IT kontrole i upravljanje rizicima informacionih sistema

© 2012 KPMG d.o.o. Beograd, a Serbian limited liability Company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved. 0

IT kontrole i upravljanje rizicima informacionih sistema

InfoTech 2012, Vrnjačka Banja

Nebojša Janković, CISA KPMG, IT Advisory Assistant Manager


Sadržaj

Strana

Izazovi upravljanja informacionim sistemima 2

Relevantna istraživanja 7

Upravljanje rizicima informacionih sistema 10

IT Kontrole i revizija informacionih sistema 15

Cobit kao okvir za pregled i reviziju IS 20

Sprovođenje implementacije IT kontrola 25

Specifične IT kontrole i testiranja 28

O KPMG-u 31

Izazovi upravljanja informacionim sistemima


Informacione tehnologije odavno predstavljaju jedan od najbitnijih elemenata u poslovanju.

Obavljanje poslovnih procesa u modernom poslovanju praktično nije moguće bez upotrebe naprednih informacionih tehnologija koje prožimaju sve aspekte današnjeg poslovanja. Uslov opstanka bilo koje organizacije je da raspolaže adekvatnim informacionim sistemom, u kojem su optimizovani poslovni procesi i tokovi informacija.

Izazovi upravljanja informacionim sistemima

Osnovni izazov za organizacije je da poboljšaju upravljanje informacionim sistemima, da ih bolje usklade sa poslovnim procesima kao i da se izbalansiraju rizici i kontrole na troškovno efikasan način.


Upravljanje informacionim sistemom

Cilj upravljanja informacionim sistemom jeste podržavanje poslovnih ciljeva i strategija organizacije uz efikasno korišćenje resursa informacionog sistema i upravljanje rizicima. Generalno, upravljanje informacionim sistemom treba da obuhvati :

1. Sigurnost, 2. Planiranje nastavka poslovanja, 3. Razvoj i organizaciju, 4. Održavanje.

Rukovodstvo bi trebalo: o biti upoznato sa konceptima i aktivnostima vezanim za informacioni sistem, o odrediti člana koji će biti nadležan za nadzor i kontrolu procesa upravljanja informacionim

sistemom, o uspostaviti adekvatnu organizacionu strukturu, pripadajuće funkcije i odbore, o definisati kriterijume, načine i postupke izveštavanja, o usvojiti strategiju informacionog sistema i nadzirati njeno sprovođenje, o doneti procedure kojima se uređuje upravljanje informacionim sistemima o uspostaviti proces upravljanja rizikom informacionog sistema.


Rizici informacionih sistema

Uspostavljanje adekvatnih IT kontrola treba da bude odgovor organizacije na IT rizik.

Rizicima informacionih sistema su najviše izložene organizacije koje se u svom poslovanju u velikoj meri oslanjaju na informacione sisteme i imaju potrebu da IT servisi budu dostupni u kontinuitetu, kao i za obradom masovnih transakcija na dnevnom nivou. Primeri IT rizika: Oslanjanje na sisteme i programe koji netačno obrađuju podatke Neautorizovan pristup podacima Kršenje pravila podele dužnosti Propust da se naprave neophodne izmene u sistemima ili programima Potencijalan gubitak ili nemogućnost pristupa podacima, softveru ili hardveru Nedostupnost potrebnih ljudskih resursa


Novi izazovi i rizici informacionih sistema

Outsourcing ■ Nastojanje da se smanje troškovi poslovanja i potreba za visokim nivoom usluga i stručnim

kadrovima nameću potrebu da organizacije deo poslovnih procesa povere specijalizovanim firmama ■ Organizacija bi trebala da na adekvatan način upravlja odnosom sa pružaocima usluga i nadzire

usluge u skladu s odredbama ugovora i usklađenosti sa propisima. Cloud ■ Brz napredak u razvoju IT resursa a posebno u telekomunikacionim segmentima je doneo posebnu

vrstu IT usluga koje omogućavaju kompanijama da praktično celokupne informacione sisteme (aplikacije, hardver i podatke) povere specijalizovanim firmama koje pružaju Cloud servise

■ Ovo dovodi do specifičnih rizika koje se odnose na čuvanje poverljivosti podataka, njihovu dostupnost kao i međunarodne zakonske nedoumice i ugovorne nejasnoće

