Documente Academic
Documente Profesional
Documente Cultură
separrii
Controalele compensatorii sunt controale interne care au rolul s reduc riscul unei slbiciuni
de control existente sau poteniale, atunci cnd atribuiile nu pot fi separate n mod
corespunztor. Structura i rolul organizaiei ar trebui s fie luate n considerare la
determinarea controalelelor adecvate pentru mediul relevant. De exemplu, o organizaie nu
poate avea toate poziiile descrise n matrice sau o singur persoan nu poate fi responsabil
pentru multe dintre rolurile descrise. Dimensiunea departamentului IS/IT poate fi, de
asemenea, un factor important care trebuie luat n considerare, de exemplu, anumite
combinaii ale rolurilor ntr-un departament IS/IT de o anumit dimensiune nu ar trebui
utilizate niciodat. Cu toate acestea, n cazul n care, din anumite motive sunt necesare roluri
combinate, atunci ar trebui s fie descrise controale de atenuare.
Scopul separrii sarcinilor este de a reduce sau elimina riscurile de afaceri prin identificarea
comenzilor compensatorii. Amploarea i probabilitatea riscului poate fi evaluat de la mic la
mare, n funcie de organizaie.
2.7.3 Separarea controalelor sarcinilor
Cteva mecanisme de controale pot fi folosite pentru a impune separarea sarcinilor.
Controalele sunt descrise n urmtoarea seciune.
Autorizaia de tranzacie
Autorizaia de tranzacie este responsabilitatea departamentului de utilizatori. Autorizare este
delegat n msura n care se refer la un anumit nivel de responsabilitate a persoanei
autorizate n cadrul departamentului. Verificrile periodice trebuie s fie efectuate de ctre
conducere i de auditor pentru a detecta intrarea neautorizat a tranzaciilor.
Custodia activelor
Custodia activelor corporative trebuie s fie determinat i atribuit n mod corespunztor.
Proprietarul de date, de obicei, este atribuit unui anumit departament de utilizatori i
ndatoririle sale ar trebui s fie specificate i n scris. Proprietarul datelor are responsabilitatea
de a determina nivelurilor de autorizare necesare pentru a asigura o securitate adecvat, n
timp ce grupul de administrare este adesea responsabil pentru implementarea i punerea n
aplicare a sistemului de securitate.
Accesul la date
Controlul asupra accesului la date este furnizat printr-o combinaie de securitate fizic, de
sistem i a aplicaiilor n zona de utilizator i facilitatea de prelucrare a informa iilor. Mediul
fizic trebuie securizat
ntr-o mic afacere unde departamentul IS poate fi format doar din patru pn la cinci
persoane, msuri compensatorii de control trebuie s existe pentru a diminua riscul ce rezult
din lipsa separrii sarcinilor. Controalele compensatorii ar include:
drepturile de segregare.
rapoartele comitetului de direcie-Acestea furnizeaz informaii documentate cu
privire la noile proiecte de sistem. Aceste rapoarte sunt analizate de ctre conducerea
Exist diverse faze ale contractelor de hardware, software i servicii IS, inclusiv:
Fiecare dintre aceste faze ar trebui s fie susinute de documente juridice, sub rezerva
autorizrii de gestionare. Auditorul IS trebuie s verifice participarea managementului n
procesul de contractare i s asigure un nivel adecvat al evalurii conformitii contractului n
timp util. Auditorul IS poate dori s efectueze o analiz separat de conformitate pe un
eantion de astfel de contracte.
n analizarea unui eantion de contracte, auditorul IS ar trebui s evalueze caracterul adecvat
al urmtorilor termeni i condiii:
Nivelurile de servicii
Dreptul la audit
Software de mputernicire legal
Sanciuni pentru nesupunere
Aderene la politici i proceduri de securitate
Protecia informaiilor despre clieni