Presentation is loading. Please wait.

Presentation is loading. Please wait.

Primjena IT u financijskom izvještavanju

Published byPhyllis Houston Modified over 6 years ago

Similar presentations

Presentation on theme: "Primjena IT u financijskom izvještavanju"— Presentation transcript:

1 Primjena IT u financijskom izvještavanju
Računovodstveni informacijski sustavi Prof. dr. sc. Mario Spremić, CGEIT Ekonomski fakultet Zagreb Copyright © dr. M. Spremić

2 Sadržaj Pojam informacijskog sustava (vrste, dijelovi)
Korporativno upravljanje informatikom (IT Governance) Uvod u reviziju informacijskih sustava (vrste, institucije, regulativa, certifikati) Zašto informacijski sustavi griješe? Upravljanje rizicima i mehanizmi kontrole Metode provedbe revizije IS-a (CobiT, ISO 27001,…) Regulativa revizije IS-a u RH (HNB) Studija slučajeva iz prakse i timskih projekata

3 Temeljna literatura Panian, Ž., Spremić, M. i suradnici (2007): Korporativno upravljanje i revizija informacijskih sustava, Zgombić i partneri.

4 Dodatna literatura Spremić, M. (2008): Korporativno upravljanje i informacijski sustavi, poglavlje u knjizi Korporativno upravljanje, urednik Darko Tipurić, Sinergija, 2008. Hunton, J.E. et.al, Core Concepts of Information Technology Auditing, Wiley Text Books, 2004. Niz članaka i studija slučajeva Članci u časopisima: Spremić, M., Žmirak, Z., Kraljević, K. (2008): Evolving IT Governance Model – Research Study on Croatian Large Companies, WSEAS Transactions on Business and Economics, Issue 5, Volume 5, May 2008, ISSN: pp Spremić, M., Popović, M. (2008): Metholodologies for conducting information sytem audit: case study of Sarbanes-Oxley compliance, Applied informatics – Uporabna informatika, Vol. 16, No. 3, Slovensko društvo INFORMATICA, PP Spremić, M., Popović, M. (2008): Emerging issues in IT Governance: implementing the corporate IT risks management model, WSEAS Transaction on Systems, Issue 3, Volume 7, March 2008, ISSN: , pp Spremić, M. (2008): Strategije korištenja informatike u poslovanju, Računovodstvo i financije, 09/2008, str (pregledni članak) Spremić, M. (2008): Krovni standardi upravljanja poslovnim informacijskim sustavima, Računovodstvo i financije, 10/2008, str (pregledni članak) Spremić, M. (2008): Izvedeni – taktički standardi upravljanja poslovnim informacijskim sustavima, Računovodstvo i financije, 11/2008, str Materijali s predavanja

5 Način rada i obveze Aktivno sudjelovanje, prisustvo,
Diskusija i analiza slučajeva iz prakse Ispit – pisani ispit sastavljen od niza pitanja iz sva tri područja

6 Pojam informacijskog sustava
Sustav sastavljen od niza komplementarnih komponenti koji služi prikupljanju, obradi, pohranjivanju i distribuciji informacija za potrebe provedbe poslovanja i upravljanja nekim poslovnim subjektom Funkcije informacijskih sustava: Prikupljanje podataka Obrada podataka i stvaranje informacija Analiza i upravljanje informacijama Pohranjivanje podataka i informacija Dostava informacija donositeljima odluka

7 Struktura informacijskog sustava
Svaki IS sastoji se od 6 komponenti

8 Dijelovi informacijskog sustava
Hardware - fizički dio IS-a, osobna računala, modemi, radne stanice, mrežna računala, poslužitelji, usmjerivači, modemi…. Software - nevidljivi dio IS-a u obliku programskih rješenja, algoritama koji pokreću hardver; Lifeware - ljudi koji se koriste IS-om, od profesionalnih informatičara do krajnjih korisnika; Dataware - podatkovni resursi, odnosno način i metode organizacije baza i skladišta podataka; Netware - komunikacijska i mrežna rješenja koja povezuju sve elemente u jednu cjelinu, i Orgware - organizacijski postupci i metode povezivanja svih navedenih elemenata u jednu cjelinu.

9 Primjena informacijskog sustava
Obrada transakcija (obrada plaća, evidencija zaposlenika, obrada zaliha, praćenje proizvodnje, evidentiranje opsega prodaje) – transakcijski informacijski sustav Informacijski sustavi i izvođenje poslovnih procesa (automatizacija, inovacija, poboljšanje, reinženjering) Potpora poslovnom odlučivanju Komuniciranje i povezivanje poslovanja Dokumentacijska i izvještajna funkcija Podrška ‘isturenim’ poslovnim procesima (web)

10 Podjela informacijskih sustava
Prema organizacijskoj strukturi (odjelni IS, korporativni IS, međuorganizacijski IS) Prema razini podrške Transakcijski IS (engl. Transaction processing system - TPS) Izvršni menadžerski IS (engl. Management information system - MIS) Sustav upravljanja znanjem (engl. Knowledge management system - KMS) Sustav uredskog poslovanja (engl. Office automation system - OAS) Sustav potpore odlučivanju (engl. Decision support system - DSS) Kompanijski IS (engl. Enterprise information system - EIS) Sustav potpore radu u skupini (engl. Group support system - GSS) Inteligentni IS (engl. Intelligent support system) Prema poslovnoj funkciji koju podržavaju Prema arhitekturi sustava

11 Usporedni grafički prikaz
Strateški mgt Sustavi potpore odluč. Izvršni IS-i Taktički management Transakcijski sustavi Operativni management Piramida managementa Piramida IS-a

12 Razvoj informacijskih sustava podrške poslovanju
Rane 1950-e 1960-e Kasne 1960-e Rane 1970-e Transakcijski IS (TPS) Management information systems (MIS) Sustav uredskog poslovanja (OAS) Sustav potpore odlučivanju (DSS)

13 Razvoj informacijskih sustava podrške poslovanju (nastavak)
Rane 1980-e Izvršni IS (Executive information systems) Kompanijski IS (EISs) Sustav potpore radu u skupini (GSSs) Sredina 1980-e Ekspertni sustavi (ES) Sustavi upravljanja znanjem (KMS) 1990-e Inteligentne neuronske mreže (ANNs) 2000-e IS za e-poslovanje, web sustavi, web usluge

14 Dijelovi informacijskog sustava

15 Transakcijski IS Transakcijski IS (engl. Transaction Processing Systems (TPS) = “IS koji podržava temeljne poslovne procese i najvažnije poslovne transakcije (računovodstvo i financije, prodaja, ljudski resursi, proizvodnja)” Transakcijski IS – temelj poslovnog IS Prati, prikuplja, obrađuje, pohranjuje, distribuira sve informacije o osnovnim rutinskim poslovnim transakcijama Te se informacije koriste kao ulazne kod funkcijskih IS, menedžerskih IS, sustava za potporu odlučivanju,…

16 Transakcijski IS Sustav za obradu transakcija ili transakcijski sustav pruža potporu tekućem odvijanju poslovnog procesa  obrada transakcija. Opće funkcije: Vođenje evidencije - evidentiranje zapisa o svakoj transakciji u bazu podataka Izdavanje - generiranje raznovrsnih dokumenata potrebnih u poslovanju Izvještavanje - praćenje odnosno kontroliranje poslovnog procesa Telekomunikacija – svi oblici komunikacije na daljinu U poslovanju – prijenos podataka i informacija Najčešća komunikacija – zvučnim i svjetlosnim signalima Nedostatak: zvučni i svjetlosni signali pri gibanju u prostoru i vremenu troše energiju (gubitkom energije signal prestaje) Stalno traženje umjetnih načina i sredstava komunikacije i prijenosa informacija na daljinu (bubnjevi, vatra, dim, zvona..)

17 Ciljevi transakcijskog IS
Osnovni cilj = omogućiti učinkovitu provedbu rutinskih poslovnih transakcija (organizacijske politike, zakonska regulativa) Posebni ciljevi = Učinkovito poslovanje Pravodobno izvješćivanje i poslovna dokumentacija Pružiti podatke za taktičke i strateške sustave Osigurati točnost, podudarnost i sigurnost podataka i informatika

18 Obilježja transakcijskih IS
Svakodnevno obrađuju ogromne količine podataka Interni izvori podataka, izlaz namijenjen internim korisnicima Veliki zahtjevi na pohranjivanje podataka (baze podataka) Potrebna je brza obrada Orijentacija na povijesne podatke Preciznost, detaljnost, pouzdanost obrade Trivijalne operacije (jednostavne matematičke i statističke oper.)

