Predstavitev revizorske stroke in odnos do varnosti IT

1
Predstavitev revizorske stroke in odnos do
varnosti IT

• Peter Grasselli, CISA
• Franci Tajnik, CISA, CISM

2
Vsebina

• varovanje informacij
• organiziranost revizorjev informacijskih sistemov
  
• standardi in dobra praksa
• COBIT
• revizijski pregled

3
1985 prvi avto1997 Euro NCAP
1945 ENIAC1978 ISACA/CISA
4
Tveganje je verjetnost, da se bo z napadom na
doloceno slabost sistema uresnicila dolocena
grožnja, kar bo imelo neželene posledice.
Ariane 5 ( let 501, junij 1996) The problem was
caused by an Operand Error' in converting data
in a subroutine from 64-bit floating point to
16-bit signed integer.
5
Varovanje
informacij
6

• North America
• Islands
• BermudaTrinidad TobagoUnited States of
  America
• AlabamaAlaskaArizonaArkansasCaliforniaColorad
  oConnecticutFloridaGeorgiaHawaiiIdahoIllinoi
  sIndianaIowa
• OklahomaOregonPennsylvaniaSouth
  CarolinaTennesseeTexasUtahVirginiaWashington
  Washington, DCWisconsin

Netherlands Norway Poland Romania Russia Scotland
Slovenia Slovensko Spain Sweden Switzerland United
Kingdom Netherlands Norway Poland Romania Russia
Scotland

• Africa
• Nigeria
• South Africa
• Tanzania
• Europe
• Austria
• Belgium
• Croatia
• Czech Republic
• Denmark
• Estonia
• Finland
• France
• Germany
• Greece
• Hungary
• Ireland
• Israel
• Italy

KentuckyLouisianaMarylandMassachusettsMichigan
MinnesotaMississippiMissouriNebraskaNew
JerseyNew MexicoNew YorkNorth CarolinaOhio
Central South America ArgentinaBoliviaBrasilC
hileColombiaCosta RicaEcuadorMexicoPanamaPer
uPuerto RicoUruguayVenezuela

• Oceania
• AdelaideBrisbaneCanberraMelbournePerthSydney
• Auckland, NZPapua New Guinea

• Asia
• Hong KongIndiaIndonesiaJapanKoreaLebanon
• MalaysiaOmanPakistanPhilippinesSaudi Arabia
• SingaporeSri LankaTaiwanThailandUAE

• 30 000 Certified Information Systems Auditors
  (CISA)
• 100 držav

Canada CalgaryEdmontonMontrealNova
ScotiaOttawa ValleyQuébecTorontoVancouverVict
oriaWinnipeg
 
Slovenia Slovensko Spain Sweden Switzerland United
Kingdom
7
Organiziranost v Sloveniji

• Glavni namen slovenskega odseka je
  podobno, kot pri mednarodni organizaciji,
  promovirati dobre rešitve pri zašcitah delovanja
  informacijskih sistemov, kot tudi visoke
  kvalitete izvajanja revidiranja delovanja kontrol
  v informacijskem sistemu. Eden od pomembnih
  ciljev organizacije je promocija najboljše prakse
  revidiranja informacijskih sistemov, ki jo
  zagotavlja sistem certificiranja CISA.
• od leta 1994, 137 odsek
• 65 clanov
• 11 mednarodnih konferenc
• predavanja vsak 1 torek v mesecu

• Sprejema in objavlja standarde revidiranja
  informacijskih sistemov,
• Doloca strokovna znanja in izkušnje, organizira
  strokovno izobraževanje, izvaja preizkuse
  strokovnih znanj in izdaja potrdila o strokovnih
  znanjih, potrebnih za pridobitev strokovnih
  nazivov preizkušeni revizor informacijskih
  sistemov
• vodi registre oseb, ki so pridobile strokovne
  nazive, ki jih podeljuje Inštitut.
• od leta 1993
• 43 clanov

