6

ECTS

30 sati

Predavanja

Team member six

Revizija i kontrola informacijskih sustava

Status predmeta: Obavezan

Saznajte više o predmetu:
Ciljevi predmeta:

Cilj predmeta jest upoznati se s ključnim pojmovima, konceptima, normama, metodama i alatima iz područja Revizije i kontrole informacijskih sustava te ukazati na potrebu primjene ove discipline u praksi i njen značaj za svaki poslovni sustav. Cilj je da studenti nauče prepoznati probleme ovog područja te ovladaju metodama njihovog rješavanja, posebno kako provesti reviziju i kontrolu najznačajnijih komponenti informacijskog sustava. 

Tri su osnovna smjera razvoja ove discipline. Prvi jest činjenica jest spoznaja da (visoke) investicije u IT neće automatski rezultirati (nikakvim) poslovnim učincima, da se desi pozitivna korelacija, nužni su odgovarajuće znanje i odgovornosti. Drugo,  informacijski sustavi postaju i sami predmetom obveznih revizijskih i kontrolnih postupaka. Treći smjer jest primjena informatičkih metoda i programske opreme u reviziji poslovnih sustava, poznavanje i primjena standarda, metoda, tehnika i alata koji se koriste u reviziji i kontroli informacijskih sustava, analiza i prepoznavanje razloga zbog kojih je nužno uspostavljati sustave revizije i kontrole informacijskih sustava kao i načina postupne izgradnje takvih sustava, sinteza i prezentacija programa uvođenja sustava revizije i kontrole informacijskih sustava u poslovanje, vrednovanje uspješnosti uspostavljenog sustava revizije i kontrole informacijskih sustava u praksi.

Ishodi učenja:

Na razini programa:

  1. Procijeniti utjecaj sigurnosne strategije, sigurnosnih politika, zakonskog okvira, primijenjenih sigurnosnih rješenja na poslovni/ informacijski sustav, te pripadajući sustav informacijske sigurnosti.
  2. Analizirati resurse informacijskog sustava s aspekta njihove ranjivosti i sigurnosnih nedostataka. 
  3. Ustrojiti i provoditi provjere sustava informacijske sigurnosti (audite) upotrebom odgovarajućih  metoda i postupaka, s ciljem osiguravanja sukladnosti sustava informacijske sigurnosti sa sigurnosnim planovima i procedurama, politikama, međunarodnim standardima, zakonskim i internim aktima poslovnog sustava.
  4. Uspostaviti i unaprjeđivati ciklus planiranja – uspostave – provjere – i – korekcije sustava informacijske sigurnosti.
  5. Nadgledati i koordinirati životnim ciklusom informacijske sigurnosti koji uključuje planiranje, nabavu, razvoj, održavanje, vrednovanje i zamjenu sigurnosne infrastrukture.
  6. Kritizirati i opravdati odluke iz područja informacijske sigurnosti prema ključnim dionicima (uprava, zaposlenici, klijenti, institucije državne uprave).

Na razini predmeta:

  1. Poznavati, razumjeti, odabrati i primijeniti standarde, metode, tehnike i alate za reviziju i kontrolu informacijskih sustava.
  2. Analizirati i prepoznavati razloge zbog kojih je nužno uspostavljati sustave revizije i kontrole informacijskih sustava kao i načine postupne izgradnje takvih sustava.
  3. Sintetizirati i prezentirati programe uvođenja sustava revizije i kontrole informacijskih sustava u poslovanje.
  4. Vrednovati uspješnost uspostavljenog sustava revizije i kontrole informacijskih sustava u praksi.
Sadržaj predmeta:

Tema 1: IT Governance kao koncept korištenja IT-a. Razvoj zrelosti korištenja IT-a. Prerastanje „nižih“ koncepata, kao što su ITIM (IT Infrastructure Management) i ITSM (IT Service Management) u IT Governance. IT Governance kao koncept korištenja IT-a. Potreba za ovim konceptom. EDC (Evaluate, Direct, Control) ciklus IT Governance-a. Modeli IT Governance-a: ISO 38500, ITIL, COBIT i drugi modeli korporativnog upravljanja. Učinci primjene koncepta IT Governance-a. Strateško upravljanje IT-em. Ostvarenje poslovnih benefita putem IT-a.  Upravljanje poslovnim rizicima zbog IT-a. Optimizacije IT resursa.