19 Primjeri transakcijskog IS
POS sustavi (u prosincu ‘peglalo’ se 25 kartica u sekundi, iskoristivost bankomatske mreže bila je 97%) Rezervacijski sustavi SABRE, Galileo, Amadeus – mjesečno preko 40 milijuna promjena cijena praćenje par milijuna cijena, preko slogova o kupcima i preko poruka u sekundi SABRE – obrađuje više od transakcija u sekundi uz vrijeme odziva manje od 2 sekunde u bilo kojem kutku svijeta ‘Travel supermarket’ (smještaj, rent-a-car, dodatni izleti, plan putovanja, …) Prihod od oko 4 USD po rezervaciji (bez obzira je li karta kupljena) Continental uslugu rezervacije plaća oko 17 USD po putniku EU – eGovernment Services – građani EU mogu uštedjeti do 7 milijuna sati na vremenu koje im je potrebno za ispunjavanje i slanje porezne prijave putem Interneta, pri čemu i EU administracija štedi oko 10 eura po svakoj transakciji (ukupno do iznosa od 0,5 milijarde eura godišnje)

20 Ryanair – poslovni model
Osnovan 1985, IPO uvršten u popis NASDAQ Top 100, 1800 zaposlenih 2000. uveli vlastiti internetski rezervacijski sustav % svih rezervacija on-line % svih rezervacija on-line, snažno širenje, kupnja 150 novih zrakoplova 12 baza, 209 ruta koje povezuju 93 destinacije u 19 europskih zemalja

21 Ryanair – poslovni model
93,5% letova stiže na vrijeme 0,43 reklamacija na 1000 putnika 0,74 reklamacija o prtljazi na 1000 torbi 0,78 izgubljenih torbi na 1000 putnika (SAS 12,1, Lufthansa 18,4, AirFrance 18,6, Alitalia 24,1, BA 31,2) 0,01% letova otkazano (Alitalia 0,5%, Lufthansa 0,7%, Austrian 0,8%, SAS 1,4%, BA 3,1%) Mjesečno prevezu prosječno više od 2 milijuna putnika na prosječno letova

22 Osnovna obilježja funkcijskih IS
IS logistike može se dijeliti na IS skladišta i IS transporta i distribucije IS proizvodnje može se dijeliti na IS za planiranje proizvodnje, IS za razvoj proizvoda i istraživanje, IS za upravljanje proizvodnjom, IS za praćenje i kontrolu proizvodnje Integriranje svih funkcijskih IS unutar poduzeća je potrebno zbog boljeg poslovanja poduzeća kao cjeline Zbog veza poduzeća sa okruženjem (dobavljači i kupci) IS mora podržati i taj dio poslovanja – zato je danas posebno važan Internet

23 Marketinški IS Mnoge marketinške aktivnosti podržane su djelovanjem IS: Određivanje i praćenje cijena proizvoda i usluga  Produktivnost prodajnog osoblja Globalno tržište (Internet)  Software za poboljšanje učinkovitosti prodaje (automatizacija, HHT, web-prodaja, … Analiza profitabilnosti prodaje, praćenje kupaca, praćenje ponašanja potrošača Detaljna analiza prodaje, trendovi, orijentacija na predviđanje prodaje, napredne informacije Planiranje tržišta, uvođenje novih proizvoda Web-sustavi u marketingu

24 Integralni informacijski sustav
Razlozi za integraciju funkcionalnih IS Poduzeće mora efikasno djelovati kao cjelina. Poslovni procesi odvijaju se u različitim službama (funkcijama). Funkcijski IS moraju se povezati u cjelinu i međudjelovati (razmjenjivati podatke, pružati informacije). Enterprise Resource Planning (ERP) Poduzeće mora efikasno djelovati kao cjelina. Poslovni procesi odvijaju se u različitm službama (funkcijama). Funkcijski IS moraju se povezati u cjelinu i međudjelovati (razmjenjivati podatke, pružati informacije). Najčešće nije moguće samo povezati već postojeće, gotove aplikacije koje su razvijene za pojedine funkcije. Zato integracija funkcija podrazumijeva razvoj novog IS cijelog poduzeća.

25 Informatika kao podrška managementu
Sustavi za potporu odlučivanju (DSS): podrška analitičkim, kvantitativnim tipovima odlučivanja Sustavi za izvršne direktore (Executive support systems) Sustavi za potporu odlučivanju u skupini (Group decision support systems) Inteligentni sustavi (Intelligent systems) Izvještajni sustavi Analitički sustavi Prediktivni sustavi Ove je sustave moguće razviti samo ako transakcijski IS već postoji (Primjer: reinženjering prodaje – mobilna prodaja)

26 Je li IS strateško oružje poslovanja?
pozitivno utječu na operativnu efikasnost poslovanja (podupiru strategiju niskih troškova, odnosno strategiju troškovnog vodstva) i/ili, u određenim okolnostima postaju pokretači inovativnosti i promjena u poslovanju (podupiru strategiju razlikovanja ili diferencijacije poslovanja) 26

27 IS kao pokretači operativne efikasnosti poslovanja
Automatizacija poslovnih procesa, Okosnica poslovanja i provedbe poslovnih transakcija Primjeri trošak jedne transakcije ostvarene putem elektroničkog bankarstva za banku je do 100 puta manji nego provedba te iste transakcije putem šaltera trošak rezervacije sjedala u zrakoplovu putem Interneta do 7 je puta manji nego posredstvom 'klasičnog' rezervacijskog sustava informacijski sustav logističke kompanije Federal Express obavi preko 70 milijuna elektroničkih transakcija dnevno računalni rezervacijski sustavi kao što su Sabre ili Amadeus, koje koriste brojne zrakoplovne kompanije, imaju mogućnost mjesečno obaviti preko 40 milijuna promjena cijena, istodobno rade s preko slogova o kupcima i preko poruka u sekundi, obrađuju više od transakcija u sekundi uz vrijeme odziva manje od 2 sekunde u bilo kojem kutku svijeta 27

28 IS kao pokretači inovativnosti i promjena u poslovanju
IS aktivno sudjeluju u stvaranju potpuno novih, najčešće do tada nepoznatih i inovativnih poslovnih modela IS pokreću nove poslovne procese, stvaraju horizontalne inovacije ‘Privremeni monopol’ Primjeri inovativnih poslovnih modela ili usluga Dell Computers, Amazon.com, Priceline.com, Google, YouTube, Ryanair, EasyJet, Adriatica.net, itd. elektronička karta, prijava za let putem Interneta, mobilni 'check-in', (zrakoplovni prijevoz) korištenje RFID tehnologije u poslovnim procesima prodaje i upravljanja zalihama (primjerice, Wall-Mart i 'instant' inventura stanja zaliha) LoJack (lociranje ukradenog automobila pomoću GPS tehnologije) i upravljanje voznim parkom putem satelitske navigacije (ubrzo i beskontaktno plaćanje cestarina na autocestama prema tome predlošku, odnosno prema stvarnom broju prijeđenih kilometara) plaćanja putem mobilnog telefona (m-parking, m-prijevoz), e-Rijeka, itd 28

29 Case study: CEO as CIO Industrial Credit and Investment Corporation of India (ICICI) K.V. Kamath – CEO i CIO Poslovna strategija = inovativno korištenje IT, IT kao kritični resurs organskog rasta banke Vodeća privatna banka u Indiji 2000. g klijenata, danas skoro 20 milijuna Prije 6 godina 95% šalterskih transakcija, 5% ATM Danas šalteri ispod 15%, ATM 48%, Internet 21%, call center 5% 614 podružnica, 2200 ATMs, 13 zemalja Bankomatska mreža > 99,4% dostupna, 3 razine redundancije (dial-up, veza, iznajmljena veza, satelitska veza) Troškovi tehnologije 10 puta manji nego kod drugih banaka 29

30 Informacijski sustavi koji griješe
Kako je nastao pojam ‘bug’ Zrakoplov iz koji je zbog pogreške računala pri utvrđivanju preletnih koordinata udario u planinu na Antarktici Slom australskog sustava socijalnog osiguranja (zbog pogreške u IS odobrena su neka prava osiguranicima što je porezne obveznike stajalo 126 milijuna australskih dolara) Britanski umirovljenici su bili godinama prikraćivani za 300 GBP mjesečno radi pogreške u projektiranju IS Slom burze tehnoloških dionica iz 1995. služba socijalnog osiguranja SAD-a isplatila više od 60 milijuna $ na račune oko pokojnika u toku 15 godina Giant Food Inc. – umjesto 25 centi, dioničarima isplaćena dividenda od 2,5 $ - ukupno više isplaćeno 11 milijuna “nepostojećih” dolara Stanley Mark Rifkin “provalio” u EFT (Electronic Funds Transfer) sustav velike banke i napravio transfer 10,2 milijuna $ na račun u Švicarskoj, te kupio dijamanata – kazna 8 godina strogog zatvora.

31 Zašto informacijski sustavi griješe? - 1. primjer
Adidas – novi sustav distribucije i logistike Bar-kodiranje svakog proizvoda, uporaba bežičnih uređaja u kamionima, viljuškarima, itd.. trebala je omogućiti brži protok informacija i veliku uštedu u procesu logistike Softver koji je upravljao sustavom nije radio kako treba (softver je trebala omogućiti outsourcing kompanija – partner u projektu) Neprimjerena dokumentacija sprječavala je Adidasove IT stručnjake da poprave programe Adidas je krenuo u primjenu novog sustava prije nego što je projekt bio gotov Problemi: prekid distribucije proizvoda na par mjeseci na svjetskoj razini, velika kašnjenja u isporukama, veliki pad prodaje (kod nekih distributera i za 90%), … Razlozi?

