440 likes | 700 Views
Pomoć informatičkih i računalnih stručnjaka u provedbi revizije Prof. dr. sc. Mario Spremić, dipl. inž, CGEIT Ekonomski fakultet Zagreb Katedra za informatiku www.efzg.hr/mspremic mspremic@efzg.hr. Teme. Računalni programi u provedbi revizije (CAAT alati)
E N D
Pomoć informatičkih i računalnih stručnjaka u provedbi revizije Prof. dr. sc. Mario Spremić, dipl. inž, CGEIT Ekonomski fakultet Zagreb Katedra za informatiku www.efzg.hr/mspremic mspremic@efzg.hr
Teme Računalni programi u provedbi revizije (CAAT alati) Primjena računalne podrške pri provedbi analitičkih testova Provedba revizije informacijskih sustava Metodologije i regulativa revizije informacijskih sustava (CobiT, ISO 27001, Sarbanes-Oxley, Basel II, ..)
Informacijske tehnologije (alati i tehnike) koje pomažu u pojedinim fazama provedbe revizije CAATTs – (Computer Assisted Audit Tools and Techniques) – računalom podržane tehnike i alati revizije CAATTs – (Computer Assisted Audit Tools and Techniques) – skup alata i tehnika koji se koriste u postupcima (bilo koje) revizije s ciljem efikasnijeg rada revizora i poboljšanja rezultata njihova rada Softver kojega revizori koriste kako bi njihov rad bio brži, točniji i efikasniji (analize podataka, provedba testova) Alati koje revizori koriste kako bi postupci revizije bili učinkovitiji i efikasniji - CAATs – (Computer Assisted Audit Tools) Računalni programi (računalno podržani alati i procedure) koji se koriste u reviziji pri provedbi analitičkih testova
Opći (generalizirani) revizijski softver • ACL • Komercijalni softver • Revizorski ekspertni sustavi • Pomoćni softver • Statistički softver Alati koji pomažu u revizijskim postupcima (CAA Tools) Alati za unaprjeđenje produktivnosti e-dokumentacija, sustavi za komunikaciju, groupware, suradnički sustavi, intranet, referentne datoteke, upravljanje dokumentacijom, softver za upravljanje projektima, softver za upravljanje vremenom Specijalizirani revizijski softver (pojedine djelatnosti, revizija informacijskih sustava, provjera sigurnosti, procjena sigurnosti mreže, forenzične revizije, itd.)
Tehnike koji pomažu u revizijskim postupcima (CAA Techniques) Tehnike za provjeru integriteta aplikacija Sustavi za testiranje točnosti Paralelne simulacije Testiranje cjelovitosti obrade Ugrađeni revizijski moduli (embedded audit modules) Analiza algoritma i programskog koda… Tehnike za provjeru integriteta podataka Tehnike izdvajanja podataka Test podaci Tehnike otkrivanja pogrešaka Tehnike provedbe neprekidne revizije (continuous auditing techniques)
Ciljevi korištenja CAAT-a za rad s aplikacijama Jesu li podaci korektno obrađeni i korišteni (prijenos salda-konti – glavna knjiga)? Jesu li su evidencije korektno obrađene (konta)? Jesu li su u transakcijskim bazama vidljivi učinci provedbe transakcija (promjene nastale izvršavanjem aplikacija – poslovnih procesa)? Jesu li isti podaci na početku poslovanja i na početku programa? Kakav je pristup sustavu/aplikaciji? Je li aplikacija / program bio mijenjan? Je su li ulazni podaci potvrđeni i ispravni? Postoji li ugrađeni revizijski modul?
