Primjena IT u financijskom izvje tavanju Ra unovodstveni informacijski sustavi

Prof. dr. sc. Mario Spremi , CGEIT Ekonomski fakultet Zagreb

Copyright dr. M. Spremi 1

Sadr aj
Pojam informacijskog sustava (vrste, dijelovi) Korporativno upravljanje informatikom (IT Governance) Uvod u reviziju informacijskih sustava (vrste, institucije, regulativa, certifikati) Za to informacijski sustavi grije e? Upravljanje rizicima i mehanizmi kontrole Metode provedbe revizije IS-a (CobiT, ISO 27001,) Regulativa revizije IS-a u RH (HNB) Studija slu ajeva iz prakse i timskih projekata

Temeljna literatura
Panian, ., Spremi , M. i suradnici (2007): Korporativno upravljanje i revizija informacijskih sustava, Zgombi i partneri.

Dodatna literatura
Spremi , M. (2008): Korporativno upravljanje i informacijski sustavi, poglavlje u knjizi Korporativno upravljanje, urednik Darko Tipuri , Sinergija, 2008. Hunton, J.E. et.al, Core Concepts of Information Technology Auditing, Wiley Text Books, 2004. Niz lanaka i studija slu ajeva lanci u asopisima: Spremi , M., mirak, Z., Kraljevi , K. (2008): Evolving IT Governance Model Research Study on Croatian Large Companies, WSEAS Transactions on Business and Economics, Issue 5, Volume 5, May 2008, ISSN: 1109-9526. pp. 244-253. Spremi , M., Popovi , M. (2008): Metholodologies for conducting information sytem audit: case study of Sarbanes-Oxley compliance, Applied informatics Uporabna informatika, Vol. 16, No. 3, Slovensko dru tvo INFORMATICA, PP. 133-147 Spremi , M., Popovi , M. (2008): Emerging issues in IT Governance: implementing the corporate IT risks management model, WSEAS Transaction on Systems, Issue 3, Volume 7, March 2008, ISSN: 1109-2777, pp. 219-228. Spremi , M. (2008): Strategije kori tenja informatike u poslovanju, Ra unovodstvo i financije, 09/2008, str. 131-138. (pregledni lanak) Spremi , M. (2008): Krovni standardi upravljanja poslovnim informacijskim sustavima, Ra unovodstvo i financije, 10/2008, str. 148-155. (pregledni lanak) Spremi , M. (2008): Izvedeni takti ki standardi upravljanja poslovnim informacijskim sustavima, Ra unovodstvo i financije, 11/2008, str. 154-161. Materijali s predavanja

Na in rada i obveze
Aktivno sudjelovanje, prisustvo, Diskusija i analiza slu ajeva iz prakse Ispit pisani ispit sastavljen od niza pitanja iz sva tri podru ja

Pojam informacijskog sustava

Sustav sastavljen od niza komplementarnih komponenti koji slu i prikupljanju, obradi, pohranjivanju i distribuciji informacija za potrebe provedbe poslovanja i upravljanja nekim poslovnim subjektom Funkcije informacijskih sustava:
Prikupljanje podataka Obrada podataka i stvaranje informacija Analiza i upravljanje informacijama Pohranjivanje podataka i informacija Dostava informacija donositeljima odluka

Struktura informacijskog sustava

Svaki IS sastoji se od 6 komponenti

HARDW ARE
DATAW ARE

NETW ARE

INFORM ACIJSKI SUSTAV

ORGW ARE S OFTW ARE

LIFE W ARE

Dijelovi informacijskog sustava

Hardware - fizi ki dio IS-a, osobna ra unala, modemi, radne stanice, mre na ra unala, poslu itelji, usmjeriva i, modemi. Software - nevidljivi dio IS-a u obliku programskih rje enja, algoritama koji pokre u hardver; Lifeware - ljudi koji se koriste IS-om, od profesionalnih informati ara do krajnjih korisnika; Dataware - podatkovni resursi, odnosno na in i metode organizacije baza i skladi ta podataka; Netware - komunikacijska i mre na rje enja koja povezuju sve elemente u jednu cjelinu, i Orgware - organizacijski postupci i metode povezivanja 8 svih navedenih elemenata u jednu cjelinu.

Primjena informacijskog sustava

Obrada transakcija (obrada pla a, evidencija zaposlenika, obrada zaliha, pra enje proizvodnje, evidentiranje opsega prodaje) transakcijski informacijski sustav Informacijski sustavi i izvo enje poslovnih procesa (automatizacija, inovacija, pobolj anje, rein enjering) Potpora poslovnom odlu ivanju Komuniciranje i povezivanje poslovanja Dokumentacijska i izvje tajna funkcija Podr ka isturenim poslovnim procesima (web)

Podjela informacijskih sustava

Prema organizacijskoj strukturi (odjelni IS, korporativni IS, me uorganizacijski IS) Prema razini podr ke  Transakcijski IS (engl. Transaction processing system - TPS)  Izvr ni menad erski IS (engl. Management information system - MIS)  Sustav upravljanja znanjem (engl. Knowledge management system KMS)  Sustav uredskog poslovanja (engl. Office automation system - OAS)  Sustav potpore odlu ivanju (engl. Decision support system - DSS)  Kompanijski IS (engl. Enterprise information system - EIS)  Sustav potpore radu u skupini (engl. Group support system - GSS)  Inteligentni IS (engl. Intelligent support system) Prema poslovnoj funkciji koju podr avaju Prema arhitekturi sustava

Usporedni grafi ki prikaz

Strate ki mgt Takti ki management Operativni management Piramida managementa Sustavi potpore odlu . Izvr ni IS-i Transakcijski sustavi Piramida IS-a

Razvoj informacijskih sustava podr ke poslovanju

Rane 1950-e 1960-e Kasne 1960-e Rane 1970-e Transakcijski IS (TPS) Management information systems (MIS) Sustav uredskog poslovanja (OAS) Sustav potpore odlu ivanju (DSS)

Razvoj informacijskih sustava podr ke poslovanju (nastavak)

Rane 1980-e Izvr ni IS (Executive information systems) Kompanijski IS (EISs) Sustav potpore radu u skupini (GSSs) Ekspertni sustavi (ES) Sustavi upravljanja znanjem (KMS) 1990-e 2000-e Inteligentne neuronske mre e (ANNs) IS za e-poslovanje, web sustavi, web usluge

Sredina 1980-e

Dijelovi informacijskog sustava

BAZA ZNANJA

E k s p e rtn i s u s ta v i S u s ta v z a p o tp o ru o d lu iv a n ju

BAZA MODELA

SKLADI TE PODATAKA

U p ra v lja k i in f o rm a c ijs k i s u s ta v

Transakcijski informacijski sustav

BAZA PODATAKA

Transakcijski IS
 Transakcijski IS (engl. Transaction Processing Systems (TPS) = IS koji podr ava temeljne poslovne procese i najva nije poslovne transakcije (ra unovodstvo i financije, prodaja, ljudski resursi, proizvodnja)  Transakcijski IS temelj poslovnog IS
 Prati, prikuplja, obra uje, pohranjuje, distribuira sve informacije o osnovnim rutinskim poslovnim transakcijama  Te se informacije koriste kao ulazne kod funkcijskih IS, mened erskih IS, sustava za potporu odlu ivanju,

Transakcijski IS
Sustav za obradu transakcija ili transakcijski sustav pru a potporu teku em odvijanju poslovnog procesa obrada transakcija. Op e funkcije: Vo enje evidencije - evidentiranje zapisa o svakoj transakciji u bazu podataka Izdavanje - generiranje raznovrsnih dokumenata potrebnih u poslovanju Izvje tavanje - pra enje odnosno kontroliranje poslovnog procesa

Ciljevi transakcijskog IS
Osnovni cilj = omogu iti u inkovitu provedbu rutinskih poslovnih transakcija (organizacijske politike, zakonska regulativa) Posebni ciljevi =
U inkovito poslovanje Pravodobno izvje ivanje i poslovna dokumentacija Pru iti podatke za takti ke i strate ke sustave Osigurati to nost, podudarnost i sigurnost podataka i informatika

Obilje ja transakcijskih IS
 Svakodnevno obra uju ogromne koli ine podataka  Interni izvori podataka, izlaz namijenjen internim korisnicima  Veliki zahtjevi na pohranjivanje podataka (baze podataka)  Potrebna je brza obrada  Orijentacija na povijesne podatke  Preciznost, detaljnost, pouzdanost obrade  Trivijalne operacije (jednostavne matemati ke i statisti ke oper.)

