1 / 16

Information Systems Control & Audit(7)

Information Systems Control & Audit(7). Shin, SooJung Based on Ron’s book. Chapter 8 Operations Management Controls. (1) Introduction.

daria-allison
Download Presentation

Information Systems Control & Audit(7)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Information Systems Control & Audit(7) Shin, SooJungBased on Ron’s book

  2. Chapter 8 Operations Management Controls

  3. (1) Introduction • Operation Management is responsible for the daily running of HW & SW facilities so that (1) production application systems can accomplish their work (2) development staff can design, implement, and maintain application system. • Many operations tasks were automated • Operation functions function became increasingly decentralized • Conflicting pressure emerged with respect to operations efficiently • Many organizations began to outsource their operation functions Computer operation control Capacity planning & Performance monitoring Helpdesk/technical support control Communication network control Documentation & program library control Data preparation & entry control File library control Production control

  4. (2) Computer operation • 3 types of controls • Those that prescribe the functions that either human operators or automated operations facilities must perform • Those that prescribe how jobs are to be scheduled on HW/SW platform. • Those that prescribe how HW is to be maintained in good operating order. (1) Operations controls • (1) To support the execution of programs on computer • start & stop programs according to a run schedule • Load tape & removable disks onto drivers • Load forms onto a printer • Backup… • -> AOF(automated operations facilities) • (2) Standard procedure 필요(documentation)-> training • (3) Auditors • AOF의 authenticity, accuracy, completeness 파악 • Decentralized operation의 감사는 복잡해짐 • Operating system log 분석 중요

  5. (2) Computer operation (2) Scheduling controls • (1) To ensure that computers are used only for authorized purposes and that consumption of system resources is sufficient. • (2) 큰 컴퓨터의 경우 이러한 scheduling은 중요함 • (3) Auditors • Production schedule의 enforcement가 존재하는지 파악 • 사용자가 application에 만족하는지, 여러 자원들이 높은 사용률을 보이는지 테스트 함 –efficiency 파악 (3) Maintenance controls • (1) Preventive : MF에 적합, HW의 위치가 멀거나, 시스템이 중요한 경우 적합 • (2) Remedial • (3) Auditors • Effective & efficient • What maintenance activity?, how? • Adequacy 확인

  6. (3) Network operation (1) WAN • Network control terminal: 라인과 프로세스의 시작과 정지, 네트웍 활동의 모니터링, 통계, 큐길이의 재세팅, 백업, 시스템 상태의 질문, 데이터 조사 • Control의 필요성: 훈련되고, 좋은 경력이 있는 직원, 임무의 분리 및 회전, 오퍼레이터에 따른 제한된 권한, 네트웍 SW의 감사증적, 주기적 검토, 여러네트웍 터미날 사용시 적절한 분리, 문서화된 표준 및 프로토콜, 오퍼레이터의 작업에 대한 주기적인 검토 • Auditor • control의 reliability의 파악 • Operator의 활동관찰, 보고서 검토, 로그 파악 (2) LAN • (1) 파일서버관리 • (2) Control : 디스크 용량, 네트웍의 사용활동 및 패턴, 손상된 데이터의 레벨, 바이러스 방지 • (3) Auditors • control의 reliability의 파악 • Operator의 활동관찰, 보고서 검토, 로그 파악 • 파일서버의 위치의 안전성, 접근권한 파악

  7. (4) Data preparation & entry • Keying task 가 잘 설계되었는지 파악 • Keyboard operator에 대한 훈련, 적절한 환경 • 데이터 입력기구(ex ATM)에 대한 주기적인 유지보수 • 백업확인-source documentation • Auditor • 현재 데이터 입력은 사용자들에게 분산되어 있으므로 감사하기 어려움 • 데이터 준비와 입력에 대한 조직의 standard가 있는지 파악 • Standard에 따라 준행되는지 파악

