KPMG IT Kontrole I Upravljanje Rizicima Informacionih Sistema PDF

IT kontrole i
upravljanje rizicima
informacionih
sistema
Neboja Jankovi, CISA
KPMG, IT Advisory
Assistant Manager
InfoTech 2012, Vrnjaka Banja
2012 KPMG d.o.o. Beograd, a Serbian limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
Sadraj
Strana
Izazovi upravljanja informacionim sistemima
Relevantna istraivanja
Upravljanje rizicima informacionih sistema
10
IT Kontrole i revizija informacionih sistema
15
Cobit kao okvir za pregled i reviziju IS
20
Sprovoenje implementacije IT kontrola
25
Specifine IT kontrole i testiranja
28
O KPMG-u
31
Izazovi upravljanja
informacionim
sistemima
Izazovi upravljanja informacionim sistemima

Informacione tehnologije odavno predstavljaju jedan od
najbitnijih elemenata u poslovanju.
Obavljanje poslovnih procesa u modernom poslovanju
praktino nije mogue bez upotrebe naprednih
informacionih tehnologija koje proimaju sve aspekte
dananjeg poslovanja.
Uslov opstanka bilo koje organizacije je da raspolae
adekvatnim informacionim sistemom, u kojem su
optimizovani poslovni procesi i tokovi informacija.
Osnovni izazov za organizacije je da poboljaju upravljanje informacionim sistemima, da

ih bolje usklade sa poslovnim procesima kao i da se izbalansiraju rizici i kontrole na
trokovno efikasan nain.
Upravljanje informacionim sistemom

Cilj upravljanja informacionim sistemom jeste podravanje poslovnih ciljeva i strategija organizacije
uz efikasno korienje resursa informacionog sistema i upravljanje rizicima.
Generalno, upravljanje informacionim sistemom treba da obuhvati :
1. Sigurnost,
2. Planiranje nastavka poslovanja,
3. Razvoj i organizaciju,
4. Odravanje.
Rukovodstvo bi trebalo:
o biti upoznato sa konceptima i aktivnostima vezanim za informacioni sistem,
o odrediti lana koji e biti nadlean za nadzor i kontrolu procesa upravljanja informacionim
sistemom,
o uspostaviti adekvatnu organizacionu strukturu, pripadajue funkcije i odbore,
o definisati kriterijume, naine i postupke izvetavanja,
o usvojiti strategiju informacionog sistema i nadzirati njeno sprovoenje,
o doneti procedure kojima se ureuje upravljanje informacionim sistemima
o uspostaviti proces upravljanja rizikom informacionog sistema.
Rizici informacionih sistema

Rizicima informacionih sistema su najvie izloene organizacije koje se u svom poslovanju u velikoj
meri oslanjaju na informacione sisteme i imaju potrebu da IT servisi budu dostupni u kontinuitetu, kao
i za obradom masovnih transakcija na dnevnom nivou.
Primeri IT rizika:
Oslanjanje na sisteme i programe koji netano obrauju podatke
Neautorizovan pristup podacima
Krenje pravila podele dunosti
Propust da se naprave neophodne izmene u sistemima ili programima
Potencijalan gubitak ili nemogunost pristupa podacima, softveru ili hardveru
Nedostupnost potrebnih ljudskih resursa
Uspostavljanje adekvatnih IT kontrola treba da bude odgovor organizacije na IT rizik.
Novi izazovi i rizici informacionih sistema