Primjeri transakcijskog IS
 POS sustavi (u prosincu 2007. peglalo se 25 kartica u sekundi, iskoristivost bankomatske mre e bila je 97%)  Rezervacijski sustavi SABRE, Galileo, Amadeus mjese no preko 40 milijuna promjena cijena pra enje par milijuna cijena, preko 500.000 slogova o kupcima i preko 2.000 poruka u sekundi SABRE obra uje vi e od 5.000 transakcija u sekundi uz vrijeme odziva manje od 2 sekunde u bilo kojem kutku svijeta Travel supermarket (smje taj, rent-a-car, dodatni izleti, plan putovanja, ) Prihod od oko 4 USD po rezervaciji (bez obzira je li karta kupljena) Continental uslugu rezervacije pla a oko 17 USD po putniku  EU eGovernment Services gra ani EU mogu u tedjeti do 7 milijuna sati na vremenu koje im je potrebno za ispunjavanje i slanje porezne prijave putem Interneta, pri emu i EU administracija tedi oko 10 eura po svakoj transakciji (ukupno do iznosa od 0,5 milijarde eura godi nje)

Ryanair poslovni model

Osnovan 1985, IPO 1997. 2002. uvr ten u popis NASDAQ Top 100, 1800 zaposlenih 2000. uveli vlastiti internetski rezervacijski sustav 2001. 75% svih rezervacija on-line 2002. 94% svih rezervacija on-line, sna no irenje, kupnja 150 novih zrakoplova 12 baza, 209 ruta koje povezuju 93 destinacije u 19 europskih zemalja

Ryanair poslovni model

93,5% letova sti e na vrijeme 0,43 reklamacija na 1000 putnika 0,74 reklamacija o prtljazi na 1000 torbi 0,78 izgubljenih torbi na 1000 putnika (SAS 12,1, Lufthansa 18,4, AirFrance 18,6, Alitalia 24,1, BA 31,2) 0,01% letova otkazano (Alitalia 0,5%, Lufthansa 0,7%, Austrian 0,8%, SAS 1,4%, BA 3,1%) Mjese no prevezu prosje no vi e od 2 milijuna putnika na prosje no 15.000 letova

Osnovna obilje ja funkcijskih IS

IS logistike mo e se dijeliti na IS skladi ta i IS transporta i distribucije IS proizvodnje mo e se dijeliti na IS za planiranje proizvodnje, IS za razvoj proizvoda i istra ivanje, IS za upravljanje proizvodnjom, IS za pra enje i kontrolu proizvodnje Integriranje svih funkcijskih IS unutar poduze a je potrebno zbog boljeg poslovanja poduze a kao cjeline Zbog veza poduze a sa okru enjem (dobavlja i i kupci) IS mora podr ati i taj dio poslovanja zato je danas posebno va an Internet

Marketin ki IS
Mnoge marketin ke aktivnosti podr ane su djelovanjem IS:
 Odre ivanje i pra enje cijena proizvoda i usluga  Produktivnost prodajnog osoblja  Globalno tr i te (Internet)  Software za pobolj anje u inkovitosti prodaje (automatizacija, HHT, web-prodaja,  Analiza profitabilnosti prodaje, pra enje kupaca, pra enje pona anja potro a a  Detaljna analiza prodaje, trendovi, orijentacija na predvi anje prodaje, napredne informacije  Planiranje tr i ta, uvo enje novih proizvoda  Web-sustavi u marketingu

Integralni informacijski sustav

Razlozi za integraciju funkcionalnih IS Poduze e mora efikasno djelovati kao cjelina. Poslovni procesi odvijaju se u razli itim slu bama (funkcijama). Funkcijski IS moraju se povezati u cjelinu i me udjelovati (razmjenjivati podatke, pru ati informacije). Enterprise Resource Planning (ERP)

Informatika kao podr ka managementu

 Sustavi za potporu odlu ivanju (DSS): podr ka analiti kim, kvantitativnim tipovima odlu ivanja  Sustavi za izvr ne direktore (Executive support systems)  Sustavi za potporu odlu ivanju u skupini (Group decision support systems)  Inteligentni sustavi (Intelligent systems)  Izvje tajni sustavi  Analiti ki sustavi  Prediktivni sustavi  Ove je sustave mogu e razviti samo ako transakcijski IS ve postoji (Primjer: rein enjering prodaje mobilna prodaja)

Je li IS strate ko oru je poslovanja?

pozitivno utje u na operativnu efikasnost poslovanja (podupiru strategiju niskih tro kova, odnosno strategiju tro kovnog vodstva) i/ili, u odre enim okolnostima postaju pokreta i inovativnosti i promjena u poslovanju (podupiru strategiju razlikovanja ili diferencijacije poslovanja)

26

IS kao pokreta i operativne efikasnosti poslovanja

Automatizacija poslovnih procesa, Okosnica poslovanja i provedbe poslovnih transakcija Primjeri
tro ak jedne transakcije ostvarene putem elektroni kog bankarstva za banku je do 100 puta manji nego provedba te iste transakcije putem altera tro ak rezervacije sjedala u zrakoplovu putem Interneta do 7 je puta manji nego posredstvom 'klasi nog' rezervacijskog sustava informacijski sustav logisti ke kompanije Federal Express obavi preko 70 milijuna elektroni kih transakcija dnevno ra unalni rezervacijski sustavi kao to su Sabre ili Amadeus, koje koriste brojne zrakoplovne kompanije, imaju mogu nost mjese no obaviti preko 40 milijuna promjena cijena, istodobno rade s preko 500.000 slogova o kupcima i preko 2.000 poruka u sekundi, obra uju vi e od 5.000 transakcija u sekundi uz vrijeme odziva manje od 2 sekunde u bilo kojem kutku svijeta
27

IS kao pokreta i inovativnosti i promjena u poslovanju

IS aktivno sudjeluju u stvaranju potpuno novih, naj e e do tada nepoznatih i inovativnih poslovnih modela IS pokre u nove poslovne procese, stvaraju horizontalne inovacije Privremeni monopol
Primjeri inovativnih poslovnih modela ili usluga
Dell Computers, Amazon.com, Priceline.com, Google, YouTube, Ryanair, EasyJet, Adriatica.net, itd.

elektroni ka karta, prijava za let putem Interneta, mobilni 'check-in', (zrakoplovni prijevoz) kori tenje RFID tehnologije u poslovnim procesima prodaje i upravljanja zalihama (primjerice, Wall-Mart i 'instant' inventura stanja zaliha) LoJack (lociranje ukradenog automobila pomo u GPS tehnologije) i upravljanje voznim parkom putem satelitske navigacije (ubrzo i beskontaktno pla anje cestarina na autocestama prema tome predlo ku, odnosno prema stvarnom broju prije enih kilometara) 28 pla anja putem mobilnog telefona (m-parking, m-prijevoz), e-Rijeka, itd

Case study: CEO as CIO

Industrial Credit and Investment Corporation of India (ICICI) K.V. Kamath 1996. CEO i CIO Poslovna strategija = inovativno kori tenje IT, IT kao kriti ni resurs organskog rasta banke Vode a privatna banka u Indiji
2000. g. 100.000 klijenata, danas skoro 20 milijuna Prije 6 godina 95% alterskih transakcija, 5% ATM Danas alteri ispod 15%, ATM 48%, Internet 21%, call center 5% 614 podru nica, 2200 ATMs, 13 zemalja Bankomatska mre a > 99,4% dostupna, 3 razine redundancije (dial-up, veza, iznajmljena veza, satelitska veza) Tro kovi tehnologije 10 puta manji nego kod drugih banaka
29

Informacijski sustavi koji grije e

 Kako je nastao pojam bug  Zrakoplov iz 1989. koji je zbog pogre ke ra unala pri utvr ivanju preletnih koordinata udario u planinu na Antarktici  Slom australskog sustava socijalnog osiguranja 1992. (zbog pogre ke u IS odobrena su neka prava osiguranicima to je porezne obveznike stajalo 126 milijuna australskih dolara)  Britanski umirovljenici su bili godinama prikra ivani za 300 GBP mjese no radi pogre ke u projektiranju IS  Slom burze tehnolo kih dionica iz 1995.  slu ba socijalnog osiguranja SAD-a isplatila vi e od 60 milijuna $ na ra une oko 8.000 pokojnika u toku 15 godina  Giant Food Inc. umjesto 25 centi, dioni arima ispla ena dividenda od 2,5 $ ukupno vi e ispla eno 11 milijuna nepostoje ih dolara  Stanley Mark Rifkin provalio u EFT (Electronic Funds Transfer) sustav velike banke i napravio transfer 10,2 milijuna $ na ra un u vicarskoj, te kupio 250.000 dijamanata kazna 8 godina strogog zatvora.

Za to informacijski sustavi grije e? 1. primjer

 Adidas novi sustav distribucije i logistike  Bar-kodiranje svakog proizvoda, uporaba be i nih ure aja u kamionima, vilju karima, itd.. trebala je omogu iti br i protok informacija i veliku u tedu u procesu logistike  Softver koji je upravljao sustavom nije radio kako treba (softver je trebala omogu iti outsourcing kompanija partner u projektu)  Neprimjerena dokumentacija sprje avala je Adidasove IT stru njake da poprave programe  Adidas je krenuo u primjenu novog sustava prije nego to je projekt bio gotov  Problemi: prekid distribucije proizvoda na par mjeseci na svjetskoj razini, velika ka njenja u isporukama, veliki pad prodaje (kod nekih distributera i za 90%),  Razlozi?

