Embed Size (px)
Citation preview
1
Borut Radi1, Armin D. Rheinbay2
Demistifikacija operativnih tveganjDemystifying Operational Risk (Modern Operational Risk Management)
PovzetekKljub pričakovanjem regulatorjev, da bodo banke skozi čas in pridobljene izkušnje pričele uporabljati taksne pristope k upravljanju z operativnimi tveganji, ki temeljijo na objektivnih podatkih in rigoroznih postopkih njihovega pridobivanja in analize pa v tem trenutku na področju upravljanja z operativnimi tveganji se vedno prevladujejo tako imenovani tradi-cionalni pristopi, ki temeljijo na subjektivnih elementih in kot taksni vnašajo nepravilno razumevanje bistva upravljanja z operativnimi tveganji kot tudi dvomljive rezultate.
Ključne besedePooperativna tveganja, sodobno upravljanje z operativnimi tveganji, klasifikacija in kategorizacija operativnih tveganj, interni škodni dogodki, externi škodni dogodki, ključni indikatorji tveganja, samoocenjevanje kontrolnega okolja, oce-njevanje tveganj.
SummaryRegardless of regulatory expectations that through time and experiences banks will start to use operational risk ma-nagement approaches which are based on objective data and strict processes of data collection, quality assurance and analysis, currently traditional audit based Operational Risk Management approaches are still prevailing bringing miss--understandings and miss-conceptions into Operational Risk Management and thus blocking modern Operational Risk Management development.
Key wordsOperational Risk, modern operational risk management, operational risk classification and categorization, internal loss data, external loss data, self-assessment, key risk indicators, controls self-assessment, risk assessment.
Igor Karnet3, Urška Podgoršek4, Renato Burazer5
Revidiranje področja upravljanja operativnih tveganjAuditing Operational Risk Management
PovzetekRevidiranje sistema notranjih kontrol, ki zagotavlja ustrezno obvladovanje operativnih tveganj, je načeloma odvisno od sistema, ki ga je organizacija izbrala za obvladovanje operativnih tveganj. Basel II s svojim vplivom postavlja določene okvire, specifične za banke. V skladu s pomembnostjo področja operativnega tveganja posveča veliko pozornost temu področju tako notranja kot tudi zunanja revizija vključno z regulatorjem – nadzorniki centralnih bank, ne glede na to, ali je to revizija posameznega poslovnega cikla, sistema, poslovne enote, projekta ali pa se izvaja funkcijska revizija. Operativno tveganje je prisotno povsod: pri izvajanju vseh produktov, storitev, procesov, v vseh organizacijskih enotah. Odvisno je od vpliva zaposlenih kot tudi zunanjih izvajalcev in strank. V prispevku smo komentirali specifične elemente na področju obvladovanja operativnih tveganj in možne pristope revidiranja tega področja. Izpostavili smo tudi elemen-te, na katere naj bi bil revizor informacijskih sistemov pozoren, ko revidira področja upravljanja operativnih tveganj v bankah.
1 univ. dipl. oec.; CISA; CISM; preizkušeni revizor informacijskih sistemov; vodja informacijske varnosti in vodja upravljanja z operativnimi tveganji; Hypo Alpe-Adria-Bank International AG, Austria.
2 A specialist in operational risk management; OpRisk Advisory Europe; operational risk management consulting services; prior a Senior Risk Specialist at the Banking and Financial Supervision Department of Deutsche Bundes-bank.
3 univ. dipl. org.-inf.; CISA, CISM; preizkušeni revizor informacijskih sistemov; višji revizor informacijskih siste-mov, Nova kreditna banka Maribor d.d.. Vsebina prispevka predstavlja poglede avtorja, ki niso nujno tudi stališča, praksa ali politika podjetja, v katerem je zaposlen.
4 univ. dipl. mat.; preizkušena revizorka informacijskih sistemov; notranji revizor - specialist (IT revizor), Nova Ljubljanska banka d.d.
5 CISA, CISM, CISSP; partner, Socius Consulting Inc. Ljubljana.
2
Ključne besedeoperativno tveganje, revizija, identifikacija, poročanje, spremljava, revizor IS, Basel II, skladnost.
SummaryAuditing system of internal controls, which ensures adequate management of the operational risk in principle, depends of the selected operational risk management framework. Basel II is setting certain framework specifically for banks. Internal audit, external audit and regulators (supervisors) pay special attention to operational risk management in banks. Each audit regardless if its focus is business cycle audit, system audit, branch office audit, project audit or functional au-dit has elements of operational risk. Operational risk is present everywhere: at all bank products, services, processes, and in all organizational units. It depends on internal employees, external service providers and customers. For the purposes of this article we comment specific elements in the domain of operational risk management while we have pointed out audit specifics at the same time. Additionally we have pointed out specific areas where IT auditor should pay attention when auditing the area of operational risk management in banks.
Key wordsoperational risk, audit, identification, reporting, IS auditor, Basel II, compliance.
