ИТ РЕВИЗИЈА

САШО МИЦКОВ , CISA

Струга, 26 Септември 2012

AГЕНДА

Вовед за ИТ (С) Ревизија

Организација, сруктура и управување со Информативните

системи / Organization, structure and governance of IS

ИТ Ризици - идентификација и проценка (IT Risk Assessment)

Систем на ИТ интерни контроли (System of IT Internal Control)

Ревизија на информациските системи: законска регулатива

и стандарди

Завршна вежба на случај за конкретeн ревизорски

ангaжман

Автор – Сашо Мицков (С.М). Сите права задржани. 2

СЕКОЈ БИЗНИС ДЕНЕС Е ЦЕЛОСНО

ЗАВИСЕН ОД ИТ

Сигурност -

максимална

Време на испорака – побрзо

Чинење на сервис – поефтино

Квалитет на сервиси – подобри

Поддршка на бизнис

– максимална

Ризици –

контролирани

3 С.М.

РЕВИЗИЈА - ЦЕЛИ

Точност, комплетност и навременост на

финасиското известување

Ефективност и ефикасност на операциите и

процесите во компанијата

Усогласеност со законска регулатива и

прописи

Статутарна

ревизија

Ревизија на

системите за

внатрешна контрола

Ревизија

за усогласеност

Ревизија за откривање

на

злоуптреби и измами

Ревизија на

финансиски

извештаи

ТИПОВИ НА РЕВИЗИЈА

ИТ ревизија

5 С.М.

МЕЃУНАРОДНИ СТАНДАРДИ

THE IIA

Implementation Standard 1210.A3

(Внатрешните) ревизори мора да имаат доволно

знаење за клучните информационо технолошки

ризици и контроли и расположивите технолошко

базирани ревизорски техники за извршување на

својата работа.

Меѓутоа, од сите внатрешни ревизори не се

очекува да имаат стручно знаење како што има

еден внатрешен ревизор чија примарна

одговорност е ИТ ревизијата.

ИТ РЕВИЗИЈА

Контрола и проценка на ефективноста и адекватноста на

системот на интерни контроли во Информативнот

Систем, нивната усогласеност со интерните политики и

цели на организацијата, како и соодветна законска

регулатива и наjдобри практики (ISO 27001, COBIT, ITIL/ISO

2000).

сигурни, ефективни

и ефикасни ИТ

процеси усогласени

со целите на

компанијата.

ИТ РЕВИЗИЈА

Ревизија на ИТ процеси и ИТ системи:

- безбедност на ИТ системите (мрежа, оперативен систем, база на

податоци, апликација)

- развој на апликации и водење на проекти

- овластувања (привилегии) за пристап кон ИТ ресурсите

- back up

- справување со инциденти - неовластени упади и користење на

системите

- заштита од вируси и други малициозни програми

- физичка безбедност

- односи со ИТ добавувачи

- заштита на приватност

- усогласеност со законска регулатива

- План за континуитет во работењењето /Реставрација од

катастрофа

- апликативни контроли

- ........

ИТ РЕВИЗИЈА

Почеток : 1954 година со првата ревизија на компјутерските

контроли, извршена во General Electric; извор Wikipedia

Во доцните 60-ти е формирано професионално здружение

наречено: EDPA – Electronic Data Processing Association;

Истото во 1994 е преименувано во ISACA – Information Audit &

Control Associations (www.isaca.org)

COBIT: COntrol OBjective for Information Technology (1977 година)

CISA

Комуникациски вештини

Познавање на англиски

Јасно и прецизно пишување

Организираност и систематичност

ИТ Професионални

сертификати за конкретна

технологија

ИТ РЕВИЗОР

ИТ РЕВИЗИЈА ОПШТИ НАСОКИ И КОНТРОЛНИ ПОСТАПКИ

ISACA’s IS Guidelines, Standards, and Procedures

The IIA’s International Professional Practices Framework (IPPF)

The IIA’s Global Technology Audit Guides (GTAGs)

National Institute of Standards and Technology – NIST

FDIC: FFIEC IT Examination Handbook

The American Institute of Certified Public Accountants (AICPA)

Statement on Auditing Standards (SAS) 94 Internal Control in a Financial

Statement Audit

Други специфични стандарди и најдобри практики – ITIL (ISO 20000),

ISO 27001..........

ИТ РЕВИЗИЈА КОНКРЕТНИ КОНТРОЛНИ ПОСТАПКИ

Специјализирани организации, здружениа, web портали - SANS,

NIST, AuditNet, FFIEC, OWASP FISMA, ENISA EU ……

КОИ СЕ ПОВЕЌЕ ТЕХНИЧКИ ОРИЕНТИРАНИ НО НЕ СЕ ОДНЕСУВААТ

НА КОНКРЕТНА ИНФОРМАТИЧКА ТЕХНОЛОГИЈА/СИСТЕМ

Специјализирани компании / произведувачи на конкретни софтверски и

хардверски информатички решениа (Microsoft, CISCO, Oracle, Symantec,

HP, IBM, ……….)

