Kontrola i Revizija is-A MF
-
Upload
doris-risdo -
Category
Documents
-
view
229 -
download
0
Transcript of Kontrola i Revizija is-A MF
-
8/3/2019 Kontrola i Revizija is-A MF
1/69
1
KONTROLA I REVIZIJAKONTROLA I REVIZIJA
INFORMACIJSKIH SUSTAVAINFORMACIJSKIH SUSTAVA
VELEUILITE U RIJECISPECIJALISTIKI STUDIJ
INFORMATIKE
Miro Frani, dipl.ing.
O predmetu
Fond sati tjedno 2 sata predavanja + 1 sat seminari (I. semestar)
Oblik nastave Predavanja, seminari
Nain provjere znanja Kolokviji, seminar i zavrni ili popravni ispit
Literatura Panian .: Kontrola i revizija informacijskih sustava, Sinergija,
Zagreb, 2001. Panian ., Spremi M.: Korporativno upravljanje i revizija
informacijskih sustava, Zgombi & Partneri, Zagreb, 2007. Champlain J.: Auditing Information Systems, John Wiley &
Sons, 2003.
O predmetu - nastavak
Sadraj predavanja Potreba kontrole i revizije informacijskih sustava (IS)
Kontrola IS-a
Revizija IS-a
Projekt revizije informacijskog sustava
Revizijski softverski alati
Upravljanje funkcijom revizije IS-a
-
8/3/2019 Kontrola i Revizija is-A MF
2/69
2
O predmetu - nastavak
Seminari Studenti obrauju pojedine teme iz predmetnog podruja i
izlau ih ostalim studentima
Konzultacije Prema rasporedu na stranicama Veleuilita
Potreba kontrole i revizije IS-a
Informacijski sustav (IS)
ivotni ciklus IS-a
Ocjena kvalitete IS-a
Razlozi za provoenje kontrole i revizije IS-a
Definiranje pojmova kontrole i revizije IS-a
Informacijski sustav
dio organizacijskog (poslovnog) sustava kojise bavi prikupljanjem
obradom
pohranjivanjem i
distribucijom
informacija potrebnih zaupravljanje organizacijskim sustavom
-
8/3/2019 Kontrola i Revizija is-A MF
3/69
-
8/3/2019 Kontrola i Revizija is-A MF
4/69
4
Analiza (to, tko, kada, gdje)
Ustanovljavanje okoline i poslovnih zahtjeva Opis postojeeg IS-a Detaljni opis zahtjeva na IS (zahtjevi korisnika)
Model poslovnog sustava, prijedlognovog sustava
Oblikovanje (kako)
Izrada modela IS-a (pogled projektanta)
Razrada rjeenja (pogled izvoaa) Fiziko oblikovanje
Dizajn arhitekture sustava, suelja, baze podataka
Tehnika specifikacija sustava
Izrada
Izgradnja baze podataka
Programiranje procesa (funkcija)
Testiranje
Integracija
Funkcionalni sustav, tehnoloki opis(dokumentacija)
-
8/3/2019 Kontrola i Revizija is-A MF
5/69
5
Uvoenje
Instaliranje sustava
Edukacija korisnika
Informacijski sustav u primjeni
Koritenje i odravanje
Intervencije zbog naknadno uoenih greaka
Manje izmjene zbog poboljanja performansi iliprilagodbe nainu uporabe
Proirenja (dogradnje) u skladu s novim zahtjevima
Informacijski sustav u primjeni
Novi razvojni ciklus
Kontinuirano preispitivanje sustava
Vee izmjene uslijed promjena u poslovanju
Novi projekti
-
8/3/2019 Kontrola i Revizija is-A MF
6/69
6
Kvaliteta IS-a (Uspjenost IS-a)
Mjera odstupanja realne od idealne funkcije sustava
Manje odstupanje = kvalitetniji sustav
Realna (ostvarena) funkcija sustava Skup aktivnosti koji se ostvaruju kao rezultat interakcije
sistemskih elemenata
Idealna funkcija (zamiljena, oekivana) Skup aktivnosti koji bi trebao rezultirati kao posljedica
optimalnih interakcija sistemskih elementa
Utvrivanje kvalitete IS-a
Utvrditi internu kvalitetu sustava Definirati idealnu funkciju sustava Ocijeniti realnu funkciju sustava Izmjeriti odstupanje realne od idealne funkcije
Utvrditi eksternu kvalitetu sustava Izmjeriti doprinos realne funkcije promatranogsustava ostvarivanju kvalitete nadreenogsustava (doprinos IS-a organizacijskom sustavuiji je IS dio)
Odnos interne i eksterne kvalitete IS-a
Interna kvaliteta nuna je za eksternukvalitetu no ne i dovoljna
Sustav koji je interno kvalitetan ne mora biti ieksterno kvalitetan Sluaj kad je idealna funkcija sustava pogreno
definirana (namjerno ili sluajno) pa iako je sustavinterno kvalitetan ne doprinosi kvalitetinadreenog sustava (virusni programi, programikoji ne zadovoljavaju potrebe korisnika ...)