Tema 2: COBIT (Control of Objectives and Related Technology in IT) kao model revizije IS-a.  Namjena i korisnici COBIT-a. Ustrojstvo, ciljevi, principi i način korištenja COBIT-a. Procesi domene EDM (Evaluate, Direct, Monitor). Procesi domene APO (Align, Plan, Organize). Procesi domene BAI (Build, Acquire, Implement). Procesi domene DSS (Delivery, Service, Support).  Procesi domene MES (Monitor, Evaluate, Assess).

Tema 3: Potreba za revizijom i kontrolom IS-a kao dio IT Governance-a. Razlozi koji su doveli do nužnosti za revizijom i kontrolom IS-a. Analize slučajeva iz prakse. Međunarodni standardi i metode za postupke revizije i kontrole IS-a (ISACA, COBIT, COSO, SOX,ISO 27001, ISO 20000, ISO 22301 i dr.). Nacionalni propisi i norme za reviziju i kontrolu IS-a. Korisnici rezultata revizija i kontrola. Međunarodne asocijacije u ovom području (ISACA i dr.). Najbolja praksa za reviziju i kontrolu IS.

Tema 4: Proces revizije IS-a, potrebna znanja i odgovornosti. ISACA pristup  reviziji i kontroli IS-a. ISACA standardi reviziji IS-a. Područja i vrste revizija i kontrola IS-a. Proces revizije IS-a.  Potrebna znanja i odgovornost revizora. Zahtjevi za revizijom odgovornosti za IT – odgovornost korporativne razine, odgovornost razine izvršnog poslovodstva, odgovornost za IT na operativnoj razini.

Tema 5: Detaljni prikaz načina revizije nekih vitalnih područja IS-a:  životnog ciklusa, poslovnih aplikacija, tehničke infrastrukture i baza podataka. Revizija planiranja poslovnih aplikacija, razvoja, nabave, implementacije i održavanja IS-a. Revizija aplikacijskih kontrola, revizija odnosa funkcija projektiranja, programiranja i održavanja aplikacija. Revizija strojne i mrežne opreme: poslužitelja, osobnih računala, sistemske i komunikacijske programske opreme, sustava za otkrivanje upada, vatrozidnih sustava.  Revizija odnosa s dobavljačima. Revizija baza podataka: integriteta, pristupnih prava, nadzora korisničkog rada, visoke raspoloživosti, izrade rezervnih kopija, odnosa s operativnim sustavom, nadzora rada i oporavka baza podataka, izvještavanja itd. Prikazi različitih primjera. Pravni aspekti revizije IS-a- primjeri revizije ugovora između dobavljača i korisnika IT usluga.

Tema 6: Revizija sustava informacijske sigurnosti, sustava za upravljanje kontinuitetom poslovanja i rada kritičnih komponenti IS-a. Revizija politika i organizacije informacijske sigurnosti. Revizija upravljanja informacijskom imovinom. Revizija sigurnosti ljudskih resursa, fizičke sigurnosti i sigurnosti okruženja. Revizija komunikacija, operative i kontrola pristupa. Revizija upravljanja sigurnosnim incidentima i revizija sukladnosti. Revizija analize i procjene poslovnih rizika, te planova za prevenciju i oporavak. Revizija  implementacije, testiranja i održavanja sustava za upravljanje kontinuitetom poslovanja. Revizija organizacijske strukture za upravljanje kontinuitetom poslovanja. Programska oprema za potporu upravljanju kontinuitetom poslovanja.

Tema 7: Analize podataka korištenjem računalno podržanih revizijskih alata (primjeri IDEA CAAT). Svrha uporabe takovih alata, područja primjene, uporaba statističkih i matematičkih funkcija, specijalizirane tehnike analize podataka (raslojavanje, otkrivanje praznina itd.), selekcija sumnjivih transakcija. Samostalan rad polaznika u računalskoj analizi nekih baza podataka korištenjem SQL upitnog jezika i QBE alata. Primjena Benford-ovog zakona u revizijskim postupcima. 

Tema 8: Upravljanje razvojem zrelosti / sposobnosti iskorištenja IT potencijala u nekom poslovnom sustavu na osnovi postupaka revizija i kontrola IS-a. Načini osvješćivanja uprave, izvršnog menadžmenta, IT osoblja i korisnika o njihovim ulogama u iskorištenju IT potencijala u poslovnom sustavu. IT kao inovacijski potencijal.