Jože Hebar6
Obvladovanje incidentovIncident Management
PovzetekV prispevku so predstavljena razmišljanja avtorja o nekaterih vidikih obvladovanja incidentov, ki pomembno vplivajo na varnost poslovanja družb z uporabo informacijskih tehnologij. Obvladovanje incidentov zajema med drugim tudi pridobivanje primernih indicev, kazalcev in dokazov, s pomočjo katerih pristojne službe v organizaciji lahko odkrivajo incidente, podajo ugotovitve, priporočila za spremembe poslovanja ali zagotovijo pregon kršiteljev. Dandanes lahko sko-raj z gotovostjo trdimo, da poslovanja družb brez incidentov ni, razlike so lahko samo v kriterijih, s pomočjo katerih nek dogodek označimo kot incident, ali pa v organizacijskih, tehničnih in drugih zmožnostih odkrivanja. Truditi se moramo da odkrijemo vsak, še tako majhen incident ali pa vsaj postavimo ustrezen prag za sproženje potrebnih postopkov, ne gre pa zanemarjati kumulativnih učinkov manjših incidentov, ki bi posamični ostali pod pragom reagiranja.
Ključne besedevarnost informacij, podatkov, informacijskih in telekomunikaci-jskih sistemov, odkrivanje kršitev in kršiteljev, sankci-oniranje.
SummaryThe article presents author thoughts about some issues regarding incident management that considerably influence the company security through its exploitation of information technology. Incident management beside other issues includes also the gathering of suitable signs, indicators and evidence material, used by personnel appointed to detect the incidents and issue the findings and recommendations for changes in business procedures or to ensure the persecution of perpetra-tors. Nowadays we can almost certainly state that companies cannot run without incidents, and that the differences are only in criteria, when certain event is identified as an incident, and in organizational, technical and other capabilities for incident detection. We must concentrate our efforts to detect every single incident, regarding how small and insignificant it is, or at least we must set an appropriate threshold level for necessary responses, while taking in account not to neglect the cumulative effect of incidents that are individually under the threshold.
Key wordsinformation security, data security, security of information and telecommunication systems, incident detection, di-sclosure of perpetrators, persecution of perpetrators.
6 univ. dipl. inž. el. teh.; CISM; upravljalec informacijske varnosti, Telekom Slovenije, d.d.
3
Mag. Pavle Golob7, Maja Hmelak Ajdič8
Dobre prakse upravljanja zunanjih storitev informacijske in telekomunikacij-ske tehnologijeBest Practices in Service Management for Information and Telecommunication Technologies
PovzetekPrenos storitev povezanih z uporabo informacijskih in telekomunikacijskih tehnologij na zunanje izvajalce je način s ka-terim več kot 75% vseh svetovnih organizacij poskuša zmanjšati stroške in povečati nadzor nad porabo virov. V prispev-ku podajamo dobre prakse na področju upravljanja storitev. Pri tem se osredotočamo na predstavitev procesa upravljanja storitev oziroma življenjskega ciklusa upravljanja. Ključni element upravljanja storitev je Dogovor o nivoju zagotavljanja storitev (Service level agreement). Navajamo ključne sestavine tega dogovora vključno z določili o varovanju informacij in informacijskih sredstev, zagotavljanju neprekinjenosti poslovanja, načinu merjenja doseganja dogovorjenega nivoja, načinu poročanju ter ukrepanja. V zaključku prispevka podajamo tudi stanje na področju upravljanja storitev IT v Slo-veniji ter predstavljamo svetovne trende na tem področju.
Ključne besedenivo zagotavljanja storitev, upravljanje zunanjih storitev, dobavitelj ITC storitev.
SummaryThe transfer of information and communication technology on external third parties has become a cost reduction method for more than 75% of global Organizations. The article lists best practices in the area of service level management with the focus on the service management – service management lifecycle. The key element of service management is the Service Level Agreement. We list some of the key elements of this type of agreements, including provisions regarding information and information assets security, businesses continuity planning, service level measurement and types of corrective measurement. In the conclusion we present status of Slovenia in regard to service level management and glo-bal trends in the area of service level management.
Key wordsService level provision, external service level management, information and communication technology provider.
Bojan Andrejaš9, Mag. Matjaž Štiglic10
Kaj imata skupnega uvedba sistema vodenja varovanja informacij in peka rogljičev?The Similarity Between Introduction of Information Security Management System and Croissants Baking?
PovzetekUstrezne informacije so dandanes ključne za uspešno poslovanje podjetij, zato so zadnje čase podjetja pripravljena porabiti velike vsote denarja za nove produkte oziroma orodja, ki jim naj bi pomagala povečati varnost informacijskih sistemov. Pri tem velikokrat pozabljajo, da sama orodja niso dovolj. Problem informacijske varnosti je treba reševati celovito in se ga lotiti organizirano. Članek na začetku razloži pomen informacijske varnosti v družbi. V nadaljevanju so predstavljeni glavni standardi, ki pokrivajo področje informacijske varnosti ter pristop pri implementaciji sistema vodenja varovanja informacij. Na koncu je bolj za razvedrilo predstavljena še podobnost uvajanja sistema informacijske varnosti s peko rogljičev. Podobnost je v postopku, ki mora biti sistematičen.
Ključne besedeInformacijska varnost, sistem vodenja varovanja informacij, BS 7799, BS ISO/IEC 27001, ISO 9001.
7 magister organizacije dela; univ. dipl. inž. mat.; preizkušeni revizor informacijskih sistemov; CISA; senior consul-tant, Deloitte & Touche d.o.o., Ljubljana.