BYOD - Bring Your Own Device ■ Razvoj mobilnih uređaja (tableta, telefona i sl.) i njihova pristupačnost sa jedne strane kao i pritisak

tržišta za raznovrsnim i brzo dostupnim uslugama kompanija sa druge strane je doveo do pojave korišćenja privatnih uređaja u poslovne svrhe

■ Ovo nameće novu vrstu izazova u IT administraciji za sigurno i funkcionalno povezivanje ovih uređaja sa kompanijskim sistemima

Rizik u poslovanju postoji bez obzira na to hoće li organizacija sama obavljati aktivnosti vezane za informacioni sistem ili će se koristiti spoljnim pružaocima usluga.

Relevantna istraživanja


Rizici IS – primeri iz prakse (Evropa)

25% organizacija se suočava sa hakerskim napadima, virusima i sličnim problemima po 10 i više puta u toku prošle godine

Svakih 5 godina, jedna od pet kompanija u Evropi pretrpi značajne gubitke usled havarije Više od 40% velikih kompanija ima primere odavanja poverljivih podataka 20% kompanija je izjavilo da se u toku 2011 suočilo sa ugrožavanjem bezbednosti informacionih

sistema i špijunažom

Vrsta napada 2011 2010 Malware (virusi, crvi, ….) 78% 86% Phishing 46% 58% Napad na ranjivosti operativnih sistema 31% 31% Krađa kompjutera ili medija 30% 33% Napadi na web/softverske aplikacije 28% 35% DoS 27% 23% Ugrožavanje baza podataka 19% 26% Napad na mobilne aplikacije 10% 7% Web sajt napadi 9% 15%


Rizici IS – KPMG istraživanje 2011

Na koji način trend sve većeg korišćenja mobilnih uređaja i rad od kuće na istom IT hardveru za lične i poslovne potrebe utiče na bezbednost kompanijskih sistema i poverljivost podataka

Kako bi transfer podataka ili infrastrukture na outsourcing ili cloud provajdere, kojima se može pristupiti preko interneta, uticao na rizik elektronskog kriminala.

Kakav je trend kretanja rizika sa kojima se suočava IT odeljenje u poslednjih 12 meseci.

The e-Crime Report 2011 – Managing risk in a changing business and technology environment (published by AKJ Associates sponsored by KPMG)

Upravljanje rizicima informacionih sistema


Upravljanje rizikom treba da obuhvati celokupni informacioni sistem organizacije i sve IT resurse. To je kontinuirani proces upoređivanja procenjenih rizika s prednostima i troškovima predloženih mera u skladu s poslovnim ciljevima. Ovaj proces generalno obuhvata: • procenu rizika • smanjivanje rizika • održavanje prihvatljivog nivoa rizika Potrebno je razmotriti različite vrste zaštitnih mera, sprovesti analizu i uzeti u obzir prihvatljiv nivo rezidualnih rizika. Zaštitne mere se biraju zavisno od verovatnoće pojave neželjenog događaja i od njegovog uticaja na informacioni sistem (narušavanje njegove funkcionalnosti i sigurnosti).

Upravljanje rizicima informacionih sistema

Revizija informacionih sistema, nezavisna kontrola IT operacija kao i procena funkcionalnosti IT servisa i stepena njihove podrške procesima organizacije su vitalni za zaštitu IT resursa, informacija i IT sistema kao i poboljšanje poslovanja.


Organizacija bi trebalo da utvrdi nivo rizika kojem je izložen informacioni sistem i predloži zaštitne mere kako bi se rizik smanjio na prihvatljiv nivo. Rizici se procenjuju s aspekta mogućeg uticaja koji bi nastao narušavanjem funkcionalnosti i/ili sigurnosti informacionog sistema. Kako bi se utvrdila verovatnoća pojave nekog štetnog događaja, potrebno je analizirati pretnje informacionom sistemu zajedno sa ranjivostima i kontrolama koje su primenjene. Uticaj se odnosi na prirodu i veličinu štete koju pretnja može uzrokovati ako iskoristi ranjivost. Procena rizika informacionih sistema trebalo bi da obuhvati sledeće korake: 1. Analiza karakteristika sistema, 2. Identifikacija mogućih pretnji, 3. Identifikacija mogućih ranjivosti, 4. Analiza trenutnog sistema kontrole, 5. Određivanje verovatnoće, 6. Analiza uticaja na informacioni sistem, 7. Utvrđivanje rizika, 8. Predlaganje korektivnih i zaštitnih mera.