32 Zašto informacijski sustavi griješe? - 2. primjer
UK – sustav prema kojemu su sve bolnice u UK trebale dijeliti iste podatke o pacijentima (centralizirani podaci o klijentu) Trošak: 4 milijarde funti Problemi: doktori ga nisu htjeli koristiti jer imaju stare sustave i nemaju vremena za učenje novog. Osim toga novi sustav uopće nije prilagođen njihovim zahtjevima, niti su korisnici voljni svoje privatne podatke davati nekome drugome osim svome doktoru opće prakse u kojega imaju povjerenja … Razlozi?

33 Zašto informacijski sustavi griješe? - 3. primjer
London Ambulance System Sustav koji je nakon poziva na broj telefona hitne pomoći (999) trebao locirati mjesto s kojega je poziv upućen, pronaći i obavijestiti najbližu Hitnu pomoć u Londonu i formirati nalog za odlazak sa svim potrebnim podacima Problemi: 1h nakon početka rada novog sustava, sustav je ‘pao’ i nastao je informacijski kaos. Hitna pomoć se vratila na stari, ‘ručni’ način rada s karticama… Sustav je pao zbog preopterećenosti, jer se testirao na 50-ak poziva, a samo u prvom satu ‘žive’ uporabe pristiglo je 1000-njak poziva na 999 Strategija prijelaza na novi sustav Razlozi?

34 Životni ciklus informacijskog sustava
Za životni ciklus sustava karakteristične su četiri razvojne faze: faza inicijalizacije (nastajanja) sustava faza ekspanzije (rasta) sustava faza konsolidacije (sazrijevanja) sustava faza zrelosti sustava

35 Krivulja životnog ciklusa informacijskog sustava
Mjerilo kvalitete Infleksija Inicijali- zacija Ekspan- zija Konsoli- dacija Zrelost Vrijeme

36 Izvještajni sustavi Početne faze razvoja IS (inicijalizacija i ekspanzija) Povijesni aspekt poslovanja, identifikacija (što se dogodilo) Velika količina unaprijed utvrđenih upita Koliki je iznos ukupnog prihoda, opsega prodaje, troškova, proizvedenih količina? Gdje je ostvarena najveća prodaja, prihod, broj isporuka? Koje su razlike u odnosu na prethodna razdoblja? Koji su resursi produktivni? Koliki je prosječan prihod prema proizvodu, klijentu, kanalima? Koliki su troškovi privlačenja novih korisnika? Koji su načini i dinamika plaćanja klijenata?

37 Analitički sustavi Zašto se nešto dogodilo, događalo?
Faza kontrole i integracije IS Skladište podataka, izvođenje znanja iz podataka (‘data mining’) Zašto prosječan prihod po klijentu pada? Zašto je prodaja određenog proizvoda podbacila? Zašto kupci kupuju konkurentski proizvod? Zašto zalihe nisu na očekivanoj razini? Zašto je slab obrtaj zaliha? Zašto su isporuke kasnile, zašto je prodano toliko malo proizv.? U kojim se područjima poslovanja ostvaruje najbolji ROI? Zašto su troškovi poslovanja ‘probijeni’?

38 Prediktivni sustavi Što će se dogoditi?
Faza distribucije i zrelosti IS Realistične, pouzdane i vjerodostojne prognoze, predviđanja budućih događaja i procesa (KM, BI) Koji bi proizvodi/usluge mogli biti profitabilni? Koji bi kupci mogli kupiti neki proizvod? Kakva je predvidiva potražnja prema zemljopisnim područjima? Koja područja poslovanja iskazuju potencijal rasta? Što bi mogao biti naš ‘core business’ u narednom razdoblju? Što najbolji klijenti očekuju od kompanije u budućnosti Kako će se prodavati novi proizvod

39 Zakon minimuma kvalitete informacijskih sustava (1/2)
Kvaliteta informacijskog sustava jednaka je kvaliteti njegove najlošije komponente

40 Zakon minimuma kvalitete informacijskih sustava (2/2)
Mjera kvalitete E QE A QA C QC B QB D QIS = QD QD Komponente sustava

41 Dobre politike upravljanja kvalitetom IS-a
Kada se planira izgradnja IS-a: Ravnomjerno ulagati u sve komponente IS-a. Kada su uočene veće razlike u kvaliteti pojedinih komponenata IS-a Ulagati prvo u najlošiju komponentu, sve dok njena kvaliteta ne dosegne razinu kvalitete sljedeće na komponente, potom dalje ulagati u obje te komponente ravnomjerno, itd.

42 Mjerilo uspješnosti (kvalitete) informacijskog sustava
Odstupanje, odnosno zaostajanje realne za idealnom funkcijom sustava Što je to odstupanje (zaostajanje) manje, sustav je uspješniji, tj. kvalitetniji, i obratno Da bi se utvrdila kvaliteta sustava, potrebno je poduzeti dvije temeljne akcije: definirati idealnu funkciju sustava izmjeriti odstupanje (zaostajanje) realne od idealne funkcije sustava

43 Dualna priroda kvalitete informacijskog sustava (2/2)
Kvaliteta informacijskog sustava Interna Eksterna

44 Kvaliteta informacijskog sustava
Informacijski sustav nužno mora biti interno kvalitetan da bi mogao biti i eksterno kvalitetan. Interna kvaliteta informacijskog sustava osiguravat će se internom kontrolom sustava, a stupanj te kvalitete utvrđivati njegovom internom revizijom. Da bi se ispravno ocijenila stvarna i objektivna kvaliteta IS-a, trebat će ga podvrći i eksternoj reviziji, čiji će se nalazi smatrati valjanima za izvođenje konačne ocjene kvalitete (vrsnoće) promatranog informacijskog sustava Revizija (engl. audit) – postupak pregleda i provjere uspješnosti, postupak ocjene kvalitete

45 a) komercijalna revizija,
Vrste revizije ORGAN KOJI PROVODI ISPITIVANJE PODRUČJE ISPITIVANJA OBJEKT a) interna revizija, b) eksterna revizija a) komercijalna revizija, b) državna revizija a) revizija financijskih izvještaja, b) revizija poslovanja, c) revizija informacijskih sustava

46 Osnovni pojmovi electronic data processing audit (EDP audit)
information technology audit (IT audit) auditing computer-based information systems computer audit information system audit

47 Potreba za revizijom IS
Uobičajene vrste revizije: Revizija financijskih izvještaja Revizija podudarnosti Revizija poslovanja Revizija informacijskih sustava Interna revizija Eksterna revizija Interna revizija IS, eksterna revizija IS Evolucija razvoja revizije IS-a Institucije revizije IS-a (ISACA, ITGI, the IIA), Stručni certifikati (CISA, CIA, CISM, CGEIT, CISSP …..) 47

48 Što je revizija informacijskih sustava?
Organizacijska funkcija koja omogućuje neovisno i objektivno testiranje funkcija, ciljeva i dijelova informacijskog sustava kako bi se prikupili dokazi koji se mogu neovisno razmatrati ili biti dobrom podlogom za ostale vrste revizije Proces prikupljanja i neovisne, stručne procjene dokaza kojim se provjerava efikasnost i učinkovitost djelovanja i konačno procjenjuje kvaliteta informacijskog sustava poslovnog subjekta 48

49 Definicije pojma revizija IS-a
Revizija informacijskih sustava (engl. Information System Audit) - proces provjere uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti i pouzdanosti Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje 49

50 Definicije pojma revizija IS-a
Složen proces prikupljanja i procjene dokaza na temelju kojih se može procijeniti uspješnost IS-a, odnosno, odrediti djeluje li IS u funkciji očuvanja imovine, održava li se cjelovitost (integritet) podataka, omogućuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi sustava na učinkovit način Sustavan postupak kojim se ocjenjuje djeluje li informatika u skladu s poslovnim ciljevima, u kojoj mjeri djelotvorno i učinkovito podupire ciljeve poslovanja i kakva je praksa (zrelost) upravljanja i kontrole informacijskih sustava na raznim hijerarhijskim razinama ‘Alternativna' definicije revizije informacijskih sustava - procjena razine kvalitete informacijskih sustava u skladu s potrebama poslovanja 50

51 Što je revizija informacijskih sustava?
Revizija informacijskih sustava predstavlja proces prikupljanja i procjene dokaza na temelju kojih se može utvrditi kvaliteta informacijskog sustava: djeluje li informacijski sustav u funkciji očuvanja imovine, održava li se cjelovitost (integritet) podataka, omogućuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi poslovanja na učinkovit način 51