8
(No Transcript)
9
Pravila stroke

• Zakon o revidiranju (Uradni list RS, št. 11/01)
• Statut Slovenskega inštituta za revizijo (Uradni
  list RS, št. 70/01 31. 8. 2001)
• Kodeks poklicne etike revizorja informacijskih
  sistemov (Revizor 1/01)
• Standardi in smernice ISACA
• dobra praksa

10
Standardi in dobra praksa

• COBIT (3rd edition 2000) Control Objectives
  for Information and related Technology
• ITIL IT Infrastructure Library
• ISO/IEC 177992000 (PSIST BS 7799)
• ISO/IEC TR 13335 (1996-2001) Information
  TechnologyGuidelines for the Management of IT
  Security
• ISO/IEC154081999/Common Criteria/ITSEC
• TickIT
• NIST 800-14 Generally Accepted Principles and
  Practices for Securing Information Technology
  Systems
• COSO Internal ControlIntegrated Framework

11
(No Transcript)
12
V Sloveniji

• 24.02.1998, D.V. "Obracuni za plin do konca
  tedna" (Za blokado racunalniškega sistema v
  Energetiki je kriva prenasicenost s podatki)
• 23.09.1999,Zdenko Matoz "Dobro zavarovani
  geodetski podatki" (Napake v racunalniku,
  Spremembe hranijo dvakrat na teden in imajo po
  tri kopije vseh informacij)
• 25.09.1999, Diana Zajec "Zagodel jo je tehnicni
  škrat" (Najstniki brez obveznega zavarovanja?
  Obvestila o "neurejenem obveznem zdravstvenem
  zavarovanju" razburila starše - Za napake se na
  obmocni enoti ZZZS opravicujejo)
• 27.11.1999, Aleš Stergar "Mobilni mrk na
  ljubljanski 041" (Motnje v omrežju Mobitel GSM
  povzrocila programska oprema - Zdaj spet
  normalno)
• 01.12.1999, Aleš Stergar "Mobitel rešil težave"
  (Pojasnila o mobimrku, Napako zaradi ketere je
  bil konec minulega tedna okrnjen promet
  Mobitelove mreže GSM, so odpravili - Pricakujejo
  tožbe)
• 09.12.1999, Luka Dekleva "Klik NB pokleknil"
  (Napaka v sistemu NLB, Napaka ni programska,
  ampak strojna in jo odpravljajo zunanji
  strokovnjaki)
• 17.01.2000, S.M. in agencije "Povecanje zlorab
  gesel" (MSobota, neuporavicena uporaba
  uporabniških imen spletnih prikljuckov)
• 10.02.2000, Katarina Fidermuc" BS zanemarila
  varnost?" (Zakaj zamuja prenova placilnega
  sistama, Ministrstvo za finance pravi, da je
  dodatno usklajevanje meril, ki jih morajo
  izpolnjevati banke, da lahko prevzamejo placilni
  promet, zahtevalo predvsem v skrbi za varnost)
• 20.06.2000, Zdenko Matoz "Nekateri so dobili
  vec položnic" (Iskanje neplacnikov rtv prispevka,
  Neusklajeni podatki o placnikih elektrike in
  storitev javnega zavoda RTV Slovenija - Krog
  neplacnikov se širi)
• 19.07.2000, Maja Grgic "Omrežje je slabo
  varovano" (Prve ugotovitve o "racunalniški aferi"
  na ministrstvu za gospodarske dejavnosti,
  Morebitno odtekanje informacij policija še
  raziskuje - Sušnik nekateri znaki odtekanja
  strogo zaupnih podatkov obstajajo, vendar bo to
  težko dokazati)

13
ControlOBjectives forInformation and
relatedTechnology
COBITs Golden Rule
In order to provide the information that the
organisation needs to achieve its objectives, IT
resources need to be managed by a set of
naturally grouped processes.
14
BS 177992000 struktura

