11.3 Ar nustatyta IS ir jų komponentų bandymų (testavimo) metodika, tvarkos ir taisyklės?
1.2.11.4 Kaip naujai įdiegtos arba esamų IS ir jų komponentų pakeitimai parengiami nuolatinei eksploatacijai?
1.2.11.5 Ar atliekama naujai įdiegtų IS arba esamų IS ir jų komponentų pakeitimų peržiūra baigus diegimo procedūras?
AI7
1.2.12 Paslaugų lygių apibrėžimas ir valdymas:
1.2.12.1 Ar nustatytas IT aptarnavimo lygis ir IT paslaugų tiekimo procedūros (nustatytos IT paslaugų tiekimo procedūros ir IT paslaugų kokybės
reikalavimai)?
1.2.12.2 Kaip valdomas tiekėjų aptarnavimo lygis ir paslaugų tiekimas?
1.2.12.3 Kaip matuojami pagrindiniai IT veiklos rodikliai, kaip jie reglamentuojami?
DS1
1.2.13 Trečiųjų šalių paslaugų valdymas:
1.2.13.1 Ar audituojamas subjektas turi IT sutarčių, veiklų su trečiosiomis šalimis, kokių?
1.2.13.2 Ar yra tvarkos ir taisyklės, reglamentuojančios IT santykius su trečiosiomis šalimis (pvz.: aptariamos sąvokos, problemų valdymas, saugumas,
paslaugų atlikimo laikas, kokybės standartai, atsakomybės ribos ir pan.)?
1.2.13.3 Ar sudaromas išorinių IT paslaugų tiekėjų sąrašas?
DS2
1.2.14 Veiklos efektyvumo ir pajėgumo valdymas:
1.2.14.1 Ar atliekamas IT išteklių panaudojimo (pajėgumo) stebėjimas?
1.2.14.2 Ar nustatyti IS pasiekiamumo ir funkcionavimo reikalavimai? Ar sudaromos IS funkcionavimo ir pasiekiamumo ataskaitos?
1.2.14.3 Ar institucija turi parengusi IS pasiekiamumo, pajėgumo, apkrovos ir išteklių planus?
DS3
1.2.15 Nepertraukiamo paslaugų teikimo užtikrinimas:
1.2.15.1 Ar institucija turi IS veiklos tęstinumo valdymo ir atstatymo po nenumatyto atvejo planus?
1.2.15.2 Ar nustatyti svarbiausi (kritiniai) IT procesai ir ištekliai, ar atlikta IS ir jų elementų klasifikacija?
1.2.15.3 Ar institucija turi duomenų archyvavimo/atsarginių kopijų darymo tvarką?
1.2.15.4 Kas paskirtas atsakingas už IS/IT veiklos tęstinumą ar atstatymą po nenumatyto atvejo?
DS4
Priedai
62
Kūrimo kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
1.2.16 Sistemų saugos užtikrinimas:
1.2.16.1 Kokia saugos organizavimo struktūra (pvz.: įsteigtas saugos komitetas, sudaryta saugos darbo grupė, paskirtas saugos įgaliotinis ir kt.)?
1.2.16.2 Ar institucija vadovaujasi saugos standartais (pvz.: LST ISO/IEC 27001:2006, LST ISO/IEC 27002:2009 ir pan.)?
1.2.16.3 Ar sudarytas saugos užtikrinimo (plėtros) arba saugos strateginis planas?
1.2.16.4 Ar yra dokumentai, reglamentuojantys IS/IT saugumo politiką (pvz.: duomenų saugos nuostatus, Saugaus elektroninės informacijos tvarkymo
taisykles, IS naudotojų administravimo taisykles ir pan.)?
1.2.16.5 Ar patvirtintos tvarkos ir taisyklės, reglamentuojančios ir užtikrinančios IS/IT saugą (pvz.: saugumo reikalavimų laikymosi, išorės ryšių saugumo,
ugniasienės, el. pašto, nešiojamųjų ar stacionarių kompiuterių saugumo, interneto naudojimo ir pan.)?
1.2.16.6 Kaip nustatoma prieiga prie IS ir įstaigos kompiuterizuotų darbo vietų?
1.2.16.7 Ar institucija turi dokumentų, reglamentuojančių IS ar jos komponentų naudotojų įgaliojimų, teisių ir pareigų nustatymo procesus?
1.2.16.8 Kokiomis priemonėmis nustatoma IS naudotojų ir įstaigos kompiuterizuotų darbo vietų tapatybė?
1.2.16.9 Ar nustatyti IS ir įstaigos kompiuterizuotų darbo vietų naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai?
1.2.16.10 Ar nustatyta, kas institucijoje laikoma saugos incidentu?
1.2.16.11 Kaip užtikrinamas IS ir kompiuterizuotose darbo vietose atliktų veiksmų atsekamumas?
1.2.16.12 Ar stebimi neleistini bandymai prisijungti prie IS ir įstaigos kompiuterizuotų darbo vietų? Kas turi prieigą prie šių duomenų, kas juos peržiūri?
1.2.16.13 Kaip saugoma IS ir IT infrastruktūra nuo nesankcionuoto išorinio įsiskverbimo?
1.2.16.14 Ar institucija turi priemonių, užtikrinančių įsilaužimo (įsiskverbimo) stebėseną?
1.2.16.15 Ar saugomi/registruojami IS pažeidžiamumo rezultatai, ar yra nustatyti stebėsenos rezultatų saugojimo terminai?
1.2.16.16 Ar buvo atliktas (atliekamas) IS pažeidžiamumo testavimas?
1.2.16.17 Ar naudojamos šifravimo priemonės (raktai) perduodamos elektroninės informacijos apsaugai?
1.2.16.18 Kaip saugomasi nuo virusų ir kitos kenksmingos programinės įrangos?
1.2.16.19 Kokios įdiegtos tinklo stebėjimo ir saugumo užtikrinimo priemonės?
1.2.16.20 Ar IS tvarkomi duomenys su žyma? Kokiomis priemonėmis jie apdorojami?
DS5
1.2.17 Naudotojų švietimas ir mokymas:
1.2.17.1 Ar ir kaip nustatomi IS vartotojų mokymo poreikiai?
1.2.17.2 Ar rengiami IT mokymo planai?
DS7
1.2.18 IT veiklos stebėsena ir vertinimas:
1.2.18.1 Ar organizacija yra nustačiusi pagrindinius veiklos kriterijus (rodiklius) dėl IT procesų vertinimo?
1.2.18.2 Ar vykdoma vartotojų (IS naudotojų) apklausa? Ar gauta informacija analizuojama?
1.2.18.3 Kaip IT padalinys atsiskaito vadovybei?
ME1
1.2.19 Vidaus kontrolės stebėsena ir vertinimas:
1.2.19.1 Ar vidaus auditoriai kas 3 metai vertina institucijos IS vidaus kontrolę? ME2
Priedai
63
Kūrimo kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
1.2.19.2 Kaip užtikrinama kontrolė po audito?
1.2.19.3 Ar buvo vykdyta IT savianalizė (savo veiklos įvertinimas)?
1.2.19.4 Ar atliekamas saugos atitikties vertinimas?
1.2.20 Atitikties išorės reikalavimams užtikrinimas:
1.2.20.1 Kokie pagrindiniai išoriniai reikalavimai?
1.2.20.2 Ar yra tvarka ir procedūra, užtikrinanti atitiktį išoriniams reikalavimams? Kas IT informuoja apie sritį reglamentuojančių teisės aktų pokyčius?
ME3
2. IŠSAMIAI SUSIPAŽINTI SU KURIAMA IS IR KŪRIMO PROCESO REZULTATAIS
2.1 Surinkti informaciją ir/ar dokumentus, kurie padėtų visapusiškai suprasti IS kūrimo aplinką šiose srityse
2.1.1 Ar yra pagrindiniai kūrimo dokumentai (IS projekto planas, IS nuostatai, specifikacija) ir ar jie atspindi IS kūrimo eigą ir rezultatus:
2.1.1.1 Peržiūrėkite IS vartotojams keliamus reikalavimus;
2.1.1.2 Peržiūrėkite rankines ir IS kontrolės priemones.
AI2
2.1.2 Kiek išleista pinigų kuriant IS, kokie pasiekti kūrimo rezultatai ar nauda? PO5
2.1.3 Išnagrinėkite projekto struktūrą, įskaitant visas darbo grupes, priežiūros grupes ir joms priskirtinus vaidmenis bei pareigas.
2.1.4 Surinkite informaciją apie IS kūrimo svarbių susirinkimų protokolus, pavyzdžiui, darbo grupių arba priežiūros grupių susirinkimų protokolus, nustatykite
galimas problemas.
PO10
2.1.5 Išnagrinėkite IS kūrimui taikomą projekto valdymo metodiką (pvz., PRINCE2) ir ar ji tinkamai taikoma projekto metu. PO10
2.1.6 Išnagrinėkite IS kūrimo metodiką pavyzdžiui, „krioklio“ (waterfall), prototipo, CASE ir kt. ir ar ji tinkamai taikoma kūrimo metu. AI2
2.1.7 Išnagrinėkite sutartis su tiekėjais kuriant IS:
2.1.7.1 Su IS kūrimu susijusių pirkimo ir paslaugų teikimo sutarčių sąrašai.
2.1.7.2 Sutartys su paslaugų teikėjais dėl jiems perleistų paslaugų teikimo, pavyzdžiui, IS pritaikymo ir / arba kūrimo paslaugos.
DS2
2.1.8 Surinkite informaciją apie IS gyvavimo ciklo (SKGC) kontrolės procesų patikrinimo, pritarimo ir patvirtinimo rezultatus ir nustatykite ar šie darbai
tinkamai atlikti. Patikrinkite rezultatų ir jų peržiūros ir patvirtinimo dokumentaciją.
2.1.9 Peržiūrėkite kūrimo veiksmų eiliškumą kiekvieno etapo pabaigoje.
AI1-7
2.1.10 Peržiūrėkite IS kūrimo projekto ataskaitas, pažangos dokumentacija (pastangos, laikas ir sąnaudos) ir pagal tai sudarykite IS kūrimo skalę.
2.1.11 Peržiūrėkite, kaip vykdomas IS kūrimo rizikos valdymas, kokybės valdymas ir užtikrinimas. PO8, PO9
2.1.12 Peržiūrėkite, kaip vykdomas IS kūrimo pokyčių valdymas. AI6
2.1.13 Peržiūrėkite, kaip vykdomas veiklos ir problemų valdymas, įskaitant susitarimus dėl paslaugos lygio (SLA). DS1
2.1.14 Peržiūrėkite, kaip vykdomas konfigūracijos valdymas. DS9
2.1.15 Peržiūrėkite, kaip vykdoma duomenų konversija / migracija.
2.1.16 Peržiūrėkite su projekto vidaus peržiūromis, įskaitant bandymus, susijusią dokumentaciją.
2.1.17 Išnagrinėkite IS testavimo planus.
2.1.18 Peržiūrėkite bendravimą projekto viduje ir su tiekėjais. PO10
Priedai
64
Kūrimo kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
2.1.19 Peržiūrėkite teisės, reguliavimo ir politikos aspektus, kuriuos būtina atitikti, kuriant IS.
2.2 Pateikite IS kūrimo proceso pirminę analizę
2.2.1 Planavimas – IS kūrimo projekto plano tinkamumas ir sąnaudų /naudos analizė.
2.2.2 Projektavimas – Projekto (angl. design) kontrolės priemonių tinkamumas ir audituojamumas.
2.2.3 Testavimas – Testavimo strategijos tinkamumas ir testų nuoseklumas.
2.2.4 Diegimas – Sistemos tinkamumas ir vartotojų aplinkos sukūrimas.
2.2.5 Sukurta sistema – naudojamos sistemos efektyvumas ir rezultatyvumas, bei atitiktis pirminiams kriterijams.
Priedai
65
Informacinių sistemų audito vadovo
6 priedas
(2014-11-27 Nr. V-206).
Klausimynas IS taikymo kontrolės vertinimui planuoti
Taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
3. SUSIPAŽINTI SU SUBJEKTO TAIKOMŲJŲ PROGRAMŲ VEIKLOS APLINKA
3.1 Suprasti taikomųjų programų veiklos aplinkybes:
3.1.1 Identifikuoti subjekto veiklos procesų ir duomenų savininkus, atsakingus už taikomąją programą.
3.1.2 Įvertinti taikomosios programos svarbą subjekto veiklai ir jos paskirtį. Pasiimkite iš subjekto IS funkcinę specifikaciją.
3.1.3 Nustatyti, ar taikomąją programą subjektas kūrė pats ar įsigijo ir, ar sukurtą taikomąją programą subjektas palaiko pats, ar ji palaikoma iš išorės (perkamos
paslaugos, palaikymo sutartis su kitu subjektu ar kt.) Jei šias paslaugas teikia išorės šalys, įvertinti kokį taikomosios programos palaikymą turi subjektas ir kokios
garantijas.
3.1.4 Nustatyti kokias veiklos atliekamas funkcijas vykdo taikomoji programa ir nustatyti jos sąsajas su kitomis programomis. Nustatyti kokios taikomojoje
programoje taikomos kontrolės priemonės ir jei įmanoma nustatyti kokie taikomų kontrolės priemonių apribojimai.
3.1.5 Nustatyti, kurie veiklos procesai yra kritiniai taikomosios programos veiklai.
3.1.6 Nustatyti kokie taikomajai programai taikomi išoriniai reikalavimai.
3.1.7 Nustatyti, ar kiti subjekto struktūrinių padalinių vadovai, tiesiogiai nesusiję su taikomosios programos veikla, turi pastebėjimų ar mato jos veiklos problemas.
3.2 Suprasti taikomosios programos funkcionavimą.
Išsiaiškinti, kaip taikomosios programos padeda kompiuterizuoti veiklos funkcijas: pradedant duomenų įvestimi ir baigiant duomenų išvestimi, jų saugojimu. Kaip
valdomos taikomosios programos pagrindinių duomenų bylos.
3.3 Suprasti taikomosios programos techninę infrastruktūrą:
3.3.1 Surinkti informaciją ir/ar dokumentus, kurie padėtų suprasti kokią įtaką taikomosios programos veiklai turi techninė infrastruktūra šiose srityse:
3.3.1.1 Veikimo principas (pvz., kliento-serverio architektūra).
3.3.1.2 Tinklas (intranetas, internetas arba ekstranetas), bevielis arba laidinis.
3.3.1.3 Sandorio procesorius (programinė ir/ar aparatinė įranga, skirta sandorių duomenų apdorojimui, pvz.: sandorių serveris – tai vartotojų informacijos kontrolės
sistema (angl. Customer Information Control System, CICS) arba informacijos valdymo sistema (angl. – Information Management System, IMS).
SVARBU Klausimynas neskirtas pateikti audituojamam subjektui, jį pildo pats auditorius kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir
analizuodamas surinktus įrodymus.
Klausimynas sudarytas pagal ISACA IS audito gairių rekomendacijas ir COBIT IT valdymo metodiką, kuri leidžia įvertinti subjekto taikomų IT metodų visumą.
Priedai
66
Taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
3.3.1.4 Kompiuterizuotos darbo vietos (stacionarus kompiuteris/ delninukas/ nešiojamas kompiuteris / specialūs prietaisai).
3.3.1.5 Operacinės sistemos (IBM Mainframe, Unix / Linux, Windows, kitos).
3.3.1.6 Duomenų bazių valdymo sistemos (Oracle, DB2, IMS, SQL Server, kitos).
3.3.1.7 Nuosava ar palaikoma iš išorės (perkamos paslaugos, palaikymo sutartis su kitu subjektu ar kt.) techninė infrastruktūra.
3.3.1.8 Programa veikia realiu laiku, kaupia ir vėliau perduoda visus duomenis ir / arba duomenų paketą.
3.3.1.9 Techninės infrastruktūros testavimas ir plėtra.
3.4 Suprasti pokyčių įtaką taikomosios programos veiklai:
3.4.1 Nustatyti planuojamus pasikeitimus, problemines sritis ir kitas veiklos problemas, kurios turėtų įtakos taikomosios programos kontrolės vertinimui ir įvertinti
jų poveikį.
3.4.2 Surinkti ir išnagrinėti paskutinio laikotarpio taikomosios programos sisteminių užklausų, incidentų ataskaitų ir problemos žurnalų įrašus. Nustatyti pagrindines
taikomosios programos problemas.
3.5 Suprasti bendrųjų IT kontrolės priemonių aplinką.
Atliekant taikomųjų programų kontrolės vertinimo planavimą rekomenduojama paklausti šiuos klausimus apie bendrąją IT kontrolės priemonių aplinką:
Pagrindiniai procesai:
3.5.1 IT rizikos vertinimas ir valdymas:
3.5.1.1 Ar yra įstaigos veiklos rizikos vertinimo procesas?
3.5.1.2 Ar atliekamas IT rizikos vertinimas?
3.5.1.3 Ar sudarytas veiksmų planas nustatytai rizikai sumažinti?
PO9
3.5.2 Automatizuotų sprendimų nustatymas:
3.5.2.1 Ar funkcinių padalinių poreikiai nustatomi prieš pradedant IS parinkimo ir diegimo projektą?
3.5.2.2 Kaip nustatomi ir pagrindžiami poreikiai? Ar jie patvirtinti?
3.5.2.3 Ar atlikta ekonominio pagrįstumo analizė ir įvertinti alternatyvūs sprendimai?
AI1
3.5.3 Taikomosios programinės įrangos įsigijimas ir priežiūra:
3.5.3.1 Ar audituojamu laikotarpiu buvo įsigyta ar sukurta naujos taikomosios programinės įrangos?
3.5.3.2 Išvardyti pasirinktus IS kūrimo metodus.
3.5.3.3 Kada atlikti paskutiniai esminiai IS ar jos posistemių patobulinimai, atnaujinimai ar jų palaikymo pakeitimai? Trumpai aprašyti juos.
3.5.3.4 Kokie planuojami artimiausi esminiai IS ar jos posistemių patobulinimai, atnaujinimai ar jų palaikymo pakeitimai? Trumpai aprašyti juos.
3.5.3.5 Ar yra įstaigos veiklos rizikos vertinimo procesas?
AI2
3.5.4 Pasirengimas naudojimui:
3.5.4.1 Ar yra darbo su IS ar jos posistemėmis (pridėkite) vartotojų ir (ar) administratorių vadovai?
3.5.4.2 Ar diegiant IS suplanuoti mokymai IS naudotojams ir administratoriams?
AI4
3.5.5 Sprendimų ir pokyčių diegimas ir akreditavimas:
3.5.5.1 Kaip mokomi darbuotojai (IS vartotojai, administratoriai), įstaigoje įdiegus naują IS arba atliekant esamų IS ir jų komponentų pakeitimus? Ar sudaromi AI7
Priedai
67
Taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
mokymų planai?
3.5.5.2 Kaip atliekami naujai įdiegtų arba esamų IS ir jų komponentų pakeitimų bandymai (testavimas)? Ar sudaromi bandymų (testavimo) planai?
3.5.5.3 Ar nustatyta IS ir jų komponentų bandymų (testavimo) metodika, tvarkos ir taisyklės?
3.5.5.4 Kaip naujai įdiegtos arba esamų IS ir jų komponentų pakeitimai parengiami nuolatinei eksploatacijai?
3.5.5.5 Ar Jūsų institucijoje atliekama naujai įdiegtų IS arba esamų IS ir jų komponentų pakeitimų peržiūra baigus diegimo procedūras?
3.5.6 Sistemų saugos užtikrinimas
3.5.6.1 Kokia saugos organizavimo struktūra (pvz.: įsteigtas saugos komitetas, sudaryta saugos darbo grupė, paskirtas saugos įgaliotinis ir kt.)?
3.5.6.2 Ar institucija vadovaujasi saugos standartais (pvz.: ISO/IEC 17799, ISO/IEC 27001 ir pan.)?
3.5.6.3 Ar sudarytas saugos užtikrinimo (plėtros) arba saugos strateginis planas?
3.5.6.4 Ar institucija turi dokumentų, reglamentuojančių IS/IT saugumo politiką (pvz.: duomenų saugos nuostatus, Saugaus elektroninės informacijos tvarkymo
taisykles, IS naudotojų administravimo taisykles ir pan.)?
3.5.6.5 Patvirtintos tvarkos ir taisyklės, reglamentuojančios ir užtikrinančios IS/IT saugą (pvz.: saugumo reikalavimų laikymosi, išorės ryšių saugumo, ugniasienės,
el. pašto, nešiojamųjų ar stacionarių kompiuterių saugumo, interneto naudojimo ir pan.).
3.5.6.6 Kaip nustatoma prieiga prie IS ir įstaigos kompiuterizuotų darbo vietų?
3.5.6.7 Ar institucija turi dokumentų, reglamentuojančių IS ar jos komponentų naudotojų įgaliojimų, teisių ir pareigų nustatymo procesus?
3.5.6.8 Kokiomis priemonėmis nustatoma IS naudotojų ir įstaigos kompiuterizuotų darbo vietų tapatybė?
3.5.6.9 Ar nustatyti IS ir įstaigos kompiuterizuotų darbo vietų naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai?