Za to informacijski sustavi grije e? 2. primjer

 UK sustav prema kojemu su sve bolnice u UK trebale dijeliti iste podatke o pacijentima (centralizirani podaci o klijentu)  Tro ak: 4 milijarde funti  Problemi: doktori ga nisu htjeli koristiti jer imaju stare sustave i nemaju vremena za u enje novog. Osim toga novi sustav uop e nije prilago en njihovim zahtjevima, niti su korisnici voljni svoje privatne podatke davati nekome drugome osim svome doktoru op e prakse u kojega imaju povjerenja  Razlozi?

Za to informacijski sustavi grije e? 3. primjer

 London Ambulance System  Sustav koji je nakon poziva na broj telefona hitne pomo i (999) trebao locirati mjesto s kojega je poziv upu en, prona i i obavijestiti najbli u Hitnu pomo u Londonu i formirati nalog za odlazak sa svim potrebnim podacima  Problemi: 1h nakon po etka rada novog sustava, sustav je pao i nastao je informacijski kaos. Hitna pomo se vratila na stari, ru ni na in rada s karticama  Sustav je pao zbog preoptere enosti, jer se testirao na 50-ak poziva, a samo u prvom satu ive uporabe pristiglo je 1000-njak poziva na 999  Strategija prijelaza na novi sustav  Razlozi?

ivotni ciklus informacijskog sustava

Za ivotni ciklus sustava karakteristi ne su etiri razvojne faze: faza inicijalizacije (nastajanja) sustava faza ekspanzije (rasta) sustava faza konsolidacije (sazrijevanja) sustava faza zrelosti sustava

Krivulja ivotnog ciklusa informacijskog sustava

Mjerilo kvalitete Infleksija

Inicijali- Ekspanzacija zija

Konsolidacija

Zrelost

Vrijeme

Izvje tajni sustavi

Po etne faze razvoja IS (inicijalizacija i ekspanzija) Povijesni aspekt poslovanja, identifikacija ( to se dogodilo) Velika koli ina unaprijed utvr enih upita
Koliki je iznos ukupnog prihoda, opsega prodaje, tro kova, proizvedenih koli ina? Gdje je ostvarena najve a prodaja, prihod, broj isporuka? Koje su razlike u odnosu na prethodna razdoblja? Koji su resursi produktivni? Koliki je prosje an prihod prema proizvodu, klijentu, kanalima? Koliki su tro kovi privla enja novih korisnika? Koji su na ini i dinamika pla anja klijenata?

Analiti ki sustavi
Za to se ne to dogodilo, doga alo? Faza kontrole i integracije IS Skladi te podataka, izvo enje znanja iz podataka (data mining)
Za to prosje an prihod po klijentu pada? Za to je prodaja odre enog proizvoda podbacila? Za to kupci kupuju konkurentski proizvod? Za to zalihe nisu na o ekivanoj razini? Za to je slab obrtaj zaliha? Za to su isporuke kasnile, za to je prodano toliko malo proizv.? U kojim se podru jima poslovanja ostvaruje najbolji ROI? Za to su tro kovi poslovanja probijeni?

Prediktivni sustavi
to e se dogoditi? Faza distribucije i zrelosti IS Realisti ne, pouzdane i vjerodostojne prognoze, predvi anja budu ih doga aja i procesa (KM, BI)
Koji bi proizvodi/usluge mogli biti profitabilni? Koji bi kupci mogli kupiti neki proizvod? Kakva je predvidiva potra nja prema zemljopisnim podru jima? Koja podru ja poslovanja iskazuju potencijal rasta? to bi mogao biti na core business u narednom razdoblju? to najbolji klijenti o ekuju od kompanije u budu nosti Kako e se prodavati novi proizvod

Zakon minimuma kvalitete informacijskih sustava (1/2) Kvaliteta informacijskog sustava jednaka je kvaliteti njegove najlo ije komponente

Zakon minimuma kvalitete informacijskih sustava (2/2)

Mjera kvalitete QE QA QC QB QIS = QD B D E A C

Komponente sustava

Dobre politike upravljanja kvalitetom IS-a

Kada se planira izgradnja IS-a:
Ravnomjerno ulagati u sve komponente IS-a.

Kada su uo ene ve e razlike u kvaliteti pojedinih komponenata IS-a

Ulagati prvo u najlo iju komponentu, sve dok njena kvaliteta ne dosegne razinu kvalitete sljede e na komponente, potom dalje ulagati u obje te komponente ravnomjerno, itd.

Mjerilo uspje nosti (kvalitete) informacijskog sustava

Odstupanje, odnosno zaostajanje realne za idealnom funkcijom sustava to je to odstupanje (zaostajanje) manje, sustav je uspje niji, tj. kvalitetniji, i obratno Da bi se utvrdila kvaliteta sustava, potrebno je poduzeti dvije temeljne akcije:
definirati idealnu funkciju sustava izmjeriti odstupanje (zaostajanje) realne od idealne funkcije sustava

Dualna priroda kvalitete informacijskog sustava (2/2)

Kvaliteta informacijskog sustava

Interna

Eksterna

Kvaliteta informacijskog sustava

Informacijski sustav nu no mora biti interno kvalitetan da bi mogao biti i eksterno kvalitetan. Interna kvaliteta informacijskog sustava osiguravat e se internom kontrolom sustava, a stupanj te kvalitete utvr ivati njegovom internom revizijom. Da bi se ispravno ocijenila stvarna i objektivna kvaliteta ISa, trebat e ga podvr i i eksternoj reviziji, iji e se nalazi smatrati valjanima za izvo enje kona ne ocjene kvalitete (vrsno e) promatranog informacijskog sustava Revizija (engl. audit) postupak pregleda i provjere uspje nosti, postupak ocjene kvalitete

Vrste revizije
a) interna revizija,
ORGAN KOJI PROVODI ISPITIVANJE

b) eksterna revizija a) komercijalna revizija,

PODRU JE ISPITIVANJA

b) dr avna revizija
a) revizija financijskih izvje taja, b) revizija poslovanja, c) revizija informacijskih sustava

OBJEKT ISPITIVANJA

Osnovni pojmovi
electronic data processing audit (EDP audit) information technology audit (IT audit) auditing computer-based information systems computer audit information system audit

Potreba za revizijom IS
Uobi ajene vrste revizije: Revizija financijskih izvje taja Revizija podudarnosti Revizija poslovanja Revizija informacijskih sustava Interna revizija Eksterna revizija Interna revizija IS, eksterna revizija IS Evolucija razvoja revizije IS-a Institucije revizije IS-a (ISACA, ITGI, the IIA), Stru ni certifikati (CISA, CIA, CISM, CGEIT, CISSP ..)
47

to je revizija informacijskih sustava?

Organizacijska funkcija koja omogu uje neovisno i objektivno testiranje funkcija, ciljeva i dijelova informacijskog sustava kako bi se prikupili dokazi koji se mogu neovisno razmatrati ili biti dobrom podlogom za ostale vrste revizije

Proces prikupljanja i neovisne, stru ne procjene dokaza kojim se provjerava efikasnost i u inkovitost djelovanja i kona no procjenjuje kvaliteta informacijskog sustava poslovnog subjekta
48

Definicije pojma revizija IS-a

Revizija informacijskih sustava (engl. Information System Audit) - proces provjere uspje nosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove to nosti, u inkovitosti, djelotvornosti i pouzdanosti Radi se o skupu slo enih menad erskih, revizorskih i tehnolo kih aktivnosti kojima se pregledavaju (provjeravaju) u inci, ali i rizici uporabe informacijskih sustava i u kona nici ocjenjuje njihov utjecaj na poslovanje

49

Definicije pojma revizija IS-a

Slo en proces prikupljanja i procjene dokaza na temelju kojih se mo e procijeniti uspje nost IS-a, odnosno, odrediti djeluje li IS u funkciji o uvanja imovine, odr ava li se cjelovitost (integritet) podataka, omogu uje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi sustava na u inkovit na in Sustavan postupak kojim se ocjenjuje djeluje li informatika u skladu s poslovnim ciljevima, u kojoj mjeri djelotvorno i u inkovito podupire ciljeve poslovanja i kakva je praksa (zrelost) upravljanja i kontrole informacijskih sustava na raznim hijerarhijskim razinama Alternativna' definicije revizije informacijskih sustava - procjena razine kvalitete informacijskih sustava u skladu s potrebama poslovanja

50

to je revizija informacijskih sustava?

