ИТ РЕВИЗИЈА - iorrm.org.mk · Генерално сите набавки,...
Transcript of ИТ РЕВИЗИЈА - iorrm.org.mk · Генерално сите набавки,...
ИТ РЕВИЗИЈА
САШО МИЦКОВ , CISA
Струга, 26 Септември 2012
AГЕНДА
Вовед за ИТ (С) Ревизија
Организација, сруктура и управување со Информативните
системи / Organization, structure and governance of IS
ИТ Ризици - идентификација и проценка (IT Risk Assessment)
Систем на ИТ интерни контроли (System of IT Internal Control)
Ревизија на информациските системи: законска регулатива
и стандарди
Завршна вежба на случај за конкретeн ревизорски
ангaжман
Автор – Сашо Мицков (С.М). Сите права задржани. 2
СЕКОЈ БИЗНИС ДЕНЕС Е ЦЕЛОСНО
ЗАВИСЕН ОД ИТ
Сигурност -
максимална
Време на испорака – побрзо
Чинење на сервис – поефтино
Квалитет на сервиси – подобри
Поддршка на бизнис
– максимална
Ризици –
контролирани
3 С.М.
РЕВИЗИЈА - ЦЕЛИ
Точност, комплетност и навременост на
финасиското известување
Ефективност и ефикасност на операциите и
процесите во компанијата
Усогласеност со законска регулатива и
прописи
Статутарна
ревизија
Ревизија на
системите за
внатрешна контрола
Ревизија
за усогласеност
Ревизија за откривање
на
злоуптреби и измами
Ревизија на
финансиски
извештаи
ТИПОВИ НА РЕВИЗИЈА
ИТ ревизија
5 С.М.
МЕЃУНАРОДНИ СТАНДАРДИ
THE IIA
Implementation Standard 1210.A3
(Внатрешните) ревизори мора да имаат доволно
знаење за клучните информационо технолошки
ризици и контроли и расположивите технолошко
базирани ревизорски техники за извршување на
својата работа.
Меѓутоа, од сите внатрешни ревизори не се
очекува да имаат стручно знаење како што има
еден внатрешен ревизор чија примарна
одговорност е ИТ ревизијата.
ИТ РЕВИЗИЈА
Контрола и проценка на ефективноста и адекватноста на
системот на интерни контроли во Информативнот
Систем, нивната усогласеност со интерните политики и
цели на организацијата, како и соодветна законска
регулатива и наjдобри практики (ISO 27001, COBIT, ITIL/ISO
2000).
сигурни, ефективни
и ефикасни ИТ
процеси усогласени
со целите на
компанијата.
ИТ РЕВИЗИЈА
Ревизија на ИТ процеси и ИТ системи:
- безбедност на ИТ системите (мрежа, оперативен систем, база на
податоци, апликација)
- развој на апликации и водење на проекти
- овластувања (привилегии) за пристап кон ИТ ресурсите
- back up
- справување со инциденти - неовластени упади и користење на
системите
- заштита од вируси и други малициозни програми
- физичка безбедност
- односи со ИТ добавувачи
- заштита на приватност
- усогласеност со законска регулатива
- План за континуитет во работењењето /Реставрација од
катастрофа
- апликативни контроли
- ........
ИТ РЕВИЗИЈА
Почеток : 1954 година со првата ревизија на компјутерските
контроли, извршена во General Electric; извор Wikipedia
Во доцните 60-ти е формирано професионално здружение
наречено: EDPA – Electronic Data Processing Association;
Истото во 1994 е преименувано во ISACA – Information Audit &
Control Associations (www.isaca.org)
COBIT: COntrol OBjective for Information Technology (1977 година)
CISA
Комуникациски вештини
Познавање на англиски
Јасно и прецизно пишување
Организираност и систематичност
ИТ Професионални
сертификати за конкретна
технологија
ИТ РЕВИЗОР
ИТ РЕВИЗИЈА ОПШТИ НАСОКИ И КОНТРОЛНИ ПОСТАПКИ
ISACA’s IS Guidelines, Standards, and Procedures
The IIA’s International Professional Practices Framework (IPPF)
The IIA’s Global Technology Audit Guides (GTAGs)
National Institute of Standards and Technology – NIST
FDIC: FFIEC IT Examination Handbook
The American Institute of Certified Public Accountants (AICPA)
Statement on Auditing Standards (SAS) 94 Internal Control in a Financial
Statement Audit
Други специфични стандарди и најдобри практики – ITIL (ISO 20000),
ISO 27001..........