8 dipl. ekon.; preizkušena revizorka informacijskih sisstemov; CISA; višji svetovalec za upravljanje s tveganji, Delo-itte & Touche revizija d.o.o.
9 vodilni presojevalec za BS7799, Razvojni center IRC Celje, d.o.o.10 magister znanosti; preizkušeni revizor informacijskih sistemov; CISA; Informis, d.o.o.
4
SummarySuitable information is nowadays the key element for successful business of companies. That is why the companies are latterly prepared to spend large sums of money for new products or tools respectively, which are supposed to help them to increase the security of information systems. By doing this, they often forget that the tools alone are not enough. The problem of information security is supposed to be solved on the whole and tackled on organized level. The beginning of the article explains the meaning of information security in the organization. In continuation the main standards, which cover the field of information security and accession at implementation of Information Security Management System (ISMS), are introduced. In the end of the article, there is a relaxation task, which compares the introduction of ISMS with croissants baking. The similarity lies in the procedure, which has to be systematic.
Key wordsInformation security, Information Security Management System (ISMS), BS 7799, BS ISO/IEC 27001, ISO 9001.
Mag. Lucija Zupan11, Mag. Aleš Košir12
Pravila preverjanja varnosti zunanjih izvajalcevPrinciples of Evaluating the Security of Outsourcing Partner
PovzetekNajem zunanjih izvajalcev pri projektih v informatiki je z varnostnega stališča zahteven problem tudi zato, ker morajo naročniki pogodbenike učinkovito nadzirati. Zunanji izvajalci postanejo v trenutku najema podaljšek organizacije, zanje pa morajo veljati vsaj enako stroga pravila obnašanja ter biti uveljavljene primerne varnostne zahteve, kot veljajo interno. Pri najemu zunanjih izvajalcev morajo organizacije preveriti nekatere okoliščine, v katerih bodo ti opravljali storitve.. Pri tem se lahko uporabijo različne metode preverjanja. Predstavljena bo varnostna praksa v večjem slovenskem podje-tju.
Ključne besedeinformacijska varnost, pogodbena določila, zunanji izvajalci, zunanje izvajanje storitev, pravila preverjanja.
SummaryOutsourcing of projects needs to be carefully planned. It is vital that an efficient control of subcontracted parties exists. Our partners will become an additional part of our company for whom same rules and policies should be enforced. The company which decides to outsource a project should examine the details under which the third party will operate and also the level of security provided by the third party. Various methods for verification can be used. In this article the reader is introduced with the security practices in a medium size Slovenian company.
Key wordsInformation security, contract statements, outsourced parties, verification rules.
11 zaposlena v HERMES Softlab d.d., kjer je zadolžena za pripravo aktualne ponudbe na področju informacijske varnosti. Je snovalka rešitev za upravljanje identitete in dostopov, kjer uspešno uporablja tudi znanje s področja standardov in priporočil (BS7799, ITIL, PAS 56, COBIT). Je certificirani vodja informacijske varnosti (CISM - Certified Information Security Manager) in ima opravljen izpit za vodilnega presojevalca po standardu za infor-macijsko varnost ISO/IEC 17799/BS7799-2:2002,. Je avtorica oziroma soavtorica več izvirnih člankov in refera-tov, objavljenih v domači in tuji strokovni literaturi.
12 ima široko znanje o računalništvu in specialistično znanje na področjih projektnega vodenja, upravljanja kakovo-sti in informacijske varnosti. Podjetju HERMES SoftLab se je pridružil leta 1996 po znanstvenem raziskovanju vedenja kompleksnih dinamičnih sistemov na Institutu Jožef Štefan. Področje njegovega delovanja je vključevalo razvoj programske opreme, vodenje projektov in upravljanje kakovosti. Je presojevalec po zahtevah standarda ISO 9001 in pri SIQ vodi izobraževanja na temi ISO 9001 pri razvoju programske opreme in Vpeljava ISO/IEC 27001:2005
5
Matjaž Trstenjak13
Vzpostavitev, vzdrževanje in nadzor infrastrukture za potrebe BCPSetting Up, Maintaining and Monitoring the BCP Infrastructure
PovzetekVisoko razpoložljive storitve informacijske tehnologije predstavljajo skupek procesov, ki jih upravljajo ljudje ob uporabi tehnologije. Pri tem tehnologija sloni na fizični infrastrukturi – računalniškem centru.Tako je računalniški center iz vidika infrastrukture osnovni temelj in predpogoj vseh nadalje uporabljenih tehnologij. Neprimeren prostor in na primer neustrezno napajanje, sta lahko usodna za zagotavljanje neprekinjenega poslovanja, ne glede na to, da so uporabljeni vsi ostali mehanizmi visoke razpoložljivosti. Ker so s tem pogojena izhodišča za vse nadaljnje aktivnosti, prispevek navaja smernice, zahteve in dobro prakso pri načrtovanju in vzpostavitvi primerne infra-strukture samega računalniškega centra ter potrebnih sistemov za nadzor in vzdrževanje infrastrukture, da bo zagota-vljala visoko razpoložljivost in podpirala neprekinjeno poslovanje.