Ciljevi korištenja CAAT-a za rad s podacima Jesu li podaci cjeloviti? Uzorkovanje, analiza podataka, izvješćivanje Sortiranje kontrola – traženje propusta u sortiranju (matični broj kupca, broj računa, ..), traženje ‘rupa’ u sekvencijalnim podacima Evidencija duplikata (‘duplicate key’ test) ‘gap detection’ kontrola – traženje ‘rupa’ u nizovima brojeva Usporedba podataka Ispitivanje i kontrola sadržaja podataka Alati ispitivanja: ‘data mining’, slojevitost, stratifikacija, traženje iznimki (praznina, duplikata, ..), uzorkovanje, .. Potvrđivanje ispravnosti i cjelovitosti podataka
CAATT – koraci primjene Postaviti ciljeve revizije Odrediti koji CAAT alati i tehnike mogu pomoći ostvarenju ciljeva revizije Odrediti koje podatke i datoteke trebamo od klijenta Odrediti format podataka primitka podataka Zatražiti podatke od klijenta Ubaciti podatke (‘import’) u revizijski softver (npr. ACL, IDEA) Koristiti CAAT za provjeru cjelovitosti prijenosa podataka Obaviti specifične CAAT obrade kojima se postižu ciljevi revizije Istražiti iznimke Dokumentirati rezultate
Opći revizijski softver Najčešće korišten Osnovna funkcija –pristup svim vrstama i bazama podataka (uz prethodno pisano odobrenje klijenta!) odabir podataka obzirom na ciljeve testiranja, stvaranje privremenih datoteka, statističke analize odabranih podataka i izvještavanje o rezultatima Osnovna svrha - prikupljanje dokaza vezanih uz djelotvornost izvršavanja postupka kontrole ali i dokaza o težini grešaka u bilancama i o vrstama transakcija Upiti nad podacima Nepovredivost izvornih podataka Omogućuju provedbu samo naknadne, a ne i tekuće revizije
Primjena CAA alata i tehnika Samostalno testiranje (točnost i ispravnost transakcija – aplikacija i podataka) Metode (append, count, summarize, join, index/sort, duplication detection, selection, gaps, stratification, horizontal analysis, trend analysis, regression, corelation, rounded values, pivoting, sampling, BL) Odabir uzorka Nasumično uzorkovanje Intervalno uzorkovanje Slojevito nasumično uzorkovanje Monetarno jedinično uzorkovanje Ispitivanje regulatorne podudarnosti Stratifikacija – slojevi podataka temeljeni na nekom pre-definiranom pravilu (count, sum, partial sum, percentage, najmanji, najveći….) Metode provjere (revizije) podataka Provjera duplikata Provjere zaokruživanjem (multiplikatori broja 5 ili 10)
Primjena CAA alata i tehnika – Benford law Benfordov zakon – vodeća znamenka x (x e [1..b − 1] ) baza b (b ≥ 2) se pojavljuje s vjerojatnošću P(x)=logb(x + 1) − logbx = logb((x + 1)/x) P(z1)=log10(1+1/z1), z1e [1..9]
Primjena CAA alata i tehnika – Benford law Benfordov zakon – vjerojatnost pojavljivanja 2. znamenke P(z2) =
Pravila primjene Benfordovog zakona Brojevi se trebaju odnositi na isti ili sličan uzorak Brojevi ne smiju imati unaprijed određena minimalna ili maksimalna ograničenja Brojevi bi trebali nastati prirodnim slijedom, odnosno ne bi trebali biti dodjeljivani prema nekom algoritmu (‘assigned numbers’) Zakon se ne odnosi na brojeve nastale pod psihološkim utjecajem
Podaci glavne knjige – ukupno 41.564 zapisa • Provjera podataka (Verify) • Benfordova analiza 1. Praktični primjer primjene ACL-a 1/4
Podaci glavne knjige – ukupno 41.564 zapisa • Ravnoteža bruto bilance (‘total field’) • Izdvajanje slogova 1. Praktični primjer primjene ACL-a .. 2/4