Revizija informacijskih sustava predstavlja proces prikupljanja i procjene dokaza na temelju kojih se mo e utvrditi kvaliteta informacijskog sustava: - djeluje li informacijski sustav u funkciji o uvanja imovine, - odr ava li se cjelovitost (integritet) podataka, - omogu uje li se djelotvorno ostvarivanje ciljeva poslovanja i - koriste li se resursi poslovanja na u inkovit na in

51

Objekt i predmet revizije IS-a

Objekt revizije informacijskih sustava jest sustavno, temeljito i pa ljivo pregledati kontrole unutar svih dijelova informacijskog sustava Osnovni zadatak revizije IS-a:
Procijeniti njegovo trenutno stanje (zrelost, razinu uspje nosti), Otkriti rizi na podru ja i razinu rizika i Dati preporuke menad mentu za pobolj anje prakse njegova upravljanja

Primjer izvje taja revizora IS-a (.doc)

52

Izvje taj revizora IS-a nalazi, obja njenje rizika, mi ljenje, preporuke
Primjer (IT Audit report XY bank) Podru je revizije: Strate ki plan informatike Razina rizika: Visok Nalazi:
Provedbom razgovora s vi im razinama menad menta i uvidom u poslovnu dokumentaciju ustanovljeno je da strate ki plan informatike formalno ne postoji. Postoje odre ene neformalne i ad-hoc procedure planiranja resursa koje informatika kao poslovna funkcija koristi, ali te su aktivnosti stihijske i neuskla ene s potrebama poslovanja.

Ocjena rizika:
Informatika se ne razvija u skladu s potrebama poslovanja i potrebama ostvarenja poslovnih ciljeva. Ne postoji poveznica izme u poslovanja i informatike, nisu odre eni klju ni ciljevi i zadaci funkcioniranja informatike kao poslovne funkcije.

Preporuke menad mentu:

Uprava treba dokumentirati kratkoro ne i dugoro ne razvojne planove informatike kao poslovne funkcije. Potrebno je ustrojiti

53

Koraci provedbe revizije IS-a

Pregled snimka stanja informatike ili odabranog podru ja provjere (revizije) Odre ivanje prioriteta rada (odre ivanje objekta revizije IS-a i ciljeva kontrole) Detaljan pregled objekta revizije IS-a i testiranje kontrola Prikupljanje dokaza i procjena poslovnih rizika Preporuke i izvje taj revizora IS-a
54

Provedba revizije IS-a

Analiza dokumentacije Prikupljanje revizijskih dokaza

Intervjui, ankete i neformalni razgovori Tehni ko ispitivanje i testiranje sustava

Faza revizije informacijskih sustava

% od ukupnog vremena trajanja revizija 10 10 10 15 20 20 5 10

Priprema i planiranje Analiza dokumentacije Prikupljanje revizijskih dokaza: Intervjui, ankete i neformalni razgovori Tehni ko ispitivanje i testiranje sustava Analiza i vrednovanje revizijskih dokaza Priprema revizijskog izvje a Predstavljanje revizijskog izvje a Postrevizijske aktivnosti

Analiza i vrednovanje revizijskih dokaza Priprema revizijskog izvje a Predstavljanje revizijskog izvje a

55

Provedba revizije IS-a

Analiza dokumentacije
Upravlja ka dokumentacija Radni dokumenti Pomo ni dokumenti

Prikupljanje revizijskih dokaza

Intervjui, ankete i neformalni razgovori Tehni ko ispitivanje i testiranje sustava (vrijeme odziva, vrijeme reakcije, job, transakcija, propusna mo , kapacitet sustava, pokazatelji pouzdanosti raspolo ivost, MTBF, )

Analiza i vrednovanje revizijskih dokaza

Ocjena za tite imovine sustava (o ekivani gubitak) OG = 7i pi gi Ocjena djelotvornosti sustava (kvaliteta IS-a, kvaliteta informacija, korisnost sustava, jednostavnost sustava, uporaba (funkcionalnost) sustava

Priprema revizijskog izvje a Predstavljanje revizijskog izvje a

56

Regulativa i kriteriji provjere (revizije) uspje nosti IS-a

Zakonska regulativa (HNB Odluka o primjerenom upravljanju IS-om za banke i tedno-kreditne institucije) Standardi i svjetski priznati okviri (CobiT, ISO 27000, ITIL, SAS 70, Sarbanes-Oxley act, .) Standardi unutar odre enih djelatnosti (PCI DSS, Basel II) Politike i pravila poduze a Na ela informati ke struke Zahtjevi poslovne prakse Zahtjevi korisnika informacijskih sustava
57

Institucije i regulativa provedbe revizije IS-a

ISACA (Information System Audit and Control Association), www.isaca.org
CISA (Certified Information System Auditor) CISM (Certified Information Security Manager) CGEIT (Certified in Governance of Enterprise IT)

IIA (Institute of Internal Auditors) www.theiia.org Hrvatska narodna banka

Odjel za izravni nadzor banaka i fin. Institucija Odluka o primjerenom upravljanju IS-om u svrhu smanjenja operativnog rizika (.pdf)

58

Podru ja revizije IS-a u HR (HNB Zakon o bankama)

Upravljanje sigurno u IS-a Upravljanje rizikom koji vezan uz IS Logi ke kontrole pristupa Upravljanje imovinom IS-a Upravljanje operativnim i sistemskim zapisima Upravljanje pri uvnom pohranom Upravljanje odnosima s pru ateljima usluga Upravljanje odnosa s dobavlja ima opreme Upravljanje razvojem IS-a Upravljanje fizi kom sigurno u Upravljanje lozinkama Upravljanje promjenama Upravljanje kontinuitetom poslovanja Upravljanje incidentima i problemima Primjena internih akata vezanih uz IS

59

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom (HNB)

Uprava banke du na je
odrediti lana uprave zadu enog za upravljanje i nadzor IS-a uspostaviti primjerenu org. strukturu, odbore i funkcije (01.07.2008) donijeti strategiju IS-a (01.07.2008) strategiju IS-a razraditi strate kim i operativnim planovima (01.01.2009) donijeti interne akte kojima se ure uje upravljanje IS-om, definirati odgovornosti za nadzor (01.01.2009)
60

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom

Uprava banke du na je
uspostaviti funkciju voditelja sigurnosti IS-a (01.01.2009) imenovati odbor za upravljanje IS-om (01.07.2008) usvojiti metodologiju upravljanja projektima (01.01.2009)

61

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom

Banka je du na
uspostaviti proces upravljanja rizikom IS-a (01.01.2009) Metodologiju upravljanja rizikom IS-a (01.01.2009) Dokumentirati rezultate procjene rizika IS-a (01.07.2009) Procijeniti i na prihvatljivu razinu svesti rizike IS-a (01.07.2009) Klasificirati i za tititi informacije prema razini osjetljivosti (01.10.2009) Uprava banke odgovorna je za dono enje prihvatljive razine rizika kojima je izlo en IS (01.01.2009)
62

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom

Unutarnja revizija
Du na je obavljati reviziju IS-a banke (01.01.2009) Usvojiti metodologiju za provo enje revizije IS-a zasnovanu na procjeni rizika, a kojom se odre uju kriteriji, na ini i postupci revizije IS-a banke (01.01.2009)

63

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom

Upravljanje kontinuitetom poslovanja
Klasificirati i za tititi informacije prema razini osjetljivosti (01.10.2009) Banka je du na uspostaviti odre eni proces upravljanja promjenama softverskih komponenti IS-a (01.07.2010) Banka je du na uspostaviti proces upravljanja kontinuitetom poslovanja (01.07.2010) Banka je du na, u skladu s procjenom rizika i na osnovi rezultata analize utjecaja na poslovanje, osigurati raspolo ivost pri uvnoga ra unalnog centra (01.07.2010), itd.