Ključne besedeNačrtovanje neprekinjenega poslovanja, Oprema za podatkovno procesiranje, Požarna varnost objektov, Zračenje, Siste-mi klimatiziranja, Sistemi oskrbe z električno energijo, Zaščita električnega napajanja, Ozemljila, Električne instalacije, Varnostne zahteve, Varnostni sistemi, Zasnova, Načrtovanje, Elektromagnetna kompatibilnost.
SummaryHigh availability of IT services is build up from processes, which are managed by humans using the technology. Most of the technology is based on physical infrastructure – data centre.In this meaning data centre and its infrastructure in the basic ground and precondition for all other kinds of used tech-nologies. Not adequately equipped premises such as poor power supply, can be fatal for any business continuity plans, regardless, that all the rest of the components have the very high availability. As the infrastructure is precondition for success of other activities in the article there are listed guidelines, requirements and recommended best practises in planning and setting up required infrastructure of data centre and all necessary monitoring and support structure to assure that high availability of business continuity environment will be provided.
Key wordsBusiness Continuity Planning, Data processing equipment, Fire safety in buildings, Ventilation, Air-conditioning systems, Electric power systems, Electrical safety, Earthing, Electric cable systems, Safety requirements, Security systems in buildings, Design, Planning, Electromagnetic compatibility.
Dr. Borut Jereb14
Krizno komuniciranje v načrtu neprekinjenega poslovanjaCrisis Communications in Business Continuity Plan
PovzetekV večini primerov so načrti neprekinjenega poslovanja naravnani tako, da omogočajo nadaljevanje tehničnega dela poslovanja. Določajo zaščito fizičnega kapitala, kot so podatki, informacije, računalniške mreže, računalniki ter ostale naprave. Pri tem je praviloma spregledana človeška dimenzija kriznih situacij. V kriznih razmerah moramo največkrat v zelo kratkem času vzpostaviti komunikacijo z različnimi javnostmi – z zaposlenimi, s kupci, z investitorji, z mediji, s širšo javnostjo in z drugimi, ki so z našo organizacijo povezani in pričakujejo naš odziv v krizi. V teh situacijah se moramo opreti na že pripravljen, premišljeno izdelan krizni komunikacijski načrt.
Ključne besedenačrt neprekinjenega poslovanja, načrt kriznega komuniciranja, mediji, odnosi z javnostmi.
13 univ. dipl. inž. el.; CISSP, CISM; vodja varovanja informacijskega sistema, Nova Kreditna banka Maribor d.d.. Vsebina prispevka predstavlja poglede avtorja, ki niso nujno tudi stališča, praksa ali politika podjetja, v katerem je avtor zaposlen.
14 doktor računalniških znanosti; CISA, CISM; podsekretar, Agencija RS za okolje, Ministrstvo za okolje in prostor.
6
SummaryMany organizations still need to translate their business continuity plans into a technology-driven total business conti-nuity process, which serves to protect physical assets, such as data, networks, core business applications and facilities. On the other hand, the human side in disasters is not well addressed. In emergency situations, there are multiple audi-ences (such as employees, customers, investors, the media and the community) with multiple needs and the purpose of a robust crisis communication plan is that the organization communicates the right message at the right time, which is critical to managing a business crisis.
Key wordsBusiness continuity plan, Crisis communication plan, media, public relationships.
Mag. Andrej Zimšek15
Upravljanje z identitetamiIdentity Management
PovzetekUpravljanje z identitetami predstavlja korak v procesu povečanja varnosti informacijskih rešitev. Kot pove že ime, bistvo rešitve ni v tehnologiji ampak organizacijski strukturi oz. strategiji, ki združuje obstoječe politike, procese in informa-cije. V prispevku so predstavljeni osnovni koraki za učinkovito implementacijo takšnega sistema. Upravljanje z identi-tetami je pomembno predvsem v okoljih z veliko uporabniki ali drugimi zakonskimi zahtevami, kjer želimo zagotoviti takojšnje ukrepanje in popoln nadzor uporabniških pravic.
Ključne besedeupravljanje z identitetami, avtomatizacija postopkov, upravljanje z gesli, varnostna politika, uporabniški življenjski ci-kel.
SummaryIdentity management is a subset of systems management for enterprises, with significant implications to security and risk strategy. At its core, it is not a technology discussion as much as it is a process and organizational discussion about the role of “roles” in enterprises (how people and applications access assets, whether they be applications, databases, or other vital information). Identity management is vital in environments with lots of user accounts and regulatory and/or legal requirements. In those environment quick response and complete control of user rights is a must.
Key wordsidentity management, process automation, password management, security policy, user life cycle, user provisioning.
Dr. Borut Jereb16
Pregled aktualnih standardov v ITThe Overview of Actual IT International Standards
PovzetekStandardi predstavljajo splošno sprejeta pravila in navodila, ki omogočajo, da so izdelki, sistemi ali poslovni sistemi medsebojno združljivi. Poleg tega mednarodni standardi omogočajo, predvsem manjšim podjetjem, velike koristi pri podajanju praktičnih rešitev ob mnogih izziv, pred katere so ta podjetja izpostavljena v globalni ekonomiji. Pri tem imajo še posebno vrednost v industriji IT.
Ključne besedeISO, mednarodni standard, IT.