-
8/3/2019 Kontrola i Revizija is-A MF
7/69
7
Potreba kontrole i revizije IS-a
Ostvarivanje oekivane djelotvornosti, uinkovitosti ikvalitete IS-a koji mogu izostati kao posljedica: Trokova gubitka podataka
Trokova donoenja neodgovarajuih ili pogrenih odluka
Trokova zlouporabe informatike opreme
Trokova pogreaka uzrokovanih raunalom
Neadekvatnog vrednovanja opreme, programa i osoblja
Neadekvatnog uvanja privatnosti
Neadekvatnog procesa unapreenja uporabe informatikeopreme
Djelotvornost sustava (engl. effectivnies)
Mjeri se sposobnou sustava ostvarenjemciljeva koji se pred sustav postavljaju
Preduvjet vrednovanja je detaljnopoznavanje zahtijeva korisnika, karakteristika
korisnika i okruenja u kojem sustav djeluje
Uinkovitost sustava (engl. efficiency)
Mjeri se koliinom resursa (oprema HW,SW, komunikacije, ljudi, prostor)potrebnih za ostvarenje postavljenih ciljeva
Uinkovitiji je sustav koji postie iste ciljeveuz manji utroak resursa
Pretpostavka je oskudnost resursa (engl.Scarce Resource)
-
8/3/2019 Kontrola i Revizija is-A MF
8/69
8
Trokovi gubitka podataka
Podaci su kritian poslovni resurs ijim gubitkomorganizacijski sustav gubi informacije: O sebi
O svojoj okolini
O povijesti djelovanja
O budunosti
Nepostojanje uvida u stvarno stanje dovodi doporemeaja u poslovanju i materijalnih ilinematerijalnih teta
Trokovi gubitka podataka
Npr. gubitak podataka o potraivanjima premakupcima nastao uslijed pogreaka u programu, kvarahardvera, nenamjerne ljudske pogreke trebasprijeiti sustavnim stvaranjem priuvnih kopija
Ukoliko ne postoje odgovarajue kontrole rada IS-a
koje provjeravaju procedure stvaranja rezervnihkopija velika je vjerojatnost nastanka tete zboggubitka podataka
Trokovi donoenja neodgovarajuih,odnosno pogrenih odluka
Kvaliteta odluka ovisi o: Kvaliteti podataka/informacija na temelju kojih se
odluka donosi
Pravilima odluivanja
-
8/3/2019 Kontrola i Revizija is-A MF
9/69
9
Utjecaj kvalitete informacija nakvalitetu odluka
Ovisi o tipu odluka koje se donose Strateke odluke koje su globalne, dugorone i
zato visokog stupnja neizvjesnosti mogu toleriratimanje pojedinane pogreke u podacima jer seone utapaju u konanim pokazateljima
Operativne odluke zahtijevaju vrlo visok stupanjtonosti podataka jer je njihov cilj otkrivanje,analiziranje, procjenjivanje i ispravljanje procesakoji ne vode ostvarivanju poslovnih ciljeva (vrlovisoki trokovi otklanjanja pogreaka u podacima)
Utjecaj pravila odluivanja na kvalitetuodluka
Takoer ovisi o tipu odluka koje se donose Npr. ukupni rezultati poslovanja nee se bitno
promijeniti ukoliko se u obraunu amortizacijeprimjeni pogrena stopa za osnovna sredstvamanjih vrijednosti
Npr. pogrean obraun kamata na tedne ulogemoe imati negativan utjecaj na poslovanje banke(primjenjena via kamatna stopa) ili pak gubitaktedia primjenjena manja kamtna stopa)
Utjecaj pravila odluivanja na kvalitetuodluka
Pravila odluivanja naroito su kritina uekspertnim sustavima gdje pogrene odlukene moraju nuno rezultirati materijalnomtetom ali mogu biti katastrofalne za ljudskeivote (medicinska dijagnostika, automatskopilotiranje,...)
-
8/3/2019 Kontrola i Revizija is-A MF
10/69
10
Trokovi zlouporabe informatikeopreme
Zlouparaba je namjerno izazivanje incidenatas ciljem ostvarivanja koristi ili nanoenjatete
rtva trpi ili moe pretrpjeti gubitak ili tetu, apoinitelj namjerno ostvaruje ili bi mogaoostvariti neku korist
Trokovi zlouporabe informatikeopreme
Zlouporaba inae legalnih ovlasti korisnika opreme Napadi hakera Raunalni virusi Ilegalni fiziki pristup opremi i podacima Djelomino ili potpuno onesposobljavanje opreme (sabotaa) Kraa opreme
Modifikacija opreme Ugroavanje privatnosti korisnika opreme Ometanje normalnog rada opreme Neovlatena uporaba opreme Krenje autorskih prava (piratiziranje) Fiziki napadi na osoblje IS-a
Trokovi strojnih pogreaka
Sve vea ovisnost o raunalu Raspoloivost raunala 24 sata na dan, 7 dana u tjednu i
365(366) dana u godini postaju zahtjev bez odstupanja Burzovno poslovanje, e-commerce, Netbanking primjeri su koji
mogu poslovnim subjektima nanijeti ogromne financijskegubitke zbog kvara opreme, hakerskih napada na opremu islinih razloga zastoja u radu raunala
Procesna raunala jo su drastiniji primjer ovisnosti o raunalu(nadgledanje ivotnih funkcija pacijenta, procesi u nuklearnojelektrani, upravljanje zranim prometom, ...)
-
8/3/2019 Kontrola i Revizija is-A MF
11/69
11
Vrijednost opreme, programa i osoblja
Oprema (Hardver), programi (Softver) iosoblje (Lifevare) velika su poslovnavrijednost koju treba uvati ne samo odfinancijskog gubitka (osiguranje imovine) vei od gubitka funkcionalne sposobnosti
Npr. kraa softvera moe imati za posljedicuda povjerljive poslovne informacije dou uruke konkurencije.
Ouvanje privatnosti
Podaci o privatnoj sferi ljudskog ivota(porodino, imovinsko, zdravstveno stanje,obrazovanje, religijska i politikaopredjeljenost itd.) uz razvoj informatiketehnologije postaju dostupniji iroj javnosti iukoliko se ne tite na odgovarajui nainmogu biti predmetom zlouporabe
Problem vie socioloke nego podatkovnesfere
Kontrolirano unapreenje uporabeinformatike opreme
Kvantitativni rast informacijskog sustava trebakontrolirati
Kvantitetu treba transformirati u kvalitetu Iz faze ekspanzije (ekstezivni razvoj zasebnih
dijelova sustava bez odgovarajue koordinacije imeusobne suradnje) treba prijei u fazukonsolidacije u kojoj dolazi do konsolidacije zasebnorazvijenih dijelova sustava
Postupak unapreenja treba nastaviti i u fazikonsolidacije (sazrijevanja) i fazi zrelosti
-
8/3/2019 Kontrola i Revizija is-A MF
12/69
12
Kontrola IS-a
Sustav ija je funkcija pruiti prihvatljiv nivosigurnosti da e biti dostignuti poslovni ciljevii da e neeljeni dogaaji i/ili procesi bitisprijeeni ili otkriveni i ispravljeni
Politike, procedure, organizacija
Svrha kontrole IS-a
Smanjiti tetne posljedice uslijed pojave neeljenihdogaaja ili pokretanja neeljenih procesa u sustavu
Kontrole moraju osigurati prihvatljiv nivo rizika
Kontrolom se utvruje koje mjere treba poduzimatiza ostvarenje postavljenih ciljeva upravljanja
Bitna komponenta upravljanja IS-om
Neeljeni dogaaj/proces
Izvori Neovlateni, nepotpuni, redundantni,
nedjelotvorni ili neuinkoviti ulazi u sustav (npr.unos pogrenog podatka)
Informacijski procesi koji transformiraju ulaz naneovlaten, netoan nepotpun, redundantan,nedjelotvoran ili neuinkovit nain (npr. pogreanprogram)
-
8/3/2019 Kontrola i Revizija is-A MF
13/69
13
Snaga kontrole IS-a
Mjeri se kao kombinacija inherentne(ugraene, oblikovane) snage i vjerojatnostiuinkovitosti kontrole
Elementi vrednovanja kontrole Vrsta kontrole (preventivna, detektivna)
Runa ili programirana
Formalna (dokumentirane procedure i dokazi onjenom provoenju) ili ad hoc
Kontrola IS-a kao sustav
Elementi kontrole Ulazi
Kontrolni procesi
Izlazi
Vrste kontrole IS-a
Preventivne - spreavaju neeljenedogaaje/procese
Detekcijske - otkrivaju neeljenedogaaje/procese
