Raport de audit - riscuri

Raport de audit - riscuri

In general, despre RISCURI se poate discuta din doua perspective : in primul rand cea a managementului companiei, pentru ca este raspunzator de implementarea sistemului de control intern. Iar pentru a dezvolta asa ceva trebuie mai intii sa faci o analiza a riscurilor: daca nu stii la ce sa te astepti de unde sa stii cum sa te aperi si cat te costa?

A doua perspectiva se refera la auditarea unui sistem informational nu inseamna sa controlezi TOT SISTEMUL. Este imposibil in cazul sistemelor mari, complexe. Exista un risc al auditarii, care este produsul a trei riscuri individuale: de control, inerent si al detectarii.

Organizatia trebuie sa constientizeze riscurile si sa fie capabila sa le faca fata. Activitatile si riscurile asociate acestor activitati trebuiesc evaluate si ierarhizate astfel incat organizatia sa isi poata asuma doar riscurile care trebuie asumate si sa le poata evita pe cele inutile. Dar, o preconditie a evaluarii riscurilor o reprezinta stabilirea unor obiective articulate si compatibile cu evolutia firmei. Evaluarea riscurilor presupune identificarea si analiza acelor evenimente care pot impiedica atingerea obiectivelor propuse.

Identificarea si analiza riscurilor sunt procese continue ce trebuie sa se desfasoare la toate nivelurile firmei si sa tina cont de factori cum sunt: schimbarile de natura economica, schimbarea nevoilor comunitatii unde activeaza firma, modificarea cadrului legislativ, noi dezvoltari tehnologice, catastrofe naturale, personal nou angajat, sisteme informationale noi, schimbarea responsabilitatilor managementului etc.Dupa ce au fost identificate, toate riscurile sunt supuse evaluarii.

Dupa ce a evaluat riscurile la care se supune, urmatorul pas pe care trebuie sa il faca orice organizatie il reprezinta stabilirea activitatilor prin care se va exercita controlul. Politicile si procedurile organizatiei trebuie sa fie revizuite de o maniera care sa sigure conducerea eficienta a organizatiei. Aceste activitati trebuie sa existe la toate nivelurile si pentru toate functiile organizatiei: aprobari, autorizari, verificari, revizii, evaluarea performantelor, protejarea activelor, separarea sarcinilor si atributiilor de serviciu.

Acest proces trebuie sa fie monitorizat in permanenta de catre cei implicati in activitatile curente, dar si de persoane independente. Un sistem care este monitorizat cu regularitate poate reactiona dinamic la schimbarile care apar in mediul sau. Prin intermediul sistemului informational al organizatiei, angajatii au posibilitatea sa identifice informatiile de care este nevoie si sa le comunice celor in drept. Comunicarea trebuie sa fie posibila in toate sensurile: de sus in jos (de la sefi la subalterni), de jos in sus (de la subalterni la conducatori) sau partajarea informatiilor la acelasi nivel.

Metoda Mehari presupune analizarea riscurilor ce pot aparea ca urmare a prezentei amenintarilor si vulnerabilitatilor la nivelul diferitelor activitati ale intreprinderii, astfel :

Organizarea managementului societatii

Pentru acest domeniu societatea, SC ROLLEXPERT SRL obtine un risc mare . Punctajul care defineste acest risc se situeaza la valoarea egala cu 3,69 . Desi societatea a apelat la o societate terta pentru asigurarea securitatii, riscul de la nivelul acestui domeniu este foarte mare, apropiindu-se de nivelul maxim .Acest risc rezulta din nepartajarea responsabilitatilor . Desi, managerul se ocupa cu partajarea si acordarea drepturilor de acces, nu exista un document care sa prevada toate regulile ce se aplica la nivelul societatii .

Deci, la nivelul societatii nu a fost implementata o politic stricta in domeniul securitatii sistemului IT, care sa prevada toate responsabilitatile privind administrarea securitatii, controlul accesului logic facandu-se de catre manager , precum si separarea responsabilitilor de utilizare a aplicatiilor informatice de cele de administrare a sistemelor si bazelor de date. Astfel riscurile activitatii cresc iar sistemul informatic este vulnerabil la diverse amenintari .

Pe viitor societatea trebuie sa acorde o atentie sporita organizarii securitatii .

Domenii si site-uri

In ceea ce priveste aceasta activitate, societatea a obtinut un nivel scazut al riscului egal cu 1,74 . Acest lucru se datoreaza faptului ca dispune de o lista de domenii bine pusa la punct iar evidenta si administrarea site-urilor si a domeniilor este tinuta de o societate specializata .