  8. (5) Production control • 5 functions • Receipt & dispatch of input and output • Job scheduling • Management of SLA with users • Transfer pricing/chargeout control • Acquisition of computer consumables (1) Input/Output control • 어떤 상황(외부조직, 원거리 사용자 등)에서는 입력이 처리를 위해 operations function에 제출될 수 있음. – production control personnel은 허가된 자로 부터 입력이 받아들여졌는지, 입력의 로그, 안전한 보관, 처리를 위한 적절한 submission 등을 확인하는 책임이 있음. • 어떤 상황(외부조직, 원거리 사용자 등)에서는 출력의 책임이 production control personnel에 있을 수도 있음. – 출력이 제시간에 준비되었는지, 출력에 대한 품질검사, 출력물의 안전한 보관 및 전송 등에 대한 책임이 있음.

  9. (5) Production control (2) Job scheduling control • Job이 운영요원이나 자동화된 운영기구들을 사용할 경우 production control section에서 운영스케줄을 수립하고, 각 작업에 필요한 JCL을 준비하고 테스트하는 책임을 가짐 • Job control file: 언제 job내의 프로그램들이 실행되는가, 프로그램 실행순서, 필요한 데이타파일, 사용되는 프린터, 프로그램에 할당된 우선순위, 비정상종료에 대한 절차 등을 정의하는 JCL을 포함 • Auditors • JCF가 표준에 의해 준비되고 문서화되며, 허가되지 않은 접근에 subject되지 않는지 파악 • Job들이 Job schedule에 따라 준수되어 실행되었는지 job의 log들을 검토 • 허가되지 않은 job의 수행, 허가되지 않은 rerun 파악 • JCF의 백업 (3) Management of SLA • SLA: turnaround, response time, the level of maintenance support, the costs, the penalties • The production control section- SLA의 관리 책임, SLA가 최신의 것이며 문서화되고, 안전한 곳에 보관되도록 관리하며 사용자와 운영자가 이러한 Agreement에 부합되도록 함. 불평들은 운영자나 개발자에게 직접가지 않도록 하며 control section에서 다룸 • Auditors • production control section이 SLA를 잘 관리하는지 파악 • 어떤 방식으로 불편들과 분쟁이 해결되는지 평가

  10. (5) Production control (4) Transfer pricing/chargeout control • 운영이 chargeout을 사용한다면 production control section은 사용자에게 billing하고 영수하며, 지불되지 않은 계정을 follow-up해야 함-chargeout system이 허가되며, 정확하며, 완전하며, 사용자에게 이해될 만한것인지 확인 • Charge의 레벨이 기준에서 deviate되는 상황등을 관찰하고 보고해야 함. • Auditor • 사용자 인터뷰:서비스레벨에 대한 만족평가, control section인터뷰: 수행하는 임무, 문서화 파악 • 로그, 절차, 문서화 파악 (5) Acquisition of consumables • The production control section- 구입과 관리의 책임, 충분한 양, 가격, 품질 유지 • Auditors • 구입과 인벤토리 활동파악

  11. (6) File library • 조직의 machine-readable storage media 관리- 마그네틱 테잎, 카트리지, optical disk • Storage media must be kept in a secure facilities • It must be used only for authorized purpose • It must be maintained in good working order • It must be suitably located, and transit to and from the facility must be controlled (1) Storage of storage media • Storage room – access control… • Automated library system • Auditor • 미디어가 안전하게 보관되었는지 (on-site & off-site) • ALS존재시 정확성 점검

  12. (6) File library (2) Use of storage media • MF환경: 파일 라이브라리안이 허가된 프로덕션 스케쥴에 따라 removable storage media를 관리함. removable strage media의 기록 유지 • Microcomputer환경: 데이터의 중요성에 따라 달라짐. • Off-site의 인력-허가된 절차에 따라서 백업파일을 생성하고 받아야 함. • 하나의 storage medium에 여러파일저장시 주의 • 폐기시 주의 • Auditor • - 라이브라리안과 인터뷰, 관찰, 로그검토 –적절한 control이 이루어지는지 평가 (3) Maintenance & disposal of media • 노후시 폐기- 폐기시 주의 • 외부장소로 보내기전 주요데이타 삭제 등의 조치 (4) Location of storage media • MF: 운영관리자는 백업이 계획대로 이루어지는지 확인, 파일라이브라리안은 백업이 적절한 시간에 안전하게 off-site에 옮겨지는지 확인 • Microcomputer: 라이브라리안이 없는경우 표준이 만들어지고 사용자들로 이 표준을 준수하게 해야 함.