ИТ РЕВИЗИЈА КОНКРЕТНИ КОНТРОЛНИ ПОСТАПКИ
Специјализирани организации, здружениа, web портали - SANS,
NIST, AuditNet, FFIEC, OWASP FISMA, ENISA EU ……
КОИ СЕ ПОВЕЌЕ ТЕХНИЧКИ ОРИЕНТИРАНИ НО НЕ СЕ ОДНЕСУВААТ
НА КОНКРЕТНА ИНФОРМАТИЧКА ТЕХНОЛОГИЈА/СИСТЕМ
Специјализирани компании / произведувачи на конкретни софтверски и
хардверски информатички решениа (Microsoft, CISCO, Oracle, Symantec,
HP, IBM, ……….)
КОИ СЕ ПОВЕЌЕ ТЕХНИЧКИ ОРИЕНТИРАНИ И СЕ ОДНЕСУВААТ НА
КОНКРЕТЕН ИНФОРМАТИЧКИ СИСТЕМ
ПРОФЕСИОНАЛНИ КОДЕКСИ
13 С.М.
ЧЕКОРИ ВО СИСТЕМСКИ БАЗИРАНИОТ ПРИСТАП
1. Разбирање на процесот
2. Идентификување на ризиците
3. Идентификување на контролите
4. Тестирање на контролите
5. Известување
6. Мониторинг
1. РАЗБИРАЊЕ НА ПРОЦЕСОТ
• Активности на процесот
• Цели на процесот
• Ресурси кои се користат (податоци, физички и човечки
ресусри, апликации, системи)
• Идентификација на стандарди / Benchmark параметри
• Документирање на процесот
РАЗБИРАЊЕ НА ПРОЦЕСОТ Пример: ДЕПОЗИТИ
ИТ АПЛИКАЦИИ ЗА
ДЕПОЗИТНО
РАБОТЕЊЕ
БИ
ЗН
ИС
ПР
ОЦ
ЕС
И
ИТ
ИН
ФР
АС
ТР
УК
ТУ
РА
–
ГЕ
НЕ
РА
ЛН
И К
ОН
ТР
ОЛ
И
2. ИДЕНТИФИКАЦИЈА НА РИЗИЦИТЕ
• Листа на можни ризици (самостојно и/или со непосредниот менаџмент)
• Проценка и класификација на ризиците
• Рангирање на ризиците
• Идентификација на контролното опкружување (резидуален ризик)
3. ИДЕНТИФИКАЦИЈА НА КОНТРОЛИТЕ
• Утврдување на контролните цели (risk appetite)
• Дефинирање на ревизорските постапки (интервјуа,
преглед на системски логови и сетирање, тестирање на системи - CAAT програми, тестирање на апликации)
• Евалуација и документирање на контролите (пример
COSO framework)
• Спроведување на тестирања – т.н. walk through тестови
• Детално тестирање на контроли
4. ТЕСТИРАЊЕ НА КОНТРОЛИТЕ
• Тестови на усогласеност – дали постојат соодветни контролни механизми и процедури
• Содржајно тестирање – содржајните тестирања се детални тестирања на оние области од процесот каде се утврдени значителни отстапувања со тестовите на усогласеност
• Чекори за тестирање - (што да се тестира, колку да се тестира, како да се тестира)
• Евидентирање на резултатите од тестовите – наоди, кои се утврдени и докажани слабости, отстапувања и неправилности на контролното опкружување
5. ИЗВЕШТАЈ
РЕВИЗОРСКИОТ ИЗВЕШТАЈ Е ПРОИЗВОДОТ ОД
РЕВИЗИЈАТА
• Нацрт vs финален
• Структура на ревизорски извештај Сумарна оценка на процесот
Детaлeн опис: Ризик – Утврдена слабост (Наод) – Препорака – Одговорен менаџмент
• Евалуација на контролно опкружување (утврдена слабост)
Критериум – Контролна слабост – Причина – Ефект
• Рангирање на наод (висок/ среден/низок) – согласно резидуалниот ризик
6. СЛЕДЕЊЕ НА РЕАЛИЗАЦИЈАТА НА ПРЕПОРАКИТЕ
– FOLLOW UP
• Следењето на реализацијата на препораките е една од најзначајните фази во ревизијата
• Терминот за спроведување зависи од крајните рокови за
реализација на препораките од соодветната ревизија и значајноста на тие препораки
• Програмата за ревизија е листа која ги содржи главните фази во ревизијата
• Се изработува во текот на ревизијата – почнува со почетните активности, а завршува со завршните активности на ревизијата
• Го води ревизорскиот тим низ ревизијата
• Ги содржи сите ревизорски активности, ризици, контроли, одлуки, заклучоци и врски со работната документација
• Се користи и за проверка и подобрување на квалитетот на ревизијата
• Пример за програма за ревизија
ПРОГРАМА ЗА РЕВИЗИЈА
ФАЗИ НА ИЗВЕДУВАЊЕ НА
(ИТ) РЕВИЗИЈА
Фаза I
Фаза II
Фаза III
Фаза IV
Планирање и изработка
на програма за ревизија
Изведување на ревизијата интервјуа, обсервација,
преглед на процедури,
Тестирање, проверка на
системски
конфигурации и поставеност
Издавање
на извештај
Мониторинг
23 С.М.
