A kutatás célja

A tervezett kutatás célja kettős: egyrészt gyakorlati jellegű módszerekkel megalkotni azt a kockázatértékelési metrikát, amelynek segítségével az információtechnológiai auditálás során felmerülő, a kockázatok elemzésére vonatkozó feladatok megoldhatók; másrészt az így előállított metrika gyakorlati használhatóságának, és az IT auditra gyakorolt pozitív hatásának igazolása.

A feladat egy, az eddigieknél pontosabb, megbízhatóbb és elfogulatlanabb kockázatértékelési metrika megalkotása. Egy ilyen metrika használatával a vállalati információrendszerek kockázatai jobban becsülhetők. A megfelelő értékelések alapján a vállalatok informatikai erőforrásaira vonatkozó döntések megalapozottabbak lehetnek, és az erőforrásokkal való gazdálkodás hatékonysága növekedhet.

II.1.1. Kockázatértékelési módszer létrehozása

Az IT auditálások során a felmérések kiterjedhetnek a vállalat valamennyi területére, amely a számítógépes információrendszerekkel kapcsolatba hozható. Az, hogy az aktuális auditálás során mely területek ellenőrzése, és milyen mélységig történik meg, a módszertől és az elvárásoktól függ. Ennek megállapítása igen fontos a vizsgálat hasznossága szempontjából, és a vizsgálat folyamatának lehetőség szerint be kell épülnie a vállalat stratégiájába a hatékonyság érdekében (Coles – Moulton, 2003; Olson, 2005, Parker, 2001). Az auditálás során számos kérdést megvizsgálnak, és a megállapításokat egy audit beszámolóban rögzítik. Ez alapján eldönthető, hogy a vállalati működés mely területeit találták problémásnak, és az auditornak lehetőség szerint ki kell térnie a megoldási lehetőségekre.

II. A kutatás célja, hipotézisek

Az auditálás során azonban a legtöbb esetben nem történik meg a felmerülő kockázatok számszerűsítése. Az auditor – legyen akár külső, akár belső – a legritkább esetben készít akciótervet az auditálás során felmerült hiányosságok kiküszöbölésére. Ez a feladat általában az auditálás megrendelőjére, az informatikai beruházásokért felelős döntéshozóra, vállalati tisztségviselőre hárul.

Ma már mindenki számára világos, hogy tökéletes informatikai biztonság nem létezik. Ennek elérése azonban nem csak a mindig megjelenő új fenyegetések és a kiszámíthatatlanság miatt nem valósítható meg. A vállalatok erőforrásai – elsősorban anyagi lehetőségei – korlátozottak. Amikor egy informatikai vezető döntést hoz a támogatandó, megerősítendő területekről, akkor mérlegeli a kockázatokat, és az ezek kiküszöböléséhez szükséges lépések erőforrásigényét. A cél az, hogy a lehető legkevesebb ráfordítással a lehető legnagyobb előrelépést lehessen elérni a biztonság területén. Ehhez pedig szükség van a pontos adatokra mind a kockázatok mértékét, mind az anyagi vonzatukat illetően.

A kockázatok kezelésének költségei általában a közgazdaságtan hagyományos eszközeivel kiszámíthatók. A kockázatok pontos értékelésére, az egyes területekre vonatkozó kockázati mértékek meghatározására azonban nincs széleskörűen elterjedt megoldás. A kutatás gyakorlati része egy ilyen módszer előállítása, amellyel az auditálás során feltárt kockázatok számszerűen értékelhetők, és egy érintett terület, illetve az auditálási módszertan egy-egy alapelvének érintettsége tekintetében összesíthetők.

Az eddigiekben említett kockázatok ebben az esetben nem csak a szigorúan vett információbiztonsági kockázatokat jelentik, hanem az auditálás során felmerülő szervezési, IT-menedzsment, illetve az esetleges szoftverfejlesztési minőségbiztosítással kapcsolatos problémákat is.