15 magister tehničnih znanosti; CISA; svetovalec, S & T Hermes Plus d.d.16 doktor računalniških znanosti; CISA, CISM; podsekretar, Agencija RS za okolje, Ministrstvo za okolje in prostor.
7
SummaryCommon use of the word standard implies that it is a universally agreed upon set of guidelines for interoperability. Inter-national standards can provide big benefits for small business and provide practical solutions to many of the challenges faced by small business in today’s globalizing markets. They allow small business owners and managers to enhance their traditional virtues of hard work, enterprising spirit and close attention to the requirements and satisfaction of their customers. Standards have a special value for IT.
Key wordsISO, International standards, IT.
Mag. Nataša Žabkar17
Integracija ISO 9001 in COBIT IVISO 9001 and COBIT IV Integration
PovzetekDobra praksa na področju upravljanja IT predvideva, da obstaja v podjetju ogrodje za upravljanje IT. Če je v podjetju že uveden standard ISO 9001 (Sistemi vodenja kakovosti), potem je združitev ISO 9001 in COBIT IV lahko bližnjica do dobre prakse. V prispevku bo predstavljena ena izmed možnih rešitev. Najprej bo izvedena primerjava ISO 9001 in COBIT IV iz vidika upravljanja IT, potem bo podan predlog rešitve. Na koncu prispevka bodo predstavljene prednosti in pomanjkljivosti predlagane rešitve.
Ključne besedeupravljanje informacijske tehnologije, COBIT IV, ISO 9001.
SummaryInformation technology governance (ITG) is a part of corporate governance. Good practice for ITG is to have an ITG framework, such as COBIT. Many companies have already implemented ISO 9001: Quality management system, which can be used as a basis for COBIT implementation. In this paper we have described ISO 9001 and COBIT as well as their mapping. Then we have presented one possible solution for ISO 9001 and COBIT integration. In the end we have given advantages and disadvantages of the proposed solution.
Key wordsinformation technology governance, COBIT, ISO 9001.
Franci Tajnik18
COBIT 4.0 – kaj je novega?COBIT 4.0 – What’s New?
PovzetekPrispevek obravnava novosti v COBIT 4.0 in primerjavo s COBIT 3.0. Primerjava je detajlno prikazana na nivoju COBIT procesa AI6 Upravljanje s spremembami. V zaključku so podane ugotovitve in napotki za revizorsko rabo. Avtor ugotavlja, da je za uspešno revizijsko uporabo potrebna kombinacija uporabe s prejšnjo verzijo COBIT 3.0, saj v novi verziji manjkajo revizijski napotki Audit Guidelines.
Ključne besedeCOBIT, tveganje, revizijski cilji, revizija, informacijski sistemi, metodologija.
17 mag. poslovodenja in organizacije, univ. dipl. ing. računalništva; preizkušeni revizor informacijskih sistemov; CISA. Razlage in komentarji, ki so predmet tega prispevka predstavljajo poglede avtorja in niso nujno tudi stali-šča, praksa ali politika podjetja, v katerem je avtor zaposlen.
18 univ. dipl. inž. fiz.; preizkušeni revizor informacijskih sistemov; CISA; CISM; VLS Computers d.o.o., Velenje.
8
SummaryPaper presents the newness of COBIT 4.0 in comparison with COBIT3.0. There is detailed comparison prepared on process A/6 Change management. As part of conclusions statements and recommendations regarding use of COBIT 4.0 for auditor are presented. Author state, that for successful use it is needed that both versions of COBIT are needed as the last one does not include Audit Guidelines.
Key wordsCOBIT, risks, audit objectives, audit, information system, methodology.
Dr. Marko Bajec19
Uporaba modela COBIT za celovit pregled IT postopkov v okviru strate-škega načrtovanja informatikeUsing COBIT as a Model for Delivering a Complete IT Process Review as a Part of the IT/IS Strategy Planning
PovzetekObvladovanje informatike je področje, s katerim se v informatiki čedalje težje spopadamo. Razlogi so tako tehnološki (vedno večja kompleksnost IT ter heterogenost IS) kot tudi organizacijski (med informatiko in vodstvom ni pravega partnerstva). Eden od načinov, ki problem obvladovanja informatike vsaj delno olajša, je strateško načrtovanje infor-matike. V Laboratoriju za informatiko se že vrsto let ukvarjamo z izdelavo strategij razvoja informatike za srednje in večje združbe. Pri tem sledimo lastni metodologiji, ki se v grobem sestoji iz analize obstoječega stanja poslovnega in informacijskega sistema, izdelave poslovnega modela, analize vpliva IT ter izdelave načrta razvoja informatike. V zadnjem času kot pripomoček pri analizi obstoječega stanja uporabljamo model COBIT, ki se je izkazal kot zelo dober okvir za sistematično izvedbo analize IT procesov. V prispevku bomo prikazali, kako se model COBIT integrira z našo metodologijo strateškega načrtovanja informatike ter predstavili nekaj konkretnih izkušenj.
Ključne besedestrateško načrtovanje informatike, obvladovanje informatike, načrtovanje razvoja informatike.
