Kontrola i Revizija is-A MF

8/3/2019 Kontrola i Revizija is-A MF

1/69

1

KONTROLA I REVIZIJAKONTROLA I REVIZIJA

INFORMACIJSKIH SUSTAVAINFORMACIJSKIH SUSTAVA

VELEUILITE U RIJECISPECIJALISTIKI STUDIJ

INFORMATIKE

Miro Frani, dipl.ing.

O predmetu

Fond sati tjedno 2 sata predavanja + 1 sat seminari (I. semestar)

Oblik nastave Predavanja, seminari

Nain provjere znanja Kolokviji, seminar i zavrni ili popravni ispit

Literatura Panian .: Kontrola i revizija informacijskih sustava, Sinergija,

Zagreb, 2001. Panian ., Spremi M.: Korporativno upravljanje i revizija

informacijskih sustava, Zgombi & Partneri, Zagreb, 2007. Champlain J.: Auditing Information Systems, John Wiley &

Sons, 2003.

O predmetu - nastavak

Sadraj predavanja Potreba kontrole i revizije informacijskih sustava (IS)

Kontrola IS-a

Revizija IS-a

Projekt revizije informacijskog sustava

Revizijski softverski alati

Upravljanje funkcijom revizije IS-a


2/69

2

O predmetu - nastavak

Seminari Studenti obrauju pojedine teme iz predmetnog podruja i

izlau ih ostalim studentima

Konzultacije Prema rasporedu na stranicama Veleuilita

Potreba kontrole i revizije IS-a

Informacijski sustav (IS)

ivotni ciklus IS-a

Ocjena kvalitete IS-a

Razlozi za provoenje kontrole i revizije IS-a

Definiranje pojmova kontrole i revizije IS-a

Informacijski sustav

dio organizacijskog (poslovnog) sustava kojise bavi prikupljanjem

obradom

pohranjivanjem i

distribucijom

informacija potrebnih zaupravljanje organizacijskim sustavom


3/69


4/69

4

Analiza (to, tko, kada, gdje)

Ustanovljavanje okoline i poslovnih zahtjeva Opis postojeeg IS-a Detaljni opis zahtjeva na IS (zahtjevi korisnika)

Model poslovnog sustava, prijedlognovog sustava

Oblikovanje (kako)

Izrada modela IS-a (pogled projektanta)

Razrada rjeenja (pogled izvoaa) Fiziko oblikovanje

Dizajn arhitekture sustava, suelja, baze podataka

Tehnika specifikacija sustava

Izrada

Izgradnja baze podataka

Programiranje procesa (funkcija)

Testiranje

Integracija

Funkcionalni sustav, tehnoloki opis(dokumentacija)


5/69

5

Uvoenje

Instaliranje sustava

Edukacija korisnika

Informacijski sustav u primjeni

Koritenje i odravanje

Intervencije zbog naknadno uoenih greaka

Manje izmjene zbog poboljanja performansi iliprilagodbe nainu uporabe

Proirenja (dogradnje) u skladu s novim zahtjevima

Informacijski sustav u primjeni

Novi razvojni ciklus

Kontinuirano preispitivanje sustava

Vee izmjene uslijed promjena u poslovanju

Novi projekti


6/69

6

Kvaliteta IS-a (Uspjenost IS-a)

Mjera odstupanja realne od idealne funkcije sustava

Manje odstupanje = kvalitetniji sustav

Realna (ostvarena) funkcija sustava Skup aktivnosti koji se ostvaruju kao rezultat interakcije

sistemskih elemenata

Idealna funkcija (zamiljena, oekivana) Skup aktivnosti koji bi trebao rezultirati kao posljedica

optimalnih interakcija sistemskih elementa

Utvrivanje kvalitete IS-a

Utvrditi internu kvalitetu sustava Definirati idealnu funkciju sustava Ocijeniti realnu funkciju sustava Izmjeriti odstupanje realne od idealne funkcije

Utvrditi eksternu kvalitetu sustava Izmjeriti doprinos realne funkcije promatranogsustava ostvarivanju kvalitete nadreenogsustava (doprinos IS-a organizacijskom sustavuiji je IS dio)

Odnos interne i eksterne kvalitete IS-a

Interna kvaliteta nuna je za eksternukvalitetu no ne i dovoljna

Sustav koji je interno kvalitetan ne mora biti ieksterno kvalitetan Sluaj kad je idealna funkcija sustava pogreno

definirana (namjerno ili sluajno) pa iako je sustavinterno kvalitetan ne doprinosi kvalitetinadreenog sustava (virusni programi, programikoji ne zadovoljavaju potrebe korisnika ...)


7/69

7

Potreba kontrole i revizije IS-a

Ostvarivanje oekivane djelotvornosti, uinkovitosti ikvalitete IS-a koji mogu izostati kao posljedica: Trokova gubitka podataka

Trokova donoenja neodgovarajuih ili pogrenih odluka

Trokova zlouporabe informatike opreme

Trokova pogreaka uzrokovanih raunalom

Neadekvatnog vrednovanja opreme, programa i osoblja

Neadekvatnog uvanja privatnosti

Neadekvatnog procesa unapreenja uporabe informatikeopreme

Djelotvornost sustava (engl. effectivnies)

Mjeri se sposobnou sustava ostvarenjemciljeva koji se pred sustav postavljaju

Preduvjet vrednovanja je detaljnopoznavanje zahtijeva korisnika, karakteristika

korisnika i okruenja u kojem sustav djeluje

Uinkovitost sustava (engl. efficiency)

Mjeri se koliinom resursa (oprema HW,SW, komunikacije, ljudi, prostor)potrebnih za ostvarenje postavljenih ciljeva

Uinkovitiji je sustav koji postie iste ciljeveuz manji utroak resursa

Pretpostavka je oskudnost resursa (engl.Scarce Resource)


8/69

8

Trokovi gubitka podataka

Podaci su kritian poslovni resurs ijim gubitkomorganizacijski sustav gubi informacije: O sebi

O svojoj okolini

O povijesti djelovanja

O budunosti

Nepostojanje uvida u stvarno stanje dovodi doporemeaja u poslovanju i materijalnih ilinematerijalnih teta