Outsourcing
Nastojanje da se smanje trokovi poslovanja i potreba za visokim nivoom usluga i strunim
kadrovima nameu potrebu da organizacije deo poslovnih procesa povere specijalizovanim firmama
Organizacija bi trebala da na adekvatan nain upravlja odnosom sa pruaocima usluga i nadzire
usluge u skladu s odredbama ugovora i usklaenosti sa propisima.
Cloud
Brz napredak u razvoju IT resursa a posebno u telekomunikacionim segmentima je doneo posebnu
vrstu IT usluga koje omoguavaju kompanijama da praktino celokupne informacione sisteme
(aplikacije, hardver i podatke) povere specijalizovanim firmama koje pruaju Cloud servise
Ovo dovodi do specifinih rizika koje se odnose na uvanje poverljivosti podataka, njihovu
dostupnost kao i meunarodne zakonske nedoumice i ugovorne nejasnoe
BYOD - Bring Your Own Device
Razvoj mobilnih ureaja (tableta, telefona i sl.) i njihova pristupanost sa jedne strane kao i pritisak
trita za raznovrsnim i brzo dostupnim uslugama kompanija sa druge strane je doveo do pojave
korienja privatnih ureaja u poslovne svrhe
Ovo namee novu vrstu izazova u IT administraciji za sigurno i funkcionalno povezivanje ovih
ureaja sa kompanijskim sistemima
Rizik u poslovanju postoji bez obzira na to hoe li organizacija sama obavljati aktivnosti
vezane za informacioni sistem ili e se koristiti spoljnim pruaocima usluga.
Relevantna istraivanja
Rizici IS primeri iz prakse (Evropa)

25% organizacija se suoava sa hakerskim napadima, virusima i slinim problemima po 10 i vie
puta u toku prole godine
Svakih 5 godina, jedna od pet kompanija u Evropi pretrpi znaajne gubitke usled havarije
Vie od 40% velikih kompanija ima primere odavanja poverljivih podataka
20% kompanija je izjavilo da se u toku 2011 suoilo sa ugroavanjem bezbednosti informacionih
sistema i pijunaom
Vrsta napada
Malware (virusi, crvi, .)
Phishing
Napad na ranjivosti operativnih sistema
Kraa kompjutera ili medija
Napadi na web/softverske aplikacije
DoS
Ugroavanje baza podataka
Napad na mobilne aplikacije
Web sajt napadi
2011
78%
46%
31%
30%
28%
27%
19%
10%
9%
2010
86%
58%
31%
33%
35%
23%
26%
7%
15%
Rizici IS KPMG istraivanje 2011

Na koji nain trend sve
veeg korienja mobilnih
ureaja i rad od kue na
istom IT hardveru za line i
poslovne potrebe utie na
bezbednost kompanijskih
sistema
i
poverljivost
podataka
Kako bi transfer podataka

ili
infrastrukture
na
outsourcing ili cloud
provajdere, kojima se
moe
pristupiti
preko
interneta, uticao na rizik
elektronskog kriminala.
Kakav je trend kretanja

rizika sa kojima se suoava
IT odeljenje u poslednjih 12
meseci.
The e-Crime Report 2011 Managing risk in a changing business and technology environment (published by AKJ Associates sponsored by KPMG)
Upravljanje rizicima
informacionih sistema
Upravljanje rizicima informacionih sistema

Upravljanje rizikom treba da obuhvati celokupni informacioni sistem organizacije i sve IT resurse. To
je kontinuirani proces uporeivanja procenjenih rizika s prednostima i trokovima predloenih mera u
skladu s poslovnim ciljevima. Ovaj proces generalno obuhvata:
procenu rizika
smanjivanje rizika
odravanje prihvatljivog nivoa rizika
Potrebno je razmotriti razliite vrste zatitnih mera,
sprovesti analizu i uzeti u obzir prihvatljiv nivo rezidualnih rizika.
Zatitne mere se biraju zavisno od verovatnoe pojave
neeljenog dogaaja i od njegovog uticaja na
informacioni sistem (naruavanje njegove funkcionalnosti i sigurnosti).
Revizija informacionih sistema, nezavisna kontrola IT operacija kao i procena funkcionalnosti

IT servisa i stepena njihove podrke procesima organizacije su vitalni za zatitu IT resursa,
informacija i IT sistema kao i poboljanje poslovanja.
11
Procena rizika informacionih sistema

