Professional Documents
Culture Documents
EFSA Master Primjena IT U Financijskom Izvjestavanju
EFSA Master Primjena IT U Financijskom Izvjestavanju
Sadr aj
Pojam informacijskog sustava (vrste, dijelovi) Korporativno upravljanje informatikom (IT Governance) Uvod u reviziju informacijskih sustava (vrste, institucije, regulativa, certifikati) Za to informacijski sustavi grije e? Upravljanje rizicima i mehanizmi kontrole Metode provedbe revizije IS-a (CobiT, ISO 27001,) Regulativa revizije IS-a u RH (HNB) Studija slu ajeva iz prakse i timskih projekata
Temeljna literatura
Panian, ., Spremi , M. i suradnici (2007): Korporativno upravljanje i revizija informacijskih sustava, Zgombi i partneri.
Dodatna literatura
Spremi , M. (2008): Korporativno upravljanje i informacijski sustavi, poglavlje u knjizi Korporativno upravljanje, urednik Darko Tipuri , Sinergija, 2008. Hunton, J.E. et.al, Core Concepts of Information Technology Auditing, Wiley Text Books, 2004. Niz lanaka i studija slu ajeva lanci u asopisima: Spremi , M., mirak, Z., Kraljevi , K. (2008): Evolving IT Governance Model Research Study on Croatian Large Companies, WSEAS Transactions on Business and Economics, Issue 5, Volume 5, May 2008, ISSN: 1109-9526. pp. 244-253. Spremi , M., Popovi , M. (2008): Metholodologies for conducting information sytem audit: case study of Sarbanes-Oxley compliance, Applied informatics Uporabna informatika, Vol. 16, No. 3, Slovensko dru tvo INFORMATICA, PP. 133-147 Spremi , M., Popovi , M. (2008): Emerging issues in IT Governance: implementing the corporate IT risks management model, WSEAS Transaction on Systems, Issue 3, Volume 7, March 2008, ISSN: 1109-2777, pp. 219-228. Spremi , M. (2008): Strategije kori tenja informatike u poslovanju, Ra unovodstvo i financije, 09/2008, str. 131-138. (pregledni lanak) Spremi , M. (2008): Krovni standardi upravljanja poslovnim informacijskim sustavima, Ra unovodstvo i financije, 10/2008, str. 148-155. (pregledni lanak) Spremi , M. (2008): Izvedeni takti ki standardi upravljanja poslovnim informacijskim sustavima, Ra unovodstvo i financije, 11/2008, str. 154-161. Materijali s predavanja
Na in rada i obveze
Aktivno sudjelovanje, prisustvo, Diskusija i analiza slu ajeva iz prakse Ispit pisani ispit sastavljen od niza pitanja iz sva tri podru ja
HARDW ARE
DATAW ARE
NETW ARE
LIFE W ARE
Sredina 1980-e
E k s p e rtn i s u s ta v i S u s ta v z a p o tp o ru o d lu iv a n ju
BAZA MODELA
SKLADI TE PODATAKA
U p ra v lja k i in f o rm a c ijs k i s u s ta v
BAZA PODATAKA
Transakcijski IS
Transakcijski IS (engl. Transaction Processing Systems (TPS) = IS koji podr ava temeljne poslovne procese i najva nije poslovne transakcije (ra unovodstvo i financije, prodaja, ljudski resursi, proizvodnja) Transakcijski IS temelj poslovnog IS
Prati, prikuplja, obra uje, pohranjuje, distribuira sve informacije o osnovnim rutinskim poslovnim transakcijama Te se informacije koriste kao ulazne kod funkcijskih IS, mened erskih IS, sustava za potporu odlu ivanju,
Transakcijski IS
Sustav za obradu transakcija ili transakcijski sustav pru a potporu teku em odvijanju poslovnog procesa obrada transakcija. Op e funkcije: Vo enje evidencije - evidentiranje zapisa o svakoj transakciji u bazu podataka Izdavanje - generiranje raznovrsnih dokumenata potrebnih u poslovanju Izvje tavanje - pra enje odnosno kontroliranje poslovnog procesa
Ciljevi transakcijskog IS
Osnovni cilj = omogu iti u inkovitu provedbu rutinskih poslovnih transakcija (organizacijske politike, zakonska regulativa) Posebni ciljevi =
U inkovito poslovanje Pravodobno izvje ivanje i poslovna dokumentacija Pru iti podatke za takti ke i strate ke sustave Osigurati to nost, podudarnost i sigurnost podataka i informatika
Obilje ja transakcijskih IS
Svakodnevno obra uju ogromne koli ine podataka Interni izvori podataka, izlaz namijenjen internim korisnicima Veliki zahtjevi na pohranjivanje podataka (baze podataka) Potrebna je brza obrada Orijentacija na povijesne podatke Preciznost, detaljnost, pouzdanost obrade Trivijalne operacije (jednostavne matemati ke i statisti ke oper.)