Trokovi gubitka podataka

Npr. gubitak podataka o potraivanjima premakupcima nastao uslijed pogreaka u programu, kvarahardvera, nenamjerne ljudske pogreke trebasprijeiti sustavnim stvaranjem priuvnih kopija

Ukoliko ne postoje odgovarajue kontrole rada IS-a

koje provjeravaju procedure stvaranja rezervnihkopija velika je vjerojatnost nastanka tete zboggubitka podataka

Trokovi donoenja neodgovarajuih,odnosno pogrenih odluka

Kvaliteta odluka ovisi o: Kvaliteti podataka/informacija na temelju kojih se

odluka donosi

Pravilima odluivanja


9/69

9

Utjecaj kvalitete informacija nakvalitetu odluka

Ovisi o tipu odluka koje se donose Strateke odluke koje su globalne, dugorone i

zato visokog stupnja neizvjesnosti mogu toleriratimanje pojedinane pogreke u podacima jer seone utapaju u konanim pokazateljima

Operativne odluke zahtijevaju vrlo visok stupanjtonosti podataka jer je njihov cilj otkrivanje,analiziranje, procjenjivanje i ispravljanje procesakoji ne vode ostvarivanju poslovnih ciljeva (vrlovisoki trokovi otklanjanja pogreaka u podacima)

Utjecaj pravila odluivanja na kvalitetuodluka

Takoer ovisi o tipu odluka koje se donose Npr. ukupni rezultati poslovanja nee se bitno

promijeniti ukoliko se u obraunu amortizacijeprimjeni pogrena stopa za osnovna sredstvamanjih vrijednosti

Npr. pogrean obraun kamata na tedne ulogemoe imati negativan utjecaj na poslovanje banke(primjenjena via kamatna stopa) ili pak gubitaktedia primjenjena manja kamtna stopa)

Utjecaj pravila odluivanja na kvalitetuodluka

Pravila odluivanja naroito su kritina uekspertnim sustavima gdje pogrene odlukene moraju nuno rezultirati materijalnomtetom ali mogu biti katastrofalne za ljudskeivote (medicinska dijagnostika, automatskopilotiranje,...)


10/69

10

Trokovi zlouporabe informatikeopreme

Zlouparaba je namjerno izazivanje incidenatas ciljem ostvarivanja koristi ili nanoenjatete

rtva trpi ili moe pretrpjeti gubitak ili tetu, apoinitelj namjerno ostvaruje ili bi mogaoostvariti neku korist

Trokovi zlouporabe informatikeopreme

Zlouporaba inae legalnih ovlasti korisnika opreme Napadi hakera Raunalni virusi Ilegalni fiziki pristup opremi i podacima Djelomino ili potpuno onesposobljavanje opreme (sabotaa) Kraa opreme

Modifikacija opreme Ugroavanje privatnosti korisnika opreme Ometanje normalnog rada opreme Neovlatena uporaba opreme Krenje autorskih prava (piratiziranje) Fiziki napadi na osoblje IS-a

Trokovi strojnih pogreaka

Sve vea ovisnost o raunalu Raspoloivost raunala 24 sata na dan, 7 dana u tjednu i

365(366) dana u godini postaju zahtjev bez odstupanja Burzovno poslovanje, e-commerce, Netbanking primjeri su koji

mogu poslovnim subjektima nanijeti ogromne financijskegubitke zbog kvara opreme, hakerskih napada na opremu islinih razloga zastoja u radu raunala

Procesna raunala jo su drastiniji primjer ovisnosti o raunalu(nadgledanje ivotnih funkcija pacijenta, procesi u nuklearnojelektrani, upravljanje zranim prometom, ...)


11/69

11

Vrijednost opreme, programa i osoblja

Oprema (Hardver), programi (Softver) iosoblje (Lifevare) velika su poslovnavrijednost koju treba uvati ne samo odfinancijskog gubitka (osiguranje imovine) vei od gubitka funkcionalne sposobnosti

Npr. kraa softvera moe imati za posljedicuda povjerljive poslovne informacije dou uruke konkurencije.

Ouvanje privatnosti

Podaci o privatnoj sferi ljudskog ivota(porodino, imovinsko, zdravstveno stanje,obrazovanje, religijska i politikaopredjeljenost itd.) uz razvoj informatiketehnologije postaju dostupniji iroj javnosti iukoliko se ne tite na odgovarajui nainmogu biti predmetom zlouporabe

Problem vie socioloke nego podatkovnesfere

Kontrolirano unapreenje uporabeinformatike opreme

Kvantitativni rast informacijskog sustava trebakontrolirati

Kvantitetu treba transformirati u kvalitetu Iz faze ekspanzije (ekstezivni razvoj zasebnih

dijelova sustava bez odgovarajue koordinacije imeusobne suradnje) treba prijei u fazukonsolidacije u kojoj dolazi do konsolidacije zasebnorazvijenih dijelova sustava

Postupak unapreenja treba nastaviti i u fazikonsolidacije (sazrijevanja) i fazi zrelosti


12/69

12

Kontrola IS-a

Sustav ija je funkcija pruiti prihvatljiv nivosigurnosti da e biti dostignuti poslovni ciljevii da e neeljeni dogaaji i/ili procesi bitisprijeeni ili otkriveni i ispravljeni

Politike, procedure, organizacija

Svrha kontrole IS-a

Smanjiti tetne posljedice uslijed pojave neeljenihdogaaja ili pokretanja neeljenih procesa u sustavu

Kontrole moraju osigurati prihvatljiv nivo rizika

Kontrolom se utvruje koje mjere treba poduzimatiza ostvarenje postavljenih ciljeva upravljanja

Bitna komponenta upravljanja IS-om

Neeljeni dogaaj/proces

Izvori Neovlateni, nepotpuni, redundantni,

nedjelotvorni ili neuinkoviti ulazi u sustav (npr.unos pogrenog podatka)

Informacijski procesi koji transformiraju ulaz naneovlaten, netoan nepotpun, redundantan,nedjelotvoran ili neuinkovit nain (npr. pogreanprogram)


13/69

13

Snaga kontrole IS-a

Mjeri se kao kombinacija inherentne(ugraene, oblikovane) snage i vjerojatnostiuinkovitosti kontrole