КОИ СЕ ПОВЕЌЕ ТЕХНИЧКИ ОРИЕНТИРАНИ И СЕ ОДНЕСУВААТ НА

КОНКРЕТЕН ИНФОРМАТИЧКИ СИСТЕМ

ПРОФЕСИОНАЛНИ КОДЕКСИ

13 С.М.

ЧЕКОРИ ВО СИСТЕМСКИ БАЗИРАНИОТ ПРИСТАП

1. Разбирање на процесот

2. Идентификување на ризиците

3. Идентификување на контролите

4. Тестирање на контролите

5. Известување

6. Мониторинг

1. РАЗБИРАЊЕ НА ПРОЦЕСОТ

• Активности на процесот

• Цели на процесот

• Ресурси кои се користат (податоци, физички и човечки

ресусри, апликации, системи)

• Идентификација на стандарди / Benchmark параметри

• Документирање на процесот

РАЗБИРАЊЕ НА ПРОЦЕСОТ Пример: ДЕПОЗИТИ

ИТ АПЛИКАЦИИ ЗА

ДЕПОЗИТНО

РАБОТЕЊЕ

БИ

ЗН

ИС

ПР

ОЦ

ЕС

И

ИТ

ИН

ФР

АС

ТР

УК

ТУ

РА

–

ГЕ

НЕ

РА

ЛН

И К

ОН

ТР

ОЛ

И

2. ИДЕНТИФИКАЦИЈА НА РИЗИЦИТЕ

• Листа на можни ризици (самостојно и/или со непосредниот менаџмент)

• Проценка и класификација на ризиците

• Рангирање на ризиците

• Идентификација на контролното опкружување (резидуален ризик)

3. ИДЕНТИФИКАЦИЈА НА КОНТРОЛИТЕ

• Утврдување на контролните цели (risk appetite)

• Дефинирање на ревизорските постапки (интервјуа,

преглед на системски логови и сетирање, тестирање на системи - CAAT програми, тестирање на апликации)

• Евалуација и документирање на контролите (пример

COSO framework)

• Спроведување на тестирања – т.н. walk through тестови

• Детално тестирање на контроли

4. ТЕСТИРАЊЕ НА КОНТРОЛИТЕ

• Тестови на усогласеност – дали постојат соодветни контролни механизми и процедури

• Содржајно тестирање – содржајните тестирања се детални тестирања на оние области од процесот каде се утврдени значителни отстапувања со тестовите на усогласеност

• Чекори за тестирање - (што да се тестира, колку да се тестира, како да се тестира)

• Евидентирање на резултатите од тестовите – наоди, кои се утврдени и докажани слабости, отстапувања и неправилности на контролното опкружување

5. ИЗВЕШТАЈ

РЕВИЗОРСКИОТ ИЗВЕШТАЈ Е ПРОИЗВОДОТ ОД

РЕВИЗИЈАТА

• Нацрт vs финален

• Структура на ревизорски извештај Сумарна оценка на процесот

Детaлeн опис: Ризик – Утврдена слабост (Наод) – Препорака – Одговорен менаџмент

• Евалуација на контролно опкружување (утврдена слабост)

Критериум – Контролна слабост – Причина – Ефект

• Рангирање на наод (висок/ среден/низок) – согласно резидуалниот ризик

6. СЛЕДЕЊЕ НА РЕАЛИЗАЦИЈАТА НА ПРЕПОРАКИТЕ

– FOLLOW UP

• Следењето на реализацијата на препораките е една од најзначајните фази во ревизијата

• Терминот за спроведување зависи од крајните рокови за

реализација на препораките од соодветната ревизија и значајноста на тие препораки

• Програмата за ревизија е листа која ги содржи главните фази во ревизијата

• Се изработува во текот на ревизијата – почнува со почетните активности, а завршува со завршните активности на ревизијата

• Го води ревизорскиот тим низ ревизијата

• Ги содржи сите ревизорски активности, ризици, контроли, одлуки, заклучоци и врски со работната документација

• Се користи и за проверка и подобрување на квалитетот на ревизијата

• Пример за програма за ревизија

ПРОГРАМА ЗА РЕВИЗИЈА

ФАЗИ НА ИЗВЕДУВАЊЕ НА

(ИТ) РЕВИЗИЈА

Фаза I

Фаза II

Фаза III

Фаза IV

Планирање и изработка

на програма за ревизија

Изведување на ревизијата интервјуа, обсервација,

преглед на процедури,

Тестирање, проверка на

системски

конфигурации и поставеност

Издавање

на извештај

Мониторинг

23 С.М.