64

Krovne metode i okviri korporativnog upravljanja informatikom

COBIT krovni okvir korporativnog upravljanja informatikom i revizije IS-a

COSO krovni okvir pri procjeni kvalitete internih kontrola ISO 38500:2008 krovna norma korporativnog upravljanja informatikom
1. Odgovornosti i ovlasti upravljanja 2. Strategija IT-a 3. Stjecanje IT-a 4. Upravljanje performansama IT-a 5. Sukladnost propisima i regulativi 6. Human behaviour

65

Pod 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

Opis podru ja Upravljanje sigurno u informacijskog sustava Upravljanje rizicima koje se odnose na IS Upravljanje logi kim i upravlja kim kontrolama pristupa Upravljanje imovinom informacijskog sustava Upravljanje operativnim i sistemskim zapisima Upravljanje pri uvnom pohranom Upravljanje odnosima s pru ateljima usluga Upravljanje odnosa s dobavlja ima opreme Upravljanje razvojem informacijskog sustava Upravljanje fizi kom sigurno u Upravljanje zaporkama Upravljanje konfiguracijama Upravljanje promjenama Plan kontinuiteta poslovanja Plan oporavka nakon ne eljenog doga aja Plan odgovora na incidente Upravljanje za titom od malicioznog koda Primjena internih akata vezanih uz IS

Razina zrelosti 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 1 - Po etno stanje 1 - Po etno stanje 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 3 - Stanje definiranosti 2 - Stanje ponovljivosti 1 - Po etno stanje 2 - Stanje ponovljivosti 2 - Stanje ponovljivosti 1 - Po etno stanje 2 - Stanje ponovljivosti 4 - Stanje mjerljivosti 2 - Stanje ponovljivosti

COBIT metodologija
Svjetski priznati standardi upravljanja IT-om (IT best practices) Svjetski priznati standardi i ciljevi kontrole i revizije IS COBIT 4.1 Control Objective for Information and related Technology Smjernice za analizu, mjerenje i kontrolu primjene IS i IT 34 IT procesa (cilja kontrole ili vo enja IT) svrstana u 4 podru ja
Planiranje i organizacija (PO) Akvizicija i implementacija (AI) Isporuka i podr ka (DS) Nadzor i procjena (ME)

34 cilja kontrole i 318 vrlo preciznih i detaljnih kontrola i uputa za njihovu primjenu (primjer) (www.isaca.org)
67

CobiT - 34 klju na IT procesa (.pdf)

PLANIRANJE I ORGANIZACIJA (PO) PO1 Strate ko planiranje IS PO2 Definiranje informacijske arhitekture PO3 Odre ivanje tehnolo kih smjernica PO4 Definiranje IT procesa, organizacije i odnosa PO5 Upravljanje IT investicijama i tro kovima (.pdf) PO6 Komuniciranje prema menad mentu PO7 Upravljanje ljudskim resursima PO8 Upravljanje kvalitetom PO9 Upravljanje i procjena rizika PO10 Upravljanje projektima (.pdf) AKVIZICIJA (NABAVA) I IMPLEMENTACIJA (AI) AI1 Odre ivanje mogu ih rje enja AI2 Nabava i odr avanje aplikacijskih programa AI3 Nabava i odr avanje tehnolo ke arhitekture AI4 Kori tenje i funkcionalnost rada (obrade) AI5 Nabava IT resursa AI6 Upravljanje promjenama (.pdf) AI7 Instalacija i odobravanje rje enja i promjena ISPORUKA I POTPORA (DS) DS1 Definiranje i upravljanje razinama usluga DS2 Upravljanje vanjskim uslugama DS3 Upravljanje perfomansama i kapacitetom DS4 Osiguranje kontinuiteta usluga DS5 Sigurnost sustava DS6 Odre ivanje i dodjela tro kova DS7 Izobrazba i trening korisnika DS8 Podr ka korisnicima DS9 Upravljanje konfiguracijom DS10 Upravljanje problemima i incidentima DS11 Upravljanje podacima DS12 Upravljanje pomo nom opremom DS13 Upravljanje operacijama (obradom) NADZOR I PROCJENA (ME) ME1 Nadzor i procjena IT performansi ME2 Nadzor i procjena internih kontrola ME3 Sukladnost s zakonskim i drugim normama 68 ME4 Korporativno upravljanjem IT-om

COBIT metodologija
CobiT menad mentu predo ava jasniju sliku funkcioniranja informacijskog sustava i cjelokupne informatike na na in da:
jasno odre uje i detaljno opisuje klju ne informati ke procese (34 procesa svrstana u 4 podru ja), jasno odre uje obveze i podru ja odgovornosti (RACI tablica za svaki od tih procesa odre uje tko je odgovoran, tko provodi kontrolu, a koga samo treba konzultirati prije dono enja odluke, odnosno informirati nakon), jasno odre uje ciljeve nadzora i kontrole (CobiT kontrolni ciljevi), odre uje ciljeve i metrike uspje nosti informati kih procesa (modeli zrelosti): KPI klju ni indikatori performansi (engl. Key Performance Indicators), KGI pokazatelji ostvarenja ciljeva (engl. Key Goal Indicators), KRI klju ni pokazatelji rizika (engl. Key Risk Indicators), pokazatelji ostvarenja zacrtanih aktivnosti (engl. IT activity goals) model zrelosti za svaki poslovni proces (ocjene od 0 do 5) i itav sustav kojima se mogu mjeriti performanse informati kih procesa i procijeniti njihovu u inkovitost u odnosu na poslovne ciljeve.
69

CobiT i upravljanje IT rizicima

70

CobiT i upravljanje IT rizicima (PO9)

71

Izvedene metode i okviri revizije IS-a

Prema podru jima provjere razlikujemo sljede e izvedene standarde strate kog upravljanja IS-om: upravljanje razvojem poslovnih informacijskih sustava (CMMI, TickIT,...), upravljanje informati kim uslugama (ITIL) upravljanje ulaganjima u informatiku (Val IT) upravljanje informati kim rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005) upravljanje sigurno u poslovnih informacijskih sustava (obitelj ISO 27000 normi, NIST, SANS, IS3) upravljanje projektima (Prince 2, PMBOK) upravljanje kontinuitetom poslovanja (BS 25999)
72

Izvedene metode i okviri revizije IS-a

Val IT inicijativa (www.isaca.org/valtit) - pobolj anje upravljanja ulaganjima u informatiku (3 podru ja, 40-ak procesa) ITIL okvir (ISO 20000 norma) (www.itil.org.uk) - upravljanje informati kim uslugama (5 podru ja, 20-ak procesa) Risk IT metodologija (www.isaca.org/riskit) - upravljanje informati kim rizicima (3 podru ja, 20-ak procesa) Obitelj ISO 27000 normi (ISO 27001 ISO 27008) - ciljana unaprje enja sustava sigurnosti informacija (ISO 27001 11 podru ja i 40-ak procesa) Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja operativnim rizicima (11 podru ja) Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima PMBOK pobolj anje prakse upravljanja projektima PCI DSS (engl. Payment Card Industry Data Security System) regulatorna pravila sigurnog i pouzdanog baratanja s podacima u 73 karti arskoj industriji. (primjer primjene .ppt)

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom

Unutarnja revizija
Du na je obavljati reviziju IS-a banke (01.01.2009) Usvojiti metodologiju za provo enje revizije IS-a zasnovanu na procjeni rizika, a kojom se odre uju kriteriji, na ini i postupci revizije IS-a banke (01.01.2009) (odluka.doc)

74

Zrakoplovna kompanija ComAir, 2004 (.ppt)

 Otkazao transakcijski IS zrakoplovne kompanije za vrijeme bo i nih blagdana 2004. (izme u 22. i 24. prosinca otkazano 91% letova)  Taj se sustav sastojao od prastarih IBM-ovih AIX poslu itelja. Sustav nije otkazao zbog starosti poslu itelja nego zbog SBS-ova softvera koji nije bio predvi en za vi e od 32.000 odgoda letova, koliko ih je bilo tog mjeseca zbog brojnih oluja  Normalno funkcioniranje uspostavljeno 29.12.  Problemi: Tisu e Amerikanaca bo i ne je blagdane provelo ekaju i u zra nim lukama, tete, tu be, naru en ugled.  Epilog: 3900 letova otkazano, 200.000 putnika izgubljeno, 20 milijuna USD izravne financijske tete, velika teta gubitkom poslovnog ugleda  Razlozi? Odgovornosti?

Potreba za korporativnim upravljanjem rizicima

 Rizik neisplativih ulaganja u informatiku (annual value destruction)
 IBM Fortune CIO 1000 survey (2004) : 40% of IT costs do not deliver business value

 Rizik neuspje ne provedbe informati kih projekata (Gartner, Standish Group)

 Gartner (2002) firms waste $600bn each year on ill-conceived IT projects  Standish Group (2004) 29% of IT projects (initiatives) successfull

 Rizik prekida ili ote anog funkcioniranja poslovanja (poslovnih procesa)

 Disaster recovery Institute (2007): 93% of companies that experince a downtime with no BCP quit functioning within 5 years. 50% of companies that lost their business critical processes for more than 10 days never recover

 Rizik napada na imovinu informacijskog sustava  Rizik kra e osjetljivih podataka, tehnolo ki rizici  Rizik provedbe promjena, rizik rastu e slo enosti informacijskih sustava

Korporativno upravljanje i informatika

Koja je uloga (pozicija) informatike u poslovanju? Kako (koliko) u informatiku ulo iti? Koliki je povrat ulaganja (ROI)? to je zadatak / cilj informatike u poslovanju? Koji su prioritetni IT projekti? Znamo li njihov doprinos poslovanju? Koje poslovne ciljeve podr ava informatika? Tko je odgovoran za funkcioniranje informatike? Tko i kako donosi odluke koje se ti u informatike? Tko i kako kontrolira informatiku? Tko i odre uje / kontrolira informati ke rizike? Je li nam IT/IS va na u poslovanju? Za to i u kojoj mjeri nam treba IT/IS? Mo emo li bez IT/IS? Koliko dugo? itd. .
SSSR USA Nike MFI Sainsbury Adidas Airbus Rije ka banka ZSE UK Passport Agency London Ambulance LA Airport UK Home Office

Korporativno upravljanje i informatika Mo emo li bez informatike? Koliko dugo?