3.5.6.10 Ar nustatyta, kas institucijoje laikoma saugos incidentu?
3.5.6.11 Ar stebimi neleistini bandymai prisijungti prie IS ir įstaigos kompiuterizuotų darbo vietų? Kas turi prieigą prie šių duomenų, kas juos peržiūri?
3.5.6.12 Kaip saugoma IS ir IT infrastruktūra nuo nesankcionuoto išorinio įsiskverbimo?
3.5.6.13 Ar institucija turi priemonių, užtikrinančių įsilaužimo (įsiskverbimo) stebėseną?
3.5.6.14 Ar saugomi/registruojami IS pažeidžiamumo rezultatai, ar yra nustatyti stebėsenos rezultatų saugojimo terminai?
3.5.6.15 Ar buvo atliktas (atliekamas) IS pažeidžiamumo testavimas?
3.5.6.16 Ar naudojamos šifravimo priemonės (raktai) perduodamos elektroninės informacijos apsaugai?
3.5.6.17 Kaip saugomasi nuo virusų ir kitos kenksmingos programinės įrangos?
3.5.6.18 Kokios įdiegtos tinklo stebėjimo ir saugumo užtikrinimo priemonės?
3.5.6.19 Ar IS tvarkomi duomenys su žyma? Kokiomis priemonėmis jie apdorojami?
DS5
3.5.7 Vidaus kontrolės stebėsena ir vertinimas:
3.5.7.1 Ar vidaus auditoriai kas 3 metai vertina institucijos IS vidaus kontrolę?
3.5.7.2 Kaip užtikrinama kontrolė ir rekomendacijų įgyvendinimas po audito?
3.5.7.3 Ar buvo vykdyta IT savianalizė (savo veiklos įvertinimas)?
3.5.7.4 Ar atliekamas saugos atitikties vertinimas?
ME2
Priedai
68
Taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
Antriniai procesai:
3.5.8 IT žmogiškųjų išteklių valdymas:
3.5.8.1 Susirinkite IT personalo pareiginius aprašymus.
3.5.8.2 Kurios pareigybės kritinės? Ar yra jų pakeičiamumo sąrašas, kaip jis apibrėžtas?
3.5.8.3 Ar numatytas personalo pakeičiamumas (gretutinės funkcijos)?
3.5.8.4 Ar vykdomi IT personalo mokymai?
PO7
3.5.9 Kokybės valdymas:
3.5.9.1 Ar sukurta (įdiegta) kokybės valdymo sistema? Kokiu dokumentu reglamentuojama?
3.5.9.2 Ar remiamasi IT kokybės valdymo standartais?
PO8
3.5.10 Pokyčių valdymas:
3.5.10.1 Ar sukurta pokyčių valdymo tvarka arba procedūra (pridėkite)?
3.5.10.2 Jei nėra pokyčių valdymo procedūrų:
3.5.10.2.1 Kaip inicijuojami pokyčiai?
3.5.10.2.2 Ar vyksta pokyčių stebėjimas ir fiksavimas (pridėkite)?
AI6
3.5.11 Veiklos efektyvumo ir pajėgumo valdymas:
3.5.11.1 Ar atliekamas IT išteklių panaudojimo (pajėgumo) stebėjimas?
3.5.11.2 Ar nustatyti IS pasiekiamumo ir funkcionavimo reikalavimai?
3.5.11.3 Ar sudaromos IS funkcionavimo ir pasiekiamumo ataskaitos?
3.5.11.4 Ar institucija turi parengusi IS pasiekiamumo, pajėgumo, apkrovos ir išteklių planus?
DS3
3.5.12 Problemų valdymas:
3.5.12.1 Ar įkurta IT Pagalbos tarnyba?
3.5.12.2 Ar fiksuojami IS įvykę incidentai? Jei taip – peržiūrėkite paskutinio laikotarpio incidentų registravimo ataskaitą (suvestinę).
3.5.12.3 Ar yra incidentų fiksavimo ir stebėsenos procedūra?
DS10
3.5.13 Duomenų valdymas:
3.5.13.1 Ar parengta tvarka (tvarkos) dėl elektroninės informacijos apdorojimo (įvesties/ išvesties, ataskaitų spausdinimo ir platinimo, archyvavimo)?
3.5.13.2 Ar automatizuotai tvarkomi asmens duomenys ne tik vidaus administravimo tikslams, kokie taikomi reikalavimai jų tvarkymui?
DS11
4. IŠSAMIAI SUSIPAŽINTI SU SUBJEKTO TAIKOMOSIOMIS PROGRAMOMIS IR JŲ VEIKLA
4.1 Surinkti informaciją ir/ar dokumentus, kurie padėtų visapusiškai suprasti taikomosios programos veiklą šiose srityse:
4.1.1 Įvertinkite ar audito metu bus galima naudoti CAAT?
4.1.2 Kaip užtikrinamas atliktų veiksmų atsekamumas (ar įmanoma atsekti kas, kada ir kokius veiksmus atliko)?
4.1.3 Ar yra atskirtos įvesties, pakeitimo ir tvirtinimo funkcijos programoje?
4.1.4 Kas turi teisę keisti klasifikatorių duomenis?
AI2
AI6
DS5
AC1
Priedai
69
Taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
4.1.5 Surinkti informaciją apie duomenų šaltinius:
4.1.5.1 rankinę duomenų įvestį;
4.1.5.2 duomenų įvestį iš kitų programų.
AC2
4.1.6 Surinkti informaciją apie duomenų apdorojimo procesą:
4.1.6.1 audito įrašus;
4.1.6.2 pranešimus apie klaidas;
4.1.6.3 keitimų kontrolę;
4.1.6.4 programos priklausomybę nuo apdorojimo ciklų ir kitų programų veiklos;
4.1.6.5 sistemos sąrankos parametrus.
AI6
DS5
DS9
AC5
4.1.7 Surinkti informaciją apie duomenų keitimus:
4.1.7.1 pirminius keitimus;
4.1.7.2 duomenų koregavimą;
4.1.7.3 pagrindinių duomenų bylų priežiūrą.
AI6,
AC5
4.1.8 Surinkti informaciją apie išvestį:
4.1.8.1 peržiūrą ir suderinimą;
4.1.8.2 generuojamas ataskaitas;
4.1.8.3 išvesties sąsajas su kitomis programomis;
4.1.8.4 ataskaitų platinimą.
AC5
4.1.9 Patikrinkite, ar pirminius dokumentus rengia įgalioti kompetentingi darbuotojai, kurie laikosi nustatytų procedūrų ir atsižvelgia į tinkamą pareigų atskyrimą
rengiant ir tvirtinant šiuos dokumentus. Gerai suprojektuota įvesties forma leidžia iki minimumo sumažinti klaidas ir praleidimus. Aptinkamos klaidos ir pažeidimai,
kad apie juos būtų galima pranešti ir ištaisyti.
AC1
4.1.10 Patikrinkite, ar:
4.1.10.1 Nustatyta, kad duomenis tinkamu laiku įvedinėtų įgalioti ir kompetentingi darbuotojai. Klaidingai įvestų duomenų taisymas ir pateikimas iš naujo turi būti
atliekamas išlaikant įgaliojimo procedūras, kurios buvo taikytos pirminei operacijai.
4.1.10.2 Jeigu to reikia atkūrimui pirminiai dokumentai turi būti išsaugomi reikiamą laikotarpį.
AC2
4.1.11 Patikrinkite, ar:
4.1.11.1 Operacijos yra tikslios, išsamios ir teisėtos.
4.1.11.2 Įvestus duomenis tikrina, juos redaguoja ir siunčia pataisyti kiek įmanoma labiau su jų parengimu susiję darbuotojai.
AC3
4.1.12 Patikrinkite, ar išlaikomas duomenų vientisumas ir tikrumas viso apdorojimo ciklo metu. Klaidingų operacijų aptikimas nenutraukia teisėtų operacijų
apdorojimo. AC4
4.1.13 Patikrinkite, ar nustatytos procedūros ir su jomis susijusi atsakomybė, padedančios užtikrinti, kad išvedamus duomenis tvarko įgalioti asmenys, duomenys
pristatomi tinkamam gavėjui ir yra apsaugoti perdavimo metu. Patikrinkite, ar išvedamų duomenų tikslumas yra tikrinamas, klaidos aptinkamos ir ištaisomos, o
išvedamuose duomenyse pateikta informacija yra naudojama.
AC5
4.1.14 Patikrinkite, ar prieš perduodant operacijų duomenis iš vidaus taikomųjų programų į veiklos padalinius (organizacijos viduje ar išorėje), patikrinamas
perduodamų duomenų adresavimas, šaltinio autentiškumas ir duomenų vientisumas. Perdavimo ar persiuntimo metu turi būti užtikrintas autentiškumas ir vientisumas. AC6
4.2 Sudarykite taikomosios programos duomenų žemėlapį
4.2.1 Organizacinė struktūra – taikomosios programos valdytojas, tvarkytojas (-ai), institucijos, juridiniai ir (ar) fiziniai asmenys teikiančios duomenis iš kitų IS ar PO2, PO4
Priedai
70
Taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
gaunantys taikomosios programos duomenis.
4.2.2 Informacinė struktūra – duomenų bazės, jų kaupimui naudojami dokumentai ir duomenys, duomenų srautai tarp taikomosios programos ir kitų IS, duomenų
apdorojimo proceso rezultatai. PO2, AI2
4.2.3 Funkcinė struktūra – taikomosios programos sudedamosios dalys, jų atliekamos funkcijos, informacijos apdorojimo procesai, naudotojams teikiamos paslaugos ir
kitos funkcijos, susijusios su duomenų bazių administravimu, duomenų apsauga, paslaugų vykdymu ir apskaita. AI2
4.2.4 Kaupiamų duomenų šaltiniai – pirminiai duomenys ir jų šaltiniai, kurių reikia taikomajai programai veikti. AC1
Priedai
71
Informacinių sistemų audito vadovo
7 priedas
(2014-11-27 Nr. V-206).
Klausimynas IS bendrosios, kūrimo ir taikomųjų programų kontrolės vertinimui planuoti
IS kūrimo ir taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
5. SUSIPAŽINTI SU IS KŪRIMO IR TAIKOMŲJŲ PROGRAMŲ APLINKA
5.1 Suprasti IS kūrimo aplinką:
5.1.1 Koks taikytas IS įsigijimo / kūrimo būdas, technologija, dydis, tikslai ir numatomas naudojimo būdas?
5.1.2 Kokia IS projekto struktūra įsigijimo ir diegimo požiūriu?
5.1.3 Ar pakankama projekto grupės darbuotojų patirtis valdyti IS kūrimą?
5.1.4 Kokiame IS gyvavimo ciklo (SKGC) etape yra kuriama sistema?
5.1.5 Kokia yra rizika, galinti paveikti IS kūrimo eigą, vadovybės nerimai arba numatomos problemos?
5.1.6 Ar yra atliktos ankstesnių IS gyvavimo ciklo (SKGC) etapų peržiūros?
5.1.7 Ar yra kitų auditorių ar asmenų (pavyzdžiui, IT) rizikos įvertinimai / peržiūros, susijusios su IS kūrimu? Ar galima pasitikėti kitų asmenų atliktu vertinimu?
5.1.8 Ar yra kitų panašių į kuriamą IS kūrimo peržiūrų?
5.1.9 Koks IS naudotojų skaičius?
5.2 Suprasti taikomųjų programų veiklos aplinkybes:
5.2.1 Identifikuoti subjekto veiklos procesų ir duomenų savininkus (duomenų valdymo įgaliotinius), atsakingus už taikomąją programą.
5.2.2 Įvertinti taikomosios programos svarbą subjekto veiklai ir jos paskirtį. Pasiimkite iš subjekto IS funkcinę specifikaciją.
5.2.3 Nustatyti, ar taikomąją programą subjektas kūrė pats ar įsigijo ir, ar sukurtą taikomąją programą subjektas palaiko pats, ar ji palaikoma iš išorės
(perkamos paslaugos, palaikymo sutartis su kitu subjektu ar kt.) Jei šias paslaugas teikia išorės šalys, įvertinti kokį taikomosios programos palaikymą turi
subjektas ir kokios garantijas.
5.2.4 Nustatyti kokias veiklos atliekamas funkcijas vykdo taikomoji programa ir nustatyti jos sąsajas su kitomis programomis. Nustatyti kokios taikomojoje
programoje taikomos kontrolės priemonės ir jei įmanoma nustatyti kokie taikomų kontrolės priemonių apribojimai.
5.2.5 Nustatyti, kurie veiklos procesai yra kritiniai taikomosios programos veiklai.
5.2.6 Nustatyti kokie taikomajai programai taikomi išoriniai reikalavimai.
SVARBU Klausimynas neskirtas pateikti audituojamam subjektui, jį pildo pats auditorius kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir
analizuodamas surinktus įrodymus.
Klausimynas sudarytas pagal ISACA IS audito gairių rekomendacijas ir COBIT IT valdymo metodiką, kuri leidžia įvertinti subjekto taikomų IT metodų visumą.
Priedai
72
IS kūrimo ir taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
5.2.7 Nustatyti, ar kiti subjekto struktūrinių padalinių vadovai tiesiogiai nesusiję su taikomosios programos veikla turi pastebėjimų ar mato jos veiklos problemas.
5.2.8 Suprasti taikomosios programos funkcionavimą. Išsiaiškinti, kaip taikomosios programos padeda kompiuterizuoti veiklos funkcijas, pradedant
duomenų įvestimi ir baigiant duomenų išvestimi, jų saugojimu. Kaip valdomos pagrindinių taikomosios programos duomenų bylos.
5.2.9 Suprasti taikomosios programos techninę infrastruktūrą:
5.2.9.1 Veikimo principas (pvz., kliento-serverio architektūra).
5.2.9.2 Tinklas (intranetas, internetas arba ekstranetas), bevielis arba laidinis.
5.2.9.3 Sandorio procesorius (programinė ir/ar aparatinė įranga skirta sandorių duomenų apdorojimui, pvz.: sandorių serveris – tai vartotojų informacijos
kontrolės sistema (angl. Customer Information Control System, CICS) arba informacijos valdymo sistema (angl. – Information Management System, IMS).).
5.2.9.4 Kompiuterizuotos darbo vietos (stacionarus kompiuteris/ delninukas/ nešiojamas kompiuteris / specialūs prietaisai).
5.2.9.5 Operacinės sistemos (IBM Mainframe, Unix / Linux, Windows, kitos).
5.2.9.6 Duomenų bazių valdymo sistemos (Oracle, DB2, IMS, SQL Server, kitos).
5.2.9.7 Nuosava ar palaikoma iš išorės (perkamos paslaugos, palaikymo sutartis su kitu subjektu ar kt.) techninė infrastruktūra.
5.2.9.8 Programa veikia realiu laiku, kaupia ir vėliau perduoda visus duomenis ir / arba duomenų partiją.
5.2.9.9 Techninės infrastruktūros testavimas ir plėtra.
5.2.10 1.4 Suprasti pokyčių įtaką taikomosios programos veiklai:
5.2.10.1 Nustatyti planuojamus pasikeitimus, problemines sritis ir kitas veiklos problemas, kurios turėtų įtakos taikomosios programos kontrolės
vertinimui ir įvertinti jų poveikį.
5.2.10.2 Surinkti ir išnagrinėti paskutinio laikotarpio taikomosios programos sisteminių užklausų, incidentų ataskaitų ir problemos žurnalų įrašus.
Nustatyti pagrindines taikomosios programos problemas.
5.3 Suprasti bendrųjų IT kontrolės priemonių aplinką
Atliekant kūrimo ir taikomųjų programų kontrolės vertinimo planavimą rekomenduojama paklausti šiuos klausimus apie bendrąją IT kontrolės priemonių aplinką:
5.3.1 IT investicijų valdymas:
5.3.1.1 Ar parengti metiniai IS pirkimo planai?
5.3.1.2 Kaip sudaromas IT biudžetas?
5.3.1.3 Kaip nustatomi IT investicijų prioritetai?
5.3.1.4 Kokiose Valstybės investicijų programose dalyvauja ar dalyvavo įstaiga audituojamu laikotarpiu? Su kuo programos yra ar buvo derinamos ir
kokiomis lėšomis finansuojamos?
5.3.1.5 Patikrinti su Informacinės visuomenės plėtros komitetu prie Susisiekimo ministerijos suderintų IT investicijų projektų sąrašą (aprašymus).
PO5
5.3.2 IT žmogiškųjų išteklių valdymas:
5.3.2.1 Pasiimkite IT personalo pareiginius aprašymus.
5.3.2.2 Nustatykite kurios pareigybės kritinės? Ar yra jų pakeičiamumo sąrašas, kaip jis apibrėžtas?
5.3.2.3 Ar numatytas personalo pakeičiamumas (gretutinės funkcijos)?
5.3.2.4 Ar vykdomi IT personalo mokymai?
PO7
5.3.3 Kokybės valdymas:
5.3.3.1 Ar sukurta(įdiegta) kokybės valdymo sistema? Kokiu dokumentu reglamentuojama?
5.3.3.2 Ar remiamasi IT kokybės valdymo standartais?
PO8
Priedai
73
IS kūrimo ir taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
5.3.4 IT rizikos vertinimas ir valdymas:
5.3.4.1 Ar yra įstaigos veiklos rizikos vertinimo procesas?
5.3.4.2 Ar atliekamas IT rizikos vertinimas?
5.3.4.3 Ar sudarytas veiksmų planas nustatytai rizikai sumažinti?
PO9
5.3.5 Projektų valdymas:
5.3.5.1 Ar organizacija turi ir vadovaujasi projektų valdymo metodika?
5.3.5.2 Kokie IT projektai vykdomi audituojamu laikotarpiu?
5.3.5.3 Ar sudarytos projektų valdymo struktūros?
5.3.5.4 Ar yra projekto vykdymo ir kokybės planas?
PO10
5.3.6 Automatizuotų sprendimų nustatymas:
5.3.6.1 Ar funkcinių padalinių poreikiai nustatomi prieš pradedant IS parinkimo ir diegimo projektą?
5.3.6.2 Kaip nustatomi ir pagrindžiami poreikiai? Ar jie patvirtinti?
5.3.6.3 Ar atlikta ekonominio pagrįstumo analizė ir įvertinti alternatyvūs sprendimai?
AI1
5.3.7 Taikomosios programinės įrangos įsigijimas ir priežiūra:
5.3.7.1 Ar audituojamu laikotarpiu buvo įsigyta ar sukurta naujos taikomosios programinės įrangos?
5.3.7.2 Ar yra patvirtintų IS specifikacijų?
5.3.7.3 Išvardyti pasirinktus IS kūrimo metodus.
5.3.7.4 Kada atlikti paskutiniai esminiai IS ar jos posistemių patobulinimai, atnaujinimai ar jų palaikymo pakeitimai? Trumpai aprašyti juos.
5.3.7.5 Kokie planuojami artimiausi esminiai IS ar jos posistemių patobulinimai, atnaujinimai ar jų palaikymo pakeitimai? Trumpai aprašyti juos.
AI2
5.3.8 Technologinės infrastruktūros įsigijimas ir priežiūra:
5.3.8.1 Ar audituojamu laikotarpiu buvo atnaujinta/išplėsta technologinė infrastruktūra, pasirašytos jos palaikymo sutartys?
5.3.8.2 Ar nustatyti IS infrastruktūros (operacinės sistemos ir t. t.), jos palaikymo reikalavimai?
5.3.8.3 Kas atlieka programinės ir techninės įrangos įdiegimo darbus? Kur tai aprašyta?
AI3
5.3.9 Pasirengimas naudojimui:
5.3.9.1 Ar yra darbo su IS ar jos posistemiais vartotojų ir (ar) administratorių vadovai?
5.3.9.2 Ar diegiant IS suplanuoti mokymai IS naudotojams ir administratoriams?
AI4
5.3.10 IT resursų įsigijimas:
5.3.10.1 Kaip organizuojami pirkimai (vidaus tvarkos, atsakingi asmenys ir t. t.)?
5.3.10.2 Kokie viešieji pirkimai buvo įgyvendinti audituojamu laikotarpiu?
5.3.10.3 Kaip vykdomas tiekėjų sutarčių valdymas?
AI5
5.3.11 Pokyčių valdymas:
5.3.11.1 Ar sukurta pokyčių valdymo tvarka arba procedūra?
5.3.11.2 Jei nėra pokyčių valdymo procedūrų:
5.3.11.2.1 Kaip inicijuojami pokyčiai?
5.3.11.2.2 Ar vyksta pokyčių stebėjimas ir fiksavimas?
AI6
5.3.12 Sprendimų ir pokyčių diegimas ir akreditavimas:
5.3.12.1 Kaip mokomi darbuotojai (IS vartotojai, administratoriai), įstaigoje įdiegus naują IS arba atliekant esamų IS ir jų komponentų pakeitimus? Ar
sudaromi mokymų planai?
5.3.12.2 Kaip atliekami naujai įdiegtų arba esamų IS ir jų komponentų pakeitimų bandymai (testavimas)? Ar sudaromi bandymų (testavimo) planai?
