• Σήμερα είναι: Δευτέρα, 30 Νοεμβρίου, 2020

Το νέο πλαίσιο COSO και ο έλεγχος πληροφοριακών συστημάτων, Grant Thornton

Η επιτροπή COSO (Committee of Sponsoring Organizations of the Treadway Commission) εξέδωσε τον Μάιο του 2013 το ανανεωμένο πλαίσιο εσωτερικού ελέγχου. Το νέο πλαίσιο δεν τροποποιεί επί της ουσίας τις βασικές έννοιες του αρχικού πλαισίου του 1992 και συνεχίζει να αποτελείται από πέντε βασικούς πυλώνες: Control Environment, Risk Assessment, Control Activities, Information and Communication, Monitoring.

Αντιθέτως, βασιζόμενο στους 5 πυλώνες, αναδεικνύει 17 συγκεκριμένες βασικές αρχές (principles), οι οποίες αποτελούν και το πρότυπο, δίνει μεγαλύτερη έμφαση στο επιχειρησιακό και λειτουργικό περιβάλλον και εμπλουτίζει τις ανάγκες της πληροφόρησης με επιπλέον στοιχεία, πέρα των χρηματοοικονομικών.

Επιπλέον, το νέο πλαίσιο περιλαμβάνει τα σημεία εστίασης (focus points) που περιγράφουν τα χαρακτηριστικά κάθε μίας εκ των 17 αρχών και βοηθούν τους ενδιαφερόμενους να αξιολογήσουν εάν μία εκ των αρχών είναι παρούσα και λειτουργική. Τα σημεία εστίασης έχουν συμβουλευτικό χαρακτήρα και δεν είναι σαφείς απαιτήσεις. Δεν απαιτείται δηλαδή ξεχωριστή αξιολόγηση για κάθε σημείο εστίασης προκειμένου να αποδειχθεί ότι η σχετική αρχή είναι παρούσα και λειτουργική. Τα σημεία εστίασης στοχεύουν στο να βοηθήσουν τους ελεγκτές και τη διοίκηση να λάβουν υπόψη τους τις νέες αρχές, όπως έχουν διαμορφωθεί στο πλαίσιο του 2013, καθώς κάποια σημεία δεν είχαν αναπτυχθεί επαρκώς στο πλαίσιο του 1992, όπως, για παράδειγμα, η πρόληψη της απάτης και η χρήση των πληροφοριακών συστημάτων.

Το πλαίσιο του 2013 αναγνωρίζει τη σημασία της τεχνολογίας στην επίτευξη των στρατηγικών στόχων, της συμμόρφωσης στους νόμους και την ορθή διαδικασία παραγωγής αναφορών.

Πιο συγκεκριμένα, η αρχή 11 είναι εκείνη που εστιάζει στη λειτουργία των πληροφοριακών συστημάτων. Η αρχή 11 ορίζει ότι η εταιρεία έχει υιοθετήσει δικλίδες ασφαλείας σχετικά με τη χρήση της τεχνολογίας με σκοπό την επίτευξη των στόχων της.

«Principle 11 – The organization selects and develops general control activities over technology to support the achievement of objectives.

The following points of focus highlight important characteristics relating to this principle:

– Determines dependency between the use of technology in business processes and technology general controls.

– Establishes relevant technology infrastructure control activities.

– Establishes relevant security management process control activities.

– Establishes relevant technology acquisition, development and maintenance process control activities».

Το πρώτο εκ των 5 σημείων εστίασης της 11ης αρχής αναφέρεται στον λειτουργικό κίνδυνο που πηγάζει από την αξιοποίηση της τεχνολογίας. Η χρήση της τεχνολογίας στις καθημερινές διαδικασίες κάθε εταιρείας απειλείται με κινδύνους που αντιμετωπίζονται με την εγκατάσταση αναλόγων δικλίδων ασφαλείας. Το σύνολο των κοινών δικλίδων ασφαλείας που παρατηρούνται συχνά στα πληροφοριακά συστήματα των εταιρειών αναφέρεται ως γενικές δικλίδες ασφαλείας (Information Technology General Controls, ITGCs). Επιπλέον, υπάρχουν οι δικλίδες ασφαλείας που είναι παραμετροποιημένες εντός των εφαρμογών (application controls) και οι δικλίδες ασφαλείας που σχετίζονται με αυτοματοποιημένες διαδικασίες (automated controls).