ИНФОРМАЦИОНЕН
СИСТЕМ
ТЕХНОЛОГИЈА ЧОВЕЧКИ
РЕСУРСИ ОРГАНИЗАЦИЈА
ИТ – ИТК - ИС
CIO –
Chief Information Officer
CTO – Chief Technology Officer
ЕЛЕМЕНТИ НА ИС - РАЗБИРАЊЕ НА ПРОЦЕСОТ
Софтвер
Апликации
База на податоци
Оперативен Систем
Мрежни сервиси
Хардвер
Периферни уреди
Персонални компјутери
Сервери
Мрежни уреди
25 С.М.
ИТ поглед
Бизнис
поглед
ТЕХНИЧКИ ДИЈАГРАМ НА ИС
26 С.М.
?
ПРИМАРНАТА причина поради која ИТ ревизорот
треба да изврши прелиминарно истражување во
почетната фаза на планирање на ревизорскиот
ангажман е :
A. Разбирање на процесот
B. Поради усогласеност со ревизорските
стандарди
C. Идентификација на контролното опкружување
D. Разработка на план за тестирање
ЕЛЕМЕНТИ НА КОМПЈУТЕРСКАТА
МРЕЖА
Мрежни уреди за поврзување (кабли, хабови, свичеви,
рутери, модеми)
Начин на поврзување: wire vs wireless
Огнени ѕидови за заштита - Security Firewalls: права на
пристап, филтрирање на тип на податоци/сервиси
Детекција и Превенција од напад - Intrusion prevention
and detection systems
Мрежни сервиси – FTP, WEB, E-mail, File Sharing, Chat,
Database, VoIP……… (видливи за крајниот корисник)
28 С.М.
ЕЛЕМЕНТИ НА МРЕЖАТА
ПОВРЗУВАЊЕ
НА ДВА
КОМПЈУТЕРИ
ПОВРЗУВАЊЕ
НА ПОВЕЌЕ
КОМПЈУТЕРИ
ПОВРЗУВАЊЕ НА
ПОВЕЌЕ ЛОКАЛНИ
МРЕЖИ
?
ИТ Ревизорот открил дека не сите мрежни уреди кои се дел од
офпатот на ревизорскиот ангажман се вклучени во мрежниот
дијаграм на компанијата. Менаџерот на ИТ службата има
објаснување дека во моментот се прави ажурирање на овој
дијаграм и во тек е нејзиното финализирање.
ИТ Ревизорот треба ПРВО:
A. Да изврши промeна на опфатот на ревизијата со тоа што ќе ги
исклучи уредите кои не се внесени во мрежниот дијагарам
B. Да изврши проценка на критичноста и влијанието на
ревизорските цели во однос на уредите кои не се вклучени во
мрежниот дијаграм
C. Да утврди недостаток во финалниот извештај дека мрежниот
дијаграм не е ажуриран и комплетен
D. Да предложи план за последователна ревизија која ќе ги
опфати и недокументираните мрежни уреди
КОНТРОЛА И ПРОВЕРКА НА ПОДАТОЦИТЕ –
“СКЕНИРАЊЕ НА МРЕЖАТА”
Пример:
Забрана за пристап на вработените до одредени сајтови на
Интернет (facebook, gmail, hotmail….) или
Забрана за користење на одредени сервиси (Skype)
FIREWALL –
КОНТРОЛА НА МРЕЖНИОТ СООБРАЌАЈ
?
Што од следното би требало НАЈМНОГУ да го
загрижи ИТ ревизорот?
A. Недостаток од извештаи за случените
/извршени напади на мрежата
B. Недостаток во процесот на известување за
можните напади на мрежата
C. Недостаток на практика за периодичен преглед
на логичкиот пристап и правата на корисниците
во компјутерската мрежа
D. Недостаток на процес за известување до
јавноста за нападите и слабостите во
компјутерската мрежа
Хостови - Mainframe / Host
Тeрминали (“dump terminal”, “thin client”)
Персонални Компјутери - Personal computers
Работни станици - Workstation
Сервери - Servers
Мобилни уреди -smart phones, personal digital assistant,
handheld computers…
Вградени компјутери /контролори - Embedded computers
“Cloud Computing” – дисперзија/дислокација на ИТ
инфрастуктурата односно апликациите и податоците
34
Типови на компјутери
С.М.
СОФТВЕР
Системски софтвер – оперативни системи
Бази на податоци
Апликативен софтвер – кориснички програми
Алатки и помошни програми
Програмски јазици и развојни околини
35 С.М.