Procena rizika informacionih sistema


U osnovne mogućnosti smanjivanja identifikovanih rizika spadaju: • Izbegavanje rizika • Ograničavanje rizika • Prenošenje rizika Pri odabiru bilo koje od ovih mogućnosti potrebno je uzeti u obzir poslovne ciljeve i zadatke kao i potrebu za očuvanjem osnovnih principa sigurnosti informacionog sistema. Smanjivanje rizika obuhvata sledeće korake: 1. Utvrđivanje prioriteta, 2. Procenu zaštitnih mera, 3. Sprovođenje cost - benefit analize, 4. Izbor mera za smanjenje rizika, 5. Raspodela odgovornosti, 6. Izrada plana sprovođenja, 7. Utvrđivanje rezidualnih rizika.

Smanjivanje rizika informacionih sistema


Mere uključuju sve postupke, procedure i mehanizme kojima se: štite resursi, smanjuju ranjivosti, otkrivaju neželjeni događaji, ograničava uticaj neželjenih događaja, pospešuje oporavak… Zaštitne mere se sprovode uvođenjem novih ili izmenom postojećih kontrola. Kontrole je suštinski moguće podeliti na tri kategorije: 1. Administrativne - sprovode se donošenjem i primenom politika, procedura i pravila radi

osiguranja funkcionalnosti i sigurnosti informacionih sistema 2. Logičke - Kontrole na softverskim i hardverskim komponentama 3. Fizičke - Štite i osiguravaju resurse od neovlašćenog pristupa, krađe, oštećenja ili uništenja

Mere i kontrole informacionih sistema

IT Kontrole i revizija informacionih sistema


Metodologija za sprovođenje revizije informacionih sistema podrazumeva sprovođenje dve osnovne grupe IT Kontrola :

Opšte IT kontrole (IT General Controls) Pomažu pri utvrđivanju pouzdanosti podataka generisanih od strane IT sistema i osiguravanju da sistemi funkcionišu u skladu sa namenom i da je izlaz pouzdan. Obično uključuju sledeće oblasti: Pristup programima i podacima Kompjuterske operacije Izmene programa Upravljanje projektima i Razvoj programa Kontinuitet servisa i Po potrebi kontrole migracije

Aplikativne kontrole Vezane su za transakcije i podatke u okviru aplikativnih sistema. Obezbeđuju potpunost i tačnost podataka kao i validnost unosa bez obzira da li su nastali obradom programa ili su rezultat ručnog unošenja podataka. Osnovne kontrole se odnose na: Unos (ulaz) podataka Verifikaciju Procesiranje (obradu) i Izlaz

Naš pristup sprovođenju IT kontrola

Informacioni sistem je siguran koliko je siguran njegov najranjiviji deo i potrebno je obezbediti pristup stvaranja sigurnosti koji uključuje različite kombinacije kontrola.


1. Pristup programima i podacima

• Funkcija i politika sigurnosti informacija • Klasifikacija i vlasništvo nad podacima i procesima • Pristup trećih strana resursima IS • Interna revizija i “self assesment“ • Kontrole pristupa

o Administrativne o Logičke o Fizičke

• Parametri i konfiguracije • Super korisnici i administracija • Podela odgovornosti • Mehanizmi za logovanje • Kontrole za pristup mreži • Anti virusna, antispam i firewall zaštita

Opšte IT kontrole – detalji


2. Izmene u programima

• Proces upravljanja promenama • Testiranje i Kontrola promena • Migracija promena u proizvodni režim rada • Bitne izmene u odnosu na prethodnu kontrolu 3. Upravljanje projektima i Razvoj programa

• Proces odobravanja • Upravljanje projektom i razvojne metodologije • Proces testiranja 4. Kompjuterske operacije

• Procedure za bekap i oporavak • Plan kontinuiteta poslovanja/Plan oporavka u slučaju nesreće • Procedure za upravljanje problemima i Monitoring • Help desk • Upravljanje incidentima