Το δεύτερο σημείο εστίασης αναφέρεται στις δικλίδες ασφαλείας που σχετίζονται με τις υποδομές των πληροφοριακών συστημάτων. Κάθε εφαρμογή είναι εγκατεστημένη σε κάποιον κεντρικό υπολογιστή και κάθε προσωπικός υπολογιστής είναι συνδεδεμένος στο εσωτερικό δίκτυο της εταιρείας. Είναι λογικό να ειπωθεί ότι χωρίς τις υποδομές δεν θα ήταν δυνατόν να λειτουργήσει καμία εφαρμογή. Οι υποδομές ελέγχονται για την ασφάλειά τους, την ορθή συντήρησή τους, την καθημερινή παρακολούθησή τους, τη διαθεσιμότητά τους και τα σχέδια της επιχειρησιακής συνέχισης σε περίπτωση συμβάντος.

Το τρίτο σημείο εστίασης σχετίζεται με την ασφάλεια των πληροφοριακών συστημάτων και αναφέρει ότι κάθε εταιρεία θα πρέπει να διαθέτει σχετικές διαδικασίες διαχείρισης της ασφάλειας των πληροφοριών. Στόχος είναι να υπάρχει έλεγχος και παρακολούθηση στο επίπεδο των προσβάσεων στην εταιρεία αλλά και στη διαχείριση της πληροφορίας. Κοινές δικλίδες ασφαλείας για την αντιμετώπιση του κίνδυνου της ασφάλειας είναι η χρήση πολιτικών ασφαλείας, διαβάθμιση αρχείων, διαχωρισμός καθηκόντων, ενεργοποίηση συστημάτων καταγραφής, περιορισμός φυσικής πρόσβασης, αλλά και περιορισμός προσβάσεων σε κάθε επίπεδο τεχνολογίας. Οι προσβάσεις στα συστήματα πληροφορικής είναι πολυεπίπεδη, δηλαδή υπάρχουν προσβάσεις σε βάσεις δεδομένων, σε εφαρμογές, σε λειτουργικά συστήματα σε δίκτυα, σε ιστοσελίδες κ.λπ. Όλες οι προσβάσεις θα πρέπει να είναι ελεγχόμενες και τεκμηριωμένες.

Το τελευταίο σημείο εστίασης αναφέρεται στις διαδικασίες που αφορούν τον κύκλο ζωής κάθε συστήματος ή εφαρμογής. Ο κύκλος ζωής αποτελείται από την προμήθεια, την υλοποίηση, τη συντήρηση και την παρακολούθηση της κάθε εφαρμογής. Οι δικλίδες ασφαλείας που εφαρμόζονται σε κάθε φάση έχουν ως στόχο να επιτυγχάνονται οι επιχειρησιακές απαιτήσεις για την επίτευξη των στρατηγικών στόχων. Οι δικλίδες ασφαλείας που διέπουν την κάθε φάση ζωής ενός συστήματος εγγυώνται ότι οι δραστηριότητες της πληροφορικής είναι σε ευθυγράμμιση με τις ανάγκες των χρηστών και ότι οι επενδύσεις στην τεχνολογία αποδίδουν.

Το νέο πλαίσιο COSO, αν και με καθυστέρηση, έχει αναγνωρίσει τη σημασία της αξιοποίησης της τεχνολογίας για την επίτευξη των στρατηγικών στόχων. Η αρχή 11, που έχει προστεθεί στο νέο πλαίσιο, αποσκοπεί στο να συνδέσει τους κινδύνους που απορρέουν από τις λειτουργίες της εταιρείας με τις δικλίδες ασφαλείας που σχετίζονται με τα πληροφοριακά συστήματα. Η τεχνολογία σε κάθε εταιρεία υπάρχει για να υποστηρίξει τις επιχειρησιακές διαδικασίες και οι δικλίδες ασφαλείας των συστημάτων για να προστατέψουν από τους σχετικούς κινδύνους.

Για τον έλεγχο των συγκεκριμένων δικλίδων απαιτούνται γνώσεις πληροφορικής και εμπειρία σε επιχειρησιακά πληροφοριακά συστήματα. Για το λόγο αυτό, τα τμήματα εσωτερικού ελέγχου σε μεγάλους οργανισμούς και οι ομάδες εξωτερικών ορκωτών λογιστών διαθέτουν πιστοποιημένους επαγγελματίες ελεγκτές πληροφοριακών συστημάτων, ώστε να αναγνωρίζονται και να ελέγχονται ορθά οι κίνδυνοι που απορρέουν από τη χρήση της τεχνολογίας.