Korektivne - ispravljaju neeljenidogaaj/proces
-
8/3/2019 Kontrola i Revizija is-A MF
14/69
-
8/3/2019 Kontrola i Revizija is-A MF
15/69
15
Detekcijske kontrole IS-a - primjeri
Kontrolne sume Kontrolne toke u produkcijskom radu (JOB
CONTROL) Eho kontrole u telekomunikaciji Dvostruka provjera izrauna Periodini izvjetaji o performansama Funkcije interne revizije Izvjea o dospjelim raunima
Korektivne kontrole IS-a
Minimiziraju utjecaj prijetnji na sustav
Ispravljaju probleme otkrivene detekcijskimkontrolama
Identificiraju uzrok problema
Ispravljaju greke kao posljedicu problema Modificiraju procese da bi minimizirali pojavu
problema u budunosti
Korektivne kontrole IS-a - primjeri
Planiranje sluajnih dogaaja (ContingencyPlanning)
Back-up i Recovery procedure
-
8/3/2019 Kontrola i Revizija is-A MF
16/69
16
Cilj kontrole
eljeni rezultat ili namjera koja se eli postiiimplementiranjem kontrolnih procedura uodreenoj aktivnosti
Primjeri Toan rezultat izrauna (rezultat)
Sprijeiti neovlaten pristup podacima (namjera)
Sustav interne kontrole
Interne raunovodstvene kontrole Usmjerene na raunovodstvene operacije, upravljanje
imovinom i pouzdanost financijskih podataka
Operativne kontrole Usmjerene na dnevne operativne aktivnosti
Administrativne kontrole Usmjerene na operativnu uinkovitost funkcionalnih
podruja i usuglaenost s politikom upravljanja
Ciljevi interne kontrole
Zatita imovine Usklaenost s politikom tvrtke, regulatornim i
zakonskim zahtjevima Autorizacija ulaza Tonost i potpunost procesiranja transakcija Tonost, potpunost i zatita izlaza Pouzdanost procesa Backup/recovery Djelotvornost i uinkovitost operacija
-
8/3/2019 Kontrola i Revizija is-A MF
17/69
17
Ciljevi kontrole IS-a
Informacije su aurne i zatiene od neodgovarajueg pristupa Svaka transakcija je autorizirana i unijeta samo jedanput Sve transakcije se unose i pohranjuju za odgovarajui period Sve odbijene transakcije su ukljuene u izvjea Duplicirane transakcije su ukljuene u izvjea Podaci se pohranjuju (back up) za sluaj obnavljanja Sve promjene softvera su odobrene i testirane .........
Kategorije kontrole IS-a
Ope organizacijske
Pristup podacima i programima
Metodike razvoja
Obrada podataka
Sistemsko programiranje i tehnika podrka
Kvaliteta obrade podataka
Upravljake kontrole
Kontrole koje se odnose na: Funkcije upravljanja informacijskim sustavom
Proces razvoja IS-a
Funkcije upravljanja podacima
Sigurnost IS-a
-
8/3/2019 Kontrola i Revizija is-A MF
18/69
18
Aplikacijske kontrole
Osiguravaju da aplikacijski sustav kao diocjelokupnog IS-a ostvaruje ciljeveouvanja imovine, integriteta podataka tedjelotvornosti i uinkovitosti IS-a
Aplikacijske kontrole
Automatizirane
Uglavnom se odnose na podatke, a manjena procese
Procjena isplativosti izgradnje provodi sena nivou podsustava
Usmjerene na ouvanje imovine iintegriteta podataka
Revizija (engl. Audit)
Formalna, periodina provjera poslovanja Financijska revizija
Operativna revizija
Sveobuhvatna revizija
-
8/3/2019 Kontrola i Revizija is-A MF
19/69
19
Financijska revizija
Cilj je procijeniti ispravnost financijskihzapisa i izvjea
Ukljuuje detaljne, provedbene testove
Operativna revizija
Procjena strukture interne kontrole zaodreeno podruje. Revizija aplikacijskihkontrola i sustava logike zatite primjeri suoperativne revizije IS-a
Sveobuhvatna revizija
Kombinacija financijske i operativne revizije.Ukljuuje postupke provjere usklaenosti iprovedbe.
-
8/3/2019 Kontrola i Revizija is-A MF
20/69
20
Program revizije
Plan provoenja revizije
Temelji se na ciljevima i opsegu definiranimza svaki pojedinani sluaj revizije
Revizija IS-a
Odreena specifinim ciljevima
Temeljni ciljevi revizije prevode se u specifineciljeve revizije IS-a
Npr. Financijsko operativna revizija kontrole ispravnostiknjienja promjena u glavnu knjigu, u reviziji IS-aznait e provjeru da postoje kontrole koje otkrivajugreke u unosu transakcija
Zadatak revizora je razumjeti kako prevesti ciljeveope revizije u specifine ciljeve revizije IS-a
Revizija IS-a
Proces prikupljanja i vrednovanja dokaza natemelju kojih se moe utvrditi uva li se imovina IS-a
Odrava li se integritet podataka
Da li se djelotvorno ostvaruju postavljeni ciljevi
Uinkovitost koritenja informatike tehnologije
Udovoljava li organizacija propisima i pravilima
-
8/3/2019 Kontrola i Revizija is-A MF
21/69
21
Revizija IS-a
IT funkcije i sustavi vrednuju se s razliitihperspektiva Zatite
Kvalitete
Usluga
Uinkovitosti
Pouzdanosti
Sadraja
Svrha revizije IS-a
Identificirati kontrolne ciljeve i odgovarajuekontrole kojima se ti ciljevi postiu
Revizor zapoinje identificiranjem kljunihkontrola i nakon toga donosi odluku o metodi
provjere kontrola
Ciljevi revizije IS-a
Dokazni ciljevi (vanjski revizijski ciljevi) Ouvanje imovine
Integritet podataka
Upravljaki ciljevi (interni revizijski ciljevi) Provjera djelotvornosti i uinkovitosti ostvarivanja
dokaznih ciljeva
-
8/3/2019 Kontrola i Revizija is-A MF
22/69
22
Ciljevi ouvanja imovine
Hardver, softver, digitalizirano znanje,dokumentacija
Problemi Jednostavno otuenje ili unitenje nematerijalne
imovine Geografska rasprostranjenost opreme Poslovanje u virtualnom prostoru (Koritenje
Interneta u poslovanju) gdje fiziku zatitu trebazamijeniti logikom
Problemi zatite intelektualnog vlasnitva
Ciljevi ouvanja integriteta podataka
Integritet podataka je stanje u kojem supodaci Potpuni Nedvosmisleni (jednoznani, jasni) Precizni (isti) Toni (istiniti)
Izostanak integriteta ima za posljedicunerealnu sliku stanja organizacije ili akgubitak znanja o poslovanju
Ciljevi ouvanja integriteta podataka
Potpunost Za svaki poslovni dogaaj potrebno je voditi
sve relevantne podatke
Nedvosmislenost Podaci informacijskog sustava mogu se
tumaiti na samo jedan nain
-
8/3/2019 Kontrola i Revizija is-A MF
23/69
23
Ciljevi ouvanja integriteta podataka
Preciznost (istoa) Jednom zahvaen, pohranjen i obraen podatak
ne smije biti uzrok greaka
Istinitost (tonost) Podaci moraju vjerno odraavati dogaaje na
koje se odnose
Vrijednost podatka
Vrijednost informacijskog sadraja podatka sastajalita donositelja odluke Mjeri se stupnjem otklanjanja neizvjesnosti u donoenju
odluka
Mjera dijeljenja podatka Sloena funkcija koja odraava ukupnost pojedinanih
vrijednosti podataka za pojedinane korisnike
Vrijednost podatka sa stanovita konkurencije Mjeri se ostvarenom konkurentskom prednou ili gubitkom
prednosti zbog neintegriranosti podatak
Revizija djelotvornosti sustava
Post implementacijska Utvruje da li sustav zadovoljava postavljene ciljeve
Nalazi su osnova za odluku o zadravanju sustava bezpromjena, manjoj ili veoj izmjeni sustava ili ak naputanjasustava
U fazi oblikovanja Pomo u razrjeavanju potekoa u komunikaciji korisnika i
projektanata
Pomo menadmentu u ocjeni da li predloeni dizajnudovoljava potrebama korisnika
-
8/3/2019 Kontrola i Revizija is-A MF
24/69
24
Revizija uinkovitosti sustava