AI7
Priedai
74
IS kūrimo ir taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
5.3.12.3 Ar nustatyta IS ir jų komponentų bandymų (testavimo) metodika, tvarkos ir taisyklės?
5.3.12.4 Kaip naujai įdiegtos arba esamų IS ir jų komponentų pakeitimai parengiami nuolatinei eksploatacijai?
5.3.12.5 Ar atliekama naujai įdiegtų IS arba esamų IS ir jų komponentų pakeitimų peržiūra baigus diegimo procedūras?
5.3.13 Paslaugų lygių apibrėžimas ir valdymas:
5.3.13.1 Ar nustatytas IT aptarnavimo lygis ir IT paslaugų tiekimo procedūros (nustatytos IT paslaugų tiekimo procedūros ir IT paslaugų kokybės
reikalavimai)?
5.3.13.2 Kaip valdomas tiekėjų aptarnavimo lygis ir paslaugų tiekimas?
5.3.13.3 Kaip matuojami pagrindiniai IT veiklos rodikliai, kaip jie reglamentuojami?
DS1
5.3.14 Trečiųjų šalių paslaugų valdymas:
5.3.14.1 Ar audituojamas subjektas turi IT sutarčių, veiklų su trečiosiomis šalimis, kokių?
5.3.14.2 Ar yra tvarkos ir taisyklės, reglamentuojančios IT santykius su trečiosiomis šalimis (pvz.: aptariamos sąvokos, problemų valdymas, saugumas,
paslaugų atlikimo laikas, kokybės standartai, atsakomybės ribos ir pan.)?
5.3.14.3 Ar sudaromas išorinių IT paslaugų tiekėjų sąrašas?
DS2
5.3.15 Veiklos efektyvumo ir pajėgumo valdymas:
5.3.15.1 Ar atliekamas IT išteklių panaudojimo (pajėgumo) stebėjimas?
5.3.15.2 Ar nustatyti IS pasiekiamumo ir funkcionavimo reikalavimai? Ar sudaromos IS funkcionavimo ir pasiekiamumo ataskaitos?
5.3.15.3 Ar institucija turi parengusi IS pasiekiamumo, pajėgumo, apkrovos ir išteklių planus?
DS3
5.3.16 Nepertraukiamo paslaugų teikimo užtikrinimas:
5.3.16.1 Ar institucija turi IS veiklos tęstinumo valdymo ir atstatymo po nenumatyto atvejo planus?
5.3.16.2 Ar nustatyti svarbiausi (kritiniai) IT procesai ir ištekliai, ar atlikta IS ir jų elementų klasifikacija?
5.3.16.3 Ar institucija turi duomenų archyvavimo/atsarginių kopijų darymo tvarką?
5.3.16.4 Kas paskirtas atsakingas už IS/IT veiklos tęstinumą ar atstatymą po nenumatyto atvejo?
DS4
5.3.17 Sistemų saugos užtikrinimas:
5.3.17.1 Kokia saugos organizavimo struktūra (pvz.: įsteigtas saugos komitetas, sudaryta saugos darbo grupė, paskirtas saugos įgaliotinis ir kt.)?
5.3.17.2 Ar institucija vadovaujasi saugos standartais (pvz.: LST ISO/IEC 27001:2006, LST ISO/IEC 27002:2009 ir pan.)?
5.3.17.3 Ar sudarytas saugos užtikrinimo (plėtros) arba saugos strateginis planas?
5.3.17.4 Ar yra dokumentai, reglamentuojantys IS/IT saugumo politiką (pvz.: duomenų saugos nuostatus, Saugaus elektroninės informacijos tvarkymo
taisykles, IS naudotojų administravimo taisykles ir pan.)?
5.3.17.5 Ar patvirtintos tvarkos ir taisyklės, reglamentuojančios ir užtikrinančios IS/IT saugą (pvz.: saugumo reikalavimų laikymosi, išorės ryšių
saugumo, ugniasienės, el. pašto, nešiojamųjų ar stacionarių kompiuterių saugumo, interneto naudojimo ir pan.)?
5.3.17.6 Kaip nustatoma prieiga prie IS ir įstaigos kompiuterizuotų darbo vietų?
5.3.17.7 Ar institucija turi dokumentų, reglamentuojančių IS ar jos komponentų naudotojų įgaliojimų, teisių ir pareigų nustatymo procesus?
5.3.17.8 Kokiomis priemonėmis nustatoma IS naudotojų ir įstaigos kompiuterizuotų darbo vietų tapatybė?
5.3.17.9 Ar nustatyti IS ir įstaigos kompiuterizuotų darbo vietų naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai?
5.3.17.10 Ar nustatyta, kas institucijoje laikoma saugos incidentu?
5.3.17.11 Kaip užtikrinamas IS ir kompiuterizuotose darbo vietose atliktų veiksmų atsekamumas?
5.3.17.12 Ar stebimi neleistini bandymai prisijungti prie IS ir įstaigos kompiuterizuotų darbo vietų? Kas turi prieigą prie šių duomenų, kas juos peržiūri?
5.3.17.13 Kaip saugoma IS ir IT infrastruktūra nuo nesankcionuoto išorinio įsiskverbimo?
5.3.17.14 Ar institucija turi priemonių, užtikrinančių įsilaužimo (įsiskverbimo) stebėseną?
DS5
Priedai
75
IS kūrimo ir taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
5.3.17.15 Ar saugomi/registruojami IS pažeidžiamumo rezultatai, ar yra nustatyti stebėsenos rezultatų saugojimo terminai?
5.3.17.16 Ar buvo atliktas (atliekamas) IS pažeidžiamumo testavimas?
5.3.17.17 Ar naudojamos šifravimo priemonės (raktai) perduodamos elektroninės informacijos apsaugai?
5.3.17.18 Kaip saugomasi nuo virusų ir kitos kenksmingos programinės įrangos?
5.3.17.19 Kokios įdiegtos tinklo stebėjimo ir saugumo užtikrinimo priemonės?
5.3.17.20 Ar IS tvarkomi duomenys su žyma? Kokiomis priemonėmis jie apdorojami?
5.3.18 Naudotojų švietimas ir mokymas:
5.3.18.1 Ar ir kaip nustatomi IS vartotojų mokymo poreikiai?
5.3.18.2 Ar rengiami IT mokymo planai?
DS7
5.3.19 Problemų valdymas:
5.3.19.1 Ar įkurta IT Pagalbos tarnyba?
5.3.19.2 Ar fiksuojami IS įvykę incidentai? Išnagrinėkite paskutinio laikotarpio incidentų registravimo ataskaitą (suvestinę).
5.3.19.3 Ar yra incidentų fiksavimo ir stebėsenos procedūra?
DS10
5.3.20 Duomenų valdymas:
5.3.20.1 Ar yra tvarka (tvarkos) dėl elektroninės informacijos apdorojimo (įvesties/ išvesties, ataskaitų spausdinimo ir platinimo, archyvavimo)?
5.3.20.2 Ar automatizuotai tvarkomi asmens duomenys ne tik vidaus administravimo tikslams, kokie taikomi reikalavimai jų tvarkymui?
DS11
5.3.21 Vidaus kontrolės stebėsena ir vertinimas:
5.3.21.1 Ar vidaus auditoriai kas 3 metai vertina institucijos IS vidaus kontrolę?
5.3.21.2 Kaip užtikrinama kontrolė po audito?
5.3.21.3 Ar buvo vykdyta IT savianalizė (savo veiklos įvertinimas)?
5.3.21.4 Ar atliekamas saugos atitikties vertinimas?
ME2
5.3.22 Atitikties išorės reikalavimams užtikrinimas
5.3.22.1 Kokie pagrindiniai išoriniai reikalavimai?
5.3.22.2 Ar yra tvarka ir procedūra, užtikrinanti atitiktį išoriniams reikalavimams? Kas IT informuoja apie sritį reglamentuojančių teisės aktų pokyčius?
ME3
6. IŠSAMIAI SUSIPAŽINTI SU KURIAMA IS, KŪRIMO PROCESO REZULTATAIS, TAIKOMOSIOMIS PROGRAMOMIS IR JŲ VEIKLA
6.1 Surinkti informaciją ir/ar dokumentus, kurie padėtų visapusiškai suprasti IS kūrimo aplinką šiose srityse
6.1.1 Ar yra pagrindiniai kūrimo dokumentai (IS projekto planas, IS nuostatai, specifikacija) ir ar jie atspindi IS kūrimo eigą ir rezultatus?
6.1.1.1 Peržiūrėkite vartotojams keliamus reikalavimus
6.1.1.2 Peržiūrėkite rankines ir IS kontrolės priemones
AI2
6.1.2 Kiek išleista pinigų kuriant IS, kokie pasiekti kūrimo rezultatai ar nauda? PO5
6.1.3 Išnagrinėkite projekto struktūrą, įskaitant visas darbo grupes, priežiūros grupes ir joms priskirtinus vaidmenis bei pareigas.
6.1.4 Surinkite informaciją apie IS kūrimo svarbių susirinkimų protokolus, pavyzdžiui, darbo grupių arba priežiūros grupių susirinkimų protokolus,
nustatykite galimas problemas.
PO10
6.1.5 Išnagrinėkite IS kūrimui taikomą projekto valdymo metodiką (pvz., PRINCE2) ir ar ji tinkamai taikoma projekto metu. PO10
6.1.6 Išnagrinėkite IS kūrimo metodiką, pavyzdžiui, „krioklio“ („waterfall“), prototipo, CASE ir kt. ir ar ji tinkamai taikoma kūrimo metu. AI2
6.1.7 Išnagrinėkite sutartis su tiekėjais kuriant IS: DS2
Priedai
76
IS kūrimo ir taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
6.1.7.1 Su IS kūrimu susijusių pirkimo ir paslaugų teikimo sutarčių sąrašai;
6.1.7.2 Sutartys su paslaugų teikėjais dėl jiems perleistų paslaugų teikimo, pavyzdžiui, IS pritaikymo ir / arba kūrimo paslaugos.
6.1.8 Surinkite informaciją apie IS kūrimo ciklo (SKGC) kontrolės procesų patikrinimo, pritarimo ir patvirtinimo rezultatus ir nustatykite ar šie darbai
tinkamai atlikti. Patikrinkite rezultatų ir jų peržiūros ir patvirtinimo dokumentacija.
6.1.9 Peržiūrėkite kūrimo veiksmų eiliškumą kiekvieno etapo pabaigoje.
AI1-7
6.1.10 Peržiūrėkite IS kūrimo projekto ataskaitas, pažangos dokumentacija (pastangos, laikas ir sąnaudos) ir pagal tai sudarykite IS kūrimo skalę.
6.1.11 Peržiūrėkite, kaip vykdomas IS kūrimo rizikos valdymas, kokybės valdymas ir užtikrinimas. PO8, PO9
6.1.12 Peržiūrėkite, kaip vykdomas IS kūrimo pokyčių valdymas. AI6
6.1.13 Peržiūrėkite, kaip vykdomas veiklos ir problemų valdymas, įskaitant susitarimus dėl paslaugos lygio (SLA). DS1
6.1.14 Peržiūrėkite, kaip vykdomas konfigūracijos valdymas. DS9
6.1.15 Peržiūrėkite, kaip vykdoma duomenų konversija / migracija.
6.1.16 Peržiūrėkite su projekto vidaus peržiūromis, įskaitant bandymus, susijusią dokumentaciją.
6.1.17 Išnagrinėkite IS testavimo planus.
6.1.18 Peržiūrėkite bendravimą projekto viduje ir su tiekėjais. PO10
6.1.19 Peržiūrėkite teisės, reguliavimo ir politikos aspektus, kuriuos būtina atitikti, kuriant IS.
6.2 Pateikite IS kūrimo proceso pirminę analizę
6.2.1 Planavimas – IS kūrimo projekto plano tinkamumas ir sąnaudų /naudos analizė
6.2.2 Projektavimas – Projekto (angl. design) kontrolės priemonių tinkamumas ir audituojamumas
6.2.3 Testavimas – Testavimo strategijos tinkamumas ir testų nuoseklumas
6.2.4 Diegimas – Sistemos tinkamumas ir vartotojų aplinkos sukūrimas
6.2.5 Sukurta sistema – Naudojamos sistemos efektyvumas ir rezultatyvumas bei atitiktis priminiams kriterijams
6.3 Surinkti informaciją ir/ar dokumentus, kurie padėtų visapusiškai suprasti taikomosios programos veiklą šiose srityse
6.3.1 Įvertinkite ar audito metu bus galima naudoti CAAT?
6.3.2 Kaip užtikrinamas atliktų veiksmų atsekamumas (ar įmanoma atsekti kas, kada ir kokius veiksmus atliko)?
6.3.3 Ar yra atskirtos įvesties, pakeitimo ir tvirtinimo funkcijos programoje?
6.3.4 Kas turi teisę keisti klasifikatorių duomenis?
AI6
DS5
AC1
6.3.5 Surinkti informaciją apie duomenų šaltinius:
6.3.5.1 Rankinę duomenų įvestį;
6.3.5.2 Duomenų įvestį iš kitų programų.
AC2
6.3.6 Surinkti informaciją apie duomenų apdorojimo procesą:
6.3.6.1 Audito įrašus;
6.3.6.2 Pranešimus apie klaidas;
6.3.6.3 Keitimų kontrolę;
6.3.6.4 Programos priklausomybę nuo apdorojimo ciklų ir kitų programų veiklos;
AI6
DS5
DS9
AC5
Priedai
77
IS kūrimo ir taikomųjų programų kontrolės vertinimo planavimo etapai Nuoroda į
COBIT
6.3.6.5 Sistemos sąrankos parametrus.
6.3.7 Surinkti informaciją apie duomenų keitimus:
6.3.7.1 Pirminius keitimus
6.3.7.2 Duomenų koregavimą
6.3.7.3 Pagrindinių duomenų bylų priežiūrą
AI6,
AC5
6.3.8 Surinkti informaciją apie išvestį:
6.3.8.1 Peržiūrą ir suderinimą
6.3.8.2 Generuojamas ataskaitas
6.3.8.3 Išvesties sąsajas su kitomis programomis
6.3.8.4 Ataskaitų platinimą
AC5
6.3.9 Patikrinkite, ar pirminius dokumentus rengia įgalioti kompetentingi darbuotojai, kurie laikosi nustatytų procedūrų ir atsižvelgia į tinkamą pareigų
atskyrimą rengiant ir tvirtinant šiuos dokumentus. Gerai suprojektuota įvesties forma leidžia iki minimumo sumažinti klaidas ir praleidimus. Aptinkamos
klaidos ir pažeidimai, kad apie juos būtų galima pranešti ir ištaisyti.
AC1
6.3.10 Patikrinkite, ar:
6.3.10.1 Nustatyta, kad duomenis tinkamu laiku įvedinėtų įgalioti ir kompetentingi darbuotojai. Klaidingai įvestų duomenų taisymas ir pateikimas iš naujo
turi būti atliekamas išlaikant įgaliojimo procedūras, kurios buvo taikytos pirminei operacijai.
6.3.10.2 Jeigu to reikia atkūrimui pirminiai dokumentai turi būti išsaugomi reikiamą laikotarpį.
AC2
6.3.11 Patikrinkite, ar:
6.3.11.1 Operacijos yra tikslios, išsamios ir teisėtos.
6.3.11.2 Įvestus duomenis tikrina, juos redaguoja ir siunčia pataisyti kiek įmanoma labiau su jų parengimu susiję darbuotojai.
AC3
6.3.12 Patikrinkite, ar išlaikomas duomenų vientisumas ir tikrumas viso apdorojimo ciklo metu. Klaidingų operacijų aptikimas nenutraukia teisėtų operacijų
apdorojimo. AC4
6.3.13 Patikrinkite, ar nustatytos procedūros ir su jomis susijusi atsakomybė, padedančios užtikrinti, kad išvedamus duomenis tvarko įgalioti asmenys,
duomenys pristatomi tinkamam gavėjui ir yra apsaugoti perdavimo metu. Patikrinkite, ar išvedamų duomenų tikslumas yra tikrinamas, klaidos aptinkamos ir
ištaisomos, o išvedamuose duomenyse pateikta informacija yra naudojama.
AC5
6.3.14 Patikrinkite, ar prieš perduodant operacijų duomenis iš vidaus taikomųjų programų į veiklos padalinius (organizacijos viduje ar išorėje), patikrinamas
perduodamų duomenų adresavimas, šaltinio autentiškumas ir duomenų vientisumas. Perdavimo ar persiuntimo metu turi būti užtikrintas autentiškumas ir
vientisumas.
AC6
6.4 Sudarykite taikomosios programos duomenų žemėlapį
6.4.1 Organizacinė struktūra – taikomosios programos valdytojas, tvarkytojas (-ai), institucijos, juridiniai ir (ar) fiziniai asmenys teikiančios duomenis iš kitų
sistemų ar gaunantys taikomosios duomenis. PO2, PO4
6.4.2 Informacinė struktūra – duomenų bazės, jų kaupimui naudojami dokumentai ir duomenys, duomenų srautai tarp taikomosios programos ir kitų sistemų,
duomenų apdorojimo proceso rezultatai. PO2, AI2
6.4.3 Funkcinė struktūra – taikomosios programos sudedamosios dalys, jų atliekamos funkcijos, informacijos apdorojimo procesai, naudotojams teikiamos
paslaugos ir kitos funkcijos, susijusios su duomenų bazių administravimu, duomenų apsauga, paslaugų vykdymu ir apskaita. AI2
6.4.4 Kaupiamų duomenų šaltiniai – pirminiai duomenys ir jų šaltiniai, kurių reikia taikomajai programai veikti. AC1
Priedai
78
Informacinių sistemų audito vadovo
8 priedas
Planavimo etapo darbų plano forma
IS audito planavimo etapo darbų planas
20__ m. ______ __ d.
Pavedimo data
Pavedimo Nr.
Audito objektas
Audito subjektas
Auditą pradėti
Auditą baigti
Planavimo etapas / nagrinėtas klausimas Atsakingas
asmuo
Atsiskaitymo
terminas
Susipažinimas su veikla
Susipažinimas su subjekto veikla
Susipažinimas su organizacine struktūra
Teisinė aplinka
Funkcijų perleidimas tretiesiems asmenims
Su sritimi susiję žiniasklaidos pranešimai
Susipažinimas su IS/IT valdymu, preliminarus vidaus kontrolės vertinimas
PO1 Strateginio IT plano apibrėžimas
PO2 Informacinės architektūros nustatymas
PO3 Technologinės krypties nustatymas
PO4 IT procesų, organizacinės struktūros ir ryšių apibrėžimas
PO5 IT investicijų valdymas
PO6 Vadovybės tikslų ir krypties komunikavimas
PO7 IT žmogiškųjų išteklių valdymas
PO8 Kokybės valdymas
PO9 IT rizikos vertinimas ir valdymas
PO10 Projektų valdymas
AI1 Automatizuotų sprendimų nustatymas
AI2 Taikomosios programinės įrangos įsigijimas ir priežiūra
AI3 Technologinės infrastruktūros įsigijimas ir priežiūra
AI4 Pasirengimas naudojimui
AI5 IT išteklių įsigijimas
AI6 Pokyčių valdymas
Priedai
79
Planavimo etapas / nagrinėtas klausimas Atsakingas
asmuo
Atsiskaitymo
terminas
AI7 Sprendimų ir pokyčių diegimas ir akreditavimas
DS1 Paslaugų lygių apibrėžimas ir valdymas
DS2 Trečiųjų šalių paslaugų valdymas
DS3 Veiklos efektyvumo ir pajėgumo valdymas
DS4 Nepertraukiamo paslaugų teikimo užtikrinimas
DS5 Sistemų saugos užtikrinimas
DS6 Sąnaudų nustatymas ir paskirstymas
DS7 Naudotojų švietimas ir mokymas
DS8/DS10 Pagalbos tarnybos ir incidentų valdymas/ Problemų valdymas
DS9 Konfigūracijos valdymas
DS11 Duomenų valdymas
DS12 Fizinės aplinkos valdymas
DS13 Procesų valdymas
ME1 IT veiklos stebėsena ir vertinimas
ME2 Vidaus kontrolės stebėsena ir vertinimas
ME3 Atitikties išorės reikalavimams užtikrinimas
ME4 IT valdymo užtikrinimas
BK IS kūrimas
BT IS taikymo kontrolė
Ankstesnių auditų rezultatai
Ankstesnių auditų rezultatai
Vidaus auditorių ir kitų specialistų darbo panaudojimas
Vidaus auditorių darbo panaudojimas
Kitų specialistų darbo panaudojimas
Ekspertų pasitelkimas
Ekspertų pasitelkimas
Reikšmingumo nustatymas ir rizikos vertinimas
Reikšmingumo nustatymas
Preliminarus rizikos vertinimas
Audito planas
Audito planas
Grupės vadovas: pareigos parašas vardas pavardė
Susipažinau: pareigos parašas vardas pavardė
Priedai
80
Informacinių sistemų audito vadovo
9 priedas
(2014-11-27 Nr. V-206).