Primjeri transakcijskog IS
POS sustavi (u prosincu 2007. peglalo se 25 kartica u sekundi, iskoristivost bankomatske mre e bila je 97%) Rezervacijski sustavi SABRE, Galileo, Amadeus mjese no preko 40 milijuna promjena cijena pra enje par milijuna cijena, preko 500.000 slogova o kupcima i preko 2.000 poruka u sekundi SABRE obra uje vi e od 5.000 transakcija u sekundi uz vrijeme odziva manje od 2 sekunde u bilo kojem kutku svijeta Travel supermarket (smje taj, rent-a-car, dodatni izleti, plan putovanja, ) Prihod od oko 4 USD po rezervaciji (bez obzira je li karta kupljena) Continental uslugu rezervacije pla a oko 17 USD po putniku EU eGovernment Services gra ani EU mogu u tedjeti do 7 milijuna sati na vremenu koje im je potrebno za ispunjavanje i slanje porezne prijave putem Interneta, pri emu i EU administracija tedi oko 10 eura po svakoj transakciji (ukupno do iznosa od 0,5 milijarde eura godi nje)
Marketin ki IS
Mnoge marketin ke aktivnosti podr ane su djelovanjem IS:
Odre ivanje i pra enje cijena proizvoda i usluga Produktivnost prodajnog osoblja Globalno tr i te (Internet) Software za pobolj anje u inkovitosti prodaje (automatizacija, HHT, web-prodaja, Analiza profitabilnosti prodaje, pra enje kupaca, pra enje pona anja potro a a Detaljna analiza prodaje, trendovi, orijentacija na predvi anje prodaje, napredne informacije Planiranje tr i ta, uvo enje novih proizvoda Web-sustavi u marketingu
26
elektroni ka karta, prijava za let putem Interneta, mobilni 'check-in', (zrakoplovni prijevoz) kori tenje RFID tehnologije u poslovnim procesima prodaje i upravljanja zalihama (primjerice, Wall-Mart i 'instant' inventura stanja zaliha) LoJack (lociranje ukradenog automobila pomo u GPS tehnologije) i upravljanje voznim parkom putem satelitske navigacije (ubrzo i beskontaktno pla anje cestarina na autocestama prema tome predlo ku, odnosno prema stvarnom broju prije enih kilometara) 28 pla anja putem mobilnog telefona (m-parking, m-prijevoz), e-Rijeka, itd
Konsolidacija
Zrelost
Vrijeme
Analiti ki sustavi
Za to se ne to dogodilo, doga alo? Faza kontrole i integracije IS Skladi te podataka, izvo enje znanja iz podataka (data mining)
Za to prosje an prihod po klijentu pada? Za to je prodaja odre enog proizvoda podbacila? Za to kupci kupuju konkurentski proizvod? Za to zalihe nisu na o ekivanoj razini? Za to je slab obrtaj zaliha? Za to su isporuke kasnile, za to je prodano toliko malo proizv.? U kojim se podru jima poslovanja ostvaruje najbolji ROI? Za to su tro kovi poslovanja probijeni?
