Slide 1

1REVIZIJA INFORMACIONIH SISTEMAAleksandar okovi Udruenje osiguravaa SrbijeZNAAJ INFORMACIONIH TEHNOLOGIJA U SAVREMENOM POSLOVANJU

Infrmcine tehnologije su dn d klunih inilc pslvnj kompanija. U poetku IT je bio samo podrka poslovnim procesima dok je danas nezaobilazni faktor koji je preuzeo funkcije: Organizatora poslovnih procesa Uloge pruanja usluga kojima se ostvaruje profitLidera u razvoju poslovanja Ukoliko planovi IT nisu usaglaeni sa strategijom kompanije, kompanija ne moe ostvariti progres u poslovanjuPrekidi, problemi u radu IT i gubitak informacija prouzrokuju velike materijalne gubitke, gubitak reputacije i bankrote kompanijaKompanije se sru s znnm nsigurnu usled eventualnih problema u funkcionisanju IT te je uspeh uprvlnj clkupnim pslvnjm pvzn s organizacijom i upravljanjem rizicim u okviru IT

3

IT RIZICI U PRAKSISvake 2 godine, 9 od 10 kompanija se susretne sa probijanjem sigurnosti sistemaSvakih 5 godina, jedna od pet kompanija u Evropi pretrpi znaajne gubitke usled havarijeU vie od 50% kompanija e-mail sistem doivi kolaps u radu barem jednom u toku godineVie od 40% velikih kompanija ima primere odavanja poverljivih podatakaNastavak poslovanja nakon katastrofe u IT 28% Nastavi poslovanje29% Prekine poslovanje u roku od 3 godine43% Nikada ne obnovi poslovanje

IT REVIZIJA - NAIN ZA UNAPREENJE ITSavremene kompanije su prepoznale IT Reviziju kao efikasan nain za unapreenje ITPeriodinim IT revizijama kompanije postiu:Poboljanje sigurnosti IT sistemaUmanjenje relevantnih rizikaUsklaivanje IT procesa sa poslovnim ciljevimaPoveanje funkcionalnosti i efikasnostiIspunjenje potrebnih standarda i regulatornih zahteva

Definicija: IT Revizija predstavlja proces prikupljanja dokaza i podataka na osnovu kojih se procenjuje uspenost informacionog sistema u njegovoj organizaciji, bezbednosti i efikasnosti.

IT REVIZIJA JE VA NAJBOLJI PRIJATELJ!

ASOCIJACIJA ZA REVIZIJU I KONTROLU INFORMACIONIH SISTEMAINFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION ISACAOrganizacija je osnovana sa ciljem da se definiu globalni standardi za upravljanje, kontrolu, zatitu i sprovoenje revizije za Informacione tehnologije Rgistrvna je 1969. godine d strn grup pdinc ki su prpznli ptrbu z cntrlizvnim izvrm infrmci i svtvnjm u rstum plu rvizrskih kntrl z runrsk sistmBavi se edukacijom i unapreenjem rada putem uspostavljanja i kontrole standarda u oblastima revizije Informacionih sistemaDns, ISC im vi d 95.000 lnv irm svt

ETIKI KODEKS REVIZORA

ISACA dfinisl tiki kdks k vdi z prfsinln pnnj lanova i srtifikvnih I rvizra (CISA certified information systems auditor):Revizori imaju zadatak d pmgnu menadmentu kompanije u uvnju stndrda i usglvnju IT sa njimaRevizori moraju svu dunst da vr prfsinln i neutralnoTokom revizije, treba da prate i primenjuju nbla iskustva iz prksRevizori moraju da rade u intrsu klint kako bi pomogli unapreenje IT svojim preporukama i smernicamaRevizori moraju potovati privtnst i pvrlivst infrmci klijenata drvu svu strunsti u ptrbnim blstimMoraju da obvst menadment kompanije o rzulttim izvrng rd, infrmiui ih svim znnim injnicmPmu u strunm infrmisnju klint rvizi s cilm lkg i blg rzumvnj bzbdnsti i kntrl IS

