1 / 26

Vloga revizorja informacijskih sistemov pri vpeljavi SAP-jevih sistemov

Vloga revizorja informacijskih sistemov pri vpeljavi SAP-jevih sistemov. mag. Stane MOŠKON, CISA, CISM preizkušeni revizor informacijskih sistemov VRIS d.o.o. Varnosti in revizija informacijskih sistemov. Izjava.

stacia
Download Presentation

Vloga revizorja informacijskih sistemov pri vpeljavi SAP-jevih sistemov

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Vloga revizorja informacijskih sistemov pri vpeljavi SAP-jevih sistemov mag. Stane MOŠKON, CISA, CISM preizkušeni revizor informacijskih sistemov VRIS d.o.o. Varnosti in revizija informacijskih sistemov

  2. Izjava Razlaga in komentarji, ki so predmet te predstavitve, predstavljajo poglede predavatelja in niso nujno tudi stališča, praksa ali politika podjetja, v katerem je predavatelj zaposlen. Razlaga in komentarji, ki so predmet te predstavitve, predstavljajo poglede predavatelja in niso nujno tudi stališča, praksa ali politika podjetja, v katerem je predavatelj zaposlen.

  3. Uvod • Obiska revizorja se večinoma veseli približno tako iskreno, kot se veselimo obiska pri zobozdravniku. Srečanju z izvedenci te vrste bi se najraje izognili, a se vedno nekako prepričamo, da so nujno potrebni. Kljub neprijetnim občutkom pa sta direktor informatike in revizor informacijskih sistemov v skoraj vseh praktičnih okoliščinah na istem bregu. Še več, ugotovitve in priporočila revizorja lahko zelo dobro izkoristimo za povečanje svoje uspešnosti celo takrat, kadar gredo stvari narobe. • Peter Grasselli, Sistem, marec 2006

  4. Vprašanja na katera je dobro pomisliti pri vpeljavi ERP sistema • Kako zagotoviti, da bo vpeljan ERP sistem uspešno prestal revizijski pregled? • Katera so ključna vprašanja povezana z vpeljavo in delovanjem ERP sistema na katera bo potrebno odgovoriti revizorjem računovodskih izkazov in revizorjem informacijskih sistemov? • Kakšna je svetovalna vloga revizorja informacijskih sistemov v projektu vpeljave ERP sistema? • Kdaj je pravi čas za vključevanje revizorja informacijskih sistemov v projekt vpeljave?

  5. Revizija informacijskih sistemov • Revizija informacijskih sistemov je izvedba pregleda informacijskega sistema, katerega namen je z izbranimi sodili, v skladu z revizijskimi  standardi in smernicami  opredeliti ustreznost informacijskega sistema ter oblikovati predloge za preprečevanje in odpravljanje nepravilnosti. • Revizija informacijskih sistemov je neodvisen in objektiven proces ocenjevanja in ugotavljanja ZAKONITOSTI: • ali so informacije obdelane na varen in pošten način KAKOVOSTI: • ali so postopki obdelave ustrezni, uspešni in učinkoviti VARNOSTI: • ali je informacijsko premoženje ustrezno varovano.

  6. Revizor informacijskih sistemov • CISA – Certified Information System Auditor • mednarodni certifikat (osnovni pogoji, opravljen izpit, praksa) • Preizkušeni revizor informacijskih sistemov • dodatni izpiti iz področja slovenske zakonodaje in • revizijskih standardov • Stalno strokovno izobraževanje (CPE ure)

  7. Naloge revizorjev informacijskih sistemov • Pregledi računalniške infrastrukture (specializirana orodja – GFI Languard Security Scanner) • Pregledi aplikativnih rešitev • Pregledi pred vpeljavo novih aplikativnih rešitev (npr. nov ERP) • Pregledi po vpeljavi ERP sistema • Varnostni pregledi in izvedba ocene tveganj • Svetovanje • Izobraževanje • Podpora revizorjem računovodskih izkazov (računalniška orodja za podporo reviziji)

  8. ISACA standardi revidiranja informacijskih sistemov S1 Listina o reviziji S2 Neodvisnost S3 Strokovna etika in standardi S4 Strokovnost S5 Načrtovanje S6 Izvedba revizije S7 Poročanje S8 Po-revizijske aktivnosti • ISACA: IS Standards, Guidelines and Procedures for Auditing and Control Professionals