Prediktivni sustavi
to e se dogoditi? Faza distribucije i zrelosti IS Realisti ne, pouzdane i vjerodostojne prognoze, predvi anja budu ih doga aja i procesa (KM, BI)
Koji bi proizvodi/usluge mogli biti profitabilni? Koji bi kupci mogli kupiti neki proizvod? Kakva je predvidiva potra nja prema zemljopisnim podru jima? Koja podru ja poslovanja iskazuju potencijal rasta? to bi mogao biti na core business u narednom razdoblju? to najbolji klijenti o ekuju od kompanije u budu nosti Kako e se prodavati novi proizvod
Zakon minimuma kvalitete informacijskih sustava (1/2) Kvaliteta informacijskog sustava jednaka je kvaliteti njegove najlo ije komponente
Komponente sustava
Interna
Eksterna
Vrste revizije
a) interna revizija,
ORGAN KOJI PROVODI ISPITIVANJE
PODRU JE ISPITIVANJA
b) dr avna revizija
a) revizija financijskih izvje taja, b) revizija poslovanja, c) revizija informacijskih sustava
OBJEKT ISPITIVANJA
Osnovni pojmovi
electronic data processing audit (EDP audit) information technology audit (IT audit) auditing computer-based information systems computer audit information system audit
Potreba za revizijom IS
Uobi ajene vrste revizije: Revizija financijskih izvje taja Revizija podudarnosti Revizija poslovanja Revizija informacijskih sustava Interna revizija Eksterna revizija Interna revizija IS, eksterna revizija IS Evolucija razvoja revizije IS-a Institucije revizije IS-a (ISACA, ITGI, the IIA), Stru ni certifikati (CISA, CIA, CISM, CGEIT, CISSP ..)
47
Proces prikupljanja i neovisne, stru ne procjene dokaza kojim se provjerava efikasnost i u inkovitost djelovanja i kona no procjenjuje kvaliteta informacijskog sustava poslovnog subjekta
48
49
50
51
Izvje taj revizora IS-a nalazi, obja njenje rizika, mi ljenje, preporuke
Primjer (IT Audit report XY bank) Podru je revizije: Strate ki plan informatike Razina rizika: Visok Nalazi:
Provedbom razgovora s vi im razinama menad menta i uvidom u poslovnu dokumentaciju ustanovljeno je da strate ki plan informatike formalno ne postoji. Postoje odre ene neformalne i ad-hoc procedure planiranja resursa koje informatika kao poslovna funkcija koristi, ali te su aktivnosti stihijske i neuskla ene s potrebama poslovanja.
Ocjena rizika:
Informatika se ne razvija u skladu s potrebama poslovanja i potrebama ostvarenja poslovnih ciljeva. Ne postoji poveznica izme u poslovanja i informatike, nisu odre eni klju ni ciljevi i zadaci funkcioniranja informatike kao poslovne funkcije.
53
Priprema i planiranje Analiza dokumentacije Prikupljanje revizijskih dokaza: Intervjui, ankete i neformalni razgovori Tehni ko ispitivanje i testiranje sustava Analiza i vrednovanje revizijskih dokaza Priprema revizijskog izvje a Predstavljanje revizijskog izvje a Postrevizijske aktivnosti
Analiza i vrednovanje revizijskih dokaza Priprema revizijskog izvje a Predstavljanje revizijskog izvje a
55
Analiza dokumentacije
Upravlja ka dokumentacija Radni dokumenti Pomo ni dokumenti
58
59
61
63
64
65
Pod 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
Opis podru ja Upravljanje sigurno u informacijskog sustava Upravljanje rizicima koje se odnose na IS Upravljanje logi kim i upravlja kim kontrolama pristupa Upravljanje imovinom informacijskog sustava Upravljanje operativnim i sistemskim zapisima Upravljanje pri uvnom pohranom Upravljanje odnosima s pru ateljima usluga Upravljanje odnosa s dobavlja ima opreme Upravljanje razvojem informacijskog sustava Upravljanje fizi kom sigurno u Upravljanje zaporkama Upravljanje konfiguracijama Upravljanje promjenama Plan kontinuiteta poslovanja Plan oporavka nakon ne eljenog doga aja Plan odgovora na incidente Upravljanje za titom od malicioznog koda Primjena internih akata vezanih uz IS
