További Infó cikkek
A gyakorlat azt mutatja, hogy a cégek működését különféle folyamataik irányából célszerű megközelíteni annak érdekében, hogy a fontos működési jellemzőik megfelelően kontrollálhatók legyenek. Bármely irányból is közelítünk azonban az adott szervezethez, végső soron szembetaláljuk magunkat annak egészével.
Átlagos tevékenységi kört végző cégek esetében alapvetően három fő tanúsítási körről lehet szó:
- minőségügyi,
- könyvvizsgálói,
- és informatikai audit
Mindhárom tanúsítási vonal rendelkezik némi átfedéssel a többiek felé.
A könyvvizsgálói és az informatikai audit kapcsolata
A ma érvényben levő szabályozás szerint a könyvvizsgálói audittal pillanatnyilag közvetlen kapcsolata még nincsen az informatikai tanúsításnak, a helyzet azonban ezen a téren gyökeresen meg fog változni. Két-három éven belül minden, tőzsdén szereplő cég számára kötelező előírás lesz, hogy az éves jelentésében számoljon be a kockázatkezelési tevékenységéről is.
A számítástechnikai eszközök mind kiterjedtebb használata miatt a kockázati források közül az egyik legjelentősebbé éppen az informatika használatából eredő hatások köre vált. Bizonyos elemzések szerint az összes működési kockázat kb. 80 százaléka informatikai eredetű. Ezek kezelésére pedig éppen az informatikai tanúsítás jelentheti az egyik legjobb megoldást.
A minőségügyi és az informatikai audit kapcsolata
A minőségügyi és az informatikai audit igen szoros kapcsolatban van egymással, mivel mind az informatikai, mind a minőségügyi szabályozás részben azonos területeket fed le, sok azonos feladat, előírás van bennük, ráadásul részben megegyezik a végrehajtóik köre is.
Alapvető elvárás tehát, hogy a minőségügyi és az IT szabályozási rendszer ne egymástól függetlenül, hanem egységes, integráns rendszerként létezzen. Ennek megvalósításaként az IT szabályozási rendszert a minőségirányítási rendszerhez kell kapcsolni.
Az integrálás során meg kell határozni az átfedési területeket, és egyenként el kell dönteni, hogy melyik szabályozás fogalmaz meg szigorúbb előírásokat. Lehetőség szerint minden esetben a szigorúbb előírásokat kell meghagyni, és a másik rendszerben erre már csak hivatkozni kell.
Az így kialakult rendszerek egységesen auditálhatók is. Persze nyilvánvaló, hogy sem a minőségügyi auditor nem tudja tanúsítani az informatikai rendszert, sem az informatikai auditor a minőségügyi rendszert, mint ahogyan a minőségügyi tanúsítvány sem válthatja ki az informatikait, és fordítva sem.
Az egységesen auditálható rendszer azt jelenti, hogy a vállalatokon belül olyan egységes belső szabályozási szisztéma alakítható ki, amelynek működtetése lényegesen kevesebb adminisztrációs feladatot ró a végrehajtókra és az üzemeltetőkre, mint ha komponenseik teljesen önállóak lennének.
A közeljövőben az ügyfelek jogos elvárása következtében várhatóan a tanúsító cégek auditoraik révén egymaguk is képesek lesznek mind a két rendszer tanúsítására. Két, három éven belül pedig megjelenhetnek az első integrált tanúsítványok is.
PSZÁF audit
A PSZÁF (Pénzügyi Szervek Állami Felügyelete) a magyarországi pénzintézeteknél (kb. 2000 cég/intézmény: bankok, biztosítók, brókercégek, takarékpénz-tárak, stb.) rendszeres felülvizsgálati auditot végez.
A PSZÁF-nak kötelező kétévente megvizsgálni minden hazai pénzintézet tevékenységét. Ennek a vizsgálatnak egy jelentős részét képezi az informatikai rendszer prudenciális vizsgálata.
Ez egy igen összetett vizsgálat, mely elsősorban a CobiT alapelveire épül, és kiterjed az informatika minden területére (eszközök, alkalmazások, szerződések, szabályozás, karbantartás, fejlesztések, stratégiai tervezés, HR, felülvizsgálat, katasztrófahelyzet kezelés, előfordult problémák, stb.).
A vizsgálat igen szigorú és részletekbe menő, ugyanakkor nem kompatibilis az IT tanúsítási rendszerekkel.
Ilyenformán sajnos nem mentesülhet egyetlen pénzintézet sem a PSZÁF felülvizsgálat alól még akkor sem, ha csak néhány hónappal korábban szerezte meg az IT tanúsítványt. Ez persze fordítva is igaz, vagyis egy PSZÁF vizsgálat nem jelent semmilyen hivatalos tanúsítványt, sőt arra sem garancia, hogy a PSZÁF megfelelőség után automatikusan átmenne a pénzintézet az IT auditon.
Célszerű lenne, ha a helyzet az egységesítés irányába változna, reméljük, ez hamarosan bekövetkezik.