52 Objekt i predmet revizije IS-a
Objekt revizije informacijskih sustava jest sustavno, temeljito i pažljivo pregledati kontrole unutar svih dijelova informacijskog sustava Osnovni zadatak revizije IS-a: Procijeniti njegovo trenutno stanje (zrelost, razinu uspješnosti), Otkriti rizična područja i razinu rizika i Dati preporuke menadžmentu za poboljšanje prakse njegova upravljanja Primjer izvještaja revizora IS-a (.doc) 52

53 Izvještaj revizora IS-a – nalazi, objašnjenje rizika, mišljenje, preporuke
Primjer (IT Audit report – XY bank) Područje revizije: Strateški plan informatike Razina rizika: Visok Nalazi: Provedbom razgovora s višim razinama menadžmenta i uvidom u poslovnu dokumentaciju ustanovljeno je da strateški plan informatike formalno ne postoji. Postoje određene neformalne i ad-hoc procedure planiranja resursa koje informatika kao poslovna funkcija koristi, ali te su aktivnosti stihijske i neusklađene s potrebama poslovanja. Ocjena rizika: Informatika se ne razvija u skladu s potrebama poslovanja i potrebama ostvarenja poslovnih ciljeva. Ne postoji poveznica između poslovanja i informatike, nisu određeni ključni ciljevi i zadaci funkcioniranja informatike kao poslovne funkcije. Preporuke menadžmentu: Uprava treba dokumentirati kratkoročne i dugoročne razvojne planove informatike kao poslovne funkcije. Potrebno je ustrojiti …… 53

54 Koraci provedbe revizije IS-a
Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije) Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole) Detaljan pregled objekta revizije IS-a i testiranje kontrola Prikupljanje dokaza i procjena poslovnih rizika Preporuke i izvještaj revizora IS-a 54

55 Provedba revizije IS-a
Analiza dokumentacije Prikupljanje revizijskih dokaza Intervjui, ankete i neformalni razgovori Tehničko ispitivanje i testiranje sustava Analiza i vrednovanje revizijskih dokaza Priprema revizijskog izvješća Predstavljanje revizijskog izvješća Faza revizije informacijskih sustava % od ukupnog vremena trajanja revizija Priprema i planiranje 10 Analiza dokumentacije Prikupljanje revizijskih dokaza: Intervjui, ankete i neformalni razgovori Tehničko ispitivanje i testiranje sustava 15 Analiza i vrednovanje revizijskih dokaza 20 Priprema revizijskog izvješća Predstavljanje revizijskog izvješća 5 Postrevizijske aktivnosti 55

56 Provedba revizije IS-a
Analiza dokumentacije Upravljačka dokumentacija Radni dokumenti Pomoćni dokumenti Prikupljanje revizijskih dokaza Intervjui, ankete i neformalni razgovori Tehničko ispitivanje i testiranje sustava (vrijeme odziva, vrijeme reakcije, ‘job’, transakcija, propusna moć, kapacitet sustava, pokazatelji pouzdanosti – raspoloživost, MTBF, …) Analiza i vrednovanje revizijskih dokaza Ocjena zaštite imovine sustava (očekivani gubitak) OG = i pi gi Ocjena djelotvornosti sustava (kvaliteta IS-a, kvaliteta informacija, korisnost sustava, jednostavnost sustava, uporaba (funkcionalnost) sustava Priprema revizijskog izvješća Predstavljanje revizijskog izvješća 56

57 Regulativa i kriteriji provjere (revizije) uspješnosti IS-a
Zakonska regulativa (HNB – Odluka o primjerenom upravljanju IS-om za banke i štedno-kreditne institucije) Standardi i svjetski priznati okviri (CobiT, ISO 27000, ITIL, SAS 70, Sarbanes-Oxley act, ….) Standardi unutar određenih djelatnosti (PCI DSS, Basel II) Politike i pravila poduzeća Načela informatičke struke Zahtjevi poslovne prakse Zahtjevi korisnika informacijskih sustava 57

58 Institucije i regulativa provedbe revizije IS-a
ISACA (Information System Audit and Control Association), CISA (Certified Information System Auditor) CISM (Certified Information Security Manager) CGEIT (Certified in Governance of Enterprise IT) IIA (Institute of Internal Auditors) – Hrvatska narodna banka Odjel za izravni nadzor banaka i fin. Institucija Odluka o primjerenom upravljanju IS-om u svrhu smanjenja operativnog rizika (.pdf) 58 58

59 Područja revizije IS-a u HR (HNB – Zakon o bankama)
Upravljanje sigurnošću IS-a Upravljanje rizikom koji vezan uz IS Logičke kontrole pristupa Upravljanje imovinom IS-a Upravljanje operativnim i sistemskim zapisima Upravljanje pričuvnom pohranom Upravljanje odnosima s pružateljima usluga Upravljanje odnosa s dobavljačima opreme Upravljanje razvojem IS-a Upravljanje fizičkom sigurnošću Upravljanje lozinkama Upravljanje promjenama Upravljanje kontinuitetom poslovanja Upravljanje incidentima i problemima Primjena internih akata vezanih uz IS 59 59

60 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom (HNB)
Uprava banke dužna je odrediti člana uprave zaduženog za upravljanje i nadzor IS-a uspostaviti primjerenu org. strukturu, odbore i funkcije ( ) donijeti strategiju IS-a ( ) strategiju IS-a razraditi strateškim i operativnim planovima ( ) donijeti interne akte kojima se uređuje upravljanje IS-om, definirati odgovornosti za nadzor ( ) 60 60

61 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom
Uprava banke dužna je uspostaviti funkciju voditelja sigurnosti IS-a ( ) imenovati odbor za upravljanje IS-om ( ) usvojiti metodologiju upravljanja projektima ( ) 61 61

62 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom
Banka je dužna uspostaviti proces upravljanja rizikom IS-a ( ) Metodologiju upravljanja rizikom IS-a ( ) Dokumentirati rezultate procjene rizika IS-a ( ) Procijeniti i na prihvatljivu razinu svesti rizike IS-a ( ) Klasificirati i zaštititi informacije prema razini osjetljivosti ( ) Uprava banke odgovorna je za donošenje prihvatljive razine rizika kojima je izložen IS ( ) 62 62

63 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom
Unutarnja revizija Dužna je obavljati reviziju IS-a banke ( ) Usvojiti metodologiju za provođenje revizije IS-a zasnovanu na procjeni rizika, a kojom se određuju kriteriji, načini i postupci revizije IS-a banke ( ) 63 63

64 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom
Upravljanje kontinuitetom poslovanja Klasificirati i zaštititi informacije prema razini osjetljivosti ( ) Banka je dužna uspostaviti određeni proces upravljanja promjenama softverskih komponenti IS-a ( ) Banka je dužna uspostaviti proces upravljanja kontinuitetom poslovanja ( ) Banka je dužna, u skladu s procjenom rizika i na osnovi rezultata analize utjecaja na poslovanje, osigurati raspoloživost pričuvnoga računalnog centra ( ), itd. 64 64

65 Krovne metode i okviri korporativnog upravljanja informatikom
COBIT – krovni okvir korporativnog upravljanja informatikom i revizije IS-a COSO – krovni okvir pri procjeni kvalitete internih kontrola ISO 38500:2008 – krovna norma korporativnog upravljanja informatikom Odgovornosti i ovlasti upravljanja Strategija IT-a Stjecanje IT-a 4. Upravljanje performansama IT-a 5. Sukladnost propisima i regulativi 6. ‘Human behaviour’ 65 65

66 Pod Opis područja Razina zrelosti 1 2 3 4 5 Upravljanje sigurnošću informacijskog sustava 2 - Stanje ponovljivosti Upravljanje rizicima koje se odnose na IS Upravljanje logičkim i upravljačkim kontrolama pristupa Upravljanje imovinom informacijskog sustava 1 - Početno stanje Upravljanje operativnim i sistemskim zapisima 6 Upravljanje pričuvnom pohranom 7 Upravljanje odnosima s pružateljima usluga 8 Upravljanje odnosa s dobavljačima opreme 9 Upravljanje razvojem informacijskog sustava 10 Upravljanje fizičkom sigurnošću 3 - Stanje definiranosti 11 Upravljanje zaporkama 12 Upravljanje konfiguracijama 13 Upravljanje promjenama 14 Plan kontinuiteta poslovanja 15 Plan oporavka nakon neželjenog događaja 16 Plan odgovora na incidente 17 Upravljanje zaštitom od malicioznog koda 4 - Stanje mjerljivosti 18 Primjena internih akata vezanih uz IS

67 COBIT metodologija Svjetski priznati standardi upravljanja IT-om (‘IT best practices’) Svjetski priznati standardi i ciljevi kontrole i revizije IS COBIT 4.1 – Control Objective for Information and related Technology Smjernice za analizu, mjerenje i kontrolu primjene IS i IT 34 IT procesa (cilja kontrole ili vođenja IT) svrstana u 4 područja Planiranje i organizacija (PO) Akvizicija i implementacija (AI) Isporuka i podrška (DS) Nadzor i procjena (ME) 34 cilja kontrole i 318 vrlo preciznih i detaljnih kontrola i uputa za njihovu primjenu (primjer) ( 67 67 67