• Varnostna politika, cilji in aktivnosti
• Upravljanje varovanja informacij v organizaciji
• Klasifikacija sredstev in kontrola
• Informacijska sredstva
• Programska sredstva
• Fizicna sredstva
• storitve
• Varnost osebja
• Fizicna zašcita in zašcita okolja
• Upravljanje s komunikacijami in s produkcijo
• Nadzor dostopa
• Razvijanje in vzdrževanje sistemov
• Upravljanje neprekinjenega poslovanja
• Združljivost z zakonskimi zahtevami

15
BS 177992000 vodilna nacela

• Zakonski vidik
• zašcita podatkov in varstvo osebnih podatkov
• varovanje organizacijskih zapisov
• pravica do zašcite intelektualne lastnine

16
BS 177992000 vodilna nacela

• Najboljša praksa ( kontrole )
• dokument o politiki varovanja informacij
• razporeditev odgovornosti pri varovanju
  informacij
• izobraževanje in usposabljanje za varovanje
  informacij
• prijava incidentov pri varovanju informacij
• upravljanje neprekinjenega poslovanja

17
BS 177992000 kriticni dejavniki uspeha

• Varnostna politika, cilji in aktivnosti
• Pristop k vpeljavi varnostne politike
• Vidna podpora in zavezanost vodstva
• Dobro razumevanje varnostnih zahtev, ocena in
  upravljanje tveganja
• Ucinkovito posredovanja pomena varovanja vsem
  zaposlenim
• Dostava navodil o politiki varovanja informacij
  in standardih vsem zaposlenim in pogodbenim
  strankam
• Zagotavljanje ustreznega usposabljanja in
  izobraževanja
• Postavitev meril za oceno ucinkovitosti varovanja
  informacij

18
TECHNICAL REPORT ISO/IEC TR 13335Information
technology - Guidelines forthe management of IT
Security

• Part 1 Concepts and models for IT Security 1996
• Part 2 Managing and planning IT Security 1997
• Part 3 Techniques for the management of IT
  Security
  1998
• Part 4 Selection of safeguards
  2000
• Part 5 Management guidance on network security
  2001

19
ISO/IEC TR 13335-5Management guidance on network
security
Pregled varnostne politike podjetja
Pregled arhitekture in aplikacij
Doloci vrste mrežnih povezav
Pregled karekteristik omrežja in zaupanja
Pregled analize tveganj in vodstvenih ukrepov
Dolci vrste varnostnih tveganj
Doloci primerna varnostne ukrepe
Dokumentiranje in pregled varnostne arhitekture
Information technology-Guidelines for the
management of IT security
Priprave na izbor, uvedbo in vzdrževanje
varnostnih ukrepov
20

• 13.4 Audit Trails
• It is important to ensure the effectiveness of
  network security through detection, investigation
  and reporting of security incidents. Sufficient
  audit trail information of error conditions and
  valid events should be recorded to enable
  thorough review for suspected, and of actual,
  incidents. However, recognising that recording
  huge amounts of audit related information can
  make analysis difficult to manage, and can affect
  performance, care has to be taken over time in
  what is actually recorded
• Most audit safeguards required in relation to
  network connections and related IT systems can be
  determined by using Part 4 of TR 13335. For
  network connections, auditability of the
  following types of event is important
• remote failed log-on attempts with dates and
  times,
• failed re-authentication (or token usage) events,
• security gateway traffic breaches,
• remote attempts to access audit trails,
• system management alarms with security
  implications (e.g. IP address duplication, bearer
  circuit disruptions),
• Audit trails will contain sensitive information
  or information of use to those who may wish to
  attack the system through network connections.
  Further, possession of audit trails may provide
  proof of transfer over a network in the event of
  a dispute, and are therefore particularly
  necessary in the context of ensuring integrity
  and non-repudiation. Therefore
• all audit trails should be appropriately
  protected.

