Revizija informacijskih sustava kao poveznica s

revizijom financijskih izvjetaja

Struno savjetovanje ovlatenih revizora
Zagreb, 12-13 prosinca 2008
Prof. dr. sc. Mario Spremi
Ekonomski fakultet Zagreb

Copyright dr. M. S

Sadraj
Revizija informacijskih sustava
Postupak provedbe integrirane revizije IS-a
Najee koritene metode provedbe revizije IS-a
(CobiT, ITIL, Sarbanes-Oxley, ISO 27001, Basel II).

Potreba za revizijom IS
Uobiajene vrste revizije:
Revizija financijskih izvjetaja
Revizija podudarnosti
Revizija poslovanja
Revizija informacijskih sustava
Interna revizija
Eksterna revizija
Interna revizija IS, eksterna revizija IS
Evolucija razvoja revizije IS-a
Institucije revizije IS-a (ISACA, ITGI, the IIA),
Struni certifikati (CISA, CIA, CISM, CGEIT, CISSP, ..)
3

to je revizija informacijskih sustava?

Organizacijska funkcija koja omoguuje neovisno i objektivno testiranje funkcija, ciljeva i dijelova
informacijskog sustava kako bi se prikupili dokazi koji se mogu neovisno razmatrati ili biti dobrom
podlogom za ostale vrste revizije
Revizija informacijskih sustava predstavlja proces prikupljanja i procjene dokaza na temelju kojih se
moe utvrditi djeluje li informacijski sustav u funkciji ouvanja imovine, odrava li se cjelovitost
(integritet) podataka, omoguuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi
poslovanja na uinkovit nain

Objekt revizije IS-a

Objekt revizije informacijskih sustava jest sustavno,
temeljito i paljivo pregledati kontrole unutar svih dijelova
informacijskog sustava
Osnovni zadatak revizije IS-a:
Procijeniti njegovo trenutno stanje (zrelost, razinu uspjenosti),
Otkriti rizina podruja i razinu rizika i
Dati preporuke menadmentu za poboljanje prakse njegova
upravljanja

Ciljevi revizije IS-a

Dokazni ciljevi (vanjski ili eksterni revizijski ciljevi) - ouvanje
imovine i integriteta podataka

Upravljaki ciljevi (unutarnji ili interni revizijski ciljevi) - provjera

djelotvornosti i uinkovitosti ostvarivanja dokaznih ciljeva

Regulatorni ciljevi - utvrivanje udovoljava li organizacija

odgovarajuim propisima, pravilima ili uvjetima, odnosno provjera
zakonske sukladnosti poslovanja tvrtke

Izvjetaj revizora IS-a nalazi, objanjenje

rizika, miljenje, preporuke

Primjer (IT Audit report XY bank)

Podruje revizije: Strateki plan informatike
Razina rizika: Visok
Nalazi:
Provedbom razgovora s viim razinama menadmenta i uvidom u poslovnu dokumentaciju
ustanovljeno je da strateki plan informatike formalno ne postoji. Postoje odreene
neformalne i ad-hoc procedure planiranja resursa koje informatika kao poslovna funkcija
koristi, ali te su aktivnosti stihijske i neusklaene s potrebama poslovanja.

Ocjena rizika:
Informatika se ne razvija u skladu s potrebama poslovanja i potrebama ostvarenja poslovnih
ciljeva. Ne postoji poveznica izmeu poslovanja i informatike, nisu odreeni kljuni ciljevi
i zadaci funkcioniranja informatike kao poslovne funkcije.

