Az IT audit aktualitásai

Napjainkban a vállalatok működése egyre inkább számítógépesített: folyamataik nagy része már teljes egészében vagy részben a virtuális térben történik, ahol számítógépes rendszerek támogatják a mindennapi munkát. Ezzel párhuzamosan az informatikai auditok is egyre jobban előtérbe kerülnek. Az informatikai auditok célja annak biztosítása, hogy az információval kapcsolatos folyamatok és ellenőrzések megfelelően működjenek. Az informatikai vizsgálatok elsődleges céljai a következők:

• A vállalati adatokat biztosító rendszerek és folyamatok értékelése.
• Meghatározni a vállalat információs eszközeit érintő kockázatokat, és segíteni a kockázatok minimalizálására szolgáló módszerek meghatározását.
• Annak biztosítása, hogy az információkezelési folyamatok megfeleljenek az IT-specifikus törvényeknek, irányelveknek és szabványoknak.
• Meghatározza az informatikai rendszerek és a kapcsolódó menedzsment hatékonysági hiányosságait.

Az informatikai auditok egy fontos része a könyvvizsgálathoz kapcsolódó IT Audit, mely évről évre változik, egyre komplexebb lesz, így ügyféloldali támogatása egyre nagyobb erőforrásokat igényel. Ezért napjainkban egyre népszerűbbé vált, hogy direkt erre a célra csapatokat építenek fel az audit támogatására.

Az IT audit is folyamatosan évről évre változik, ezáltal új trendek figyelhetőek meg. Az új trendek közé tartozik az IPE tesztelés, a rétegek vizsgálata, valamint a különböző Audit Management Software rendszerek használata.

IPE tesztelés

Az ügyfelek által szolgáltatott információk (IPE = information provided by entity) a könyvvizsgáló által a könyvvizsgálói vélemény alapjául szolgáló következtetések levonásához felhasznált információk összességét jelenti, akár a belső kontrollok teszteléséhez, akár a lényegi eljárások elvégzéséhez használják fel. Az IPE könyvvizsgálati bizonyítékként történő felhasználásakor a könyvvizsgálónak értékelnie kell, hogy az elegendő és megfelelő-e a könyvvizsgálat céljaira, amit az információk pontosságának és teljességének tesztelésére irányuló eljárások elvégzésével vagy az ezen információk pontossága és teljessége feletti kontrollok tesztelésével ér el.
Az IPE értékelése során a következő releváns kockázatokkal kell foglalkozni:

• Az alkalmazás által feldolgozott adatok (az IPE előállításának forrásadatai) nem teljesek, vagy nem pontosak.
• Az alkalmazásból kinyert adatok (meghatározott paraméterek vagy tartomány az IPE végrehajtásához és az IPE eredményekhez) nem teljesek vagy pontosak.
• Az alkalmazásból végzett számítások vagy osztályozások (IPE létrehozása) pontatlanok.
• Az alkalmazásból a végjelentő eszközbe kimenő adatok módosulnak vagy elvesznek (exportálási problémák) az átvitel során.
• A hozzáadott vagy módosított információk (kézi frissítések), beleértve a végjelentő eszközzel végzett számításokat és osztályozásokat, hiányosak, pontatlanok, vagy nem megfelelőek.

Az IPE-vel kapcsolatos kockázatok kezelése érdekében az értékelési kérdéseket részletesen le kell fedni:

• Milyen jelentéseket, táblázatokat és egyéb kulcsfontosságú információforrásokat használnak?
• Milyen alapadatokból merítenek ezek a jelentések?
• Hogyan ellenőrzi a folyamat tulajdonosa, hogy a jelentésben szereplő információkat a szándéknak megfelelően nyerik-e ki?
• Hogyan ellenőrzi a folyamat tulajdonosa, hogy a rendszer által elvégzett számítások vagy a rendszer által kiosztott osztályozások pontosak-e?
• Hogyan biztosítja a folyamat tulajdonosa, hogy az exportált adatok teljesek és pontosak legyenek?
• Hogyan biztosítja a folyamat tulajdonosa az exportált adatokon végrehajtott módosítások integritását?
• Automatizálható-e ez a folyamat az általános kockázat csökkentése érdekében?

De mit jelent ez az ügyfél számára? IPE tesztelés során az auditoroknak szükséges a szorosabb együttműködés az ügyfelekkel. Az ügyfél által összegyűjtött evidenciák mindegyikéhez kell csatolni további evidenciákat, melyek bizonyítják annak teljességét és pontosságát. Képernyőképek esetében a képernyőn mindig látszódnia kell a készítés dátumának. Bizonyos rendszerek esetében, ahol a riportálási lehetőségek korlátozottak, nehézkes lehet bizonyos IPE evidenciák előállítása, ekkor megoldás lehet az exportálás videón rögzítése vagy közös végrehajtása az auditorral.