Prosje an gubitak uslijed prekida odvijanja poslovnih procesa na 1h: investicijsko posredni tvo 6,5 milijuna USD karti arsko poslovanje (autorizacija kreditnih kartica) oko 2,6 milijuna USD, Logistika i paketna distribucija oko 150.000 USD Rezervacijski sustavi za zrakoplove oko 90.000 USD Fortune 500 lista prosje an gubitak je oko 96.000 USD po MINUTI Vrijeme dostupnosti
99.9999% 99.999% 99.99% 99.9% 99.0% 95.0% 90.0%

Max. vrijeme nedostupnosti u jednoj godini

31.5 sekundi 5 minuta i 35 sekundi 52 minuta i 33 sekunde 8 sati i 46 minuta 87 sati i 36 minuta 18 dana i 8 sati 36 dana i 12 sati

to je korporativno upravljanje informatikom (IT Governance)? Skup tehnika i metoda kojima korporativna tijela i izvr ni menad ment 'ovladavaju' primjenom informatike u poslovanju, odlukama o ulaganjima u informatiku, performansama i rizicima njezina kori tenja, ali i preuzima odgovornost za kontrolu provedbe informati kih procesa i svih aktivnosti

IT Governance korporativno upravljanje informatikom

Izvr ni menad ment i najvi a tijela upravljanja kompanijom postaju odgovorna za sva va na pitanja upravljanja informatikom, poput: dono enje i implementacije strategije informatike, vrsto povezivanje strategije poslovanja i strategije informatike, odnosno odre ivanje optimalne uloge informatike u poslovanju, dono enje metrika kojima se mjeri utjecaj informatike na poslovanje i mjeri poslovna vrijednost informatike, korporacijsko i sveobuhvatno upravljanje informati kim rizicima, u inkovito upravljanje informati kim projektima i ulaganjima, i odgovornost za u inkovitost sustava informati kih kontrola.

Komponente korp. upravljanja informatikom

Komponente korp. upr. informatikom Strategija informatike

Koja je uloga informatike u poslovanju? Strate ko planiranje informacijskih sustava (SPIS) Plan za razvoj IS koji trebaju u inkovito podr avati strate ke ciljeve poslovanja i omogu iti njihovo ostvarenje Skladan brak poslovnih ciljeva i IT ciljeva Uskla enje poslovne strategije i IS strategije

Kako odrediti strategiju informatike?

Komponente korporativnog upravljanja informatikom - IT rizici

Rizici koji proizlaze iz intenzivne uporabe informacijskih sustava i tehnologije kao va ne podr ke odvijanju i unaprje enju poslovnih procesa i poslovanja uop e Opasnosti i prijetnje da intenzivna primjena informatike mo e uzrokovati ne eljene ili neo ekivane posljedice i mo ebitne financijske i druge tete unutar organizacije ali i njezinog neposrednog i ireg okru enja teta: materijalna i financijska, izravna ili neizravna

Upravljanje rizicima
Sistemati an analiti ki proces kojim organizacija otkriva (pronalazi), prepoznaje (identificira), umanjuje (reducira) i nadzire (kontrolira) potencijalne rizike i gubitke kojima je izlo ena Taj proces omogu uje organizacijama utvr ivanje veli ine (ozbiljnosti, te ine, razmjera) i u inaka potencijalnih gubitaka, vjerojatnosti da e se takav gubitak eventualno i dogoditi te protumjera koje mogu djelovati na smanjenje vjerojatnosti ili veli ine gubitka Rizik = F (imovina, prijetnja, ranjivost)

Rizik = f (Imovina, prijetnja, ranjivost)

Rizik = F (imovina, prijetnja, ranjivost) Prijetnja mogu nost ili namjera neke osobe da poduzme akcije koje nisu u skladu s ciljevima organizacije Ranjivost - svaka slabost bilo kojeg dijela imovine ili neke za titne mjere Imovina sve to tvrtka posjeduje i to za nju ima neku poslovnu vrijednost

Vrste IT rizika
Corporate level IT risks
Strat. IT plan, IT project management praksa, IT politike, procedure, pravilnik o sigurnosti IS, politika IT ulaganja, rizik nepo tivanja standarda, zakonskih obveza, rizik IT ovisnosti o dobavlja ima, rizici iz vanjskog okru enja, rizik IT projekta, itd.

Process-level IT risks (op i IT rizik)

Razvoj i kupnja aplikacija, promjena softvera, pristup programima i podacima, sigurnosni rizici, rizik neprekidnosti poslovanja (business continuity), rizik oporavka nakon prekida rada (disaster recovery), itd.

Aplikacijski IT rizici i rizici IT servisa

Rizici provedbe IT operacija (jesu li transakcije to ne, potpune, cjelovite, podjela du nosti i kontrola, autorizacija, itd.) i rizici IT servisa (dostupnost i funkcionalnost mre e, podataka, itd..) (primjer rizik IT servisa ITIL)

Razrada scenarija IT rizika

Primjer scenarija Obja njenje potencijalne tete IT rizika Ovla teni korisnici Korisnici imaju pristup podacima, mogu pregledavati izvode i mijenjati va ne podatke, manipulirati radom nedozvoljene sustava aktivnosti Prekid rada sustava i servisa Nepotpuna obrada poslovnih transakcija Neuspje na provedba projekata Kra a osjetljive ili kriti ne imovine Prekid rada sustava mo e nastati radi pogre ne opreme, pogre aka u aplikacijama ili podacima, a mo e uzrokovati prekid obavljanja kriti nih poslovnih procesa i gubitak va nih podataka Neotkrivena pogre na ili nepotpuna obrada poslovnih transakcija mo e utjecati na financijske izvje taje i smanjiti kvalitetu odlu ivanja Projekti nisu dovr eni na vrijeme, unutar predvi enog bud eta i nemaju sve unaprijed dogovorene funkcionalnosti Kra a ra unala i opreme na kojima se nalaze povjerljivi i osjetljivi podaci Potencijalni gubitak 100.000 kn 'Ozbiljnost' doga aja I

500.000 kn

130.000 kn

300.000 kn

25.000 kn

II

Primjer odre ivanja rizika ABN-AMRO

Analiza utjecaja na poslovanje (BIA)

RTO (engl. Recovery Time Objective) vrijeme neraspolo ivosti poslovnih procesa i osnovna mjera kriti nosti poslovnih procesa RTO - maksimalno dozvoljeno vrijeme neraspolo ivosti poslovnog procesa (engl. Maximum Tolerable Downtime - MTD) RPO = 1h organizacija je spremna izgubiti sve podatke koji su nastali unutar jednog sata prije ne eljenog doga aja

Matrica IT rizika
Razina 'ozbiljnosti' ne eljenog doga aja I (visoka) II III IV (niska)
Rizik 1 - neprihvatljiv, kriti an, vrlo mogu i zahtijeva trenutnu reakciju najvi ih razina menad menta Rizik 2 - neprihvatljiv, zahtijeva korektivnu akciju i izravno uklju ivanje (vi eg) menad menta Rizik 3 - prihvatljiv uz pra enje i izvje tavanje menad mentu Rizik 4 - prihvatljiv bez 'uplitanja' menad menta

Vjerojatnost nastanka doga aja (ranjivost sustava) A B C D E

Matrica rizika
Razina rizika Vrlo visoka V je r o ja tn o s t Visoka Srednja Niska Vrlo niska 5 4 3 2 1 Vrlo nizak 10 8 6 4 2 Nizak 12 9 6 3 Srednji U inak 12 8 4 Visok 10 5 Vrlo visok >9 7-9 5-6 3-4 1-2 Opis Vrlo visok rizik Visok rizik Sredni rizik Mali rizik Vrlo mali rizik

Opis incidenta (a) Incident A Incident B Incident C Incident D Incident E Incident F

Vrijednost utjecaja (imovine) (b) 5 2 3 1 4 2

Vjerojatnost ostvarenja (c) 2 4 5 3 1 4

Mjera rizika (d) d=bxc 10 8 15 3 4 8

Rangiranje incidenta (e) 2 3 1 5 4 3

Komponente IT Governance-a IT kontrole

Klju ni aspekti kontrole informacijskih sustava

Kontrola je sustav, to zna i da obuhva a skup uzajamno povezanih (interagiraju ih) komponenata koje, djeluju i jedinstveno i uskla eno, potpoma u ostvarivanje utvr enih ciljeva informacijskog sustava. Kontrola se usmjerava na ne eljene doga aje ili procese u informacijskom sustavu. Ne eljeni doga aj mo e nastati, a proces biti aktiviran zbog neovla tenih, neto nih, nepotpunih, redundantnih, nedjelotvornih ili neu inkovitih ulaza u sustav. Kontrole se primjenjuju zato da bi se sprije ili (prevenirali), otkrili (detektirali) ili ispravili (korigirali) ne eljeni doga aji i/ili procesi.