68 CobiT - 34 ključna IT procesa (.pdf)
PLANIRANJE I ORGANIZACIJA (PO) ISPORUKA I POTPORA (DS) PO1 Strateško planiranje IS DS1 Definiranje i upravljanje razinama usluga PO2 Definiranje informacijske arhitekture DS2 Upravljanje vanjskim uslugama PO3 Određivanje tehnoloških smjernica DS3 Upravljanje perfomansama i kapacitetom PO4 Definiranje IT procesa, organizacije i odnosa DS4 Osiguranje kontinuiteta usluga PO5 Upravljanje IT investicijama i troškovima (.pdf) DS5 Sigurnost sustava PO6 Komuniciranje prema menadžmentu DS6 Određivanje i dodjela troškova PO7 Upravljanje ljudskim resursima DS7 Izobrazba i trening korisnika PO8 Upravljanje kvalitetom DS8 Podrška korisnicima PO9 Upravljanje i procjena rizika DS9 Upravljanje konfiguracijom PO10 Upravljanje projektima (.pdf) DS10 Upravljanje problemima i incidentima DS11 Upravljanje podacima AKVIZICIJA (NABAVA) I IMPLEMENTACIJA (AI) DS12 Upravljanje pomoćnom opremom AI1 Određivanje mogućih rješenja DS13 Upravljanje operacijama (obradom) AI2 Nabava i održavanje aplikacijskih programa AI3 Nabava i održavanje tehnološke arhitekture NADZOR I PROCJENA (ME) AI4 Korištenje i funkcionalnost rada (obrade) ME1 Nadzor i procjena IT performansi AI5 Nabava IT resursa ME2 Nadzor i procjena internih kontrola AI6 Upravljanje promjenama (.pdf) ME3 Sukladnost s zakonskim i drugim normama AI7 Instalacija i odobravanje rješenja i promjena ME4 Korporativno upravljanjem IT-om 68 68

69 COBIT metodologija CobiT menadžmentu predočava jasniju sliku funkcioniranja informacijskog sustava i cjelokupne informatike na način da: jasno određuje i detaljno opisuje ključne informatičke procese (34 procesa svrstana u 4 područja), jasno određuje obveze i područja odgovornosti (RACI tablica za svaki od tih procesa određuje tko je odgovoran, tko provodi kontrolu, a koga samo treba konzultirati prije donošenja odluke, odnosno informirati nakon), jasno određuje ciljeve nadzora i kontrole (CobiT kontrolni ciljevi), određuje ciljeve i metrike uspješnosti informatičkih procesa (modeli zrelosti): KPI – ključni indikatori performansi (engl. Key Performance Indicators), KGI – pokazatelji ostvarenja ciljeva (engl. Key Goal Indicators), KRI – ključni pokazatelji rizika (engl. Key Risk Indicators), pokazatelji ostvarenja zacrtanih aktivnosti (engl. IT activity goals) model zrelosti za svaki poslovni proces (ocjene od 0 do 5) i čitav sustav kojima se mogu mjeriti performanse informatičkih procesa i procijeniti njihovu učinkovitost u odnosu na poslovne ciljeve. 69 69 69

70 CobiT i upravljanje IT rizicima
70 70

71 CobiT i upravljanje IT rizicima (PO9)
71 71

72 Izvedene metode i okviri revizije IS-a
Prema područjima provjere razlikujemo sljedeće izvedene standarde strateškog upravljanja IS-om: upravljanje razvojem poslovnih informacijskih sustava (CMMI, TickIT,...), upravljanje informatičkim uslugama (ITIL) upravljanje ulaganjima u informatiku (Val IT) upravljanje informatičkim rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005) upravljanje sigurnošću poslovnih informacijskih sustava (obitelj ISO normi, NIST, SANS, IS3) upravljanje projektima (Prince 2, PMBOK) upravljanje kontinuitetom poslovanja (BS 25999) 72 72

73 Izvedene metode i okviri revizije IS-a
Val IT inicijativa ( - poboljšanje upravljanja ulaganjima u informatiku (3 područja, 40-ak procesa) ITIL okvir (ISO norma) ( - upravljanje informatičkim uslugama (5 područja, 20-ak procesa) Risk IT metodologija ( - upravljanje informatičkim rizicima (3 područja, 20-ak procesa) Obitelj ISO normi (ISO – ISO 27008) - ciljana unaprjeđenja sustava sigurnosti informacija (ISO područja i 40-ak procesa) Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja operativnim rizicima (11 područja) Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima PMBOK – poboljšanje prakse upravljanja projektima PCI DSS (engl. Payment Card Industry Data Security System) – regulatorna pravila sigurnog i pouzdanog baratanja s podacima u kartičarskoj industriji. (primjer primjene .ppt) 73 73

74 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom
Unutarnja revizija Dužna je obavljati reviziju IS-a banke ( ) Usvojiti metodologiju za provođenje revizije IS-a zasnovanu na procjeni rizika, a kojom se određuju kriteriji, načini i postupci revizije IS-a banke ( ) (odluka.doc) 74 74

75 Zrakoplovna kompanija – ComAir, 2004 (.ppt)
Otkazao transakcijski IS zrakoplovne kompanije za vrijeme božićnih blagdana (između 22. i 24. prosinca otkazano 91% letova) Taj se sustav sastojao od prastarih IBM-ovih AIX poslužitelja. Sustav nije otkazao zbog starosti poslužitelja nego zbog SBS-ova softvera koji nije bio predviđen za više od odgoda letova, koliko ih je bilo tog mjeseca zbog brojnih oluja Normalno funkcioniranje uspostavljeno Problemi: Tisuće Amerikanaca božićne je blagdane provelo čekajući u zračnim lukama, štete, tužbe, narušen ugled…. Epilog: 3900 letova otkazano, putnika ‘izgubljeno’, 20 milijuna USD izravne financijske štete, velika šteta gubitkom poslovnog ugleda Razlozi? Odgovornosti?

76 Potreba za korporativnim upravljanjem rizicima
Rizik neisplativih ulaganja u informatiku (‘annual value destruction’) IBM Fortune CIO 1000 survey (2004) : ‘40% of IT costs do not deliver business value’ Rizik neuspješne provedbe informatičkih projekata (Gartner, Standish Group) Gartner (2002) – firms waste $600bn each year on ill-conceived IT projects Standish Group (2004) – 29% of IT projects (initiatives) successfull Rizik prekida ili otežanog funkcioniranja poslovanja (poslovnih procesa) Disaster recovery Institute (2007): 93% of companies that experince a downtime with no BCP quit functioning within 5 years. 50% of companies that lost their business critical processes for more than 10 days never recover Rizik napada na imovinu informacijskog sustava Rizik krađe osjetljivih podataka, tehnološki rizici Rizik provedbe promjena, rizik rastuće složenosti informacijskih sustava

77 Korporativno upravljanje i informatika
Koja je uloga (pozicija) informatike u poslovanju? Kako (koliko) u informatiku uložiti? Koliki je povrat ulaganja (ROI)? Što je zadatak / cilj informatike u poslovanju? Koji su prioritetni IT projekti? Znamo li njihov doprinos poslovanju? Koje poslovne ciljeve podržava informatika? Tko je odgovoran za funkcioniranje informatike? Tko i kako donosi odluke koje se tiču informatike? Tko i kako kontrolira informatiku? Tko i određuje / kontrolira informatičke rizike? Je li nam IT/IS važna u poslovanju? Zašto i u kojoj mjeri nam treba IT/IS? Možemo li bez IT/IS? Koliko dugo? itd. …. SSSR – USA Nike MFI Sainsbury Adidas Airbus Riječka banka ZSE UK Passport Agency London Ambulance LA Airport UK Home Office

78 Korporativno upravljanje i informatika – Možemo li bez informatike
Korporativno upravljanje i informatika – Možemo li bez informatike? Koliko dugo? Vrijeme dostupnosti Max. vrijeme nedostupnosti u jednoj godini % 31.5 sekundi 99.999% 5 minuta i 35 sekundi 99.99% 52 minuta i 33 sekunde 99.9% 8 sati i 46 minuta 99.0% 87 sati i 36 minuta 95.0% 18 dana i 8 sati 90.0% 36 dana i 12 sati Prosječan gubitak uslijed prekida odvijanja poslovnih procesa na 1h: investicijsko posredništvo 6,5 milijuna USD kartičarsko poslovanje (autorizacija kreditnih kartica) oko 2,6 milijuna USD, Logistika i paketna distribucija oko USD Rezervacijski sustavi za zrakoplove oko USD Fortune 500 lista – prosječan gubitak je oko USD po MINUTI

79 Što je korporativno upravljanje informatikom (IT Governance)?
Skup tehnika i metoda kojima korporativna tijela i izvršni menadžment 'ovladavaju' primjenom informatike u poslovanju, odlukama o ulaganjima u informatiku, performansama i rizicima njezina korištenja, ali i preuzima odgovornost za kontrolu provedbe informatičkih procesa i svih aktivnosti

80 IT Governance – korporativno upravljanje informatikom
Izvršni menadžment i najviša tijela upravljanja kompanijom postaju odgovorna za sva važna pitanja upravljanja informatikom, poput: donošenje i implementacije strategije informatike, čvrsto povezivanje strategije poslovanja i strategije informatike, odnosno određivanje optimalne uloge informatike u poslovanju, donošenje metrika kojima se mjeri utjecaj informatike na poslovanje i mjeri poslovna vrijednost informatike, korporacijsko i sveobuhvatno upravljanje informatičkim rizicima, učinkovito upravljanje informatičkim projektima i ulaganjima, i odgovornost za učinkovitost sustava informatičkih kontrola.