  13. (7) Documentation & program library • Documentation 관리의 어려움 • 문서화의 책임이 조직전체에 분산됨 • 문서화가 여러형태오 여러장소에 보관됨 • 문서의 다양성으로 인해 문서화가 최신화되는 것을 유지하고 허가된 사용자에게만 접근하도록 하는 것이 어려움 • Documentation librarian의 기능 • 문서가 안전하게 보관되도록 함 • 허가된 사람만이 문서에 접근하도록 함 • 문서화가 최신의 것으로 유지되도록 함 • 적절한 백업이 이루어지도록 함 • 획득된 소프트웨어에 대한 inventory관리의 책임도 맡을 수 있음. – 소프트웨어의 구입, 분배, 사용의 기록을 유지하고, 사용자로 하여금 라이선싱 협약에 따르도록 함 • Auditor • - 인터뷰, 관찰, 문서검토등을 통해 라이브라리안의 활동을 평가함

  14. (8) Help desk/ Technical Support • 임무 • 사용자로 하여금 HW, SW를 employ하는 것을 지원함 • 문제해결을 지원함으로써 프로덕션 시스템을 위한 기술적인 지원을 제공함 • 효과적이고 효율적인 기능을 위해 • 유능하고 신뢰할만한 인력 • Help desk활동을 지원하기 위한 인벤토리, 로깅, 레포팅 기능을 가진 problem management system이 필요 • Auditor • 사용자의 만족도, 인력의 응답방식 관찰, 리뷰로그 등을 통해 사용자의 질문에 대한 적절하고 정확하고, 완전한 응대를 파악

  15. (9) Capacity planning & performance monitoring • 성능평가 통계기반 • 불법적인 행동이 발생했는지 점검 • 사용자 필요의 관점에서 시스템의 성능이 acceptable한지 판단 • 더 이상의 HW, SW가 필요한지 판단 • Auditor • 성능을 적절히 모니터하는지, 통계에 근거하여 HW/SW를 구입하는지, 사용자는 부족한 성능으로 인해 불만을 가지는지 등을 파악

  16. (10) Management of outsourced operations • 4 Types of controls in monitoring of outsourcing contracts • (1) Ongoing evaluation of the financial viability of the outsourcing vendor • financial statement의 주기적인 점검 • (2) Ensuring compliance with the outsourcing contract’s terms & conditions • 계약전 서로의 책임, 의무, 품질, 시간목표, 비용, 비밀요구조건, 오우너쉽, 절차 등을 합의함 • 계약후에는 계약대로 준수되는지를 모니터해야 함. • (3) Ensuring the ongoing reliability of controls in the outsourcing vendor’s operation • 통제의 이행에 대한 제 3자의 감사보고서 제출 • 고객으로 부터의 감사수행 • Follow-up • (4) Maintaining procedures for disaster recovery with the outsourcing vendor • 아웃 소싱 계약서에는 벤더에 대한 재해복구대책의 존재와 작동에 대해 명시해야 함. 이러한 대책은 주기적으로 평가되어야 함. Client는 벤더의 재해발생시의 재해복구절차를 개발해야 하고, 벤더의 계획이 실패할 경우의 대책을 수립해야 함. • 기업의 보안관리자는 아웃소싱 계약에 따른 재해복구 통제의 설계및 이행을 책임져야 함. 운영관리자는 이러한 대책의 운영과 모니터링을 책임짐. 수정사항발생시 보안관리자에게 공지

More Related