Preporuke menadmentu:
Uprava treba dokumentirati kratkorone i dugorone razvojne planove informatike kao
poslovne funkcije. Potrebno je ustrojiti

Koraci provedbe revizije IS-a

Pregled snimka stanja informatike ili odabranog
podruja provjere (revizije)
Odreivanje prioriteta rada (odreivanje objekta
revizije IS-a i ciljeva kontrole)
Detaljan pregled objekta revizije IS-a i testiranje
kontrola
Prikupljanje dokaza i procjena poslovnih rizika
Preporuke i izvjetaj revizora IS-a
8

Provedba revizije IS-a

Analiza dokumentacije
Prikupljanje revizijskih
dokaza

Intervjui, ankete i neformalni

razgovori
Tehniko ispitivanje i testiranje
sustava

Analiza i vrednovanje
revizijskih dokaza
Priprema revizijskog izvjea
Predstavljanje revizijskog
izvjea

Faza revizije informacijskih sustava

% od ukupnog vremena
trajanja revizija

Priprema i planiranje

10

Analiza dokumentacije

10

Prikupljanje revizijskih dokaza:

Intervjui, ankete i neformalni razgovori

Tehniko ispitivanje i testiranje sustava

10
15

Analiza i vrednovanje revizijskih dokaza

20

Priprema revizijskog izvjea

20

Predstavljanje revizijskog izvjea

Postrevizijske aktivnosti

10

Komponente IT Governance-a Revizija IS-a

Provjera uspjenosti i revizija informacijskih sustava
nezaobilazna je karika procesa upravljanja informatikom
Osnovni ciljevi provedbe revizije informacijskih sustava:
provjeriti trenutno stanje informatike, odnosno utvrditi razinu zrelosti upravljanja
informacijskim sustavom,
provjeriti (testirati) uinkovitost kontrola informacijskih sustava, osobito kod
kljunih poslovnih procesa,
otkriti potencijalno rizina podruja i procijeniti razinu rizika kojim je
poslovanje izloeno temeljem intenzivne primjene informacijskih sustava,
dati preporuke menadmentu koje mjere poduzeti da se uinak uoenih rizika
smanji ili ukloni i unaprijediti poslovnu praksu po tom pitanju

Metode (CobiT, ISO 27001, Balanced Scorecard, ITIL, Basel II,

Sarbanes-Oxley)

10

Uinci primjene
Rizik

Uzrok/
Utjecaj Opis rizika ozbiljnost

Vjeroj.
nast.

Prekid Vanjski
I kritian, 12-17%
rada
utjecaji,
prekid
sustava pogreke u poslovanja,
aplikaciji,
gubitak
opremi, podataka

Potenc.
gubitak
(BIA)

Strat.
odgovora

Kontrola

KRI
KPI

Odg.
osoba

500.000
kn

Trenutna
akcija
smanjenje
intenziteta

CobiT DS4
ITIL
BCM
ISO
27001

RPO
< 3h
RTO
< 3h
Dostup
nost
>99,96%

XY

11

Integrirana revizija IS-a primjena revizije ISa u reviziji financijskih izvjetaja

Opis klijenta i njegovih aktivnosti
Odabir strategije revizije i podjela posla
Odabir aplikacija i dijelova sustava (djelokrug, objekt)
Planiranje revizije i odreivanje ciljeva kontrole
Odreivanje IT procesa, rizika, ciljeva kontrole, opih IT kontrola
kontrole pristupa do programske opreme (opis kontrola),
kontrole promjene programske opreme,
ostale ope IT kontrole (back-up i oporavak nakon prekida, upravljanje
problemima i incidentima i monitoring).

Provedba testova opih IT kontrola

Provedba testova uinkovitosti specifinih kontrola
Izvjetaj (nalazi, procjena rizika, utjecaj na poslovanje, preporuke)
12

Provedba integrirane revizije IS-a

Odgovoran za
poslovni proces ili
transakciju

Koristimo li
elektronike
revizijske dokaze
(Da/Ne)?