ОПЕРАТИВНИ СИСТЕМИ
Оперативниот систем ( кој обично се скратува како OС) е
посредник помеѓу хардверот и корисникот/апликациите;
ОС е одговорен за управувањето и координирањето на
активностите на корисникот и за делењето на ресурсите на
компјутерот.
Оперативниот систем работи како хост за апликациите за
пресметки кои се извршуваат на машината.
Како хост, една од целите на оперативниот систем е да ракува
со операциите на хардверот.
36 С.М.
UNIX AIX IBM
UNIX HP
37 С.М.
БАЗА НА ПОДАТОЦИ
База на податоци е структуиран/форматиран
збир од меѓусебно поврзани податоци,
меморирани независно од програмите кои се
користат, со контролиран пристап за додавање,
читање или нивно модифицирање.
Oracle, МS Access, MS SQL, MySQL , Sybase, Informix,……
38 С.М.
БАЗА НА ПОДАТОЦИ
Податоците се организирани во Табели кои содржат записи (редови
од табела) и полиња (колони).
Табелите ги содржат податоците според одредени правила и
релации 39 С.М.
?
Како се одразува правото на директен пристап на
корисниците до базата на податоци на нивото на оперативен
(ИТ) ризик ?
A. Ризикот од неавторизиран пристап се зголемува, но
ризикот од непосакувани/неавторизирани промени во
базата се намалува
B. Ризикот од неавторизиран пристап, и ризикот од
непосакувани/неавторизирани промени во базата се
зголемува
C. Ризикот од неавторизиран пристап се намалува, но
ризикот од непосакувани/неавторизирани промени во
базата се зголемува
D. Ризикот од неавторизиран пристап се намалува, но
ризикот од непосакувани/неавторизирани промени во
базата се зголемува
АПЛИКАТИВНИ СИСТЕМИ
ERP (aнгл. Enterprise Resource Planning – Планирање на бизнис ресурси) се бизнис информациони системи т.е комерцијaлни апликативни системи наменети за подршка на работењeто во организациите. Опфаќаат стандардни бизнис процеси во секоја организација како што се материјалното работење, сметководство, кадрово, плати, набавки, наплата и слично.
Овие апликативни системи може да се прилагодат и да извршуваат специфични функции за одредени типови на организации/индустрии како што се банки, осигурителни друштва, телеком, здравство, јавна администрација..........
SAP ,ORACLE, People Soft ,BAAN, Microsoft Dynamics NAV
(Navision), .....
41 С.М.
АПЛИКАТИВНИ СИСТЕМИ
Клучни контроли
Влезни контроли - проверка при внес на податоците
Излезни контроли - извештаи
Пренос на податоци /усогласување помеѓу системи (Batch controls)
Сегрегација на должности
Одржување на апликативниот систем
Право на користење (лиценци)
Право на функционални промени (source code)
Тренинг и едукација за користење
Проверка /тестирање на грешки (bugs, backdoors)
42 С.М.
ПОЗИЦИОНИРАЊЕ НА ИТ/ИКТ
43 С.М.
√
ЕЛЕМЕНТИ НА ИС
- ОРГАНИЗАЦИЈА
Структура и организација на ИТ/ИТК службата /
организациона единица
Политики и процедури
Водење на ИТ Проекти
Надворешни добавувачи
ИТ Набавки
Поддршка на корисниците
44 С.М.
ОРГАНИЗАЦИЈА НА ИТ
Генерално постајат два пристапа: централизиран и децентрализиран.
Во централизираниот пристап постои една служба/организациона едница за ИТ која
директно одговара на извршниот менаџмент во организацијата.
Генерално сите набавки, инсталации, одржување на системите и развојот е координиран централно и се
изведува на ниво на целата организација.
Во децентрализираниот пристап ИТ е дисперзиран во повеќе организациони едници во
рамките на организацијата, како специјализирани тимови кои работат во поединечните
служби како што е кадрово, сметководство, набавки, плати, маркетинг......
45 С.М.
Посебен пристап е таканреченииот: Проектно ориентирана хиерархија –
вообичаено е на времена основа, додека трае одреден проект.
TИПИЧНА ИТ ОРГАНИЗАЦИОНА ШЕМА
46 С.М.
47 С.М.
?
Примарната одогворност на ИТ ревизорот во однос
на несоодветната сегрегација на должности е:
A. Да форсира имплементација на адекаватна
сегрегација на должности
B. Да го запознае менаџментот за ризикот кој
произлегува од несоодветната сегрегација.
C. Да учествува во дефиницијата на улогите и
одговорностите на вработените со цел да се
воспостави соодветна сегрегација на должности
D. Едноставно да ги докунтоера утврдените
недостатоци кои се однесуваат на
сегрегацијата на должности
ПОЛИТИКИ, СТАНДАРДИ, УПАТСТВА И
ПРОЦЕДУРИ
49 С.М.
