210 likes | 415 Views
REVIZIJA INFORMACIJSKEGA SISTEMA V MANJŠIH IN SREDNJE VELIKIH PODJETJIH Revizija IS za namene prenove IS. mag. Stane Moškon, CISA, CISM OSIR, Our Space Informacijske Rešitve d.o.o. VRIS, Varnost in Revizija Informacijskih Sistemov d.o.o. Čatež, 28. september 2005. P redstavitev problematike.
E N D
REVIZIJA INFORMACIJSKEGA SISTEMA V MANJŠIH IN SREDNJE VELIKIH PODJETJIHRevizija IS za namene prenove IS mag. Stane Moškon, CISA, CISM OSIR, Our Space Informacijske Rešitve d.o.o. VRIS, Varnost in Revizija Informacijskih Sistemov d.o.o. Čatež, 28. september 2005
Predstavitev problematike V zadnjem času se vedno pogosteje pojavljajo zahteve po reviziji informacijskega sistema v manjših in srednje velikih podjetjih iz različnih gospodarskih panog. Zahteve za revizijo izhajajo predvsem iz neuspešne izvedba projekta prenove ali zamenjave poslovnega informacijskega sistema in sicer iz ključnih problemov: • nedelovanje informacijske podpore ključnim poslovnim funkcijam, • nezanesljivost ter nestabilnost informacijskega sistema. Predstavil bom enega od zadnjih primerov iz prakse.
Revizija IS v srednjih in manjših podjetjih V zadnjem letu smo se srečali s štirimi zahtevki za revizijo IS. Razlogi za zahtevo po reviziji IS so bili: • sistem ni deloval v skladu za zahtevami naročnika, • pričakovanja naročnika niso bila izpolnjena, • sistem ni deloval v skladu z zakonodajo in uveljavljeno prakso, • sistem ni deloval pravilno (logične in sintaktične napake, razhajanja med analitičnimi in sintetičnimi podatki), • sistem ni deloval zanesljivo. Kje so ključni razlogi za neuspešnost projektov prenove ali uvedbe novega informacijskega sistema.
Odločitev za revizijo informacijskega sistema Ključni razlogi pri odločitvah za revizijo informacijskega sistema v štirih primerih v obdobju enega leta: • Srednje veliko logistično podjetje: Kupljena programska oprema ni delovala v skladu z zahtevami naročnika kot tudi ne v skladu s pričakovanji glede hitrosti delovanja pri večjem obsegu transakcij. • Srednje veliko predelovalno podjetje: Proizvodni in logistični del nove rešitve ni deloval v skladu z zahtevami, kar je ogrožalo normalno odvijanje poslovnega procesa. • Srednje veliko predelovalno podjetje: Integracija novega ERP sistema s proizvodnim informacijskim sistemom ni bila uspešno izvedena kar je povzročilo, da tudi v tretjem poskusu prehod sistema v redno obdelavo ni uspel. • Manjše trgovsko in posredniško podjetje: Nov ERP sistem ni deloval zanesljivo kot tudi ne v skladu za zakonodajo in standardi. Zanesljivost sistema ni zagotavljala podpore poslovnim procesom, kar je ogrožalo normalno poslovanje podjetja. Odločitev za revizijo IS je bila sprejeta s sklepom uprave ali nadzornega sveta.
Projekt prenove informacijskega sistema Ključna vprašanja pri projektu prenove informacijskega sistema: • podpora vodstva, • pregled in prenova poslovnih procesov, • ustrezna prioriteta projektu prenove IS, • vodenje projekta, • projektna skupina, • metodologija, • priprava in prenos podatkov, • šolanje uporabnikov. Projekt prenove informacijskega sistema je eden od zahtevnejših projektov in tveganje za neuspešen zaključek projekta je zelo visoko.
Praktičen primer – podjetje Alfa d.o.o. Predstavitev podjetja • program podjetja veleprodaja, maloprodaja, posredništvo in zadruga, • različni poslovni modeli, • 40 zaposlenih, • v letu 2004 je imelo 1,8 milijard SIT prihodkov. Podjetje je zavezano k reviziji računovodskih izkazov.