Uinkovitost nije izolirana osobina nekogsustava (posebno u sluaju nadreenogsustava)
Poveanje uinkovitosti jednog sustavamoe ii na tetu nekog drugog(preraspodjela resursa, ekskluzivnopridjeljivanje resursa nekom sustavu)
Problemi u sluaju nedostatka priuvnihresursa
Revizija uinkovitosti sustava
U sluaju degradacije kvalitete sustava (npr.due odzivno vrijeme) potrebno je procijenitimoe li se uinkovitost unaprijediti beznabavke novih resursa
Preduvjet donoenja odluke je ocjena da li suraspoloivi resursi optimalno iskoriteni i da lisu uska grla rezultat neuinkovitih aplikacija
Revizijske metode i tehnike
Pravila i postupci koje revizori primjenjuju uprocesu revizije Procjena rizika
Prikupljanje i vrednovanje dokaza
Verifikacija
Priopavanje rezultata
-
8/3/2019 Kontrola i Revizija is-A MF
25/69
25
Revizijske metode i tehnike
Intervjui
Upitnici
Inspekcije, pregledi
Opaanja
Testiranje kontrola
Testovi transakcija
Testovi ukupnih rezultata
Analitike revizijske procedure
Revizijske metode i tehnike
CAAT Computer Assisted Audit Technique Generatori testnih podataka
Ekspertni sustavi
Snapshot praenje tijeka transakcije u
pojedinim tokama Ugraeni revizorski softverski moduli u
aplikacijski sustav
......
Revizijski rizici
Risk is a concept that denotes a potential negative impact to an asset or somecharacteristic of value that may arise from some present process or futureevent. In everyday usage, "risk" is often used synonymously with the probabilityof a loss or threat. In professional risk assessments, risk combines theprobability of an event occurring with the impact that event would have and withits different circumstances.
Risk does not always only refer to the avoidance of negative outcomes. In gametheory and finance, risk is only a measure of the variance of possible outcomes.Insurance is a classic example of an investment that reduces risk the buyerpays a guaranteed amount, and is protected from a potential large loss.Gambling is a risk increasing investment, wherein money on hand is risked fora possible large return, but also the possibility of losing it all. By this definition,purchasing a lottery ticket is an extremely risky investment (a high chance of noreturn, but a small chance of a huge return), while putting money in a bank at adefined rate of interest is a risk-averse course of action (a guaranteed return ofa small gain). (Wikipedia)
-
8/3/2019 Kontrola i Revizija is-A MF
26/69
26
Revizijski rizici
Audit risk is a term that is commonly applied in relation to theaudit of the financial statements of an entity. (See financialaudit). The primary objective of such an audit is to provide anopinion as to whether or not the financial statements presentfairly the financial position and results of the entity. Audit risk isthe risk of the auditor providing an inappropriate opinion on thefinancial statements. In other words, it is the risk of the auditorstating the financial statements present fairly the financialposition of the entity, when in fact they do not. (Althoughsignificantly a lesser risk, audit risk also encompasses the riskof the auditor stating the financial statements do not presentfairly the financial position of the entity, when in fact they do.)(Wikipedia)
Inherentni rizik
Inherent risk is the auditor's assessment that there may not bematerial misstatements in the financial statement beforeconsidering the effectiveness of internal controls. If the auditorconcludes that there is a high likelihood of misstatement,ignoring internal controls, the auditor would conclude that theinherent risk is high. Internal controls are ignored in settinginherent risk because they are considered separately in the
audit risk model as control risk. It is often an area ofprofessional judgement on the part of an auditor. Examples ofaccounts with low inherent risk are fixed assets, easy toobserve, or securities traded in the stock market whose marketprice is easily observable. (Wikipedia)
Kontrolni rizik (engl. Control risk)
Control risk is a measure of the auditor's assessment ofthe likelihood that misstatements exceeding atolerable level will not be prevented or detected bythe client's internal control system. This assessmentincludes an assessment of whether a client's internalcontrols are effective for preventing or detectingmisstatements and the auditor's intention to makethat assesment at a level below the maximum (100percent) as part of the audit plan. (Wikipedia)
-
8/3/2019 Kontrola i Revizija is-A MF
27/69
27
eljeni (prihvatljivi) revizijski rizik
Desired (Acceptable) audit risk is a measure of how willing theauditor is to accept that the financial statements may bematerially misstated after the audit is completed and anunqualified (or clean) opinion was issued. If the auditor decidesto lower audit risk, that means that the auditor wants to be morecertain that the financial statements are not materially misstated
The product of inherent risk and control risk is referred to as theRisk of Material Misstatement. It is allowable to make acombined assessment of inherent and control risk, called Riskof Material Misstatement. (Wikipedia)
Revizijski rizici u reviziji IS-a
Vjerojatnost da revizor ne utvrdi stvarne ilipotencijalne gubitke koji su posljedicaneodgovarajueg ili neuinkovitog djelovanjainformacijskog sustava
Revizijski rizici u reviziji IS-a
Inherentni (sadrani) rizik (IR) Vjerojatnost da e postojati materijalni gubitak
prije procjene pouzdanosti internih kontrola
Kontrolni rizik (CR) Vjerojatnost da interne kontrole nee otkriti ili
sprijeiti materijalne gubitke
Detekcijski rizik (DR) Vjerojatnost da revizijske procedure nee otkriti
materijalne gubitke
-
8/3/2019 Kontrola i Revizija is-A MF
28/69
-
8/3/2019 Kontrola i Revizija is-A MF
29/69
29
Dokaz
Bilo koja informacija koju revizor koristi da biodredio da li predmet revizije udovoljavapostavljenim kriterijima ili ciljevima revizije(zapaanja, biljeke s intervjua, izvaci internedokumentacije, rezultati revizijskih testova)
Odrednice pouzdanosti dokaza
Nezavisnost pruatelja dokaza vanjskiizvori pouzdaniji
Kvalifikacija pruatelja informacije ili dokaza(odnosi se i na revizora)
Objektivnost, kvaliteta i kvantiteta dokaza(analiza uinkovitosti aplikacije temeljena narazgovoru s osobljem ne moe biti objektivnidokaz)
Tehnike prikupljanja dokaza
Pregled organizacijske strukture IS-a
Pregled dokumentacije IS-a
Intervjuiranje i anketiranje
Promatranje radnog procesa
-
8/3/2019 Kontrola i Revizija is-A MF
30/69
30
Pregled organizacijske strukture IS-a
Organizacijska struktura koja osiguravaodvajanje funkcija osoblja dokaz jeimplementacije preventivne kontrolespreavanja zlouporabe
Pregled dokumentacije IS-a
Pregled standarda i prakse dokumentiranja Primjeri dokumenata
Dokumenti inicijacije procesa razvoja Funkcionalne specifikacije Dokumentiranje promjena Korisniki prirunici
Specifikcije baze podataka Programske liste .....