Elementi vrednovanja kontrole Vrsta kontrole (preventivna, detektivna)

Runa ili programirana

Formalna (dokumentirane procedure i dokazi onjenom provoenju) ili ad hoc

Kontrola IS-a kao sustav

Elementi kontrole Ulazi

Kontrolni procesi

Izlazi

Vrste kontrole IS-a

Preventivne - spreavaju neeljenedogaaje/procese

Detekcijske - otkrivaju neeljenedogaaje/procese

Korektivne - ispravljaju neeljenidogaaj/proces


14/69


15/69

15

Detekcijske kontrole IS-a - primjeri

Kontrolne sume Kontrolne toke u produkcijskom radu (JOB

CONTROL) Eho kontrole u telekomunikaciji Dvostruka provjera izrauna Periodini izvjetaji o performansama Funkcije interne revizije Izvjea o dospjelim raunima

Korektivne kontrole IS-a

Minimiziraju utjecaj prijetnji na sustav

Ispravljaju probleme otkrivene detekcijskimkontrolama

Identificiraju uzrok problema

Ispravljaju greke kao posljedicu problema Modificiraju procese da bi minimizirali pojavu

problema u budunosti

Korektivne kontrole IS-a - primjeri

Planiranje sluajnih dogaaja (ContingencyPlanning)

Back-up i Recovery procedure


16/69

16

Cilj kontrole

eljeni rezultat ili namjera koja se eli postiiimplementiranjem kontrolnih procedura uodreenoj aktivnosti

Primjeri Toan rezultat izrauna (rezultat)

Sprijeiti neovlaten pristup podacima (namjera)

Sustav interne kontrole

Interne raunovodstvene kontrole Usmjerene na raunovodstvene operacije, upravljanje

imovinom i pouzdanost financijskih podataka

Operativne kontrole Usmjerene na dnevne operativne aktivnosti

Administrativne kontrole Usmjerene na operativnu uinkovitost funkcionalnih

podruja i usuglaenost s politikom upravljanja

Ciljevi interne kontrole

Zatita imovine Usklaenost s politikom tvrtke, regulatornim i

zakonskim zahtjevima Autorizacija ulaza Tonost i potpunost procesiranja transakcija Tonost, potpunost i zatita izlaza Pouzdanost procesa Backup/recovery Djelotvornost i uinkovitost operacija


17/69

17

Ciljevi kontrole IS-a

Informacije su aurne i zatiene od neodgovarajueg pristupa Svaka transakcija je autorizirana i unijeta samo jedanput Sve transakcije se unose i pohranjuju za odgovarajui period Sve odbijene transakcije su ukljuene u izvjea Duplicirane transakcije su ukljuene u izvjea Podaci se pohranjuju (back up) za sluaj obnavljanja Sve promjene softvera su odobrene i testirane .........

Kategorije kontrole IS-a

Ope organizacijske

Pristup podacima i programima

Metodike razvoja

Obrada podataka

Sistemsko programiranje i tehnika podrka

Kvaliteta obrade podataka

Upravljake kontrole

Kontrole koje se odnose na: Funkcije upravljanja informacijskim sustavom

Proces razvoja IS-a

Funkcije upravljanja podacima

Sigurnost IS-a


18/69

18

Aplikacijske kontrole

Osiguravaju da aplikacijski sustav kao diocjelokupnog IS-a ostvaruje ciljeveouvanja imovine, integriteta podataka tedjelotvornosti i uinkovitosti IS-a

Aplikacijske kontrole

Automatizirane

Uglavnom se odnose na podatke, a manjena procese

Procjena isplativosti izgradnje provodi sena nivou podsustava

Usmjerene na ouvanje imovine iintegriteta podataka

Revizija (engl. Audit)

Formalna, periodina provjera poslovanja Financijska revizija

Operativna revizija

Sveobuhvatna revizija


19/69

19

Financijska revizija

Cilj je procijeniti ispravnost financijskihzapisa i izvjea

Ukljuuje detaljne, provedbene testove

Operativna revizija

Procjena strukture interne kontrole zaodreeno podruje. Revizija aplikacijskihkontrola i sustava logike zatite primjeri suoperativne revizije IS-a

Sveobuhvatna revizija

Kombinacija financijske i operativne revizije.Ukljuuje postupke provjere usklaenosti iprovedbe.


20/69

20

Program revizije

Plan provoenja revizije

Temelji se na ciljevima i opsegu definiranimza svaki pojedinani sluaj revizije

Revizija IS-a

Odreena specifinim ciljevima

Temeljni ciljevi revizije prevode se u specifineciljeve revizije IS-a

Npr. Financijsko operativna revizija kontrole ispravnostiknjienja promjena u glavnu knjigu, u reviziji IS-aznait e provjeru da postoje kontrole koje otkrivajugreke u unosu transakcija

Zadatak revizora je razumjeti kako prevesti ciljeveope revizije u specifine ciljeve revizije IS-a

Revizija IS-a

Proces prikupljanja i vrednovanja dokaza natemelju kojih se moe utvrditi uva li se imovina IS-a

Odrava li se integritet podataka

Da li se djelotvorno ostvaruju postavljeni ciljevi

Uinkovitost koritenja informatike tehnologije

Udovoljava li organizacija propisima i pravilima


21/69

21

Revizija IS-a

IT funkcije i sustavi vrednuju se s razliitihperspektiva Zatite

Kvalitete

Usluga

Uinkovitosti

Pouzdanosti

Sadraja

Svrha revizije IS-a

Identificirati kontrolne ciljeve i odgovarajuekontrole kojima se ti ciljevi postiu

Revizor zapoinje identificiranjem kljunihkontrola i nakon toga donosi odluku o metodi

provjere kontrola

Ciljevi revizije IS-a

Dokazni ciljevi (vanjski revizijski ciljevi) Ouvanje imovine

Integritet podataka

Upravljaki ciljevi (interni revizijski ciljevi) Provjera djelotvornosti i uinkovitosti ostvarivanja

dokaznih ciljeva


22/69

22

Ciljevi ouvanja imovine

Hardver, softver, digitalizirano znanje,dokumentacija

Problemi Jednostavno otuenje ili unitenje nematerijalne

imovine Geografska rasprostranjenost opreme Poslovanje u virtualnom prostoru (Koritenje

