1. Stručno savjetovanje ovlaštenih revizora Zagreb, 12-13 prosinca 2008
Revizija informacijskih sustava kao poveznica s revizijom financijskih izvještaja
Stručno savjetovanje ovlaštenih revizora
Zagreb, prosinca 2008
Prof. dr. sc. Mario Spremić
Ekonomski fakultet Zagreb
Copyright © dr. M. Spremić

2. Sadržaj Revizija informacijskih sustava
Postupak provedbe integrirane revizije IS-a
Najčešće korištene metode provedbe revizije IS-a (CobiT, ITIL, Sarbanes-Oxley, ISO 27001, Basel II).

3. Potreba za revizijom IS
Uobičajene vrste revizije:
Revizija financijskih izvještaja
Revizija podudarnosti
Revizija poslovanja
Revizija informacijskih sustava
Interna revizija
Eksterna revizija
Interna revizija IS, eksterna revizija IS
Evolucija razvoja revizije IS-a
Institucije revizije IS-a (ISACA, ITGI, the IIA),
Stručni certifikati (CISA, CIA, CISM, CGEIT, CISSP, …..)

4. Što je revizija informacijskih sustava?
Organizacijska funkcija koja omogućuje neovisno i objektivno testiranje funkcija, ciljeva i dijelova informacijskog sustava kako bi se prikupili dokazi koji se mogu neovisno razmatrati ili biti dobrom podlogom za ostale vrste revizije
Revizija informacijskih sustava predstavlja proces prikupljanja i procjene dokaza na temelju kojih se može utvrditi djeluje li informacijski sustav u funkciji očuvanja imovine, održava li se cjelovitost (integritet) podataka, omogućuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi poslovanja na učinkovit način

5. Objekt revizije IS-a
Objekt revizije informacijskih sustava jest sustavno, temeljito i pažljivo pregledati kontrole unutar svih dijelova informacijskog sustava
Osnovni zadatak revizije IS-a:
Procijeniti njegovo trenutno stanje (zrelost, razinu uspješnosti),
Otkriti rizična područja i razinu rizika i
Dati preporuke menadžmentu za poboljšanje prakse njegova upravljanja

6. Ciljevi revizije IS-a
Dokazni ciljevi (vanjski ili eksterni revizijski ciljevi) - očuvanje imovine i integriteta podataka
Upravljački ciljevi (unutarnji ili interni revizijski ciljevi) - provjera djelotvornosti i učinkovitosti ostvarivanja dokaznih ciljeva
Regulatorni ciljevi - utvrđivanje udovoljava li organizacija odgovarajućim propisima, pravilima ili uvjetima, odnosno provjera zakonske sukladnosti poslovanja tvrtke

7. Izvještaj revizora IS-a – nalazi, objašnjenje rizika, mišljenje, preporuke
Primjer (IT Audit report – XY bank)
Područje revizije: Strateški plan informatike
Razina rizika: Visok
Nalazi:
Provedbom razgovora s višim razinama menadžmenta i uvidom u poslovnu dokumentaciju ustanovljeno je da strateški plan informatike formalno ne postoji. Postoje određene neformalne i ad-hoc procedure planiranja resursa koje informatika kao poslovna funkcija koristi, ali te su aktivnosti stihijske i neusklađene s potrebama poslovanja.
Ocjena rizika:
Informatika se ne razvija u skladu s potrebama poslovanja i potrebama ostvarenja poslovnih ciljeva. Ne postoji poveznica između poslovanja i informatike, nisu određeni ključni ciljevi i zadaci funkcioniranja informatike kao poslovne funkcije.
Preporuke menadžmentu:
Uprava treba dokumentirati kratkoročne i dugoročne razvojne planove informatike kao poslovne funkcije. Potrebno je ustrojiti ……

8. Koraci provedbe revizije IS-a
Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije)
Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole)
Detaljan pregled objekta revizije IS-a i testiranje kontrola
Prikupljanje dokaza i procjena poslovnih rizika
Preporuke i izvještaj revizora IS-a

9. Provedba revizije IS-a
Analiza dokumentacije
Prikupljanje revizijskih dokaza
Intervjui, ankete i neformalni razgovori
Tehničko ispitivanje i testiranje sustava
Analiza i vrednovanje revizijskih dokaza
Priprema revizijskog izvješća
Predstavljanje revizijskog izvješća
Faza revizije informacijskih sustava
% od ukupnog vremena trajanja revizija
Priprema i planiranje 10
Analiza dokumentacije
Prikupljanje revizijskih dokaza:
Intervjui, ankete i neformalni razgovori
Tehničko ispitivanje i testiranje sustava 15
Analiza i vrednovanje revizijskih dokaza 20
Priprema revizijskog izvješća
Predstavljanje revizijskog izvješća 5
Postrevizijske aktivnosti