Ovi tradicionalni dokumenti u sluaju koritenja CASE alata unekoj su drugoj formi ali se i dalje procjenjuju standardi i praksa
Intervjuiranje i anketiranje
Cilj je Razumjeti organizaciju i aplikacije u sustavu koji
je predmet revizije Ocijeniti razinu rizika istraivanog sustava Razumjeti kontrolnu strukturu Ocijeniti razine kontrole (djelotvornost kontrola u
smanjenju rizika) Pripremiti testove pouzdanosti kontrola koje e se
koristiti u postupku revizije
-
8/3/2019 Kontrola i Revizija is-A MF
31/69
-
8/3/2019 Kontrola i Revizija is-A MF
32/69
32
Identifikacija osoba za intervju
Administrativno osobljeIzbor ulaznih kontrola
Osoblje IS-a zadueno zaodreeno aplikacijskopodruje
Ocjena djelotvornostidetektivne kontrole
Korisnici, operativnoosoblje, kontrolor sustava
Procjena razine rizikaprimjene IS-a
Sistemski analitiari iprogrameri
Razumijevanje kontrolneorganizacijske funkcije
OsobaCilj
Voenje intervjua
Pristup Otvoriti razgovor - stvoriti prijateljsku i radnu atmosferu
Navesti ciljeve
Razjasniti nesporazume
Ublaiti otpor
Najaviti biljeke tijekom intervjua - naglasiti vanostdokumentiranja
Eventualno zatraiti doputenje za snimanje razgovora(biti oprezan)
Voenje intervjua
Pitanja Koristiti otvorena pitanja to radite?, Opiite ...
(zatvorena pitanja daju odgovore da/ne koristiti ihrijetko, samo kao potvrdu odgovora na otvorenapitanja)
Sugovornika postaviti u aktivnu ulogu
Pitanja prilagoditi sugovorniku - ne postavljati pitanjaizvan kompetencija sugovornika (uputit e na druguosobu)
-
8/3/2019 Kontrola i Revizija is-A MF
33/69
-
8/3/2019 Kontrola i Revizija is-A MF
34/69
-
8/3/2019 Kontrola i Revizija is-A MF
35/69
35
Oblikovanje izgleda i struktureanketnog upitnika
Ovisi o nainu anketiranja (neposredno iposredno putem pote ili Interneta)
Cilj Poveati stopu odgovaranja (engl. Answering
Rate) - voljnost za odaziv na anketu Jasan, pregledan, jednostavan, logian i vizualno
privlaan upitnik Primjerene duine Smanjiti dodatni napor, vrijeme i troak anketirane
osobe
Upotrebljivost rezultataanketiranja
Pouzdanost Anketa je pouzdana ako daje iste rezultate u
ponovljenom postupku ukoliko u meuvremenu nijedolo do bitnih injenica ( u praksi se to tekodokazuje)
Usporedba odgovora na sline skupine pitanja (Kakoocjenjujete IS? i Zadovoljava li IS vae potrebe? Zaoekivati je da ukoliko je odgovor loe na prvopitanje, na drugo e biti NE ili DJELOMINO)
Postavljanje vie pitanja koji se odnose na isti problemili pojavu
Upotrebljivost rezultataanketiranja
Vjerodostojnost Anketa je vjerodostojna ako se njome moe
ocijeniti (procijeniti) predmet interesa (cilj)
Npr. Cilj ankete je ocijeniti mogunost nastavkarada u sluaju kvara opreme.
Pitanjem: Da li je oprema osigurana u sluajukvara? moemo dobiti pouzdan odgovor DA no tonije vjerodostojno jer osiguranjem smo pokrilitroak popravka ali ne i posljedicu.
-
8/3/2019 Kontrola i Revizija is-A MF
36/69
-
8/3/2019 Kontrola i Revizija is-A MF
37/69
-
8/3/2019 Kontrola i Revizija is-A MF
38/69
-
8/3/2019 Kontrola i Revizija is-A MF
39/69
39
Alati za mjerenje performansi IS-a
Obiljeja IS-a za ocjenu performansi Indikatori performansi (npr. vrijeme odziva)
Parametri radnog optereenja (broj istovremenihkorisnika sustava, zauzee memorije, postotakkoritenja procesora, ...)
Sistemski parametri - imbenici koji utjeu nasposobnost sustava da udovolji radnomoptereenju (broj raspoloivih ulaza, brzinaprocesora, brzina prijenosa, ...)
Alati za mjerenje performansi IS-a -komponente
Senzor - otkriva i mjeri dogaaje
Selektor - selektira podskup dogaaja koji e sekontrolirati
Procesor - transformira prikupljene podatke zapohranjivanje i stvaranje izlaznih rezultata
Rekorder - upisuje podatke na trajnu memoriju
Reporter - prezentira korisniku prikupljeneinformacije
Alati za mjerenje performansi IS-a tipovi mjerenja
Praenje - biljei se niz nastupa dogaaja (online zahtjevkorisnika, poetak i zavretak transakcije, ...)