ИНФОРМАЦИОНЕН

СИСТЕМ

ТЕХНОЛОГИЈА ЧОВЕЧКИ

РЕСУРСИ ОРГАНИЗАЦИЈА

ИТ – ИТК - ИС

CIO –

Chief Information Officer

CTO – Chief Technology Officer

ЕЛЕМЕНТИ НА ИС - РАЗБИРАЊЕ НА ПРОЦЕСОТ

Софтвер

Апликации

База на податоци

Оперативен Систем

Мрежни сервиси

Хардвер

Периферни уреди

Персонални компјутери

Сервери

Мрежни уреди

25 С.М.

ИТ поглед

Бизнис

поглед

ТЕХНИЧКИ ДИЈАГРАМ НА ИС

26 С.М.

?

ПРИМАРНАТА причина поради која ИТ ревизорот

треба да изврши прелиминарно истражување во

почетната фаза на планирање на ревизорскиот

ангажман е :

A. Разбирање на процесот

B. Поради усогласеност со ревизорските

стандарди

C. Идентификација на контролното опкружување

D. Разработка на план за тестирање

ЕЛЕМЕНТИ НА КОМПЈУТЕРСКАТА

МРЕЖА

Мрежни уреди за поврзување (кабли, хабови, свичеви,

рутери, модеми)

Начин на поврзување: wire vs wireless

Огнени ѕидови за заштита - Security Firewalls: права на

пристап, филтрирање на тип на податоци/сервиси

Детекција и Превенција од напад - Intrusion prevention

and detection systems

Мрежни сервиси – FTP, WEB, E-mail, File Sharing, Chat,

Database, VoIP……… (видливи за крајниот корисник)

28 С.М.

ЕЛЕМЕНТИ НА МРЕЖАТА

ПОВРЗУВАЊЕ

НА ДВА

КОМПЈУТЕРИ

ПОВРЗУВАЊЕ

НА ПОВЕЌЕ

КОМПЈУТЕРИ

ПОВРЗУВАЊЕ НА

ПОВЕЌЕ ЛОКАЛНИ

МРЕЖИ

?

ИТ Ревизорот открил дека не сите мрежни уреди кои се дел од

офпатот на ревизорскиот ангажман се вклучени во мрежниот

дијаграм на компанијата. Менаџерот на ИТ службата има

објаснување дека во моментот се прави ажурирање на овој

дијаграм и во тек е нејзиното финализирање.

ИТ Ревизорот треба ПРВО:

A. Да изврши промeна на опфатот на ревизијата со тоа што ќе ги

исклучи уредите кои не се внесени во мрежниот дијагарам

B. Да изврши проценка на критичноста и влијанието на

ревизорските цели во однос на уредите кои не се вклучени во

мрежниот дијаграм

C. Да утврди недостаток во финалниот извештај дека мрежниот

дијаграм не е ажуриран и комплетен

D. Да предложи план за последователна ревизија која ќе ги

опфати и недокументираните мрежни уреди

КОНТРОЛА И ПРОВЕРКА НА ПОДАТОЦИТЕ –

“СКЕНИРАЊЕ НА МРЕЖАТА”

Пример:

Забрана за пристап на вработените до одредени сајтови на

Интернет (facebook, gmail, hotmail….) или

Забрана за користење на одредени сервиси (Skype)

FIREWALL –

КОНТРОЛА НА МРЕЖНИОТ СООБРАЌАЈ

?

Што од следното би требало НАЈМНОГУ да го

загрижи ИТ ревизорот?

A. Недостаток од извештаи за случените

/извршени напади на мрежата

B. Недостаток во процесот на известување за

можните напади на мрежата

C. Недостаток на практика за периодичен преглед

на логичкиот пристап и правата на корисниците

во компјутерската мрежа

D. Недостаток на процес за известување до

јавноста за нападите и слабостите во

компјутерската мрежа

Хостови - Mainframe / Host

Тeрминали (“dump terminal”, “thin client”)

Персонални Компјутери - Personal computers

Работни станици - Workstation

Сервери - Servers

Мобилни уреди -smart phones, personal digital assistant,

handheld computers…

Вградени компјутери /контролори - Embedded computers

“Cloud Computing” – дисперзија/дислокација на ИТ

инфрастуктурата односно апликациите и податоците

34

Типови на компјутери

С.М.

СОФТВЕР

Системски софтвер – оперативни системи

Бази на податоци

Апликативен софтвер – кориснички програми

Алатки и помошни програми

Програмски јазици и развојни околини

35 С.М.