81 Komponente korp. upravljanja informatikom

82 Komponente korp. upr. informatikom – Strategija informatike
Koja je uloga informatike u poslovanju? Strateško planiranje informacijskih sustava (SPIS) Plan za razvoj IS koji trebaju učinkovito podržavati strateške ciljeve poslovanja i omogućiti njihovo ostvarenje ‘Skladan brak’ poslovnih ciljeva i IT ciljeva Usklađenje poslovne strategije i IS strategije

83 Kako odrediti strategiju informatike?

84 Komponente korporativnog upravljanja informatikom - IT rizici
Rizici koji proizlaze iz intenzivne uporabe informacijskih sustava i tehnologije kao važne podrške odvijanju i unaprjeđenju poslovnih procesa i poslovanja uopće Opasnosti i prijetnje da intenzivna primjena informatike može uzrokovati neželjene ili neočekivane posljedice i možebitne financijske i druge štete unutar organizacije ali i njezinog neposrednog i šireg okruženja Šteta: materijalna i financijska, izravna ili neizravna

85 Upravljanje rizicima Sistematičan analitički proces kojim organizacija otkriva (pronalazi), prepoznaje (identificira), umanjuje (reducira) i nadzire (kontrolira) potencijalne rizike i gubitke kojima je izložena Taj proces omogućuje organizacijama utvrđivanje veličine (ozbiljnosti, težine, razmjera) i učinaka potencijalnih gubitaka, vjerojatnosti da će se takav gubitak eventualno i dogoditi te protumjera koje mogu djelovati na smanjenje vjerojatnosti ili veličine gubitka Rizik = F (imovina, prijetnja, ranjivost)

86 Rizik = f (Imovina, prijetnja, ranjivost)
Prijetnja – mogućnost ili namjera neke osobe da poduzme akcije koje nisu u skladu s ciljevima organizacije Ranjivost - svaka slabost bilo kojeg dijela imovine ili neke zaštitne mjere Imovina – sve što tvrtka posjeduje i što za nju ima neku poslovnu vrijednost

87 Vrste IT rizika ‘Corporate level’ IT risks
Strat. IT plan, IT project management praksa, IT politike, procedure, pravilnik o sigurnosti IS, politika IT ulaganja, rizik nepoštivanja standarda, zakonskih obveza, rizik IT ovisnosti o dobavljačima, rizici iz vanjskog okruženja, rizik IT projekta, itd. ‘Process-level’ IT risks (opći IT rizik) Razvoj i kupnja aplikacija, promjena softvera, pristup programima i podacima, sigurnosni rizici, rizik neprekidnosti poslovanja (business continuity), rizik oporavka nakon prekida rada (disaster recovery), itd. Aplikacijski IT rizici i rizici IT servisa Rizici provedbe IT operacija (jesu li transakcije točne, potpune, cjelovite, podjela dužnosti i kontrola, autorizacija, itd.) i rizici IT servisa (dostupnost i funkcionalnost mreže, podataka, itd..) (primjer – rizik IT servisa – ITIL)

88 Razrada scenarija IT rizika
Primjer scenarija IT rizika Objašnjenje potencijalne štete Potencijalni gubitak 'Ozbiljnost' događaja Ovlašteni korisnici izvode nedozvoljene aktivnosti Korisnici imaju pristup podacima, mogu pregledavati i mijenjati važne podatke, manipulirati radom sustava kn I Prekid rada sustava i servisa Prekid rada sustava može nastati radi pogrešne opreme, pogrešaka u aplikacijama ili podacima, a može uzrokovati prekid obavljanja kritičnih poslovnih procesa i gubitak važnih podataka kn Nepotpuna obrada poslovnih transakcija Neotkrivena pogrešna ili nepotpuna obrada poslovnih transakcija može utjecati na financijske izvještaje i smanjiti kvalitetu odlučivanja kn Neuspješna provedba projekata Projekti nisu dovršeni na vrijeme, unutar predviđenog budžeta i nemaju sve unaprijed dogovorene funkcionalnosti kn Krađa osjetljive ili kritične imovine Krađa računala i opreme na kojima se nalaze povjerljivi i osjetljivi podaci kn II

89 Primjer određivanja rizika ABN-AMRO

90 Analiza utjecaja na poslovanje (BIA)
RTO (engl. Recovery Time Objective) – vrijeme neraspoloživosti poslovnih procesa i osnovna mjera kritičnosti poslovnih procesa RTO - maksimalno dozvoljeno vrijeme neraspoloživosti poslovnog procesa (engl. Maximum Tolerable Downtime - MTD) RPO = 1h – organizacija je spremna izgubiti sve podatke koji su nastali unutar jednog sata prije neželjenog događaja 90

91 ‘Matrica’ IT rizika Razina 'ozbiljnosti' neželjenog događaja
Vjerojatnost nastanka događaja (ranjivost sustava) A B C D E I (visoka) II III IV (niska) Rizik 1 - neprihvatljiv, kritičan, vrlo moguć i zahtijeva trenutnu reakciju najviših razina menadžmenta Rizik 2 - neprihvatljiv, zahtijeva korektivnu akciju i izravno uključivanje (višeg) menadžmenta Rizik 3 - prihvatljiv uz praćenje i izvještavanje menadžmentu Rizik 4 - prihvatljiv bez 'uplitanja' menadžmenta Opis incidenta (a) Vrijednost utjecaja (imovine) (b) Vjerojatnost ostvarenja (c) Mjera rizika (d) d = b x c Rangiranje incidenta (e) Incident A 5 2 10 Incident B 4 8 3 Incident C 15 1 Incident D Incident E Incident F

92 Komponente IT Governance-a – IT kontrole

93 Ključni aspekti kontrole informacijskih sustava
Kontrola je sustav, što znači da obuhvaća skup uzajamno povezanih (interagirajućih) komponenata koje, djelujući jedinstveno i usklađeno, potpomažu ostvarivanje utvrđenih ciljeva informacijskog sustava. Kontrola se usmjerava na neželjene događaje ili procese u informacijskom sustavu. Neželjeni događaj može nastati, a proces biti aktiviran zbog neovlaštenih, netočnih, nepotpunih, redundantnih, nedjelotvornih ili neučinkovitih ulaza u sustav. Kontrole se primjenjuju zato da bi se spriječili (prevenirali), otkrili (detektirali) ili ispravili (korigirali) neželjeni događaji i/ili procesi.

94 Kontrola kao komponenta upravljanja
Upravljati sustavom znači poduzimati odgovarajuće mjere kako bi se osiguralo da sustav djeluje (funkcionira) na željeni način. Kontrolom se utvrđuje kakve mjere treba poduzimati da bi se ostvarili utvrđeni ciljevi upravljanja Kontrola je sustav kojim se sprječavaju, otkrivaju i ispravljaju neželjeni događaji i procesi u informacijskom sustavu Kategorizacija kontrola: Sa stajališta objekta na koji se primjenjuju Opće informatičke kontrole Aplikacijske kontrole Sa stajališta hijerarhijske pozicije Kontrole na korporativnoj razini Kontrole na izvršnoj razini upravljanja Kontrole na operativnoj razini upravljanja Sa stajališta svrhe Preventivne Detektivne Korektivne 94

95 Kontrole IS-a na korporativnoj razini
Korporativne kontrole (planiranje, organiziranje, vođenje i kontrola IS-a, politika ulaganja, prioritetni projekti, strategija IS-a) Kontrole aktivnosti IS-a (kontrole životnog ciklusa IS-a, dokumentacijski standardi, metodološki standardi, standardi učinaka IS-a) Kontrole provedbe sigurnosne informacijske politike 95

96 Sigurnosna informacijska politika
Sigurnosna informacijska politika je odraz svijesti i volje organizacije za zaštitom informacijskih sadržaja i resursa od njihova uništenja, degradacije i/ili zloporabe To se u praksi prevodi u skup organizacijskih pravila i postupaka što u svojoj ukupnosti čine normativni okvir sigurnosne informacijske politike u organizaciji 96 96

97 Osnovna pitanja koja treba urediti sigurnosnom informacijskom politikom
Tko ima dozvolu za korištenje informacijskih resursa? Tko ima ovlasti za administriranje sustava? Koja su prava i obveze administratora sustava? Tko dodjeljuje ovlaštenja za korištenje resursa informacijskog sustava? Koji su dopušteni načini korištenja resursa informacijskog sustava? Koja su prava i odgovornosti korisnika sustava? Tko ima pravo prenošenja ovlaštenja? Kako se postupa s osjetljivim informacijama? 97 97