Audito plano forma LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLĖS
INFORMACINIŲ SISTEMŲ IR INFRASTRUKTŪROS AUDITO DEPARTAMENTO
AUDITO PLANAS
Audito temos pavadinimas
______ m. _______ mėn. ____Nr. ____
Vilnius
1. Pagrindinė informacija apie auditą
Pavedimo data ir numeris
Audito objektas
Audito tikslas
Audituojami subjektai ir jų atrankos kriterijai
Audituojamas laikotarpis
Taikomos audito procedūros
Audito atlikimo rizika ir jos valdymo priemonės
Kitų auditorių (ekspertų) darbo panaudojimas
Planuojamos komandiruotės
Audito planavimo rezultatai Audito planavimo etape atliktų darbų apibendrintos išvados, reikšmingumo nustatymas ir rizikos vertinimas pateikti audito plano prieduose:
1 priedas. Audito planavimo rezultatai (atlikto darbo suvestinė).
2 priedas. Rizikos suvestinė.
2. Audito apimtis ir metodai, audito ištekliai ir terminai, kokybės užtikrinimo priemonės
Audito apimtis □Informacinių sistemų bendrosios kontrolės vertinimas
□Informacinių sistemų kūrimo kontrolės vertinimas
□ Informacinių sistemų taikomųjų programų kontrolės vertinimas
Vidaus peržiūrą
atliekantis asmuo Skyriaus vedėjas (vardas pavardė), audito grupės vadovas (vardas pavardė)
Peržiūros terminai /
Priedai
81
periodiškumas
Svarbiausios audito
sritys
ir planuojami vertinti
IT procesai
Svarbiausios audito sritys bus vertinamos pagal COBIT11 metodiką ir atitiktį Lietuvos Respublikos teisės aktų reikalavimams ir rekomendacijoms valstybės informacinių išteklių
valdymui. [audito objektas] vertinimas taip pat bus atliekamas vadovaujantis Informacinių sistemų audito vadovu, Tarptautinės aukščiausiųjų audito institucijų organizacijos
(INTOSAI) audito standartais, Informacinių sistemų audito ir kontrolės asociacijos (angl. ISACA) Tarptautiniais audito standartais, atsižvelgta į ISACA Audito gaires ir gerąją
praktiką. Vertinama [audito subjektas] taikomų priemonių atitiktis, išskyrus tas priemones kurios netaikytinos dėl institucijos veiklos, informacinės sistemos ar naudojamos
informacinėje sistemoje, techninės įrangos pobūdžio.
Audito metu pagal COBIT metodiką pasirinkti šie reikšmingiausi informacinių sistemų ir technologijų valdymo procesai:
Sritis Vertinami procesai Vertinimo kriterijai Informacijos šaltiniai, procedūros, metodai Darbo pradžia Darbo pabaiga Auditoriai
Informacinių sistemų bendroji kontrolė
Planavimas ir organizavimas (PO)
Teikimas ir palaikymas (DS)
Įsigijimas ir įdiegimas (AI)
Stebėsena ir vertinimas (ME)
[Įrašyti IS kūrimo ir ar taikomųjų programų kontrolės vertinimas]
Planavimas ir organizavimas (PO)
Įsigijimas ir įdiegimas (AI)
Stebėsena ir vertinimas (ME)
3. Valstybinio audito ataskaitos rengimas Numatyti darbai Vykdytojai Terminai /
periodiškumas
Tyrimo eigos aptarimas su valstybės kontrolieriaus pavaduotoju, koordinuojančiu ir kontroliuojančiu departamento veiklą (įpusėjus tyrimui).
Audito metu nustatytų faktų, planuojamų išvadų ir rekomendacijų aptarimas su valstybės kontrolieriaus pavaduotoju, prieš pradedant rengti audito ataskaitos
projektą.
Audito ataskaitos projekto rengimas ir derinimas su departamento vadovybe
Audito ataskaitos projekto pateikimas departamento vadovybei
Audito ataskaitos projekto tikslinimas atsižvelgiant į gautas departamento vadovybės pastabas
Ataskaitos projekto pateikimas valstybės kontrolieriaus pavaduotojui
Ataskaitos projekto pateikimas veiklos auditų išorinės peržiūros komisijai
Audito ataskaitos projekto tikslinimas atsižvelgiant į gautas veiklos auditų išorinės peržiūros komisijos nuomones ir siūlymus
Ataskaitos projekto pateikimas valstybės kontrolieriaus pavaduotojui ir tikslinimas atsižvelgiant į gautas jo pastabas.
11 CobIT (Control Objectives for Information and related Technologies) – visame pasaulyje žinomas tarptautinės ISACA organizacijos standartas. CobIT aprašo geriausią praktiką IT valdymo srityje.
Priedai
82
Audito ataskaitos projekto pateikimas audituojamam subjektui.
Audito ataskaitos projekto aptarimas su audituojamu subjektu
Audito ataskaitos projekto tikslinimas, pasirašymas
Audito ataskaitos pateikimas valstybės kontrolieriaus pavaduotojui ir tikslinimas atsižvelgiant į gautas jo pastabas.
Ataskaitos projekto pateikimas valstybės kontrolieriui
Audito ataskaitos projekto tikslinimas atsižvelgiant į gautas valstybės kontrolieriaus pastabas
Audito ataskaitos išsiuntimas audituojamam subjektui, Seimo Audito komitetui ir kt.
Audito planą parengė:
Pareigų pavadinimas (audito grupės vadovas) vardas pavardė
Priedai
83
Audito plano 1 priedas
LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLĖS
INFORMACINIŲ SISTEMŲ IR INFRASTRUKTŪROS AUDITO DEPARTAMENTAS
INFORMACINIŲ SISTEMŲ AUDITO SKYRIUS
AUDITO PLANAVIMO REZULTATAI (ATLIKTO DARBO SUVESTINĖ)
DATA
Vilnius Audito pavedimo Nr. Audituojamas subjektas:
AUDITO PLANAVIMO
ETAPAS
TIKSLAS IŠVADOS
Susipažinimas su subjekto
veikla
Susipažinti su audituojamo subjekto veikla; nustatyti veiklos sritis, kuriose kritinį vaidmenį vaidina IS; įvertinti informacinės(ių)
sistemos(mų) sudėtingumą.
Susipažinimas su
organizacine struktūra
Susipažinti su organizacine struktūra ir nustatyti informacinės(ių) sistemos(ų) vietą joje.
Teisinė aplinka Įvertinti audituojamo subjekto teisinę aplinką ir galimus rizikos veiksnius.
Funkcijų perleidimas
tretiesiems asmenims
Nustatyti trečiąsias šalis, kurioms audituojamas subjektas perleidžia IS funkcijas.
Su sritimi susiję
žiniasklaidos pranešimai
Įvertinti žiniasklaidoje pateikiamą informaciją apie nagrinėjamą audituojamo subjekto sritį.
BK IS kūrimas Įvertinti IS kūrimą. Nustatyti galimus rizikos veiksnius.
BK TP kontrolė Įvertinti taikomųjų programų kontrolę. Nustatyti galimus rizikos veiksnius.
Ankstesnių auditų
rezultatai
Įvertinti informaciją apie atliktus ankstesnius valstybinius auditus audituojamame subjekte: pažeidimų pašalinimas, klaidų ištaisymas,
rekomendacijų įgyvendinimas.
Vidaus auditorių darbo
panaudojimas
Nustatyti, kaip dažnai ir kokias informacines sistemas auditavo subjekto vidaus audito tarnyba (vidaus auditorius(ė)). Išanalizuoti jų
darbo rezultatus ir įvertinti, ar galima jais pasitikėti, .t. y. neaudituoti tų klausimų, kuriuos išnagrinėjo subjekto vidaus auditas.
Kitų specialistų darbo
panaudojimas
Nustatyti, kaip dažnai ir kokias subjekto informacines sistemas auditavo trečiosios šalys, kiti auditoriai, specialistai. Išanalizuoti jų
darbo rezultatus ir įvertinti, ar galima jais pasitikėti, t. y. neaudituoti tų klausimų, kuriuos išnagrinėjo subjekto vidaus auditas.
Ekspertų pasitelkimas Įvertinti galimybę gauti audito užtikrinimą remiantis kitu atliktu darbu (išorės auditorių, trečiųjų šalių ekspertų ir kt.).
(Pareigų pavadinimas) ______________________
(Parašas)
(Pareigų pavadinimas) ______________________
(Parašas)
Priedai
84
Audito plano 2 priedas
LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLĖS
INFORMACINIŲ SISTEMŲ IR INFRASTRUKTŪROS AUDITO DEPARTAMENTAS
INFORMACINIŲ SISTEMŲ AUDITO SKYRIUS
RIZIKOS SUVESTINĖ
DATA
Vilnius
Nr. COBIT domenai ir procesai
Proceso svarba Proceso rizika
Jei
au
dit
o t
iksl
as
IS
kū
rim
as
Ko
efic
ien
tas
Jei
au
dit
o t
iksl
as
taik
om
ųjų
pro
gra
mų
ko
ntr
olė
Ko
efic
ien
tas
Jei
au
dit
o t
iksl
as
IS
kū
rim
as
ir t
aik
om
ųjų
pro
gra
mų
ko
ntr
olė
Ko
efic
ien
tas
Teorinė
svarba
Dažnis
pagal veiklą
Pagrindimas Bendras
įvertinimas
Vidaus kontroles
Įvertinimas
Pagrindimas
Koeficientas Nagrinėjami
IT procesai
Nagrinėjami
IT procesai
Nagrinėjami
IT procesai
B K BK T BT KT BKT
Planavimas ir organizavimas
1 PO1 Strateginio IT plano apibrėžimas 3 3 Įrašyti 6 70 % Įrašyti 9 - 9 - 9 - 9
2 PO2
Informacinės architektūros
nustatymas 1 3 Įrašyti 4 90 % Įrašyti 4 - 4 - 4 - 4
3 PO3
Technologinės krypties
nustatymas 2 Įrašyti 2 16 % Įrašyti 13 - 13 - 13
- 13
4 PO4
IT procesų, organizacinės
struktūros ir ryšių apibrėžimas 1 6 Įrašyti 7 95 % Įrašyti 7 - 7 - 7 - 7
5 PO5 IT investicijų valdymas 2 3 Įrašyti 5 98 % Įrašyti 5 D 6 - 5 D 6
6 PO6
Vadovybės tikslų ir krypties
komunikavimas 2 7 Įrašyti 9 80 % Įrašyti 11 - 11 - 11 - 11
7 PO7 IT žmogiškųjų išteklių valdymas 1 3 Įrašyti 4 60 % Įrašyti 7 D 7 - 7 D 7
8 PO8 Kokybės valdymas 2 3 Įrašyti 5 98 % Įrašyti 5 D 6 - 5 D 6
9 PO9 IT rizikos vertinimas ir valdymas 3 1 Įrašyti 4 60 % Įrašyti 7 D 8 D 8 D 8
10 PO10 Projektų valdymas 3 4 Įrašyti 7 98 % Įrašyti 7 P 10 - 7 P 10
Priedai
85
Įsigijimas ir įdiegimas
11
AI1
Automatizuotų sprendimų
nustatymas 2 Įrašyti 2 98 % Įrašyti 2 P 4 - 2 P 4
12 AI2
Taikomosios programinės įrangos
įsigijimas ir priežiūra 2 Įrašyti 2 50 % Įrašyti 4 P 6 - 4 P 6
13 AI3
Technologinės infrastruktūros
įsigijimas ir priežiūra 1 2 Įrašyti 3 95 % Įrašyti 3 P 4 - 3 P 4
14 AI4 Pasirengimas naudojimui 1 2 Įrašyti 3 98 % Įrašyti 3 P 4 - 3 P 4
15 AI5 IT išteklių įsigijimas 2 1 Įrašyti 3 98 % Įrašyti 3 P 5 - 3 P 5
16 AI6 Pokyčių valdymas 3 5 Įrašyti 8 70 % Įrašyti 11 D 13 D 13 D 13
17 AI7 Sprendimų ir pokyčių diegimas ir
akreditavimas
2 4 Įrašyti 6 95 % Įrašyti 6 P 8 - 6 P 8
Teikimas ir palaikymas
18
DS1
Paslaugų lygių apibrėžimas ir
valdymas 2 2 Įrašyti 4 98 % Įrašyti 4 D 5 - 4 D 5
19 DS2 Trečiųjų šalių paslaugų valdymas 1 3 Įrašyti 4 80 % Įrašyti 5 - 5 - 5 - 5
20 DS3
Veiklos efektyvumo ir pajėgumo
valdymas 1 2 Įrašyti 3 95 % Įrašyti 3 - 3 - 3 - 3
21 DS4
Nepertraukiamo paslaugų teikimo
užtikrinimas 2 5 Įrašyti 7 80 % Įrašyti 9 - 9 D 10 D 10
22 DS5 Sistemų saugos užtikrinimas 3 6 Įrašyti 9 75 % Įrašyti 12 - 12 D 14 D 14
23 DS6
Sąnaudų nustatymas ir
paskirstymas 1 3 Įrašyti 4 95 % Įrašyti 4 - 4 - 4 - 4
24 DS7 Naudotojų švietimas ir mokymas 1 1 Įrašyti 2 95 % Įrašyti 2 - 2 - 2 - 2
25 DS8
Pagalbos tarnybos ir incidentų
valdymas 1 3 Įrašyti 4 94 % Įrašyti 4 - 4 D 5 D 5
26 DS9 Konfigūracijos valdymas 2 Įrašyti 2 88 % Įrašyti 2 - 2 - 2 - 2
27 DS10 Problemų valdymas 2 2 Įrašyti 4 90 % Įrašyti 4 - 4 D 5 D 5
28 DS11 Duomenų valdymas 3 3 Įrašyti 6 95 % Įrašyti 6 - 6 - 6 - 6
29 DS12 Fizinės aplinkos valdymas 1 4 Įrašyti 5 95 % Įrašyti 5 - 5 - 5 - 5
30 DS13 Procesų valdymas 1 4 Įrašyti 5 95 % Įrašyti 5 - 5 - 5 - 5
Stebėsena ir vertinimas
31 ME1 IT veiklos stebėsena ir vertinimas 3 5 Įrašyti 8 98 % Įrašyti 8 D 10 - 8 D 10
32 ME2 Vidaus kontrolės stebėsena ir 2 2 Įrašyti 4 70 % Įrašyti 6 D 7 - 6 D 7
Priedai
86
vertinimas
33 ME3
Atitikties išorės reikalavimams
užtikrinimas 3 1 Įrašyti 4 60 % Įrašyti 7 - 8 - 7 - 7
34 ME4 IT valdymo užtikrinimas 3 6 Įrašyti 9 98 % Įrašyti 9 D 11 - 9 D 11
Taikomųjų programų kontrolė
35
AC1
Pirminių duomenų parengimas ir
įgaliojimų suteikimas
P V P V
36 AC2
Pirminių duomenų surinkimas ir
įvestis P V P V
37 AC3
Tikslumo, išsamumo ir
autentiškumo tikrinimas P V P V
38 AC4
Apdorojimo vientisumas ir
tikrumas P V P V
39 AC5
Išvesties duomenų peržiūra,
derinimas ir klaidų taisymas P V P V
40 AC6
Operacijų autentiškumo
nustatymas ir vientisumas P V P V
Žymėjimas: P – pirminis procesas, rekomenduojama vertinti pilnai, D – antrinis procesas, turi sąsajas su nagrinėjama sritimi kai kurie paprocesiai, rekomenduojama vertinti iš dalies,
V- vertinama.
Pastabos: Procesai ir kontrolės tikslai turi būti pasirinkti ir pritaikyti, jie gali skirtis priklausomai nuo konkrečios subjekto veiklos srities ir audito tikslo. Įvertinus auditui atlikti skirtą
laiką ir turimus išteklius (auditorių darbo laikas), tolesniam vertinimui pasirenkami COBIT procesai, kurių koeficientas yra daugiau kaip 7.
Jei audito tikslas IS bendroji kontrolė:
Svarbiausi COBIT procesai, atrinkti planavimo metu įvertinus jų įtaką audituojamo subjekto veiklai (proceso svarba / dažnis pagal veiklą), įvertinus procesų riziką ir audituojamo
subjekto taikomų kontrolės priemonių efektyvumą. Tolesniam auditui parinkti COBIT procesai lentelėje paryškinti (koeficientas B).
Jei audito tikslas IS kūrimo kontrolė:
ISACA Sistemų kūrimo ir projektų valdymo audito programa nustato svarbiausius COBIT procesus. Tolesniam vertinimui pasirenkami visi ISACA nurodyti pirminiai (P) COBIT
procesai. Antriniai (D) COBIT procesai ir (arba) kiti planavimo metu analizuoti procesai pasirenkami jei nustatoma aukšta rizika ir yra reikalingi audito ištekliai. Tolesniam auditui
parinkti COBIT procesai lentelėje paryškinti (koeficientas BK).
Jei audito tikslas taikomųjų programų kontrolė:
ISACA Taikomųjų sistemų peržiūros audito programa nustato svarbiausius COBIT procesus. Tolesniam vertinimui pasirenkami visi ISACA nurodyti pirminiai (P) COBIT procesai.
Antriniai (D) COBIT procesai ir (arba) kiti planavimo metu analizuoti procesai pasirenkami jei nustatoma aukšta rizika ir yra reikalingi audito ištekliai. Tolesniam auditui parinkti
COBIT procesai lentelėje paryškinti (koeficientas BT).
Jei audito tikslas IS kūrimas ir taikomųjų programų kontrolė:
ISACA Taikomųjų sistemų peržiūros ir Sistemos kūrimo ir projektų valdymo audito programos nustato svarbiausius COBIT procesus. Tolesniam vertinimui pasirenkami visi ISACA
nurodyti pirminiai (P) COBIT procesai. Antriniai (D) COBIT procesai ir (arba) kiti planavimo metu analizuoti procesai pasirenkami jei nustatoma aukšta rizika ir yra reikalingi
audito ištekliai. Tolesniam auditui parinkti COBIT procesai lentelėje paryškinti (koeficientas BKT).
Priedai
87
Informacinių sistemų audito vadovo
10 priedas
(2014-11-27 Nr. V-206).
Gebėjimų brandos modelis
Šiame priede apibūdinamas Gebėjimų brandos modelis (angl. – CMM), taikomas IS kontrolės tikslų brandos lygiui įvertinti. Pateiktas kiekvieno tikslo įvertinimas yra žemiausias
atitinkamo tikslo įvertinimas pagal bet kurį iš toliau išvardytų keturių punktų (a–d). Vertinimo vidurkis neišvedinėjamas, nes sudėtinių vertinimų vidurkiai neatspindi realios
situacijos. Auditorius, vadovaudamasis modelio paaiškinamąja lentele (1 lentelė), turi užpildyti žemiau pateiktą 2 lentelę.
1 lentelė. Paaiškinamoji Gebėjimų brandos modelio lentelė.
Kiekvienoje kategorijoje
analizuojami šie aspektai:
(a) Problemos pripažinimas ir
informavimas apie ją
(b) Politika (c) Susiję procesai ir mokymas,
skirti politikai įgyvendinti
(d) Politikos efektyvumo ir
susijusių procesų vertinimas ir
tobulinimas, remiantis šiuo
pagrindu.
0. Neegzistuojantis
procesas
Organizacija nepripažįsta
spręstinos problemos egzistavimo
ir dėl to apie tai nepateikia jokios
informacijos.
Šiuo klausimu nėra jokios
politikos.
Nėra jokio atpažįstamo proceso,
susijusio su šia problema.
Neatliekamas joks vertinimas,
susijęs su šia problema.
1. Pirminis/Ad Hoc
procesas
Yra faktų, patvirtinančių, kad
organizacija pripažįsta problemos
egzistavimą ir būtinumą ją spręsti,
tačiau apie tai per mažai
informuojama.
Egzistuoja neišsami politika. Ji
netinkamai dokumentuojama,
skelbiama arba įgyvendinama.
Individualiu arba kiekvienu
konkrečiu atveju taikomi ad hoc
metodai. Problema nenagrinėjama
vadovybės lygiu.
Stebėsena vykdoma reaguojant į
incidentą, dėl kurio organizacija
patiria tam tikrą nuostolį.
2. Pasikartojantis, bet
intuityvus procesas
Apie problemą (prireikus)
atitinkamai informuojama visa
organizacija.
Egzistuoja aiški politika. Su problema susiję procesai
formaliai yra nustatyti, aktyviai
dalyvaujant ir prižiūrint vadovybei,
tačiau taikomi ne visoje
organizacijoje. Mokymas
neorganizuojamas, o informavimas
apie standartus ir pareigas paliktas
individualių darbuotojų nuožiūrai.
Vadovybė yra nustačiusi
pagrindinius vertinimo objektus ir
vertinimo metodus bei būdus,
tačiau pastarieji parengti
nepakankamai.
3. Apibrėžtas procesas Visa organizacija supranta, kad
reikia reaguoti į problemą, ir tam
pritaria.
Organizacijoje vykdoma tvirta ir
aiški politika, suderinta su kai
kuriomis kitomis susijusiomis
politikos kryptimis. Iš dalies
atsižvelgiama į rizikos valdymą.
Procedūros standartizuotos,
dokumentuotos ir dauguma jų
įgyvendinamos visoje
organizacijoje. Vadovybė yra
informavusi apie standartizuotas
procedūras ir vykdo neformalų
mokymą. Procedūras galima
Susijusių veiklos sričių rodiklių
registravimas ir stebėsena padeda
tobulinti veiklą. Beveik visų
susijusių procesų stebėsena
vykdoma pagal tam tikrus
(pirminius) dokumentus, tačiau
mažai tikėtina, kad vadovybė
Priedai
88
Kiekvienoje kategorijoje
analizuojami šie aspektai:
(a) Problemos pripažinimas ir
informavimas apie ją
(b) Politika (c) Susiję procesai ir mokymas,
skirti politikai įgyvendinti
(d) Politikos efektyvumo ir
susijusių procesų vertinimas ir
tobulinimas, remiantis šiuo
pagrindu.