Poslovni informacijski sistem podjetja V letu 2003 so se odločili za zamenjavo informacijskega sistema. Razlogi so bili: • tehnološke (DOS aplikacije) in • vsebinske narave (nove funkcionalnosti, integralni sistem). Pogodba je bila sredi leta 2003 s predvidenim začetkom redne uporabe v začetku leta 2004 – nov sistem so začeli uporabljati 15.9.2004. Pri projektu uvedbe novega informacijskega sistema niso uporabljali nobene metodologije.
Problemi po zaključku uvedbe Že takoj na začetku uporabe novega IS so se začele pojavljati problemi na naslednjih področjih: • sistem ni deloval v skladu z zagotovili izvajalca kot tudi ne v skladu z računovodskimi standardi in zakonodajo, na kar so še posebej opozorili revizorji računovodskih izkazov; • podatki niso bili preneseni pravilno in v celoti, kar je povzročilo napačne informacije, ponovne prenose in popravke podatkov; • zaradi neznanja so uporabniki delali napake, ki jih je bilo težko popravljati; neustrezno popravljanje napak je povzročilo nove napake; • povezave med centralo in oddaljenimi lokacijami so delovale tako nezanesljivo, da je bilo delo v poslovalnicah (delo s strankami) velikokrat onemogočeno (večkrat dnevno). Vsi navedeni problemi so povzročali resne motnje pri izvajanju poslovnega procesa.
Odločitev za izvedbo revizije IS Opozorila odgovornih delavcev v podjetju, da je IS podpora njihovemu delu neustrezna: • v računovodstvu niso mogli zagotavljati osnovnih računovodskih evidenc, • obračun DDV je bil v več mesecih nepravilen, kar se je naknadno ugotavljalo, • v nabavi niso mogli zagotavljati točnih podatkov o nabavnih cenah in vrednostih zalog, • zakonsko predpisane evidence niso bile podprte, • v prodaji je bilo delo s kupci večkrat dnevno prekinjeno tudi za daljši čas. Opozorila zunanjih sodelavcev: • svetovalec za področje računovodstva je opozarjal na neustreznost rešitve od začetka uporabe, • revizorji računovodskih izkazov. Dopis revizorjev računovodskih izkazov: “Opozarjamo vas, da je potrebno v vašem podjetju urediti ustroj notranjega kontroliranja in usposobiti računalniško podporo poslovanju, saj v nasprotnem primeru ne bomo mogli podati revizorskega mnenja”.
Namen in cilj revizijskega pregleda Namen revizijskega pregledaje bil z oceno stanja in priporočili pomagati naročniku priti do delujočega informacijskega sistema za spremljanje poslovanja v skladu s poslovnimi zahtevami zakonodajo. Cilji revizijskega pregleda so bili: • oceniti in podati priporočila o uvedeni (uporabljani) aplikativni programski opremi naročnika, • oceniti in podati priporočila o varnosti informacijske infrastrukture. Revizijski pregled naj bi pomagal naročniku rešiti nastalo situacijo.
Plan izvedbe revizije Revizijski pregled je vključeval: • pregled metodologije razvoja in uvedbe aplikacijske programske opreme, • preverjanje skladnosti razvoja in uvedbe z metodologijo, • preverjanje rešitve skladno z zahtevami in pričakovanji naročnika, • preverjanje zanesljivosti delovanja rešitve, • preverjanje točnosti, zanesljivosti in stabilnosti podatkov. Revizijski pregled je opravila skupina v sestavi: • dva preizkušena revizorja informacijskih sistemov, CISA, CISM; • izvedenec za informacijsko infrastrukturo, • izvedenec za upravljanje s podatkovnimi zbirkami.
Izvedba revizije IS po aktivnostih V okviru revizije IS so bile opravljene naslednje aktivnosti: • pregled celotne dokumentacije, povezane z uvedbo novega informacijskega sistema, • pregled vmesnega revizijskega poročila revizorjev računovodskih izkazov, • pogovor s pogodbenim izvajalcem prenove informacijskega sistema o celotnem poteku projekta, • pregled informacijske infrastrukture s klasičnimi in računalniškimi orodji, • izvedba intervjujev z odgovornimi v komerciali, maloprodaji, računovodstvu in zunanjim svetovalcem za računovodstvo, • pregled komunikacijskih povezav maloprodajne poslovalnice s centralnim sistemom, • podrobnejši pregled zapisov v podatkovni zbirki aplikacije, • analiza dodatne dokumentacije (elektronska pošta, dopisi in poročila, v zvezi z uvedbo novega informacijskega sistema), • izdelava revizijskega poročila, • predstavitev revizijskega poročila in njegov sprejem s strani naročnika. Revizija je bila opravljena v skladu s planom in zahtevami naročnika.