98 Kontrole na izvršnoj upravljačkoj razini
Kontrole u postupku razvoja i uspostavljanja IS-a (kontrole metodologije razvoja softvera) SAS 70 izvještaj Kontrole promjena aplikacija Kontrole isporuke aplikacija Kontrole podataka (pristup bazama, konverzija, pristup OS-u, …) Sigurnosne upravljačke kontrole 98 98

99 Primjeri testova kontrole podataka
*SECOFR, *ALLOBJ, *NOMAX (password), *PUBLIC, *SECADM, LMTCPB (bez ograničenja ovlasti promjene) *AUDIT, *ALLOBJ SPCAUT QPWDEXPITV (*NOMAX - kada istječe lozinka), QPWD PRTSYSSEC, DSPUSRPRF, CHGUSRPRF *PUBLIC (*SECADM), CRTUSRPRF, CHGUSRPRF, DLTUSRPRF QSECURITY >=30 QAUDLVL (*CREATE, *DELETE) ‘log tests’ ‘ORACLE DBlog’ 99 99

100 Sigurnosne upravljačke kontrole
Teorija upravljanja sigurnošću informacijskih sustava i procesa ne zagovara potrebu iznalaženja načina uspostavljanja apsolutne već održive i ekonomski opravdane razine sigurnosti informacijskih sustava i procesa ISO norma: Politika informacijske sigurnosti Organizacija informacijske sigurnosti Upravljanje imovinom Sigurnost ljudskog potencijala Fizička sigurnost i sigurnost okruženja Upravljanje komunikacijama i operacijama Kontrola pristupa Nabava, razvoj i održavanje informacijskih sustava Upravljanje sigurnosnim incidentima Upravljanje kontinuitetom poslovanja Sukladnost 100

101 Upravljačke kontrole Osnovni je zadatak revizora pri istraživanju upravljačkih kontrola kojima se podvrgava informacijski sustav ocijeniti radi li menadžment svoj posao dobro. Revizor mora steći potpuni uvid u unutarnju kontrolnu strukturu organizacije koju istražuje, a upravljačke kontrole čine važan segment te strukture. Zato revizor mora dobro razumjeti bit upravljačkih kontrola relevantnih sa stajališta ciljeva koje želi ostvariti. Temeljem uvida u prakticirane upravljačke kontrole revizor mora donijeti odluku o tome hoće li se u svome radu pouzdati i oslanjati na njih ili ne.

102 Aplikacijske kontrole
Svrha je aplikacijskih kontrola osigurati da svaki pojedinačni aplikacijski sustav, kao podsustav cjelokupnog informacijskog sustava tvrtke, teži očuvanju imovine tvrtke i integriteta podataka, te djelotvornom i učinkovitom ostvarivanju zacrtanih općih i pojedinačnih ciljeva

103 Svrha kontrole informacijskog sustava
Opća je svrha kontrole smanjenje očekivanih gubitaka do kojih bi došlo kod pojave neželjenih događaja ili ostvarenja neželjenih procesa u sustavu. Kontrola djeluje na dva načina: Preventivnom se kontrolom smanjuje vjerojatnost neželjenih događaja i/ili procesa. Detektivnim i korektivnim kontrolama smanjuje se veličina (iznos) gubitka koji bi nastao zbog neželjenih događaja i/ili procesa.

104 Vrste kontrola IS Upravljačke kontrole (politike kompanije, način i stil vođenja, strateški plan IT, organizacija posla, način razmjene informacija, …) Opće IT kontrole (cilj: siguran, pouzdan i neometan IS) Učinkovitost i provedba sigurnosne politike IS Procjena sustava internih kontrola, Kontrole vođenja i organiziranja IS Kontrole pri razvoju IS, Kontrole pri promjeni postojećeg IS (softvera) Kontrole pri redovitom radu IS i opreme Kontrole pristupa podacima i programima Osiguravanje kontinuiteta poslovanja Fizičke sigurnosne kontrole, Logičke sigurnosne kontrole Kontrole rada IS (podjela dužnosti) Kontrole podataka, kontrole obrade podataka Komunikacijske kontrole, U/I kontrole Aplikacijske kontrole (cilj: otkriti/spriječiti neautorizirane transakcije) Potpunost Točnost Autorizacija Validacija Podjela posla 104

105 Vrste kontrola IS Sigurnosne kontrole Kontrole neprekidnosti
Fizičke i logičke kontrole Kontrole pristupa Kontrole praćenja Kontrole pregleda stanja ‘Penetrating tests’ kontrole Informacijske (podatkovne) kontrole Kontrole ulaza Procesne kontrole Kontrole baza podataka Izlazne kontrole Kontrole aplikacije Kontrole neprekidnosti Backup kontrole Backup podataka Backup hardvera Kontrole oporavka nakon neželjenog događaja 105

106 Primjer ITIL implementacije (ISO 20000)
KPIs for ITIL process Incident Management Prije ITIL Poslije ITIL Prosječno vrijeme za rješavanje incidenata 36 min. 24 min. % od ukupnog broja incidenata koji su se riješili na prvoj razini podrške 18% 37% % od ukupnog broja incidenata koji su imali velik negativan utjecaj na usluge 22% 20% % od ukupnog broja incidenata koji su se zaprimili mimo Službe podrške (Service Desk) 16% 5% KPIs for ITIL process Problem Management Prije ITIL Poslije ITIL Broj velikih (kritičnih) problema 22 7 Broj ponavljajućih problema 11 8 Prosječno vrijeme potrebno za dijagnostiku i otkrivanje uzroka 4,5 h 3,5 h % od broja riješenih problema proaktivno ili reaktivno 20% proakt., 80% reakt. 45% proakt, 55% reakt KPIs for ITIL process Configuration Management Prije ITIL Poslije ITIL % promjena realiziranih kao što je bilo planirano 25% 80% % promjena koje nisu potvrđene 95% 10% % hitnih promjena 60% 35% % neuspješno realiziranih promjena 18% 6% % korištenja neautoriziranog softvera 22% 8% % pogrešnih isporuka 13% % hitnih isporuka 32% 20% KPIs for ITIL processes Change Management and Release Management Prije ITIL Poslije ITIL % od ukupnog broja CI s pogrešnim atributima za provjeru 65% 25% % od ukupnog broja CI koji su pohranjeni u bazi podataka 10% 70% % od ukupnog broja CI čiji se atributi automatski ažuriraju 55%

107 Zašto IT projekti ne uspijevaju?
2002 Gartner – 20% projektnih troškova su nepotrebni, rasipni (‘annual value destruction’ – 600 milijardi USD) 2004 IBM Fortune 1000 CIO anketa – 40% projektnih troškova nisu donijeli nikakvu korist organizaciji 2004 Standish Group Report – 29% projekata je uspješno Standish Group ‘The Chaos Report’: 80-90% projekata ne postiže učinke zbog kojih su pokrenuti, 80% projekata prekorači planirano vrijeme i cijenu, 40% projekata se napusti, u manje od 25% projekata na dobar način se ostvare i poslovni i tehnički ciljevi, samo 10-20% projekata su stvarno uspješni projekti

108 Zašto IT projekti ne uspijevaju?
Pomanjkanje resursa U projekt nisu bili uključeni odgovarajući korisnici Pomanjkanje potpore menedžmenta Otpori projektu Loša analiza organizacije Neusklađenost s promjenama u okolini Neusklađenost projekta s poslovnim planovima Nejasna odgovornost za provedbu projekta Loš odabir IT alata Loše predstavljanje rezultata Samo 30% projekata uspješno 24,7% 18% 12,4% 10,1% 7,9% 6,7% 3,3%