Interneta u poslovanju) gdje fiziku zatitu trebazamijeniti logikom

Problemi zatite intelektualnog vlasnitva

Ciljevi ouvanja integriteta podataka

Integritet podataka je stanje u kojem supodaci Potpuni Nedvosmisleni (jednoznani, jasni) Precizni (isti) Toni (istiniti)

Izostanak integriteta ima za posljedicunerealnu sliku stanja organizacije ili akgubitak znanja o poslovanju


Potpunost Za svaki poslovni dogaaj potrebno je voditi

sve relevantne podatke

Nedvosmislenost Podaci informacijskog sustava mogu se

tumaiti na samo jedan nain


23/69

23


Preciznost (istoa) Jednom zahvaen, pohranjen i obraen podatak

ne smije biti uzrok greaka

Istinitost (tonost) Podaci moraju vjerno odraavati dogaaje na

koje se odnose

Vrijednost podatka

Vrijednost informacijskog sadraja podatka sastajalita donositelja odluke Mjeri se stupnjem otklanjanja neizvjesnosti u donoenju

odluka

Mjera dijeljenja podatka Sloena funkcija koja odraava ukupnost pojedinanih

vrijednosti podataka za pojedinane korisnike

Vrijednost podatka sa stanovita konkurencije Mjeri se ostvarenom konkurentskom prednou ili gubitkom

prednosti zbog neintegriranosti podatak

Revizija djelotvornosti sustava

Post implementacijska Utvruje da li sustav zadovoljava postavljene ciljeve

Nalazi su osnova za odluku o zadravanju sustava bezpromjena, manjoj ili veoj izmjeni sustava ili ak naputanjasustava

U fazi oblikovanja Pomo u razrjeavanju potekoa u komunikaciji korisnika i

projektanata

Pomo menadmentu u ocjeni da li predloeni dizajnudovoljava potrebama korisnika


24/69

24

Revizija uinkovitosti sustava

Uinkovitost nije izolirana osobina nekogsustava (posebno u sluaju nadreenogsustava)

Poveanje uinkovitosti jednog sustavamoe ii na tetu nekog drugog(preraspodjela resursa, ekskluzivnopridjeljivanje resursa nekom sustavu)

Problemi u sluaju nedostatka priuvnihresursa

Revizija uinkovitosti sustava

U sluaju degradacije kvalitete sustava (npr.due odzivno vrijeme) potrebno je procijenitimoe li se uinkovitost unaprijediti beznabavke novih resursa

Preduvjet donoenja odluke je ocjena da li suraspoloivi resursi optimalno iskoriteni i da lisu uska grla rezultat neuinkovitih aplikacija

Revizijske metode i tehnike

Pravila i postupci koje revizori primjenjuju uprocesu revizije Procjena rizika

Prikupljanje i vrednovanje dokaza

Verifikacija

Priopavanje rezultata


25/69

25


Intervjui

Upitnici

Inspekcije, pregledi

Opaanja

Testiranje kontrola

Testovi transakcija

Testovi ukupnih rezultata

Analitike revizijske procedure


CAAT Computer Assisted Audit Technique Generatori testnih podataka

Ekspertni sustavi

Snapshot praenje tijeka transakcije u

pojedinim tokama Ugraeni revizorski softverski moduli u

aplikacijski sustav

......

Revizijski rizici

Risk is a concept that denotes a potential negative impact to an asset or somecharacteristic of value that may arise from some present process or futureevent. In everyday usage, "risk" is often used synonymously with the probabilityof a loss or threat. In professional risk assessments, risk combines theprobability of an event occurring with the impact that event would have and withits different circumstances.

Risk does not always only refer to the avoidance of negative outcomes. In gametheory and finance, risk is only a measure of the variance of possible outcomes.Insurance is a classic example of an investment that reduces risk the buyerpays a guaranteed amount, and is protected from a potential large loss.Gambling is a risk increasing investment, wherein money on hand is risked fora possible large return, but also the possibility of losing it all. By this definition,purchasing a lottery ticket is an extremely risky investment (a high chance of noreturn, but a small chance of a huge return), while putting money in a bank at adefined rate of interest is a risk-averse course of action (a guaranteed return ofa small gain). (Wikipedia)


26/69

26

Revizijski rizici

Audit risk is a term that is commonly applied in relation to theaudit of the financial statements of an entity. (See financialaudit). The primary objective of such an audit is to provide anopinion as to whether or not the financial statements presentfairly the financial position and results of the entity. Audit risk isthe risk of the auditor providing an inappropriate opinion on thefinancial statements. In other words, it is the risk of the auditorstating the financial statements present fairly the financialposition of the entity, when in fact they do not. (Althoughsignificantly a lesser risk, audit risk also encompasses the riskof the auditor stating the financial statements do not presentfairly the financial position of the entity, when in fact they do.)(Wikipedia)

Inherentni rizik

Inherent risk is the auditor's assessment that there may not bematerial misstatements in the financial statement beforeconsidering the effectiveness of internal controls. If the auditorconcludes that there is a high likelihood of misstatement,ignoring internal controls, the auditor would conclude that theinherent risk is high. Internal controls are ignored in settinginherent risk because they are considered separately in the

audit risk model as control risk. It is often an area ofprofessional judgement on the part of an auditor. Examples ofaccounts with low inherent risk are fixed assets, easy toobserve, or securities traded in the stock market whose marketprice is easily observable. (Wikipedia)

Kontrolni rizik (engl. Control risk)

Control risk is a measure of the auditor's assessment ofthe likelihood that misstatements exceeding atolerable level will not be prevented or detected bythe client's internal control system. This assessmentincludes an assessment of whether a client's internalcontrols are effective for preventing or detectingmisstatements and the auditor's intention to makethat assesment at a level below the maximum (100percent) as part of the audit plan. (Wikipedia)


27/69

27

eljeni (prihvatljivi) revizijski rizik

Desired (Acceptable) audit risk is a measure of how willing theauditor is to accept that the financial statements may bematerially misstated after the audit is completed and anunqualified (or clean) opinion was issued. If the auditor decidesto lower audit risk, that means that the auditor wants to be morecertain that the financial statements are not materially misstated