Razina zrelosti 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 1 - Po etno stanje 1 - Po etno stanje 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 3 - Stanje definiranosti 2 - Stanje ponovljivosti 1 - Po etno stanje 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 1 - Po etno stanje 2 - Stanje ponovljivosti 4 - Stanje mjerljivosti 2 - Stanje ponovljivosti
COBIT metodologija
Svjetski priznati standardi upravljanja IT-om (IT best practices) Svjetski priznati standardi i ciljevi kontrole i revizije IS COBIT 4.1 Control Objective for Information and related Technology Smjernice za analizu, mjerenje i kontrolu primjene IS i IT 34 IT procesa (cilja kontrole ili vo enja IT) svrstana u 4 podru ja
Planiranje i organizacija (PO) Akvizicija i implementacija (AI) Isporuka i podr ka (DS) Nadzor i procjena (ME)
34 cilja kontrole i 318 vrlo preciznih i detaljnih kontrola i uputa za njihovu primjenu (primjer) (www.isaca.org)
67
COBIT metodologija
CobiT menad mentu predo ava jasniju sliku funkcioniranja informacijskog sustava i cjelokupne informatike na na in da:
jasno odre uje i detaljno opisuje klju ne informati ke procese (34 procesa svrstana u 4 podru ja), jasno odre uje obveze i podru ja odgovornosti (RACI tablica za svaki od tih procesa odre uje tko je odgovoran, tko provodi kontrolu, a koga samo treba konzultirati prije dono enja odluke, odnosno informirati nakon), jasno odre uje ciljeve nadzora i kontrole (CobiT kontrolni ciljevi), odre uje ciljeve i metrike uspje nosti informati kih procesa (modeli zrelosti): KPI klju ni indikatori performansi (engl. Key Performance Indicators), KGI pokazatelji ostvarenja ciljeva (engl. Key Goal Indicators), KRI klju ni pokazatelji rizika (engl. Key Risk Indicators), pokazatelji ostvarenja zacrtanih aktivnosti (engl. IT activity goals) model zrelosti za svaki poslovni proces (ocjene od 0 do 5) i itav sustav kojima se mogu mjeriti performanse informati kih procesa i procijeniti njihovu u inkovitost u odnosu na poslovne ciljeve.
69
70
71
74
Rizik napada na imovinu informacijskog sustava Rizik kra e osjetljivih podataka, tehnolo ki rizici Rizik provedbe promjena, rizik rastu e slo enosti informacijskih sustava
to je korporativno upravljanje informatikom (IT Governance)? Skup tehnika i metoda kojima korporativna tijela i izvr ni menad ment 'ovladavaju' primjenom informatike u poslovanju, odlukama o ulaganjima u informatiku, performansama i rizicima njezina kori tenja, ali i preuzima odgovornost za kontrolu provedbe informati kih procesa i svih aktivnosti
Upravljanje rizicima
Sistemati an analiti ki proces kojim organizacija otkriva (pronalazi), prepoznaje (identificira), umanjuje (reducira) i nadzire (kontrolira) potencijalne rizike i gubitke kojima je izlo ena Taj proces omogu uje organizacijama utvr ivanje veli ine (ozbiljnosti, te ine, razmjera) i u inaka potencijalnih gubitaka, vjerojatnosti da e se takav gubitak eventualno i dogoditi te protumjera koje mogu djelovati na smanjenje vjerojatnosti ili veli ine gubitka Rizik = F (imovina, prijetnja, ranjivost)
Vrste IT rizika
Corporate level IT risks
Strat. IT plan, IT project management praksa, IT politike, procedure, pravilnik o sigurnosti IS, politika IT ulaganja, rizik nepo tivanja standarda, zakonskih obveza, rizik IT ovisnosti o dobavlja ima, rizici iz vanjskog okru enja, rizik IT projekta, itd.