СТАНДАРДИ, УПАТСТВА И ПРОЦЕДУРИ
Политиката е почетната точка (уставот) за функционирање
на ИТ, го дава тонот и карактерот на поставеност и
очекувања од ИТ системите – Пример: Политика за
користење на електронска пошта.
Стандардите ги дефинираат активностите, претставени како
правила и ограничувања, со кои ќе се обезбеди
постигнување на дефинираните цели со политиката за
информативна сигурност.
Упатствата / Процедури содржат подетални и оперативни
чекори за користење на информатичките системи
50 С.М.
ИТ ПЛАНИРАЊЕ
Стратешки ИТ планови
Стратешките ИТ планови треба да се фокусираат на период од
три до пет години и треба да се усогласат со деловната
долгорочна стратегија на организацијата (мисија / визија)
Оперативни ИТ планови
Оперативните ИТ планови треба логички да произлегуваат од
стратешкиот ИТ план за тековните обврски и очекувања од ИТ.
Тие треба да содржат детален опис и дефинирање на поттребните
ресурси (технологоија, буџет и луѓе) за постигнување на целите и барањата
на организацијата.
51 С.М.
УПРАВУВАЊЕ СО ИТ ОБЕЗБЕДУВАЧИ
/ДРУШТВО ЗА ПОМОШНИ УСЛУГИ
Организацијата треба да ги дефинираат условите за работа со
обезбедувачите на ИТ сервиси преку Дефинирање на единствени принципи
на избор на обезбедувачи, дефинирање и следење на ризиците поврзано со
нивното работење.
Договорите со обезбедувачот на ИТ сервиси да имаат вградени заштитни
механизми за имплементација на политиката за информативна сигурност;
Дефинирање на прифатливо /очекувано ниво на сервис (Service Level
Agreement)
Да се дефинира обврска за неоткривање на информациите и чување на
деловна тајна и на соодветните лица од обезбедувачот на ИТ сервиси кои
имаат пристап до информативниот систем на организацијата (на пр.:
лицата кои имаат пристап од страна на обезбедувач на ИТ сервиси треба да
имаат потпишана изјава за прифатливо користење на информативниот
систем).
52 С.М.
ПРИМЕР ЗА SLA
РИЗИК !!!!
Ризик преставува веројатност да се случи одредена
активност или настан кој ќе има директно негативно
влијание врз добивката и/или расположивоста на
средствата односно да предизвика пречка за
остварување на зацртаните цели и остварувања на
организацијата/компанијата.
54 С.М.
РИЗИК
• Ризикот претставува можност за настанување потенцијално штетен настан
• Ризикот го загрозува остварувањето на целите
• Ризикот може да има повеќе различни поделби, најчесто се дели како:
- инхерентен ризик
- резидуален ризик (внатрешен контролен ризик)
Но може и да се подели и на: финансисики, оперативен, репутациски, информациски, правен итн.
• Ризикот се однесува на финансиските и оперативни информации, средствата и активностите на компанијата и на усогласеноста
РИЗИЦИ
Материјален
Кредитен
Ликвидоносен
Валутен
Пазарен
Стратегиски
Оперативен 56 С.М.
Audit Process
Internal Control
Risk
(ИТ) РИЗИК
Заканите по информативниот систем кои ги користат
слабостите на ИТ средствата за да предизвикаат
нарушување на интегритетот, доверливоста и
достапноста на процесите и сервисите во
компанијата.
ВАЖНО
Се менуваат динамично и фрекфентно
Многу лесно се акумилираат и ескалираат
кумулативно на ниво на цела организација
57 С.М.
РЕГИСТАР НА РИЗИЦИ
58 С.М.
Информативно
средство
Закана Слабост Ризик
Сервер Пожар Одсуство на систем
за гаснење на
пожарот – отрвоне
гас
Недостапност на
системот –
стопирање на
процесите
Персонален
компјутер
Малицозни програми
(вируси, “тројанци”,
worm)
Ненавремена
надградба – udpate
на антовирсниот
систем
Намалаување на
ефикасноста на
процесите
Комуникациска
линија
Прислушкување Одсуство на систем
за енкрпиција
“шифрирање”
Нарушување на
доверливоста на
сензитивни
информации
Апликација Грешки во
програмирање
Одсуство на деволно
тестирање
Погрешни пресметки
.................
Забелешка : Секоја организација треба да направи своја специфична листа на ИТ Ризици
УПРАВУВАЊЕ СО (ИТ) РИЗИЦИТЕ
(1)
Идентификација на процесите во компанијата
(маркетинг, кадрово, плати, производство,
сметководоство, администрација......)