The product of inherent risk and control risk is referred to as theRisk of Material Misstatement. It is allowable to make acombined assessment of inherent and control risk, called Riskof Material Misstatement. (Wikipedia)

Revizijski rizici u reviziji IS-a

Vjerojatnost da revizor ne utvrdi stvarne ilipotencijalne gubitke koji su posljedicaneodgovarajueg ili neuinkovitog djelovanjainformacijskog sustava

Revizijski rizici u reviziji IS-a

Inherentni (sadrani) rizik (IR) Vjerojatnost da e postojati materijalni gubitak

prije procjene pouzdanosti internih kontrola

Kontrolni rizik (CR) Vjerojatnost da interne kontrole nee otkriti ili

sprijeiti materijalne gubitke

Detekcijski rizik (DR) Vjerojatnost da revizijske procedure nee otkriti

materijalne gubitke


28/69


29/69

29

Dokaz

Bilo koja informacija koju revizor koristi da biodredio da li predmet revizije udovoljavapostavljenim kriterijima ili ciljevima revizije(zapaanja, biljeke s intervjua, izvaci internedokumentacije, rezultati revizijskih testova)

Odrednice pouzdanosti dokaza

Nezavisnost pruatelja dokaza vanjskiizvori pouzdaniji

Kvalifikacija pruatelja informacije ili dokaza(odnosi se i na revizora)

Objektivnost, kvaliteta i kvantiteta dokaza(analiza uinkovitosti aplikacije temeljena narazgovoru s osobljem ne moe biti objektivnidokaz)

Tehnike prikupljanja dokaza

Pregled organizacijske strukture IS-a

Pregled dokumentacije IS-a

Intervjuiranje i anketiranje

Promatranje radnog procesa


30/69

30

Pregled organizacijske strukture IS-a

Organizacijska struktura koja osiguravaodvajanje funkcija osoblja dokaz jeimplementacije preventivne kontrolespreavanja zlouporabe

Pregled dokumentacije IS-a

Pregled standarda i prakse dokumentiranja Primjeri dokumenata

Dokumenti inicijacije procesa razvoja Funkcionalne specifikacije Dokumentiranje promjena Korisniki prirunici

Specifikcije baze podataka Programske liste .....

Ovi tradicionalni dokumenti u sluaju koritenja CASE alata unekoj su drugoj formi ali se i dalje procjenjuju standardi i praksa

Intervjuiranje i anketiranje

Cilj je Razumjeti organizaciju i aplikacije u sustavu koji

je predmet revizije Ocijeniti razinu rizika istraivanog sustava Razumjeti kontrolnu strukturu Ocijeniti razine kontrole (djelotvornost kontrola u

smanjenju rizika) Pripremiti testove pouzdanosti kontrola koje e se

koristiti u postupku revizije


31/69


32/69

32

Identifikacija osoba za intervju

Administrativno osobljeIzbor ulaznih kontrola

Osoblje IS-a zadueno zaodreeno aplikacijskopodruje

Ocjena djelotvornostidetektivne kontrole

Korisnici, operativnoosoblje, kontrolor sustava

Procjena razine rizikaprimjene IS-a

Sistemski analitiari iprogrameri

Razumijevanje kontrolneorganizacijske funkcije

OsobaCilj

Voenje intervjua

Pristup Otvoriti razgovor - stvoriti prijateljsku i radnu atmosferu

Navesti ciljeve

Razjasniti nesporazume

Ublaiti otpor

Najaviti biljeke tijekom intervjua - naglasiti vanostdokumentiranja

Eventualno zatraiti doputenje za snimanje razgovora(biti oprezan)

Voenje intervjua

Pitanja Koristiti otvorena pitanja to radite?, Opiite ...

(zatvorena pitanja daju odgovore da/ne koristiti ihrijetko, samo kao potvrdu odgovora na otvorenapitanja)

Sugovornika postaviti u aktivnu ulogu

Pitanja prilagoditi sugovorniku - ne postavljati pitanjaizvan kompetencija sugovornika (uputit e na druguosobu)


33/69


34/69


35/69

35

Oblikovanje izgleda i struktureanketnog upitnika

Ovisi o nainu anketiranja (neposredno iposredno putem pote ili Interneta)

Cilj Poveati stopu odgovaranja (engl. Answering

Rate) - voljnost za odaziv na anketu Jasan, pregledan, jednostavan, logian i vizualno

privlaan upitnik Primjerene duine Smanjiti dodatni napor, vrijeme i troak anketirane

osobe

Upotrebljivost rezultataanketiranja

Pouzdanost Anketa je pouzdana ako daje iste rezultate u

ponovljenom postupku ukoliko u meuvremenu nijedolo do bitnih injenica ( u praksi se to tekodokazuje)

Usporedba odgovora na sline skupine pitanja (Kakoocjenjujete IS? i Zadovoljava li IS vae potrebe? Zaoekivati je da ukoliko je odgovor loe na prvopitanje, na drugo e biti NE ili DJELOMINO)

Postavljanje vie pitanja koji se odnose na isti problemili pojavu

Upotrebljivost rezultataanketiranja

Vjerodostojnost Anketa je vjerodostojna ako se njome moe

ocijeniti (procijeniti) predmet interesa (cilj)

Npr. Cilj ankete je ocijeniti mogunost nastavkarada u sluaju kvara opreme.

Pitanjem: Da li je oprema osigurana u sluajukvara? moemo dobiti pouzdan odgovor DA no tonije vjerodostojno jer osiguranjem smo pokrilitroak popravka ali ne i posljedicu.


36/69


37/69


38/69


39/69

39

Alati za mjerenje performansi IS-a

Obiljeja IS-a za ocjenu performansi Indikatori performansi (npr. vrijeme odziva)

Parametri radnog optereenja (broj istovremenihkorisnika sustava, zauzee memorije, postotakkoritenja procesora, ...)

Sistemski parametri - imbenici koji utjeu nasposobnost sustava da udovolji radnomoptereenju (broj raspoloivih ulaza, brzinaprocesora, brzina prijenosa, ...)

