Segora

1. Primjer dijela prezentacije – za potpunu prezentaciju molim kontaktirajte nas putem e-pošte Revizija informacijskog sustava Segora Poslovno savjetovanje i usluge Mario Sajko, R. Boškovića 12c42000 Varaždinhttp://www.segora-sm.hr

2. Potreba i ciljevi revizije • Ispuniti zahtjeve HNB-a • Zakon o bankama članci 106. – 110.Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja resursima informacijske tehnologije i drugih pridruženih tehnologija • Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te usvajanje metodologije za provođenje revizije informacijskog sustava • Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje. • Uloga revizije informacijskog sustava je osigurati Upravi i vlasnicima Banke realan uvid u kvalitetu upravljanja rizicima koji proizlaze iz svakodnevne upotrebe informacijskih tehnologija.

3. Naša usluga • analiza trenutne usklađenost informacijskog sustava Naručitelja i eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje mjera za poboljšanje • utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i stanje implementacije pojedinačnih kontrola upravljanja informacijskim sustavom) usklađena s preporukama Smjernica HNB-a i preporukama najbolje prakse (ISO 27002, Cobit) • Konzultantske usluge obuhvaćaju : • pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i operativni planovi, metodologija revizije) • analizu zatečenog stanja – revizija • preporuke (periodična i završno izvješće)

4. Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći rizik za poslovanje ove bi sustave trebalo identificirati prilikom planiranja revizije mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti organizacije u upravljanju rizicima Plan obuhvaća i područja od interesa HNB-a Određivanja primjenjivih standarda Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela) Analizu rezultata procjene rizika (ako ne postoji) Plan revizije

5. Operativni planovi i izvođenje revizije • Na temelju godišnjeg plana revizije, potrebno je donijeti operativne planove za pojedine revizije. Oni trebaju sadržavati: • ciljeve i opseg revizije • popis područja koja će biti obuhvaćena revizijome • resurse potrebni za nesmetano izvođenje revizije • terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima • fizički obilazak lokacija unutar opsega te ostalu logističku potporu (pratnja revizora, kartice za ulaz u osigurana područja, i sl.), • popis revizora i trajanje revizije

6. Primjenjivi standardi/norme • Odluka HNB-a o primjerenom upravljanju informacijskim sustavom, • HRN ISO/IEC 27001:2006 norma • HRN ISO/IEC 17799:2006 norma • CobiT • ITIL • Tehničkim i industrijskim standardi koji se odnose na tehnologije • Zakonske odredbe • Ugovorne odrede • Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije

7. Područja revizije • Upravljanje sigurnošću informacijskog sustava • Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije • Upravljanje logičkim i upravljačkim kontrolama pristupa • Upravljanje imovinom informacijskog sustava • Upravljanje operativnim i sistemskim zapisima • Upravljanje pričuvnom pohranom • Upravljanje odnosima s pružateljima usluga • Upravljanje odnosima s dobavljačima sklopovske i programske podrške • Upravljanje razvojem informacijskog sustava • Upravljanje fizičkom sigurnošću • Upravljanje zaporkama • Upravljanje konfiguracijama • Upravljanje promjenama • Planiranje kontinuiteta poslovanja • Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja • Planiranje odgovora na incidente • Primjena zaštite od malicioznog koda • Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke

8. Izvještaj/nalaz revizije • Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora neizostavno sadržavati: • Datum izrade/predaje • Ime, prezime i kontakt podatke odgovornog revizora • Popis revizora i kontakt osoblja • Odgovorne osobe za reviziju od strane Banke • Jasno definiran opseg i cilj revizije • Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke) • Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora • Rezultat procjene rizika koji se odnose na područje iz opsega revizije • Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u informacijskom sustavu. • Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila Hrvatska narodna banka • Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema • Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti kontrola za dva odabrana područja. • Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega

9. Način izvođenja revizije • Razgovor/intervju • PROVJERA FORMALNIH ZADUŽENJA • Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE) • Obaveze člana Uprave su propisane (DA/NE) • RAZUMIJEVANJE • Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE) • Samostalno uzimanje uzorka • Testiranje • Provjera zapisa • ZAPISI • Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a. • Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a. • Provjera dokumentacije • PROMATRANJE I ISPITIVANJE NA UZORKU • Promatranje implementacije