Technológiai rétegek

A rendszerek párhuzamosan rendelkeznek több réteggel is, melyek együtt működnek és mindegyik a következő réteg alapját képezi. Korábban az IT audit főleg csak az applikációs rétegre koncentrált és a többit csak érintette vagy egyáltalán nem vizsgálta, azonban manapság már a további rétegek is nagyobb figyelmet kapnak.

Applikációs réteg

Az informatikai rendszerek egy vagy több funkció, feladat vagy tevékenység elvégzésére - gyakran adatok rögzítésére, feldolgozására vagy kinyerésére - tervezett rétege. Ez az informatikai réteg gyakran tartalmaz egy interfészt, amelyhez a végfelhasználó fér hozzá.
A jelentéskészítők ezen informatikai réteg egy speciális típusa, amelynek feladata az információk vagy adatok kinyerése - gyakran adatbázisból vagy adattárházból -, és az információk vagy adatok meghatározott formátumban, például jelentés formájában történő bemutatása.
Ilyenek példák a következők:

• ERP-rendszerek, például az SAP és az Oracle.
• Tranzakció-feldolgozó rendszerek, például CRM vagy számlázási rendszer.

Adatbázis réteg

Az informatikai rendszerek azon rétege, amelyek az adatok vagy információk gyűjteményét úgy szervezik, hogy azok könnyen elérhetők, kezelhetők és frissíthetők legyenek.
Az adattárházak ennek az informatikai rétegnek egy olyan típusa, amelyet inkább lekérdezésre és elemzésre, mint tranzakciófeldolgozásra terveztek.
Példák:

• Microsoft SQL Server
• Oracle DB
• valamint önálló adattárak és adattárházak.
• Az olyan technológiákat, mint az MS SQL szerver, egy szervezet több IT-rendszer számára is használhatja az ebben a rétegben lévő információk eléréséhez.

Operációs rendszer réteg

Az informatikai rendszerek azon rétegje, amelyek a számítógép alapvető működését vezérlik, és olyan szoftverplatformot biztosítanak, amelyen más szoftverek, például alkalmazások és adatbázisok futtathatók.
Ez a réteg általában a színfalak mögött működik, és a felhasználó általában nem manipulálja közvetlenül.
Ilyenek például a következők:

• UNIX
• LINUX
• Microsoft Windows
• MacOS.

Az ügyfelek részéről az adatbázis-, valamint operációs rétegekről nehezebb az információt összegyűjteni, hiszen ezen rétegek riportálásához speciális tudás szükséges, így az üzleten kívül különböző specialisták bevonására is szükség van az adatszolgáltatás során (IT, bázis). Valamint ezen rétegekből az IPE evidenciák kinyerése se minden esetben evidens, így folyamatos kommunikációra van szükség az auditorok és a specialisták között, hogy a technikai limitációk függvényében a lehető legjobb IPE evidenciákat elő tudják állítani.

Audit Management Software (AMS)

Az adatmennyisége növekedése végett egyre nagyobb az igény az audit támogató szoftverekre. Ezek a szoftverek gyakorlatilag képesek az auditok minden lépésében segíteni. Végeredményben egy sokkal pontosabb képet kapnak az auditorok a felmerülő kockázatokról. A technológia erejét kihasználva minőségibb eredményt tudnak nyújtani a vizsgálatot végzők.
Az Audit Management szoftverek az alábbi tulajdonságokkal rendelkeznek:

• Többféle típusú ellenőrzésre vonatkozó szabványos eljárásokat és sablonokat kell tartalmaznia.
• Teljes körű információt kell tartalmaznia arról, hogy ki, mit és mikor auditál.
• Iparág-specifikus legjobb gyakorlatokat nyújt a megfelelés érdekében.
• Munkafolyamatok és feladatok meghatározása az ellenőrzési eljárások végrehajtásához.
• Ellenőrzi az auditálási folyamatokat, és korrekciós intézkedéseket javasol.
• Előre meghatározott, testre szabható szabályok alapján ütemezi az auditokat.
• Egyéni jelentések és műszerfalak készítése az auditálási KPI-ok (Key Performance Indicators) nyomon követésére alkalmasak.

Ezen programok használatáról az ügyfeleknek nem mindig van közvetlen ismerete. Azonban az AMS használata nagyban elősegíti a pontosabb és gyorsabb auditot. Komplexebb cégek és ügyfelek esetében segíti a különböző audit csapatok együttműködését, akár egy országon belül (üzleti audit, IT audit, TAX), akár országok között is. Az AMS szoftverek segítségével csökkenthetőek a redundáns adatbekérések, és automatizálhatóak az egyes adatelemzések.