Alati za mjerenje performansi IS-a -komponente

Senzor - otkriva i mjeri dogaaje

Selektor - selektira podskup dogaaja koji e sekontrolirati

Procesor - transformira prikupljene podatke zapohranjivanje i stvaranje izlaznih rezultata

Rekorder - upisuje podatke na trajnu memoriju

Reporter - prezentira korisniku prikupljeneinformacije

Alati za mjerenje performansi IS-a tipovi mjerenja

Praenje - biljei se niz nastupa dogaaja (online zahtjevkorisnika, poetak i zavretak transakcije, ...)

Trajanje dogaaja (vrijeme odgovora na online upit) Relativno trajanje - omjer stvarnog trajanja i rada stroja

(utroeno procesorsko vrijeme, zauzetost kanala) Uestalost dogaaja - broj nastupa dogaaja u jedinici vremena

(broj online korisnikih zahtijeva u minuti) Distribucija dogaaja - mjeri se uestalost dogaaja tijekom

nekog vremenskog intervala (vrna optereenja)


40/69


41/69


42/69

42

Vrednovanje dokaza

Utvrivanje teine (ponderiranja) prikupljenih dokaza i njihovosintetiziranje s ciljem donoenja zakljuaka o kvalitetirevidiranog IS-a

Ponderiranje je sloen proces za koji nema recepta Vrednovanje dokaza zasniva se preteito na revizorovoj

sposobnosti prosudbe, pa se pri vrednovanju dokaza revizorusmjerava na etiri odluke koje mora donijeti: uva li se imovina IS-a? Odrava li se integritet podataka? Ostvaruje li sustav ciljeve (djelotvornost)? Ostvaruje li sustav ciljeve uinkovito?

Mjerilo ouvanja imovine

Oekivani gubitak koji e se pojaviti ukoliko se imovinauniti, ukrade ili koristi na nedoputen nain ili unedoputene svrhe

Svakom iznosu gubitka pridjeljuje se neka vjerojatnostpa se oekivani gubitak moe izraunati kao suma

umnoaka iznosa gubitka i vjerojatnosti tog gubitka

ii gpOG =OG = oekivani gubitak

ip Vjerojatnost i-tog iznosa

ig Iznos i-tog gubitka

Mjerilo integriteta podataka

Numerika vrijednost pogreke u podacima

Koliina pogreaka u podacima (uestalost)

Distribucija pogreaka

Izvori tkzv. deterministikih pogreaka (pouzdano sezna izvor pogreke - npr. algoritam za izraun kamata)


43/69


44/69


45/69


46/69

46

Ocjena samouinkovitosti korisnika

Procjena sposobnosti koritenja raunalom. Odnosi se nabudue koritenje sustava. Od korisnika se oekuje darazmotre novi programski produkt, odgovore da li bi immogao pomoi u obavljanju posla i koliko vjeruju svojojprocjeni.

Pri ocjeni globalne djelotvornosti sustava ova ocjena nijeuvijek interesantna, posebno u sluajevima kad sukorisnici ve koristili slian sustav.

Ocjena uporabe IS-a

Kako korisnici korite sustav (dragovoljno, pod prisilom).Mjeri se jakost i uestalost uporabe preko pokazateljapoput: Trajanje veze sa sustavom

Broj upita

Broj aktiviranih sistemskih funkcija Broj slogova kojima se pristupilo

Broj generiranih izvjetaja

Za ocjenu uporabe relevantan je i podatak tko se sluiinformacijskim sustavom.

Ocjena utjecaja IS-a na pojedinca

Procjena djelotvornosti sustava zahtijeva razmatranjeutjecaja na:

Obavljanje radnih zadataka - da li korisnici izvravajubolje svoje radne zadatke Donose tonije odluke

Skrauju vrijeme donoenja odluka

Bre i kvalitetnije opsluuju klijente

Poveavaju kvalitetu proizvoda i usluga

Kvalitetu radnog ivota sigurni i zdravi


47/69

47


Kvaliteta radnog ivota Sigurni i zdravi radni uvjeti

anse za promociju svojih sposobnosti

Sigurnost zaposlenja

Socijalna integracija u radnu sredinu

Uravnoteenost radnog i privatnog ivota

Odgovarajua novana primanja


Kvaliteta radnog ivota - indirektni pokazatelji Izostajanje s posla

Stopa zakanjavanja

Fluktuacija

Nezgode na radu

Bolovanja Krae/sabotae

Ocjena zadovoljstva korisnika IS-om

Jedno od vanih mjerila za procjenu djelotvornosti IS-a.Djelotvoran IS preduvjet je zadovoljstva korisnika.Zadovoljstvo korisnika moe se ispitati kroz: Odnos korisnika i informatiara

Provedbu zahtijeva za promjenama

Aurnost i pravodobnost informacija

Razinu uvjebanosti za rad sa sustavom

Koliinu izlaza

Raspoloivu dokumentaciju

Ovisnost korisnika o IS-u


48/69

48

Ocjena utjecaja IS-a na organizaciju

Djelotvornost IS-a procjenjuje se razmatranjem ciljevaorganizacije i sposobnou IS-a da podupre ostvarenjetih ciljeva.

Organizacijska djelotvornost Ovisi o modelu evaluacije tj. ciljevima koje menadment eli

ostvariti implementacijom IS-a

Ekonomska djelotvornost Utjecaj IS-a na profitabilnost (paradoks produktivnosti)

Utjecaj IS-a na produktivnost

Utjecaj IS-a na vrijednost za potroaa


Prikupljanje dokaza: Identifikacija koristi od IS-a (direktne i indirektne)

Identifikacija trokova IS-a (razvojni i operativni)

Usporedba trokova i koristi

Utvrivanje neto sadanje vrijednosti IS-a


Prikupljanje dokaza: Identifikacija koristi od IS-a (direktne i indirektne)

Identifikacija trokova IS-a (razvojni i operativni)

Usporedba trokova i koristi

Utvrivanje neto sadanje vrijednosti IS-a


49/69

49

Projekt revizije IS-a

Izraditi i implementirati strategiju revizije IS-a u skladu sastandardima, smjernicama i najboljom praksom revizije IS-a

