Abstract | Informacijski sustav je oblik sustava. Sustavi su interakcija komponenti. Primjer prirodnog sustava je solarni sustav. Primjer ljudskog sustava je zakonodavni sustav. Zbog napretka tehnologije, današnji sustavi u sebi imaju mašine i računalne komponente. Primjer takvog sustava je televizijski sustav. Informacijski sustav banke je skup ljudi, podataka, programske i računalne opreme čiji cilj je prikupljanje podataka, obrada prikupljenih podataka, analiza prikupljenih podataka, izvješćivanje prema unutra i prema vani te donošenje poslovnih odluka na temelju izvršenih analiza. IT poboljšava stratešku i operativnu efikasnost na način da uspješno izvršava rukovodeće namjere. Holističko upravljanje informacijskim sustavom je odgovornost uprave i izvršnog rukovodstva. On je integralni dio upravljanja na razini organizacije i sastoji se od vodstva i organizacijskih struktura i procesa koji omogućavaju da IT organizacije održava i proširuje strategiju i ciljeve same organizacije. Holističko upravljanje informacijskim sustavom sastoji se od niza različitih, ali međusobno povezanih cjelina koje promatrane zajedno omogućavaju ne samo da se sustav promatra kao jedna cjelina, nego omogućava i da se sa njime upravlja sa svih mogućih aspekata, kako operativnih, tako i sigurnosnih. Postoje bitne razlike između načina kako se upravlja informatikom manje banke i kako se upravlja informatikom veće banke. U pitanju su razlike u količini procesa i podataka koji se moraju obrađivati na dnevnoj bazi – pravilo koje ovdje vrijedi je čim veći sistem, tim više procesa, više podataka te veći zahtjevi, kako u aplikativnom, tako i u tehničkom smislu. Osim toga, problem manjih banaka je konstantni nedostatak ljudskih resursa. Veće banke obično imaju velike odjele sa usko specijaliziranim kadrom, koji kroz tu specijalizaciju nadomještavaju konstanti manjak kadrova. U manjim sredinama, informatičari su vrlo često „katice za sve“ – programeri, sistem administratori, stručnjaci za tehničku opremu i održavanje, a vrlo često uz informatiku im se pridružuju i neki drugi poslovi koji po nekoj logici same organizacije potpadaju pod „tehničke“ poslove (npr. vatrodojava, zaštita na radu, struja i općenito infrastruktura, itd.). HNB je izdala dokument pod nazivom smjernice za upravljanje rizikom informacijskih sustava, te je kasnije na temelju istog nastala Odluka o primjerenom upravljanju informacijskim sustavom. U tom je dokumentu HNB pokušala bankama pokazati smjer u kojem se trebaju razvijati procesi upravljanja informacijskim sustavom. HNB je također napravila analizu stanja, te je ustanovila da banke najbolje upravljaju informacijskim sustavom banke. Područja koja se posebno ističu niskom razinom bodova možemo okarakterizirati kao najrizičnija područja bila su upravljanje rizikom informacijskog sustava, unutarnja i vanjska revizija te upravljanje kontinuitetom poslovanja. Dodatnom analizom ustanovljeno je da manje banke upravljaju holistički svojim informacijskim sustavom, sa time da postoji prostor za poboljšanje kod implementacije alata za poslovnu inteligenciju, kao i kod implementacije propisanih strategija u praksi, smatraju da je Odluka o primjerenom upravljanju informacijskim sustavom pripomogla da se poboljšaju mehanizmi upravljanja i kontrole informacijskim sustavom banke te da smatraju da je Odluka organizacijski i financijski teža za implementaciju u manjoj negoli u većoj banci. Analiziran je informacijski sustav jedne manje hrvatske banke. Kao model za procjenu rizika odabran je kvalitativni model, vidjeći da nije bilo statističke podloge za izradu kvantitativnog modela. Za izradu računalnog modela izradila se posebna baza pomoću alata RiskCalc, u koju su se unijeli svi podaci o banci. Analizom dobivenih rezultata ustanovljeno je da banka ima visok operativni rizik kod loših zaštita radnih stanice te neadekvatnih kontrola pristupa, nepostojanja potpune klasifikacije informacija, nepotpunih mehanizama zaštite povjerljivosti podataka, nepotpunih primjena upravljanje kontinuitetom poslovanja i promjenama, nepotpunih inventura informacijske imovine, nepotpunih edukacija zaposlenika organizacije, nepotpunih planova kontinuiranosti poslovanja, neusklađenih ugovora sa vanjskim sa Odlukom o eksternalizaciji, nepotpunim praćenjima puštanja novih inačica aplikacije u test i produkciju, neadekvatnim praćenjima sistemskih i aplikativnih zapisa, nepotpunim zaštitama od malicioznog koda te nepotpune fizičke i logičke zaštite okruženja. Temeljem toga izrađen je plan kako restrukturirati informacijski sustav banke, kako realizirati zadatke, te odrediti buduće smjernice za upravljanje informacijskim sustavom. |