Trajanje dogaaja (vrijeme odgovora na online upit) Relativno trajanje - omjer stvarnog trajanja i rada stroja
(utroeno procesorsko vrijeme, zauzetost kanala) Uestalost dogaaja - broj nastupa dogaaja u jedinici vremena
(broj online korisnikih zahtijeva u minuti) Distribucija dogaaja - mjeri se uestalost dogaaja tijekom
nekog vremenskog intervala (vrna optereenja)
-
8/3/2019 Kontrola i Revizija is-A MF
40/69
-
8/3/2019 Kontrola i Revizija is-A MF
41/69
-
8/3/2019 Kontrola i Revizija is-A MF
42/69
42
Vrednovanje dokaza
Utvrivanje teine (ponderiranja) prikupljenih dokaza i njihovosintetiziranje s ciljem donoenja zakljuaka o kvalitetirevidiranog IS-a
Ponderiranje je sloen proces za koji nema recepta Vrednovanje dokaza zasniva se preteito na revizorovoj
sposobnosti prosudbe, pa se pri vrednovanju dokaza revizorusmjerava na etiri odluke koje mora donijeti: uva li se imovina IS-a? Odrava li se integritet podataka? Ostvaruje li sustav ciljeve (djelotvornost)? Ostvaruje li sustav ciljeve uinkovito?
Mjerilo ouvanja imovine
Oekivani gubitak koji e se pojaviti ukoliko se imovinauniti, ukrade ili koristi na nedoputen nain ili unedoputene svrhe
Svakom iznosu gubitka pridjeljuje se neka vjerojatnostpa se oekivani gubitak moe izraunati kao suma
umnoaka iznosa gubitka i vjerojatnosti tog gubitka
ii gpOG =OG = oekivani gubitak
ip Vjerojatnost i-tog iznosa
ig Iznos i-tog gubitka
Mjerilo integriteta podataka
Numerika vrijednost pogreke u podacima
Koliina pogreaka u podacima (uestalost)
Distribucija pogreaka
Izvori tkzv. deterministikih pogreaka (pouzdano sezna izvor pogreke - npr. algoritam za izraun kamata)
-
8/3/2019 Kontrola i Revizija is-A MF
43/69
-
8/3/2019 Kontrola i Revizija is-A MF
44/69
-
8/3/2019 Kontrola i Revizija is-A MF
45/69
-
8/3/2019 Kontrola i Revizija is-A MF
46/69
46
Ocjena samouinkovitosti korisnika
Procjena sposobnosti koritenja raunalom. Odnosi se nabudue koritenje sustava. Od korisnika se oekuje darazmotre novi programski produkt, odgovore da li bi immogao pomoi u obavljanju posla i koliko vjeruju svojojprocjeni.
Pri ocjeni globalne djelotvornosti sustava ova ocjena nijeuvijek interesantna, posebno u sluajevima kad sukorisnici ve koristili slian sustav.
Ocjena uporabe IS-a
Kako korisnici korite sustav (dragovoljno, pod prisilom).Mjeri se jakost i uestalost uporabe preko pokazateljapoput: Trajanje veze sa sustavom
Broj upita
Broj aktiviranih sistemskih funkcija Broj slogova kojima se pristupilo
Broj generiranih izvjetaja
Za ocjenu uporabe relevantan je i podatak tko se sluiinformacijskim sustavom.
Ocjena utjecaja IS-a na pojedinca
Procjena djelotvornosti sustava zahtijeva razmatranjeutjecaja na:
Obavljanje radnih zadataka - da li korisnici izvravajubolje svoje radne zadatke Donose tonije odluke
Skrauju vrijeme donoenja odluka
Bre i kvalitetnije opsluuju klijente
Poveavaju kvalitetu proizvoda i usluga
Kvalitetu radnog ivota sigurni i zdravi
-
8/3/2019 Kontrola i Revizija is-A MF
47/69
47
Ocjena utjecaja IS-a na pojedinca
Kvaliteta radnog ivota Sigurni i zdravi radni uvjeti
anse za promociju svojih sposobnosti
Sigurnost zaposlenja
Socijalna integracija u radnu sredinu
Uravnoteenost radnog i privatnog ivota
Odgovarajua novana primanja
Ocjena utjecaja IS-a na pojedinca
Kvaliteta radnog ivota - indirektni pokazatelji Izostajanje s posla
Stopa zakanjavanja
Fluktuacija
Nezgode na radu
Bolovanja Krae/sabotae
Ocjena zadovoljstva korisnika IS-om
Jedno od vanih mjerila za procjenu djelotvornosti IS-a.Djelotvoran IS preduvjet je zadovoljstva korisnika.Zadovoljstvo korisnika moe se ispitati kroz: Odnos korisnika i informatiara
Provedbu zahtijeva za promjenama
Aurnost i pravodobnost informacija
Razinu uvjebanosti za rad sa sustavom
Koliinu izlaza
Raspoloivu dokumentaciju
Ovisnost korisnika o IS-u
-
8/3/2019 Kontrola i Revizija is-A MF
48/69
48
Ocjena utjecaja IS-a na organizaciju
Djelotvornost IS-a procjenjuje se razmatranjem ciljevaorganizacije i sposobnou IS-a da podupre ostvarenjetih ciljeva.
Organizacijska djelotvornost Ovisi o modelu evaluacije tj. ciljevima koje menadment eli
ostvariti implementacijom IS-a
Ekonomska djelotvornost Utjecaj IS-a na profitabilnost (paradoks produktivnosti)
Utjecaj IS-a na produktivnost
Utjecaj IS-a na vrijednost za potroaa
Ocjena utjecaja IS-a na organizaciju
Prikupljanje dokaza: Identifikacija koristi od IS-a (direktne i indirektne)
Identifikacija trokova IS-a (razvojni i operativni)
Usporedba trokova i koristi
Utvrivanje neto sadanje vrijednosti IS-a
Ocjena utjecaja IS-a na organizaciju
Prikupljanje dokaza: Identifikacija koristi od IS-a (direktne i indirektne)
Identifikacija trokova IS-a (razvojni i operativni)
Usporedba trokova i koristi
Utvrivanje neto sadanje vrijednosti IS-a
-
8/3/2019 Kontrola i Revizija is-A MF
49/69
49
Projekt revizije IS-a
Izraditi i implementirati strategiju revizije IS-a u skladu sastandardima, smjernicama i najboljom praksom revizije IS-a
Planirati ciljanu reviziju u cilju utvrivanja da su informatikatehnologija i poslovni sustavi zatieni i kontrolirani
Provesti reviziju u skladu sa standardima, smjernicama inajboljom praksom s ciljem ostvarivanja planiranih ciljeva
Saopiti proizale probleme, potencijalne rizike i rezultaterevizije kljunim korisnicima
Dati preporuke vezane za upravljanje rizicima i primijenjenimkontrolama
Faze projekta revizije IS-a
Planiranje revizije
Testiranje kontrola
Testiranje transakcija
Testiranje ukupnih rezultata
Zavretak revizije
Planiranje revizije
Definiranje projektnog tima i projektnogmenadmenta (Program Management)
Osiguranje resursa za provoenje revizije
Izrada programa revizije
Definiranje follow-up aktivnosti (provjerapoduzetih korektivnih akcija)
-
8/3/2019 Kontrola i Revizija is-A MF
50/69
-
8/3/2019 Kontrola i Revizija is-A MF
51/69
51
Testiranje kontrola
Postavlja se nova razina rizika ovisno orezultatima testiranja kontrola
Razina rizika se moe povisiti ili sniziti ovisnoo tome da li je rezultat testiranja kontrolapokazao da su kontrole slabije ili jae odpretpostavki prije testiranja
Testiranje transakcija
U sluajevima kad je cilj revizije utvrditi da li je ISuzrok negativnih uinaka u poslovanju (npr. gubici uposlovanju) provjerava se ispravnost transakcija(npr. obraun plae, rate kredita i sl.)