5. Klasificiranje 1. Praktični primjer primjene ACL-a .. 3/4
6. Stratificiranje (broj transakcija) 1. Praktični primjer primjene ACL-a .. 4/4
2. Praktični primjer primjene ACL-a Pronalaženje duplikata (JMBG)
3. Praktični primjer primjene ACL-a Pronalaženje praznina (računi, automatske transakcije, itd.)
Primjeri korištenja CAAT (ACL) – broj transakcija u glavnoj knjizi
Primjeri korištenja CAAT (ACL) – provjera kontrola kod obračuna plaća
Definicije pojma revizija IS-a Revizija informacijskih sustava (engl. Information System Audit) - proces provjere uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti i pouzdanosti Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje
Objekt revizije IS-a Objekt revizije IS-a je sustavno, temeljito i pažljivo pregledati kontrole unutar svih dijelova informacijskog sustava, a osnovni zadatak procijeniti njegovo trenutno stanje (zrelost, razinu kvalitete), otkriti rizična područja, procijeniti razinu rizika i dati preporuke menadžmentu za poboljšanje prakse njegova upravljanja. Izvještaj revizora informacijskog sustava se sastoji od sljedećih koraka: opis kompanije, poslovnog okruženja i poslovnih procesa opis metodologije provedbe revizije IS-a analiza stanja (zrelosti) primjene informacijskih sustava u poslovanju prema promatranim područjima procjena poslovnih rizika koji proizlazi iz zatečenog stanja preporuke menadžmentu za poboljšanjem toga stanja odgovor Uprave
Područja provedbe revizije IS-a Provjera funkcionalnosti IS-a – funkcioniraju li svi dijelovi IS-a (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima Provjera pouzdanosti IS-a – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike ili ostale 'uključene' strane nekom riziku Provjera sigurnosti IS-a – postoje li i koja je razina sigurnosnih rizika uporabe IS-a i kakav je njihov učinak na poslovanje Provjera djelotvornosti i učinkovitosti IS-a – mogu li se IS-i koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni IS-i obzirom na potrebe poslovanja Provjera kvalitete upravljanja IS-om i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se koriste pri upravljanju IS-om Provjera usklađenosti uporabe IS-a s važećom regulativom, standardima i međunarodno priznatim okvirima – jeli uporaba IS-a i svih njegovih dijelova u skladu s važećim propisima, međunarodnim okvirima, normama i stručnim standardima
Koraci provedbe revizije IS-a Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije) Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole) Detaljan pregled objekta revizije IS-a i testiranje kontrola Prikupljanje dokaza i procjena poslovnih rizika Preporuke i izvještaj revizora IS-a
Primjeri provedbe analitičkih testova pri revizijama IS-a Provjera zapisanih podataka u ‘audit log-u’ Testiranje ovlasti i prava pristupa programima i podacima Testiranje sigurnosnih postavki računalne mreže Testiranje procedura promjena u aplikacijama Testiranje korisnika sustava i procedura dodjele korisničkih računa Testiranje postavki lozinki Analitički testovi ‘log tests’ ‘ORACLE DBlog’
Sigurnost IS-a Provjera log datoteka korištenje sustava izvan radnog vremena; vikendi, praznici; dopusti pristupi/vrijeme korištenja od strane administratora analiza učestalosti korištenja sustava stupanj korištenja resursa/korisnik usporedba IP adresa i korisnika koji pristupaju (identif. korisnika na “neuobičajenim” PC-ima)
Sigurnost IS-a Provjera pristupnih prava korisnički računi (accounts) bez lozinke korisnički računi s lozinkama kraćim od npr. 6 mjesta korisnički računi neupotrebljeni u posljednjih x mjeseci dinamika promjene lozinki korisnički računi s pristupom do ključnih sistemskih direktorija/tablica admin korisnički računi korisničke grupe i pripadnost grupama