21
ISO/IEC 154081999Common CriteriaITSEC
22
() Frequently addressed (o) Moderately
addressed (-) Not or rarely addressed
ISO/IEC 1799
ISO/IEC TR 13335
ISO/IEC 15408
COBIT MAPPING Overview of International IT
Guidance
23
Standardi in dobra praksa

• COBIT
• ITIL
• ISO/IEC 177992000
• ISO/IEC TR 13335
• ISO/IEC154081999 Common Criteria ITSEC
• TickIT
• NIST 800-14
• COSO

24
COBIT - zgradba

• Executive Summary povzetek za poslovodstvo
• Framework sistemski okvir
• Control Objectives kontrolni cilji
• Audit Guidelines smernice revidiranja
• Management Guidelines smernice za poslovodstvo
• Implementation Tool Set pripomocek za uporabo

25
Executive summary
26
Executive summary
27
Control Objectives

• Proces PRIDOBITEV IN UVEDBA
• AI6 Vodenje in upravljanje sprememb
  
• Zadostitev poslovnih zahtev
• Zmanjšati možnosti zastojev, neavtoriziranih
  sprememb in napak
• Kontrola procesa je omogocena na naslednji nacin
• Uvede se sistem vodenja in upravljanja vseh
  sprememb v fazah analize, uvedbe in vzdrževanja
• Prouci se
• identifikacija sprememb
• kategorizacija, prioritete in nujni postopki
• ocenitev vpliva
• avtorizacija sprememb
• vodenje in upravljanje verzij
• distribucija softwara

28
Control Objectives

• Proces PRIDOBITEV IN UVEDBA
• AI6 Vodenje in upravljanje sprememb
  
• Kontrolni cilji
• 6.1 Zahteve za spremembe in njihova kontrola
• 6.2 Ocena vpliva sprememb
• 6.3 Kontrola sprememb
• 6.4 Dokumentacija in postopki
• 6.5 Avtorizacija vzdrževanja
• 6.6 Politika za nadzor verzij
• 6.7 Distribucija programske opreme

29
Control Objectives

• Proces PRIDOBITEV IN UVEDBA
• AI6 Vodenje in upravljanje sprememb
  
• Kontrolni cilji
• 6.1 Zahteve za spremembe in njihova kontrola
• Upraviteljstvo mora zagotoviti, da so vse zahteve
  po spremembah v sistemu predmet formaliziranih
  postopkov za upravljanje s postopki. Zahteve po
  spremembah se kategorizirajo in razvršcajo po
  prioritetah. Uvedeni so posebni postopki za
  trenutno odpravljanje urgentnih napak ali
  problemov.

30
Audit Guidelines

• Model procesa revidiranja
• Identifikacija in dokumentiranje
• Pridobivanje znanja o tveganjih povezanih s
  poslovnimi zahtevami in bistvenimi merili
  kontrole
• Vrednotenje
• Ocenjevanje primernosti vzpostavljenih kontrol
• Testiranje ustreznosti
• Ocenjevanje skladnosti celovitega in trajnega
  delovanja kontrol s predpisanimi kontrolami
• Testiranje vsebine
• Dolocanje obsega tveganja v primeru nedoseganja
  ciljev kontrol s pomocjo analiticnih tehnik ali v
  kombinaciji z drugimi viri
  

31
Genericne smernice za vse procese

• Pridobivanje znanja in razumevanja
• Koraki revizije, ki jih je potrebno izvesti, da
  dokumentiramo aktivnosti, ki predstavljajo
  podlago ciljem kontrole oziroma da dolocimo
  specificne mere kontrole in vgrajene postopke
• Ocenjevanje kontrol
• Koraki v reviziji, ki jih je potrebno izvesti z
  namenom uspešnosti/ucinkovitosti vgrajenih
  kontrolnih mehanizmov ali stopnje doseganja
  ciljev kontrole
• Ocenjevanje ustreznosti
• Koraki v reviziji, ki jih je potrebno izvesti,
  da lahko zagotovimo, da vgrajeni kontrolni
  mehanizmi stalno in konsistentno delujejo na
  predpisan nacin
• Dolocanje tveganja
• Koraki v reviziji, ki so potrebni, da se
  s pomocjo analiticnih tehnik ali s posvetovanjem
  z drugimi viri izmeri tveganja nedoseganja ciljev
  kontrole.