  9. ISACA revizijske smernice (1) • G1 Using the Work of Other Auditors • G2 Audit Evidence Requirement • G3 Use of Computer Assisted Audit Techniques (CAATs) • G4 Outsourcing of IS Activities to Other Organisations • G5 Audit Charter • G6 Materiality Concepts for Auditing Information Systems • G7 Due Professional Care • G8 Audit Documentation • G9 Audit Considerations for Irregularities • G10 Audit Sampling • G11 Effect of Pervasive IS Controls • G12 Organisational Relationship and Independence • G13 Use of Risk Assessment in Audit Planning • G14 Application Systems Review • G15 Planning Revised • G16 Effect of Third Parties on an Organisation’s IT Controls • G17 Effect of Nonaudit Role on the IS Auditor’s Independence • G18 IT Governance

  10. ISACA revizijske smernice (2) • G19 Irregularities and Illegal Acts • G20 Reporting • G21 Enterprise Resource Planning (ERP) Systems Review • G22 Business-to-consumer (B2C) E-commerce Review • G23 System Development Life Cycle (SDLC) Review • G24 Internet Banking • G25 Review of Virtual Private Networks • G26 Business Process Reengineering (BPR) Project Review • G27 Mobile Computing • G28 Computer Forensics • G29 Post-implementation Review • G30 Competence • G31 Privacy • G32 Business Continuity Plan (BCP) Review From It Perspective • G33 General Considerations on the Use of the Internet • G34 Responsibility, Authority and Accountability • G35 Follow-up Activities

  11. G1 Vključevanje drugih revizorjev in ekspertov • Ob ugotovitvi, da revizor sam ne pozna dovolj področja, mora med potekom revizije vključiti druge revizorje ali eksperte z namenom: • doseganja revizijskega cilja, • zagotovitve zadostnih, zanesljivih in ustreznih dokazov. • Predlog za vključevanje drugih revizorjev in ekspertov mora sprejeti naročnik revizije in mora biti ustrezno dokumentirano v revizijskih listinah.

  12. G3 Uporaba računalniško podprtih revizijskih tehnik • Računalniško podprte revizijske tehnike (CAAT) so za revizorja pomembna orodja pri izvajanju revizije. • Vključujejo različna orodja in tehnike kot na primer: • orodje za pomoč pri testiranju podatkov, • orodje za sledenje pri revizije aplikativne programske opreme (revizijska sled), • pripomočki in pomožni programi. • Uporabljajo se pri izvedbi revizijskih postopkov kot so: • primerjav med analitični in sintetičnimi podatki, • testiranje podrobnih transakcij, • testiranje splošnih kontrol, • testiranje aplikacijskih kontrol, • testiranje vdora v sistem. Primeri: ACL, IDEA, AIS, CSI Authorization Auditor, CSI Authorization Organizer, CSI Controls Organizer, EXCEL, …

  13. G29 Pregled po vpeljavi ERP sistema • Namen revizijskega pregleda po vpeljavi sistema je ovrednotiti: • Ali so bili cilji vpeljave rešitve doseženi? • Ali so stroškovni učinki rešitve enaki tistim iz finančnega plana? • Identificirati vzroke za zamude, preseganje stroškov, odstopanje od kvalitete, nivoja uspešnosti in učinkovitosti rešitve? • Performančne značilnosti nove rešitve in vpliv rešitve na učinkovitejše poslovne procese? • Ali je poslovni proces učinkovit in nivo notranjih kontrol ustrezen? • Ali so načela varnosti vključno s pristopnimi pravicami ustrezno vpeljana? • Ali so uporabniki ustrezno usposobljeni? • Ali so rešitve obvladljive za vzdrževanje in nadaljnje dopolnjevanje in je obvladovanje sprememb lahko učinkovito in uspešno? • Ali so rešitve skladne z zakonodajo in notranjimi predpisi in standardi? • Ali je delovanje rešitve skladno s kontrolnimi cilji po COBIT-u – najboljšo prakso? • Kakšne so priložnosti za izboljšanje rešitev v procesu uvajanja in uporabe?

  14. Vpeljava ERP sistema in revizor IS • Vloga revizorja informacijskih sistemov v projektu vpeljave ERP sistema je sodelovanje pri zagotavljanju predvsem: • skladnosti z varnostno politiko • notranjih kontrol • revizijske sledi • kontrol dostopa in ločevanju nalog • V projektu vpeljave ERP sistema je vloga revizorja informacijskih sistemov – svetovanje. • Sodobni ERP sistemi imajo predvidene vse ustrezne kontrole, ki pa se jih pri vpeljavi ali tudi kasneje lahko izključi.

  15. Definicija notranjih kontrol • Notranje kontrole (programske): • v fazi definiranja funkcionalnih zahtev je potrebno določiti notranje kontrole (preventivne, detektivne in korektivne), • definirati je treba način preverjanja delovanja notranjih kontrol, • definirati je treba sprejemne in potrditvene kriterije ustreznosti notranjih kontrol. • Potrebno je določiti lastno kontrolno okolje (BCF) v katerem bodo vse dogovorjene kontrole dosledno uvedene in v katerem bo določen način preverjanja njihove prisotnosti kot tudi ustreznosti njihovega delovanja.