įvertinti, tačiau jos nėra sudėtingos
ir formaliai atspindi esamą patirtį.
galėtų pastebėti bet kokį
nukrypimą, nes tokios priemonės
paprastai taikomos individualiai.
Priežasčių analizė atliekama retai.
4. Lengvai valdomas ir
vertinamas procesas
Visais atitinkamais organizacijos
lygiais problema suprantama
tinkamai ir reikalaujama imtis
priemonių.
Vykdoma nuosekli ir aiški politika,
integruota su kitomis susijusiomis
politikos kryptimis. Atsižvelgiama
į rizikos valdymą.
Organizacija gerai pažįsta savo
klientą ir turi aiškiai apibrėžtas
pareigas. Procesai yra aiškiai
suformuluoti, integruoti ir taikomi
visoje organizacijoje. Procesai yra
gerai pritaikyti ir palaikomi
organizuojant atitinkamą mokymą.
Visi susijusių procesų dalyviai žino
apie riziką ir galimybes.
Susijusių procesų tobulinimas visų
pirma yra pagrįstas kiekybiniais
metodais, užtikrinant galimybę
stebėti ir vertinti, kaip laikomasi
procedūrų bei susijusių procesų
dokumentų reikalavimų. Vadovybė
yra nustačiusi leistinus
nukrypimus, į kuriuos būtina
atsižvelgti, vykdant susijusius
procesus. Paaiškėjus, kad procesai
yra neveiksmingi arba neefektyvūs,
dažniausiai, tačiau ne visada,
imamasi priemonių. Kartais susiję
procesai tobulinami, įgyvendinant
geriausią vidaus praktiką.
Vykdomas priežasčių analizės
standartizavimas. Pradedamas
nuolatinis veiklos gerinimo
procesas.
5. Optimalus procesas Problemos ir jos sprendimo būdų
vertinimas yra pažangus bei
perspektyvus.
Organizacija vykdo nuoseklią ir
aiškią politiką, integruotą su
visomis kitomis susijusiomis
politikos kryptimis, visapusiškai
atsižvelgiant į rizikos valdymą.
Susiję procesai atnaujinti,
atsižvelgiant į geriausią išorinę
praktiką ir nuolatinio veiklos
tobulinimo bei brandos
modeliavimo rezultatus kitose
organizacijose. Susijusių procesų
rizika ir rezultatai yra apibrėžti,
suderinti, ir apie juos
informuojama visa organizacija.
Organizuojamas modernus
mokymas ir informavimas.
Įgyvendinama politika užtikrina
organizacijos, darbuotojų ir
procesų sugebėjimą greitai
prisitaikyti ir visapusiškai valdyti
Stebėsena, savianalizė ir
informavimas apie problemą
(prireikus) vykdomi visos
organizacijos lygiu, optimaliai
išnaudojant procesus ir
technologijas, naudojamus
vertinimo, analizės, informavimo ir
mokymo tikslais. Analizuojamos
visų problemų ir nukrypimų
priežastys, laiku numatant ir
inicijuojant veiksmingas
priemones. Naudojamasi
nepriklausomų ekspertų
konsultavimo paslaugomis ir
lyginamąja analize.
Priedai
89
Kiekvienoje kategorijoje
analizuojami šie aspektai:
(a) Problemos pripažinimas ir
informavimas apie ją
(b) Politika (c) Susiję procesai ir mokymas,
skirti politikai įgyvendinti
(d) Politikos efektyvumo ir
susijusių procesų vertinimas ir
tobulinimas, remiantis šiuo
pagrindu.
rizikos pokyčius.
2 lentelė. Gebėjimų brandos modelis
(a) (b) (c) (d) CMM Optimalus procesas (5) Lengvai valdomas ir vertinamas procesas (4) Apibrėžtas procesas (3)
Pasikartojantis, bet intuityvus procesas (2) Pirminis/Ad Hoc procesas (1) Neegzistuojantis procesas (0)
– neatitinka kriterijų
a) – problemos pripažinimas ir informavimas apie ją;
b) – politika;
c) – susiję procesai ir mokymas, skirti politikai
įgyvendinti;
d) – politikos efektyvumo ir susijusių procesų
vertinimas ir tobulinimas, remiantis šiuo pagrindu.
– ne visiškai atitinka kriterijų
– atitinka kriterijų
– nepasiektas tam tikras gebėjimų brandos lygis
– nevisiškai pasiektas tam tikras gebėjimų
brandos lygis
– pasiektas tam tikras gebėjimų brandos lygis
Priedai
90
Informacinių sistemų audito vadovo
11 priedas
IS kūrimo kontrolės testavimas
Informacinių sistemų kūrimo kontrolės vertinimo etapai Nuoroda į
COBIT
1. BENDRIEJI KŪRIMO REZULTATAI
1.1 Įsitikinti, kad:
1.1.1 Sistemos yra sukurtos pagal teisės aktų reikalavimus ir kitas taisykles.
1.1.2 Yra informacijos strateginis planas.
1.1.3 Suformuotas IT valdymo komitetas, IT techninė grupė ir projekto komanda.
1.1.4 Sutartyje fiksuota ir numatyta:
1.1.4.1 kokie turi būti kiekvieno etapo rezultatai.
1.1.4.2 technologijų perdavimas, kad audituojamo subjekto IT personalas galėtų palaikyti ir vertinti pagrindinių sistemos operacijų veikimą.
1.1.4.3 mokymai.
1.1.4.4 nuosavybės teisė.
1.1.4.5 audito reikalavimai:
1.1.4.5.1 neribota prieiga prie sistemos
1.1.4.5.2 audito įrašai
1.1.4.5.3 integruotas audito modulis
1.1.4.5.4 sauga
1.1.4.6 tarpiniai mokėjimai.
1.1.4.7 atkūrimo planas.
2. ĮVERTINIMAS (EVALUATION)
2.1 Įsitikinti, kad sistemos kūrimas yra patvirtintas ir vykdomas tik jei yra pagrįstas dėl ekonominių ar kitų rimtų priežasčių:
2.1.1 Ar atlikta IS kūrimo projekto išlaidų ir naudos analizė, įvertinant kiekvienos alternatyvos ekonominį pagrįstumą:
2.1.1.1 Sąnaudų ir naudos analizė.
SVARBU Klausimynas neskirtas pateikti audituojamam subjektu, jį pildo pats auditorius kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir
analizuodamas surinktus įrodymus.
Klausimynas sudarytas pagal ISACA IS audito gairių rekomendacijas ir COBIT IT valdymo metodiką, kuri leidžia įvertinti subjekto taikomų IS metodų visumą.
Priedai
91
Informacinių sistemų kūrimo kontrolės vertinimo etapai Nuoroda į
COBIT
2.1.1.2 Laiko ir sąnaudų įvertinimai.
2.1.1.3 Poveikio tyrimas.
2.1.1.4 Technologinė pažanga.
2.1.1.5 Vartotojų reikalavimai.
2.1.1.6 Sėkmingo įgyvendinimo rizikos.
2.1.2 Galimybių studijos ataskaita peržiūrėta IT valdymo komiteto ir tada jo priimtas sprendimas.
2.1.3 Nustatyti ištekliai reikalingi sistemos palaikymui po kūrimo.
2.1.4 Projekto komanda turi turėti įgūdžių ir laiko atlikti visas paskirtas funkcijas (atsakomybes).
2.1.5 Esama sistema turi būti tinkamai peržiūrėta:
2.1.5.1 Esamų problemų ir vartotojų poreikių santykis.
2.1.5.2 Nauja sistema turi būti pagrįsta peržiūra ir galimybių studija.
3. ANALIZĖS ETAPAS
3.1 Įsitikinti, kad sistema kuriama pagal patvirtintus planus ir procedūras:
3.1.1 Ar išsamiai išdėstyta Vartotojų reikalavimų specifikacija (VRS):
3.1.1.1 Dabartinių problemų aprašymas.
3.1.1.2 Aprašyti siūlomos sistemos reikalavimai.
3.1.1.3 Sistemos priėmimo kriterijai.
3.1.1.4 Visų vartotojų įtraukimas.
3.1.1.5 Ar VRS dokumentuota ir patvirtinta IT valdymo komiteto.
3.1.2 Ar VRS perkelti į Funkcinių Reikalavimų Specifikaciją (FRS)?
3.1.3 Ar VRS perkelti į loginį ir fizinį projektavimą/sistemą?
3.1.4 Ar projektavimas yra tinkamai dokumentuotas?
3.1.5 Ar konceptualus sistemos projektavimas apima:
3.1.5.1 Konteksto diagramą;
3.1.5.2 Subjektų ryšių diagramą;
3.1.5.3 Duomenų srautų diagramą;
3.1.5.4 Apdorojimo laikus ir pagrindinius operacijų metodus;
3.1.5.5 Rankinės duomenų įvesties langus ir sąsajas su kitomis sistemomis;
3.1.5.6 Atsakomybę už duomenų tikslumą ir išsamumą;
3.1.5.7 Vartotojų dalyvavimą projektavimo procese.
Priedai
92
Informacinių sistemų kūrimo kontrolės vertinimo etapai Nuoroda į
COBIT
3.1.6 Ar fizinis projektavimas apima:
3.1.6.1 Fizinius srautus;
3.1.6.2 Techninės įrangos konfigūraciją;
3.1.6.3 Sistemos srautus;
3.1.6.4 Failų ir duomenų bazių specifikacijas;
3.1.6.5 Kompiuterinių programų specifikacijas;
3.1.6.6 Įvesties ir išvesties maketą.
3.1.7 Nustatykite, kad detalus projektas apima visus reikšmingus sistemos elementus ir organizacijos veiklas:
3.1.7.1 Failų kūrimas turi būti nuoseklus ir visi diskų ir juostų failai turi būti visiškai (pilnai) aprašyti ir dokumentuoti.
3.1.7.2 Turi egzistuoti pakankama audito seka ir aiškiai nustatyta prieigos kontrolė.
3.1.7.3 Aiškiai nustatyti įvesties formatai ir pirminiai dokumentai.
3.1.7.4 Patvirtinimo nuostatos ir pirminių dokumentų ir įvesties (pvz.:batching, balancing, edit checks) apdorojimo kontrolės priemonės.
3.1.7.5 Įvesties, apdorojimo ir išvesties kontrolės priemonės turi būti adekvačios ir tinkamai dokumentuotos. (2014-11-27 Nr. V-206).
3.1.7.6 Rezultatai turi būti detaliai apibrėžti ir turi atitikti vartotojų poreikius (pagal turinio naudingumą) ir taip pat atitikti saugumo reikalavimus.
4. ANALIZĖS ETAPAS
4.1 Įsitikinti, kad suprojektuota ir diegiama sistema atspindi vartotojų poreikius, o programavimas vykdomas pagal detalų projektą ir buvo tinkamai
išbandytas, kad atitiktų specifikacijas
4.1.1 IS turi būti sukurta išsami sistemos ir posistemių specifikacija, kuri turi apimti:
4.1.1.1 bendrą sistemų apibūdinimą;
4.1.1.2 sistemai veikti reikalingos įrangos konfigūraciją;
4.1.1.3 sistemai reikalingos sisteminė programinę įrangą;
4.1.1.4 sąsajas su kitomis sistemomis;
4.1.1.5 sistemų kontrolės saugos ir privatumo reikalavimus;
4.1.1.6 sistemos projektavimo charakteristikas, įskaitant sistemos struktūrines schemas.
4.1.2 Visoms sistemos programoms turi būti sukurtos išsamios taikomųjų programų specifikacijos. Šios specifikacijos turi apimti:
4.1.2.1 bendrą programų apibūdinimą ir jų funkcijoms atlikti reikalingą papildomą įrangą;
4.1.2.2 programoms veikti reikalingą sisteminę programinę įrangą;
4.1.2.3 programos duomenų saugyklų reikalavimus, įskaitant vidaus saugyklų poreikį ir išorinių saugyklų skaičių ir rūšis;
4.1.2.4 programų kontrolės saugos ir privatumo reikalavimus, programų veiklos procesų naudojamus kodus ir lenteles;
4.1.2.5 įvesties įrašų formatus ir aprašymus;
4.1.2.6 programos logikos aprašymus, įskaitant struktūrines schemas (diagramas) ir sprendimų lenteles, papildytas aprašymais su paaiškinimais;
4.1.2.7 išvesties įrašų formatus ir aprašymus;
Priedai
93
Informacinių sistemų kūrimo kontrolės vertinimo etapai Nuoroda į
COBIT
4.1.2.8 visų programos naudojamų duomenų bazių loginės ir fizinės charakteristikas, įskaitant failų išdėstymą ir duomenų elementų apibrėžimus;
4.1.2.9 programinio kodo sąrašus, programos objektų sąrašus.
4.1.3 Turi būti sukurtos išsamios duomenų bazių, kurias naudoja IS, specifikacijos, šios specifikacijos turi apimti:
4.1.3.1 sistemų naudojančių duomenų bazes, duomenų bazės identifikavimą,
4.1.3.2 ženklinimo ir žymėjimo susitarimus naudojamus kai duomenų bazė yra pasiekiama,
4.1.3.3 bet kokias specialias instrukcijas dėl jų naudojimo,
4.1.3.4 sisteminę programinę įrangą reikalinga joms palaikyti,
4.1.3.5 jų logines ir fizines charakteristikas.
5. SISTEMŲ TESTAVIMAS
5.1 Įsitikinti, kad sistemos ir programos tinkamai išbandytos IT personalo ir priimtos vartotojų (patvirtinant, kad rezultatai tinkami):
5.1.1 Ar kūrimo testavimas apima:
5.1.1.1 vienetų (modulių) testavimą;
5.1.1.2 integracijos testavimą;
5.1.1.3 visos sistemos testavimą;
5.1.2 Ar testavimo duomenys parengti taip, kad apimtų platų galimų ir neteisingų (klaidingų) transakcijų spektrą?
5.1.3 Testavimo rezultatai turi būti peržiūrėti ir patvirtinti galutinių vartotojų ir IT techninės grupės (rezultatai galima palyginti su planuotais arba su
lygiagrečiai veikiančios sistemos rezultatais), bandymų metu fiksuojamos visos problemos, skirta speciali testinė aplinka ir numatyta IS priėmimo tvarka
pasirašyta ir galutinių vartotojų.
5.1.4 Ar rengiama sistemos dokumentacija, tokia kaip Vartotojų valdovai, procedūrų vadovai?
5.1.5 Ar techninė ir programinė įranga įsigyjama pagal specifikacijas?
5.1.6 Ar įvykdytas įvairių vartotojų mokymas?
6. SISTEMOS DIEGIMAS
6.1 Įsitikinti, kad sistemų priėmimo eksploatuoti valdymas yra saugus (tik išbandytos ir patvirtintos sistemos yra priimamos ir diegiamos), o visa programos
dokumentacija, operacijų vadovai ir vartotojo vadovai yra išsamūs ir paruošti naudoti:
6.1.1 Ar parengtas išsamus įgyvendinimo planas siekiant užtikrinti, kad tinkamai kontroliuojamas perėjimas nuo senųjų sistemų prie naujos sistemos?
Išsamus įgyvendinimo planas turi apimti tokius etapus: funkcines specifikacijas, programavimą, bandymai lygiagrečiai veikimą, perėjimas (migravimas į naują
sistemą), mokymą ir dokumentus, poveikį techninei ir programinei įrangai, vietos parengimą ir formų projektavimą.
6.1.2 Ar formali procedūra įtraukiant visas dalyvaujančias šalis į patvirtinimą ir priėmimą (vadovybė, IT departamentas, vartotojai)?
6.1.3 Ar yra išsamus pertvarkymo planas, kuris apima sistemų patikrą, pradinių bylų sudarymą, suderinimą, IT personalo ir naudotojų mokymą, laiko ir
galingumo reikalavimus ir instrukcijas ar vartotojų vadovus?
6.1.4 Ar pasirengta atkurti failus tuo atveju, jei bus susiduriama su problemomis konvertavimo (migravimo į naują sistemą) metu (nesuderintos sumos,
trūkstami duomenys, kt.), parengti atsarginės veiklos scenarijai ir IS atstatymo aplinka?
Priedai
94
Informacinių sistemų kūrimo kontrolės vertinimo etapai Nuoroda į
COBIT
6.1.5 Ar atliktas bandomasis sistemos prototipo bandymas?
6.1.6 Ar tinkamai atliktas galutinis priėmimo bandymas – testavimas, t. y. nepalankiausiomis sąlygomis, apkrovos bandymai, saugumo testavimai?
6.1.7 Ar atlikti galutinių vartotojų mokymai?
7. IS PALAIKYMAS - EKSPLOATAVIMAS
7.1 Įsitikinti, kad įdiegtos procedūros užtikrinančios sklandų ir tikslų duomenų apdorojimą ir kad sistemos pakeitimai yra tinkamai patvirtinti (įgaliotų
asmenų):
7.1.1 Ar sistemos veiklos išlaidos registruojamos, analizuojamos ir stebimos?
7.1.2 Ar nustatytos procedūros leidžiančios stebėti ir kontroliuoti sistemos išlaidas, o šie įrašai tinkamai saugomi?
7.1.3 Ar sistemos atkūrimo planas reguliariai peržiūrimas ir išbandomas?
8. IS PERŽIŪRA PO DIEGIMO
8.1 Įsitikinti, kad sistema atitinka vartotojų poreikius (reikalavimus) ir pasiekti planuoti tikslai:
8.1.1 Įvertinti, ar IS efektyvumas yra reguliariai stebimas ir sistema atitinka vartotojų poreikius, t. y.:
8.1.1.1 Vykdomos vartotojų apklausos
8.1.1.2 Nagrinėjamos rezultatų išvesties ataskaitos
8.1.1.3 Kompiuterių naudojimo ataskaitų nagrinėjimas
8.1.1.4 Sistemos reakcijos laikas
8.1.1.5 Nagrinėjimas redagavimo klaidų lygis ir failų priežiūros ataskaita
8.1.2 Įvertinti, ar atliekama projekto rezultatų analizė:
8.1.3 Įgyvendinimo laikas;
8.1.4 Įgyvendinimo sąnaudos;
8.1.5 Atitiktis eksploatacinių charakteristikų standartams.
Atliekant IS kūrimo kontrolės testavimą rekomenduojama naudotis:
1. ISACA Sistemų projektavimo ir projektų valdymo audito programa12
.
2. COBIT IT kokybės užtikrinimo vadovu13
3. A. Saulis, O. Vasilecas. Informacinių sistemų projektavimo metodai. Mokomoji knyga. VGTU, 2008 m.
4. Taikomųjų programų ir sistemų projektavimas –Medžiaga CISSP egzaminui pasirengti14
.
12 Systems Development and Project Management Audit/Assurance Program (Jan 2009), ISACA, 2009, USA. 13 IT Assurance Guide: Using COBIT, ISACA 2007, USA. (2012 m. vertimas į lietuvių kalbą). 14 Official (ISC) Guide to the CISSP Exam, Chapter 4: Applications and Systems Development.
Priedai
95
Informacinių sistemų audito vadovo
12 priedas
Taikymo kontrolės testavimas
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
1. ORGANIZACIJA IR VALDYMAS
1.1 Įsitikinti, ar tinkamai paskirstyta vadovybės atsakomybė už kiekvieną taikomųjų programų palaikymo ir veikimo aspektą:
1.1.1 Vartotojas (arba pagrindinis vartotojas) yra apibrėžiamas kaip taikomosios programos savininkas.
1.1.2 Taikomųjų programų palaikymas ir sprendimai dėl jų tolimesnio vystymosi yra oficialiai valdomi, pageidautina, kad tą darytų savininkas.
1.1.3 Taikomosios programos darbas ir jos įnašas į operacinę to padalinio, kurio dalis ji yra, funkciją yra aktyviai valdomas, pageidautina, kad tą darytų savininkas.
1.1.4 Apibrėžta duomenų, naudojamų taikomojoje programoje, nuosavybė.
1.1.5 Kompiuterinio centro ir bet kurių kitų trečiųjų šalių (pavyzdžiui, programinės įrangos įdiegimo vietų) pareigos dėl darbo su taikomosiomis programomis ir
parama joms yra atliekamos pagal paslaugų lygio sutartis (pagal kontraktus trečiųjų šalių atveju).
1.1.6 Visi padaliniai, atsakingi už duomenų įvestį arba rezultatų gavimą, yra žinomi, o jų pareigos (dėl laiko, kokybės, apsaugos ir t. t.) yra oficialiai nustatytos.
1.1.7 Atsakomybės dėl saugomų duomenų tikslumo ir nuolatinio teisingumo pasidalinimas yra aiškus (galutinė atsakomybė paprastai turėtų tekti vartotojui).
1.1.8 Atsakomybė už taikomosios programos apsaugos ir kontrolės reikalavimų nustatymą ir vykdymą yra paskirstyta, atsižvelgiant į bendrą institucijos apsaugos
gaires ir įprastines IT padalinio apsaugos priemones.
