adozona.hu
Informatikai rendszerek az államháztartás szervezeteinél II.
Informatikai rendszerek az államháztartás szervezeteinél II.
Kiválasztott időállapot:
- Jogterület(ek):
- Érvényesség kezdete:
- Érvényesség vége:
MIRŐL SZÓL EZ A JOGSZABÁLY?
A nemzetközi gyakorlatban az IT rendszerek rendszerellenőrzése mellett, azt kiegészítve az adat-orientált ellenőrzés általánosan elfogadott gyakorlat és követelmény. A könyvvizsgálati standardok előírják, hogy a pénzügyi beszámolót a teljesség és pontosság szempontjából is vizsgálni kell, ami a gyakorlatban csak a pénzügyi IT rendszerek által előállított, a beszámolók alapját képező adatbázisok mélyreható elemzésével lehetséges.
A feladat végrehajtásához sajátos könyvvizsgáló szoftvereket fe...
Informatikai rendszerek az államháztartás szervezeteinél II.
(Kassó Zsuzsanna)
Működési és ellenőrzési kockázatok, ellenőrzési módszerek és technikák, nemzetközi tapasztalatok
V. Adatállományok ellenőrzési lehetőségei
Bevezetés
A nemzetközi gyakorlatban az IT rendszerek rendszerellenőrzése mellett, azt kiegészítve az adat-orientált ellenőrzés általánosan elfogadott gyakorlat és követelmény. A könyvvizsgálati standardok előírják, hogy a pénzügyi beszámolót a teljesség és pontosság szempontjából is vizsgálni kell, ami a gyakorlatban csak a pénzügyi IT rendszerek által előállított, a beszámolók alapját képező adatbázisok mélyreható elemzésével lehetséges.A feladat végrehajtásához sajátos könyvvizsgáló szoftvereket fejlesztettek ki, amelyek voltaképpen olyan felhasználóbarát adatbáziskezelők, amelyek a könyvvizsgálói munkamódszerekhez igazodnak, s nemcsak az adatbázisok elemzését támogatják, de az ellenőrzések elvégzését, az ellenőrzések tartalmát a könyvvizsgálói standardoknak megfelelően dokumentálják is.
Magyarországon az ÁSZ támogatásával magyar nyelven is rendelkezésre áll egy ilyen könyvvizsgáló program, a WinIDEA, amely még 1997-ben egy PHARE projekt támogatásával került honosításra. A szoftver ma már kereskedelmi termék, de az 1980-as években a kanadai számvevőszék kezdte el a fejlesztését. Az akkoriban újnak számító módszerrel ellenőrizték, "újraszámolták" valamennyi adóbevallás adatait, ami 18 millió adat ellenőrzését jelentette, s később ugyanezzel a technológiával ellenőrizték Kanada "főkönyvét". A mai napig ritka megoldásként ugyanis Kanada konszolidált mérlegbeszámolót nyújt be a Parlamentnek, amelyhez előzetesen az elemi beszámolókat IT módszerekkel is ellenőrzik.
Időközben a módszer széles körben elterjedt, s a közszférában és az üzleti szférában egyaránt alkalmazzák a tranzakció megközelítésű ellenőrzési módszereket. Pl. az Egyesült Királyságban már az 1990-es évek végén azok a könyvvizsgálók voltak előnyben a megbízásoknál, akik képesek voltak a könyvvizsgálatot számítógépes támogatással elvégezni, a kapcsolódó adatbázisok bizonyos szempontú teljes elemzésével, vizsgálatával, ami a hatékonyságot és a bizonyosság szintjét nagymértékben megnöveli.
Az IT támogatás azt is lehetővé teszi, hogy dokumentációs ellenőrzésre a tételek kiválasztását, a hibák hatásának teljes állományra történő kivetítését statisztikai módszerekkel oldják meg. Nagy adatállományok ellenőrzése esetében kézi módszerekkel hasonló lehetőség nincs.
Az IT technológia alkalmazása, az integrált rendszerek folyamatos elterjedése a könyvvizsgálókat is e technológia alkalmazására ösztönzik.
Az ellenőrzési nyomvonal és a tranzakció alapú ellenőrzés
A belső ellenőrzést szabályozó kormányrendelet vezette be a magyar ellenőrzési gyakorlatba az ellenőrzési nyomvonal (audit trail) fogalmát.A rendelet szerint a fogalom definíciója a következő: "a költségvetési szerv végrehajtási, pénzügyi lebonyolítási és ellenőrzési folyamatainak szöveges, illetve táblázatba foglalt és folyamatábrákkal szemléltetett leírása."