  16. Vrste kontrol v SAP-jevih sistemih • Kontrole ob prijavi: • minimalna dolžina gesla, zapadlost gesla, dovoljeno število poskusov prijave, karakteristike gesel • Sistemske kontrole: • tolerance, številčna območja, avtomatična knjiženja, tipi dokumentov v povezavi s ključi knjiženja, dovoljena obdobja knjiženja • Kontrolni elementi dokumentov: • vidna polja, številčna območja, nadzor krogotoka dokumentov • Kontrole upravljanja sprememb: • strategija treh sistemov (razvojni, testni, produkcijski), verzioniranje, spremljanje zahtevkov za spremembe

  17. Revizijska sled • Revizijsko sled sestavljajo vidni podatki in informacije, ki omogočajo identificirati posamezne transakcije, določiti njihovo veljavnost, pravilnost in celovitost izkazovanja v računovodskih izkazih ter dejanskost izvedbe kontrol. • Namen revizijske sledi: • zagotavljanje točnosti in nepotvorljivosti podatkov, • dokumentiranost okolja v katerem so transakcije nastale, • predstavitev zgodovinskega zaporedja transakcij o poslovnem dogodku, • nadzor nad izvedbami kontrol. • Revizijska sled je orodje revizorjev, kontrolorjev in vodij.

  18. Revizijska sled in dnevniki • Pri zagotavljanju revizijske sledi nam pomagajo dnevniki kot so: • dnevniki operacijskih sistemov, • dnevniki podatkovnih zbirk, • dnevniki transakcij (uporabniških aktivnosti), • sistemski dnevniki SAP (SM21), • dnevniki upravljanja sprememb, • dnevniki sprememb konfiguracijskih tabel (tabela DD09L), • dnevniki sprememb profilov in avtorizacij. RSPARAM – omogoča pregled sistemskih parametrov, parametrov učinkovitosti, nastavitev in kontrolnih parametrov.

  19. Kontrola dostopa in ločevanje nalog • Skozi celoten proces vpeljave SAP je potrebno zagotavljati skladnost avtorizacije dostopa do sistema s sprejetimi določili politike varovanja podatkov in informacij. • Še posebej je potrebno zagotavljati odgovornost lastnikov procesov za dodeljevanje dostopnih pravic in dosledno dokumentiranje vseh sprememb. • Prav tako je potrebno zagotavljati ustrezno ločevanje nalog. V primeru ko ni mogoče zagotoviti ustreznega ločevanja nalog je potrebno postaviti sistem nadomestnih kontrol in zagotoviti ustreznost njihovega delovanja.

  20. Kaj revizorja IS še posebej zanima pri reviziji SAP • Kdo ima dostop do transakcije za vzdrževanje uporabnikov (SU01)? • Kdo ima dostop do transakcije za vzdrževanje profilov (SU02)? • Kdo ima dostop do transakcije za vzdrževanje avtorizacij (SU03)? • Ali se uporabljajo SAP pred-definirane role? • Koliko profilov ima organizacija? • Kako so napisani SQL stavki v lastnih programih in ali vključujejo “Authority Check”?

  21. Metodologije • COBIT • opredeli informacijske procese in kontrole ter način revidiranja informacijskih sistemov • BS7799 / ISO 17799 • standard varovanja podatkov in informacij • ITIL / ISO 15000 • zbirka dobre prakse za področje razvoja informacijskih sistemov

  22. COBIT

  23. AIS – Audit Information System • AIS je orodje in pripomoček revizorju pri: • učinkovitejšem in kvalitetnejšem izvajanju procesa revizije, • izboru in pripravi podatkov za analizo, • pri izvozu podatkov namenjenih za obdelavo z drugimi računalniško podprtimi revizijskimi orodji (ACL, IDEA, …). AIS je razvit skladno z zahtevami revizije in revizijskimi standardi.

  24. AIS – Audit Information Systems

  25. Zaključek • Vloga revizorja informacijskih sistemov v projektu vpeljave SAP-jevih sistemov je pomoč pri zagotavljanju skladnosti informacijskega sistema z zahtevami in standardi revizije računovodskih izkazov in informacijskih sistemov. • Revizor informacijskih sistemov ni samo oseba, ki ugotavlja morebitne neskladnosti in opozarja nanje • ampak • je lahko svetovalec in sodelavec skozi celoten proces vpeljave z namenom zagotavljanja skladnosti z zakonodajo in standardi.

  26. Vprašanja in odgovori

More Related