Идентификација на ИТ средствата кои се користат во
наведените процеси
Дефинирање на регистар на ризици (закани и ранливост)
Мапирање на ризиците и информативните средства
УПРАВУВАЊЕ СО (ИТ) РИЗИЦИТЕ
(2)
Рангирање на ризици (влијание на ризиците) -
Квантитативна и квалитативна анализа
Дефинирање на Политика за Управување со ризиците
- избегнување
- прифаќање
- намалување (Резидуален ризик)
- осигурување/трансфер
Имплементација на контроли
ИДЕНТИФИКАЦИЈА НА ИНФОРМАТИВНИТЕ
СРЕДСТВА
61 С.М.
Сервери и хост системи
Мрежни уреди (локална мрежа)
Телекомуникации
Локални ПЦ (десктоп) и лаптоп (преносни компјутери)
Софтверски средства - апликации, системски програми, развојни алатки,
бази на податоци
Периферни уреди (уреди за непрекинато напјување со електрична
енергија, печатари, магнетни медиуми и други мемориски уреди)
АТМ / POS / Tелефонски централи ...............
Документација
• Ризикот секогаш се гледа од два аспекти:
- веројатност
- влијание (ефект, штета)
• Оценка на ризикот
• Матрица на ризик
• Управување со ризик – четири стратегии:
- избегнување
- прифаќање
- намалување
- осигурување
• Квантитативно и квалитативно влијание
РАНГИРАЊЕ НА РИЗИЦИТЕ
Веројатност дека потенцијален настан, акиција и непревземање на акција, може негативно да влијае на оставарување на деловните цели на ораганизацијата.
РАНГИРАЊЕ НА РИЗИЦИТЕ
РИЗИК = Веројатност x Влијание
РИЗИК
Веројатност: можност да се случи одреден настан во предифиниран временски период (на пример 3 години)
Влијание : потенцијален ефект од настанот.
Сигурно (дневно до дво-неделно) Можно (месечно до полугодишно) Ретко (годишно)
Финанасиска загуба,комплексност за реставрација, опфат на ризикот (локален, дисперзиран) ..... Квантитативно или Квалитативно
63 С.М.
Оценување на ризици
64 С.М.
KЛАСИФИКАЦИЈА НА РИЗИЦИ
Информативно
средство
Ризик Веројатност Влијание Класификација
на ризици
Сервер Недостапност
на системот –
стопирање на
процесите
Средно Високо Високо
Персонален компјутер Намалаување
на
ефикасноста
на процесите
Ниско Ниско Ниско
Комуникациска линија Нарушување на
доверливоста
на сензитивни
информации
Средно Средно Среден
Апликација Погрешни
пресметки
Ниско Високо Среден
.................
ПРОЦЕНКА НА РЕЗИДУАЛЕН РИЗИК
• Резидуалниот ризик е оној ризик кој останува
после контролата
Ризик Контрола Резидуален
ризик
• Ефективност на контрола
• Апетит за ризик
РИЗИК – КОНТРОЛА МАТРИЦА
Класификација на
ризици
(Висико,
Средно, Ниско)
Контролно
опкружување
(Задоволително,
Потребни се
подоборувања,
незадоволително)
Резидаулаен
Ризик
Information Technology
System Operations & Support
IT Systems Capacity & Performance Planning & Monitoring Средно Задоволително Ниско
Disaster Recovery & Business Continuity Planning Високо Задоволително Средно
Physical Security of IT Facilities
Ниско Потребни се
подоборувања
Средно
Security of Networks and Telecommunications Високо незадоволително Високо
Third Party Access Management Средно Задоволително Ниско
Remote Access Management Средно Задоволително Ниско
Security Incidents Alerting & Handling Високо незадоволително Високо
Database Management Ниско Задоволително Ниско
Systems Software Management Ниско незадоволително Средно
User Access Management
Високо Потребни се
подоборувања
Средно
ИТ РЕВИЗИЈА
Ревизија на информативниот систем, подразбира проценка
на системот на интерни контрoли дизaјнирани и
воспоставени со цел да се обезбеди сигурност, ефикасност
и достапност на процесите во информативниот систем
односно неговите компоненти
(мрежа, сервери, апликаци и бази на податоци).
68 С.М.
2130 – Control
The Internal Audit activity must assist the organization in maintaining
effective controls by evaluating their effectiveness and efficiency and by
promoting continuous improvement. The IIA Standard
Цели на секоја контрола
Ефективност и ефикасност на
операции
Точност и комплетност на
финансиското известување
Усогласеност со законски прописи и
регулативи
Дефиниција според: Committee of Sponsoring Organizations (COSO) of the Treadway Commission, Internal Control - Integrated framework, Executive Summary, p. 1.