Organizacija bi trebalo da utvrdi nivo rizika kojem je izloen informacioni sistem i predloi zatitne
mere kako bi se rizik smanjio na prihvatljiv nivo. Rizici se procenjuju s aspekta mogueg uticaja koji bi
nastao naruavanjem funkcionalnosti i/ili sigurnosti informacionog sistema.
Kako bi se utvrdila verovatnoa pojave nekog tetnog dogaaja, potrebno je analizirati pretnje
informacionom sistemu zajedno sa ranjivostima i kontrolama koje su primenjene. Uticaj se odnosi na
prirodu i veliinu tete koju pretnja moe uzrokovati ako iskoristi ranjivost.
Procena rizika informacionih sistema trebalo bi da obuhvati sledee korake:
1. Analiza karakteristika sistema,
2. Identifikacija moguih pretnji,
3. Identifikacija moguih ranjivosti,
4. Analiza trenutnog sistema kontrole,
5. Odreivanje verovatnoe,
6. Analiza uticaja na informacioni sistem,
7. Utvrivanje rizika,
8. Predlaganje korektivnih i zatitnih mera.
12
Smanjivanje rizika informacionih sistema

U osnovne mogunosti smanjivanja identifikovanih rizika spadaju:
Izbegavanje rizika
Ograniavanje rizika
Prenoenje rizika
Pri odabiru bilo koje od ovih mogunosti potrebno je uzeti u obzir poslovne ciljeve i zadatke kao i
potrebu za ouvanjem osnovnih principa sigurnosti informacionog sistema.
Smanjivanje rizika obuhvata sledee korake:
1. Utvrivanje prioriteta,
2. Procenu zatitnih mera,
3. Sprovoenje cost - benefit analize,
4. Izbor mera za smanjenje rizika,
5. Raspodela odgovornosti,
6. Izrada plana sprovoenja,
7. Utvrivanje rezidualnih rizika.
13
Mere i kontrole informacionih sistema

Mere ukljuuju sve postupke, procedure i mehanizme kojima se:
tite resursi,
smanjuju ranjivosti,
otkrivaju neeljeni dogaaji,
ograniava uticaj neeljenih dogaaja,
pospeuje oporavak
Zatitne mere se sprovode uvoenjem novih ili izmenom postojeih kontrola.
Kontrole je sutinski mogue podeliti na tri kategorije:
1. Administrativne - sprovode se donoenjem i primenom politika, procedura i pravila radi
osiguranja funkcionalnosti i sigurnosti informacionih sistema
2. Logike - Kontrole na softverskim i hardverskim komponentama
3. Fizike - tite i osiguravaju resurse od neovlaenog pristupa, krae, oteenja ili unitenja
14
IT Kontrole i
revizija informacionih
sistema
Na pristup sprovoenju IT kontrola

Metodologija za sprovoenje revizije informacionih sistema podrazumeva sprovoenje dve
osnovne grupe IT Kontrola :
Opte IT kontrole (IT General Controls)
Pomau pri utvrivanju pouzdanosti podataka generisanih od strane IT sistema i osiguravanju da
sistemi funkcioniu u skladu sa namenom i da je izlaz pouzdan. Obino ukljuuju sledee oblasti:
Pristup programima i podacima
Kompjuterske operacije
Informacioni sistem je siguran koliko je
Izmene programa
siguran njegov najranjiviji deo i potrebno je
Upravljanje projektima i Razvoj programa
obezbediti pristup stvaranja sigurnosti koji
Kontinuitet servisa i
ukljuuje razliite kombinacije kontrola.
Po potrebi kontrole migracije
Aplikativne kontrole
Vezane su za transakcije i podatke u okviru aplikativnih sistema. Obezbeuju potpunost i tanost
podataka kao i validnost unosa bez obzira da li su nastali obradom programa ili su rezultat runog
unoenja podataka. Osnovne kontrole se odnose na:
Unos (ulaz) podataka
Verifikaciju
Procesiranje (obradu) i
Izlaz
16
Opte IT kontrole detalji

1. Pristup programima i podacima
Funkcija i politika sigurnosti informacija

Klasifikacija i vlasnitvo nad podacima i procesima
Pristup treih strana resursima IS
Interna revizija i self assesment
Kontrole pristupa
o Administrativne
o Logike
o Fizike
Parametri i konfiguracije
Super korisnici i administracija
Podela odgovornosti
Mehanizmi za logovanje
Kontrole za pristup mrei
Anti virusna, antispam i firewall zatita
17
Opte IT kontrole detalji (nastavak)