ОПЕРАТИВНИ СИСТЕМИ

Оперативниот систем ( кој обично се скратува како OС) е

посредник помеѓу хардверот и корисникот/апликациите;

ОС е одговорен за управувањето и координирањето на

активностите на корисникот и за делењето на ресурсите на

компјутерот.

Оперативниот систем работи како хост за апликациите за

пресметки кои се извршуваат на машината.

Како хост, една од целите на оперативниот систем е да ракува

со операциите на хардверот.

36 С.М.

UNIX AIX IBM

UNIX HP

37 С.М.

БАЗА НА ПОДАТОЦИ

База на податоци е структуиран/форматиран

збир од меѓусебно поврзани податоци,

меморирани независно од програмите кои се

користат, со контролиран пристап за додавање,

читање или нивно модифицирање.

Oracle, МS Access, MS SQL, MySQL , Sybase, Informix,……

38 С.М.

БАЗА НА ПОДАТОЦИ

Податоците се организирани во Табели кои содржат записи (редови

од табела) и полиња (колони).

Табелите ги содржат податоците според одредени правила и

релации 39 С.М.

?

Како се одразува правото на директен пристап на

корисниците до базата на податоци на нивото на оперативен

(ИТ) ризик ?

A. Ризикот од неавторизиран пристап се зголемува, но

ризикот од непосакувани/неавторизирани промени во

базата се намалува

B. Ризикот од неавторизиран пристап, и ризикот од

непосакувани/неавторизирани промени во базата се

зголемува

C. Ризикот од неавторизиран пристап се намалува, но

ризикот од непосакувани/неавторизирани промени во

базата се зголемува

D. Ризикот од неавторизиран пристап се намалува, но

ризикот од непосакувани/неавторизирани промени во

базата се зголемува

АПЛИКАТИВНИ СИСТЕМИ

ERP (aнгл. Enterprise Resource Planning – Планирање на бизнис ресурси) се бизнис информациони системи т.е комерцијaлни апликативни системи наменети за подршка на работењeто во организациите. Опфаќаат стандардни бизнис процеси во секоја организација како што се материјалното работење, сметководство, кадрово, плати, набавки, наплата и слично.

Овие апликативни системи може да се прилагодат и да извршуваат специфични функции за одредени типови на организации/индустрии како што се банки, осигурителни друштва, телеком, здравство, јавна администрација..........

SAP ,ORACLE, People Soft ,BAAN, Microsoft Dynamics NAV

(Navision), .....

41 С.М.

АПЛИКАТИВНИ СИСТЕМИ

Клучни контроли

Влезни контроли - проверка при внес на податоците

Излезни контроли - извештаи

Пренос на податоци /усогласување помеѓу системи (Batch controls)

Сегрегација на должности

Одржување на апликативниот систем

Право на користење (лиценци)

Право на функционални промени (source code)

Тренинг и едукација за користење

Проверка /тестирање на грешки (bugs, backdoors)

42 С.М.

ПОЗИЦИОНИРАЊЕ НА ИТ/ИКТ

43 С.М.

√

ЕЛЕМЕНТИ НА ИС

- ОРГАНИЗАЦИЈА

Структура и организација на ИТ/ИТК службата /

организациона единица

Политики и процедури

Водење на ИТ Проекти

Надворешни добавувачи

ИТ Набавки

Поддршка на корисниците

44 С.М.

ОРГАНИЗАЦИЈА НА ИТ

Генерално постајат два пристапа: централизиран и децентрализиран.

Во централизираниот пристап постои една служба/организациона едница за ИТ која

директно одговара на извршниот менаџмент во организацијата.

Генерално сите набавки, инсталации, одржување на системите и развојот е координиран централно и се

изведува на ниво на целата организација.

Во децентрализираниот пристап ИТ е дисперзиран во повеќе организациони едници во

рамките на организацијата, како специјализирани тимови кои работат во поединечните

служби како што е кадрово, сметководство, набавки, плати, маркетинг......

45 С.М.

Посебен пристап е таканреченииот: Проектно ориентирана хиерархија –

вообичаено е на времена основа, додека трае одреден проект.

TИПИЧНА ИТ ОРГАНИЗАЦИОНА ШЕМА

46 С.М.

47 С.М.

?

Примарната одогворност на ИТ ревизорот во однос

на несоодветната сегрегација на должности е:

A. Да форсира имплементација на адекаватна

сегрегација на должности

B. Да го запознае менаџментот за ризикот кој

произлегува од несоодветната сегрегација.

C. Да учествува во дефиницијата на улогите и

одговорностите на вработените со цел да се

воспостави соодветна сегрегација на должности

D. Едноставно да ги докунтоера утврдените

недостатоци кои се однесуваат на

сегрегацијата на должности

ПОЛИТИКИ, СТАНДАРДИ, УПАТСТВА И

ПРОЦЕДУРИ

49 С.М.