32
Podrobne smernice za IT proces

• PRIDOBITEV IN UVEDBA
• AI6 Vodenje in upravljanje sprememb
• Pridobivanje znanja in razumevanje
• Razgovori - interview
• Vodja informacijske podpore
• IT upravljalci
• IT sistemski razvoj, kontrola kvalitete za
  spremembe
• IT operacije in upravljanje varnosti,
• Uporabniki vpleteni v razvoj in uporabo aplikacij
• Pridobitev dokumentacije
• Organizacijski postopki in politike, ki se
  nanašajo na planiranje IS, spremembe IS, varnost
  in življenski cikel razvoja,
• IT postopki in politike, ki se nanašajo na
  formalni življenski cikel razvoja apliakcij,
  varnostni standardi, standardi testiranja,
  neodvisna kontrola kvalitete, uvedba,
  distribucija, vzdrževanje, nujne spremembe,
  verzije programske opreme,
• Plan razvoja aplikacij,
• Vodenje zahtevkov za spremembe,
• Pogodbe dobaviteljev

33
Podrobne smernice za IT proces

• PRIDOBITEV IN UVEDBA
• AI6 Vodenje in upravljanje sprememb
• Ocenitev kontrol
• Methodologija za spreminjanje IS z zahtevki
  uporabnikov je izdelana in se uporablja,
• Postopki za izvajanje nujnih sprememb so opisani
  v operativnih prirocnikih,
• Postopek za spremembo je formalen za uporabnika
  in razvijalce,
• Obstaja kontrola, da so vsi odobreni zahtevki za
  spremembe tudi realizirani,
• Uporabniki so zadovoljni z razreševanjem sprememb
  casovno in stroškovno
• Za izbrane zahtevke iz evidence poglej
• izdelana je dokumentacija o spremembi
• sprememba je izdelana kot je bilo zahtevano
• dokumentacija je posodobljena.

34
Podrobne smernice za IT proces

• PRIDOBITEV IN UVEDBA
• AI6 Vodenje in upravljanje sprememb
• Ocenjevanje ustreznosti - preizkusi
• Za posamezne izbrane primere preveri, ce je
  poslovodstvo odobrilo
• Zahtevek za spremembo
• Specifikacijo spremembe
• Dostop do izvorne kode
• Koncano spremembo
• Zahtevek za premik v testno okolje
• Potrditev spremembe po koncanem prevzemnem testu
• Zahtevek za premik v produkcijsko okolje

35
Podrobne smernice za IT proces

• PRIDOBITEV IN UVEDBA
• AI6 Vodenje in upravljanje sprememb
• Ocenjevanje ustreznosti - preizkusi
• Preveri, ce dokumentacija vsebuje
• Datum zahtevka
• Osebo, ki je narocila spremembo
• Odobritev zahtevka
• Odobritev izdelave v IT
• Odobritevizdelane spremembe - uporabnik
• Datum dopolnjene dokumentacije
• Datum premeknitve v produkcijo
• Kontrola kvalitete pregledal in datum
• Analiziraj tip spremembe v vidu trendov
  spreminjanja aplikacije.
• Preveri, ce so vsi zahtevki rešeni v zadovoljstvo
  uporabnikov, ali so nerešeni zahtevki.
• Ali se uporabniki zavedajo potrebe po
  formaliziranih zahtevkih sprememb.

36
Podrobne smernice za IT proces

• PRIDOBITEV IN UVEDBA
• AI6 Vodenje in upravljanje sprememb
• Tveganje nedoseganja ciljev kontrole
• Izvedi
• Primerjavo upravljanja spreminjanja IS med
  podobnimi organizacijami ali v primerjavi z
  mednarodnimi standardi ali splošno priznano
  prakso na tem podrocju
• Ugotovi
• Za posamezne izbrane zahtevke oziroma spremembe
• Izdelane so samo odobrene spremembe
• Vsi odobreni zahtevki so razporejeni
• Programska oprema (source object) vsebuje
  zadnje spremembe