2. Izmene u programima
Proces upravljanja promenama

Testiranje i Kontrola promena
Migracija promena u proizvodni reim rada
Bitne izmene u odnosu na prethodnu kontrolu
3. Upravljanje projektima i Razvoj programa
Proces odobravanja
Upravljanje projektom i razvojne metodologije
Proces testiranja
4. Kompjuterske operacije
Procedure za bekap i oporavak

Plan kontinuiteta poslovanja/Plan oporavka u sluaju nesree
Procedure za upravljanje problemima i Monitoring
Help desk
Upravljanje incidentima
18
Aplikativne kontrole
Aplikativne kontrole se odnose se na razne kontrole rada aplikacija i najee su specifine samo
za konkretne sisteme. Mogu biti ugnjedene u poslovne procese upotrebom aplikacija i pokrivaju:
Unos (ulaz) podataka

Verifikaciju
Procesiranje (obradu) i
Izlaz
Ove kontrole pruaju garanciju da e aplikacija raditi u skladu sa zahtevima i da je informacija

tana, pravovremena i potpuna.
Omoguavaju da kontrole odmah reaguju, ako se podaci ne poklapaju.
Primeri aplikativnih kontrola: Kontrole kompletnosti, Validacione kontrole, Kontrole Identifikacije,
Provera rezultata automatskih obrada, Provera enkripcije podataka u procesu prenosa
U ovu kategoriju spadaju i brojne kontrole samog poslovnog softvera, operativnih sistema, instalacija i
odravanja softvera, prenosa podataka, rada sigurnosnih softvera, otkrivanje greaka, uzroka
incidenata, konfiguracija opreme, praenje rada sistemskog softvera i sl.
19
Cobit kao okvir za

pregled i reviziju IS
20
Cobit 4.1 kao okvir za pregled i reviziju IS

CobiT je okvir kreiran od strane meunarodnog udruenja za reviziju i kontrolu informacionih
sistema (ISACA), i Instituta za upravljanje IT-em (ITGI)).
CobiT je baziran na sledeem principu: Da bi se obezbedile informacije koje su potrebne
organizaciji za ostvarenje ciljeva, organizacija mora da investira u IT resurse, da njima upravlja i da
ih kontrolie koristei struktuiran skup procesa.
CobiT 4.1 okvir je podeljen na 4 oblasti :
o Planiranje i Organizacija
o Nabavka i Implementacija
o Isporuka i Odravanje
o Nadgledanje i Procena
Takoe svaka od oblasti sadri procese koji su detaljnije odreeni. Ukupno postoji 34 procesa za
proveru. Svaki od procesa se sastoji od detaljnih kontrola koje se ocenjuju i koje predstavljaju
najnii nivo podele u CobiT 4.1 okviru.
Revizija informacionih sistema, nezavisna kontrola IT operacija kao i procena funkcionalnosti IT
servisa i stepena njihove podrke procesima organizacije su vitalni za zatitu IT resursa,
informacija i IT sistema kao i poboljanje poslovanja.
21
CobiT 4.1
RUKOVOENJE
ORGANIZACIJOM
Opti pregled
RUKOVOENJE
PROCESIMA
ME1 Kontrolisanje i procena IT
performansa
ME2 Kontrolisanje i procena internih
kontrola
ME3 Usaglaavanje sa spoljanjim
zahtevima
ME4 Odreivanje rukovoenja IT
procesima
VANOST
PODATAKA
KONTROLA I
PROCENA (ME)
DS1 Odreivanje i rukovoenje
uslugama
DS2 Rukovoenje uslugama vendora
DS3 Rukovoenje performansom i
kapacitetom
DS4 Odravanje neprekidne podrke
DS5 Odravanje sigurnosti sistema
DS6 Odreivanje i rasporeivanje
trokova
DS7 Obuka korisnika
DS8 Rukovoenje servisnim kadrom i
kvarovima
DS9 Odreivanje konfiguracije
DS10 Rukovoenje problemima
DS11 Kontrola podataka
DS12 Rukovoenje okruenjem
DS13 Rukovoenje dnevnim poslovima
PO1 Odreivanje stratekog plana ITa