SummaryThe governance of IT is becoming very difficulty today. Besides that the complexity and heterogeneity of IT make it very hard to manage, there are also other, organisational issues contributing to this problem. One of such is a poor com-munication between IT and management, e.g. between CIO’s and CEO’s, which is found today in many companies. In the IT community it has been widely acknowledged that there should be a partnership between IT and management in order to govern IT efficiently. This paper is about IT/IS strategic planning, an approach that mitigates the aforementioned problems by forcing the companies to develop their information systems as required by their businesses. Moreover, one of the goals of the IT/IS strategic planning is to establish better communication between the company’s IT personal and its managers. The main purpose of the paper is to show how COBIT can be employed as a part of this strategy planning process.
Key wordsIT/IS strategic planning, IT governance.
19 doktor računalniških znanosti; docent, Univerza v Ljubljani, Fakulteta za računalništvo in informatiko.
9
Andrej Šalej20
Pregled IT procesov po COBIT metodologijiReview of IT Processes with COBIT
PovzetekEna od tem, ki zanima napredne organizacije je, kako na enostaven in stroškovno učinkovit način ugotoviti kakšna je dejanska podpora IT-ja poslovanju. Ocenjevanje kakovosti IT procesov je zahtevno tako s stališča izbire pristopa kot s strani uporabe virov.COBIT predstavlja kontrolno okolje za IT in s tem orodje za ocenjevanje kakovosti IT procesov. Uporaba zrelostnega modela omogoča organizaciji pridobitev objektivne ocene o nivoju upravljanja IT, v relativno kratkem času in z omeje-nimi viri.
Ključne besedeupravljanje IT, ocenjevanje IT procesov, COBIT, zrelostni model.
SummaryOne of the questions of today’s organization is how to evaluate IT support to business in a cost efficient way. Obtaining an objective view of an enterprise’s quality of IT processes in tamely manner is not easy.COBIT is a control environment for IT and as such is a tool for measuring the quality of IT processes. Capability model gives an organization opportunity to get an objective view on the level of IT governance in a tamely manner with limited resources.
Key wordsIT governance, evaluating IT processes, COBIT, Capability model.
Mag. Goran Šušnjar21
Revizor IS in pestrost pristopov pri izvedbi analize tveganjIS Auditor and Different Approaches to Risk Analysis Process
PovzetekPrispevek obravnava situacijo, ko se zunanji revizor IS na terenu sooči z drugačnim pristopom za upravljanje oz. analizo tveganj, kot ga sam dobro pozna. Dostopnost virov z različnih koncev sveta ter vse več domačega znanja in “inovativno-sti” vsakodnevno povečujejo verjetnost tovrstnih dogodkov. Poleg morebitnih virov težav pri uporabi izsledkov analize tveganj, ki so jih izdelali strokovnjaki za upravljanje tveganj iz revidirane organizacije, prispevek predstavi nekaj napot-kov, kako korektno oceniti uporabnost drugačnega pristopa ter “alternativno strategijo”. Osnova za napotke so predvsem navodila za proces PO9 v COBIT-ovih Smernicah za revidiranje in osebne izkušnje avtorja.
Ključne besedeRevizor IS,; analiza tveganj, ocena tveganj, upravljanje tveganj, standard, okvir.
SummaryAn unkown risk analysis / assessment approach met in the field by IS auditor could be an issue: different terminology, processes and tools can cause some missunderstanding regarding work done by auditee’s risk management specialists within limited timeframe of an audit. Some practical suggestions based on COBIT Audit Guidelines and personal expe-rience are presented to avoid such problems.
Key wordsIS Auditor, Risk Analysis, Risk Management, Standard, Framework.
20 CISA, CISM, Hypo Alpe Adria Bank.21 magister informacijsko-upravljalskih ved; univ. dipl. ing. mat.; CISA; direktor za strateško načrtovanje in zagota-
vljanje skladnosti, Zavarovalnica Triglav d.d., Ljubljana.
10
Irena Andolšek22
Revizijski dokaziAudit Evidence
PovzetekNamen izvajanja revizije je pridobivanje primernih in zanesljivih revizijskih dokazov, s pomočjo katerih revizor lahko poda ugotovitve. Revizor lahko pridobi revizijske dokaze na različne načine, navadno s pomočjo izvajanja intervjujev, pregleda pomembne dokumentacije, preverjanje izvajanja kontrol in testiranja kontrol. Revizorji zbirajo revizijske do-kaze v skladu z vrsto revizije na podlagi revizijskega programa oz. metodologije, ki jo uporabljajo pri izvajanju revizije. Revizorji se za pridobitev reprezentativnega vzorca pri testiranju kontrol v poslovnih procesih običajno poslužujejo teh-nike statističnega vzorčenja. Obseg preverjanja se lahko zmanjša, če se ugotovi zanesljivost delovanja notranjih kontrol. Na podlagi pridobljenih dokazov se ocenijo kontrole in tveganja na področju, ki je bil predmet pregleda.
Ključne besederevizijski dokazi, revizija, revizijsko vzorčenje, zadostnost, dokumentacija.