Opšte IT kontrole – detalji (nastavak)


Aplikativne kontrole se odnose se na razne kontrole rada aplikacija i najčešće su specifične samo za konkretne sisteme. Mogu biti ugnježdene u poslovne procese upotrebom aplikacija i pokrivaju: Unos (ulaz) podataka Verifikaciju Procesiranje (obradu) i Izlaz Ove kontrole pružaju garanciju da će aplikacija raditi u skladu sa zahtevima i da je informacija tačna, pravovremena i potpuna. Omogućavaju da kontrole odmah reaguju, ako se podaci ne poklapaju. Primeri aplikativnih kontrola: Kontrole kompletnosti, Validacione kontrole, Kontrole Identifikacije, Provera rezultata automatskih obrada, Provera enkripcije podataka u procesu prenosa … U ovu kategoriju spadaju i brojne kontrole samog poslovnog softvera, operativnih sistema, instalacija i održavanja softvera, prenosa podataka, rada sigurnosnih softvera, otkrivanje grešaka, uzroka incidenata, konfiguracija opreme, praćenje rada sistemskog softvera i sl.

Aplikativne kontrole


Cobit kao okvir za pregled i reviziju IS


CobiT je okvir kreiran od strane međunarodnog udruženja za reviziju i kontrolu informacionih sistema (ISACA), i Instituta za upravljanje IT-em (ITGI)).

CobiT je baziran na sledećem principu: Da bi se obezbedile informacije koje su potrebne organizaciji za ostvarenje ciljeva, organizacija mora da investira u IT resurse, da njima upravlja i da ih kontroliše koristeći struktuiran skup procesa. CobiT 4.1 okvir je podeljen na 4 oblasti : o Planiranje i Organizacija o Nabavka i Implementacija o Isporuka i Održavanje o Nadgledanje i Procena Takođe svaka od oblasti sadrži procese koji su detaljnije određeni. Ukupno postoji 34 procesa za proveru. Svaki od procesa se sastoji od detaljnih kontrola koje se ocenjuju i koje predstavljaju najniži nivo podele u CobiT 4.1 okviru.

Cobit 4.1 kao okvir za pregled i reviziju IS

Revizija informacionih sistema, nezavisna kontrola IT operacija kao i procena funkcionalnosti IT servisa i stepena njihove podrške procesima organizacije su vitalni za zaštitu IT resursa, informacija i IT sistema kao i poboljšanje poslovanja.


Efektivnost Efikasnost Poverljivost Integritet Raspoloživost Dostupnost Usklađenost Pouzdanost

Aplikacije Podaci Infrastruktura Ljudi

VAŽNOST PODATAKA

IT RESURSI

KONTROLA I PROCENA (ME)

PLANIRANJE I ORGANIZACIJA (PO)

NABAVKA I IMPLEMENTACIJA (AI)

IZVRŠENJE I ODRŽAVANJE (DS)

RUKOVOĐENJE PROCESIMA

RUKOVOĐENJE ORGANIZACIJOM

ME1 – Kontrolisanje i procena IT performansa ME2 – Kontrolisanje i procena internih kontrola ME3 – Usaglašavanje sa spoljašnjim zahtevima ME4 – Određivanje rukovođenja IT procesima

DS1 – Određivanje i rukovođenje uslugama DS2 – Rukovođenje uslugama vendora DS3 – Rukovođenje performansom i kapacitetom DS4 – Održavanje neprekidne podrške DS5 – Održavanje sigurnosti sistema DS6 – Određivanje i raspoređivanje troškova DS7 – Obuka korisnika DS8 – Rukovođenje servisnim kadrom i kvarovima DS9 – Određivanje konfiguracije DS10 – Rukovođenje problemima DS11 – Kontrola podataka DS12 – Rukovođenje okruženjem DS13 – Rukovođenje dnevnim poslovima

PO1 – Određivanje strateškog plana ITa PO2 – Određivanje strukture podataka PO3 – Određivanje IT smernica PO4 – Određivanje IT procesa, organizacije i odnosa među sektorima PO5 – Upravljanje IT investicijama PO6 - Komuniciranje ciljeva i smernica rukovodstva PO7 – Upravljanje IT kadrovima PO8 – Upravljanje kvalitetom IT usluga PO9 – Ocena i rukovođenje IT rizicima PO10 – Rukovođenje projekata