СТАНДАРДИ, УПАТСТВА И ПРОЦЕДУРИ

Политиката е почетната точка (уставот) за функционирање

на ИТ, го дава тонот и карактерот на поставеност и

очекувања од ИТ системите – Пример: Политика за

користење на електронска пошта.

Стандардите ги дефинираат активностите, претставени како

правила и ограничувања, со кои ќе се обезбеди

постигнување на дефинираните цели со политиката за

информативна сигурност.

Упатствата / Процедури содржат подетални и оперативни

чекори за користење на информатичките системи

50 С.М.

ИТ ПЛАНИРАЊЕ

Стратешки ИТ планови

Стратешките ИТ планови треба да се фокусираат на период од

три до пет години и треба да се усогласат со деловната

долгорочна стратегија на организацијата (мисија / визија)

Оперативни ИТ планови

Оперативните ИТ планови треба логички да произлегуваат од

стратешкиот ИТ план за тековните обврски и очекувања од ИТ.

Тие треба да содржат детален опис и дефинирање на поттребните

ресурси (технологоија, буџет и луѓе) за постигнување на целите и барањата

на организацијата.

51 С.М.

УПРАВУВАЊЕ СО ИТ ОБЕЗБЕДУВАЧИ

/ДРУШТВО ЗА ПОМОШНИ УСЛУГИ

Организацијата треба да ги дефинираат условите за работа со

обезбедувачите на ИТ сервиси преку Дефинирање на единствени принципи

на избор на обезбедувачи, дефинирање и следење на ризиците поврзано со

нивното работење.

Договорите со обезбедувачот на ИТ сервиси да имаат вградени заштитни

механизми за имплементација на политиката за информативна сигурност;

Дефинирање на прифатливо /очекувано ниво на сервис (Service Level

Agreement)

Да се дефинира обврска за неоткривање на информациите и чување на

деловна тајна и на соодветните лица од обезбедувачот на ИТ сервиси кои

имаат пристап до информативниот систем на организацијата (на пр.:

лицата кои имаат пристап од страна на обезбедувач на ИТ сервиси треба да

имаат потпишана изјава за прифатливо користење на информативниот

систем).

52 С.М.

ПРИМЕР ЗА SLA

РИЗИК !!!!

Ризик преставува веројатност да се случи одредена

активност или настан кој ќе има директно негативно

влијание врз добивката и/или расположивоста на

средствата односно да предизвика пречка за

остварување на зацртаните цели и остварувања на

организацијата/компанијата.

54 С.М.

РИЗИК

• Ризикот претставува можност за настанување потенцијално штетен настан

• Ризикот го загрозува остварувањето на целите

• Ризикот може да има повеќе различни поделби, најчесто се дели како:

- инхерентен ризик

- резидуален ризик (внатрешен контролен ризик)

Но може и да се подели и на: финансисики, оперативен, репутациски, информациски, правен итн.

• Ризикот се однесува на финансиските и оперативни информации, средствата и активностите на компанијата и на усогласеноста

РИЗИЦИ

Материјален

Кредитен

Ликвидоносен

Валутен

Пазарен

Стратегиски

Оперативен 56 С.М.

Audit Process

Internal Control

Risk

(ИТ) РИЗИК

Заканите по информативниот систем кои ги користат

слабостите на ИТ средствата за да предизвикаат

нарушување на интегритетот, доверливоста и

достапноста на процесите и сервисите во

компанијата.

ВАЖНО

Се менуваат динамично и фрекфентно

Многу лесно се акумилираат и ескалираат

кумулативно на ниво на цела организација

57 С.М.

РЕГИСТАР НА РИЗИЦИ

58 С.М.

Информативно

средство

Закана Слабост Ризик

Сервер Пожар Одсуство на систем

за гаснење на

пожарот – отрвоне

гас

Недостапност на

системот –

стопирање на

процесите

Персонален

компјутер

Малицозни програми

(вируси, “тројанци”,

worm)

Ненавремена

надградба – udpate

на антовирсниот

систем

Намалаување на

ефикасноста на

процесите

Комуникациска

линија

Прислушкување Одсуство на систем

за енкрпиција

“шифрирање”

Нарушување на

доверливоста на

сензитивни

информации

Апликација Грешки во

програмирање

Одсуство на деволно

тестирање

Погрешни пресметки

.................

Забелешка : Секоја организација треба да направи своја специфична листа на ИТ Ризици

УПРАВУВАЊЕ СО (ИТ) РИЗИЦИТЕ

(1)

Идентификација на процесите во компанијата

(маркетинг, кадрово, плати, производство,

сметководоство, администрација......)