КОНТРОЛИ
ИТ(С) КОНТРОЛИ
СПЕЦИФИКИ
Контролното опкружување се состои од практики/акции,
политики/процедури и механизми поврзани со
Информациониот Систем
Cost – benefit критериум
Контролните активности треба да бидат дел од
секојдневните операции и активности (“built in” наспроти
“add in”)
ИТ контролите најчесто се автоматизирани (односно
системски / технички)
70 С.М.
ИТ КОНТРОЛИ
Генералните контроли се однесуваат на целата инфраструктура и
oрганизацијата на клучните и базични процеси како основа за
функционирање на информативниот систем како што се комуникациите и
мрежата, управување со корисниците, сигурност и заштита на податоците,
развој на план за континуитет во работењето , односи со добавувачи и
слично.
Апликативните контроли се специфични контроли кои се однесуваат на
конкретни апликативни решенија и тоа при: внесот, обработката и
излезот/приказот на резултатите.
71 С.М.
Computer
Controls
General
Controls
IT Concerns and Issues
ИТ Обнова од катастрофа
Физички контроли
• Рестриктивен влез
• Камери
• Чувари
• Против пожарни
системи
• UPS
Заштитни копии - Ваckup
• Data Backups -
• Restore Procedures
• Offsite Storage Развој на програми -
Водење на проекти
• Барање за развој
• Програмирање
• Тестирање
• Имплементација
•Одржување Односи со надворешни добавувачи
Логички пристап –
Access Controls
72 С.М.
Логови и
мониторинг на
настани
Сигурност на
информативниот систем
ИТ КОНТРОЛИ
Сеопфатен
(анг.
Pervasive) на
ниво на
организација
Апликативна
контрола
Специфичен
ризик за одредена
програма/процес
Генерални
компјутерски
контроли
Цел
Комплетност
Точност
Навременост
Application
Controls
IT Concerns and Issues
Излезни контроли
• Reconciliation
• Distribution
• Access
Извршување на трансакции
• Audit Trails
• Interface Controls
• Control Totals
Влезни контроли
• Data Entry Controls
• System Edits
• Segregation of Duties
• Transaction Authorization
Computer
Controls
Усогласување на системите
• Интерфејси
• Batch processing
74 С.М.
СИСТЕМ НА ИНТЕРНИ КОНТРОЛИ
75 С.М.
СИСТЕМ НА ИНТЕРНИ КОНТРОЛИ
поделба на контролите
Entity Level Control
Business Process Control
Computer Control (CC)
General Computer Control
Application Level Control
Административни
Логички / Технички
Физички
Превентивни
Детективни
Корективни
Мануелни
Автоматски
76 С.М.
КОНТРОЛИ (1)
77 С.М.
КОНТРОЛИ (2)
78 С.М.
Примери:
Ревизорска трага (Audit trails) е ......
Сегрегација на должности е ....
Сензори и аларми се ...............
Договори за доверливост со вработените се ....
АПЛИКАТИВНИ КОНТРОЛИ
ВЛЕЗ
Проверка на
податоците
при внес во
програмата
ИЗЛЕЗ
Порверка на
излезните
податоци -
извештати
ОБРАБОТКА/ ЧУВАЊЕ
АПЛИКАТИВНА КОНТРОЛА - ВЛЕЗ
СПЕЦИЈАЛИЗИРАН СОФТВЕР
COMPUTER-ASSISTED-AUDIT TECHNIQUES (CAAT)
Масовни обработки на големи количини на податоци, пример рекреирање на главна книга
Сложени проверки за рекалкулација, пример
пресметка на камата
Филтрирање и пребарување на податоци според одреден критериум
Поддршка на различни формати на податоци
Лесно користење
Поставување на сопствени критериуми / правила
Пример: ACL - Audit Command Language
IDEA - Interactive Data Extraction and Analysis
81 С.М.
ЗАКОНСКА РЕГУЛАТИВА /
НАЈДОБРИ ПРАКТИКИ
Законска регулатива
Локална
Меѓународна
Стандарди / најдобри практики
COBIT
ISO 27001
ITIL
82 С.М.
ЗАКОНСКА РЕГУЛАТИВА ВО Р.М.
34/01;06/02 – Закон за податоци во електронски облик;електронски
потпис
2003/ 2008 – Одлука за дефинирање на сигурност на
Информативниот систем во Банките
Олдука за управувње со ризици, НБРМ 2011
82/19 Ноември 2004 – Уредба за класификации на информациите
16/11 Март 2005 – Индустриска и информатичка безбедност
7/05/2010 - Закон за заштита на личните податоци
2005/09 - Закон за спречување на перење на пари
Кривичен закон на РМ
Закон за јавна внатрешна финансиска контрола / Закон за ревизија
Закон за авторски и сродни права
Закон за електронски комуникации
83 С.М.