A nyomvonal kialakításához a PM útmutatót is kiadott, amely szerint meghatározott táblarendszerbe foglalva javasolt a nyomvonal dokumentálása, a következő dimenziók feltüntetésével:
tevékenység / feladat sorszáma;
tevékenység / feladat;
külső és belső jogi szabályozás;
előkészítő / koordináló / végrehajtó funkciót betöltő szervezeti egység, szerepkör;
keletkező input és output dokumentum;
felelős / kötelezettségvállaló funkciót betöltő szervezeti egység, szerepkör;
határidő;
folyamatba épített ellenőrzési / érvényesítési funkciót betöltő szervezeti egység, szerepkör;
utalványozási / ellenjegyzési funkciót betöltő szervezeti egység, szerepkör;
pénzügyi teljesítés;
könyvvezetésben való megjelenítés.
Az ellenőrzési nyomvonal fenti leírása elsősorban a kézi feldolgozás és a kapcsolódó dokumentumok ellenőrzését támogatja, s szinte nem ad támpontot az IT rendszerek ellenőrzéséhez szintén szükséges ellenőrzési nyomvonal értelmezéséhez.
IT rendszerekkel összefüggésben az ellenőrzési nyomvonalnak két - tartalmában elkülönülő - jelentése van:
1. Olyan lépésről-lépésre követhető adatfolyam leírás, amelyet követve a pénzügyi beszámolóban megjelenő, összegzett, aggregált adatok visszavezethetők az eredeti dokumentumokhoz, azaz az integrált rendszerekben is az analitikus jellegű és a főkönyvi könyvelés egyeztetési rendjét követve megtalálható annak a tranzakciónak az alapdokumentuma, amely számviteli feldolgozásra került.
Az útvonalnak oda-vissza "olvashatónak" kell lennie, azaz az összegzett adattól el kell tudni jutni az eredeti dokumentumokhoz, illetve fordítva megállapíthatónak kell lennie annak is, hogy adott tranzakció típus a beszámoló melyik adatában fog megjelenni.
2. Az informatikai rendszerek által generált hozzáférési napló, amely azt tartalmazza, hogy a rendszerek meghatározott részeihez melyik felhasználó mikor és milyen céllal fért hozzá, történt-e jogosulatlan hozzáférés, illetve megint más megközelítéssel, adott adat(halmaz) módosítása mikor és melyik felhasználó által történt meg.
Néhány példa a sajátos ellenőrzési lehetőségekről
Ellenőrzések, tesztek előkészítése: az úgynevezett "Mező statisztika" funkcióval áttekintő képet kaphatunk az adatállományról, azaz vannak-e benne negatív értékek, a rekordok száma - összehasonlítva a kísérődokumentummal - fontos kiinduló információ, legkisebb és legnagyobb értékek, az átlagok és a szórás alapján megítélhető az adott mezőhöz tartozó értékek nagysága, jellege.Adatállományok számszaki ellenőrzése: Meghatározott mezők kiemelésével, összekapcsolásával olyan adatállományok állíthatók elő, amelyek eredetileg egyáltalán nem álltak rendelkezésre. Ha az szükséges, számítási algoritmusok újra elvégezhetők, azaz megállapítható, ha az eredeti állományban számítási hibák vannak.
Adatállományok elemzése:
Az egyik leghasznosabb módszer az adatállományok rétegzése, amely funkció segítségével értéksávokba rendezhetők a tételek. Minden értéksávra kialakítható a tesztelési stratégia, s könnyen kiemelhetők a dokumentális ellenőrzésre kiválasztott tételek. Ugyanez a módszer alkalmazható az úgynevezett korosítási listák előállítására.
Az adatállományban szokatlannak minősülő tételek - túl kicsi vagy túl nagy összeg, a kifizetések kedvezményezettjének neve - egyaránt utalhat szokatlan helyzetre, aminek dokumentális vizsgálata indokolt.
Bizonyos időszak adatainak évek közötti összehasonlítása, elemzése
Folytonossági hiány, duplázott tételek kiszűrése: a bizonylatok azonosító száma vagy más ismérv alapján könnyen kiszűrhető, ami a teljesség vizsgálatához ad tesztelési lehetőséget és bizonyítékot, a leltár, a főkönyvi vagy analitikus könyvelés esetén egyaránt.
További sajátos ellenőrzési lehetőségek: A funkciók kombinálásával a könyvvizsgáló számos információt gyűjthet ki az adatállományokból. Pl. Több adatállomány azonos adatainak összehasonlítása, az eltérések kimutatása és vizsgálata; bizonyos szállítók-ügyfelek tranzakcióinak leválogatása, meghatározott időszak adatainak célzott leválogatása stb.