Идентификација на ИТ средствата кои се користат во

наведените процеси

Дефинирање на регистар на ризици (закани и ранливост)

Мапирање на ризиците и информативните средства

УПРАВУВАЊЕ СО (ИТ) РИЗИЦИТЕ

(2)

Рангирање на ризици (влијание на ризиците) -

Квантитативна и квалитативна анализа

Дефинирање на Политика за Управување со ризиците

- избегнување

- прифаќање

- намалување (Резидуален ризик)

- осигурување/трансфер

Имплементација на контроли

ИДЕНТИФИКАЦИЈА НА ИНФОРМАТИВНИТЕ

СРЕДСТВА

61 С.М.

Сервери и хост системи

Мрежни уреди (локална мрежа)

Телекомуникации

Локални ПЦ (десктоп) и лаптоп (преносни компјутери)

Софтверски средства - апликации, системски програми, развојни алатки,

бази на податоци

Периферни уреди (уреди за непрекинато напјување со електрична

енергија, печатари, магнетни медиуми и други мемориски уреди)

АТМ / POS / Tелефонски централи ...............

Документација

• Ризикот секогаш се гледа од два аспекти:

- веројатност

- влијание (ефект, штета)

• Оценка на ризикот

• Матрица на ризик

• Управување со ризик – четири стратегии:

- избегнување

- прифаќање

- намалување

- осигурување

• Квантитативно и квалитативно влијание

РАНГИРАЊЕ НА РИЗИЦИТЕ

Веројатност дека потенцијален настан, акиција и непревземање на акција, може негативно да влијае на оставарување на деловните цели на ораганизацијата.

РАНГИРАЊЕ НА РИЗИЦИТЕ

РИЗИК = Веројатност x Влијание

РИЗИК

Веројатност: можност да се случи одреден настан во предифиниран временски период (на пример 3 години)

Влијание : потенцијален ефект од настанот.

Сигурно (дневно до дво-неделно) Можно (месечно до полугодишно) Ретко (годишно)

Финанасиска загуба,комплексност за реставрација, опфат на ризикот (локален, дисперзиран) ..... Квантитативно или Квалитативно

63 С.М.

Оценување на ризици

64 С.М.

KЛАСИФИКАЦИЈА НА РИЗИЦИ

Информативно

средство

Ризик Веројатност Влијание Класификација

на ризици

Сервер Недостапност

на системот –

стопирање на

процесите

Средно Високо Високо

Персонален компјутер Намалаување

на

ефикасноста

на процесите

Ниско Ниско Ниско

Комуникациска линија Нарушување на

доверливоста

на сензитивни

информации

Средно Средно Среден

Апликација Погрешни

пресметки

Ниско Високо Среден

.................

ПРОЦЕНКА НА РЕЗИДУАЛЕН РИЗИК

• Резидуалниот ризик е оној ризик кој останува

после контролата

Ризик Контрола Резидуален

ризик

• Ефективност на контрола

• Апетит за ризик

РИЗИК – КОНТРОЛА МАТРИЦА

Класификација на

ризици

(Висико,

Средно, Ниско)

Контролно

опкружување

(Задоволително,

Потребни се

подоборувања,

незадоволително)

Резидаулаен

Ризик

Information Technology

System Operations & Support

IT Systems Capacity & Performance Planning & Monitoring Средно Задоволително Ниско

Disaster Recovery & Business Continuity Planning Високо Задоволително Средно

Physical Security of IT Facilities

Ниско Потребни се

подоборувања

Средно

Security of Networks and Telecommunications Високо незадоволително Високо

Third Party Access Management Средно Задоволително Ниско

Remote Access Management Средно Задоволително Ниско

Security Incidents Alerting & Handling Високо незадоволително Високо

Database Management Ниско Задоволително Ниско

Systems Software Management Ниско незадоволително Средно

User Access Management

Високо Потребни се

подоборувања

Средно

ИТ РЕВИЗИЈА

Ревизија на информативниот систем, подразбира проценка

на системот на интерни контрoли дизaјнирани и

воспоставени со цел да се обезбеди сигурност, ефикасност

и достапност на процесите во информативниот систем

односно неговите компоненти

(мрежа, сервери, апликаци и бази на податоци).

68 С.М.

2130 – Control

The Internal Audit activity must assist the organization in maintaining

effective controls by evaluating their effectiveness and efficiency and by

promoting continuous improvement. The IIA Standard

Цели на секоја контрола

Ефективност и ефикасност на

операции

Точност и комплетност на

финансиското известување

Усогласеност со законски прописи и

регулативи

Дефиниција според: Committee of Sponsoring Organizations (COSO) of the Treadway Commission, Internal Control - Integrated framework, Executive Summary, p. 1.