Upravljanje sigurnošću IS-a • Upravljanje rizikom koji vezan uz IS • Logičke kontrole pristupa • Upravljanje imovinom IS-a • Upravljanje operativnim i sistemskim zapisima • Upravljanje pričuvnom pohranom • Upravljanje odnosima s pružateljima usluga • Upravljanje odnosa s dobavljačima opreme • Upravljanje razvojem IS-a • Upravljanje fizičkom sigurnošću • Upravljanje lozinkama • Upravljanje promjenama • Upravljanje kontinuitetom poslovanja • Upravljanje incidentima i problemima • Primjena internih akata vezanih uz IS Područja revizije IS-a u HR (HNB – Zakon o bankama)
Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom (HNB) Uprava banke dužna je odrediti člana uprave zaduženog za upravljanje i nadzor IS-a uspostaviti primjerenu org. strukturu, odbore i funkcije (01.07.2008) donijeti strategiju IS-a (01.07.2008) strategiju IS-a razraditi strateškim i operativnim planovima (01.01.2009) donijeti interne akte kojima se uređuje upravljanje IS-om, definirati odgovornosti za nadzor (01.01.2009)
Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom Uprava banke dužna je uspostaviti funkciju voditelja sigurnosti IS-a (01.01.2009) imenovati odbor za upravljanje IS-om (01.07.2008) usvojiti metodologiju upravljanja projektima (01.01.2009)
Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom Banka je dužna uspostaviti proces upravljanja rizikom IS-a (01.01.2009) Metodologiju upravljanja rizikom IS-a (01.01.2009) Dokumentirati rezultate procjene rizika IS-a (01.07.2009) Procijeniti i na prihvatljivu razinu svesti rizike IS-a (01.07.2009) Klasificirati i zaštititi informacije prema razini osjetljivosti (01.10.2009) Uprava banke odgovorna je za donošenje prihvatljive razine rizika kojima je izložen IS (01.01.2009)
Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom Unutarnja revizija Dužna je obavljati reviziju IS-a banke (01.01.2009) Usvojiti metodologiju za provođenje revizije IS-a zasnovanu na procjeni rizika, a kojom se određuju kriteriji, načini i postupci revizije IS-a banke (01.01.2009)
Krovne metode i okviri korporativnog upravljanja informatikom COBIT – krovni okvir korporativnog upravljanja informatikom i revizije IS-a COSO – krovni okvir pri procjeni kvalitete internih kontrola ISO 38500:2008 – krovna norma korporativnog upravljanja informatikom Odgovornosti i ovlasti upravljanja Strategija IT-a Stjecanje IT-a Upravljanje performansama IT-a Sukladnost propisima i regulativi ‘Human behaviour’
COBIT metodologija Svjetski priznati standardi upravljanja IT-om (‘IT best practices’) Svjetski priznati standardi i ciljevi kontrole i revizije IS COBIT 4.1 – Control Objective for Information and related Technology Smjernice za analizu, mjerenje i kontrolu primjene IS i IT 34 IT procesa (cilja kontrole ili vođenja IT) svrstana u 4 područja Planiranje i organizacija (PO) Akvizicija i implementacija (AI) Isporuka i podrška (DS) Nadzor i procjena (ME) 34 cilja kontrole i 318 vrlo preciznih i detaljnih kontrola i uputa za njihovu primjenu (primjer) (www.isaca.org)