Aplikacije koje podupiru vane

poslovne procese - razrede
transakcija

Rezerviranja (ispravci
vrijednosti) za sumnjiva i
sporna potraivanja

ef raunovodstva

Da

Aplikacija glavna knjiga

Obraun poreza na dobit

ef raunovodstva

Da

Aplikacija glavna knjiga

Rezerviranja (ispravci
vrijednosti) za zalihe

ef raunovodstva

Da

Aplikacija glavna knjiga

Nabava

ef nabave

Da

Aplikaciju za potporu nabave

Prodaja

ef prodaje

Da

Aplikacija za potporu prodaje

Isplate

ef raunovodstva

Da

Aplikacija glavna knjiga

Uplate

ef raunovodstva

Da

Aplikacija glavna knjiga

Plae

ef raunovodstva

Da

Aplikacija glavna knjiga

Zakljuivanje financijskih
izvjetaja

ef raunovodstva

Da

Aplikacija glavna knjiga

Vani procesi - razredi

transakcija

13

Primjer: Provedbe testova kontrola IS

Testiranje opih IT kontrola
Uinkovitost i standardi sigurnosne politike IS
Politika korisnikih imena i lozinki (lozinke se trebaju mijenjati pri instalaciji
sustava, minimal password lenght > 8, kombinacija brojeva i slova, lozinka se
ne vidi pri unosu, datoteka s lozinkama je enkriptirana tako da je NITKO ne
moe itati, lozinke se mijenjaju svako 30 dana, itd.

Osiguravanje kontinuiteta poslovanja (primjer: BC and DR at Dell)

Odreivanje kritinih poslovnih procesa, kritinih aplikacija i utvrivanje
prioriteta
Procjena njihova utjecaja na poslovanje (Business Impact Analysis)
Procjena rizika i kontrola (RTO)
Razvoj strategije kontinuiteta poslovanja
Razrada operativnog plana osiguranja kontinuiteta poslovanja
Testiranje i implementacija plana kontinuiteta poslovanja

14

Primjeri provedbe testova kontrola IS

Benfordov zakon (ACL, IDEA)

Testiranje prava i ovlasti pristupa korisnika sustavu
Testiranje aktivnosti rada sustava
Traenje praznina
Kontrola i revizija rada IS (IT procesa)

Kontrola podataka (ulaza, obrade, prijenosa, izlaza, )

Ulazne kontrole
Testovi integriteta, potpunosti, logiki testovi
hash total, provjera brojeva
Kontrole sistemskog softvera
Podjela dunosti i odgovornosti
Kontrole uinkovitosti
Automatske i rune kontrole
Kontrole podrke aplikacijama

15

Metode provedbe revizije i kontrole IS-a

CobiT (4 podruja, 34 procesa, preko 300 kontrola)

ISO 27001 (10 podruja, preko 100 preporuenih kontrola)
Basel II preporuke operativni rizik
ITIL (5 podruja, 20-ak procesa)
Sarbanes-Oxley zakon
Regulativa i standardi provedbe revizije IS-a

Odluke HNB-a (.pdf)

Obveza provedbe unutarnje revizije IS-a za banke
ISACA (Information System Audit and Control Association) smjernice
Obveza provedbe vanjske revizije IS-a u sklopu revizije financijskih izvjetaja

16

Metode revizije i kontrole IS-a - CobiT

PLANIRANJE I ORGANIZACIJA (PO)
PO1 Strateko planiranje IS
PO2 Definiranje informacijske arhitekture
PO3 Odreivanje tehnolokih smjernica
PO4 Definiranje IT procesa, organizacije i odnosa
PO5 Upravljanje IT investicijama i trokovima
PO6 Komuniciranje prema menadmentu
PO7 Upravljanje ljudskim resursima
PO8 Upravljanje kvalitetom
PO9 Upravljanje i procjena rizika
PO10 Upravljanje projektima
AKVIZICIJA (NABAVA) I IMPLEMENTACIJA (AI)
AI1 Odreivanje moguih rjeenja
AI2 Nabava i odravanje aplikacijskih programa
AI3 Nabava i odravanje tehnoloke arhitekture
AI4 Koritenje i funkcionalnost rada (obrade)
AI5 Nabava IT resursa
AI6 Upravljanje promjenama
AI7 Instalacija i odobravanje rjeenja i promjena