In ceea ce priveste accesul in cladirea in care societatea isi desfasoara activitatea, acesta contine cateva riscuri pentru ca controlul nu este automatizat, accesul in incinta cladirii find permisa de un paznic a carei integritate si demnitate poate fi afectata de factori externi, greu de deterctat si de contracarat de societate . Acesta este domeniul in care riscurile sunt cele mai mari . Pentru a reduce si mai mult riscul de la nivelul acestei activitati se impune crearea de sisteme de securitate bazate pe controlul amprentelor pentru a scadea riscul de interferente din exterior sau chiar si din interior.

Totusi, indiferent de masurile ce se impun a fi luate pentru aceasta activitate, pentru acest domeniu societatea incearca sa evite amenintarile si vulnerabilitatile prin implementarea de masuri adecvate .

Premise

Pentru acest domeniu se obtine un risc mic situat la o valoare ega1a cu 1,56 . Pentru a atinge aceasta valoare societatea s-a preocupat de reducerea amenintarilor vulnerabilitatilor prin achizitionarea de dispozitive care sa atenueze intreruperile de energie electrica . Pana nu demult , nivelul riscurilor din acest domeniu era ridicat dar a mai scazut din intensitate dupa ce sociatea a achizitionat un ups .

Cu toate acestea , exista riscul defectuarii echipamentelor sau a pierderii unor informatii importante cu ocazia intreruperii energiei electrice . Riscul ca acest lucru sa se intample este foarte mare .

Cheile de diverse incaperi, arhiva, server sunt detinute de o persoana special desemnata , care are aceasta responsabilitate, la nivelul acesstei activitati existant risc de furt sau de pierdere, risc greu de indepartat .

Reteaua arhitecturala si continuitatea serviciului

In ceea ce priveste reteaua extinsa, riscul acestui domeniu situeaza la granita dintre un risc mic si un risc mediu, la o valoare egala cu 1,95 care reprezinta un risc scazut asupra incidentelor ce pot aparea asupra retelei de comunicatie.Probabilitatea ca riscul sa fie major este de 2,riscul scazut este datorat unui plan de siguranta si a scenariilor bine planuite, politici de securitate bine intocmite. Desi exista drepturi de acces acordate nu exista o politica bine pusa la punct pentru recuperarea datelor in caz de dezastre .

Reteaua locala

Reteaua locala prezinta un risc mediu aflat la nivelul valorii de 2 .

Societatea dispune de un program firewall care previne accesul neautorizat in retea din exterior si permite identificarea utilizatorilor autentificati . Societatea face un backup al datelor o data pe saptamna si astfel reduce riscul de pierdere a acestora in caz de dezastre acestea putand fi recuperate

Fiecarui utilizator al retelei locale ii este atribuit un identificator si o parola, evidenta care este tinuta de o persoana desemnata . Totusi, identificatorul si parola pot fi sparte, eveniment ce mareste nivelul riscurilor.

Operatiuni de retea

La acest nivel de activitate, societatea obtine un risc mic punctajul fiind egal cu 1,27

La acest nivel riscurile sunt diminuate prin implementarea unei politici de securitate implementata prin planul de securitatea ce are prevederi referitoare de confidentialitatea, disponibilitatea , integritatea informatiei .

Asfel la angajare , personalul trebuie sa semneze un contract de confidentialitate care se aplica si dupa incetarea relatiilor de angajare timp de 2 ani .

Securitatea arhitecturii sistemelor

Pentru acest domeniu se obtine un risc mediu egal cu 2,80 . Riscul se situeaza la acest nivel pentru ca desi drepturile de acces sunt bine delimitate, updatarea acestora si respectiv revizuirea acestora este greoaie . De revizuirea acestora se ocupa managerul , in aceasta situatie considerand ca nivelul ierarhic pentru atribuirea si revizuirea acestor drepturi este mult prea inalt .

Fiecare angajat are drept de acces numai la informatiile care ii sunt necesare pentru desfasurarea optima a activitatii fara a avea acces la alte date care ar putea pune in pericol desfasurarea normala a activitatii intreprinderii .

S-ar impune implementarea unei masuri necesare, aceea a auditului periodic, capitol la care societatea este deficitara in toate activitatile .

Mediul IT de productie

Riscul asociat acestui domeniu este considerat a fi un ric mic avand un punctaj de 1,68 .