ЗАКОН ЗА ТРГОВСКИ ДРУШТВА
ЗАКОН ЗА БАНКИ
С.М. 85
КРИВИЧЕН ЗАКОНИК
НЕОФИЦИЈАЛЕН ПРЕЧИСТЕН ТЕКСТ
С.М. 86
ЗАКОН ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ
ЗАКОН ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ
(Сл.весник на РМ бр.7/05, 103/08 и 124/10)
П Р А В И Л Н И К ЗА ТЕХНИЧКИТЕ И ОРГАНИЗАЦИСКИТЕ МЕРКИ ЗА
ОБЕЗБЕДУВАЊЕ ТАЈНОСТ И ЗАШТИТА НА ОБРАБОТКАТА НА ЛИЧНИТЕ
ПОДАТОЦИ
Контрола на информацискиот систем и информатичката
инфраструктура
Член 25
(1) Информацискиот систем и информатичката инфраструктура на
контролорот задолжително подлежат на внатрешна и надворешна
контрола со цел да се провери дали постапките и упатствата
содржани во документацијата за технички и организациски мерки
се применуваат и се во согласност со прописите за заштита на
личните податоци.
87 С.М.
МЕЃУНАРОДНИ ЗАКОНИ / ПРЕПОРАКИ
SOX
HIPAA
Basel II
GLBA
Тhe Digital Millenium Copyright Act (DMCA)
FISMA - Federal Information Security Management Act of 2002
Computer Fraud and Abuse Act (18 USC 1030)
Electronic Communications Privacy Act 18 USC 2510; 18 USC 2701
EU Directives (Privacy Protection)
Organization for Economic Co-operation and Development's (OECD)
- Guidelines for the Security of Information Systems
88 С.М.
ISACA СТАНДАРДИ / ПРЕПОРАКИ
Стандардите дефинираат задолжителни
барања за ИТ ревизијата и извештаите
Прирачници за примена на стандардите
Процедури нудат примери за следње на
конкретен ревизорски ангажман
89 С.М.
ISACA IS AUDITING STANDRDS
S1 Audit Charter
S2 Independence
S3 Professional Ethics and Standards
S4 Professional Competence
S5 Planning
S6 Performance of Audit Work
S7 Reporting
S8 Follow-up Activities
S9 Irregularities and Illegal Acts
S10 IT Governance
S11 Use of Risk Assessment in Audit Planning
S12 Audit Materiality
S13 Using the Work of Other Experts
S14 Audit Evidence
90 С.М.
ИТ СТАНДАРДИ / ПРЕПОРАКИ
• ITIL – дефинирање на сервисите и процесите во рамките на ИТ во
нивниот животен век: дизајн, испорака, следење на метрика за
исполнетост и континуирана надградба; (ISO 20000).
• CobiT – работна рамка и методологија за управување
/менаџирање на ИТ, односно усогласување на бизнис целите со ИТ
процесите и контролните постапки.
• BS 17799 / ISO 27001 – стандард за воспоставување на систем
за управување со сигурноста на информативните системи
91 С.М.
92 С.М.
ISO 17799/ 27001
• ISO 17799 се користи како генеричка форма за два
стандарди:
• BS 7799 Part 1:2002/ISO 27001
Code of Practice for Information Security
“you should” - Implementation
• BS 7799 Part 2:2002/ISO 27001
Specification for Information Security Management Systems
“you shell” – Certification/Audit
93 С.М.
ISO 17799 / ISO 27001 МОДУЛИ
94 С.М.
ITIL – ISO 20000
95 С.М.
ИНТЕРНЕТ ЛИНКОВИ
www.theiia.com – The Institute of Internal Auditors
www.isaca.org - The Information Systems Audit and Control Association
(ISACA)
www.auditnet.org – Portal for Audit
www.isc2.org – The International Information Systems Security Certification
Consortium (CISSP - Certified Information Systems Security Professional)
www.issa.org – Information Systems Security Association
www.sans.org – SysAdmin; Audit; Network; Security
www.itgeneralcontrols.com/sas-94-it-audit-and-it-internal-control
www.nist.gov - USA, National Institute of Standards and Technology
www.enisa.europa.eu/ENISA - Securing Europe's Information Society
www.sigurnost.info – Портал за информациска сигурност
96 С.М.
ИНТЕРНЕТ ЛИНКОВИ
www.nbrm.gov.mk - циркулар за сигурност на
информативниот систем на банките
www.dzr.gov.mk - Државен завод за ревизија
www.iorrm.org.mk – Инстут за овластени ревизори
www.dzlp.mk - Дирекција за заштита на лични податоци
www.usppft.gov.mk - Управа за спречување на перење на
пари
97 С.М.
ДИСКУСИЈА / ВЕЖБА
БЛАГОДАРАМ НА ВНИМАНИЕТО
Мицков Сашо
http://www.linkedin.com/in/sasomickov