A tranzakciós ellenőrzések korlátai
Az előbbiekben ismertetett ellenőrzési módszerek és az ehhez alkalmas könyvvizsgáló szoftverek alkalmazásának erénye, hogy a vizsgált szervezet adatállományának átvételével, az ellenőrzött szervezet IT eszközparkjától elkülönült eszközön, a könyvvizsgáló számítógépén hajtható végre az ellenőrzés. Éppen ez a tulajdonság teszi lehetővé az esetleges rendszerhibák felfedését is.Ez a megoldás ugyanakkor egyben egyfajta hátrányt, az elterjedést gátló feltételt is jelent. A sokféle rendszerből az adatok átvétele és betöltése sokszor problémát okoz, amit informatikai szakemberek nélkül esetleg nem is lehet megoldani.
Másik feltétel - éppen a fentiek miatt - hogy csak bizonyos adatbázis méret felett érdemes az adatátvételi problémákkal megküzdeni, illetve statisztikai módszereket szintén csak nagy adatbázisok esetében lehet alkalmazni.
Fontos tudatosítani, hogy csak akkor érdemes a tranzakció típusú ellenőrzésekhez az adatok átvételével foglalkozni, ha tudjuk, hogy a tervezett elemzés-ellenőrzés milyen módon járulhat hozzá a könyvvizsgálati célok eléréséhez. A szoftver röviden ismertetett funkciói és a hatalmas adatállományok sokféle elemzési lehetőséget kínálnak, azonban csak az időt kötik le, ha az eredmények nem használhatók bizonyítékként, illetve nem szolgálják az ellenőrzési célokat.
1. számú melléklet
IT rendszerekkel összefüggő gyakori fogalmak jelentése
Adat: Az adat értelmezhető, de nem értelmezett ismeret. Eszerint az adat olyan ismeret, mely érzékelhető, észlelhető és felfogható. Az adat tehát rendelkezik a fenti tulajdonságokkal, de mégsem lesz belőle információ, mert a befogadó a három lehetőség legalább egyikére nem képes.Információ: Az információ értelmezett adat, tehát olyan adat, melyet érzékeltünk, észleltünk és felfogtunk.
Információs rendszer (IR): Az információ megszervezésével, rögzítésével, létrehozásával, tárolásával, visszakeresésével, feldolgozásával, átalakításával, továbbításával, illetve megsemmisítésével foglalkozó rendszert nevezzük információs rendszernek.
Adatkezelés: Jelentése nemcsak az adatfeldolgozás műszaki és nem műszaki értelemben vett területeit, hanem az adatok gyűjtésétől a felhasználásukig terjedő teljes folyamatot magába foglalja, így az adatokkal kapcsolatos bármely tevékenységet az alkalmazott eszközöktől és eljárásoktól függetlenül.
Biztonság: A biztonság olyan kedvező állapot, amelynek megváltozása nem valószínű. Ebből adódik, hogy minél kisebb a változás valószínűsége (mely sosem nulla), a biztonság annál nagyobb. Abszolút biztonság nem létezik, de a fenyegetettséget, a kockázatokat a minimálisra lehet csökkenteni.
Adatbiztonság: Az adatbiztonság az adatok jogosulatlan megszerzése, módosulása és tönkremenetele elleni műszaki és szervezeti megoldások rendszere. A gazdasági szervezetben adatbiztonságon egy olyan állapotot értünk, ahol az adatok, mint az információ-rendszer erőforrásai rendelkezésre állásának, bizalmasságának és sértetlenségének a fenyegetettsége minimális.
Rendelkezésre állás: A rendelkezésre állás annyit jelent, hogy a rendszer eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani képes (funkcionalitás) meghatározott helyen és időben (elérhetőség).
Bizalmas kezelés: A bizalmas kezelés szerint az adott dolgot csak korlátozott számú, arra jogosult személyek ismerhetik meg.
Sértetlenség: A fogalom azt jelenti, hogy valami az eredeti állapotának megfelel, teljes. Ezt kiegészíti a hitelesség, amely azt jelenti, hogy valaminek a forrása az, amit megjelöltek, és a tartalma az eredeti.
Globális adatbiztonság: A globális adatbiztonság azt jelenti, hogy az információ-technológiai rendszer valamennyi elemét külön-külön és együtt is folyamatosan vizsgálják az adatbiztonsági eljárások szempontjából. A vizsgálatok eredményétől függően a legjelentősebb veszélyforrásoknál a költségkereten belül korrigálják a rendszert. A hangsúly a rendszeres külső és belső, valamint részleges, illetve teljes vizsgálaton és az alapján az adatbiztonsági rendszer folyamatos módosításán, javításán van.