Izvedba revizije IS po področjih Pregled aplikativne programske opreme: • finančno računovodski del aplikacije, • komercialni del aplikacije, • podpora maloprodaji. Pregled podatkovne zbirke MS SQL Server Pregled infrastrukture: • pregled celotnega sistema z orodjem GFI Languard Security Scanner, • pregled strežniške strojne in sistemske programske opreme, • pregled komunikacijske opreme, • pregled licenc za licencirano programsko opremo. Pri ključnih pregledih je bil poleg predstavnika naročnika prisoten tudi predstavnik izvajalca.
Ugotovitve in zaključki -aplikativna programska oprema Glavne ugotovitve so naslednje: • projekt razvoja in uvedbe novega informacijskega sistema je potekal brez uporabe metodologije in brez projektnega načrta, • slabo vodenje projekta uvedbe novega informacijskega sistema, • kadrovske spremembe in slab prenos znanja na naslednike, • neobstajanje in nedelovanje notranjih kontrol, • pri računovodskem delu aplikacije ni bilo ustreznih dnevnikov (dnevnik glavne knjige, blagajniški dnevniki, dnevniki prenosov podatkov iz analitičnih v sintetične evidence, dnevnik ročnih knjiženj, trgovska knjiga), • niso obstojali ali niso bili ustrezni zakonsko predpisani dokumenti (trgovska knjiga, izpis nivelacij vrednosti zalog trgovskega blaga), • niso obstojali kontrolni izpisi za preverjanje in odkrivanje napak in odstopanj med podatki v različnih evidencah. Aplikativna programska oprema ne zagotavlja zakonsko predpisanih funkcionalnosti, kot tudi ne funkcionalnosti, ki jih uporabniki potrebujejo za nemoteno odvijanje poslovnega procesa.
Ugotovitve in zaključki -podatkovna zbirka Glavne ugotovitve: • dostop do produkcijske podatkovne zbirke je bil nekontrolirano dostopen zunanjim izvajalcem, • popravljanje in brisanje podatkov s strani zunanjega izvajalca v produkcijski podatkovni zbirki brez ustreznih dokumentov in odobritev s strani naročnika, • nekontrolirano spreminjanje in brisanje podatkov za že zaključena obračunska in davčna obdobja, • po prehodu v redno uporabo so cele tabele podatkov brisali in ponovno uvažali (podatki so bili vmes spremenjeni), • testiranje dodatnih ali spremenjenih funkcionalnosti je potekalo na produkcijski podatkovni zbirki, • dokumentacija in kontrola nad spremembami podatkov ne obstoja. Nedopustno je, da se podatki v produkcijski zbirki spreminjajo nedokumentirano in brez soglasja lastnikov podatkov.
Ugotovitve in zaključki -infrastruktura Ključne ugotovitve: • nazaščiten oddaljen dostop do aplikacije poteka preko interneta, • uporabniški računi, gesla in pravice niso bili dosledno izvedeni, • zaščita podatkov je bila nepopolna in nedosledna – arhivirala se je samo podatkovna zbirka MS SQL Server, • podatki se niso arhivirali na ustrezne arhivske medije (samo z diska na disk), • produkcijski strežniki so v najemu in so v lasti razvijalca programske opreme (izsiljevanje), • produkcijski strežniki niso ustrezno licencirani (uporabnik je bil prepričan, da imajo vse veljavne licence). Infrastruktura na zagotavlja verodostojnosti in zanesljivosti informacijskega sistema.