ISPORUKA I POTPORA (DS)

DS1 Definiranje i upravljanje razinama usluga
DS2 Upravljanje vanjskim uslugama
DS3 Upravljanje performansama i kapacitetom
DS4 Osiguranje kontinuiteta usluga
DS5 Sigurnost sustava
DS6 Odreivanje i dodjela trokova
DS7 Izobrazba i trening korisnika
DS8 Podrka korisnicima
DS9 Upravljanje konfiguracijom
DS10 Upravljanje problemima i incidentima
DS11 Upravljanje podacima
DS12 Upravljanje pomonom opremom
DS13 Upravljanje operacijama (obradom)
NADZOR I PROCJENA (ME)
ME1 Nadzor i procjena IT performansi
ME2 Nadzor i procjena internih kontrola
ME3 Sukladnost s zakonskim i drugim normama
ME4 Korporativno upravljanjem IT-om 17

1. Informacijska sigurnosna politika

2. Organizacija informacijske sigurnosti
2.1. Unutarnja informacijska sigurnost
2.2. Vanjski suradnici

3. Upravljanje informacijskim resursima (imovinom) i

klasifikacija informacija
3.1. Odgovornost za informacijske resurse (imovinu)
3.2. Klasifikacija informacija

4. Informacijska sigurnost i privatnost zaposlenika

4.1. Sigurnost i privatnost prije zaposlenja
4.2. Sigurnost i privatnost tijekom zaposlenja
4.3. Prekid ili promjena zaposlenja

5. Fizika sigurnost i sigurna podruja

5.1. Sigurna podruja
5.2. Fizika sigurnost opreme

6. Upravljanje komunikacijama i operacijama

6.1. Radne upute i odgovornosti
6.2. Upravljanje pruanjem usluga tree strane
6.3. Planiranje i prihvaanje sustava
6.4. Zatita od zloudnog i prenosivog koda
6.5. Sigurnosne kopije
6.6. Upravljanje sigurnou raunalnih mrea
6.7. Rukovanje medijima (nositeljima podataka)
6.8. Razmjena informacija
6.9. Usluge elektronike trgovine
6.10. Nadzor

ISO 17799:2005
7. Kontrola pristupa
7.1. Poslovni zahtjevi i politika kontrole pristupa
7.2. Upravljanje korisnikim pristupom
7.3. Odgovornosti korisnika
7.4. Kontrola pristupa raunalnoj mrei
7.5. Kontrola pristupa operacijskom sustavu raunala
7.6. Kontrola pristupa poslovnim informacijama i aplikacijama
7.7. Uporaba prenosive opreme i rad na daljinu

8. Nabava, razvoj i odravanje poslovnog informacijskog

sustava
8.1. Sigurnosni zahtjevi informacijskih sustava
8.2. Ispravna obrada u aplikacijama
8.3. Kriptografske kontrole
8.4. Sigurnost sistemskih datoteka
8.5. Sigurnost u procesima razvoja i podrke
8.6. Upravljanje tehnikom ranjivou

9. Upravljanje sigurnosnim incidentom

9.1. Izvjeivanje o sigurnosnim dogaajima i slabostima
9.2. Upravljanje sigurnosnim incidentima i poboljanjima

10. Upravljanje kontinuitetom poslovanja

11. Sukladnost
11.1. Sukladnost sa zakonskim propisima
11.2. Sukladnost sa sigurnosnim politikama i standardima i tehnika
sukladnost
11.3. Razmatranja revizije informacijskih sustava

18

Hvala na pozornosti
Pitanja, komentari, prijedlozi, sugestije

mspremic@efzg.hr
www.efzg.hr/mspremic

Copyright dr. Mari