Informatikai rendszerek ellenőrzése a költségvetési szerveknél

A költségvetési szervek belső ellenőrzéséről szóló 193/2003. (XI. 26.) Korm. rend. értelmében a belső ellenőrzés típusai között találkozhatunk az informatikai rendszerek ellenőrzésével. E rendelet értelmében az informatikai rendszerek ellenőrzése, a költségvetési szervnél működő informatikai rendszerek megbízhatóságának, biztonságának, valamint a rendszerben tárolt adatok teljességének, megfelelőségének, szabályosságának és védelmének vizsgálata.

A belső ellenőrzés a pénzügyi-számviteli területen vált közismertté, azonban informatikai rendszerekre vonatkozóan is már régen létezik az auditálás.

Hazánkban az informatikai rendszerek teljes auditálá-sa még nem alakult ki, hiányzik az igény, a megfelelő szakértelem és a pénzügyi erőforrás. Napjainkban az intézményeknél nélkülözhetetlen a számítógép használata, akár pénzügyi, munkaügyi feladatról legyen szó.

A számítógépeket azonban nem csak használni kell tudni helyesen, hanem biztosítani kell az adataik biztonságát, hitelességét és sértetlenségét.

Az informatikai biztonsági vizsgálat során szerte a világon számos különböző módszertant használnak, azonban ezek mindegyike a kockázatelemzésre épül. Az informatikai rendszerek ellenőrzését is meg kell tervezni annak érdekében, hogy a vizsgálati célok elérése hatékonyan valósuljon meg, és a végrehajtás minél kevesebb fennakadást okozzon az ellenőrzött szervezet működésében. Az interjúk során meg kell ismerni a rendszer folyamatait, a szükséges adatokat, szervezet védelmi céljait, amelyeknek összhangban kell lenni a jogszabályi előírásokkal. A fenyegető károk alapján meg kell állapítani az előállható hibákat, azok gyakoriságát.

Az informatikai ellenőrzés elvárása, a pénzügyi ellenőrzés céljaiból vezethető le:
– a vizsgált szervezet megismerése (azaz a külső szabályozás és irányítás, a belső irányítás, tevékenység, gazdasági jellemző stb.),
– belső kontroll mechanizmusok megismerése,
– ellenőrzési eljárások megtervezése,
– belső kontroll mechanizmusok tesztelése.

Informatikai rendszerek kontrolljainak ellenőrzéséhez elkészített az Állami Számvevőszék egy módszertant, hogy segítséget nyújtson az ellenőr számára annak megítélésében, hogy az informatikai környezetben elkészített pénzügyi beszámoló adatai és a beszámoló előállításához felhasznált elektronikus bizonyítékok:
– teljesek,
– sértetlenek és
– megbízhatóak legyenek, valamint
– rendelkezésre állásuk biztosított-e.

Miért szükséges az informatikai rendszerek ellenőrzése?

A belső ellenőrzésnek értékelnie kell a számítástechnika által generált adatok megbízhatóságát, amelyeket a pénzügy területén használnak, továbbá a rendszerekhez rendelt kontrollokat, amelyeket a kockázatok csökkentése érdekében vezettek be. Mindezt azért, hogy csökkentsék a hibáknak, a csalásoknak, más illegális műveleteknek vagy katasztrófáknak, vagy olyan eseményeknek lehetőségét, amelyek a rendszerek elérhetőségét megakadályozzák.

Az információrendszerek ellenőrzése a belső ellenőrzés egyik fajtája. Az ellenőrzésre az igényt az információs technológia fejlődése indokolja. Az ellenőrzés több területet is magában foglal; a technikai ellenőrzést (infrastruktúra, kommunikáció), a menedzsment ellenőrzési eljárásainak vizsgálatát, a szoftverfejlesztés, az alkalmazások ellenőrzését és a nemzetközi-, valamint hazai szabványoknak való megfelelést.

Az információrendszerek ellenőrzése azt jelenti, hogy valamely információs technológiai terméket, illetve rendszert módszeres vizsgálatnak vetnek alá, amelynek során egy vizsgálati eljárás alkalmazásával megállapítják biztonsági tulajdonságait.

Gyakorlati tapasztalatok

A számítógépes informatikai rendszer alkalmazása egyre nagyobb teret nyer az önkormányzatok feladatainak ellátásában, a pénzügyi-számviteli tevékenység mind fejlettebb technikai felkészültséget igényel az informatikai rendszerektől. Az önkormányzati feladatok ellátása ma már elképzelhetetlen a számítógép és az Internet használata nélkül.

Az önkormányzatok tevékenységében egységesen érvényesítendő informatikai biztonsági követelményrendszert központilag még nem adtak ki, azonban az intézményeknek kötelezően rendelkezni kell informatikai szabályzattal, amelyben meg kell határozni a védendő és mentendő adatok körét és biztonsági szintjét. Az informatikai szabályzat, katasztrófaterv, biztonsági szabályzat, belső ellenőrzési szabályzat, mentési napló, megléte és naprakészsége nélkülözhetetlen, valamint a biztonsági követelmények meghatározása és érvényesítése. Kellő odafigyelést igényel a számítógépek fizikai veszélyforrások elleni védettsége, hiszen a nedvesség, por veszélyeztetik az adatok biztonságát. Jelentős veszélyforrást jelentenek továbbá az íróasztalon hagyott papírok, dokumentumok, lemezek, amelyekhez könynyen hozzáférhetnek az intézményhez látogatók.

Az adatok rendelkezésre állását általában a mentések biztosítják. Nagyon sok esetben találkozhatunk nem megfelelő módon mentett (visszaállíthatatlan) rendszerekkel. A mentéseket általában a gépek mellett szokás tárolni, így a fenyegetettség bekövetkezte esetén mindkettő egyszerre semmisül meg. 

Javasolnám a felhasználóknak, hogy minden adatrögzítés, változtatás után készítsenek mentést, hivatalosan két példányban, melyet az Számviteli törvény követelményeinek megfelelően a nyilvántartást olvasható formában, valamint az adatok feldolgozásánál alkal-mazott, működőképes állapotban tárolt számítógépes programot legalább 10 évig kötelesek megőrizni.

A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat, szigorú számadású nyomtatványokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján, visszakereshető módon megőrizni.