Planirati ciljanu reviziju u cilju utvrivanja da su informatikatehnologija i poslovni sustavi zatieni i kontrolirani

Provesti reviziju u skladu sa standardima, smjernicama inajboljom praksom s ciljem ostvarivanja planiranih ciljeva

Saopiti proizale probleme, potencijalne rizike i rezultaterevizije kljunim korisnicima

Dati preporuke vezane za upravljanje rizicima i primijenjenimkontrolama

Faze projekta revizije IS-a

Planiranje revizije

Testiranje kontrola

Testiranje transakcija

Testiranje ukupnih rezultata

Zavretak revizije

Planiranje revizije

Definiranje projektnog tima i projektnogmenadmenta (Program Management)

Osiguranje resursa za provoenje revizije

Izrada programa revizije

Definiranje follow-up aktivnosti (provjerapoduzetih korektivnih akcija)


50/69


51/69

51

Testiranje kontrola

Postavlja se nova razina rizika ovisno orezultatima testiranja kontrola

Razina rizika se moe povisiti ili sniziti ovisnoo tome da li je rezultat testiranja kontrolapokazao da su kontrole slabije ili jae odpretpostavki prije testiranja


U sluajevima kad je cilj revizije utvrditi da li je ISuzrok negativnih uinaka u poslovanju (npr. gubici uposlovanju) provjerava se ispravnost transakcija(npr. obraun plae, rate kredita i sl.)

U sluaju kad je cilj revizije utvrditi da li IS doprinosi

unapreenju rezultata poslovanja provjerava sedjelotvornost i uinkovitost transakcija (npr. inicira lisustav automatski ispis opomena dunicima)


U oba sluaja nastoji se izbjei znaajnoskuplje globalno testiranje ukupnih rezultata

Ako testiranje transakcija pokae da su venastali ili bi mogli nastati materijalni gubicizbog pogrenog ili neadekvatnog rada IS-apristupa se proirenju testova ukupnihrezultata


52/69

52


Cilj je pribavljanje dovoljne koliine dokazaza donoenje konane prosudbe ofunkcioniranju IS-a i njegovog uinka naposlovanje s aspekta Ouvanja imovine i integriteta podataka

Djelotvornosti i uinkovitosti sustava


Ouvanje imovine i integriteta podataka Tipini testovi radi provjere rezultata inventure (zalihe, otpis) U sluaju da su revizori utvrdili pouzdanost kontrola

prethodnim testiranjem broj i opseg ovih testova e seograniiti

Djelotvornost i uinkovitost sustava

Testiranje se provodi razgovorom s korisnikom aplikacijskogpodruja temeljem kojeg se procjenjuje gubitke za koje sevjeruje da su nastali jer sustav nije korisniku pruio rezultatekoji bi bili podloga donoenju kvalitetnih odluka (npr.donoenje odluke o prodaji deviza neposredno je vezano uzinformaciju o likvidnosti pa nepravovremeno dobivanje teinformacije moe inicirati pogrenu odluku)

Zavretak revizije

Eventualno provoenje nekih dodatnih testova

Prosudba o tome da li je funkcioniranjem IS-a dolodo nekih gubitaka

Prognoziranje moguih buduih gubitaka jer kontrolenisu optimalne ali do sada to nije rezultiralo gubicima

Sastavljanje izvjea za menadment Dokumentira svaku manjkavost kontrola

Miljenje o moguim posljedicama takvih kontrola

Prijedlog za preventivne i korektivne akcije


53/69

53

Podruja revizije IS-a

Planiranje i organizacija IS-a Tehnika infrastruktura i operativna praksa Zatita informacijskih resursa Disaster/recovery - Business Continuity Razvoj, nabava , uvoenje i odravanje

poslovnih aplikacija Vrednovanje poslovnih procesa i upravljanje

rizicima

Planiranje i organizacija IS-a

Zadatak revizije je procijeniti IS strategiju i proces njenog razvoja, uvoenja i odravanja da

bi se utvrdilo da IS strategija podrava poslovne ciljeve Politiku, standarde, procedure i procese IS-a radi utvrivanja da

podravaju IS strategiju Praksu menadmenta IS-a koja treba biti usuglaena s

politikama, standardima, procedurama i procesima Organizacijsku strukturu IS-a koja mora osigurati odgovarajuu

podrku poslovnim zahtjevima Izbor rukovodstva i vanjskih partnera koji e podravati IS

strategiju


Indikatori potencijalnih problema Neprilian odnos krajnjih korisnika Pretjerani trokovi Prekoraenje budeta Zakanjeli projekti Fluktuacija osoblja Neiskusno osoblje este greke softvera/hardvera Prevelik broj nerijeenih korisnikih zahtijeva Predugo vrijeme rjeavanja zahtijeva


54/69

54


Indikatori potencijalnih problema Velik broj prekinutih ili odgoenih projekata Nepodrana ili neautorizirana nabavka HW/SW este nadogradnje HW/SW Znatan broj izvjetaja o prigovoru Nerijeeni prigovori Slaba motivacija Nedostatak slijednih planova Oslanjanje na jednu ili dvije kljune osobe


Postupci u prikupljanju dokaza

Pregled dokumentacije Strateki plan

Politika sigurnosti

Dijagram organizacijske strukture

Opis poslova IT osoblja Izvjetaji upravljakog odbora

Operativne procedure

Procedure upravljanja promjenama


Postupci u prikupljanju dokaza Intervjui i promatranje osoblja u obavljanju

njihovih zaduenja Provjera da funkciju obavlja upravo osoba iji je

to posao Provjera da osoblje razumije i radi u skladu sa

sigurnosnim politikama Provjera da se provodi odvajanje zaduenja i

pridruenih odgovornosti


55/69

55


Postupci u prikupljanju dokaza

Pregled faza ugovora Priprema tendera

Objava natjeaja

Izbor

Prihvaanje ugovora

Odravanje ugovora (aneksiranje)

Praenje izvrenja ugovornih obveza

Tehnika infrastruktura i operativnapraksa

Zadatak revizije je procijeniti Da nabava, instalacija i odravanje hardvera

osigurava uinkovit rad IS-a i podrava poslovnezahtjeve te da je kompatibilna sa strategijomorganizacije

