Çfarë është një kontroll apo një kontroll i brendshëm

1134
Çfarë është një kontroll apo një kontroll i brendshëm

Kontrollet e brendshme zakonisht përbëhen nga politikat, procedurat, praktikat dhe strukturat organizative të cilat zbatohen për të zvogëluar rreziqet ndaj organizatës. 

Ekzistojnë dy aspekte kryesore që kontrollet duhet të adresojnë:

  • çfarë duhet të arrihet dhe
  • çfarë duhet të shmanget. 

Kontrollet ndahen ne 3 kategori

Disa nga kontrollet më të mira parandalojnë mashtrimin, vjedhjet, anomalitë apo funksionimin joefektiv organizativ.

Ato duhet te pamundesojne anomalite para se ato te ndodhin

p.sh. një kontroll redaktimi numerik në një fushë të futjes së të dhënave në euro. Duke mos lejuar asgjë tjetër përveç vlerave numerike ju pengoni gjëra të tilla si script-i ndër-site ose injektimi SQL, apo edhe gabime te tjera te cilat mund te mos jene me qellim te keq.

Ato mund të jenë aq të thjeshta si kufizimi i qasjes me ane te qelesave dhe kodeve te qasjes në zonat e ndjeshme të një ndërtese ose fjalëkalime apo autorizime paraprake për qasje ne informacion konfidencial.

Një kamerë sigurie është një shembull i mirë i një kontrolli detektiv.

Një regjistër i qasjes dhe një sistem alarmi mund të zbulojë shpejt dhe të njoftojë menaxhmentin per përpjekjet nga punonjësit ose të personat e jashtem për të hyrë në informacionin e paautorizuar ose pjesë të një ndërtese.

Pra jane ato masa te cilat na ndihmojne ne identifikimin e veprimeve te pa-autorizuara perderisa ato jane duke ndodhur.

I shoqëruar me kontrolle parandaluese dhe detektuese, kontrollet korrektuese ndihmojnë në zbutjen e dëmeve pasi rreziku të jetë materializuar

Cilat jane ato veprime qeduhet te ndermiren per te rikthyer sistemin apo rikuperuar nga demi i shkaktuar.

Kur shikoni në funksionet e biznesit, një nga gjërat që një auditor i IT duhet të kërkojë është vendi ku në proces ka potencial për demtim të konfidencialitetit, integritetit ose disponueshmërisë. Për shembull, nëse të dhënat grumbullohen nëpërmjet një front-end të internetit i cili pastaj riformaton dhe dërgon në bazën e të dhënave ose për ruajtje ose perpunim dhe pastaj i kthen në front-end web për shfaqje të përdoruesit ka një numër të pikave të kontrollit të cilat duhet qe t’i marrin në konsideratë:

  • Web Front-end i cili ka qasje ne rrjete dhe sipas cilave norma realizohet kjo?
  • Si është e mbrojtur lidhja ne mes te front-end dhe bazës së të dhënave, 
  •  Cilat të dhëna mund të kthej Baza e të dhënave, e cila lejohet të perpunoj te keto te dhena
  • A eshte rrjeti i trafikut i kufizuar vetëm për trafikun për të mbështetur aplikacionin në ueb

Lista vazhdon më tej.

Ka shumë pika kontrolli për t’u marrë parasysh kur shikoni në një funksion të veçantë të biznesit. Në përpjekjen për të përcaktuar të gjitha pikat e kontrollit, një auditor i TI duhet të marrë në konsideratë kufirin e sistemit i cili duhet të jetë pjesë e Analizës së Ndikimit të Biznesit  dhe  auditori i TI duhet të jetë në gjendje të ndërtojë një diagram të rrjedhës së të dhënave dhe të identifikojë të gjitha pikat e kontrollit që do të duhet të rishikohen si pjesë e auditimit të tij / saj.

Mos harroni, puna jonë është e burimeve intensive dhe ne kemi një sasi të kufizuar kohore, kështu që duke marrë një qasje të bazuar në rrezik, do të shqyrtojmë pikat e kontrollit që përfaqësojnë rrezikun më të madh për biznesin. Dhe kjo është pjesë e punës tonë për të identifikuar rreziqet dhe për të ndihmuar menaxhmentin të kuptojë se çfarë rreziku për biznesin do të ishte nëse një kontroll në një pikë specifike nuk funksionon si duhet dhe informacioni është komprometuar.

54321
(2 votes. Average 5 of 5)