10. Komponente IT Governance-a – Revizija IS-a
Provjera uspješnosti i revizija informacijskih sustava nezaobilazna je karika procesa upravljanja informatikom
Osnovni ciljevi provedbe revizije informacijskih sustava:
provjeriti trenutno stanje informatike, odnosno utvrditi razinu zrelosti upravljanja informacijskim sustavom,
provjeriti (testirati) učinkovitost kontrola informacijskih sustava, osobito kod ključnih poslovnih procesa,
otkriti potencijalno rizična područja i procijeniti razinu rizika kojim je poslovanje izloženo temeljem intenzivne primjene informacijskih sustava,
dati preporuke menadžmentu koje mjere poduzeti da se učinak uočenih rizika smanji ili ukloni i unaprijediti poslovnu praksu po tom pitanju
Metode (CobiT, ISO 27001, Balanced Scorecard, ITIL, Basel II, Sarbanes-Oxley…)

11. Učinci primjene Rizik Uzrok/ Opis rizika Utjecaj - ozbiljnost Vjeroj.
nast.
Potenc. gubitak (BIA)
Strat. odgovora
Kontrola
KRI
KPI
Odg.
osoba
Prekid rada sustava
Vanjski utjecaji, pogreške u aplikaciji, opremi, …
I – kritičan, prekid poslovanja, gubitak podataka
12-17% kn
Trenutna akcija – smanjenje intenziteta
CobiT - DS4
ITIL – BCM
ISO 27001
RPO
< 3h
RTO
Dostupnost
>99,96% XY

12. Integrirana revizija IS-a – primjena revizije IS-a u reviziji financijskih izvještaja
Opis klijenta i njegovih aktivnosti
Odabir strategije revizije i podjela posla
Odabir aplikacija i dijelova sustava (djelokrug, objekt)
Planiranje revizije i određivanje ciljeva kontrole
Određivanje IT procesa, rizika, ciljeva kontrole, općih IT kontrola
kontrole pristupa do programske opreme (opis kontrola),
kontrole promjene programske opreme,
ostale opće IT kontrole (back-up i oporavak nakon prekida, upravljanje problemima i incidentima i monitoring).
Provedba testova općih IT kontrola
Provedba testova učinkovitosti specifičnih kontrola
Izvještaj (nalazi, procjena rizika, utjecaj na poslovanje, preporuke)

13. Provedba integrirane revizije IS-a
Važni procesi - razredi transakcija
Odgovoran za poslovni proces ili transakciju
Koristimo li elektroničke revizijske dokaze (Da/Ne)?
Aplikacije koje podupiru važne poslovne procese - razrede transakcija
Rezerviranja (ispravci vrijednosti) za sumnjiva i sporna potraživanja
Šef računovodstva Da
Aplikacija glavna knjiga
Obračun poreza na dobit
Rezerviranja (ispravci vrijednosti) za zalihe
Nabava
Šef nabave
Aplikaciju za potporu nabave
Prodaja
Šef prodaje
Aplikacija za potporu prodaje
Isplate
Uplate
Plaće
Zaključivanje financijskih izvještaja

14. Primjer: Provedbe testova kontrola IS
Testiranje općih IT kontrola
Učinkovitost i standardi sigurnosne politike IS
Politika korisničkih imena i lozinki (lozinke se trebaju mijenjati pri instalaciji sustava, ‘minimal password lenght’ > 8, kombinacija brojeva i slova, lozinka se ne vidi pri unosu, datoteka s lozinkama je enkriptirana tako da je NITKO ne može čitati, lozinke se mijenjaju svako 30 dana, itd.
Osiguravanje kontinuiteta poslovanja (primjer: BC and DR at Dell)
Određivanje kritičnih poslovnih procesa, kritičnih aplikacija i utvrđivanje prioriteta
Procjena njihova utjecaja na poslovanje (Business Impact Analysis)
Procjena rizika i kontrola (RTO)
Razvoj strategije kontinuiteta poslovanja
Razrada operativnog plana osiguranja kontinuiteta poslovanja
Testiranje i implementacija plana kontinuiteta poslovanja

15. Primjeri provedbe testova kontrola IS
Benfordov zakon (ACL, IDEA)
Testiranje prava i ovlasti pristupa korisnika sustavu
Testiranje aktivnosti rada sustava
Traženje praznina
Kontrola i revizija rada IS (IT procesa)
Kontrola podataka (ulaza, obrade, prijenosa, izlaza, …)
Ulazne kontrole
Testovi integriteta, potpunosti, logički testovi
‘hash total’, provjera brojeva
Kontrole sistemskog softvera
Podjela dužnosti i odgovornosti
Kontrole učinkovitosti
Automatske i ručne kontrole
Kontrole podrške aplikacijama

16. Metode provedbe revizije i kontrole IS-a
CobiT (4 područja, 34 procesa, preko 300 kontrola)
ISO (10 područja, preko 100 preporučenih kontrola)
Basel II preporuke – operativni rizik
ITIL (5 područja, 20-ak procesa)
Sarbanes-Oxley zakon
Regulativa i standardi provedbe revizije IS-a
Odluke HNB-a (.pdf)
Obveza provedbe unutarnje revizije IS-a za banke
ISACA (Information System Audit and Control Association) smjernice
Obveza provedbe vanjske revizije IS-a u sklopu revizije financijskih izvještaja