Abstract (english) | The information system is a form of a system. The systems are interaction between components. An example of a natural system is the solar system. An example of a human system is the law system. Because of the advancement in technology, today's systems has integrated into them hardware and other type of computer equipment. An example of such a system is the television system. The information system of a bank is a complexity of people, data and hardware whose goal is to collect data, process the collected data, analyze it, make reports to inside and outside and then make business decisions based on the performed analysis. The IT has its role to better the strategic and operational efficacy in the way of executing the management intentions. The IT governance is the responsibility of the management board and the managerial staff of a bank. It is the integral part of managing on the organizational level and it is made by the management and the organizational structures and processes that enables that the IT and IS of an organization maintains and enlarges the strategy and the goals of the organization itself. The IT governance is made of a series of different, yet interconnected parts that, if looked together allows not only to look the organization as one, but also to manage it from all levels, both operational and security ones. There are some major differences how to manage the information system of a smaller bank and how to manage the information system of a larger bank. The differences are expressed in the quantity of processes and data that must be processed on a daily basis – the rule is the bigger is the system, the more process, more data and bigger demands, both on the application and technical level. Besides this, the major problem of smaller bank is the lack of personnel. Bigger banks have usually large departments with specialized employees that fill the gap of the lack of employees by enhancing the performance for specific tasks. In smaller environment, the IT is very often specialist for everything – programmers, system administrators, network experts, hardware experts, and it is very common that besides the It part they get also all other type of business that by some logic is technical jobs (for ex. Fire protection, electricity, heat management, etc.). CNB (Croatian National Bank) has written a document under the name guidelines for management of information system, and later on they have also published a law under the name Decision of adequate management of information system. In this document, CNB has tried to explain to the banks the direction in which they should develop the management of information systems. CNB has also made an analysis of the current state of affairs, and has concluded that banks manage well the technical level, while they do poorly manage risk assessment, internal and external audit as well as business continuity. By an additional analysis it was concluded that the smaller banks do manage IT governance, but there is still room for improvement with business intelligence tools, implementation of It strategy in praxis. The general state of thinking is that the Decision of adequate management of information systems has helped the bank a lot, but it is more difficult, both organizationally and financially, to implement in smaller banks than in larger environments. An information system of a smaller bank has been assessed. As a model for risk assessment it was chosen to go with qualitative tools, since there was no statistical background for a quantitative assessment. For performing the risk assessment a tool called RiskCalc was used, in which all the data of the bank was inserted. By analyzing the received results it was concluded that the bank has a high operational risk in the area of protection of workstations, lack of control in log on procedures, non existence of a full classification of information, non existence of full mechanism of protection of data confidentiality, lack of measures for business continuity, lack in the inventory management, lack of education of employees, lack of measures and non aligned with the existing regulation regarding the risk of externalization, lack of control in change management processes, lack of mechanism in auditing the log management process, non existing full measures of defense in antivirus defense. After this assessment was completed it was made a plan how to reassess the IT governance of the bank in order to fulfill the task, as well as to redefine the future guidelines how to manage the IT governance. |