109 ISO 27001:2005 2.1. Unutarnja informacijska sigurnost
1. Informacijska sigurnosna politika 2. Organizacija informacijske sigurnosti 2.1. Unutarnja informacijska sigurnost 2.2. Vanjski suradnici 3. Upravljanje informacijskim resursima (imovinom) i klasifikacija informacija 3.1. Odgovornost za informacijske resurse (imovinu) 3.2. Klasifikacija informacija 4. Informacijska sigurnost i privatnost zaposlenika 4.1. Sigurnost i privatnost prije zaposlenja 4.2. Sigurnost i privatnost tijekom zaposlenja 4.3. Prekid ili promjena zaposlenja 5. Fizička sigurnost i sigurna područja 5.1. Sigurna područja 5.2. Fizička sigurnost opreme 6. Upravljanje komunikacijama i operacijama 6.1. Radne upute i odgovornosti 6.2. Upravljanje pružanjem usluga treće strane 6.3. Planiranje i prihvaćanje sustava 6.4. Zaštita od zloćudnog i prenosivog koda 6.5. Sigurnosne kopije 6.6. Upravljanje sigurnošću računalnih mreža 6.7. Rukovanje medijima (nositeljima podataka) 6.8. Razmjena informacija 6.9. Usluge elektroničke trgovine 6.10. Nadzor 7. Kontrola pristupa 7.1. Poslovni zahtjevi i politika kontrole pristupa 7.2. Upravljanje korisničkim pristupom 7.3. Odgovornosti korisnika 7.4. Kontrola pristupa računalnoj mreži 7.5. Kontrola pristupa operacijskom sustavu računala 7.6. Kontrola pristupa poslovnim informacijama i aplikacijama 7.7. Uporaba prenosive opreme i rad na daljinu 8. Nabava, razvoj i održavanje poslovnog informacijskog sustava 8.1. Sigurnosni zahtjevi informacijskih sustava 8.2. Ispravna obrada u aplikacijama 8.3. Kriptografske kontrole 8.4. Sigurnost sistemskih datoteka 8.5. Sigurnost u procesima razvoja i podrške 8.6. Upravljanje tehničkom ranjivošću 9. Upravljanje sigurnosnim incidentom 9.1. Izvješćivanje o sigurnosnim događajima i slabostima 9.2. Upravljanje sigurnosnim incidentima i poboljšanjima 10. Upravljanje kontinuitetom poslovanja 11. Sukladnost 11.1. Sukladnost sa zakonskim propisima 11.2. Sukladnost sa sigurnosnim politikama i standardima i tehnička sukladnost 11.3. Razmatranja revizije informacijskih sustava 109 109

110 ISO 27001:2005 ISO sadrži 36 sigurnosnih ciljeva i 127 sigurnosnih kontrolnih mjera podijeljenih u 10 domena: Sigurnosna politika (Zahtjevi uprave za unaprjeđivanjem infromacijske sigurnosti) Organizacijska sigurnost (Omogućavanje upravljanja informacijskom sigurnošću unutar organizacije) Klasifikacija i kontrola resursa (Provođenje inventara informacijskih resursa i njihove zaštite) Osoblje kao element informacijske sigurnosti (Smanjivanje rizika mogućnosti ljudske pogreške, krađe, prijevare i oštećivanja resursa na prihvatljivu razinu) Fizička sigurnost i zaštita od utjecaja okoline (Sprječavanje uništavanja, propadanja i prekida funkcioniranja sredstava i podataka) Upravljanje komunikacijama i aktivnostima kao elementima informacijske sigurnosti (Osiguravanje prikladnog i učinkovitog rada uređaja za procesiranje informacija) Kontrola pristupa (Kontrola pristupa informacijama i resursima) Razvoj sustava i njihovo održavanje (Osiguravanje ugrađenosti sigurnosti u informacijske sustave) Upravljanje kontinuiranosti poslovanja (Smanjivanje utjecaja prekida poslovanja na prihvatljivu razinu i zaštita ključnih procesa organizacije od prekida i propasti) Sukladnost s pravnom legislativom (Sprečavanje mogućnosti kršenja zakona, statutornih ili ugovornih obveza i sigurnosnih zahtjeva) 110 110

111 ISO 27001:2005 111 111

112 Način uporabe norme ISO 27001
 Vrsta organizacije  Veličina organizacije Primarni cilj uvođenja ISMS-a Način uporabe norme ISO 27001 Manja organizacija Manje od 200 zaposlenih Podizanje shvaćanja uprave o važnosti informacijske sigurnosti Norma sadrži sigurnosne teme koje je potrebno obraditi kao dio učinkovitog upravljanja organizacijom Srednja organizacija Manje od 5000 zaposlenih Kreiranje prikladne korporativne sigurnosne kulture Norma sadrži zahtjeve koje je potrebno ugraditi u poslovanje Velika organizacija Više od 5000 zaposlenih Postizanje certifikacije Striktno pridržavanje norme kako bi se izgradio učinkovit ISMS Primjeri primjene: Data storage security (.ppt) 112 112

113 ISO 27001:2005 113 113

114 Novi standardi BS 7799-2:2002 ISO 17799:2000 ISO 27000
Principles and Definition BS :2002 ISO 27001:2005 ISMS Requirements ISO 17799:2000 ISO 17799:2005 ISMS Code of Practice ISO 27002 ISMS Code of Practice ISO 27003 Implementation Guidelines ISO 27004 ISMS Measurement BS :2006 Risk Management ISO 27005 Risk Management 114 114

115 ISO standardi ISO/IEC 27000: uvid u ISO/IEC grupu standarda kao cjelinu, ISO/IEC 27001:2005 – model za uspostavu, provedbu, upravljanje, praćenje, preispitivanje, održavanje i poboljšavanje ISMS-a ISO/IEC 27002:2007 – kodeks postupaka za ISMS, ISO/IEC – vodič za implementaciju ISMS-a, ISO/IEC – mjerenje i metrika efikasnosti ISMS-a, ISO/IEC 27005:2008 – upravljanje rizicima ISMS (BS ), ISO/IEC 27006:2007 – vodič za registraciju procesa kod ovlaštenih ISMS tijela za registraciju, ISO/IEC – će biti vodič za reviziju ISMS-a, 115

116 ISO 27000 standardi (nastavak)
ISO/IEC – uputstvo za reviziju kontrola informacijske sigurnosti, ISO/IEC vodič za ISMS u komunikacijama, ISO/IEC 27011: vodič za ISMS u telekom kompanijama, ISO/IEC – vodič za implementaciju, odnosno uvođenje standarda ISO/IEC (ITIL) i ISO/IEC (ISMS), ISO/IEC obuhvatit će informacijsku sigurnost upravljanja, ISO/IEC – vodič za uvođenje ISMS-a u financijskim organizacijama, ISO/IEC – standard usmjeren na ICT radi održavanja normalnog poslovanja, ISO/IEC – pruža smjernice za cyber sigurnost, ISO/IEC – zamjena za zastarjeli standard ISO/IEC vezano za sigurnost mreža informacijskih sustava, ISO/IEC zamjena za standard ISO/TR vezano za upravljanje sigurnosnim incidentima, ISO/IEC – vodič za održavanje adekvatne razine sigurnosti prilikom angažiranja vanjskih čimbenika unutar projekata, ISO/IEC – vodič za digitalne dokaze u projektima, ISO 27799:2008 – osigurava vodič za uvođenje ISMS-a u zdravstveni sektor na temelju standarda ISO/IEC 27002:2007. 116

117 mspremic@efzg.hr www.efzg.hr/mspremic
Hvala na pozornosti Pitanja, komentari, prijedlozi, sugestije

Download ppt "Primjena IT u financijskom izvještavanju"

Similar presentations

Visa MasterCard incoming / outgoing Aplikacija VMC

Visa MasterCard incoming / outgoing Aplikacija VMC
1 Holcim (Hrvatska) d.o.o. 01.06.2011. Holcimova Mahovina.

1 Holcim (Hrvatska) d.o.o Holcimova Mahovina.
Rješenje za izradu obiteljskog stabla

Rješenje za izradu obiteljskog stabla
Obrazac JOPPD - uvod www.regos.hr www.porezna-uprava.hr MINISTARSTVO RADA I MIROVINSKOGA SUSTAVA.

Obrazac JOPPD - uvod MINISTARSTVO RADA I MIROVINSKOGA SUSTAVA.
Google Analytics Analitika turističkih web stranica

Google Analytics Analitika turističkih web stranica
Katedra za informatiku

Katedra za informatiku
Broadband over powerlines

Broadband over powerlines
Damir Zec Pomorski fakultet u Rijeci

Damir Zec Pomorski fakultet u Rijeci
Kako provesti reviziju informacijskih sustava – regulativa i metode

Kako provesti reviziju informacijskih sustava – regulativa i metode
SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE

SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE
OPERACIJSKI SUSTAVI.

OPERACIJSKI SUSTAVI.
Poslovni informacioni sistemi

Poslovni informacioni sistemi
Pomoć informatičkih i računalnih stručnjaka u provedbi revizije

Pomoć informatičkih i računalnih stručnjaka u provedbi revizije
Stručno savjetovanje ovlaštenih revizora Zagreb, prosinca 2008

Stručno savjetovanje ovlaštenih revizora Zagreb, prosinca 2008
Otkucaji srca Internet ekonomije Mladen Tabak, Cisco Systems IT Committee Chairman, American Chamber of Commerce in Croatia Hrvatski dani Interneta 2002,

Otkucaji srca Internet ekonomije Mladen Tabak, Cisco Systems IT Committee Chairman, American Chamber of Commerce in Croatia Hrvatski dani Interneta 2002,
Mrežni protokoli.

Mrežni protokoli.
Uvod u projekte Rijeka, 25.07.2013..

Uvod u projekte Rijeka,
Programiranje - Blokovi naredbi i logički tipovi –

Programiranje - Blokovi naredbi i logički tipovi –
CheckBox RadioButton RadioGroup

CheckBox RadioButton RadioGroup
Petlje FOR - NEXT.

Petlje FOR - NEXT.

Similar presentations

Ads by Google