SummaryThe objective of an audit is to obtain the appropriate and reliable audit evidence, so as to enable the auditor to express his or her findings. Audit evidence may be obtained in various ways, usually by means of interviews, a review of major documents, internal control checking and testing. The audit evidence collected by the auditors depends on the type of au-dit, on the basis of the audit program and/or methods applied during the audit. In order to acquire a representative testing sample in the business processes, statistic sampling methods are usually applied. If the operation of internal controls is reliable, the scope of examination may be decreased. The acquired audit evidence is used to provide an opinion as to the controls and risks applicable to the area that was subject to the audit.
Key wordsAudit evidence, Audit, Audit sampling, Sufficiency, Documentation.
Boža Javornik23
Kaj je še mogoče storiti za obvladovanje prehoda na evro?What Can be Still Done to Manage Introducing Euro?
PovzetekPrispevek obravnava tveganja IT projektov na verjetno ta čas najbolj aktualnem projektu v vseh IT centrih v zaključnih fazah testiranja in uvedbe. Tveganja so obravnavana iz perspektive izkušenj “neuspelih projektov”, priporočljive dobre prakse možnih ukrepov za preprečevanje ali zmanjševanje posledic incidentov. Ob tem je podano nekaj avtoričinih vi-den,j kaj je mogoče in kaj smiselno izvajati in kaj načrtovati v zadnjih treh mesecih. Ob tem je podan tudi vidik dodane vrednosti vključitve IT revizorjev.
Ključne besedeRazvoj rešitev, Evro projekt, uvajanje rešitev, obvladovanje tveganj, načrtovanje, testiranje in uvajanje rešitev, revizijska sled, obvladovanje kapacitet, neprekinjeno delovanje.
SummaryPaper discus the IT project risk on Project Euro, which is at this moment the most important project IT centres have to execute and is on the final phases of testing and implementation. Risks are addressed from the perspective of experience of projects’ failures, suggested best practices of possible actions and measures for risk mitigation and incidents. In this framework some of Authors views on what can be done and what is worth doing in last three months. In this aspect the role of IS auditors is addressed – what can be their role and added value of their engagements.
22 univ. dipl. ekon.; preizkušena revizorka informacijskih sistemov; CISA, CISM; KPMG Poslovno svetovanje, d.o.o., Ljubljana.
23 univ. dipl. inž. mat.; preizkušena revizorka informacijskih sistemov; CISA; Nova Ljubljanska banka, d.d.
11
Key wordsapplication development, Euro Project, Implementation, risk management, testing IT solutions, audit trails, capacity management, business continuity.
Dr. Mateja Podlogar24, Dr. Alenka Brezavšček25
Zastopanost področij revizija in varnost informacijskih sistemov v visoko-šolskih izobraževalnih programihInformation Systems Auditing and Security as Part of Higher Educational Programs
PovzetekPrispevek povzema zastopanost področij revizije in varnosti informacijskih sistemov na visokošolskem študiju. Izvede-na je analiza stanja na slovenskih fakultetah. Rezultati analize kažejo, da sta področji bolje zastopani na družboslovnih kot na tehničnih fakultetah. Podrobneje je opisan primer Fakultete za organizacijske vede Univerze v Mariboru, kjer sta področji razmeroma bogato zastopani na vseh stopnjah študija. Na kratko je podana vloga združenja ISACA (Infor-mation System Audit and Control Association) pri promoviranju revizije in varnosti na fakultetah v Sloveniji in svetu.
Ključne besedeinformacijski sistem, revizija, varnost, visokošolski izobraževalni programi, ISACA.
SummaryIn the paper, incorporation of information systems auditing and security into Slovenian higher educational programs is analyzed. Results show that several themes in this field are quite well incorporated into some sociological programs, in opposite to technical programs. Regarding publicly available educational programs, it can be seen that most of topics of information systems auditing and security are included in the educational program of the University of Maribor, Faculty of Organizational Sciences. The case of this faculty is described in detail. Besides, the role of ISACA association in promoting information systems auditing and security in higher education is presented.
Key wordsInformation System, Auditing, Security, Higher Educational Program, ISACA.
Janja Jedlovčnik26
Zakon o varstvu dokumentarnega in arhivskega gradiva in arhivih (ZVDA-GA) in novi izziviZVDAGA and New Issues
PovzetekZakon ZVDAGA je celovito zaokrožil pred leti sprejet in dopolnjen zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) tako, da je uredil pravno varstvo gradiv, ki nastajajo pri elektronskem poslovanju. Pravne ovire za hra-njenje gradiv v e-obliki je odpravil že ZEPEP, vendar so ostajali dvomi, ker ni bilo enotnih in jasnih stališč glede tehno-loško organizacijskih zahtev sistemov za hranjenje gradiv v elektronski obliki, ki bi zagotavljale veljavnost in dokazno vrednost teh gradiv. ZVDAGA je odpravil tovrstne dvome. Nov zakon uvaja tudi možnost, v primeru javnopravnih oseb pa obveznost, potrjevanja notranjih pravil za arhiviranje in akreditacijo ponudnikov strojne in programske opreme ter storitev v zvezi z zajemom in hranjenjem gradiv s strani državnega arhiva. Na ta način zakon pomeni vsekakor zeleno luč za uvajanja novih tehnologij na področju e-arhiviranja in odpira nove potrebe za izvajanje strokovnega nadzora nad tovrstnimi sistemi.