UNRDNI ISACA STNDRDI

ISACA je definisala stndrde z rviziu sa ciljem d odredi minimalan niv izvnj rvizi ki zdvlv prfsinln bvz i u skladu je sa tikim kdksomUputstva ISACA za reviziju definisana su na nekoliko niv:Obavezni stndrdi za reviziju (Prvilnik rvizii, ngvnju, nzvisnst, strunst, plnirnj...)Smrnic za naine primne standarda (npr. standardi za pribavljanje dokaza, planiranje, strunost, privatnost)Prcdur k bzbuu primr k rvizr z IS m d prti tkm izvnj rvizi (npr. procedure za ocenu rizika, primenu poslovnih aplikacija, otkrivanje upada u sistem)

RIZICI POSLOVANJA I IT REVIZIJARizik je vrvtna d drni izvr prtnj iskristi ptncilnu slbst sistema i prouzrokuje neeljeni tetni dogaajJedan od osnovnih ciljeva IT Revizije predstavlja identifikacija rizika kako bi se ostvarila kontrola i upravljanje putem primne uprvlk plitik, prcdura i iskustv sa zadatkom da se: Rizik idntifikujenlizira (cni mogunost da se desi i mogua negativna dejstva) Uspostavi kontrola (odravanjem prihvatljivog nivoa) Kategorije IT rizika:Prddrni rizici (rizici ki pstti bz bzir n prduzt kci)Rizici prfrmnsi (rizici vezani za prktni pristup, implmntciu)Prgrmski rizici (rgnizcija, strunst, iskustv, vtin zpslnih)Rizici dinmikih plnv (l plnirnj razvoja, trkv, rokova) Thniki Rizici (rizici od prstnka rd sistm)Rizici pdrke (neodgovarajue pruanje podrke klijentima)

ISO/IEC 17799:2005U cilju identifikacije i kontrole rizika IS, od strane ISO (International Organization for Standardization) i IEC (International Electrotechnical Commission IEC), definisan je standard ISO/IEC 17799:2005Dokumentom se utvruu smrnic i pti principi z implmntciu, drvnj i pblnj bezbednosti informacionih sistema putem definisanih kontrola, koje su zapravo smrnic ptprihvnim cilvima o sigurnsti infrmciSmernice su kreirane na osnovu nbl prks i utvruju kntrlne cilve u blstim:mndmnt i sigurnsti infrmci,bzbdnsne plitike, rgnizcie infrmtike bezbednosti, uprvlnja sredstvima i ludskim rsursim,kontrole fizik i klk bzbdnsti, kntrle pristupa, rzva i drvnja, menadmenta incidenata upravljanja izmenama, usaglaavanje, izrada procedura, itd.

FAZE REALIZACIJE IT REVIZIJE

Odreivanje prdmta i ciljeva rvizi je proces idntifikcie blsti, sistema, prcsa i ktivnsti ke biti obuhvaene revizijom unutar kompanijePlnirnj rvizi je proces idntifikcie ptrbnih znnj, rsursa, izvra infrmci z tstirnj ili nlizu, definisanje lkcia/ura (ki biti kntrlisni), kreiranje liste pdinc k trb intrvuisti, prikupljanje rgnizcinih plitika, stndrda i smrnica z nlizu, itd.Sprovoenje revizije podrazumeva razgovore sa zaposlenima odgovornim za pojedine procese, pregled postojeih politika, procedura i internih pravila, razumevanje dizajna i implementacije kontrola, izvravanje kontrola, izvravanje upita i skripti korienjem kompjuterskih alata u procesu prikuplnja i analize pdtk, itd.Kreiranje i dostava revizorskog izvetajaKMPUTRIZVNI LTI Z RVIZIU (COMPUTER-ASSISTED AUDIT TECHNIQUES CAAT)