1.1.9 Atsakomybė už dokumentacijos, įskaitant vartotojo vadovus, pateikimą ir palaikymą yra apibrėžta.
1.2 Užtikrinti, kad darbo su taikomosiomis programomis sąnaudos yra identifikuotos ir kad jos nuolat kontroliuojamos:
1.2.1 Darbo su kompiuteriais sąnaudos yra paskirstytos ir taikomosios programos dalis yra nustatyta.
1.2.2 IT padalinio pridėtiniai ir personalo sąnaudos yra nustatytos ir paskirstytos programoms.
1.2.3 Darbo sąnaudos yra pranešamos taikomosios programos savininkui ir tiems, kurie yra atsakingi už išteklių valdymą, bei peržiūrimos pagal institucijos nuostatas.
1.2.4 Taikomosios programos palaikymo ir plėtimo sąnaudos yra nustatytos ir apie jas pranešta.
1.2.5 Kūrimo ir palaikymo užduotims yra sudarytos sąmatos, kurias patvirtina savininkas arba išteklių valdytojas ir kurios yra naudojamos darbui kontroliuoti.
SVARBU Klausimynas neskirtas pateikti audituojamam subjektu, jį pildo pats auditorius kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir
analizuodamas surinktus įrodymus.
Klausimynas sudarytas pagal ISACA IS audito gairių rekomendacijas ir COBIT IT valdymo metodiką, kuri leidžia įvertinti subjekto taikomų IT metodų visumą.
Priedai
96
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
1.3 Įsitikinti, ar yra visa pagal taikomųjų programų rūšis ir institucijos poreikius reikalinga dokumentacija (ji nebūtinai gali būti popieriniu pavidalu, jei jos
prieinamumas ir patikimas saugojimas yra užtikrinti):
1.3.1 IS specifikacijoje aprašomi taikomosios programos duomenys ir apdorojimas taip, kad tai būtų efektyvi komunikacinė priemonė tarp vartotojų ir IT teikėjų.
1.3.2 IS specifikacija yra nuolat atnaujinama.
1.3.3 IS specifikacija atitinka institucijos dokumentų standartus ir sistemų vystymo metodiką.
1.3.4 Į tai įeina (arba atskiru dokumentu nurodomi) vartotojo kontrolės poreikiai ir bet kokie kiti specialūs reikalavimai taikomajai programai.
1.3.5 Struktūrizuota programinė dokumentacija, įskaitant visų šaltinių sąrašus, yra pastoviai atnaujinama.
1.3.6 Institucijos teisės gauti dokumentaciją ir šaltinių sąrašus, kuriuos parengė išoriniai rangovai, yra garantuojamos, net jei tiekėjas bankrutuoja (pavyzdžiui,
perduodant dokumentus trečiojo asmens saugojimui).
1.3.7 Operatorių pareiginiai aprašymai yra atnaujinami ir apima specialius reikiamus veiksmus (pvz., reagavimas į klaidingus pranešimus, nenormalus nutraukimas ir
t. t.).
1.3.8 Vartotojo vadovuose išsamiai aprašomos pareigos bei procedūros ir jie yra pastoviai atnaujinami.
2. DUOMENŲ ĮVESTIES KONTROLĖS VERTINIMAS
2.1 Įsitikinti, kad autorizuoti visi įvedami duomenys (ir tik autorizuoti):
2.1.1 Priėjimo kontrolė užtikrina, kad tik asmenys, turintys tam leidimą, gali prieiti prie įvesties procesų.
2.1.2 Duomenys yra įvedami iš autorizuotų dokumentų, patikrinus jų galiojimą (paprastai parašą) duomenis įvedantis asmuo arba tai daroma preliminariame
kanceliarinio patikrinimo etape.
2.1.3 Dokumentai, naudojami duomenų įvesčiai, yra iš eilės numeruojami ir jų galiojimą bei seką tikrina kompiuteris ar darbuotojas.
2.1.4 Įvedami duomenys, be autorizuotų dokumentų transkripcijos, yra autorizuojami pagal jų svarbą prieš juos apdorojant. (Kur tinka, tai gali būti atliekama
statistiniu pagrindu). Metodai apima:
2.1.4.1 įvedamų duomenų laikymas atskirame kompiuterio faile, kol juos įveda pats prižiūrintysis asmuo;
2.1.4.2 vėliausiai įvestų duomenų pažymėjimas, kad juos būtų galima peržiūrėti;
2.1.4.3 atspausdintų duomenų autorizavimas po to, kai jie jau buvo įvesti, prieš tikslesnį jų apdorojimą.
2.1.5 Autorizuotų ir patikrintų dokumentų perdavimas yra kontroliuojamas juos grupuojant.
2.1.6 Atspausdinti įvestų duomenų patvirtinimai yra siunčiami įgaliotiems pareigūnams, kurie juos patvirtindami pasirašo.
2.1.7 Nuolatinių duomenų pakeitimai yra tinkamai autorizuoti.
2.1.8 Programuoti patikrinimai užkerta kelią duomenų, kurie logiškai negali būti autorizuoti, pvz., mokėjimai, viršijantys turimą biudžetą, įvedimą ir apdorojimą.
2.2 Įsitikinti, ar duomenų įvestis į taikomąsias programas yra tiksli ir išsami (Įvestis apima ir sandorius, ir nuolatinius / referencinius duomenis):
2.2.1 Naudojama grupavimo kontrolė, įskaitant visas bendras jautrias sritis ir atliekamas teigiamas patikrinimas, kuriam reikia, kad visi bendri skaičiai sutaptų.
2.2.2 Galiojimo patikrinimus atlieka programa, užtikrinanti, jog duomenys buvo įvesti jų formatas toks, kokio ir buvo tikėtasi kiekvienoje srityje; jie yra atitinkamoje
skalėje (pvz., nėra neigiami, kai tai logiškai neįmanoma; neviršija iš anksto nustatytų pagrįstų sumų; yra žinomoje tos rūšies duomenų sekoje (čekių numeriai ir t.t.).
Priedai
97
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
2.2.3 Jautrių duomenų atveju naudojama dvigubo rakto sistema.
2.2.4 Tiesioginei įvesčiai įrašai yra parodomi pateikiant bendras sumas, kurios yra patikrinamos ar suderinamos su atskirai nustatytomis bendromis sumomis.
2.2.5 Skaitmeninis patikrinimas yra naudojamas referencinių numerių atžvilgiu ir jų patvirtinimas yra faktiškai patikrinamas.
2.2.6 Patvirtinimas apima duomenų įvesties nuoseklumo testus (pvz.: debetai = kreditai, referenciniai numeriai sutampa su atitinkama aprašomąja medžiaga.)
2.2.7 Loginis patikrinimas yra atliekamas kartu su esamais įrašais, pvz., sąskaitų likučiais.
2.2.8 Nuolatiniai duomenys (ir kiti pagrindiniai duomenys) yra atspausdinami ir patvirtinami atsakingo vartotojo prieš juos panaudojant apdorojimui.
2.2.9 Darbas su klaidomis — kompiuteriniai suspenduotų duomenų, kuriuos atmetė sistema patvirtinimo ar apdorojimo metu, failai yra vedami ir procedūros,
užtikrinančios, kad suspenduoti duomenys yra greitai pataisomi ir įvedami iš naujo (neišvengdami normalios autorizacijos ir kitų įvedamų duomenų patikrinimų) arba
anuliuojami.
2.3 Pradinių duomenų rengimas ir patvirtinimas:
AC1
2.3.1 Pirminių duomenų [Source data] paruošimas – pirminiai dokumentai turi būti parengti įgaliotų ir kvalifikuotų darbuotojų vadovaujantis nustatytomis
procedūromis, turėtų būti numatytas tinkamas pareigų atskyrimas tarp šių dokumentų parengimo, patvirtinimo ir atskaitomybės.
2.3.2 Pirminių dokumentų projektavimas [Source document design] – įvertinti, ar pradiniai dokumentai ir /ar duomenų įvesties ekranai [input screens] suprojektuoti
su iš anksto nustatytu kodavimu, pasirinkimais, ir t.t., siekiant skatinti užbaigti laiku ir sumažinti klaidų galimybę.
2.3.3 Pirminių duomenų apdorojimas (procedūros):
2.3.3.1 Nustatyti, ar sistemos dizainas suteikia identifikavimo ir valdymo leidimo lygius.
2.3.3.2 Įsitikinti, peržiūrinti autorizavimo sąrašus, kad leidimo [authorization] lygis tinkamai nustatytas kiekvienai operacijų [transactions] grupei. Stebėti, ar
leidimo [authorization] lygiai yra tinkamai taikomi.
2.3.3.3 Paklausti ir patvirtinti, ar taikomosios programos dizainas (suprojektuota sistema) leidžia naudoti iš anksto patvirtintus leidimo [authorization] sąrašus ir
susietus parašus naudoti nustatant, kad dokumentai buvo tinkamai patvirtinti.
2.3.3.4 Paklausti ir patvirtinti, kad sistemos dizainas (suprojektuota sistema) skatina peržiūrėti formų užbaigtumą ir leidimus [authorization], ir nustato situacijas
kai buvo bandoma apdoroti atsiradusius neužbaigtus ir/ar neautorizuotus dokumentus.
2.3.4 Duomenų įvesties leidimas [authorization]:
2.3.4.1 Kai reikalaujama pagal procedūras, įsitikinti, kad įdiegtas tinkamas pareigų atskyrimas tarp sukūrimo ir patvirtinimo [originator and approver].
2.3.4.2 Nustatyti, ar pareigų atskyrimo (suderinamumo) [SOD] lentelė yra ir peržiūrėti, ar tinkamai atskirtos pagrindinės rolės (funkcijos) [duties].
2.3.5 Formos projektas [Form design] – ar geras duomenų įvesties formos dizainas (projektas), ar jis sumažina klaidų ir neatitikimų skaičių?
2.3.6 Operacijų identifikatorius [Transaction identifier] – paklausti ir įsitikinti, kad kiekvienai operacijai [transaction] yra priskiriami unikalūs ir nuoseklūs eilės
numeriai.
2.3.7 Pirminių dokumentų dizainas [Source document design] – įsitikinkite, kad visi pirminiai dokumentai apima standartinius komponentus, yra tinkamai
dokumentuoti (pvz.: atlikimas laiku, išankstinės įvesties kodai [predetermined input codes], reikšmės pagal nutylėjimą [default values] ir yra patvirtinti [authorized]
vadovybės.
2.3.8 Klaidų aptikimas – ar klaidos ir nesutapimai nustatomi, apie juos pranešama ir jie ištaisyti?
2.3.9 Dokumento klaidų aptikimas:
2.3.9.1 Paklausti ir įsitikinti, kad nustačius atvejį IS suprojektuota sekti ir teikti ataskaitas apie neužbaigtus ir/ar neleistinus (unauthorized) dokumentus kurie yra
Priedai
98
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
atmesti ir gražinti pataisyti savininkui.
2.3.9.2 Paklausti ir įsitikinti, ar įrašai [logs] yra periodiškai peržiūrimi, dokumentų grąžinimų priežastys analizuojamos ir imamasi koreguojančių veiksmų.
2.3.9.3 Nustatyti, ar stebimas korekcinių veiksmų veiksmingumas.
2.4 Pradinių duomenų rinkimas ir įvestis
AC2
2.4.1 Pasirengimas duomenų įvesties įvedimui [data input preparation input] – ar duomenų įvestis atlikta laiku ir ją atliko įgalioti bei kvalifikuoti darbuotojai?
2.4.2 Pirminių dokumentų kriterijai [Source document criteria] – paklausti ir įsitikinti, kad pirminių dokumentų atlikimo laiku, užbaigtumo ir tikslumo kriterijai yra
nustatyti ir išplatinti [communicated].
2.4.3 Pirminių dokumentų rengimas – patikrinti procedūrų dokumentavimą ir įsitikinti, kad yra atlikimo laiku, užbaigtumo ir tikslumo kriterijai ir jie tinkamai pateikti
[represented].
2.4.4 Koregavimas ir klaidingų duomenų pakartotinė įvestis [reentry of erroneous data] – ar pataisymai ir pakartotinė duomenų, kurie buvo įvesti klaidingai, įvestis
atliekama nepakenkiant pradiniam operacijos (transaction) patvirtinimo lygiui [authorization levels]?
2.4.5 Nenuoseklūs (ne iš eilės) ir trūkstami pirminiai dokumentai:
2.4.5.1 Paklausti ir įsitikinti, ar yra sukurta politika ir procedūros siekiant nustatyti kriterijus kritinių operacijų grupių idenfikavimui ir kuriems reikalaujama
išankstinio pirminių dokumentų sunumeravimo arba kitų unikalių būdų pirminiams duomenis identifikuoti.
2.4.5.2 Paklausti ir įsitikinti, kad kritiniai pirminiai dokumentai iš anksto sunumeruoti ir nenuoseklios numeracijos atvejai yra identifikuoti ir suskaičiuoti
(fiksuoti).
2.4.6 Duomenų redagavimas:
2.4.6.1 Paklausti ir įsitikinti apie kiekvieną pagrindinę grupę operacijų [transactions], ar dokumentuoti kriterijai nustatantys leidimo [authorization] įvesti,
redaguoti, priimti, atmesti ir panaikinti operacijas ar duomenis.
2.4.6.2 Palyginti faktinę prieigos kontrolės būklę su operacijų [transaction] įvesties, redagavimo, patvirtinimo ir t. t. kriterijais pagal politiką ar procedūras.
2.4.6.3 Patikrinti, ar kritiniai (ypač didelės svarbos) pirminiai dokumentai yra iš anksto sunumeruoti arba naudojami kiti unikalūs metodai identifikuoti pirminius
duomenų naudojimo šaltinius.
2.4.6.4 Patikrinti dokumentus ir nuosekliai peržiūrėti operacijas [transactions] siekiant nustatyti darbuotojus kurie gali įvesti, redaguoti, leisti [authorize],
patvirtinti ir atmesti operacijas [transactions] ir panaikinti klaidas.
2.4.6.5 Paimti operacijų [transactions] iš nustatyto tam tikro laikotarpio pavyzdžius ir patikrinti šių operacijų [transactions] pirminius dokumentus. Įsitikinkite,
kad visi atitinkami pirminiai dokumentai yra prieinami.
2.4.7 Klaidų taisymas:
2.4.7.1 Paklausti ir įsitikinti, kad yra dokumentuotos klaidų taisymo, [out-of-balance conditions] ir įrašų panaikinimo [entry of overrides] procedūros.
2.4.7.2 Nustatyti, ar procedūros apima mechanizmus laiku atliekamam [follow-up] taisymui, patvirtinimui ir pakartotiniam [resubmission].
2.4.7.3 Įvertinti klaidų pranešimų aprašymo, sprendimo [resolution] ir panaikinimo mechanizmų procedūrų tinkamumą.
2.4.8 Klaidų taisymo stebėsena – paklausti ir įsitikinti, ar klaidų pranešimai yra sukurti ir pateikti [communicated] laiku, operacijos [transactions] nėra vykdomos kol
klaidos neištaisytos arba atitinkamai panaikintos [overridden], klaidos negali būti taisomos nedelsiant, turi būti registruojamos [logged] ir patikrinus operacijos
veikimo tęstinumą [valid transaction processing continues], klaidų įrašai turi būti peržiūrėti ir įvykdyti [acted upon within] per nustatytą ir tinkamą laikotarpį.
2.4.9 Klaidų būklės stebėsena:
2.4.9.1 Paklausti ir įsitikinti, kad pranešimai apie klaidas ir pažeidimų pranešimai peržiūrimi atitinkamų darbuotojų; visos klaidos yra identifikuotos, pataisytos ir
Priedai
99
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
patikrintos per tinkamą laikotarpį; apie klaidas pranešama tol, kol jos dar neištaisytos [errors are reported until correcte]).
2.4.9.2 Nustatyti, ar klaidų ataskaitos paskirstomos kitam asmeniui, o ne pirminiam [distributed to someone other than the originating person]).
2.4.9.3 Peržiūrėti klaidas ir pažeidimų pranešimus, klaidų ištaisymus ir kitus dokumentus, kad patikrinti, ar klaidos ir pažeidimų pranešimai veiksmingai peržiūrėti,
pataisyti, patikrinti ir apie juos buvo pranešta iki taisymo.
2.4.10 Pirminių dokumentų išsaugojimas (išlaikymas) – kur reikalingas duomenų atkūrimas [for reconstruction], ar originalūs pirminiai dokumentai saugomi tinkamą laiką?
2.4.11 Pirminių dokumentų saugojimas:
2.4.11.1 Paklausti ir įsitikinti, kad yra politikos ir procedūros nustatančios dokumentų saugojimo politiką. Veiksniai, į kuriuos reiktų atsižvelgti vertinant
dokumentų saugojimo politiką:
2.4.11.1.1 Operacijų kritiškumas (Criticality of the transaction)
2.4.11.1.2 Pirminių duomenų išraiška (Form of the source data)
2.4.11.1.3 Saugojimo būdas (Method of retention)
2.4.11.1.4 Saugojimo vieta (Location of retention)
2.4.11.1.5 Saugojimo laikotarpis (Time period for retention)
2.4.11.1.6 Lengva ir prieinama dokumentų paieška (Ease of and availability of document retrieval)
2.4.11.1.7 Atitikties ir reguliavimo reikalavimai
2.4.11.2 Paklausti ir įsitikinti kaip numatyta saugoti pasirinktų operacijų srautų [transaction flows] pirminius dokumentus, kaip tai vykdoma, ar atitinka nustatytus
pirminių dokumentų išsaugojimo kriterijus.
2.5 Tikslumo, baigtumo ir autentiškumo tikrinimas
AC3
2.5.1 Operacijų tikslumas [Accuracy of transactions] – ar įvestos operacijos [transactions] tikslios, išsamios užbaigtos [complete] ir galiojančios? Ar įvesties
duomenys patvirtinti [validated]; redagavimo klaidos taisomos interaktyviai arba išsiunčiant pataisyti atgal kuo arčiau “kilmės vietos”[the point of origination]?
2.5.2 Operacijų redagavimas [Transaction edits]:
2.5.2.1 Paklausti ir įsitikinti, ar patvirtinimo [validation] kriterijai ir įvesties duomenų parametrai yra periodiškai peržiūrimi, patvirtinami ir atnaujinti laiku,
tinkamu ir įgaliotu [authorized] būdu.
2.5.2.2 Gauti funkcinį aprašymą ir operacijų duomenų įvesties projekto, konstrukcijos [design] informaciją. Patikrinti funkcionavimą ir konstrukciją [design], ar
yra atlikimo laiku ir baigtumo patikros ir klaidų pranešimai. Jei įmanoma, stebėti operacijos [transaction] duomenų įvestį.
2.5.2.3 Pasirinkti pirminių duomenų įvesties procesų pavyzdžius. Paklausti ir įsitikinti, kad esami mechanizmai užtikrina, kad pirminių duomenų įvesties procesas
atitinka nustatytus atlikimo laiku, baigtumo ir tikslumo kriterijus.
2.5.3 Operacijos tikslumo, baigtumas ir patikimumas [validity]:
2.5.3.1 Gauti duomenų įvesties kontrolės funkcijos aprašymą ir konstrukciją [design]. Patikrinti funkcijos ir konstrukcijos [design] kontrolės tinkamumą.
Kontrolės pavyzdžiai turi apimti nuoseklumą, apribojimą, diapazoną, galiojimą, protingumą, lentelių patikrinimą, buvimo, [key] patikros, kontrolinių skaičių,
baigtumo (pvz.: bendra pinigų suma, bendras skaičius, bendras dokumentų skaičius, maišos [hash] sumos), dubliavimo, loginių sąsajų tikrinimą ir redagavimo
laiką ir operacijų sustojimą [transaction cutoffs].
2.5.3.2 Pasirinkti pirminius dokumentus ir pirminių duomenų įvesties pavyzdžius. Naudojant tikrinimą, CAATs, ar kitas automatines duomenų [evidence] rinkimo
ir vertinimo priemones, patvirtinti, kad įvesti duomenys yra išsamūs [complete] ir tiksliai atspindi pradinius dokumentus.
Priedai
100
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
2.5.4 Operacijų prieigos kontrolė [Transaction access control]:
2.5.4.1 Ar prieigos kontrolės, vaidmenų [role] ir atsakomybės kontrolės priemonės įgyvendintos taip, kad tik įgalioti asmenys, kurių pareigos [duties] tinkamai
atskirtos nuo konfliktinių (nesuderinamų) funkcijų gali įvesti, redaguoti ir patvirtinti [authorize] duomenis?
2.5.4.2 Gauti paskutinės tapatybių (identity) valdymo peržiūros rezultatus ir nustatyti, ar buvo peržiūrimi anksčiau.
2.5.4.3 Ar yra nustatyti ir atitinka taisykles pareigų atskyrimo reikalavimai duomenų įvesties, redagavimo ir patvirtinimo [authorization] operacijoms.
2.5.4.4 Gauti pareigų atskyrimo lenteles nustatančias darbo funkcijas ir leidžiamas operacijas [transactions]. Jei nėra kontrolės priemonių, nustatyti, ar vertybių
[assets] apsaugos principai gali būti pažeisti dėl operacijų [transaction] prieigos teisių priskyrimo.
