Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Řízení kvality (audit) IS Doc. Ing. Vlasta Svatá, CSc. BIVŠ – pondělí, čtvrtek, podle dohody, Místnost 217 VŠE – středa 11.30.

Podobné prezentace


Prezentace na téma: "Řízení kvality (audit) IS Doc. Ing. Vlasta Svatá, CSc. BIVŠ – pondělí, čtvrtek, podle dohody, Místnost 217 VŠE – středa 11.30."— Transkript prezentace:

1 Řízení kvality (audit) IS Doc. Ing. Vlasta Svatá, CSc. BIVŠ – pondělí, čtvrtek, podle dohody, Místnost 217 VŠE – středa – VŠE – středa – pátek – pátek – 12.30NB450

2 Auditor IS/IT Výhody dlouhodobé –Perspektiva vysokých platů –Nedostatek odborníků Výhody krátkodobé –Příprava na státnice –Jiný pohled na stejné věci Nevýhody??? –Stálé vzdělávání –Cit pro jednání s lidmi napříč organizací

3 Obsah kurzu Obsah kurzu 1. Vývoj, cíle a druhy auditu IS 2. IT governance 3. Standardy auditu (ITAF) 4. Standardy bezpečnosti 5. Standardy kvality IS 6. Metodiky (COBIT 4.1 a Cobit 5, COSO) 7. Obecný postup provádění auditu 8. Obecné nástroje (systém kontrol, riziková analýza, testování, nástroje CAAT, architektonické rámce Zachman, Togaf, FEAF, výstupní auditorská zpráva) 9. Audit organizace a řízení útvarů IT/IS 10. Audit outsourcingu/cloudu 11. Audit projektů IS/IT 12. Audit procesu, audit bezpečnosti, audit databází ……

4 Hodnocení Distanční studium: 1. Úkol 2. Seminární práce 3. Test Denní studium Účast na cvičení30 (25) Případové studie30 (15) celkem 5 – max za jedno 6 bodů Seminární práce40 (20) Celkem100% Celkem100% 49 a méně 4 50 – –

5 Zdroje pro studium Kniha: Audit informačního systému (2011, 2012), Vlasta Svatá COBIT 4.1, Cobit 5 Časopis ISACA Journal, Cobit Focus, DSM – Data Security Management Webové stránky, především:, https://na.theiia.org/Pages/IIAHome.aspx, doporučení na přednáškách https://na.theiia.org/Pages/IIAHome.aspxwww.isaca.org https://na.theiia.org/Pages/IIAHome.aspx Materiály uložené v ISIS Seminární práce účastníků kurzu ??

6 Osnova přednášky 1. Vývoj auditu IS a příčiny jeho krize 2. Teorie auditu IS 3. Definice auditu 4. Ujištění- Assurance

7 1. Vývoj auditu IS Starý jako civilizace, název odvozen od ??? –Latinské slovo „audire“ (poslouchat, naslouchat) Primitivní forma auditu (Egypt, Babylon, Mezopotámie, Indie) –The Vedas odkazy na vedení účtů a účetnictví –Arthasashthra by Kautily – podrobná pravidla pro účetnictví a audit veřejných financí Audit veřejných účtů (staré Řecko a Řím) Hlavní účel: zabránit chybám a podvodům Vedas – kolekce náboženských textů z Indie (1500 – 1000 př.n.l.)

8 Vývoj auditu 2 Čtení účtů za přítomnosti lordů (středověk, Velká Británie) Audity akcionářů (průmyslová revoluce) Rozšíření britského modelu auditu ve světě, vznik technik výběru vzorků a testování Hlavní cíl: účetní záznamy jsou pravdivé a správné (true and correct)

9 Vývoj auditu 3 Indie – Obchodní zákon (the companies Act 1913) povinný audit účtů, kvalifikace auditorů Růst velikosti organizací a objemu transakcí – hlavní cíl: záznamy jsou pravdivé a férové (true and fair – porovnej pravdivé a správné) –Důraz není na aritmetickou správnost, ale na férovou prezentaci finančních aktivit managementu

10 Vývoj auditu – polovina 60. let (EDP audit): –První automatizovaná aplikace zpracovávající účetnictví – General Electric v roce 1954 –Audit bez pomoci počítačů –Auditing – umění Polovina 60. let – zavádění malých počítačů – vznik řady aplikací –Vznik obecného auditního SW (generalized audit software – GAS) –V roce 1968, American Institute of Certified Public Accountants (AICPA) společně s mezinárodními auditorskými firmami (Big Eight, nyní Big Four) vydaly publikaci: Auditing & EDP ( jak dokumentovat EDP audit, příklady auditu kontrol v počítačovém prostředí) American Institute of Certified Public AccountantsAmerican Institute of Certified Public Accountants EDP auditoři vytvořili Electronic Data Processing Auditors Association (EDPAA). –Cíl: vytvářet návody, postupy, standardy pro EDP audity –Auditing - reaktivní nástroj

11 Vývoj auditu –Publikováno první vydání COBIT –EDPAA se změnilo na Information Systems Audit and Control Association (ISACA) 1997 – ISACA Czech Republic Chapter Růst popularity (Internet, E-commerce, mobilní zařízení, CC, kybernetické hrozby) Auditing – preventivní nástroj

12 Finanční krize I (Enron) 1 americká energetická společnost > 22 tisíc zaměstnanců vedoucí světová společnost - dodávky elektřiny, zemního plynu a komunikací od 90. let akcie stabilní, neustálý růst 1985: aktiva 10 mld $ aktiva 111 mld $ Fortune: šestkrát za sebou „nejinovativnější společností Ameriky“