Adatbiztonsági rendszer: Olyan zárt rendszer, melyben az adatbiztonsági szabvány alapján kidolgozott eljárások, folyamatok összessége biztosítja, hogy az általa szabályozott IT-rendszerelemek működtetése dokumentált, visszakereshető, elemezhető és az adatbiztonságot támogató legyen.
Informatikai biztonság: Az informatikai biztonság azt az állapotot jelenti, amelyben az informatikai rendszer védelme - a rendszer által kezelt adatok bizalmassága, sértetlensége, hitelessége, illetve rendelkezésre állása és működőképessége szempontjából - zárt, teljes körű, folyamatos és a kockázatokkal arányos.
Adatvédelem: Az adatvédelem a hatályos jogszabályok és a vállalat érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok védelmét jelenti. Az adatvédelem alá vont adatok körét meghatározza egyrészt az adatok sebezhetősége és kockázati tényezőik, másrészt fontosságuk és a felhasználók részére képviselt értékük.
Üzleti titok: Üzleti titok minden olyan, a gazdálkodó egységre vonatkozó tény, információ, megoldás vagy adat, amelynek titokban maradásához a szervezetnek méltányolható érdeke fűződik.
Veszélyforrás: Veszélyforrásnak nevezzük azokat a lehetőségeket, melynek bekövetkezésekor a rendszer működésében nem kívánt állapot jön létre.
Védelmi módszer: Védelmi módszereken a fenyegetettség bekövetkezési valószínűsége, illetve a bekövetkezéskor jelentkező kár csökkentésére humán, technikai vagy jogi eszközökkel megtett intézkedéseket értünk.
Kriptológia: A biztonságos adatfeldolgozás, -tárolás és távközlés tudománya a kriptológia. Görög kifejezés, a kryptos "rejtett", a logos "szó" jelentésű.
2. számú melléklet
Az IT-rendszer vizsgálatának általános szempontjai
Adatbiztonság jogszabályi megfelelőségének vizsgálataAdatkezelés
Adatkezelés célhoz kötöttsége
Az adatok minősége
Adattovábbítás, az adatkezelések összekapcsolása
Adattovábbítás külföldre
Az érintettek jogai és érvényesítésük
Adatbiztonság
Adatvédelmi nyilvántartás
Adatbiztonság vizsgálata bejövő adatmozgás kezelésében
Adatok átvételének nyugtázása
Adathordozók és adatok tárolási biztonsága
Adathordozók és adatok hozzáférési jogosultsági rendszere
Adathordozók és adatok megsemmisítése
Adatok másolása adathordozók között
Adatbiztonság vizsgálata belső adatok kezelésében
Adatok átadás-átvételének nyugtázása
Adathordozók és adatok tárolási biztonsága
Adathordozók és adatok hozzáférési jogosultsági rendszere
Adathordozók és adatok megsemmisítése
Adatok másolása adathordozók között
Adatbiztonság vizsgálata kimenő adatok kezelésében
Adatok átadásának nyugtázása
Adathordozók és adatok tárolási biztonsága
Adathordozók és adatok hozzáférési jogosultsági rendszere
Adathordozók és adatok megsemmisítése
Adatok másolása adathordozók között
Adatbiztonság számítástechnikai megfelelőségének vizsgálata
Hardver komponensek vizsgálata
Számítástechnikai eszközök műszaki állapota
Számítástechnikai eszközök erkölcsi állapota
Számítástechnikai eszközök karbantartása
Számítástechnikai eszközök nyilvántartása
Számítástechnikai eszközök tárolása
Számítástechnikai eszközök tűz- és vagyonvédelmi biztonsága
Számítástechnikai eszközök kezelőinek humán erőforrása
Számítástechnikai eszközök üzembiztonsága
Árnyékolás jellegű védelem
Szoftver komponensek vizsgálata
Szoftverek erkölcsi állapota
Szoftverek karbantartása
Szoftverek nyilvántartása
Szoftverek tárolása
Szoftverek kezelőinek humán erőforrásai
Adatok mentése
Vírusvédelem
Tűzfal rendszer
Hozzáférési jogosultságok rendszere és kezelése
Katasztrófaterv
Minimális működési terv
Üzletmenet-folytonossági terv
Teljes rendszer-visszaállítás terve
Lábjegyzet
A XIII. Országos Könyvvizsgálói Konferencián elhangzott előadás