Kontrola kao komponenta upravljanja

Upravljati sustavom zna i poduzimati odgovaraju e mjere kako bi se osiguralo da sustav djeluje (funkcionira) na eljeni na in. Kontrolom se utvr uje kakve mjere treba poduzimati da bi se ostvarili utvr eni ciljevi upravljanja Kontrola je sustav kojim se sprje avaju, otkrivaju i ispravljaju ne eljeni doga aji i procesi u informacijskom sustavu Kategorizacija kontrola:
Sa stajali ta objekta na koji se primjenjuju
Op e informati ke kontrole Aplikacijske kontrole

Sa stajali ta hijerarhijske pozicije

Kontrole na korporativnoj razini Kontrole na izvr noj razini upravljanja Kontrole na operativnoj razini upravljanja

Sa stajali ta svrhe
Preventivne Detektivne Korektivne

Kontrole IS-a na korporativnoj razini

Korporativne kontrole (planiranje, organiziranje, vo enje i kontrola IS-a, politika ulaganja, prioritetni projekti, strategija IS-a) Kontrole aktivnosti IS-a (kontrole ivotnog ciklusa IS-a, dokumentacijski standardi, metodolo ki standardi, standardi u inaka IS-a) Kontrole provedbe sigurnosne informacijske politike

95

Sigurnosna informacijska politika

Sigurnosna informacijska politika je odraz svijesti i volje organizacije za za titom informacijskih sadr aja i resursa od njihova uni tenja, degradacije i/ili zloporabe To se u praksi prevodi u skup organizacijskih pravila i postupaka to u svojoj ukupnosti ine normativni okvir sigurnosne informacijske politike u organizaciji
96

Osnovna pitanja koja treba urediti sigurnosnom informacijskom politikom

Tko ima dozvolu za kori tenje informacijskih resursa? Tko ima ovlasti za administriranje sustava? Koja su prava i obveze administratora sustava? Tko dodjeljuje ovla tenja za kori tenje resursa informacijskog sustava? Koji su dopu teni na ini kori tenja resursa informacijskog sustava? Koja su prava i odgovornosti korisnika sustava? Tko ima pravo preno enja ovla tenja? Kako se postupa s osjetljivim informacijama?
97

Kontrole na izvr noj upravlja koj razini

Kontrole u postupku razvoja i uspostavljanja IS-a (kontrole metodologije razvoja softvera) SAS 70 izvje taj Kontrole promjena aplikacija Kontrole isporuke aplikacija Kontrole podataka (pristup bazama, konverzija, pristup OS-u, ) Sigurnosne upravlja ke kontrole

98

Primjeri testova kontrole podataka

*SECOFR, *ALLOBJ, *NOMAX (password), *PUBLIC, *SECADM, LMTCPB (bez ograni enja ovlasti promjene) *AUDIT, *ALLOBJ SPCAUT QPWDEXPITV (*NOMAX - kada istje e lozinka), QPWD PRTSYSSEC, DSPUSRPRF, CHGUSRPRF *PUBLIC (*SECADM), CRTUSRPRF, CHGUSRPRF, DLTUSRPRF QSECURITY >=30 QAUDLVL (*CREATE, *DELETE) log tests ORACLE DBlog
99

Sigurnosne upravlja ke kontrole

Teorija upravljanja sigurno u informacijskih sustava i procesa ne zagovara potrebu iznala enja na ina uspostavljanja apsolutne ve odr ive i ekonomski opravdane razine sigurnosti informacijskih sustava i procesa ISO 27001 norma:
Politika informacijske sigurnosti Organizacija informacijske sigurnosti Upravljanje imovinom Sigurnost ljudskog potencijala Fizi ka sigurnost i sigurnost okru enja Upravljanje komunikacijama i operacijama Kontrola pristupa Nabava, razvoj i odr avanje informacijskih sustava Upravljanje sigurnosnim incidentima Upravljanje kontinuitetom poslovanja Sukladnost

100

Upravlja ke kontrole
Osnovni je zadatak revizora pri istra ivanju upravlja kih kontrola kojima se podvrgava informacijski sustav ocijeniti radi li menad ment svoj posao dobro. Revizor mora ste i potpuni uvid u unutarnju kontrolnu strukturu organizacije koju istra uje, a upravlja ke kontrole ine va an segment te strukture. Zato revizor mora dobro razumjeti bit upravlja kih kontrola relevantnih sa stajali ta ciljeva koje eli ostvariti. Temeljem uvida u prakticirane upravlja ke kontrole revizor mora donijeti odluku o tome ho e li se u svome radu pouzdati i oslanjati na njih ili ne.

Aplikacijske kontrole
Svrha je aplikacijskih kontrola osigurati da svaki pojedina ni aplikacijski sustav, kao podsustav cjelokupnog informacijskog sustava tvrtke, te i o uvanju imovine tvrtke i integriteta podataka, te djelotvornom i u inkovitom ostvarivanju zacrtanih op ih i pojedina nih ciljeva

Svrha kontrole informacijskog sustava

Op a je svrha kontrole smanjenje o ekivanih gubitaka do kojih bi do lo kod pojave ne eljenih doga aja ili ostvarenja ne eljenih procesa u sustavu. Kontrola djeluje na dva na ina:
Preventivnom se kontrolom smanjuje vjerojatnost ne eljenih doga aja i/ili procesa. Detektivnim i korektivnim kontrolama smanjuje se veli ina (iznos) gubitka koji bi nastao zbog ne eljenih doga aja i/ili procesa.

Vrste kontrola IS
Upravlja ke kontrole (politike kompanije, na in i stil vo enja, strate ki plan IT, organizacija posla, na in razmjene informacija, ) Op e IT kontrole (cilj: siguran, pouzdan i neometan IS)
U inkovitost i provedba sigurnosne politike IS Procjena sustava internih kontrola, Kontrole vo enja i organiziranja IS Kontrole pri razvoju IS, Kontrole pri promjeni postoje eg IS (softvera) Kontrole pri redovitom radu IS i opreme Kontrole pristupa podacima i programima Osiguravanje kontinuiteta poslovanja Fizi ke sigurnosne kontrole, Logi ke sigurnosne kontrole Kontrole rada IS (podjela du nosti) Kontrole podataka, kontrole obrade podataka Komunikacijske kontrole, U/I kontrole Potpunost To nost Autorizacija Validacija Podjela posla
104

Aplikacijske kontrole (cilj: otkriti/sprije iti neautorizirane transakcije)

Vrste kontrola IS
Sigurnosne kontrole
Fizi ke i logi ke kontrole Kontrole pristupa Kontrole pra enja Kontrole pregleda stanja Penetrating tests kontrole

Kontrole neprekidnosti
Backup kontrole Backup podataka Backup hardvera Kontrole oporavka nakon ne eljenog doga aja

Informacijske (podatkovne) kontrole

Kontrole ulaza Procesne kontrole Kontrole baza podataka Izlazne kontrole Kontrole aplikacije

105

Primjer ITIL implementacije (ISO 20000)

KPIs for ITIL process Incident Management Prosje no vrijeme za rje avanje incidenata % od ukupnog broja incidenata koji su se rije ili na prvoj razini podr ke % od ukupnog broja incidenata koji su imali velik negativan utjecaj na usluge % od ukupnog broja incidenata koji su se zaprimili mimo Slu be podr ke (Service Desk) KPIs for ITIL processes Change Management and Release Management % od ukupnog broja CI s pogre nim atributima za provjeru % od ukupnog broja CI koji su pohranjeni u bazi podataka % od ukupnog broja CI iji se atributi automatski a uriraju Prije ITIL 36 min. 18% Poslije ITIL 24 min. 37% KPIs for ITIL process Problem Management Broj velikih (kriti nih) problema Broj ponavljaju ih problema Prosje no vrijeme potrebno za dijagnostiku i otkrivanje uzroka % od broja rije enih problema proaktivno ili reaktivno Prije ITIL 22 11 4,5 h 20% proakt., 80% reakt. Poslije ITIL 7 8 3,5 h 45% proakt, 55% reakt

22%

20%

16%

5%

KPIs for ITIL process Configuration Management Poslije ITIL 25% 70% 55% % promjena realiziranih kao planirano % promjena koje nisu potvr ene % hitnih promjena to je bilo

Prije ITIL 25% 95% 60% 18% 22% 13% 32%

Posli je ITIL 80% 10% 35% 6% 8% 10% 20%

Prije ITIL 65% 10% 10%

% neuspje no realiziranih promjena % kori tenja neautoriziranog softvera % pogre nih isporuka % hitnih isporuka