Acest nivel scazut al riscului se datoreaza politicilor de securitate pe care organizatia le ia si care impune personalului inca de la angajare semnarea unor clause din contract care ii cer sa respecte confidentialitatea informatiilor cu care lucreaza . Totusi exista un risc de scurgere de informatie mare care poate fi cu greu eliminat dar poate fi diminuat prin implementarea unei politici prin care angajatilor le este interzisa salvarea informatiilor pe dispozitive externe sau prin printarea unor documente inutile societatii la un moment dat dar care pot contine informatii ce pot fi folosite in dauna societatii de alte persoane .

Securitatea proiectelor de aplicatii si a dezvoltarilor

Pentru acest domeniu se obtine un risc ridicat situat la un nivel maxim pentru ca nu exista o analiza a aplicatiilor disponibile iar implementarea acestora se face mai mult cu personalul propriu care nu este de cele mai multe ori calificat pentru domeniile in care se incearca deyvoltarea unor aplicatii .

Nu exista o analiza sistematica a neregulilor care pot sa apara dupa dezvoltarea unor aplicatii si nici persoanal pregatit carora sa le fie atribuite aceste sarcini.

Pentru imbunatatirea software-lui societatea a hotarat updatarea acestuia o data la 6 luni .

Mediul de munca

In acest domeniu se obtine un risc mic egal cu 1,50. In cazul societatii analizate , toata arhiva este pastrata intr-un spatiu adecvat, protejat de foc , umiditate . Prin stabilirea drepturilor de acces si prin autentificare, societatea incearca sa se protejeze de factorii perturbatori externi ai SI . Societatea nu si-a stabilit inca o stretegie de atac in cazul unei afectari a programelor de virusi in afara implementarii programelor antivirus . Programul antivirus este updatat zilnic si o data pe saptamana este asistat de o persoana de la societatea cu care firma analizata a incheiat un contract .

impreuna cu unul dintre reprezentantii societatii terte revizuieste drepturile de acces iar profilele nu permit definirea timpului de lucru . Aceste proceduri au fost aprobate de manager pentru ceilalti manageri si de directori , pentru personalul din subordine iar acestea pot fi schimbate oricand de manager

Legislatie

Pentru acest domeniu se obtine un risc mic situat la nivelul de 1,60 .

Acest nivel mic al riscului de datoreaza respectarii legislatiei in vigoare, cu preponderenta in cazul relatiilor cu autoritatile . Societatea nu mai detine o copie si nici macar un backup al sistemului informatic al departamentului financiar dar licenta pentru programele departamentului este definitiva . Furnizorii programelor financiare realizeaza update-uri periodice . In ceea ce priveste securitatea integritatii, securitatii si disponibilitatii datelor acestea implica riscuri normale, obisnuite . Societatea pastreaza documentele intr-o arhiva, securizata ce comporta riscuri medii .

In concluzie , dupa analiza intregii activitati se obtine un risc mediu , punctajul obtinut fiind egal cu 2,16 .

Desi nu a aplicat-o de mult timp, societatea incearca eficentizarea politicii de securitate . Societatea are contract cu o societate terta care se ocupa de implementarea politicii de securitate si care a inclus in contractul de munca prevederi referitoare la politica de confidentialitate si a dat drepturi de acces pentru fiecare utilizator .Stabilirea noilor coordonate ale politicii de securitate se stabilesc la sfarsitul saptamanii cand se analizeaza activitatea desfasurata in saptamana ce a trecut si se discuta planul de bataie pentru saptamana urmatoare . In ceea ce priveste sistemul de schimb electonic sistemul de secutritate este deficitar pentru ca nu exista filtre pentru transferul informatiilor . Exista programe si aplicatii la care nu are acces decat managerul si directorii . Nu esista o limitare a spatiului de imprimare pentru ca fiecare calculator are imprimanta sa proprie Societatea dispune de un sistem video ce monitorizeaza intregul spatiu . Documentele nu sunt arhivate de un departament special , pentru ca firma acum este la inceput, in perioada de dezvoltare . Datorita faptului ca nu exista un departament special, in general trece un timp de la executarea unui document pana la arhivarea lui .

Ca o concluzie, filosofia manageriala si stilul de conducere afecteaza modul in care este condusa orice firma, indiferent de domeniul in care opereaza. Putem include in aceasta categorie factori cum sunt: asumarea riscurilor, politicile si procedurile instituite, delegarea responsabilitatilor, atitudinea fata de raportarile financiare. Mediul controlului este puternic influentat si de gradul in care angajatii constientizeaza rolul pe care il au in atingerea obiectivelor organizatiei.

Matricea riscurilor

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate

Impact

Posibilitate