II.1.2. Kockázatértékelés alkalmazása

Az audit beszámolók célja az, hogy a vállalat felelős vezetőit tájékoztassa a felmért helyzetről, az esetleges hiányosságokat megismertesse

II. A kutatás célja, hipotézisek

velük, és lehetőleg megoldási lehetőségeket is kínáljon. A döntéseket azonban természetesen a vezetőknek kell meghozniuk.

Komoly problémát jelent napjainkban, hogy a vezetők gyakran nem kapnak elegendő információt az IT-t érintő döntések meghozatalához. Az audit beszámolókból kiolvasható ugyan a kockázatos területek leírása, az itt tapasztalt kockázati tényezők és sok esetben a megoldás is. Nem nyújtanak segítséget azonban abban a fontos kérdésben, hogy a vállalat korlátozott erőforrásait mely területek kezelésére érdemes elsősorban fordítani. A döntéshozók sok esetben ad hoc módon döntik el, hogy az erőforrásokat milyen módon allokálják a különböző problémák megoldására. Ebben elsősorban tapasztalataikra, esetleg megérzéseikre, gyakran pedig csupán a véletlenre támaszkodnak.

Egy másik probléma, bár az oka eredendően azonos, hogy a különböző auditálási eljárások által megállapított eredmények, elsősorban a kockázati szintekre vonatkozóan, valójában nem összehasonlíthatóak egymással. Mivel nincs általánosan elfogadott szabály a kockázatok értékelésére, ez általában rendkívül szubjektív módon történik meg (Ozier, 2003b). Így, még ha vannak is számszerű mutatók egy-egy területtel kapcsolatban, az a gyakorlatban más esetekkel nem összevethető, hiszen egy másik auditor, másik kockázatértékelő egészen más számadatokat kap esetleg olyankor is, ha ugyanazt a problémát ugyanazzal a módszerrel vizsgálja. Az ugyanannál a szervezetnél különböző időpontokban, illetve egy-egy iparágon belül különböző vállalatoknál történő auditálások eredménye – a kockázatok mértékére vonatkozóan – nem mérhető össze.

A kutatási feltevés szerint egy olyan metrika létrehozása, amely egy széles körben elterjedt módszertanra alapozva képes a különböző kockázatok pontosabb mérését és összehasonlíthatóságát biztosítani, egyaránt elősegíti a vállalati erőforrás-allokáció optimalizálását az érintett területen, valamint ennek és a benchmarking képességek növekedésének köszönhetően a vállalatnál meghozott – az auditálás eredményeire támaszkodó – döntések eredményességét, számszerűsíthetőségét és ellenőrizhetőségét.

II. A kutatás célja, hipotézisek

Az információtechnológiai auditálásnak, a többi ellenőrzéshez hasonlóan az az alapvető célja, hogy a megfelelőséget vizsgálja. Tehát azt, hogy a vizsgált terület folyamatai, szabályozása és működése megfelelnek-e valamely előre rögzített szabályoknak. Ezért az auditálás eredménye alapvetően kétféle lehet: megfelel, vagy nem felel meg.

A vállalati működés szabályozása azt a célt szolgálja, hogy a különböző operatív kockázatokat mérsékelni lehessen a stratégiai célok elérése érdekében.

Természetesen ahhoz, hogy a megfelelőséget kellőképpen mérni lehessen, szükség van arra, hogy a kontrollokat (a COBIT esetében a kontroll célkitűzésekből levezetve) a vállalati eljárásokba beépítsék. Felmerül azonban a kérdés, és ez jelen kutatásnak központi témája, hogy a kontrollok (kontroll célkitűzések; MTA-ITA, 2000) megfelelő kiválasztása mennyiben járul hozzá a kockázatok mérsékléséhez. Vajon, ha megfelelő módon szűkítjük a vizsgálandó területet, illetve azokat a kérdéseket, amelyekre koncentrálni kell, akkor ezzel a vállalat informatikából eredő kockázatai csökkenthetők költséghatékony módon? Amennyiben a korábbi auditálások során szerzett ismereteket felhasználjuk az értékelési rendszer önreflexiójára, akkor az segíti-e a hsegíti-elysegíti-es kontroll célkitűzéssegíti-ek kiválasztását?