PO2 Odreivanje strukture podataka
PO3 Odreivanje IT smernica
PO4 Odreivanje IT procesa,
organizacije i odnosa meu sektorima
PO5 Upravljanje IT investicijama
PO6 - Komuniciranje ciljeva i smernica
rukovodstva
PO7 Upravljanje IT kadrovima
PO8 Upravljanje kvalitetom IT usluga
PO9 Ocena i rukovoenje IT rizicima
PO10 Rukovoenje projekata
Efektivnost
Efikasnost
Poverljivost
Integritet
Raspoloivost
Dostupnost
Usklaenost
Pouzdanost
PLANIRANJE I
ORGANIZACIJA (PO)
IT RESURSI
Aplikacije
Podaci
Infrastruktura
Ljudi
IZVRENJE I
ODRAVANJE (DS)
NABAVKA I
IMPLEMENTACIJA (AI)
AI1 Odreivanje automatizovanog reenja

AI2 Nabavka i odravanje aplikacija
AI3 Nabavka i odravanja IT infrastrukture
AI4 Osposobljavanje za rad i korienje
AI5 Odreivanje IT resursa
AI6 Upravljanje promenama
AI7 Instaliranje i potvrda reenja i promena
22
Zrelost procesa
Pri ocenjivanju zrelosti svakog od 34 procesa, oslanja se na CMM- Control Maturity Model.
Model zrelosti odreuje karakteristike za proveru i dodeljuje ocene za svaku karakteristiku.
CobiT 4.1 definie sledee karakteristike koje se koriste pri proceni:
Karakteristike za ocenu zrelosti
Ocena nivoa zrelosti
Obavetenost i komunikacija
0 Nepostojei proces
Politike, standardi i procedure
1 Poetni / Povremeni proces
Alati i automatizacija
2 Proces se ponavlja ali je neposredan
Znanje i strunost
3 Definisan proces
Odgovornost i izvrenje zadataka
4 Rukovoen i merljiv proces
Odreivanje i merenje ciljeva
5 Optimizovan proces
Na osnovu ovakve analize dolazi se do nivoa zrelosti svakog procesa u organizaciji koji pokazuje gde
se nalazi danas, gde bi elela da bude i ako postoje podaci, vri se poreenje sa industrijskim
prosekom. Okvir predlae da se razmatraju samo oni procesi koji su relevantni za konkretnu
organizaciju i koji mogu imati uticaj na IT sigurnost.
23
Prikaz ciljeva i metrika procesa

a) Informacioni kriterijumi
Da bi se ostvarili poslovni ciljevi,
potrebno je da informacije budu u skladu
sa odreenim kriterijumima kontrola
(poslovni zahtevi za informacijama).
Sedam razliitih ali preklapajuih
informacionih kriterijuma su za svaki
proces predstavljeni tabelom kao
Primarni (P) i Sekundarni (S) uticaji
b) IT resursi u okviru
CobiT-a
Da bi se odgovorilo na poslovne
zahteve, potrebno je da se ulae u
resurse koji su potrebni da bi se
stvorile tehnike mogunosti koje e
podrati poslovanje to e dovesti
do eljenih rezultata. IT resursi na
koje ima uticaj proces () su
predstavljeni tabelom na sledei
nain
Aplikacije
Informacije
Infrastruktura
c) Oblasti na koje se fokusira IT

upravljanje
Oblasti na koje se
objanjavaju teme na
treba da obrati panju
svaki proces ovo je
nain.
fokusira IT upravljanje
koje izvrno rukovodstvo
da bi upravljalo IT-em. Za
predstavljeno na sledei
Ljudi
d) RACI matrica
Za svaki od procesa je utvrena RACI odgovornost. RACI odgovornost (Responsible, Accountable, Consulted, Informed) odreuje ko je
izvrno odgovoran za proces (A), ko e taj proces operativno izvesti (R) po nalogu od osobe (A), ko se pita za miljenje u vezi procesa
ili indirektno pomae (C) i ko je sve informisan o dobijenim rezultatima ali nema udela u izvrenju (I).
24
Sprovoenje
implementacije IT
kontrola
FAZA 3
FAZA 2
FAZA 1
Proces implementacije IT kontrola

Planiranje i
odreivanje opsega
Dokumentovanje
procesa i kontrola
Identifikovanje
nedostataka u
kontrolama
Preporuke
Identifikovanje procesa i odreivanje prioriteta