U sluaju kad je cilj revizije utvrditi da li IS doprinosi
unapreenju rezultata poslovanja provjerava sedjelotvornost i uinkovitost transakcija (npr. inicira lisustav automatski ispis opomena dunicima)
Testiranje transakcija
U oba sluaja nastoji se izbjei znaajnoskuplje globalno testiranje ukupnih rezultata
Ako testiranje transakcija pokae da su venastali ili bi mogli nastati materijalni gubicizbog pogrenog ili neadekvatnog rada IS-apristupa se proirenju testova ukupnihrezultata
-
8/3/2019 Kontrola i Revizija is-A MF
52/69
52
Testiranje ukupnih rezultata
Cilj je pribavljanje dovoljne koliine dokazaza donoenje konane prosudbe ofunkcioniranju IS-a i njegovog uinka naposlovanje s aspekta Ouvanja imovine i integriteta podataka
Djelotvornosti i uinkovitosti sustava
Testiranje ukupnih rezultata
Ouvanje imovine i integriteta podataka Tipini testovi radi provjere rezultata inventure (zalihe, otpis) U sluaju da su revizori utvrdili pouzdanost kontrola
prethodnim testiranjem broj i opseg ovih testova e seograniiti
Djelotvornost i uinkovitost sustava
Testiranje se provodi razgovorom s korisnikom aplikacijskogpodruja temeljem kojeg se procjenjuje gubitke za koje sevjeruje da su nastali jer sustav nije korisniku pruio rezultatekoji bi bili podloga donoenju kvalitetnih odluka (npr.donoenje odluke o prodaji deviza neposredno je vezano uzinformaciju o likvidnosti pa nepravovremeno dobivanje teinformacije moe inicirati pogrenu odluku)
Zavretak revizije
Eventualno provoenje nekih dodatnih testova
Prosudba o tome da li je funkcioniranjem IS-a dolodo nekih gubitaka
Prognoziranje moguih buduih gubitaka jer kontrolenisu optimalne ali do sada to nije rezultiralo gubicima
Sastavljanje izvjea za menadment Dokumentira svaku manjkavost kontrola
Miljenje o moguim posljedicama takvih kontrola
Prijedlog za preventivne i korektivne akcije
-
8/3/2019 Kontrola i Revizija is-A MF
53/69
53
Podruja revizije IS-a
Planiranje i organizacija IS-a Tehnika infrastruktura i operativna praksa Zatita informacijskih resursa Disaster/recovery - Business Continuity Razvoj, nabava , uvoenje i odravanje
poslovnih aplikacija Vrednovanje poslovnih procesa i upravljanje
rizicima
Planiranje i organizacija IS-a
Zadatak revizije je procijeniti IS strategiju i proces njenog razvoja, uvoenja i odravanja da
bi se utvrdilo da IS strategija podrava poslovne ciljeve Politiku, standarde, procedure i procese IS-a radi utvrivanja da
podravaju IS strategiju Praksu menadmenta IS-a koja treba biti usuglaena s
politikama, standardima, procedurama i procesima Organizacijsku strukturu IS-a koja mora osigurati odgovarajuu
podrku poslovnim zahtjevima Izbor rukovodstva i vanjskih partnera koji e podravati IS
strategiju
Planiranje i organizacija IS-a
Indikatori potencijalnih problema Neprilian odnos krajnjih korisnika Pretjerani trokovi Prekoraenje budeta Zakanjeli projekti Fluktuacija osoblja Neiskusno osoblje este greke softvera/hardvera Prevelik broj nerijeenih korisnikih zahtijeva Predugo vrijeme rjeavanja zahtijeva
-
8/3/2019 Kontrola i Revizija is-A MF
54/69
54
Planiranje i organizacija IS-a
Indikatori potencijalnih problema Velik broj prekinutih ili odgoenih projekata Nepodrana ili neautorizirana nabavka HW/SW este nadogradnje HW/SW Znatan broj izvjetaja o prigovoru Nerijeeni prigovori Slaba motivacija Nedostatak slijednih planova Oslanjanje na jednu ili dvije kljune osobe
Planiranje i organizacija IS-a
Postupci u prikupljanju dokaza
Pregled dokumentacije Strateki plan
Politika sigurnosti
Dijagram organizacijske strukture
Opis poslova IT osoblja Izvjetaji upravljakog odbora
Operativne procedure
Procedure upravljanja promjenama
Planiranje i organizacija IS-a
Postupci u prikupljanju dokaza Intervjui i promatranje osoblja u obavljanju
njihovih zaduenja Provjera da funkciju obavlja upravo osoba iji je
to posao Provjera da osoblje razumije i radi u skladu sa
sigurnosnim politikama Provjera da se provodi odvajanje zaduenja i
pridruenih odgovornosti
-
8/3/2019 Kontrola i Revizija is-A MF
55/69
55
Planiranje i organizacija IS-a
Postupci u prikupljanju dokaza
Pregled faza ugovora Priprema tendera
Objava natjeaja
Izbor
Prihvaanje ugovora
Odravanje ugovora (aneksiranje)
Praenje izvrenja ugovornih obveza
Tehnika infrastruktura i operativnapraksa
Zadatak revizije je procijeniti Da nabava, instalacija i odravanje hardvera
osigurava uinkovit rad IS-a i podrava poslovnezahtjeve te da je kompatibilna sa strategijomorganizacije
Da je razvoj/nabava, uvoenje i odravanje softvera
takvo da podrava poslovne zahtjeve i strategijuorganizacije Da nabava, instalacija i odravanje mrene
infrastrukture osigurava uinkovit rad IS-a i podravaposlovne zahtjeve
Tehnika infrastruktura i operativnapraksa
Zadatak revizije je procijeniti
Da operativna praksa IS-a osiguravaefikasno koritenje tehnikih resursa
Koritenje procesa, alata i tehnika zapraenje rada i mjerenje performansi sustava
-
8/3/2019 Kontrola i Revizija is-A MF
56/69
56
Tehnika infrastruktura i operativnapraksa
Postupci revizije
Pregled hardvera Istraiti procedure upravljanja kapacitetom i
procedure za vrednovanje performansi