37
Podrobne smernice za IT proces

• PRIDOBITEV IN UVEDBA
• AI6 Vodenje in upravljanje sprememb
• Tveganje nedoseganja ciljev kontrole
• Za izbrane informacijske servise poglej
• Dokumentacijo, ki vsebuje odobritev zahtevkov in
  akceptiranje izdelanih sprememb od pravih
  uporabnikov,
• Oceno vpliva sprememb na obstojece sisteme,
• Razporeditev izdelave spremembe na primerne
  razvijalce,
• Primernost sistemov, testnih planov in rezultatov
  testiranja
• Formalen prehod iz testnega okolja v produkcijsko
  okolje preko skupine za kontrolo kvalitete
• Užurirane uporabniške in operativne prirocnike,
  ce odražajo spremembe
• Distribucijo programske opreme k pravim
  uporabnikom.

38
REVIZIJSKI PREGLED

• Splošni pristop k izvedbi revizije
• Subjekt revidiranja
• Dolociti podrocja za revidiranje
• Cilji revidiranja
• Dolociti namen revizije,
• Postaviti revizijske cilje
• Obseg revizije
• Izbrati dele informacijskega sistema, poslovne
  funkcije ali organizacijske enote, ki bodo
  revidirane
• Predrevizijsko nacrtovanje
• Dolocitev potrebnih tehnicnih znanj in izkušenj
• Dolocitev informacijskih virov, predhodne
  revizije, standardi, politike, tehnicna
  dokumentacija .
• Dolocitev lokacij, kjer delujejo deli
  informacijskega sistema, ki bo revidiran.

39
REVIZIJSKI PREGLED

• Splošni pristop k izvedbi revizije
• Revizijski postopki in postopki za pridobitev
  podatkov
• Dolocitev in izbor pristopa k revidiranju za
  preverjanje kontrol
• Postavitev seznama oseb za intervjuje
• Dolocitev in pridobitev politik, standardov in
  navodil za pregled
• Razvoj revizijskih orodij in metodologij za
  testiranje in ovrednotenje kontrol.
• Postopki za vrednotenje rezultatov testov ali
  pregledov
• Odvisno od podrocja revidiranja.
• Postopki za komunikacijo s poslovodstvom
• Odvisno od podrocja revidiranja.
• Priprava revizijskega porocila
• Dolocitev aktivnosti po pregledu
• Dolocitev postopkov za vrednotenje/testiranje
  operativne ucinkovitosti in uspešnosti
• Dolocitev postopkov za preizkušanje kontrol
• Pregled in vrednotenje skladnosti dokumentov,
  politik in postopkov.

40
REVIZIJSKI PREGLED

• Revizijski pristop na osnovi ocene tveganj
• Zbiranje informacij in nacrt
• Poznavanje poslovanja
• Zakonodaja in regulativa podrocja
• Rezultati predhodne revizije
• Ocene inherentnih tveganj
• Zadnji financni pokazatelji
• Razumevanje sistema internih kontrol
• Kontrolno okolje
• Kontrolni postopki
• Ocena kontrolnega tveganja
• Ocena detektivnega tveganja
• Ovrednotenje skupnega tveganja

41
REVIZIJSKI PREGLED

• Revizijski pristop na osnovi ocene tveganj
• Preizkušanje skladnosti kontrol
• Testiranje skladnosti s politiko in postopki
• Testiranje nezdružljivosti opravil
• Poglobljeno preizkušanje kontrol
• Analiticni postopki
• Detaljna testiranja podatkov
• Ostali poglobljeni revizijski postopki
• Zakljucek revizije
• Ugotovitve in priporocila za odpravo
  pomanjkljivosti
• Izdelava revizijskega porocila

42
REVIZIJSKI PREGLED

• Kaj je potrebno narediti ?
• Opredeliti cilje
• Podrocja in stopnjo preizkušanja
• Dolociti tehnicne vidike, tveganja, postopke in
  naloge
• Opredeliti naravo in obseg zahtevanega
  preizkušanja
• Casovni okvir dela
• Revizijsko ekipo, nacin delovanja, odgovornosti
• Porocevalni postopki (kasnejše spremljanje)