Identifikovanje procesnih rizika
KONTINUIRANE
AKTIVNOSTI
Pregled i dokumentovanje procesa, rizika i kontrola

Uspostavljanje veze izmeu kontrola i rizika.
Snimak dizajna kontrola u cilju odreivanja da li su
Rukovoenje
projektom
kontrole projektovane za smanjenje kljunih rizika.
Razmena
informacija
Analiza postojeih politika, procedura i internih
pravila i identifikovanje oblasti u kojima su potrebna

unapreenja
Prenos znanja
Definisanje preporuka za prevazilaenje nedostataka
i propusta u kontrolama.
Auriranje postojeih politika, procedura i internih
Izrada metodologije
pravila i izrada nacrta novih

Izmena organizacionih odnosa i edukacija kadrova
Saradnja sa
rukovodstvom
Struna
podrka i
savetovanje
26
Procedure prilikom testiranja IT kontrola

Procedure koje se sprovode se baziraju na sledeim koracima:
Upoznavanje sa organizacijom
Pregled hardverske infrastrukture
Pregled softvera
Razgovor sa zaposlenima odgovornim za pojedine procese
Pregled postojeih politika, procedura i internih pravila
Razumevanje dizajna i implementacije kontrola
Izvravanje kontrola
Izvravanje upita i skripti
Skeniranje korienjem specifinih alata
Runo testiranje parametara
Osnovni princip je da su kontrole sistema odgovarajue kada omoguavaju:

Poverljivost, Integritet i Dostupnost informacija.
27
Specifine IT kontrole i
testiranja
Provera migracije podataka i sistema

Set kontrola radi provere migracije / konverzije podataka
Utvrivanje obima i procesa migracije kao i ukljuenih kadrova i vlasnika podataka
Provera postojanja jasne identifikacije svih podataka koje treba migrirati
Procena kontrola koje treba da utvrde da li postoji odgovarajue voenje i izvrenje
Procena da li su migrirani podaci tani i relevantni
Procena kompletnosti migriranih podataka
Provera sigurnosti podataka i zatite od namerne ili
sluajne izmene tokom migracije
Utvrivanje da li su podaci dobro mapirani
Pregled i procena izlaznih kriterijuma
Provera da li je novi sistem dizajniran da omogui
funkcionalnost aplikativnih kontrola
29
Testiranje ranjivosti Ethical hacking

Testiranje se sprovodi korienjem razliitih alata koji su dostupni (automatizovani paketi za procenu
ranjivosti kao i dubinsko ispitivanje i procenjivanje korienjem runih tehnika i proprietary alata).
Kada se izabere predmet testiranja generalno se koristi ciklini pristup:
1. Pregled testiranog sistema i naina njegovog korienja iz perspektive klijenta
2. Analiza ranjivosti korienjem razliitih alata
3. Penetracija pokuava se da se iskoriste ranjivosti da bi se dolo do vrednih podataka
4. Obezbeivanje konstantnog pristupa sistemima koji su predmet testiranja
5. Sakrivanje prisustva i tragova na testiranim sistemima
Cilj u testiranju ranjivosti je da se dobije visok nivo prava

pristupa to jest administrativni nivo privilegija. Svaki
korak omoguava sprovoenje detaljnijeg prikupljanja
informacija to povratno omoguava dobijanje poloaja
sa veim pravima.
30
O KPMG-u
KPMG u svetu
Ko smo mi
ta radimo
KPMG je globalna mrea profesionalnih firmi koje pruaju usluge revizije,

