Innledning til IT-revisjon 10. 9. 2009 Formål, risikoer, sentrale begreper Svein A. Løken Studierektor, IT-revisjon, Handelshøyskolen BI Hva vil du lære? Hva ønsker du at vi skal ta opp? Hvorfor? Forelesningenes struktur 1. Hva ønsker vi fra IT? 2. Risiko for at vi ikke får oppfylt ønskene 3. Tiltak for å styre denne risikoen: kontroller 4. Måle og vurdere denne risikoen 1
Pensum og læremidler I første samling skal jeg ikke være så opptatt tt av pensumbøkene som i senere ITR-forelesninger Referanselesning IIA/ GTAG: Globale veiledninger for teknologirevisjoner På norsk Lite teknisk Gode prinsipper 1. Risiko og trusler SAMLINGENE Teknologisk risiko Hvor stor og hva er riskoen? 2. Styring Tiltak for å kontrollere risiko 3. Revisjon Er organisasjonens bilde av risikoen korrekt? 2
To tilnærminger Positiv IT og kvalitet Oppnå best mulig resultat Negativ Hindre at det oppstår feil Eksempler? Hva er viktigst? Kvalitet som en sammensatt egenskap Hva er målsetninger for IT? Kom med forslag Risiko ik for at målene ikke nås? Hvordan sørge for at målene nås? Overordnede mål og IT Hva er ITs fortjeneste eller skyld? Risiko Teknologisk risiko særpreget for IT Styre IT Styringsrisiko for IT 3
Data Litt informasjonsteori Symboler hentet fra et alfabet Hensiktsmessige alfabet For hvem? Oversettelser? Eksempler på alfabet Redundans Komr du snrt? Redundans og kontroll Informasjon Informasjon = data + tolkningsramme Likhetstegnet er tolkning Hva er viktigst: Tolkningsramme eller data? Hvordan sikrer vi oss at tolkeren (brukeren) har riktige Data? Tolkningsramme? 4
Hvordan får brukeren en tolkningsramme Historisk erfaring Undervisning, jobberfaring, standardrapporter Tolkningsdata Hvordan skal vi gi tolkningsdata? Tenk over tilgangen på tolkningsdata ved Standard rapporter Skjermbilder Spørrerutiner på skjermen Regneark Kan vi bedre situasjonen? Verdi av informasjon Ny informasjon: det uventede Info har verdi når: den er informasjon (og det betyr..,) Vi bruker informasjonen, dvs handler Handlingens konsekvens Informasjonsverdien er en avledet verdi 5
Forutsetninger for infoverdi Forståelig (dvs info) Relevant I tide Hva betyr det? Kvalitetsegenskaper ved data Pålitelige Objektive Representative Hvem velger hvilke data som skal registreres og lagres? Vet vi hva data skal brukes til? Hvis ikke, hva skal vi da lagre (arkivloven) 6
Satsvise systemer Periodisk oppdatering Saldo 1.1 1 + transaksjoner = saldo 31.11 Betyr det at saldoen er viktigere enn transaksjonen? Ja, det gjorde det. Metode for datakomprimering Gamle data, er de noe verdt? Modell for oppdatering Satsvis (uten tap av gammel dataverdi) Sanntid (med tap av gammel dataverdi) Sanntids-systemer Hva skjer hvis vi gjør periodelengden kortere Hvis vi bare har en trans i en periode? Teknisk modell: tabellene Transaksjonstabell og logg Kostnader og andre ulemper ved sanntidssystemer Transaksjoner utløser handlinger Irreversible handlinger? 7
System To komponenter som samvirker mot et felles mål Systemgrensesnitt Der to systemer møtes og der data utveksles Kan være en transaksjonstabell Kan være et skjermbilde Applikasjon(-ssystem) Løser en oppgave for brukeren, f eks purresystem Operativsystem Styrer og kontrollerer datasystemets drift, f eks Windows som håndterer oppstart, størmbrudd, med mer på PCen Det alle vet er itt no verdt Økonomisk verdi av informasjon Konfidensialitet Andre grunner til konfidensialitet Etiske Legale (bl.a. poppl: personopplysningsloven) Lagringskostnader og lagringskapasitet Retten til glemsel: beslutninger om strykning 8