43
REVIZIJSKI PREGLED

• Revizor mora znati
• Postavljati ustrezna vprašanja
• Imeti jasno predstavo o
• Potrebnih informacijah
• Virih teh informacij
• Kako jih bo pridobil
• Obvladati tehnike dokumentiranja
• Razumeti cilje poslovodstva
• Razumeti namen upravljanja s tveganji
• Prepoznati konkretne oblike tveganj

44
REVIZIJSKI PREGLED

• Pred pripravo ponudbe je dobro imeti sestanek z
  narocnikom, kjer skušamo doseci
• Podrobnejšo seznanitev
• S poslovnimi cilji
• Organizacijsko strukturo
• Poslovnimi procesi
• Poslovnimi prostori
• Z upravljanjem s tveganji, kontrolnimi mehanizmi
  in upravljavskimi procesi (dokumentacija
  postopki)
• S kadrovsko zasedbo
• Informacijskim sistemom
• Vzpostaviti kooperativni duh nadaljnjega
  sodelovanja z revidirancem

45
Zakonodaja za Zavarovalnice

• Zakon o revidiranju UL RS 11/2001
• Zakon o gospodarskih družbah
• Zakon o zavarovalništvu 13/2000
• Sklep o podrobnejši obliki in najmanjšem obsegu
  ter vsebini revizijskega pregleda in
  revizorjevega porocila zavarovalnice 6/2001
• Mednarodni standard revidiranja št.620 Uporaba
  vešcakovih storitev

46
Zakonodaja za Zavarovalnice

• Sklep o podrobnejši obliki in najmanjšem obsegu
  ter vsebini revizijskega pregleda in
  revizorjevega porocila zavarovalnice 6/2001
• Skladnost delovanja IS Zavarovalnice s poslovnimi
  cilji
• Ucinkovitost delovanja IS zavarovalnice
• Politika in organizacija varovanja ter zašcite IS
  in podatkov Zavarovalnice
• Primernost splošnih, sistemskih in drugih kontrol
  IS
• Tehnološka opremljenost IS Zavarovalnice

47
Revizijski cilji

• Pregled in ocena kakovosti organizacijskih
  rešitev delovanja IS opredeljenih v internih
  predpisih, navodilih in uveljavljenih postopkih
  pri zagotavljanju delovanja IS
• Pregled in ocena ustreznosti splošnih kontrol
  delovanja IS z ozirom na naslednjo razdelitev
• Fizicna zašcita in zašcita okolja
• Logicna zašcita
• Kontinuiranost obdelav
• Razpoložljivost sistema
• Upravljanje s spremembami
• Varovanje osebnih podatkov
• Izraba tehnologije
• Nevarnost pooblastil specialistov
• Outsourcing
• Pregled in ocena racunalniških podpor poslovanja
  za kljucna podrocja skupaj z oceno ustreznosti
  skrbniških sistemov
• Interne kontrole racunalniških podpor kljucnih
  podrocij
• Skrbniški sistemi

48
REVIZIJSKI IN KONTROLNI CILJI

• Na podlagi ugotovitev povezujemo revizijske cilje
  s procesi in kontrolnimi cilji COBITa
• Kriticna faza
• Povezati kontrolne cilje z revizijskimi cilji
• Revizijski cilj domena
• Revizijski cilj proces z vsemi kontrolnimi
  cilji
• Revizijski cilj kontrolni cilj
• Revizijski cilj proces in nekaj kontrolnih
  ciljev
• Revizijski cilj procesi iz razlicnih domen

49
(No Transcript)
50
Izbor kontrolnih ciljev za revizijski cilj
51
(No Transcript)
52
(No Transcript)
53
Revizijsko porocilo

• Mnenje o ucinkovitosti kontrol (namenjeno upravi)
• Povzetek porocila ( pismo poslovodstvu )
• Mnenje o ucinkovitosti kontrol
• Izpostavljena visoka tveganja - rezime
• Porocilo ugotovitve, priporocila, tveganja
• Arhivska dokumentacija z dokazili

54
(No Transcript)