AI1 – Određivanje automatizovanog rešenja AI2 – Nabavka i održavanje aplikacija AI3 – Nabavka i održavanja IT infrastrukture AI4 – Osposobljavanje za rad i korišćenje AI5 – Određivanje IT resursa AI6 – Upravljanje promenama AI7 – Instaliranje i potvrda rešenja i promena

CobiT 4.1 Opšti pregled


Karakteristike za ocenu zrelosti Obaveštenost i komunikacija

Politike, standardi i procedure

Alati i automatizacija

Znanje i stručnost

Odgovornost i izvršenje zadataka

Određivanje i merenje ciljeva

Pri ocenjivanju zrelosti svakog od 34 procesa, oslanja se na CMM- Control Maturity Model. Model zrelosti određuje karakteristike za proveru i dodeljuje ocene za svaku karakteristiku. CobiT 4.1 definiše sledeće karakteristike koje se koriste pri proceni:

Zrelost procesa

Ocena nivoa zrelosti 0 Nepostojeći proces

1 Početni / Povremeni proces

2 Proces se ponavlja ali je neposredan 3 Definisan proces

4 Rukovođen i merljiv proces

5 Optimizovan proces

Na osnovu ovakve analize dolazi se do nivoa zrelosti svakog procesa u organizaciji koji pokazuje gde se nalazi danas, gde bi želela da bude i ako postoje podaci, vrši se poređenje sa industrijskim prosekom. Okvir predlaže da se razmatraju samo oni procesi koji su relevantni za konkretnu organizaciju i koji mogu imati uticaj na IT sigurnost.


Aplikacije Informacije

Infrastruktura

Ljudi

a) Informacioni kriterijumi Da bi se ostvarili poslovni ciljevi, potrebno je da informacije budu u skladu sa određenim kriterijumima kontrola (poslovni zahtevi za informacijama). Sedam različitih ali preklapajućih informacionih kriterijuma su za svaki proces predstavljeni tabelom kao Primarni (P) i Sekundarni (S) uticaji

b) IT resursi u okviru CobiT-a Da bi se odgovorilo na poslovne zahteve, potrebno je da se ulaže u resurse koji su potrebni da bi se stvorile tehničke mogućnosti koje će podržati poslovanje što će dovesti do željenih rezultata. IT resursi na koje ima uticaj proces () su predstavljeni tabelom na sledeći način

c) Oblasti na koje se fokusira IT upravljanje Oblasti na koje se fokusira IT upravljanje objašnjavaju teme na koje izvršno rukovodstvo treba da obrati pažnju da bi upravljalo IT-em. Za svaki proces ovo je predstavljeno na sledeći način.

d) RACI matrica Za svaki od procesa je utvrđena RACI odgovornost. RACI odgovornost (Responsible, Accountable, Consulted, Informed) određuje ko je izvršno odgovoran za proces (A), ko će taj proces operativno izvesti (R) po nalogu od osobe (A), ko se pita za mišljenje u vezi procesa ili indirektno pomaže (C) i ko je sve informisan o dobijenim rezultatima ali nema udela u izvršenju (I).

Prikaz ciljeva i metrika procesa

Sprovođenje implementacije IT kontrola


Proces implementacije IT kontrola

F A

Z A

1

Planiranje i određivanje opsega

Dokumentovanje procesa i kontrola

• Identifikovanje procesa i određivanje prioriteta • Identifikovanje procesnih rizika

• Pregled i dokumentovanje procesa, rizika i kontrola • Uspostavljanje veze između kontrola i rizika. • Snimak dizajna kontrola u cilju određivanja da li su kontrole projektovane za smanjenje ključnih rizika.

F A

Z A

2 Identifikovanje

nedostataka u kontrolama

Preporuke

• Analiza postojećih politika, procedura i internih pravila i identifikovanje oblasti u kojima su potrebna unapređenja

• Definisanje preporuka za prevazilaženje nedostataka i propusta u kontrolama.