poreskog i finansijskog savetovanja. KPMG je prisutan u 152 zemlje sa
145.000 zaposlenih u firmama lanicama KPMG mree irom sveta.
Nezavisne firme koje su deo KPMG mree povezane su u KPMG
International Cooperative (KPMG International), koji je vajcarski entitet.
Svaka KPMG firma je zaseban pravni subjekt i sebe predstavlja kao takvog.
KPMG je organizovan kroz tri geografske celine:
Amerika
EBIA
Azija i Pacifik
Revizija
Porezi
Savetovanje
Revizija je nezavisna
usluga koja doprinosi
poveanju
pouzdanosti
informacija koje
koriste investitori i
druge zainteresovane
strane.
Pristupi poreskim
pitanjima se menjaju.
Odeljenje za
finansijsko
savetovanje sarauje
sa klijentima u
prevazilaenju
izazova vezanih za
transakcije i
restrukturiranje,
finansijske rezultate,
tehnologije i rizike,
kao i ispunjenje
zakonskih obaveza.
Organizacije razliitih
veliina su sve vie
izloene novim
kretanjima u poreskoj
regulativi, i to ne
samo na lokalnom,
ve i na
meunarodnom
nivou.
Globalni skup vetina i iskustava

Razumevanje lokalnih trita
Zemalja
153
Partnera
7.900
Ukupan broj zaposlenih

Neto prihod (u milijardama USD)
145.000
Jake nacionalne prakse

Lokalna ekspertiza i meunarodno znanje
USD 22,7
32
KPMG u centralnoj i istonoj Evropi

Estonija
Letonija
Litvanija
Belorusija
Poljska
eka
Slovaka
Zemalja
18
Kancelarija
36
Partnera
166
Moldavija
Maarska
Slovenija
Hrvatska
Rumunija
BiH
Srbija
Crna Gora
Albanija
Bugarska
Makedonija
Osoblja (ukupno)
Neto prihod
4.300
EUR 283 m
33
KPMG u Srbiji
KPMG d.o.o. Beograd
Osnovan 1996.
Preko 160 zaposlenih ukljuujui 7 partnera
Usluge
Revizija
Poresko savetovanje
Finansijsko savetovanje
Upravljanje rizicima poslovanja
Podrka
Direktor: Boris Miloevi, Managing Partner
KPMG je otvorio kancelariju u Beogradu u Avgustu 1996. godine i u Srbiji posluje pod imenom KPMG d.o.o. Beograd. Organizaciono,
KPMG d.o.o. Beograd je lan regiona centralne i istone Evrope, sa centralom u Pragu. KPMG je izgradio jaku nacionalnu praksu
koja se zasniva na kombinaciji lokalnog i meunarodnog znanja i iskustva zaposlenih.
Srpska kancelarija poseduje znaajno iskustvo u pruanju punog obima usluga poslovnog savetovanja domaim privrednim
drutvima, vladinim organizacijama, stranim investitorima, bankama i finansijskim institucijama, agencijama za finansiranje i drugim
firmama koje posluju u Srbiji.
KPMG d.o.o. Beograd trenutno broji preko 150 zaposlenih, od ega 15 ovlaenih revizora i 4 ovlaenih raunovoa u skladu sa
srpskim zakonodavstvom. Pored toga, 19 zaposlenih poseduje meunarodna ovlaenja (ACCA, ICAEW, ICAO, CISA itd.). KPMG u
Srbiji prua usluge najvieg kvaliteta zahvaljujui meunarodnom iskustvu, kao i odlinom poznavanju lokalnog zakonodavstva u
oblasti revizije, poreza i optih poslovnih pitanja.
34
Usluge IT savetovanja
Pruamo usluge i reenja vezano za:
Poboljanje sigurnosti vaih IT sistema,
Umanjenje relevantnih rizika
Usklaivanje IT procesa sa poslovnim ciljevima,
Ispunjenje potrebnih standarda i regulatornih zahteva
Razvoj procedura, politika i IT procesa
Unapreenje IT organizacije i raspodele dunosti
Pregled implementacije informacionih sistema
Uspenost migracije sistema i konverzije podataka
Osnovna namera je da se prui pomo vaoj organizaciji da pobolja upravljanje informacionim
sistemom, da ga bolje uskladi sa poslovnim procesima i izbalansira rizike i kontrole na trokovno
efikasan nain.
Na pristup sprovoenju IT usluga podrazumeva fazni pristup baziran na naem viegodinjem
iskustvu i u praksi potvrenoj metodologiji kako bi se pobolja bezbednost, funkcionalnost i
efikasnost informacionog sistema.
35
Duan Tomi
Partner, FS
Kraljice Natalije 11
11000 Beograd
dtomic@kpmg.com
Tel. +381 (11) 20 50 521
Mob +381 (60) 20 55 521
Neboja Jankovi
Assistant Manager,
IT Advisory
Informacije sadrane u ovoj prezentaciji su opte prirode i nisu posebno
namenjene nijednom pravnom ili fizikom licu.
Naziv KPMG, logo i cutting through complexity su registrovani zatitni znaci
KPMG International Cooperative, vajcarskog pravnog lica.
2012 KPMG d.o.o. Beograd, srpsko drutvo s ogranienom odgovornou,