500.000 kn
130.000 kn
300.000 kn
25.000 kn
II
Matrica IT rizika
Razina 'ozbiljnosti' ne eljenog doga aja I (visoka) II III IV (niska)
Rizik 1 - neprihvatljiv, kriti an, vrlo mogu i zahtijeva trenutnu reakciju najvi ih razina menad menta Rizik 2 - neprihvatljiv, zahtijeva korektivnu akciju i izravno uklju ivanje (vi eg) menad menta Rizik 3 - prihvatljiv uz pra enje i izvje tavanje menad mentu Rizik 4 - prihvatljiv bez 'uplitanja' menad menta
Matrica rizika
Razina rizika Vrlo visoka V je r o ja tn o s t Visoka Srednja Niska Vrlo niska 5 4 3 2 1 Vrlo nizak 10 8 6 4 2 Nizak 12 9 6 3 Srednji U inak 12 8 4 Visok 10 5 Vrlo visok >9 7-9 5-6 3-4 1-2 Opis Vrlo visok rizik Visok rizik Sredni rizik Mali rizik Vrlo mali rizik
Sa stajali ta svrhe
Preventivne Detektivne Korektivne
95
98
100
Upravlja ke kontrole
Osnovni je zadatak revizora pri istra ivanju upravlja kih kontrola kojima se podvrgava informacijski sustav ocijeniti radi li menad ment svoj posao dobro. Revizor mora ste i potpuni uvid u unutarnju kontrolnu strukturu organizacije koju istra uje, a upravlja ke kontrole ine va an segment te strukture. Zato revizor mora dobro razumjeti bit upravlja kih kontrola relevantnih sa stajali ta ciljeva koje eli ostvariti. Temeljem uvida u prakticirane upravlja ke kontrole revizor mora donijeti odluku o tome ho e li se u svome radu pouzdati i oslanjati na njih ili ne.
Aplikacijske kontrole
Svrha je aplikacijskih kontrola osigurati da svaki pojedina ni aplikacijski sustav, kao podsustav cjelokupnog informacijskog sustava tvrtke, te i o uvanju imovine tvrtke i integriteta podataka, te djelotvornom i u inkovitom ostvarivanju zacrtanih op ih i pojedina nih ciljeva
Vrste kontrola IS
Upravlja ke kontrole (politike kompanije, na in i stil vo enja, strate ki plan IT, organizacija posla, na in razmjene informacija, ) Op e IT kontrole (cilj: siguran, pouzdan i neometan IS)
U inkovitost i provedba sigurnosne politike IS Procjena sustava internih kontrola, Kontrole vo enja i organiziranja IS Kontrole pri razvoju IS, Kontrole pri promjeni postoje eg IS (softvera) Kontrole pri redovitom radu IS i opreme Kontrole pristupa podacima i programima Osiguravanje kontinuiteta poslovanja Fizi ke sigurnosne kontrole, Logi ke sigurnosne kontrole Kontrole rada IS (podjela du nosti) Kontrole podataka, kontrole obrade podataka Komunikacijske kontrole, U/I kontrole Potpunost To nost Autorizacija Validacija Podjela posla
104
Vrste kontrola IS
Sigurnosne kontrole
Fizi ke i logi ke kontrole Kontrole pristupa Kontrole pra enja Kontrole pregleda stanja Penetrating tests kontrole
Kontrole neprekidnosti
Backup kontrole Backup podataka Backup hardvera Kontrole oporavka nakon ne eljenog doga aja
105
22%
20%
16%
5%
KPIs for ITIL process Configuration Management Poslije ITIL 25% 70% 55% % promjena realiziranih kao planirano % promjena koje nisu potvr ene % hitnih promjena to je bilo
% neuspje no realiziranih promjena % kori tenja neautoriziranog softvera % pogre nih isporuka % hitnih isporuka
Za to IT projekti ne uspijevaju?