Za to IT projekti ne uspijevaju?
2002 Gartner 20% projektnih tro kova su nepotrebni, rasipni (annual value destruction 600 milijardi USD) 2004 IBM Fortune 1000 CIO anketa 40% projektnih tro kova nisu donijeli nikakvu korist organizaciji 2004 Standish Group Report 29% projekata je uspje no Standish Group The Chaos Report: 80-90% projekata ne posti e u inke zbog kojih su pokrenuti, 80% projekata prekora i planirano vrijeme i cijenu, 40% projekata se napusti, u manje od 25% projekata na dobar na in se ostvare i poslovni i tehni ki ciljevi, samo 10-20% projekata su stvarno uspje ni projekti

Za to IT projekti ne uspijevaju?
Pomanjkanje resursa U projekt nisu bili uklju eni odgovaraju i korisnici Pomanjkanje potpore mened menta Otpori projektu Lo a analiza organizacije Neuskla enost s promjenama u okolini Neuskla enost projekta s poslovnim planovima Nejasna odgovornost za provedbu projekta Lo odabir IT alata Lo e predstavljanje rezultata 24,7% 18% 12,4% 10,1% 7,9% 6,7% 6,7% 6,7% 3,3% 3,3%

Samo 30% projekata uspje no

1. Informacijska sigurnosna politika 2. Organizacija informacijske sigurnosti

2.1. Unutarnja informacijska sigurnost 2.2. Vanjski suradnici

ISO 27001:2005
7. Kontrola pristupa
7.1. Poslovni zahtjevi i politika kontrole pristupa 7.2. Upravljanje korisni kim pristupom 7.3. Odgovornosti korisnika 7.4. Kontrola pristupa ra unalnoj mre i 7.5. Kontrola pristupa operacijskom sustavu ra unala 7.6. Kontrola pristupa poslovnim informacijama i aplikacijama 7.7. Uporaba prenosive opreme i rad na daljinu

3. Upravljanje informacijskim resursima (imovinom) i klasifikacija informacija

3.1. Odgovornost za informacijske resurse (imovinu) 3.2. Klasifikacija informacija

4. Informacijska sigurnost i privatnost zaposlenika

4.1. Sigurnost i privatnost prije zaposlenja 4.2. Sigurnost i privatnost tijekom zaposlenja 4.3. Prekid ili promjena zaposlenja

8. Nabava, razvoj i odr avanje poslovnog informacijskog sustava

8.1. Sigurnosni zahtjevi informacijskih sustava 8.2. Ispravna obrada u aplikacijama 8.3. Kriptografske kontrole 8.4. Sigurnost sistemskih datoteka 8.5. Sigurnost u procesima razvoja i podr ke 8.6. Upravljanje tehni kom ranjivo u

5. Fizi ka sigurnost i sigurna podru ja

5.1. Sigurna podru ja 5.2. Fizi ka sigurnost opreme

6. Upravljanje komunikacijama i operacijama

6.1. Radne upute i odgovornosti 6.2. Upravljanje pru anjem usluga tre e strane 6.3. Planiranje i prihva anje sustava 6.4. Za tita od zlo udnog i prenosivog koda 6.5. Sigurnosne kopije 6.6. Upravljanje sigurno u ra unalnih mre a 6.7. Rukovanje medijima (nositeljima podataka) 6.8. Razmjena informacija 6.9. Usluge elektroni ke trgovine 6.10. Nadzor

9. Upravljanje sigurnosnim incidentom

9.1. Izvje ivanje o sigurnosnim doga ajima i slabostima 9.2. Upravljanje sigurnosnim incidentima i pobolj anjima

10. Upravljanje kontinuitetom poslovanja 11. Sukladnost

11.1. Sukladnost sa zakonskim propisima 11.2. Sukladnost sa sigurnosnim politikama i standardima i tehni ka sukladnost 11.3. Razmatranja revizije informacijskih sustava

109

ISO 27001:2005
ISO 27001 sadr i 36 sigurnosnih ciljeva i 127 sigurnosnih kontrolnih mjera podijeljenih u 10 domena:
1. Sigurnosna politika (Zahtjevi uprave za unaprje ivanjem infromacijske sigurnosti) 2. Organizacijska sigurnost (Omogu avanje upravljanja informacijskom sigurno u unutar organizacije) 3. Klasifikacija i kontrola resursa (Provo enje inventara informacijskih resursa i njihove za tite) 4. Osoblje kao element informacijske sigurnosti (Smanjivanje rizika mogu nosti ljudske pogre ke, kra e, prijevare i o te ivanja resursa na prihvatljivu razinu) 5. Fizi ka sigurnost i za tita od utjecaja okoline (Sprje avanje uni tavanja, propadanja i prekida funkcioniranja sredstava i podataka) 6. Upravljanje komunikacijama i aktivnostima kao elementima informacijske sigurnosti (Osiguravanje prikladnog i u inkovitog rada ure aja za procesiranje informacija) 7. Kontrola pristupa (Kontrola pristupa informacijama i resursima) 8. Razvoj sustava i njihovo odr avanje (Osiguravanje ugra enosti sigurnosti u informacijske sustave) 9. Upravljanje kontinuiranosti poslovanja (Smanjivanje utjecaja prekida poslovanja na prihvatljivu razinu i za tita klju nih procesa organizacije od prekida i propasti) 10. Sukladnost s pravnom legislativom (Spre avanje mogu nosti kr enja zakona, statutornih ili ugovornih obveza i sigurnosnih zahtjeva)

110

ISO 27001:2005

111

ISO 27001:2005
Vrsta organizacije Veli ina organizacije Manje od 200 zaposlenih Primarni cilj uvo enja ISMS-a Na in uporabe norme ISO 27001

Manja organizacija

Srednja organizacija

Manje od 5000 zaposlenih Vi e od 5000 zaposlenih

Velika organizacija

Norma sadr i sigurnosne teme koje je potrebno Podizanje shva anja obraditi kao dio uprave o va nosti informacijske sigurnosti u inkovitog upravljanja organizacijom Kreiranje prikladne Norma sadr i zahtjeve korporativne sigurnosne koje je potrebno ugraditi kulture u poslovanje Striktno pridr avanje norme kako bi se Postizanje certifikacije izgradio u inkovit ISMS

Primjeri primjene: Data storage security (.ppt)

112

ISO 27001:2005

113

Novi standardi
ISO 27000 Principles and Definition

BS 7799-2:2002 ISO 17799:2000

ISO 17799:2005 ISMS Code of Practice

ISO 27001:2005 ISMS Requirements ISO 27002 ISMS Code of Practice ISO 27003 Implementation Guidelines ISO 27004 ISMS Measurement BS 7799-3:2006 Risk Management ISO 27005 Risk Management
114

ISO 27000 standardi

ISO/IEC 27000:2009 - uvid u ISO/IEC 27000 grupu standarda kao cjelinu, ISO/IEC 27001:2005 model za uspostavu, provedbu, upravljanje, pra enje, preispitivanje, odr avanje i pobolj avanje ISMS-a ISO/IEC 27002:2007 kodeks postupaka za ISMS, ISO/IEC 27003 vodi za implementaciju ISMS-a, ISO/IEC 27004 mjerenje i metrika efikasnosti ISMS-a, ISO/IEC 27005:2008 upravljanje rizicima ISMS (BS 7799-3), ISO/IEC 27006:2007 vodi za registraciju procesa kod ovla tenih ISMS tijela za registraciju, ISO/IEC 27007 e biti vodi za reviziju ISMS-a,

ISO 27000 standardi (nastavak)

ISO/IEC 27008 uputstvo za reviziju kontrola informacijske sigurnosti, ISO/IEC 27010 - vodi za ISMS u komunikacijama, ISO/IEC 27011:2008 - vodi za ISMS u telekom kompanijama, ISO/IEC 27013 vodi za implementaciju, odnosno uvo enje standarda ISO/IEC 20000 (ITIL) i ISO/IEC 27001 (ISMS), ISO/IEC 27014 - obuhvatit e informacijsku sigurnost upravljanja, ISO/IEC 27015 vodi za uvo enje ISMS-a u financijskim organizacijama, ISO/IEC 27031 standard usmjeren na ICT radi odr avanja normalnog poslovanja, ISO/IEC 27032 pru a smjernice za cyber sigurnost, ISO/IEC 27033 zamjena za zastarjeli standard ISO/IEC 18028 vezano za sigurnost mre a informacijskih sustava, ISO/IEC 27035 - zamjena za standard ISO/TR 18044 vezano za upravljanje sigurnosnim incidentima, ISO/IEC 27036 vodi za odr avanje adekvatne razine sigurnosti prilikom anga iranja vanjskih imbenika unutar projekata, ISO/IEC 27037 vodi za digitalne dokaze u projektima, ISO 27799:2008 osigurava vodi za uvo enje ISMS-a u zdravstveni sektor na temelju standarda ISO/IEC 27002:2007.

Hvala na pozornosti Pitanja, komentari, prijedlozi, sugestije

mspremic@efzg.hr www.efzg.hr/mspremic