Abstract : | Η ασφάλεια των πληροφοριακών συστημάτων είναι μείζονος σημασίας θέμα για τις επιχειρήσεις αλλά και τις κυβερνήσεις. Για το σκοπό αυτό έχουν θεσμοθετηθεί κανόνες στους οποίους τα συστήματα και οι εφαρμογές καλούνται να συμμορφώνονται προκειμένου να συνάδουν με τις προβλεπόμενες πολιτικές ασφάλειας. Οι ελεγκτές πληροφοριακών συστημάτων καλούνται λοιπόν να πιστοποιήσουν τη σωστή λειτουργία τους και να προτείνουν λύσεις σε περιπτώσεις που το ευρήματά τους έρχονται σε αντίθεση με τη σωστή πρακτική. Εντούτοις με την εξέλιξη της τεχνολογίας ολοένα και πιο πολύπλοκα συστήματα δημιουργούνται με αποτέλεσμα το έργο των ελεγκτών να δυσχεραίνει. Η πάγια πρακτική του ανά καθορισμένα χρονικά διαστήματα ελέγχου φαίνεται πως δεν αποδίδει σε πολλές περιπτώσεις, με αποτέλεσμα να είναι επιτακτική η εύρεση νέων μεθόδων ελέγχου προκειμένου οι ελεγκτές να καταλήγουν με μεγαλύτερη ακρίβεια και σε μικρό χρονικό διάστημα στο επιθυμητό αποτέλεσμα. Η δυσκολία της παραδοσιακής πρακτικής έγκειται στο γεγονός πως το μέγεθος των δεδομένων που καλείται ένας ελεγκτής να διαχειριστεί συνεχώς αυξάνεται, με αποτέλεσμα να απαιτείται περισσότερο προσωπικό, χρόνος και χρήμα για την ολοκλήρωση ενός ελέγχου. Για το λόγο αυτό ερευνητές, από τη δεκαετία του ‘90 , στράφηκαν σε αυτό που σήμερα ονομάζουμε Continuous Auditing ( CA ) δηλαδή μια προσπάθεια για ένα συνεχόμενο και αυτοματοποιημένο έλεγχο των πληροφοριακών συστημάτων. Υπήρχε η πεποίθηση πως κάποιες από τις ενέργειες στις οποίες καλείται να προβεί ένας ελεγκτής χρειάζεται και είναι δυνατόν να αυτοματοποιηθούν. Με αυτό τον τρόπο οι ελεγκτές θα είχαν μια πιο άμεση και πληρέστερη εικόνα του συστήματος. Οι προσπάθειες προς αυτήν την κατεύθυνση δε καρποφόρησαν άμεσα μιας και συναντήθηκαν ένα πλήθος δυσκολιών και μη προβλεπόμενων παραμέτρων που σχετίζονται με τη πληθώρα και ποικιλομορφία των συστημάτων προς έλεγχο, την αποδοτικότητα του συνεχόμενου ελέγχου αλλά και το κόστος του. Ιδιαίτερα ο τελευταίος παράγοντας αποτελεί ακόμα και σήμερα θέμα συζήτησης για το βαθμό στον οποίο το Continuous Auditing προσφέρει αξία στις επιχειρήσεις και τιςκυβερνήσεις.8Ωστόσο μέχρι σήμερα έχουν γίνει σημαντικά βήματα προς την καθιέρωση του Continuous Auditing ως την κύρια μέθοδο ελέγχου και ιδιαίτερα στις Η.Π.Α ένα μεγάλο τμήμα των επιχειρήσεων ήδη εφαρμόζει ή προετοιμάζεται για την εφαρμογή της νέας αυτής τεχνοτροπίας. Σε αυτή τη κατεύθυνση βοήθησαν και οι γνωστές περιπτώσεις χρεοκοπιών εταιρειών που απέδειξαν πως η παραδοσιακή πρακτική ελέγχου δεν καλύπτει πλήρως τις τρέχουσες ανάγκες. Αξιολογώντας , λοιπόν , τα προτερήματα και τα μειονεκτήματα του συνεχόμενου ελέγχου, αλλά και τις δυνατότητες που προσφέρονται, δημιουργήθηκαν πρότυπα, εργαλεία και εξειδικευμένες γλώσσες, δημοσίως διαθέσιμα και επεκτάσιμα, με στόχο την εύκολη πρόσβαση από οποιονδήποτε το επιθυμεί και την συνεχόμενη ανανέωση της απαραίτητης για τους ελεγκτές πληροφορίας. Το κυριότερο όμως είναι ότι με το Continuous Auditing ο ελεγκτής έρχεται πιο κοντά στη λειτουργική διαδικασία. Στη συγκεκριμένη λοιπόν εργασία θα εξετάσουμε τις απαραίτητες προϋποθέσεις που χρειάζεται να πληροί ένας οργανισμός προκειμένου να μπορεί να εφαρμόσει τη συγκεκριμένη μέθοδο ελέγχου, τα πλεονεκτήματα και μειονεκτήματά της και κάποια εργαλεία που χρησιμοποιούνται σήμερα. Επίσης θα αναπτύξουμε και κάποια παραδείγματα Continuous Auditing για να αναδείξουμε τη λειτουργία του. Τέλος θα ασχοληθούμε με θέματα απόδοσης και κόστους, δηλαδή το βαθμό στον οποίο ο αυτοματοποιημένος έλεγχος μπορεί να προσδώσει αξία στις επιχειρήσεις . The security of information systems (IT) is a major issue for companies and governments. For this purpose, rules have been enacted, to which systems and applications are obligated to meet, in order to comply with the prescribed security policies. So, information systems auditors are asked to verify IT’s proper operation and to propose solutions in cases where the findings are contrary to good practice. However, with the development of technology, more and more complex systems are created so that the work of auditors increasingly hinders. The standard practice, auditing at specified intervals, seems that is not appropriate operating in many cases, making it imperative to find new audit methods in order to give the auditors the capability of concluding to results in a specific and short-time matter. The difficulty of the traditional practice is the fact that the amount of data, which the auditor needs to manage, is increasingly growing, thus, requiring more stuff, time and cost to successfully complete an audit. For this reason, researchers from the '90s, turned into what we now call Continuous Auditing (CA), an effort for a continuous and automated monitoring of information systems. There was the belief that some of the operations, to which an auditor comes forward, are possible to be automated. Using this technical method auditors would have a more direct and specific view of the system. Efforts in this direction were at the first steps unsuccessful, since they met a number of difficulties and unforeseeable factors related to the abundance and diversity of systems to be checked, the efficiency of the audit trail and the huge cost. Especially the last factor is still matter of debate about the extent to which the Continuous Auditing provides value to businesses and governments. However there have been important steps towards the establishment of Continuous Auditing as the main method of control, particularly in the U.S., where a large proportion of firms are already operating or preparing to implement this new technical way. To the increasingly use of CA helped also the known case studies of the company frauds, which proved that the traditional method does not fully cover the current needs. Assessing, then, not only the advantages and disadvantages of the CA, but also the opportunities being offered, there have been developed several packages, tools and specific languages, publicly available and scalable. The purpose was to be easy accessible by everyone and the valuable information to be continuously updated. The main thing is that with the Continuous Auditing the auditor comes closer to operating procedure. In this paper, therefore, we will examine the requirements , that an organization has to meet, in order to implement this audit method, the advantages and disadvantages and some tools that are being currently used. Moreover, we will develop some examples of CA in order to highlight how it is functioning. Finally, we will deal with performance and cost issues.
|
---|