24 doc. dr. visokošolska sodelavka asistentka za informacijske vede, Univerza v Mariboru, Fakulteta za organizacij-ske vede.
25 doc. dr.; visokošolska učiteljica, Univerza v Mariboru, Fakulteta za organizacijske vede.26 univ. dipl. ing. rač.; CISA; preizkušena revizorka informacijskih sistemov; Vodja podpore sistemu vodenja kako-
vosti in Pooblaščenka za varovanje informacij v podjetju Infotehna d.o.o., Novo mesto.
12
Ključne besedeZapis, dokumentarno gradivo, elektronska oblika, elektronska hramba, notranja pravila, varnost, nadzor, ponudniki opreme in storitev, registracija, akreditacija.
SummaryDucumentary and archival material custody and archives act (ZVDAGA) is a logical continuation of Electronic Commer-ce and Electronic Signature Act (ZEPEP), which has eliminated legal impediments on electronic records usage. The Act ZVDAGA put into force requirements for implementation of electronic record management systems (ERMS). Organiza-tion which implements ERMS, should set up internal rules, confirmed by National Archive. ZVDAGA introduces new requirements and possibilities for information technology and service providers like obligatory registration of providing equipment and services and chance of accreditation of them. The accreditation of public sector providers is obligatory. ZVDAGA is a green light for employment of new technologies in e-archiving.
Key wordsRecord, Electronic Record, Electronic Record Management System (ERMS), Internal Rules, Security, Control, Service providers, Registration, Accreditation.
Mag. Stane Moškon27
Revizija SAP – kaj mora revizor informacijskih sistemov vedeti o SAP sis-temu?Audit of SAP – What Has to Know Information System Auditor About SAP?
PovzetekZahteve za revizije večjih SAP sistemov se v Sloveniji pojavljajo vse pogosteje, zato postaja revizija SAP sistemov ena od pomembnih specializacij revizorjev informacijskih sistemov. Razlogi za revizijo izhajajo iz različnih potreb orga-nizacije in v različnih življenjskih obdobjih SAP sistema: pred uvedbo, po zaključku uvedbe ali pa v samem procesu uvedbe predvsem z namenom zagotavljanja ustreznega kontrolnega okolja na osnovi poslovnih zahtev. Kompleksnost in specifičnost SAP sistema zahteva poleg poznavanja in izkušenj s področja revizij standardnih ERP sistemov tudi po-znavanje SAP specifike. Za razumevanje SAP sistema za potrebe revizije je potrebno najprej poznati arhitekturo rešitve in strukturo ter komponente sistema. Na osnovi tega se lahko odločimo za ustrezen pristop k reviziji SAP sistemov. V prispevku bom opozoril tudi na tveganja in pasti v SAP sistemih, ki jih mora revizor informacijskih sistemov poznati, da lahko uspešno izvede revizijo SAP sistema.
Ključne besederevizija informacijskega sistema, SAP sistem, prenova informacijskega sistema, aplikativna programska oprema.
SummaryAs requests for the audit of bigger SAP installations in Slovenia is getting more and more frequent SAP system au-dit is becoming one of the important specialisations of information system auditors. Reasons for the audit originate in different needs organisations have and in different life cycles of SAP system and are pre-implementation review, post-implementation review or cooperation of the information system auditor in the process of SAP implementation to assure appropriate control framework accordance with business requirements. Complexity and specificity of SAP system requests also knowledge of and experience in standard ERP system auditing as well as thorough knowledge of SAP system. For information system audit architecture and structure of SAP system are very important. By knowing and understanding SAP system an information system auditor is able to select the most appropriate audit approach. In this paper I would like to suggest some steps and give advice which may be very helpful to the information system au-ditor doing an audit of SAP system.
Key wordsaudit of information system, SAP system, application software, reingeneering of information system.
27 magister organizacijskih znanosti; preizkušeni revizor informacijskih sistemov; CISA, CISM; Osir d.o.o.
13
Mag. Janko Hriberšek28
Uporabniško programiranjeEnd-User Computing
PovzetekProgramska orodja za izdelavo računalniških programov so vse boljša. Vse več računalniških uporabnikov se ukvarja z izdelavo preprostih programov, s katerimi si olajšajo pripravo poslovnih analiz. S časom postanejo uporabniki že pravi strokovnjaki in programske rešitve ponujajo tudi sodelavcem v družbi. Takšno početje se lahko hitro izrodi, če ga družba ne uredi z ustreznimi internimi akti. Preprečiti je potrebno potencialne nevarnosti, ki nastajajo zaradi pomanjkljivega znanja uporabniških programerjev. Množična uporaba nepreverjenih uporabniških programov lahko povzroči družbi nepopravljivo škodo.
Ključne besedeuporabniško programiranje.
SummaryUser-developed applications are getting increasingly better and the amount of end-user computing is increasing, specifi-cally in the development of simple tools for business analyses. With time and experience the end-users become experts and offer end-user computing services and products to colleagues in the company. This behavior represents a potential danger if the level of knowledge and expertise of the end-user programmers is too low or faulty. A massive use of de-fective solutions can cause a company irreparable damage.
Key wordsEnd-User computing.
28 magister organizacijskih znanosti; univ. dipl. org.; vodja informacijskih tehnologij, NLB Skladi, Ljubljana.