2.5.4.5 Paklausti ir įsitikinti, kad sukurtos operacijų duomenų įvesties, redagavimo ir operacijų duomenų patvirtinimo pareigų atskyrimo procedūros ir jos atitinka
nustatytus reikalavimus. Veiksniai į kuriuos reikia atsižvelgti vertinant pareigų atskyrimo politiką, tai ar ji apima operacijų sistemos kritiškumą [transaction
system] ir pareigų atskyrimo vertinimo būdus.
2.5.4.6 Svarbiausioms ar kritiškiausioms sistemoms, patikrinti duomenų įvesties konstrukciją [design], įsitikinti, kad duomenis įvesti gali (veikia leidimo kontrolė)
tik tinkami ir įgalioti asmenys.
2.6 Ūkinių operacijų autentiškumo ir vientisumo nustatymas:
AC6
2.6.1 Operacijų integracija su susietom aplikacijom [Transaction integration with interfacing applications]:
2.6.1.1 Peržiūrėti svarbiausių aplikacijų aprašymus ir dokumentaciją, įsitikinti, ar sukonstruota specifikacija reikalauja, kad būtų patikrintas įvesties autentiškumo
tinkamumas.
2.6.1.2 Paklausti ir įsitikinti, ar sistema suprojektuota aptikti operacijas gautas iš kitų apdorojimo programų, ar ši informacija analizuojama siekiant nustatyti
kilmės autentiškumą ir išlaikyti turinio vientisumą perdavimo metu.
2.6.1.3 Peržiūrėti operacijų su klaidingu autentifikavimu klaidų įrašus ir patikrinti priežastis.
3. DUOMENŲ APDOROJIMO KONTROLĖS VERTINIMAS
3.1 Įsitikinti, ar operacijų apdorojimas yra išsamus, aritmetiškai tikslus, o rezultatai (įskaitant gautus duomenis) – tinkamai suklasifikuoti ir tinkamai
užfiksuoti kompiuteriniuose failuose:
3.1.1 Sugrupuotos ar eilinės kontrolinės bendros sumos yra suderintos su bendru pasikeitimu atitinkamuose kontroliniuose įrašuose kompiuteriniuose failuose.
(Svarbu, kad sugrupuotų tipų struktūra ir kontroliniai įrašai būtų tokie, kad aptiktų netinkamą klasifikaciją.)
3.1.2 Kai programa generuoja duomenis (pvz., atlieka tokias aritmetines operacijas kaip valiutos konvertavimas ar peržiūri ir užrašo duomenis, kurie turi loginį, bet
ne aritmetinį ryšį su įvedamais duomenimis, pavyzdžiui, apmokėjimas), vartotojas atlieka patikrinimą pagal atskirai padarytą bendros sumos prognozę arba pagal
pavyzdines operacijas.
3.1.3 Į rezultatus įeina kontroliniai duomenų bankai ar ekranai, kuriuose atsakingi vartotojai gali iš tikrųjų patikrinti ir patvirtinti pagrindines kontrolines bendras
sumas.
3.1.4 Patvirtinimo kontrolė programoje apima:
3.1.4.1 užtikrinimą, kad (sugrupuotos) bendros sumos, nustatytos prieš duomenų apdorojimą, išlieka visiškai apskaitytos kiekviename etape;
3.1.4.2 nuoseklumo patikrinimus, kai įvedami duomenys reziumuoja jau turimą informaciją (pvz., kai duotas sąskaitos numeris ir pavadinimas);
3.1.4.3 programos atliekamus gautų sumų patikrinimus (suskaičiuotų, peržiūrėtų).
3.1.5 Kontroliniai skaičiai ir bendros sumos yra laikomi kiekviename duomenų faile, kurį gali pasiekti taikomoji programa.
Priedai
101
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
3.1.6 Kontroliniai skaičiai ir bendros sumos yra taikomi kiekvienai operacijų rūšiai.
3.1.7 Atskiri kontroliniai failai, laikomi kitame įrenginyje, yra naudojami patikrinti, kad buvo pakrauti atitinkamos versijos failai.
3.1.8 Rankiniu būdu parengtos kontrolinės bendros sumos yra laikomos ir laiku suderinamos su sistemos gaunamomis bendromis sumomis.
3.1.9 Darbas su klaidomis — tai duomenų, kuriuos atmetė sistema patvirtinimo ar apdorojimo metu, failų apskaita ir procedūros, užtikrinančios, kad klaidingi
duomenys būtų greitai pataisomi ir įvedami iš naujo (neišvengiant įprastinės autorizacijos ir kitų įvedamų duomenų patikrinimų) arba anuliuojami.
3.2 Įsitikinti, ar kitas apdorojimas (įskaitant tokią duomenų reorganizaciją kaip metų pabaigos/mėnesio pabaigos procedūros, kasdieniniai duomenų
teisingumo patikrinimai, ataskaitų ir analizių, tiesiogiai nesusijusių su įvestais duomenimis, parengimas, duomenų teikimas kitoms programos ir paklausimo
galimybės) yra atliekamas laiku ir duoda teisingus rezultatus:
3.2.1 Reguliaraus šio tipo apdorojimo tvarkaraštį kontroliuoja vartotojas; darbas yra inicijuojamas pagal jo nurodymus.
3.2.2 Vartotojo procedūrose nurodyta atsakomybė dėl patikrinimų, kuriuos reikia atlikti tokiais atvejais (pvz.: patikrinimas, kad apskaitytos sumos dera su
planuotomis, kad nauji bendrieji skaičiai kontroliniuose įrašuose atspindi prognozės koregavimus, kad valdymo informacinės ataskaitose kontrolinių bendrų sumų
pagalba nurodoma, kad jie apima visus planuotus duomenis).
3.2.3 Kai taikomajai programai priklausančius duomenis galima gauti padarius užklausimą, į apdorojimą, kuris parengia atsakymus, inkorporuojamas atitinkamas
patikrinimo lygis (pvz., kai yra svarbu, įrodymas, kad visi atitinkami įrašai buvo perskaityti, sukaupiant ir parodant visą sumą pagal įrašus toje pačioje kontrolinėje
sąskaitoje, kuri nebuvo pasirinkta).
3.2.4 Užklausų vartotojai ir kitų taikomųjų programų savininkai, naudojantys duomenis, žino, koks yra duomenų patikimumo lygis ir kokios yra programavimo
procedūros, kurias naudojant jie juos gauna.
3.3 Įsitikinti, ar gaunami visi ir tikslūs duomenys perduodami per tinklą (arba laikmenų pagalba) ir nėra tranzitinių duomenų praradimo ar atskleidimo:
3.3.1 Patikrinimo skaitmenų, sugrupuotų bei kitų kontrolinių bendrų sumų panaudojimas.
3.3.2 Skaitmeninių parašų naudojimas.
3.3.3 Duomenų įrašymo naudojimas.
3.3.4 Slaptažodžių naudojimas.
3.3.5 Nuoseklusis pranešimų ir operacijų numeravimas.
3.3.6 Ataskaitos, patvirtinančios gavimą, yra siunčiamos ir suderinamos su perduotų duomenų įrašais.
3.4 Tikslumo, baigtumo ir autentiškumo tikrinimas:
AC3
3.4.1 Operacijos klaidų pranešimai – Ar operacijų klaidų redagavimui ir patvirtinimo programai [routine] numatytos tęstinės stebėjimo [follow-up] procedūros ir
klaidos galiausiai pašalinamos. Ar pagrindinės klaidų priežastys nustatytos ir procedūros (apdorojimo) redaguojamos?
3.4.2 Klaidingų operacijų sustabdymas ir pranešimai apie jas:
3.4.2.1 Paklausti ir įsitikinti, ar yra elgesio su operacijų klaidų redagavimu ir patvirtinimo patikromis politika ir procedūros.
3.4.2.2 Peržiūrėti klaidų ištaisymus, pažeidimų sąlygas, įrašų panaikinimus ir kitus dokumentus siekiant patikrinti procedūrų tęstinumą.
3.4.3 Sustabdytų operacijų tęsimas [follow-up]:
3.4.3.1 Patikrinti klaidų ir pažeidimų pranešimus (ataskaitas), klaidų ištaisymus ir kitus dokumentus, siekiant įsitikinti, kad klaidų ir pažeidimų būklė [conditions]
tinkamai peržiūrėta, pataisyta, patikrinta ir pranešta iki ištaisymo.
Priedai
102
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
3.4.3.2 Paklausti ir įsitikinti, ar operacijų klaidų redagavimas ir patvirtinimas [routine] yra tinkamai stebimas kol jos pašalinamos.
3.5 Duomenų apdorojimo vientisumas ir patikimumas
AC4
3.5.1 Duomenų vientisumas ir patikimumas – Ar užtikrinamas vientisumas ir duomenų patikimumas viso apdorojimo ciklo metu ir ar netinkamų operacijų
[transactions] nustatymas netrikdo patikimų (galiojančių) operacijų apdorojimo?
3.5.2 Operacijų leidimas [Transaction authorization]:
3.5.2.1 Paklausti ir įsitikinti, ar operacijų apdorojimas vykdomas tik po tinkamo autorizavimo.
3.5.2.2 Paklausti ir patikrinti TP pavyzdžius ar tinkamai atkirtos pareigos. Patikrinti, ar pareigų atskyrimas įgyvendintas pagal nustatytas duomenų įvesties,
redagavimo ir operacijos patvirtinimo taisykles.
3.5.2.3 Pasirinktiems kritinių operacijų apdorojimo pavyzdžiams patikrinti, ar prieigos kontrolė apsaugo nuo neleistinos [unauthorized] duomenų įvesties.
Naudojant paieškos priemones, nustatyti atvejus, kai neįgalioti [unauthorized] darbuotojai gali įvesti, ar redaguoti duomenis.
3.5.3 Apdorojimo vientisumas [Processing integrity]:
3.5.3.1 Paklausti ir įsitikinti, ar koregavimai, panaikinimai ir ypač didelės svarbos operacijos nedelsiant detaliai peržiūrimos atsakingo asmens, kuris nevykdo
duomenų įvesties. Patikrinti audito seką [trail], kitus dokumentus, planus, politikas ir procedūras ir įsitikinti, ar koregavimai, panaikinimai ir ypač didelės reikšmės
operacijos sukurti taip, kad leistų peržiūrėti nedelsiant ir detaliai.
3.5.3.2 Patikrinti audito seką, kitus dokumentus, planus, politikas ir procedūras ir įsitikinti, ar koregavimai, panaikinimai ir ypač didelės reikšmės operacijos
suprojektuoti [design] ir išsamiai peržiūrimi. Patikrinti audito seką, operacijas ar paketų [batches] peržiūras ir kitus dokumentus; sekti [trace] operacijas viso
apdorojimo metu ir kai įmanoma, naudoti automatinius duomenų (įrodymų) surinkimo, įskaitant atrankinių [tipinių] duomenų [sample data], įterptų audito
modulių ar CAATS, siekiant patikrinti, ar vertintojo peržiūra veiksmingai užtikrina koregavimų, panaikinimų ir ypač didelės svarbos operacijų patikimumą laiku.
3.5.3.3 Peržiūrėti priemonių [tools] ir TP dokumentaciją, patikrinti, ar taikytinos ir tinkamos užduotims. Tam tikroms kritinėms operacijoms, peržiūrėti kodą [code] ir
įsitikinti, kad yra kontrolės priemonės ir jos TP veikia taip, kaip suprojektuota. Apdorojant tipinius pavyzdžius patikrinti, ar automatinės priemonės veikia kaip numatyta.
3.5.3.4 Įsitikinti, ar yra sukurta testinė sistema (ypač kritinėms operacijoms) kuri veikia kaip gamybinė sistema. Operacijų apdorojimas testinėje sistemoje leidžia
įsitikinti, ar galiojančios [valid] operacijos apdorojamos tinkamai ir laiku.
3.5.3.5 Patikrinti su duomenų įvestimi ar realaus laiko [online] apdorojimu susijusius klaidų pranešimus.
3.5.4 Operacijų apdorojimo klaidos [Transaction error processing)]:
3.5.4.1 Paklausti ir įsitikinti, ar failų sumų sutikrinimas atliekamas įprasta tvarka [routine] ir ar pranešama apie pažeidimų (neatitikimų) aplinkybes.
3.5.4.2 Patikrinti suderinimą ir kitus dokumentus, stebėti [trace] operacijas viso apdorojimo metu ir įsitikinti, ar suderinamumo patikrinimas veiksmingas: failų
sumos sutampa ar apie neatitikimų priežastis (būseną) pranešama atitinkamiems darbuotojams.
3.5.4.3 Peržiūrėti operacijos duomenų įvesties funkcijos aprašymą ir konstrukcijos [design] informaciją, patikrinti, ar operacijų klaidingo vykdymo redagavimas ir
galiojimo programa [routines] patalpintos į sulaikytus (tarpinius) failus: Įsitikinti, ar tarpiniai (sulaikyti) failai tinkamai ir nuosekliai gaminami [produced] ar
vartotojai informuojami apie operacijas atidėtas į tarpines (sustabdytas) paskyras [accounts].
3.5.4.4 Patikrinti operacijų sistemos pavyzdžius ar sustabdytų paskyrų [accounts] ir tarpinių (sustabdytų) failų operacijų klaidingo vykdymo redagavimas ir
patikrinimo programos [validation routines] apima tik dabartines klaidas. Patikrinkite, kad senesnės klaidingos operacijos buvo tinkamai panaikintos (pašalintos).
3.5.4.5 Įsitikinti, ar operacijų pavyzdžiuose duomenų įvestis neatidedama dėl nepatikimų operacijų [invalid transactions].
3.5.4.6 Nustatyti, ar operacijų klaidų redagavimas ir patvirtinimo programos [validation routines] yra talpinami į tarpinius (sustabdytus) failus.
Priedai
103
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
3.5.4.7 Įsitikinti, ar tarpiniai failai tinkamai ir nuosekliai gaminami.
3.5.4.8 Įsitikinti, ar vartotojai informuojami apie operacijas nukreiptas į sustabdytas paskyras [accounts].
3.5.5 Klaidų stebėsena ir tolesni veiksmai [Error monitoring and follow-up]:
3.5.5.1 Išanalizuoti reprezentatyvius operacijų klaidų pavyzdžius tarpinėse (sustabdytose) paskyrose [accounts] ir failuose, įsitikinti, ar operacijų klaidingo
patvirtinimo procesai [routines] tikrinami iki ištaisymo (atkūrimo).
3.5.5.2 Įsitikinti, ar tarpinės paskyros [accounts] ir failai klaidingų operacijų patvirtinimo programoje [routines] yra tik dabartinės klaidos. Įsitikinti, kad senesnės
buvo tinkamai pašalintos.
3.5.5.3 Įsitikinti, ar klaidų aptikimas ir pranešimas laiku atliktas ir išsamus [complete] ir ar pateikiama pakankamai informacijos operacijų koregavimui.
3.5.5.4 Įsitikinti, ar apie klaidas pranešama tinkamai ir laiku.
3.5.6 Apdorojimo srautas [Process flow)]
3.5.6.1 Gauti duomenų įvesties kontrolės funkcinius aprašymus ir konstrukcijos informacija:
3.5.6.1.1 Patikrinti funkcionavimą ir konstrukciją dėl eiliškumo ir dubliavimo klaidų, nuorodų vientisumo patikrinimą, kontrolės buvimą ir kontrolines [hash]
sumas.
3.5.6.1.2 Su paieškos priemonėmis nustatyti atvejus, kai klaidos buvo aptiktos neteisingai, ir atvejus, kai klaidų nebuvo aptikta.
3.5.6.2 Nustatyti ir įsitikinti, ar darbų seka yra nurodyta IT operacijose:
3.5.6.2.1 Paklausti ir įsitikinti, ar vykdomi darbai atitinka instrukcijas dėl darbų planavimo, kad duomenys nebūtų netinkamai papildomi, keičiami ar
prarandami apdorojimo metu.
3.5.6.2.2 Patikrinti pirminius dokumentus; stebėti operacijas viso apdorojimo metu; ir jei įmanoma, naudoti automatinį duomenų surinkimą, įskaitant
atrankinius (tipinius) duomenis, įterptuosius audito modulius ar CAATS operacijų stebėjimui, patikrinti, ar gamybos darbo (generavimo) [production
job] planavimo programos naudojamos efektyviai ir nurodo tinkamą darbų seką ir atitinkamus nurodymus sistemoms.
3.5.7 Unikalus operacijų identifikatorius [Unique transaction identifier]:
3.5.7.1 Paklausti ir įsitikinti, ar kiekvienai operacijai yra priskirtas unikalus ir nuoseklus eilės numeris arba identifikatorius (pvz.: indeksas, data, laikas).
3.5.7.2 Patikrinti pirminius dokumentus; stebėti operacijas viso apdorojimo metu; patikrinti, ar gamybos darbo (generavimo) [production job] planavimo
programos naudojamos efektyviai ir nurodo tinkamą darbų seką ir atitinkamus nurodymus sistemoms.
3.5.8 Audito seka [triails]:
3.5.8.1 Paklausti ir patvirtini ar operacijų apdorojimo audito seka yra prižiūrima (palaikoma), įskaitant, kas gali išjungti, ar ištrinti audito įrašus (seką):
3.5.8.2 Peržiūrėti audito seką ir kitus dokumentus siekiant patikrinti, ar audito seka sukurta efektyviai.
3.5.8.3 Įsitikinti, ar prieš ir po būsenos [before-and-after images] palaikomos ir periodiškai peržiūrimos atitinkamo personalo.
3.5.8.4 Paklausti ir patikrinti, ar operacijų audito seka prižiūrima (palaikoma) ir periodiškai peržiūrima neįprasta veikla.
3.5.8.5 Įsitikinti, ar peržiūra atlieka vadovas, kuris neįveda duomenų. Patikrinti audito seką, operacijas (ar paketus), peržiūras ir kitus dokumentus; stebėti
operacijas viso apdorojimo metu; patikrinti, ar periodinės peržiūros ir audito sekos palaikymas efektyviai nustato neįprastą veiklą ir vadovo peržiūra veiksminga
patikrinant pataisymų tvirtinimą [validity of adjustments], pašalinimus ir ypač didelės vertės operacijų atlikimą laiku.
3.5.8.6 Nustatyti, ar prieiga prie jautrių audito įrašų yra priskirta tik įgaliotiems darbuotojams ir ši prieiga stebima [monitored].
Priedai
104
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
3.5.9 Duomenų integralumas (vientisumas) sistemos pertrūkių metu:
3.5.9.1 Paklausti ir įsitikinti, ar naudojamos paslaugų programos [utilities], ir jei įmanoma, automatiškai palaikomas duomenų vientisumas duomenų apdorojimo
proceso pertrūkių metu.
3.5.9.2 Peržiūrėti audito seką ir kitus dokumentus, planus, politikas ir procedūras, patikrinti, ar sistemos pajėgumai skirti (suprojektuoti) automatiškai palaikyti
duomenų vientisumą.
3.5.9.3 Peržiūrėti aktualius pertrūkių atvejus turinčius įtakos duomenų vientisumui ir įsitikint ar naudojamos tinkamos ir efektyvios priemonės.
3.5.10 Didelės vertės ir koreguotų operacijų stebėsena [Monitoring of high-value and adjustment transactions]:
3.5.10.1 Paklausti ir įsitikinti, ar naudojamos tinkamos priemonės ir ribų [thresholds] palaikymas atitinka saugos reikalavimus. Patikrinti, ar priemonės veikia kaip
numatyta (suprojektuota).
3.5.10.2 Paklausti ir įsitikinti, ar vadovai (peržiūrėtojai) periodiškai peržiūri sistemos išvestį [output] ir ribas [thresholds].
3.5.11 Failų sumų sutikrinimas [Reconcile file totals]:
3.5.11.1 Paklausti ir įsitikinti, ar kontroliniai failai naudojami operacijų sumų ir piniginės vertės įrašymui ir ar reikšmės yra palyginamos po išsiuntimo [posting].
3.5.11.2 Nustatyti, ar naudojamos kitos failų kontrolės priemonės.
3.6 Ūkinių operacijų autentiškumo ir vientisumo nustatymas
AC6
3.6.1 Keitimosi duomenimis standartai:
3.6.1.1 Paklausti ir patikrinti, ar buvo sukurtas kritinių operacijų procesas užtikrinantis, kad pasirašyti atitinkami susitarimai su kitomis sandorių šalimis, įskaitant
ryšių ir operacijų pateikimo standartus, atsakomybę, autentiškumo ir saugos reikalavimus.
3.6.1.2 Paklausti ir įsitikinti, kad sistemos suprojektuotos taip, kad numatyti atitinkami vientisumo, autentiškumo ir nepakeičiamumo [nonrepudiation]
mechanizmai, pvz. saugos standartų priėmimas arba nepriklausomi patikrinimai.
3.6.1.3 Peržiūrėti dokumentaciją ir nustatyti aplikacijas kurios yra svarbios operacijos autentiškumui, vientisumui ir nepakeičiamumui. Paklausti ir patikrinti, ar
šioms programoms numatyti ir taikomi tinkami autentiškumo, vientisumo ir nepakeičiamumo mechanizmai (pvz., saugos standartai ar nepriklausomi patikrinimai).