F A

Z A

3

Izrada metodologije • Ažuriranje postojećih politika, procedura i internih pravila i izrada nacrta novih

• Izmena organizacionih odnosa i edukacija kadrova

KONTINUIRANE

AKTIVNOSTI

Rukovođenje projektom

Razmena informacija

Prenos znanja

Saradnja sa rukovodstvom

Stručna podrška i

savetovanje


Procedure koje se sprovode se baziraju na sledećim koracima: Upoznavanje sa organizacijom Pregled hardverske infrastrukture Pregled softvera Razgovor sa zaposlenima odgovornim za pojedine procese Pregled postojećih politika, procedura i internih pravila Razumevanje dizajna i implementacije kontrola Izvršavanje kontrola Izvršavanje upita i skripti Skeniranje korišćenjem specifičnih alata Ručno testiranje parametara…

Osnovni princip je da su kontrole sistema odgovarajuće kada omogućavaju: Poverljivost, Integritet i Dostupnost informacija.

Procedure prilikom testiranja IT kontrola

Specifične IT kontrole i testiranja


Set kontrola radi provere migracije / konverzije podataka Utvrđivanje obima i procesa migracije kao i uključenih kadrova i vlasnika podataka Provera postojanja jasne identifikacije svih podataka koje treba migrirati Procena kontrola koje treba da utvrde da li postoji odgovarajuće vođenje i izvršenje Procena da li su migrirani podaci tačni i relevantni Procena kompletnosti migriranih podataka Provera sigurnosti podataka i zaštite od namerne ili slučajne izmene tokom migracije Utvrđivanje da li su podaci dobro mapirani Pregled i procena izlaznih kriterijuma Provera da li je novi sistem dizajniran da omogući funkcionalnost aplikativnih kontrola

Provera migracije podataka i sistema


Testiranje ranjivosti – Ethical hacking

Testiranje se sprovodi korišćenjem različitih alata koji su dostupni (automatizovani paketi za procenu ranjivosti kao i dubinsko ispitivanje i procenjivanje korišćenjem ručnih tehnika i proprietary alata). Kada se izabere predmet testiranja generalno se koristi ciklični pristup: 1. Pregled testiranog sistema i načina njegovog korišćenja iz perspektive klijenta 2. Analiza ranjivosti korišćenjem različitih alata 3. Penetracija pokušava se da se iskoriste ranjivosti da bi se došlo do vrednih podataka 4. Obezbeđivanje konstantnog pristupa sistemima koji su predmet testiranja 5. Sakrivanje prisustva i tragova na testiranim sistemima

Cilj u testiranju ranjivosti je da se dobije visok nivo prava pristupa to jest administrativni nivo privilegija. Svaki korak omogućava sprovođenje detaljnijeg prikupljanja informacija što povratno omogućava dobijanje položaja sa većim pravima.

O KPMG-u


KPMG u svetu

Ko smo mi KPMG je globalna mreža profesionalnih firmi koje pružaju usluge revizije, poreskog i finansijskog savetovanja. KPMG je prisutan u 152 zemlje sa 145.000 zaposlenih u firmama članicama KPMG mreže širom sveta. Nezavisne firme koje su deo KPMG mreže povezane su u KPMG International Cooperative (“KPMG International”), koji je švajcarski entitet. Svaka KPMG firma je zaseban pravni subjekt i sebe predstavlja kao takvog.

KPMG je organizovan kroz tri geografske celine:

Šta radimo

Amerika EBIA Azija i Pacifik

Zemalja 153

Partnera 7.900

Ukupan broj zaposlenih 145.000

Neto prihod (u milijardama USD) USD 22,7

Revizija Porezi Savetovanje

Revizija je nezavisna usluga koja doprinosi povećanju pouzdanosti informacija koje koriste investitori i druge zainteresovane strane.

Pristupi poreskim pitanjima se menjaju.

Organizacije različitih veličina su sve više izložene novim kretanjima u poreskoj regulativi, i to ne samo na lokalnom, već i na međunarodnom nivou.

Odeljenje za finansijsko savetovanje sarađuje sa klijentima u prevazilaženju izazova vezanih za transakcije i restrukturiranje, finansijske rezultate, tehnologije i rizike, kao i ispunjenje zakonskih obaveza.