КОНТРОЛИ

ИТ(С) КОНТРОЛИ

СПЕЦИФИКИ

Контролното опкружување се состои од практики/акции,

политики/процедури и механизми поврзани со

Информациониот Систем

Cost – benefit критериум

Контролните активности треба да бидат дел од

секојдневните операции и активности (“built in” наспроти

“add in”)

ИТ контролите најчесто се автоматизирани (односно

системски / технички)

70 С.М.

ИТ КОНТРОЛИ

Генералните контроли се однесуваат на целата инфраструктура и

oрганизацијата на клучните и базични процеси како основа за

функционирање на информативниот систем како што се комуникациите и

мрежата, управување со корисниците, сигурност и заштита на податоците,

развој на план за континуитет во работењето , односи со добавувачи и

слично.

Апликативните контроли се специфични контроли кои се однесуваат на

конкретни апликативни решенија и тоа при: внесот, обработката и

излезот/приказот на резултатите.

71 С.М.

Computer

Controls

General

Controls

IT Concerns and Issues

ИТ Обнова од катастрофа

Физички контроли

• Рестриктивен влез

• Камери

• Чувари

• Против пожарни

системи

• UPS

Заштитни копии - Ваckup

• Data Backups -

• Restore Procedures

• Offsite Storage Развој на програми -

Водење на проекти

• Барање за развој

• Програмирање

• Тестирање

• Имплементација

•Одржување Односи со надворешни добавувачи

Логички пристап –

Access Controls

72 С.М.

Логови и

мониторинг на

настани

Сигурност на

информативниот систем

ИТ КОНТРОЛИ

Сеопфатен

(анг.

Pervasive) на

ниво на

организација

Апликативна

контрола

Специфичен

ризик за одредена

програма/процес

Генерални

компјутерски

контроли

Цел

Комплетност

Точност

Навременост

Application

Controls

IT Concerns and Issues

Излезни контроли

• Reconciliation

• Distribution

• Access

Извршување на трансакции

• Audit Trails

• Interface Controls

• Control Totals

Влезни контроли

• Data Entry Controls

• System Edits

• Segregation of Duties

• Transaction Authorization

Computer

Controls

Усогласување на системите

• Интерфејси

• Batch processing

74 С.М.

СИСТЕМ НА ИНТЕРНИ КОНТРОЛИ

75 С.М.

СИСТЕМ НА ИНТЕРНИ КОНТРОЛИ

поделба на контролите

Entity Level Control

Business Process Control

Computer Control (CC)

General Computer Control

Application Level Control

Административни

Логички / Технички

Физички

Превентивни

Детективни

Корективни

Мануелни

Автоматски

76 С.М.

КОНТРОЛИ (1)

77 С.М.

КОНТРОЛИ (2)

78 С.М.

Примери:

Ревизорска трага (Audit trails) е ......

Сегрегација на должности е ....

Сензори и аларми се ...............

Договори за доверливост со вработените се ....

АПЛИКАТИВНИ КОНТРОЛИ

ВЛЕЗ

Проверка на

податоците

при внес во

програмата

ИЗЛЕЗ

Порверка на

излезните

податоци -

извештати

ОБРАБОТКА/ ЧУВАЊЕ

АПЛИКАТИВНА КОНТРОЛА - ВЛЕЗ

СПЕЦИЈАЛИЗИРАН СОФТВЕР

COMPUTER-ASSISTED-AUDIT TECHNIQUES (CAAT)

Масовни обработки на големи количини на податоци, пример рекреирање на главна книга

Сложени проверки за рекалкулација, пример

пресметка на камата

Филтрирање и пребарување на податоци според одреден критериум

Поддршка на различни формати на податоци

Лесно користење

Поставување на сопствени критериуми / правила

Пример: ACL - Audit Command Language

IDEA - Interactive Data Extraction and Analysis

81 С.М.

ЗАКОНСКА РЕГУЛАТИВА /

НАЈДОБРИ ПРАКТИКИ

Законска регулатива

Локална

Меѓународна

Стандарди / најдобри практики

COBIT

ISO 27001

ITIL

82 С.М.

ЗАКОНСКА РЕГУЛАТИВА ВО Р.М.

34/01;06/02 – Закон за податоци во електронски облик;електронски

потпис

2003/ 2008 – Одлука за дефинирање на сигурност на

Информативниот систем во Банките

Олдука за управувње со ризици, НБРМ 2011

82/19 Ноември 2004 – Уредба за класификации на информациите

16/11 Март 2005 – Индустриска и информатичка безбедност

7/05/2010 - Закон за заштита на личните податоци

2005/09 - Закон за спречување на перење на пари

Кривичен закон на РМ

Закон за јавна внатрешна финансиска контрола / Закон за ревизија

Закон за авторски и сродни права

Закон за електронски комуникации

83 С.М.

