A Folyamatellenőrzés irányítási alapelv alkalmazása a Folyamatintegritás - célkitűzés kapcsán beazonosított kockázatok kezelésére
A Folyamatellenőrzés irányítási alapelv alkalmazásának célja annak biztosítása, hogy a megbízható üzleti működés és beszámolás céljai és a folyamatintegritás alapelv vonatkozásában releváns kontrolltevékenységek kialakítása és működtetése eredményes legyen.
A Folyamatellenőrzés irányítási alapelv sikeres alkalmazásának eredményei:
1) Az üzleti információk hozzáférésének, kiegészítésének, módosításának és egyéb felhasználásának kontrolltevékenységei módszeresen kialakításra és karbantartásra kerülnek.
2) Az általános és alkalmazási informatikai kontrollok kialakításra és karbantartásra kerülnek.
3) A folyamat-végrehajtási mutatók kigyűjtése és kiértékelése megtörténik.
A fenti eredményeket az alábbi irányítási gyakorlatok alkalmazásával lehet elérni:
Kontrolltevékenységek kialakítása és fenntartása. A kontrolltevékenységeket a hozzájuk kapcsolódó költségek és a megbízható üzleti működés és beszámolás céljainak elérését veszélyeztető kockázatok csökkentésére vonatkozó várható eredményességük figyelembe vételével választják ki és fejlesztik. [Eredmény: 1]
Összeférhetetlen tevékenységek szétválasztása. A vezetés szétválasztja az összeférhetetlen tevékenységeket, úgy, hogy azokat több alkalmazott között osztja meg, vagy azok szétválasztására informatikai alkalmazásokat vezet be.
A nyilvántartások ellenőrzése olyan esetekben, amikor a hozzáférés korlátozása nem célszerű. Olyan esetekben, amikor a nyilvántartásokhoz való hozzáférés korlátozása nem célszerű, a vezetés, a folyamatgazdák, vagy a belső ellenőrök szigorúan ellenőrzik a nyilvántartásokat az esetleges hibás állítás kiszűrése céljából.
A kiszervezett szolgáltatások értékelési jelentésének biztosítása. A vezetés tevékenységének egy részét alvállalkozásba adja harmadik félnek, melynek szerződéses kötelezettsége, hogy az alkalmazott kontrollokról a szervezet számára jelentést nyújtson, és gondoskodik egy független értékelési jelentés biztosításáról (pl. SOC 1 audit jelentés).
A különböző kontroll megközelítések költség-haszon értékelése. A vezetés a megállapított kockázatok kezelésének költségét különböző kontroll megközelítések alkalmazásával felméri, és összeméri a költségeket a kontrolloknak a kapcsolódó kockázatok csökkentésére vonatkozó eredményességével.
Szervezeti ábrák alkalmazása az összeférhetetlen funkciók azonosítására. Szervezeti- és folyamatábrák, vagy más, a tevékenységek dokumentálását szolgáló eszközök alkalmazásával a vezetés megállapítja az egyes funkciókban esetlegesen meglévő összeférhetetlenségeket és biztosítja a megfelelő feladatelhatárolást.
Helyettesítő kontrollok alkalmazása. Olyan esetekben, amikor a szűkös erőforrások miatt nem lehet eredményesen elhatárolni a megbízható üzleti működés és beszámolás céljait szolgáló feladatokat, a vezetés mérlegeli helyettesítő kontrolltevékenységek alkalmazását.
Informatikai kontrollok kialakítása és fenntartása. A megbízható üzleti működés és beszámolás céljai elérésének támogatására informatikai kontrollokat terveznek meg és vezetnek be, ahol azok alkalmazhatók. [Eredmény: 2]
Rendszerfejlesztési kontrollok alkalmazása. Az ide tartozó, a rendszerek megtervezésére és bevezetésére vonatkozó kontrollok segítenek a rendszerek megfelelő kifejlesztését, konfigurálását, jóváhagyását és termelésbe történő bevezetését biztosítani.
Változáskezelés kontrollok alkalmazása. Az ide tartozó, a rendszerek – legyenek azok alkalmazások, támogató adatbázisok vagy operációs rendszerek – módosításaira vonatkozó kontrollok segítenek biztosítani azt, hogy a változások a szükséges jóváhagyást követően kerüljenek végrehajtásra, valamint tesztelésük és bevezetésük megfelelő módon történjen.
