Revizija Informacionih I Komunikacionih
Total Page:16
File Type:pdf, Size:1020Kb
Факултет за информатику и менаџмент Ревизија информационих и комуникационих технологија Магистарски рад Ментор: Кандидат: Доцент др Гојко Грубор Радуле Шошкић (индекс бр. I-6/2005) Сажетак Овај рад се бави ревизијом примене и коришћења информационих и комуникационих технологија. Он даје шири преглед теорије и праксе у овој области, укључујући и неке конкретне примере и препоруке. Посебно је размотрен однос између традиционалне, финансијски оријентисане ревизије и савремене, техничко-технолошки оријентисане ревизије. Истакнуте су предности и недостаци оба приступа и дискутована могућност и евентуалне користи од њихове комбинације – интегрисане ревизије – у којој би се ујединиле предности ова два приступа. Kључне речи: ревизија, ревизор, контрола, ризик, систем интерних контрола, интерна ревизија, технолошка ревизија, ревизија информационих технологија, ревизија информационих система, ревизија информационих и комуникационих технологија, технолошки ревизор, ревизор информационих технологија, ревизор информационих система, ревизор информационих и комуникационих технологија, пословни ризик, интерна контрола, опште контроле, генералне контроле, апликативне контроле. Abstract This paper deals with auditing of applicaton and use of information and communication technologies. It gives a broad overview of both theory and practice, including some examples and advice. Particularly, the paper considers the relation between traditional, finacial statement oriented auditing, and modern, more technologicaly and technicaly oriented auditing. It underlines the advanatges and deficiencies of both, and discusses possible benefits of a joint, integrated approach, which would incorporate the best of the two worlds. Кeywords: audit, auditor, control, risk, internal control system, internal audit, technology audit, information technology audit, information systems audit, information and communication technology audit, technology auditor, information technology auditor, information systems auditor, information and communication technology auditor, bussiness risk, internal control, general control, application control. ПРЕГЛЕД СЛИКА Слика 1: Интерне контроле у ИКТ системима...............................................................................24 Слика 2: Животни циклус технолошке ревизије...........................................................................28 Слика 3: Подручја обухваћена техничким контролама.................................................................36 Слика 4: Три димензије CobiT приступа........................................................................................50 Слика 5: Напад на апликациони сервер..........................................................................................72 Слика 6: Напад на сервер продукционе базе података..................................................................73 Слика 7: Ескалација напада.............................................................................................................75 ПРЕГЛЕД ТАБЕЛА Табела 1: Дефиниције интерне ревизије у периоду 1990-2009....................................................88 Табела 2: FIPS стандарди.................................................................................................................93 Табела 3: Архивирани FIPS стандарди...........................................................................................97 САДРЖАЈ 1. МЕТОДОЛОГИЈА ИСТРАЖИВАЧКОГ РАДА............................................................................1 1.1. ОБРАЗЛОЖЕЊЕ ИСТРАЖИВАЧКОГ РАДА И ПРЕТХОДНА ИСТРАЖИВАЊА...........1 1.2. ПРЕДМЕТ РАДА....................................................................................................................1 1.3. ХИПОТЕТИЧКИ ОКВИР......................................................................................................2 1.3.1. Општа хипотеза...............................................................................................................2 1.3.2. Појединачне хипотезе.....................................................................................................2 1.4. ЦИЉЕВИ ИСТРАЖИВАЊА.................................................................................................2 1.4.1. Научни циљ......................................................................................................................2 1.4.2. Конкретни циљ................................................................................................................3 1.5. ТОК ИСТРАЖИВАЧКОГ ПРОЦЕСА И МЕТОДИ ИСТРАЖИВАЊА..............................3 1.5.1. Ток истраживачког процеса............................................................................................3 1.5.2. Општи научни методи ....................................................................................................3 1.5.3. Логички методи...............................................................................................................3 1.5.4. Статистички методи........................................................................................................3 2. РЕВИЗИЈА ИНФОРМАЦИОНИХ ТЕХНОЛОГИЈА..................................................................4 2.1. УВОД........................................................................................................................................4 а) Ревизија информационих технологија настала у контексту традиционалне (или конвенционалне) ревизије...................................................................................................5 б) Ревизија информационих технологија настала у контексту самих информационих технологија............................................................................................................................6 2.2. ОСНОВНИ ПОЈМОВИ – МЕСТО И УЛОГА РЕВИЗИЈЕ...................................................7 2.2.1. Дефиниција интерне ревизије........................................................................................7 2.2.2. Независност и објективност интерне ревизије............................................................7 2.2.3. Професионална етика.....................................................................................................9 2.2.4. Место и улога интерне ревизије..................................................................................10 2.3. МЕСТО И УЛОГА ТЕХНОЛОШКЕ РЕВИЗИЈЕ................................................................11 2.3.1. Настанак и историјат технолошке ревизије................................................................11 2.3.2. Дефиниција технолошке ревизије...............................................................................12 2.3.3. Место технолошке ревизије у организацији и линија одговорности.......................13 а) Технолошка ревизија као део функције интерне ревизије.........................................13 б) Технолошка ревизија као део функције за технику/технологије (ИТ, ИКТ)............14 в) Технолошка ревизија као део функције корпоративне или ИТ безбедности...........14 г) Екстерна технолошка ревизија......................................................................................15 2.3.4. Специфична независност и објективност технолошке ревизије .............................16 а) Интерна технолошка ревизија.......................................................................................16 б) Екстерна технолошка ревизија.....................................................................................17 2.4. РИЗИЦИ И КОНТРОЛЕ У ОБЛАСТИ ПРИМЕНЕ И КОРИШЋЕЊА ИНФОРМАЦИОНИХ И КОМУНИКАЦИОНИХ ТЕХНОЛОГИЈА.......................................18 2.4.1. Пословни ризици...........................................................................................................18 2.4.2. Ревизорски ризици........................................................................................................18 2.4.3. Информатички ризици..................................................................................................19 2.4.4. Мрежни и комуникациони ризици..............................................................................21 2.4.5. Контроле и системи интерних контрола у ИКТ.........................................................23 2.4.6. Класификација интерних ИКТ контрола....................................................................23 2.5. ПРОЦЕС РЕВИЗИЈЕ И РЕВИЗОРСКЕ АКТИВНОСТИ..................................................27 2.5.1. Животни циклус процеса ревизје................................................................................27 2.5.2. Процена ризика.............................................................................................................27 2.5.3. Планирање.....................................................................................................................29 2.5.4. Израда програма ревизије............................................................................................30 2.5.5. Упознавање са предметом ревизије.............................................................................30 2.5.6. Прелиминарно истраживање........................................................................................31 2.5.7. Рад на терену.................................................................................................................31 2.5.8. Извештавање..................................................................................................................32 2.5.9. Праћење по извештају..................................................................................................32