ЗАКОН ЗА ТРГОВСКИ ДРУШТВА

ЗАКОН ЗА БАНКИ

С.М. 85

КРИВИЧЕН ЗАКОНИК

НЕОФИЦИЈАЛЕН ПРЕЧИСТЕН ТЕКСТ

С.М. 86

ЗАКОН ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ

ЗАКОН ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ

(Сл.весник на РМ бр.7/05, 103/08 и 124/10)

П Р А В И Л Н И К ЗА ТЕХНИЧКИТЕ И ОРГАНИЗАЦИСКИТЕ МЕРКИ ЗА

ОБЕЗБЕДУВАЊЕ ТАЈНОСТ И ЗАШТИТА НА ОБРАБОТКАТА НА ЛИЧНИТЕ

ПОДАТОЦИ

Контрола на информацискиот систем и информатичката

инфраструктура

Член 25

(1) Информацискиот систем и информатичката инфраструктура на

контролорот задолжително подлежат на внатрешна и надворешна

контрола со цел да се провери дали постапките и упатствата

содржани во документацијата за технички и организациски мерки

се применуваат и се во согласност со прописите за заштита на

личните податоци.

87 С.М.

МЕЃУНАРОДНИ ЗАКОНИ / ПРЕПОРАКИ

SOX

HIPAA

Basel II

GLBA

Тhe Digital Millenium Copyright Act (DMCA)

FISMA - Federal Information Security Management Act of 2002

Computer Fraud and Abuse Act (18 USC 1030)

Electronic Communications Privacy Act 18 USC 2510; 18 USC 2701

EU Directives (Privacy Protection)

Organization for Economic Co-operation and Development's (OECD)

- Guidelines for the Security of Information Systems

88 С.М.

ISACA СТАНДАРДИ / ПРЕПОРАКИ

Стандардите дефинираат задолжителни

барања за ИТ ревизијата и извештаите

Прирачници за примена на стандардите

Процедури нудат примери за следње на

конкретен ревизорски ангажман

89 С.М.

ISACA IS AUDITING STANDRDS

S1 Audit Charter

S2 Independence

S3 Professional Ethics and Standards

S4 Professional Competence

S5 Planning

S6 Performance of Audit Work

S7 Reporting

S8 Follow-up Activities

S9 Irregularities and Illegal Acts

S10 IT Governance

S11 Use of Risk Assessment in Audit Planning

S12 Audit Materiality

S13 Using the Work of Other Experts

S14 Audit Evidence

90 С.М.

ИТ СТАНДАРДИ / ПРЕПОРАКИ

• ITIL – дефинирање на сервисите и процесите во рамките на ИТ во

нивниот животен век: дизајн, испорака, следење на метрика за

исполнетост и континуирана надградба; (ISO 20000).

• CobiT – работна рамка и методологија за управување

/менаџирање на ИТ, односно усогласување на бизнис целите со ИТ

процесите и контролните постапки.

• BS 17799 / ISO 27001 – стандард за воспоставување на систем

за управување со сигурноста на информативните системи

91 С.М.

92 С.М.

ISO 17799/ 27001

• ISO 17799 се користи како генеричка форма за два

стандарди:

• BS 7799 Part 1:2002/ISO 27001

Code of Practice for Information Security

“you should” - Implementation

• BS 7799 Part 2:2002/ISO 27001

Specification for Information Security Management Systems

“you shell” – Certification/Audit

93 С.М.

ISO 17799 / ISO 27001 МОДУЛИ

94 С.М.

ITIL – ISO 20000

95 С.М.

ИНТЕРНЕТ ЛИНКОВИ

www.theiia.com – The Institute of Internal Auditors

www.isaca.org - The Information Systems Audit and Control Association

(ISACA)

www.auditnet.org – Portal for Audit

www.isc2.org – The International Information Systems Security Certification

Consortium (CISSP - Certified Information Systems Security Professional)

www.issa.org – Information Systems Security Association

www.sans.org – SysAdmin; Audit; Network; Security

www.itgeneralcontrols.com/sas-94-it-audit-and-it-internal-control

www.nist.gov - USA, National Institute of Standards and Technology

www.enisa.europa.eu/ENISA - Securing Europe's Information Society

www.sigurnost.info – Портал за информациска сигурност

96 С.М.

ИНТЕРНЕТ ЛИНКОВИ

www.nbrm.gov.mk - циркулар за сигурност на

информативниот систем на банките

www.dzr.gov.mk - Државен завод за ревизија

www.iorrm.org.mk – Инстут за овластени ревизори

www.dzlp.mk - Дирекција за заштита на лични податоци

www.usppft.gov.mk - Управа за спречување на перење на

пари

97 С.М.

ДИСКУСИЈА / ВЕЖБА

БЛАГОДАРАМ НА ВНИМАНИЕТО

Мицков Сашо

mickov389@gmail.com

http://www.linkedin.com/in/sasomickov