17. Metode revizije i kontrole IS-a - CobiT
PLANIRANJE I ORGANIZACIJA (PO) ISPORUKA I POTPORA (DS)
PO1 Strateško planiranje IS DS1 Definiranje i upravljanje razinama usluga
PO2 Definiranje informacijske arhitekture DS2 Upravljanje vanjskim uslugama
PO3 Određivanje tehnoloških smjernica DS3 Upravljanje performansama i kapacitetom
PO4 Definiranje IT procesa, organizacije i odnosa DS4 Osiguranje kontinuiteta usluga
PO5 Upravljanje IT investicijama i troškovima DS5 Sigurnost sustava
PO6 Komuniciranje prema menadžmentu DS6 Određivanje i dodjela troškova
PO7 Upravljanje ljudskim resursima DS7 Izobrazba i trening korisnika
PO8 Upravljanje kvalitetom DS8 Podrška korisnicima
PO9 Upravljanje i procjena rizika DS9 Upravljanje konfiguracijom
PO10 Upravljanje projektima DS10 Upravljanje problemima i incidentima
DS11 Upravljanje podacima
AKVIZICIJA (NABAVA) I IMPLEMENTACIJA (AI) DS12 Upravljanje pomoćnom opremom
AI1 Određivanje mogućih rješenja DS13 Upravljanje operacijama (obradom)
AI2 Nabava i održavanje aplikacijskih programa
AI3 Nabava i održavanje tehnološke arhitekture NADZOR I PROCJENA (ME)
AI4 Korištenje i funkcionalnost rada (obrade) ME1 Nadzor i procjena IT performansi
AI5 Nabava IT resursa ME2 Nadzor i procjena internih kontrola
AI6 Upravljanje promjenama ME3 Sukladnost s zakonskim i drugim normama
AI7 Instalacija i odobravanje rješenja i promjena ME4 Korporativno upravljanjem IT-om

18. ISO 17799:2005 2.1. Unutarnja informacijska sigurnost
1. Informacijska sigurnosna politika
2. Organizacija informacijske sigurnosti
2.1. Unutarnja informacijska sigurnost
2.2. Vanjski suradnici
3. Upravljanje informacijskim resursima (imovinom) i klasifikacija informacija
3.1. Odgovornost za informacijske resurse (imovinu)
3.2. Klasifikacija informacija
4. Informacijska sigurnost i privatnost zaposlenika
4.1. Sigurnost i privatnost prije zaposlenja
4.2. Sigurnost i privatnost tijekom zaposlenja
4.3. Prekid ili promjena zaposlenja
5. Fizička sigurnost i sigurna područja
5.1. Sigurna područja
5.2. Fizička sigurnost opreme
6. Upravljanje komunikacijama i operacijama
6.1. Radne upute i odgovornosti
6.2. Upravljanje pružanjem usluga treće strane
6.3. Planiranje i prihvaćanje sustava
6.4. Zaštita od zloćudnog i prenosivog koda
6.5. Sigurnosne kopije
6.6. Upravljanje sigurnošću računalnih mreža
6.7. Rukovanje medijima (nositeljima podataka)
6.8. Razmjena informacija
6.9. Usluge elektroničke trgovine
6.10. Nadzor
7. Kontrola pristupa
7.1. Poslovni zahtjevi i politika kontrole pristupa
7.2. Upravljanje korisničkim pristupom
7.3. Odgovornosti korisnika
7.4. Kontrola pristupa računalnoj mreži
7.5. Kontrola pristupa operacijskom sustavu računala
7.6. Kontrola pristupa poslovnim informacijama i aplikacijama
7.7. Uporaba prenosive opreme i rad na daljinu
8. Nabava, razvoj i održavanje poslovnog informacijskog sustava
8.1. Sigurnosni zahtjevi informacijskih sustava
8.2. Ispravna obrada u aplikacijama
8.3. Kriptografske kontrole
8.4. Sigurnost sistemskih datoteka
8.5. Sigurnost u procesima razvoja i podrške
8.6. Upravljanje tehničkom ranjivošću
9. Upravljanje sigurnosnim incidentom
9.1. Izvješćivanje o sigurnosnim događajima i slabostima
9.2. Upravljanje sigurnosnim incidentima i poboljšanjima
10. Upravljanje kontinuitetom poslovanja
11. Sukladnost
11.1. Sukladnost sa zakonskim propisima
11.2. Sukladnost sa sigurnosnim politikama i standardima i tehnička sukladnost
11.3. Razmatranja revizije informacijskih sustava

19. mspremic@efzg.hr www.efzg.hr/mspremic
Hvala na pozornosti
Pitanja, komentari, prijedlozi, sugestije
Copyright © dr. Mario Spremić