Da je razvoj/nabava, uvoenje i odravanje softvera

takvo da podrava poslovne zahtjeve i strategijuorganizacije Da nabava, instalacija i odravanje mrene

infrastrukture osigurava uinkovit rad IS-a i podravaposlovne zahtjeve


Zadatak revizije je procijeniti

Da operativna praksa IS-a osiguravaefikasno koritenje tehnikih resursa

Koritenje procesa, alata i tehnika zapraenje rada i mjerenje performansi sustava


56/69

56


Postupci revizije

Pregled hardvera Istraiti procedure upravljanja kapacitetom i

procedure za vrednovanje performansi

Istraiti plan nabave hardvera

Istraiti kriterije izbora mikroraunala (PC)

Istraiti kontrole upravljanja promjenama


Postupci revizije

Pregled operacijskog sustava Istraiti proces odabira

Istraiti cost/benefit analizu

Istraiti kontrole instalacije i promjena sistemskog softvera

Istraiti aktivnosti odravanja softvera Istraiti sistemsku dokumentaciju

Istraiti sigurnost sistemskog softvera

Istraiti DBMS


Postupci revizije

Pregled baze podataka Istraiti dizajn, pristup, administraciju, interfejse i

portabilnost (prenosivost)


57/69


58/69


59/69

59

Disaster/Recovery - BusinessContinuity

Postupci revizije Pregled plana nastavka poslovanja Vrednovanje prethodnih testnih rezultata Vrednovanje off-site lokacije Pregled ugovora o alternativnom

procesiranju Pregled pokrivenosti osiguranjem (police

osiguranja)

Razvoj, nabava , uvoenje i odravanjeposlovnih aplikacija

Zadaci revizije Vrednovati procese razvoja i uvoenja aplikacija

Vrednovati procese nabave i uvoenja aplikacija

Vrednovati procese odravanja aplikacija

Razvoj, nabava , uvoenje i odravanjeposlovnih aplikacija

Postupci revizije Pregled dokumentacije pojedinih faza razvoja IS-a (primjer

tradicionalnog pristupa) Studija izvodivosti Definicija zahtjeva Nabava softvera Detaljni dizajn Programiranje Testiranje Faza uvoenja Postimplementacijsko istraivanje Procedure promjene sustava i proces migracije


60/69

60

Vrednovanje poslovnih procesa iupravljanje rizicima

Zadaci revizije Vrednovati djelotvornost i uinkovitost IS-a

Vrednovati kontrole rizika poslovnih procesaa

Vrednovati projekte promjene poslovnih procesa

Vrednovati kako organizacija implementiraupravljanje rizicima

Revizija kao poslovna funkcija

Planiranje

Organizacija

Kadrovi

Voenje

Kontrola

Mjerenje uspjenosti

Planiranje revizije

Dugorono Smjernice za obavljanje funkcije revizije Planiranje resursa za obavljanje revizije Okvir za kratkorono planiranje Cilj je ostvarivanje misije poslovnog sustava Ovisno o karakteru organizacije na koju se

odnosi i prirodu poslovanja

Kratkorono Planiranje programa upravljanja rizicima


61/69


62/69

62

Kadrovsko ekipiranje funkcije revizije

Koristi se standardni pristup upravljanjaljudskim resursima Zapoljavanje

Edukacija - struno usavravanje

Razvoj karijere Motivacija

Voenje funkcije revizije

Uskladiti ciljeve revizije Pojedinane revizije moraju biti usklaene s

opim ciljevima revizije poslovanja Provoditi pojedinane revizije u skladu s

ciljevima kratkoronih planova Ciljevi revizije moraju podravati ostvarenje

misije tvrtke

Motivacija osoblja Poticanje kreativnosti i inovativnosti

Kontrola funkcije revizije

Cilj je poveati kvalitetu funkcije revizijeradi unapreenja poslovanja tvrtke

Redovno provjeravanje poduzetih revizijaradi provjere usklaenosti s postavljenimstandardima kvalitete i planovima

Povremeno provoditi eksternu provjerufunkcije revizije


63/69


64/69

64

Kvaliteta revizijskih zakljuaka iizvjea

Sadraj - da li su dani odgovori na pitanja: Utjeu li informacije na donoenje odluka i smanjuju li

rizik pri donoenju odluka Relevantnost, tonost, pravodobnost informacija Zadovoljava li IS potrebe korisnika Poveava li se djelotvornost i uinkovitost rada osoblja

tvrtke Poveava li IS konkurentsku prednost tvrtke

Forma Standardizacija formata izvjea Lako razumijevanje i tumaenje sadraja Neredundantnost sadraja

Utjecaj funkcije revizije na rad IS-a

Uestalost (redovita, neredovita) ili akizostanak revizije utjeu na sljedeeaspekte rada i djelovanja IS-a:

Koritenje rezultata rada IS-a od stranemenadmenta

Vrednovanje rada informatikog osoblja Razinu kvalitete aplikacija Utjecaj IS-a na upravljako odluivanje Ocjena prikladnosti koritenih kontrola

Revizija kao profesija

ISACA (Information Systems Audit andControl Association)

CISA (Certified Information Systems Auditor)

CISM (Certified Information SecurityManager)

COBIT (Common Objective for Busines andInformation Technology)


65/69


66/69


67/69


68/69

68

COBIT okvir

POSLOVNI ZAHTJEVI

IT RESURSIIT PROCESI

COBIT okvir - poslovni zahtjevi

Poslovni zahtjevi = Informacijski kriteriji Zahtjevi kvalitete (kvaliteta, trokovi,

pravovremenost) Zahtjevi povjerenja (djelotvornost i

uinkovitost, pouzdanost informacija,usklaenost sa zakonskom regulativom)

Zahtjevi sigurnosti i zatite (povjerljivost,cjelovitost, raspoloivost)

COBIT okvir - IT resursi

Podaci Aplikacije (aplikacijski podsustavi) Oprema (HW, operacijski sustavi, DBMS,

mrea, multimedia, ....) Prostor Ljudi (sposobnost osoblja za planiranje ,

organizaciju, isporuku, podrku i praenjeinformacijskog sustava)


69/69

Documents

Kontrola i Revizija is-A MF