lan KPMG mree nezavisnih firmi lanova povezanih sa KPMG International
Cooperative (KPMG International), vajcarskim pravnim licem. Sva prava
zatiena.
Kraljice Natalije 11
11000 Beograd
njankovic@kpmg.com
Tel. +381 (11) 20 50 603
Mob +381 (60) 20 55 603

KPMG IT Kontrole I Upravljanje Rizicima Informacionih Sistema PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

KPMG IT Kontrole I Upravljanje Rizicima Informacionih Sistema PDF

Uploaded by

Copyright:

Available Formats

IT kontrole i

Upravljanje rizicima informacionih sistema

IT Kontrole i revizija informacionih sistema

Cobit kao okvir za pregled i reviziju IS

Sprovoenje implementacije IT kontrola

Specifine IT kontrole i testiranja

Izazovi upravljanja informacionim sistemima

Osnovni izazov za organizacije je da poboljaju upravljanje informacionim sistemima, da

Upravljanje informacionim sistemom

Rizici informacionih sistema

Uspostavljanje adekvatnih IT kontrola treba da bude odgovor organizacije na IT rizik.

Novi izazovi i rizici informacionih sistema

Rizici IS primeri iz prakse (Evropa)

Rizici IS KPMG istraivanje 2011

Kako bi transfer podataka

Kakav je trend kretanja

Upravljanje rizicima informacionih sistema

Revizija informacionih sistema, nezavisna kontrola IT operacija kao i procena funkcionalnosti

Procena rizika informacionih sistema

Smanjivanje rizika informacionih sistema

Mere i kontrole informacionih sistema

Na pristup sprovoenju IT kontrola

Opte IT kontrole detalji

Funkcija i politika sigurnosti informacija

Opte IT kontrole detalji (nastavak)

Proces upravljanja promenama

3. Upravljanje projektima i Razvoj programa

Procedure za bekap i oporavak

Unos (ulaz) podataka

Ove kontrole pruaju garanciju da e aplikacija raditi u skladu sa zahtevima i da je informacija

Cobit kao okvir za

Cobit 4.1 kao okvir za pregled i reviziju IS

PO1 Odreivanje stratekog plana ITa

AI1 Odreivanje automatizovanog reenja

Ocena nivoa zrelosti

Politike, standardi i procedure

1 Poetni / Povremeni proces

2 Proces se ponavlja ali je neposredan

Odgovornost i izvrenje zadataka

4 Rukovoen i merljiv proces

Odreivanje i merenje ciljeva

Prikaz ciljeva i metrika procesa

c) Oblasti na koje se fokusira IT

Proces implementacije IT kontrola

Identifikovanje procesa i odreivanje prioriteta

Pregled i dokumentovanje procesa, rizika i kontrola

kontrole projektovane za smanjenje kljunih rizika.

Analiza postojeih politika, procedura i internih

pravila i identifikovanje oblasti u kojima su potrebna

Definisanje preporuka za prevazilaenje nedostataka

Auriranje postojeih politika, procedura i internih

pravila i izrada nacrta novih

Procedure prilikom testiranja IT kontrola

Osnovni princip je da su kontrole sistema odgovarajue kada omoguavaju:

Provera migracije podataka i sistema

Testiranje ranjivosti Ethical hacking

Cilj u testiranju ranjivosti je da se dobije visok nivo prava

KPMG je globalna mrea profesionalnih firmi koje pruaju usluge revizije,

Globalni skup vetina i iskustava

Ukupan broj zaposlenih

Jake nacionalne prakse

KPMG u centralnoj i istonoj Evropi

2012 KPMG d.o.o. Beograd, srpsko drutvo s ogranienom odgovornou,