Globalni skup veština i iskustava

Jake nacionalne prakse

Lokalna ekspertiza i međunarodno znanje

Razumevanje lokalnih tržišta


KPMG u centralnoj i istočnoj Evropi

Zemalja 18

Kancelarija 36

Partnera 166

Osoblja (ukupno) 4.300

Neto prihod EUR 283 m

Poljska

Albanija

Moldavija

Bugarska

Estonija

Letonija

Litvanija

Mađarska

Češka

Makedonija

Slovačka

Hrvatska

Slovenija

BiH Srbija

Crna Gora

Rumunija

Belorusija


KPMG d.o.o. Beograd

■ Osnovan 1996.

■ Preko 160 zaposlenih uključujući 7 partnera

■ Usluge

– Revizija

– Poresko savetovanje

– Finansijsko savetovanje

– Upravljanje rizicima poslovanja

– Podrška

■ Direktor: Boris Milošević, Managing Partner

KPMG je otvorio kancelariju u Beogradu u Avgustu 1996. godine i u Srbiji posluje pod imenom KPMG d.o.o. Beograd. Organizaciono, KPMG d.o.o. Beograd je član regiona centralne i istočne Evrope, sa centralom u Pragu. KPMG je izgradio jaku nacionalnu praksu koja se zasniva na kombinaciji lokalnog i međunarodnog znanja i iskustva zaposlenih. Srpska kancelarija poseduje značajno iskustvo u pružanju punog obima usluga poslovnog savetovanja domaćim privrednim društvima, vladinim organizacijama, stranim investitorima, bankama i finansijskim institucijama, agencijama za finansiranje i drugim firmama koje posluju u Srbiji. KPMG d.o.o. Beograd trenutno broji preko 150 zaposlenih, od čega 15 ovlašćenih revizora i 4 ovlašćenih računovođa u skladu sa srpskim zakonodavstvom. Pored toga, 19 zaposlenih poseduje međunarodna ovlašćenja (ACCA, ICAEW, ICAO, CISA itd.). KPMG u Srbiji pruža usluge najvišeg kvaliteta zahvaljujući međunarodnom iskustvu, kao i odličnom poznavanju lokalnog zakonodavstva u oblasti revizije, poreza i opštih poslovnih pitanja.

KPMG u Srbiji


Pružamo usluge i rešenja vezano za: ■ Poboljšanje sigurnosti vaših IT sistema, ■ Umanjenje relevantnih rizika ■ Usklađivanje IT procesa sa poslovnim ciljevima, ■ Ispunjenje potrebnih standarda i regulatornih zahteva ■ Razvoj procedura, politika i IT procesa ■ Unapređenje IT organizacije i raspodele dužnosti ■ Pregled implementacije informacionih sistema ■ Uspešnost migracije sistema i konverzije podataka

Osnovna namera je da se pruži pomoć vašoj organizaciji da poboljša upravljanje informacionim sistemom, da ga bolje uskladi sa poslovnim procesima i izbalansira rizike i kontrole na troškovno efikasan način. Naš pristup sprovođenju IT usluga podrazumeva fazni pristup baziran na našem višegodišnjem iskustvu i u praksi potvrđenoj metodologiji kako bi se poboljša bezbednost, funkcionalnost i efikasnost informacionog sistema.

Usluge IT savetovanja

Informacije sadržane u ovoj prezentaciji su opšte prirode i nisu posebno namenjene nijednom pravnom ili fizičkom licu.

Naziv KPMG, logo i ‘cutting through complexity’ su registrovani zaštitni znaci KPMG International Cooperative, švajcarskog pravnog lica.

© 2012 KPMG d.o.o. Beograd, srpsko društvo s ograničenom odgovornošću, član KPMG mreže nezavisnih firmi članova povezanih sa KPMG International Cooperative („KPMG International“), švajcarskim pravnim licem. Sva prava zaštićena.

Dušan Tomić Partner, FS Kraljice Natalije 11 11000 Beograd [email protected] Tel. +381 (11) 20 50 521 Mob +381 (60) 20 55 521

Nebojša Janković Assistant Manager, IT Advisory Kraljice Natalije 11 11000 Beograd [email protected] Tel. +381 (11) 20 50 603 Mob +381 (60) 20 55 603

mailto:[email protected]�

mailto:[email protected]�

IT kontrole i upravljanje rizicima informacionih sistema

Documents

Transcript of IT kontrole i upravljanje rizicima informacionih sistema