Information systems audit
Što je revizija informacijskih sustava?
Često svjedočimo primjerima u poslovanju koji zbog pogrešno ili površno provedene revizije dovode do propasti i pogrešne procjene financijskog stanja organizacije. Kako bi se takve situacije izbjegle, potrebno je uključiti informacijske sustave i njihove ciljane dijelove u predmet revizije.
Revizija informacijskih sustava predstavlja proces prikupljanja i procjene dokaza na temelju kojih se može procijeniti uspješnost informacijskog sustava, odnosno odrediti djeluje li informacijski sustav u funkciji očuvanja imovine, održava li se integritet podataka, omogućuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi sustava na učinkovit način.
Ključni zadatak revizije informacijskih sustava je sustavno, temeljito i pažljivo pregledati kontrole unutar svih dijelova informacijskog sustava, a osnovni zadataci same provedbe jesu:
- provjeriti trenutno stanje IT-a, odnosno utvrditi razinu zrelosti upravljanja informacijskim sustavom,
- provjeriti učinkovitost kontrola informacijskih sustava, osobito kod ključnih poslovnih procesa,
- otkriti potencijalno rizična područja i procijeniti razinu rizika kojim je poslovanje izloženo temeljem intenzivne primjene informacijskih sustava,
- dati preporuke menadžmentu koje mjere poduzeti da se učinak uočenih rizika smanji ili ukloni i unaprijediti poslovnu praksu o tom pitanju.
Koja su područja primjene revizije informacijskih sustava?
Revizija informacijskih sustava najčešće obuhvaća sljedeće važne aktivnosti:
- procjenu razine rizika djelovanja informacijskih sustava (informacijske funkcije)
- procjenu poslovne vrijednosti informacijskog sustava (procjena djelotvornosti i učinkovitosti informacijskog sustava)
- analizu usklađenosti poslovnih planova s planovima IT-a (strateško planiranje informacijskih sustava)
- detaljnu analizu isplativosti ulaganja u IT (metode financijske analize IT projekata, preporuke za poboljšanje prakse vođenja IT projekata)
- analizu, pregled i ocjenu kvalitete cjelovitog informacijskog sustava ili njegovih pojedinih dijelova
- provjeru (reviziju) provedbe sigurnosne politike informacijskog sustava
- reviziju provedbe svih organizacijskih internih akata koji se tiču informacijskih sustava
- procjenu kvalitete usluge informacijskih sustava ili njegovih dijelova
- Primjenu kontrolnih mehanizama pri radu i upravljanju informacijskim sustavom (upravljačke, procesne, opće ili aplikacijske kontrole rada informacijskog sustava, a time i kontrola kvalitete rada poslovnog sustava)
- analizu i nadzor IT projekata
- analizu performansi poslovnih procesa koji se odvijaju uz pomoć informacijskih sustava
- analizu rizika ključnih automatiziranih poslovnih procesa
- procjenu sigurnosti, pouzdanosti i zaštite informacijskog sustava
- provedbu specifičnih kontrolnih mehanizama (npr. kontrolu neprekidnosti poslovanja, kontrolu oporavka nakon neželjenih događaja, sigurnosne kontrole, kontrole provedbe poslovnih procesa, kontrole obrade podataka i dr.).
Koje aktivnosti uključuje provedba revizije?
Faze provedbe revizije jesu sljedeće:
- Priprema i planiranje revizije – sastoji se od ugovaranja revizije s klijentom, upoznavanje s poslovanjem organizacije, identifikacija ključnih poslovnih procesa, pregled prethodnih izvještaja o reviziji informacijskog sustava te određivanja opsega revizije
- Prikupljanje i detaljna analiza dokumentacije – sastoji se od prikupljanja zatražene dokumentacije od klijenta, definiranja plana revizije, kontrolnih područja i kontrolnih ciljeva, određivanja strategije, tj. načina provedbe revizije te odabir najprikladnijeg načina testiranja kontrola koje su u opsegu revizije
- Tehnike i metode prikupljanja revizijskih dokaza – provedba unaprijed definiranih anketa i analiza rezultata istih, vođenje unaprijed definiranih intervjua s odgovornim osobama za procese koji su u opsegu revizije kako bi se prikupilo što više informacija o funkcioniranju poslovnih procesa i samih kontrola unutar njih
- Provedba analitičkih testova koja se sastoji od detaljnih postupaka kontrole koji su u skladu s planom revizije (upitnici, razgovori, tehničko testiranje)
- Analiza i vrednovanje revizijskih dokaza
- Priprema i predstavljanje revizorskog izvješća
Kako Vam ZIH može pomoći?
U navedenom području ZIH Vam nudi sljedeće usluge:
- Procjena trenutačnog stanja (GAP analiza)
- Priprema plana revizije
- Izobrazba tima za provedbu revizije
- Procjena rizika
- Provedba revizije informacijskog sustava i izrada izvještaja o provedenoj reviziji
- Sudjelovanje u kontinuiranom unaprjeđenju revizije
Edukacije iz navedenog područja:
- Što treba znati o reviziji informacijskih sustava
- Revizija sigurnosti Oracle baze podataka
- Provedba interne revizije IS-a u nekoj organizaciji
- Interna revizija ICT sigurnosti
- Revizija aplikacijskih kontrola
You may also be interested in these services and trainings:
Zašto ZIH?
ZIH ima bogato iskustvo u projektima pripreme i provedbe revizije informacijskih sustava sukladno sigurnosnim standardima (ISO 27001, CobIT i dr.).