Istraiti plan nabave hardvera
Istraiti kriterije izbora mikroraunala (PC)
Istraiti kontrole upravljanja promjenama
Tehnika infrastruktura i operativnapraksa
Postupci revizije
Pregled operacijskog sustava Istraiti proces odabira
Istraiti cost/benefit analizu
Istraiti kontrole instalacije i promjena sistemskog softvera
Istraiti aktivnosti odravanja softvera Istraiti sistemsku dokumentaciju
Istraiti sigurnost sistemskog softvera
Istraiti DBMS
Tehnika infrastruktura i operativnapraksa
Postupci revizije
Pregled baze podataka Istraiti dizajn, pristup, administraciju, interfejse i
portabilnost (prenosivost)
-
8/3/2019 Kontrola i Revizija is-A MF
57/69
-
8/3/2019 Kontrola i Revizija is-A MF
58/69
-
8/3/2019 Kontrola i Revizija is-A MF
59/69
59
Disaster/Recovery - BusinessContinuity
Postupci revizije Pregled plana nastavka poslovanja Vrednovanje prethodnih testnih rezultata Vrednovanje off-site lokacije Pregled ugovora o alternativnom
procesiranju Pregled pokrivenosti osiguranjem (police
osiguranja)
Razvoj, nabava , uvoenje i odravanjeposlovnih aplikacija
Zadaci revizije Vrednovati procese razvoja i uvoenja aplikacija
Vrednovati procese nabave i uvoenja aplikacija
Vrednovati procese odravanja aplikacija
Razvoj, nabava , uvoenje i odravanjeposlovnih aplikacija
Postupci revizije Pregled dokumentacije pojedinih faza razvoja IS-a (primjer
tradicionalnog pristupa) Studija izvodivosti Definicija zahtjeva Nabava softvera Detaljni dizajn Programiranje Testiranje Faza uvoenja Postimplementacijsko istraivanje Procedure promjene sustava i proces migracije
-
8/3/2019 Kontrola i Revizija is-A MF
60/69
60
Vrednovanje poslovnih procesa iupravljanje rizicima
Zadaci revizije Vrednovati djelotvornost i uinkovitost IS-a
Vrednovati kontrole rizika poslovnih procesaa
Vrednovati projekte promjene poslovnih procesa
Vrednovati kako organizacija implementiraupravljanje rizicima
Revizija kao poslovna funkcija
Planiranje
Organizacija
Kadrovi
Voenje
Kontrola
Mjerenje uspjenosti
Planiranje revizije
Dugorono Smjernice za obavljanje funkcije revizije Planiranje resursa za obavljanje revizije Okvir za kratkorono planiranje Cilj je ostvarivanje misije poslovnog sustava Ovisno o karakteru organizacije na koju se
odnosi i prirodu poslovanja
Kratkorono Planiranje programa upravljanja rizicima
-
8/3/2019 Kontrola i Revizija is-A MF
61/69
-
8/3/2019 Kontrola i Revizija is-A MF
62/69
62
Kadrovsko ekipiranje funkcije revizije
Koristi se standardni pristup upravljanjaljudskim resursima Zapoljavanje
Edukacija - struno usavravanje
Razvoj karijere Motivacija
Voenje funkcije revizije
Uskladiti ciljeve revizije Pojedinane revizije moraju biti usklaene s
opim ciljevima revizije poslovanja Provoditi pojedinane revizije u skladu s
ciljevima kratkoronih planova Ciljevi revizije moraju podravati ostvarenje
misije tvrtke
Motivacija osoblja Poticanje kreativnosti i inovativnosti
Kontrola funkcije revizije
Cilj je poveati kvalitetu funkcije revizijeradi unapreenja poslovanja tvrtke
Redovno provjeravanje poduzetih revizijaradi provjere usklaenosti s postavljenimstandardima kvalitete i planovima
Povremeno provoditi eksternu provjerufunkcije revizije
-
8/3/2019 Kontrola i Revizija is-A MF
63/69
-
8/3/2019 Kontrola i Revizija is-A MF
64/69
64
Kvaliteta revizijskih zakljuaka iizvjea
Sadraj - da li su dani odgovori na pitanja: Utjeu li informacije na donoenje odluka i smanjuju li
rizik pri donoenju odluka Relevantnost, tonost, pravodobnost informacija Zadovoljava li IS potrebe korisnika Poveava li se djelotvornost i uinkovitost rada osoblja
tvrtke Poveava li IS konkurentsku prednost tvrtke
Forma Standardizacija formata izvjea Lako razumijevanje i tumaenje sadraja Neredundantnost sadraja
Utjecaj funkcije revizije na rad IS-a
Uestalost (redovita, neredovita) ili akizostanak revizije utjeu na sljedeeaspekte rada i djelovanja IS-a:
Koritenje rezultata rada IS-a od stranemenadmenta
Vrednovanje rada informatikog osoblja Razinu kvalitete aplikacija Utjecaj IS-a na upravljako odluivanje Ocjena prikladnosti koritenih kontrola
Revizija kao profesija
ISACA (Information Systems Audit andControl Association)
CISA (Certified Information Systems Auditor)
CISM (Certified Information SecurityManager)
COBIT (Common Objective for Busines andInformation Technology)
-
8/3/2019 Kontrola i Revizija is-A MF
65/69
-
8/3/2019 Kontrola i Revizija is-A MF
66/69
-
8/3/2019 Kontrola i Revizija is-A MF
67/69
-
8/3/2019 Kontrola i Revizija is-A MF
68/69
68
COBIT okvir
POSLOVNI ZAHTJEVI
IT RESURSIIT PROCESI
COBIT okvir - poslovni zahtjevi
Poslovni zahtjevi = Informacijski kriteriji Zahtjevi kvalitete (kvaliteta, trokovi,
pravovremenost) Zahtjevi povjerenja (djelotvornost i
uinkovitost, pouzdanost informacija,usklaenost sa zakonskom regulativom)
Zahtjevi sigurnosti i zatite (povjerljivost,cjelovitost, raspoloivost)
COBIT okvir - IT resursi
Podaci Aplikacije (aplikacijski podsustavi) Oprema (HW, operacijski sustavi, DBMS,
mrea, multimedia, ....) Prostor Ljudi (sposobnost osoblja za planiranje ,
organizaciju, isporuku, podrku i praenjeinformacijskog sustava)
-
8/3/2019 Kontrola i Revizija is-A MF
69/69