3.6.1.4 Atlikti nuoseklų patikrinimą aplikacijos kodo pavyzdžių, patvirtinti, kad specifikacija ir konstrukcija pritaikyta. Įsitikinti, kad šios specifikacijos buvo
ištestuotos su teigiamu rezultatu.
4. DUOMENŲ IŠVESTIES IR SAUGOJIMO KONTROLĖS VERTINIMAS
4.1 Įsitikinti, kad rezultatai, pateikiami popieriuje, ekranuose, laikmenose arba elektroninio ryšio priemonėmis, yra teisingi ir visi:
4.1.1 Įrašų rezultatų patvirtinimo, skalės ir kiti patikrinimai atliekami kompiuterinėje programoje. Jei rezultatai nesutampa pateikiami įspėjamieji pranešimai.
Parengti nurodymai vartotojams (procedūra) ką daryti su tokiais įspėjamaisiais pranešimais.
4.1.2 Įdiegtos procedūros, duodančios atitinkamą pagristo atspausdintų rezultatų patikrinimo lygį (kuris gali būti įvairus, pradedant nuo nulio vidaus dokumentams,
kuriais sprendimai nėra grindžiami, ir baigiant 100 proc. pateiktiems su papildomais dokumentais (pvz., galbūt dideliems čekiams)).
4.1.3 Dėl mokėjimo gairių perdavimo bankams:
4.1.3.1 atsakingi vartotojai naudoja kontrolinių bendrųjų sistemų ir vienkartinius patikrinimus, kad būtų gautas pagrįstas užtikrinimas, jog faktiškai išsiųsta
informacija yra identiškai autorizuotajai;
4.1.3.2 iš anksto nustatytos ribos yra sutartos su banku dėl bendros sumos ir dėl atskirų sandorių;
Priedai
105
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
4.1.3.3 priėjimo ataskaitos yra greitai suderinamos (per laiką, kol galima atšaukti apmokėjimus);
4.1.3.4 suderinimas po apmokėjimo yra atliekamas greitai.
4.1.4 Rezultatų ataskaitos apima bendras sumas, kurias vartotojas suderina su bendromis sumomis, nustatytomis prieš įvedant duomenis (jei reikia ištirti skirtumus
pagal išsamius įvestų duomenų atspausdintus sąrašus).
4.2 Įsitikinti, kad rezultatai pasiekia visus, taip pat tik tuos, kuriems jie yra skirti:
4.2.1 Kompiuterių centro parengti rezultatai yra prižiūrimi ir išplatinami su atitinkama apsauga (asmeniškai).
4.2.2 Rezultatų (išvesties) gavėjų sąrašas reguliariai peržiūrimas ir nereikalingi arba klaidingi adresai yra išbraukiami.
4.2.3 Nedaromos perteklinės (be adresatų, neaišku kam skirtos) rezultatų (išvesties) kopijos.
4.2.4 Bendros apsaugos taisyklės, taikomos galutinių vartotojų personaliniams kompiuteriams, terminalams ir spausdintuvams, užtikrina pakankamą rezultatų
asmeniškumą, atsižvelgiant apsaugos ir slaptažodžių kokybės lygį.
4.2.5 Asmuo, atsakingas už taikomųjų programų apsaugos sprendimus, žino apie visas vartotojų grupes, turinčias priėjimą prie bet kokios formos rezultatų, ir
atitinkamai priima sprendimus dėl jų kontrolės. Loginė priėjimo prie taikomosios programos kontrolė atsižvelgia į visus priėjimus tinkluose, kuriuose ta programa
buvo įdiegta.
4.2.6 Visi planuojami rezultatai yra apskaitomi (pvz., serijinių numerių naudojimas, norint aptikti neautorizuotą išimtinių ataskaitų nuslėpimą).
4.2.7 Ataskaitos rengiamos reguliariai, net jei nėra problemos, apie kurią reikėtų pranešti (gavėjai turėtų įprasti gauti ataskaitas ir tada yra mažiau galimybių, kad bus
nepastebėta ataskaita, kurią kažkas, kas nenori, kad ataskaitos turinys taptų žinomas, nori nuslėpti).
4.2.8 Diskutuotinos, jautrios ar kritinės dokumentų formos (pavyzdžiui, čekiai) turėtų būti tinkamai parengiamos ar saugomos, kad būtų galima jas tinkamai
apsaugoti nuo vagysčių ar žalos. Turimas dokumentų formų kiekis pastoviai turėtų būti derinamas su jų sąrašu ir bet kokie neatitikimai turėtų būti rūpestingai
ištiriami.
4.3 Išvesties peržiūra, tikrinimas ir klaidų valdymas:
AC5
4.3.1 Išvesties peržiūra, tikrinimas ir klaidų valdymas – Ar procedūros ir susijusios atsakomybės užtikrina, kad išvestis valdoma leistinu būdu, perduodama
tinkamiems gavėjams, apsauga perdavimo metu numatyta ir įgyvendinta; vyksta išvesties tikslumo tikrinimas, aptikimas ir koregavimas; išvesties informacija
naudojama?
4.3.2 Išvesties saugojimo ir valdymo procedūros – Patikrinti išvesties valdymo ir saugojimo procedūrų privatumą ir saugą.
4.3.3 Duomenų paieškos (išrinkimo, užklausų) sąsajos:
4.3.3.1 Nustatyti, ar duomenų paieškos priemonėse yra duomenų išskleidimo generatoriai, ODBC sąsajos [open database connectivity] (Microsoft® Access ir
Excel) yra skirti tik darbiniams duomenims.
4.3.3.2 Įsitikinti, ar duomenų užklausų saugos priemonės veiksmingos atliekant atitinkamus kontrolės testus.
4.3.4 Jautrių (slaptų) duomenų išvesties stebėsena – Ar atliekamas fizinis inventorizavimas visų jautrių išvesčių, tokių kaip apyvartinės finansinės priemonės, jas
palyginant su inventorinio kiekio įrašais? Ar visoms išimtinoms paskyroms ir atmestiems jautriems išvesties dokumentams sukurtos procedūros su audito seka?
4.3.5 Jautrios (slaptos) išvesties platinimas [Distribution of sensitive output] – Jei aplikacija sukuria jautrius (slaptus) duomenis (išvestį), ar nustatyta kas gali juos
gauti, o išvestis (rezultatai) aiškiai pažymėti, kad būtų atpažįstama tiek žmonių tiek įrengimų, ir ar platinama atitinkamai? Jei būtina, ar jautrūs (slapti) duomenys
siunčiami į specialius kontroliuojamos prieigos išvesties įrenginius?
4.3.6 Kontrolinių sumų tikrinimas [Control total reconciliation)]:
4.3.6.1 Peržiūrėti projektavimo kriterijus ir įsitikinti, ar reikalaujama naudoti vientisumo užtikrinimo kontrolės procesus, tokius kaip antraštinių ir/ar galutinių įrašų
Priedai
106
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
sumų tikrinimas ir suderinimas išvesties su kontrolinėmis sumomis gaunamomis sistemoje.
4.3.6.2 Paklausti ir įsitikinti, ar procedūros reikalauja, kad neatitikties atvejai ir kiti nukrypimai nuo normos būtų nedelsiant tiriami ir apie juos pranešta.
4.3.6.3 Paklausti ir įsitikinti, ar kontrolinės sumos išvesties antraštėse ir /ar galutiniuose įrašuose tinkamai įgyvendintos ir suderinamos su kontrolinėm sumom
gaunamom sistemoje.
4.3.6.4 Paklausti ir įsitikinti, ar apie nustatytus neatitikimus pranešta atitinkamo lygio vadovybei. Peržiūrėti neatitikimų ataskaitas. Kur įmanoma, naudoti
automatinį duomenų surinkimą ieškant kontrolinių sumų klaidų, patikrinti, ar veikia tinkamai ir laiku.
4.3.7 Apdorojimo tikrinimas [Process validation]:
4.3.7.1 Paklausti ir įsitikinti, ar sukurtos procedūros užtikrinančios, kad peržiūrimas išvesties pagrįstumas, tikslumas arba kiti kriterijai nustatyti proceso savininkų.
4.3.7.2 Paklausti ir įsitikinti, ar procedūros sukurtos siekiant užtikrinti aplikacijos išvesties baigtumo ir tikslumo patvirtinimą prieš naudojant išvesties rezultatus
tolesniam apdorojime, įskaitant galutinių vartotojų TP apdorojimus.
4.3.7.3 Gauti sąrašą visų elektroninių išvesčių (rezultatų) kurie dar kartą panaudojami galutinių vartotojų programose. Įsitikinti, ar patikrinamas elektroninės
išvesties (rezultatų) baigtumas ir tikslumas prieš pakartotinai ją naudojant ir apdorojant.
4.3.7.4 Pasirinkti reprezentatyvius elektroninės išvesties pavyzdžius ir peržiūrėti pasirinktų dokumentų visą apdorojimo ciklą (baigtumo ir tikslumo užtikrinimą)
iki kitos operacijos atlikimo.
4.3.7.5 Pakartokite baigtumo ir tikslumo testus patikrinant ar jie efektyvūs.
4.3.8 Veiklos procesų savininkų atliekama išvesties peržiūra [Business owner output review]:
4.3.8.1 Paklausti ir įsitikinti, ar apie nustatytus neatitikimus pranešta, pranešimai sugeneruojami sistemoje ir sukurtos procedūros užtikrinančios ataskaitų
perdavimą tinkamo lygio vadovams.
4.3.8.2 Įvertinti, ar nustatytos procedūros reikalaujančios galimų klaidų registravimą ir jų sprendimo ataskaitų paskirstymą.
4.3.8.3 Paklausti ir įsitikinti, ar peržiūrimas išvesties pagrįstumas ir tikslumas.
4.3.8.4 Pasirinkti reprezentatyvius išvesties ataskaitų pavyzdžius ir patikrinti išvesties pagrįstumą ir tikslumą. Įsitikinti, ar apie galimas klaidas pranešta ir jos
centralizuotai registruojamos.
4.3.8.5 Pasirinkti reprezentatyvių operacijų pavyzdžius ir įsitikinti, kad klaidos identifikuotos ir sprendžiamos laiku.
4.4 Ūkinių operacijų autentiškumo ir vientisumo nustatymas
AC6
4.4.1 Išvesties žymė [Tag output]:
4.4.1.1 Gauti ir patikrinti susitarimus su šalimis dėl kritinių (svarbiausių) operacijų, įsitikinti, kad susitarimuose nurodyti reikalavimai ryšių ir operacijų
pateikimo standartams, atsakomybei, autentiškumo ir saugos reikalavimai.
4.4.1.2 Paklausti ir įsitikinti, ar sistemos suprojektuotos įtraukiant pramoninius standartus išvesties žymėjimui identifikuojant patvirtintą informaciją.
4.4.1.3 Peržiūrėti kritinių (svarbių) aplikacijų instrukcijas ir kitą dokumentaciją, įsitikinti, ar tekste apie specifikacijas ir konstrukciją nurodoma, kad išvestis
būtų tinkamai pažymėta su autentiškumo informacija.
4.4.1.4 Išrinkti tipinius operacijų pavyzdžius ir patikrinti, ar autentiškumo ir vientisumo informacija yra tinkamai perkeliama per visą apdorojimo ciklą.
4.4.1.5 Pasirinkti autentifikavimo klaidų pavyzdžius ir įsitikinti, ar susitarimai tarp šalių veikia efektyviai.
Priedai
107
Taikomųjų programų kontrolės vertinimo etapai Nuoroda į
COBIT
5. PAGRINDINIŲ DUOMENŲ BYLŲ KONTROLĖS VERTINIMAS
5.1 Įsitikinti, kad visi sistemoje saugomi nuolatiniai įrašai ar duomenys išlieka teisingi ir visi:
5.1.1 Atsakomybė už pastovių duomenų teisingumo patikrinimą yra suteikta duomenų bazės administratoriui arba atitinkamiems vartotojams.
5.1.2 Kontrolinės bendros sumos ar sugrupuotos bendrosios sumos yra naudojamos, norint kontroliuoti failų, kuriuose yra pastovūs duomenys, būklę.
5.1.3 Išliekamųjų ar referencinių duomenų sąrašai yra periodiškai patikrinami, kad būtų surūšiuoti atsakingo vartotojo dokumentai. Tai galima padaryti cikliniu ar
statistiniu pagrindu, priklausomai nuo rizikos, kurią sukelia klaidingi duomenys.
5.1.4 Pagrindinių duomenų bylų patikrai rekomenduojama naudoti CAAT.
Atliekant IS taikymo kontrolės testavimą rekomenduojama naudotis:
1. ISACA Taikomųjų programų audito programa15
.
2. COBIT IT kokybės užtikrinimo vadovu16
.
3. COBIT ir taikymo kontrolė: valdymo vadovu17
.
15 Generic Application Audit/Assurance Program, ISBN 978-1-60420-076-8, ISACA, 2009, USA. 16 IT Assurance Guide: Using COBIT, ISACA 2007, USA. (2012 m. vertimas į lietuvių kalbą). 17 COBIT and Application Controls: A Management Guide, ISACA 2009, USA.
Priedai
108
Informacinių sistemų audito vadovo
13 priedas
(2014-11-27 Nr. V-206).
Metodinių dokumentų sąrašas IS auditoriams
1. Valstybinio audito reikalavimai
2. Veiklos audito vadovas
3. Informacinių sistemų audito vadovas
4. Kiti audito procesą reglamentuojantys teisės aktai:
Veiklos audito strateginio tyrimo organizavimo ir vykdymo metodika
Valstybinio audito ataskaitos ir išvados įforminimo gairės
Valstybinio audito rekomendacijų pateikimo ir įgyvendinimo stebėsenos tvarkos aprašas
Valstybinių auditų organizavimo, kokybės užtikrinimo ir kontrolės taisyklės
Specialistų (ekspertų) ir išorės auditorių pasitelkimo ir jų darbo panaudojimo reikalavimai
Informacinių sistemų ir infrastruktūros audito departamento dalyvavimo kitų departamentų atliekamuose audituose tvarka
5. Tarptautinės buhalterių federacijos Tarptautinių audito ir užtikrinimo standartų valdybos išleisti Tarptautiniai audito standartai
6. Tarptautiniai aukščiausiųjų audito institucijų standartai (INTOSAI standartai)
7. INTOSAI gero valdymo gairės (INTOSAI GOV 9100-9999)
8. ISACA IS audito standartai:
IS audito standartai Standards for IS Audit and Assurance Aktuali versija
1001 Audito nuostatai Audit Charter 2013-11-01
1002 Organizacinis nepriklausomumas Organisational Independence 2013-11-01
1003 Profesinis nepriklausomumas Professional Independence 2013-11-01
1004 Pagrįsti lūkesčiai Reasonable Expectation 2013-11-01
1005 Reikiamas profesinis kruopštumas Due Professional Care 2013-11-01
1006 Patirtis Proficiency 2013-11-01
1007 Tvirtinimai Assertions 2013-11-01
1008 Kriterijai Criteria 2013-11-01
1201 Užduoties planavimas Engagement Planning 2013-11-01
1202 Rizikos vertinimas planuojant auditą Risk Assessment in Planning 2013-11-01
Priedai
109
IS audito standartai Standards for IS Audit and Assurance Aktuali versija
1203 Audito atlikimas ir priežiūra Performance and Supervision 2013-11-01
1204 Reikšmingumas Materiality 2013-11-01
1205 Įrodymai Evidence 2013-11-01
1206 Kitų ekspertų darbo naudojimas Using the Work of Other Experts 2013-11-01
1207 Nukrypimai ir neteisėti veiksmai Irregularities and Illegal Acts 2013-11-01
1401 Ataskaitų teikimas Reporting 2013-11-01
1402 Paskesnės priemonės Follow-Up Activities 2013-11-01
9. ISACA IS audito gairės:
IS audito gairės IS Auditing Guidelines Aktuali versija
2001 Audito nuostatai Audit Charter 2014-09-01
2002 Organizacinis nepriklausomumas Organisational Independence 2014-09-01
2003 Profesisnis nepriklausomumas Professional Independence 2014-09-01
2004 Pagrįsti lūkesčiai Reasonable Expectation 2014-09-01
2005 Reikiamas profesinis kruopštumas Due Professional Care 2014-09-01
2006 Patirtis Proficiency 2014-09-01
2007 Tvirtinimai Assertions 2014-09-01
2008 Kriterijai Criteria 2014-09-01
2201 Užduoties planavimas Engagement Planning 2014-09-01
2202 Rizikos vertinimas planuojant auditą Risk Assessment in Planning 2014-09-01
2203 Audito atlikimas ir priežiūra Performance and Supervision 2014-09-01
2204 Reikšmingumas Materiality 2014-09-01
2205 Įrodymai Evidence 2014-09-01
2206 Kitų ekspertų darbo naudojimas Using the Work of Other Experts 2014-09-01
Priedai
110
IS audito gairės IS Auditing Guidelines Aktuali versija
2207 Nukrypimai ir neteisėti veiksmai Irregularities and Illegal Acts 2014-09-01
2208 Audito atranka Audit Sampling 2014-09-01
2401 Ataskaitų teikimas Reporting 2014-09-01
2402 Paskesnės priemonės Follow-Up Activities 2014-09-01
10. ISACA pavyzdinės IS audito programos anglų k.:
Apache™ Web Services Server Audit/Assurance Program (Dec 2010)
Biometrics Audit/Assurance Program (Nov 2012)
Bring Your Own Device (BYOD) Security Audit/Assurance Program (Dec 2012)
Business Continuity Management Audit/Assurance Program (Sep 2011)
Change Management Audit/Assurance Program (Jan 2009)
Cloud Computing Management Audit/Assurance Program (Aug 2010)
Crisis Management Audit/Assurance Program (Aug 2010)
Cybercrime Audit-Assurance Program (Oct2012)
E-commerce and PKI Audit/Assurance Program (Oct 2012)
Generic Application Audit/Assurance Program (Jan 2009)
Identity Management Audit/Assurance Program (Feb 2013)
Information Security Management Audit/Assurance Program (Aug 2010)
IPv6 Security Audit/Assurance Program (Feb 2012)
IT Continuity Planning Audit/Assurance Program (Jan 2009)
IT Risk Management Audit/Assurance Program (Jan 2012)
IT Strategic Management Audit/Assurance Program (Dec 2011)
IT Tactical Management Audit/Assurance Program (Nov 2011)
Lotus Domino ServerAudit/Assurance Program (Nov 2011)
Microsoft Exchange Server 2010 Audit/Assurance Program (Sep 2011)
Microsoft Internet Information Services (IIS) 7.x Web Services Server Audit/Assurance Program (Feb 2011)
Microsoft SharePoint 2010 Audit/Assurance Program (Oct 2011)
Microsoft SQL Server Database Audit Assurance Program (July 2011)
Microsoft Windows File Server Audit/Assurance Program (Sep 2011)
Mobile Computing Security Audit/Assurance Program (Oct 2010)
MySQL™ Server Audit/Assurance Program (Dec 2010)
Network Perimeter Security Audit/Assurance Program (Jan 2009)
Outsourced IT Environments Audit/Assurance Program (Jan 2013)
Personally Identifiable Information (PII) Audit/Assurance Program (Jan 2013)
Security Incident Management Audit/Assurance Program (Jan 2009)
Security, Audit and Control Features Oracle Database, 3rd Edition (Dec 2009)
Security, Audit and Control Features Oracle E-Business Suite, 3rd Edition - Audit programs and ICQs (July 2010)
Priedai
111
Security, Audit and Control Features Oracle PeopleSoft, 3rd Edition (Jan 2012)
Security, Audit and Control Features SAP® ERP, 3rd Edition (Aug 2009)
SharePoint Deployment and Governance Using COBIT 4.1 Appendix C. Scorecard and Tool Matrix (Feb 2010)
Social Media Audit/Assurance Program (Feb 2011)
Systems Development and Project Management Audit/Assurance Program (Jan 2009)
UNIX/LINUX Operating System Security Audit/Assurance Program (Jan 2009)
VMware Server Virtualization Audit/Assurance Program (Feb 2011)
Voice-Over Internet Protocol (VOIP) Audit/Assurance Program (Jan 2012)
VPN Security Audit/Assurance Program (Oct 2012)
Windows Active Directory Audit/Assurance Program (Aug 2010)
z/OS Security Audit/Assurance Program (Jan 2009)
11. IT valdymo metodika COBIT (angl. Control Objectives for Information and Related Technologies), CobIT 4.1 lietuviškai.
12. COBIT, ISO27000 standarto ir teisės aktų sugretinimas.
13. COBIT IT kokybės užtikrinimo vadovas18
*
14. COBIT ir taikymo kontrolė: valdymo vadovas (anglų k.)19
* Iškilus neaiškumų ar ginčų dėl lietuviškos versijos dalykinio turinio, pirmenybė teikiama oficialiajai versijai, iš kurios buvo versta. Dėl minėtos priežasties audito metu
rekomenduojama papildomai naudotis angliškomis IS audito ar COBIT leidinių versijomis.
18 IT Assurance Guide: Using COBIT, ISACA 2007, USA. (2012 m. vertimas į lietuvių kalbą). 19 COBIT and Application Controls: A Management Guide, ISACA 2009, USA.