PLANIRANJE I ORGANIZACIJA (PO) ISPORUKA I POTPORA (DS) PO1Strateško planiranje IS DS1 Definiranje i upravljanje razinama usluga PO2 Definiranje informacijske arhitekture DS2 Upravljanje vanjskim uslugama PO3 Određivanje tehnoloških smjernica DS3 Upravljanje perfomansama i kapacitetom PO4 Definiranje IT procesa, organizacije i odnosa DS4 Osiguranje kontinuiteta usluga PO5 Upravljanje IT investicijama i troškovima (.pdf) DS5 Sigurnost sustava PO6 Komuniciranje prema menadžmentu DS6 Određivanje i dodjela troškova PO7 Upravljanje ljudskim resursima DS7 Izobrazba i trening korisnika PO8 Upravljanje kvalitetom DS8 Podrška korisnicima PO9 Upravljanje i procjena rizika DS9 Upravljanje konfiguracijom PO10 Upravljanje projektima (.pdf) DS10 Upravljanje problemima i incidentima DS11 Upravljanje podacima AKVIZICIJA (NABAVA) I IMPLEMENTACIJA (AI) DS12 Upravljanje pomoćnom opremom AI1 Određivanje mogućih rješenja DS13 Upravljanje operacijama (obradom) AI2 Nabava i održavanje aplikacijskih programa AI3 Nabava i održavanje tehnološke arhitekture NADZOR I PROCJENA (ME) AI4 Korištenje i funkcionalnost rada (obrade) ME1 Nadzor i procjena IT performansi AI5 Nabava IT resursa ME2 Nadzor i procjena internih kontrola AI6 Upravljanje promjenama (.pdf)ME3 Sukladnost s zakonskim i drugim normama AI7 Instalacija i odobravanje rješenja i promjena ME4 Korporativno upravljanjem IT-om CobiT - 34 ključna IT procesa (.pdf)
Izvedene metode i okviri revizije IS-a Prema područjima provjererazlikujemo sljedeće izvedene standarde strateškog upravljanja IS-om: upravljanje razvojem poslovnih informacijskih sustava (CMMI, TickIT,...), upravljanje informatičkim uslugama (ITIL) upravljanje ulaganjima u informatiku (Val IT) upravljanje informatičkim rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005) upravljanje sigurnošću poslovnih informacijskih sustava (obitelj ISO 27000 normi, NIST, SANS, IS3) upravljanje projektima (Prince 2, PMBOK) upravljanje kontinuitetom poslovanja (BS 25999)
Izvedene metode i okviri revizije IS-a Val IT inicijativa (www.isaca.org/valtit) - poboljšanje upravljanja ulaganjima u informatiku (3 područja, 40-ak procesa) ITIL okvir (ISO 20000 norma) (www.itil.org.uk) - upravljanje informatičkim uslugama (5 područja, 20-ak procesa) Risk IT metodologija (www.isaca.org/riskit) - upravljanje informatičkim rizicima (3 područja, 20-ak procesa) Obitelj ISO 27000 normi (ISO 27001 – ISO 27008) - ciljana unaprjeđenja sustava sigurnosti informacija (ISO 27001 11 područja i 40-ak procesa) Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja operativnim rizicima (11 područja) Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima PMBOK – poboljšanje prakse upravljanja projektima PCI DSS (engl. Payment Card Industry Data Security System) – regulatorna pravila sigurnog i pouzdanog baratanja s podacima u kartičarskoj industriji. (primjer primjene .ppt)
COBIT metodologija CobiT menadžmentu predočava jasniju sliku funkcioniranja informacijskog sustava i cjelokupne informatike na način da: jasno određuje i detaljno opisuje ključne informatičke procese(34 procesa svrstana u 4 područja), jasno određuje obveze i područja odgovornosti(RACItablica za svaki od tih procesa određuje tko je odgovoran, tko provodi kontrolu, a koga samo treba konzultirati prije donošenja odluke, odnosno informirati nakon), jasno određuje ciljeve nadzora i kontrole (CobiT kontrolni ciljevi), određuje ciljeve i metrike uspješnosti informatičkih procesa (modeli zrelosti): KPI– ključni indikatori performansi (engl. Key Performance Indicators), KGI– pokazatelji ostvarenja ciljeva (engl. Key Goal Indicators), KRI– ključni pokazatelji rizika (engl. Key Risk Indicators), pokazatelji ostvarenja zacrtanih aktivnosti (engl. IT activity goals) model zrelosti za svaki poslovni proces (ocjene od 0 do 5) i čitav sustav kojima se mogu mjeriti performanse informatičkih procesa i procijeniti njihovu učinkovitost u odnosu na poslovne ciljeve.