Da bi se omoguila obrada to veeg broja podataka u cilu kvalitetnije revizije, koriste se Kmputrizvni lti - CAATAlati mguuju rvizrim IS d smstln i nzvisn od subjekta revizije prikuplu ptrbn infrmci Na osnovu prikupljenih podataka vri se nliza i, u skladu sa prdfinisnim cilevima revizije, kreiraju se izvtji nlzimCAAT eliminie individualizam miljenja revizora iri se dlkrug rvizi i njena fleksibilnstCAAT smnjuju trokove i potrebno vreme za izvoenje

OPTE IT KONTROLE (IT GENERAL CONTROLS)

Pristup programima i podacimaPristup treih strana resursima ISKontrole pristupa (Administrativne, Logike, Fizike)Parametri i konfiguracijePodela odgovornostiMehanizmi za logovanjeKontrole za pristup mreiIzmene programaProces upravljanja promenamaTestiranje i Kontrola promena

Migracija promena u proizvodni reim radaKompjuterske operacije Procedure za bekap i oporavakProcedure za upravljanje problemimaMonitorigUpravljanje projektima i Razvoj programaProces odobravanjaUpravljanje projektom i razvojne metodologijeProces testiranja

Pomau pri utvrivanju pouzdanosti podataka generisanih od strane ITUsklaivanjem sa njima osigurava se da sistemi funkcioniu u skladu sa namenomIZRADA I DOSTAVLJANJE RVIZRSKOG IZVTA Zadatak revizorskog izvetaja je da bude koncizan, razumljiv i da sadri sve bitne nalze praene prprukmNe postoji definisan frmt rvizrskg izvt, ve osnvn kmpnnt koje su precizirane munrdnim rvizrskim stndrdim: S7- Izvtvnj i S8 ktivnsti prnj nkn rviziOsnovne komponente izvetaja: Uvdni deo ki se bavi cilvima i oblastima rvizi uz optu dfiniciu prird i psg rvizrskih prcdur k su primnjn tkm rvizi Opti zkluk i milnj rvizr o IS, kntrlama i prcdurmaIznoenje zkluaka i svbuhvtnih dkza koji su prikuplni tkm rvizi Rvizrski nlzi i prpruke nalaze se na kraju izvetaja. Nivo detalja zavisi od toga za koji niv i sastav rukvdstva je namenjen izvetajKompletan izvetaj mora sadrati sve nlze (d izuztn mtrilnih d bznnih), uz sva ogrninj i smernice koja su postojala tokom procesa

COBIT 4.1 OKVIR

COBIT je razvijen od strane IT Governance Institute-a, neprofitne organizacije osnovane 1998. godine u sklopu ISACA-e (Information Systems Audit and Control) sa ciljem da se:Uskladi IT sa poslovanjem kompanijeOdgovorno koriste IT resursiUspostavi upravljanje IT rizicimaCOBIT je opte primenjiv i prihvaen standard dobrih sigurnosnih i upravljakih praksi na podruju IT-a, namenjen za korienje od strane: MenadmentaKorisnika IT usluga Revizora IT osoblja koje se bavi poslovima kontrole i sigurnosti sistema

COBITCOBIT sistm baziran na 34 kntrln cilja sa ijim usklaivanjem se uspeno ispunjavaju funkcionalni ciljevi informacionog sistemaCobiT 4.1 okvir je podeljen na 4 oblasti:Planiranje i organizacijaNabavka i implementacijaIsporuka i odravanjeNadgledanje i procenaBaziran na filozofiji da se IT resursima upravlja putem skupova od prirodno grupisanih procesa, kako bi se obezbedile primenljive i pouzdane informacije koje su potrebne kompaniji da bi ostvarila svoje ciljeve

COBIT 4.1 OBLASTI

COBIT 4.1 PROCESIREVIZIJA INFORMACIONIH SISTEMAHVALA NA PANJI !