Revizijsko poročilo • Po zaključku revizije je revizijska skupina pripravila obsežno revizijsko poročilo v katerem so bile vse ugotovitve in zaključki argumentirani in dokumentirani. • Revizijsko poročilo je bilo predstavljeno in sprejeto s strani vodstva podjetja. • Na osnovi revizijskega poročila in predlogov za izboljšanje nastale situacije je vodstvo podjetja pripravilo plan aktivnosti za odpravo ključnih problemov. Revizijsko poročilo je bilo pozitivno ocenjeno in sprejeto od vseh vodstvenih struktur v podjetju.
Priporočila Po zaključku revizijskega pregleda smo podali naslednja priporočila: • zagotoviti funkcionalnosti, povezane z zakonodajo in z zagotavljanjem vseh potrebnih dokumentov in informacij za nemoteno delo revizorjev računovodskih izkazov; • uvedba notranjih kontrol v aplikaciji predvsem v računovodskem delu, kjer pa to ni možno, poskrbeti za ustrezne organizacijske kontrole in dodatno izšolati uporabnike za delo z aplikacijo; • pregledati in urediti sistem uporabnikov, gesel in pravic tako v aplikaciji kot tudi na samem sistemu za notranje uporabnike in zunanje vzdrževalce, da bo vsak imel svoje identifikacijske parametre in bo možna sledljivost; • zagotoviti dokumentiranje vseh sprememb podatkov in preprečiti možnost brisanja le-teh direktno v podatkovni zbirki; • zagotoviti nadzor in dokumentiranje vseh sprememb v programu in zagotoviti testiranje sprememb v testnem okolju, ki mora biti ločen od produkcijskega • zagotoviti zanesljive in varne komunikacije med poslovalnicami in upravo; • zagotoviti lastne strežnike, ki bodo implementirani v skladu z licenčnimi pravili in potrebnimi funkcionalnostmi sistema; • zagotoviti celovitejšo zaščito podatkov na tračno enoto in z ustreznimi kontrolami preverjati kvaliteto in konsistenco podatkov na trakovih; • ločiti odgovornosti vzdrževanja infrastrukture informacijskega sistema od aplikativne programske opreme.
Rezultati revizijskega pregleda Konkretni rezultati revizije informacijskega sistema so bili: • probleme smo jasno definirali, ugotovili vzroke za njihov nastanek in predlagali aktivnosti in izvajalce (zunanji ali notranji) za njihovo rešitev; • predlagali smo takojšnje ukrepe za zagotovitev nekontroliranega dostopa in spreminjanja podatkov v podatkovni bazi; • predlagali smo ukrepe za povečanje zanesljivosti delovanja informacijskega sistema na oddaljenih lokacijah; • predlagali smo zagotovitev s strani zunanjega izvajalca in uporaba s strani naročnika kontrolnih dokumentov z namenom sprotnih kontrol in zagotavljanja točnost podatkov; • predlagali smo spremembo pri lastništvu in vzdrževanju informacijske infrastrukture. Na osnovi revizijskega pregleda in priporočil je bil pripravljen podroben načrt aktivnosti, ki se je začel takoj izvajati.
Vključevanje revizorjev IS v projekt prenove IS Vloga revizorjev informacijskih sistemov je, da skozi vse projektne faze skrbijo za naslednja področja: • uporaba ustrezne metodologije v vseh fazah prenove informacijskega sistema kot tudi v fazi redne uporabe (posebej pomembno področje je upravljanje sprememb), • natančno definicijo in dokumentacijo uporabniških zahtev, • skladnost informacijskega sistema s funkcionalnimi zahtevami, standardi in zakonodajo, • določitev in zagotovitev vgraditve ustreznih kontrol v sistem kot tudi zagotovitev, da vgrajene kontrole delujejo, • ustreznost dokumentacije: projektne, tehnične in uporabniške. Vključevanje revizorjev informacijskih sistemov lahko zmanjša tveganje za neuspešnost projekta prenove informacijskega sistema.
Zaključek V treh mesecih po zaključku revizijskega pregleda je podjetje saniralo nastalo situacijo v taki meri, da se je poslovni proces odvijal brez problemov in da je revizija računovodskih izkazov imela vse pogoje za njeno izvedbo. V šestih mesecih po zaključku revizijskega pregleda so v podjetju zamenjali aplikativno programsko opremo in vzpostavili ustrezno infrastrukturo za zanesljivo podporo poslovnim procesom.