Pålitelige data Vi vet hvor de kommer fra Opprinnelig Behandling Autoriserte prosedyrer Integritet Pålitelige inndata Hva skal registreres? Forutsetninger t Oppdage hendelsen forstå at den skal registreres kunne registrere I tide Fullstendig registrering i Nøyaktig registrering Risikoreduksjon ved å validere data 9
Pålitelig behandling Riktig handling Riktig program Hvorfor feil i programmer? Hva slags feil? Programinstruksjoner Feil i styringstabeller Pålitelig lagring og gjenfinning Bestandig lagringsmedium Nøkler (arkivnøkler og kontrollspor) Fritekst søking Tre hovedbegreper Konfidensialitet Integritet Tilgjengelighet Datasikkerhet Hva er dette? Hva er viktigst? 10
Manglende tilgjengelighet når Tekniske forhold Lagring Transport / levering Menneskelige forhold Kunnskap Annet? Grad av tilgjengelighet Hindere Geografi Tidsforbruk Tekniske forutsetninger Kostnader Coso kontrollmiljø Manglende integritet Når vi ikke vet hvor data kommer fra Vi er ikke sikre på at autorisert prosedyre re er brukt Når vet vi ikke hvor data kommer fra? Hvordan kan vi oppdage det? Ved å overvåke behandlingen / prosessene Kontrollere tilgangen til dataene Ved å kontrollere dataene Korrekte data Formatkrav, signaturer 11
Vår tilnærming til risikoen Metodisk håndtering av risiko Objektivitet: En revisjon skal være uavhengig av hvem som reviderer Viktig for brukerne av revisjonen Metodisk er kostnadsreduserende Metodisk bidrar til læring, bedre revisjon neste gang En risiko beskrives, håndteres ved en kontroll (et kontrolltiltak) Risikomodellen Iboende risiko Egenskaper ved organisasjon og omgivelser Kontroller Styringstiltak for å styre risikoen, måle og korrigere Kontrollrisiko / styringsrisiko Risiko for at kontrollene ikke virker Revisjonen skal bedømme kontrollrisiko Revisjonsrisiko Risiko for at revisjonen feilbedømmer kontrollrisikoen Andre risikomodeller 12
Kontrolltyper Motvirkende kontroller Organisering, kompetanse, rutiner, osv Oppdagende kontroller Avstemminger, resultat-testing, kvalitetsmålinger Gjenvinnende kontroller Metoder for å gjenskape data, forsikring, osv Kontrollkvalitet God design på kontrollen Målrettet mot risikoen Dokumentert Nødvendig for vurdering og testing Iverksatt Dvs at den skal kunne fungere og ha fungert 13
Nivåer Risiko kan håndteres på flere styringsnivåer, eksempel: Direkte mot den enkelte resultatrisiko programfeil: kontroller programmet Test av kontroll Lær opp programmereren slik at hun blir flink, stol på at programmet derfor er riktig, og test at hun er flink Mulige nivåer (flere finnes) dataene selv programmet/rutinen som skaper dataene Organisasjonen som skaper og drifter rutinen Styrets forståelse og styring av IT Fullstendighet Risiko, datafangst Relevante og gyldige transaksjoner Kontrollmiljø Nøyaktighet Datavalidering Pålitelighet Kontroller for at autoriserte rutiner Er gode nok Er iverksatt 14
Risiko, lagring Hva skal oppbevares? Data Dokumentasjon Av og til utdata og rapporter Gjenfinning Orden Arkivnøkler Fulltekstsøk Bestandig og sikker oppbevaring Oppbevaringsmedier Oppbevaringsmiljø Oppbevaringsperiode Formater for leselighet (tilgjengelighet) Beskyttelse mot endring og tap (duplikater, RAID, signering) Biblioteksrutiner ( lagerkontroll ) Risiko, informasjonsdistribusjon Sikkerhet (T, K, I) E-post Transaksjonssystemer Dokumenter Tilgangskontoller til data Tolkningsrisiko Riktig Effektiv Tall, figurer, tekst 15
Fullstendig Nøyaktig Sikkerhet Risiko, behandling Konfidensialitet, integritet og tilgjengelighet Datakommunikasjon Konfidensialitet, integritet og tilgjengelighet Ikke-benektelse 16