2002 Gartner 20% projektnih tro kova su nepotrebni, rasipni (annual value destruction 600 milijardi USD) 2004 IBM Fortune 1000 CIO anketa 40% projektnih tro kova nisu donijeli nikakvu korist organizaciji 2004 Standish Group Report 29% projekata je uspje no Standish Group The Chaos Report: 80-90% projekata ne posti e u inke zbog kojih su pokrenuti, 80% projekata prekora i planirano vrijeme i cijenu, 40% projekata se napusti, u manje od 25% projekata na dobar na in se ostvare i poslovni i tehni ki ciljevi, samo 10-20% projekata su stvarno uspje ni projekti
Za to IT projekti ne uspijevaju?
Pomanjkanje resursa U projekt nisu bili uklju eni odgovaraju i korisnici Pomanjkanje potpore mened menta Otpori projektu Lo a analiza organizacije Neuskla enost s promjenama u okolini Neuskla enost projekta s poslovnim planovima Nejasna odgovornost za provedbu projekta Lo odabir IT alata Lo e predstavljanje rezultata 24,7% 18% 12,4% 10,1% 7,9% 6,7% 6,7% 6,7% 3,3% 3,3%
ISO 27001:2005
7. Kontrola pristupa
7.1. Poslovni zahtjevi i politika kontrole pristupa 7.2. Upravljanje korisni kim pristupom 7.3. Odgovornosti korisnika 7.4. Kontrola pristupa ra unalnoj mre i 7.5. Kontrola pristupa operacijskom sustavu ra unala 7.6. Kontrola pristupa poslovnim informacijama i aplikacijama 7.7. Uporaba prenosive opreme i rad na daljinu
109
ISO 27001:2005
ISO 27001 sadr i 36 sigurnosnih ciljeva i 127 sigurnosnih kontrolnih mjera podijeljenih u 10 domena:
1. Sigurnosna politika (Zahtjevi uprave za unaprje ivanjem infromacijske sigurnosti) 2. Organizacijska sigurnost (Omogu avanje upravljanja informacijskom sigurno u unutar organizacije) 3. Klasifikacija i kontrola resursa (Provo enje inventara informacijskih resursa i njihove za tite) 4. Osoblje kao element informacijske sigurnosti (Smanjivanje rizika mogu nosti ljudske pogre ke, kra e, prijevare i o te ivanja resursa na prihvatljivu razinu) 5. Fizi ka sigurnost i za tita od utjecaja okoline (Sprje avanje uni tavanja, propadanja i prekida funkcioniranja sredstava i podataka) 6. Upravljanje komunikacijama i aktivnostima kao elementima informacijske sigurnosti (Osiguravanje prikladnog i u inkovitog rada ure aja za procesiranje informacija) 7. Kontrola pristupa (Kontrola pristupa informacijama i resursima) 8. Razvoj sustava i njihovo odr avanje (Osiguravanje ugra enosti sigurnosti u informacijske sustave) 9. Upravljanje kontinuiranosti poslovanja (Smanjivanje utjecaja prekida poslovanja na prihvatljivu razinu i za tita klju nih procesa organizacije od prekida i propasti) 10. Sukladnost s pravnom legislativom (Spre avanje mogu nosti kr enja zakona, statutornih ili ugovornih obveza i sigurnosnih zahtjeva)
110
ISO 27001:2005
111
ISO 27001:2005
Vrsta organizacije Veli ina organizacije Manje od 200 zaposlenih Primarni cilj uvo enja ISMS-a Na in uporabe norme ISO 27001
Manja organizacija
Srednja organizacija
Velika organizacija
Norma sadr i sigurnosne teme koje je potrebno Podizanje shva anja obraditi kao dio uprave o va nosti informacijske sigurnosti u inkovitog upravljanja organizacijom Kreiranje prikladne Norma sadr i zahtjeve korporativne sigurnosne koje je potrebno ugraditi kulture u poslovanje Striktno pridr avanje norme kako bi se Postizanje certifikacije izgradio u inkovit ISMS
ISO 27001:2005
113
Novi standardi
ISO 27000 Principles and Definition
ISO 27001:2005 ISMS Requirements ISO 27002 ISMS Code of Practice ISO 27003 Implementation Guidelines ISO 27004 ISMS Measurement BS 7799-3:2006 Risk Management ISO 27005 Risk Management
114
mspremic@efzg.hr www.efzg.hr/mspremic