Biztonsági és hozzáférési kontrollok alkalmazása. Az ide tartozó, a kritikus alkalmazásokat érintő és az adatbázisokat, valamint hálózatokat támogató kontrollok segítenek a vezetésnek biztosítani azt, hogy a hozzáférés a megfelelő engedélyezéssel rendelkezzen, illetve, hogy az adatok felhasználása, karbantartása, és az adatszolgáltatás megfelelően történjen.
Számítógép üzemeltetési kontrollok alkalmazása. A vezetés az ide tartozó kontrollokat a napi működés során alkalmazza, annak biztosítására, hogy a feldolgozás során felmerülő hibák vagy rendellenességek időben beazonosításra és javításra kerüljenek.
Alkalmazás kontrollok használata. A vezetés az adatbevitel területén kontrollokat alkalmaz annak meghatározására, hogy a tranzakciók rendelkeznek-e a megfelelő jóváhagyással, valamint, hogy azok helyesen és teljes körűen kerülnek-e feldolgozásra, úgy, hogy az elutasított tételek összegyűjtése és után követése biztosított.
A végfelhasználói informatikai alkalmazások azonosítása és védelme. A vezetés beazonosítja a jelentős végfelhasználói alkalmazásokat, ideértve a táblázatkezelőket és egyéb, a felhasználók által kifejlesztett programokat.
A kiszervezett tevékenységek felülvizsgálata. A vezetés felülvizsgálja az olyan kritikus fontosságú külső szállítók általános informatikai kontrolljait, amelyek a kritikus üzleti alkalmazásokat és/vagy informatikai támogató funkciókat hosztolják és/vagy támogatják.
A belső kontrollok eredményességének kiértékelése. A folyamatos és/vagy egyedi értékelések segítségével tudja a vezetés megállapítani azt, hogy kialakításra került-e és működik-e a megbízható üzleti működés és beszámolás belső kontrollrendszere. [Eredmény: 3]
Mérőszámok használata a teljesítmény nyomon követésében. A vezetés a folyamatokban működő kontrollok mérőszámait rögzítő felügyeleti tevékenységeket alakít ki annak céljából, hogy az aktuális teljesítményt nyomon tudja követni és össze tudja hasonlítani a teljesítmény célkitűzéssel.
Kontroll táblák kialakítása és bevezetése. A vezetés a felülvizsgálók számára – akik általában a folyamatokért és tevékenységekért, valamint azok kontrolljaiért első szinten felelős személyek ellenőrei – kontroll táblákat (ábrákat) alakít ki és vezet be, amelyet akkor alkalmaznak, amikor mérlegelik, hogy a kontroll teljesítmény a vártnak megfelelően alakul-e, figyelemmel kísérik-e a megfelelő mérőszámokat, valamint, hogy kivizsgálják és javítják-e az esetleges eltéréseket.
A mérőszámoknak a megbízható üzleti működés és beszámolás céljaihoz történő társítása. A vezetés igazolja, hogy a működéssel kapcsolatban figyelemmel kísért mérőszámok ésszerű kapcsolatban állnak a megbízható üzleti működés és beszámolás céljaival, így azok alkalmazhatóak a megbízható üzleti működés és beszámolás esetlegeses hiányosságainak mutatóiként.
Önértékelés alkalmazása. A vezetés önértékelési kérdőívet dolgoz ki az üzleti folyamatokra vonatkozóan a kontrollok végrehajtásában érintett alkalmazottak számára.
Az informatikai hálózat tesztelése. A vezetés rendszeres időközönként behatolási vizsgálat keretében teszteli a számítógépes hálózatot annak érdekében, hogy megállapítsa a külső kapcsolódással összefüggő belső kontrollok gyengeségeit.
Belső ellenőrzés alkalmazása. A vezetés a belső ellenőrzési terület segítségével alkot objektív képet a belső kontrollrendszer főbb elemeiről.
Az egyedi értékelések hatókörének és gyakoriságának meghatározása. A vezetés az egyes folyamatok és kontrolltevékenységek egyedi értékelésének végrehajtására ütemezést alakít ki, úgy, hogy a nagyobb kockázatú folyamatokat a belső ellenőrzés felülvizsgálja.