1. Informacijska sigurnosna politika 2. Organizacija informacijske sigurnosti 2.1. Unutarnja informacijska sigurnost 2.2. Vanjski suradnici 3. Upravljanje informacijskim resursima (imovinom) i klasifikacija informacija 3.1. Odgovornost za informacijske resurse (imovinu) 3.2. Klasifikacija informacija 4. Informacijska sigurnost i privatnost zaposlenika 4.1. Sigurnost i privatnost prije zaposlenja 4.2. Sigurnost i privatnost tijekom zaposlenja 4.3. Prekid ili promjena zaposlenja 5. Fizička sigurnost i sigurna područja 5.1. Sigurna područja 5.2. Fizička sigurnost opreme 6. Upravljanje komunikacijama i operacijama 6.1. Radne upute i odgovornosti 6.2. Upravljanje pružanjem usluga treće strane 6.3. Planiranje i prihvaćanje sustava 6.4. Zaštita od zloćudnog i prenosivog koda 6.5. Sigurnosne kopije 6.6. Upravljanje sigurnošću računalnih mreža 6.7. Rukovanje medijima (nositeljima podataka) 6.8. Razmjena informacija 6.9. Usluge elektroničke trgovine 6.10. Nadzor 7. Kontrola pristupa 7.1. Poslovni zahtjevi i politika kontrole pristupa 7.2. Upravljanje korisničkim pristupom 7.3. Odgovornosti korisnika 7.4. Kontrola pristupa računalnoj mreži 7.5. Kontrola pristupa operacijskom sustavu računala 7.6. Kontrola pristupa poslovnim informacijama i aplikacijama 7.7. Uporaba prenosive opreme i rad na daljinu 8. Nabava, razvoj i održavanje poslovnog informacijskog sustava 8.1. Sigurnosni zahtjevi informacijskih sustava 8.2. Ispravna obrada u aplikacijama 8.3. Kriptografske kontrole 8.4. Sigurnost sistemskih datoteka 8.5. Sigurnost u procesima razvoja i podrške 8.6. Upravljanje tehničkom ranjivošću 9. Upravljanje sigurnosnim incidentom 9.1. Izvješćivanje o sigurnosnim događajima i slabostima 9.2. Upravljanje sigurnosnim incidentima i poboljšanjima 10. Upravljanje kontinuitetom poslovanja 11. Sukladnost 11.1. Sukladnost sa zakonskim propisima 11.2. Sukladnost sa sigurnosnim politikama i standardima i tehnička sukladnost 11.3. Razmatranja revizije informacijskih sustava ISO 27001:2005
ISO 27001:2005 ISO 27001 sadrži 36 sigurnosnih ciljeva i 127 sigurnosnih kontrolnih mjera podijeljenih u 10 domena: Sigurnosna politika (Zahtjevi uprave za unaprjeđivanjem infromacijske sigurnosti) Organizacijska sigurnost (Omogućavanje upravljanja informacijskom sigurnošću unutar organizacije) Klasifikacija i kontrola resursa (Provođenje inventara informacijskih resursa i njihove zaštite) Osoblje kao element informacijske sigurnosti (Smanjivanje rizika mogućnosti ljudske pogreške, krađe, prijevare i oštećivanja resursa na prihvatljivu razinu) Fizička sigurnost i zaštita od utjecaja okoline (Sprječavanje uništavanja, propadanja i prekida funkcioniranja sredstava i podataka) Upravljanje komunikacijama i aktivnostima kao elementima informacijske sigurnosti (Osiguravanje prikladnog i učinkovitog rada uređaja za procesiranje informacija) Kontrola pristupa (Kontrola pristupa informacijama i resursima) Razvoj sustava i njihovo održavanje (Osiguravanje ugrađenosti sigurnosti u informacijske sustave) Upravljanje kontinuiranosti poslovanja (Smanjivanje utjecaja prekida poslovanja na prihvatljivu razinu i zaštita ključnih procesa organizacije od prekida i propasti) Sukladnost s pravnom legislativom (Sprečavanje mogućnosti kršenja zakona, statutornih ili ugovornih obveza i sigurnosnih zahtjeva)
Pitanja, komentari, prijedlozi, sugestije mspremic@efzg.hr www.efzg.hr/mspremic Hvala na pozornosti