13 Finanční krize I (Enron) Co se stalo? Konec roku 2001 v účetnictví zásadní pochybení 25. ledna 2002 společnost oznámila bankrot zaměstnanci propuštěni hodnota akcií společnosti spadla z 90 dolarů na 50 centů symbol podvodného podnikání představitelé společnosti pravomocně odsouzeni (jeden z účetních – sebevražda) (velká část dokumentace případu zničena )

14 Finanční krize I (Enron) Analýza forward market („dopředný obchod“), –počítá s budoucími dodávkami energie a služeb typ účetnictví market-to-market –umožňovalo zaznamenávat předpokládaný budoucí zisk z podepsaných smluv a uskutečněných podniků v okamžiku podepsání smlouvy fiktivní společnosti –převod aktiv - neuskutečněné částky na straně výnosů a výdajů Nepravdivé informace o hospodaření managementu : –krize účetnictví Machinace nebyly včas odhaleny –krize interního kontrolního systému –krize externí kontroly – finančního auditu –krize systému řízení obchodních společností

15 Finanční krize II – bankrot hypotečního trhu - analýza snaha oživit ekonomiku centrální banka USA - snížení úrokových sazeb dostupné hypotéky obchod s balíky hypoték - deriváty neschopnost objektivního ratingu (ocenění aktiv) obcházení nebo ignorování stávajících norem (zásady opatrnosti, obezřetnosti, řízení rizika) špatná interní kontrola špatná externí kontrola –Krize bankovního dohledu –Krize dohledu nad hedgovými fondy

16 Finanční krize III – dluhová krize důsledek předchozí krize – nevyrovnané státní rozpočty (Řecko, Irsko, Portulgalsko, USA, Itálie) Zásahy nadnárodních organizací (MMF, Světová banka, OECD, Evropská centrální banka) Neschopnost řešit schodky vlastními silami – kolotoč půjček Obcházení nebo ignorování zásad demokracie a tržního hospodářství Nejedná se o dílčí selhání kontrolních mechanismů a porušování zásad odpovědného hospodaření firem a finančních institucí Chybný systém řízení národních ekonomik

17 Dopady pro audit Finanční audit: –2010 EU – Zelená kniha, Politika v oblasti auditu: poučení z krize –Sjednocování kriterií auditu –Přechod z národních standardů na standardy ISA (International Standards on Auditing) –Jednotný dohled nad bankami v rámci EU Audit IS –Enterprise Governance of IT (IT Governance) –Audit IS jako vědní disciplina (?) –Důraz na kvalifikaci/certifikace auditorů –Vznik různých forem „ujištění“ –Vývoj metodik (Cobit 4.1 – Cobit 5) –Rozvoj automatizované podpory (GRC software)

18 2. Teorie auditu Vazba na teorii systémů – v sociálních systémech je tendence ke koncentraci kontroly Důsledek - oddělení –procesu získání informací o objektech – princip autority –procesu jejich regulace – princip disciplinovanosti Princip autority – auditorský průmysl se soustřeďuje do certifikovaných autorit, které mají přístup ke všem informacím objektu Princip disciplinovanosti – ochrana integrity auditovaných objektů pomocí definování veřejně dostupných informací a jejich dodržování

19 Teorie auditu Teorie racionálního očekávání (USA na poč. 70. let) –Uživatelé očekávají výstup, který sníží jejich nejistotu – auditor se musí řídit tímto očekáváním –Současně ale nesmí vzbudit větší očekávání, než je schopen splnit –Vzájemná důvěra – teorie informované důvěry (inspired confidence) Dvě stránky auditu –Teoretická: např. sběr informací a formulování závěru závisí na znalostních teoriích, spoléhání se na testy a vzorky je založeno na teorii pravděpodobnosti a matematice, pravdivá prezentace informací vychází z principů účetnictví a komunikačních teoriích –Praktická: profesionalita, objektivnost, nezávislost apod., společně s etickými a právními principy

20 3. Definice auditu Audit obecně??? je objektivní ověření stavu, jevu, záměru, skutečnosti se stavem nebo jevem žádoucím, tj. modelem, normou, standardem apod. Audit provádí odborník - auditor, výsledkem je komplexní názor ve formě výroku auditora. Audit představuje jeden z nástrojů řízení (zpětná vazba)

21 Definice auditu- 1/4 Finanční audit audit souladu (compliance audit) audit souladu (compliance audit) audit operační (operational audit) audit operační (operational audit) Audit IS ? –Proces, který se zabývá posuzováním a poradenstvím objektů v prostředí, kde se používají informační technologie. Jeho cílem je kvalitativně a/nebo kvantitativně přispět ke správné organizaci informačního systému tak, aby byly splněny požadavky uživatelů. –Objekty mohou být organizace a řízení IS, základní i aplikační software, technické vybavení, telekomunikační systémy, procesy tvorby a údržby systémů, ochrana a bezpečnost systému, data (databáze) apod.

22 Definice auditu – 1/5 Základní vlastnosti auditu: Komplexnost ? - postihnout všechny relevantní aspekty a vazby, Objektivnost ? – opírat se při auditu o existující standardy, ev. zkušenosti, pokud standardy neexistují, Nezávislost ? - auditor nemá s objektem auditu ani se zadavatelem auditu žádné spojení, které by představovalo konflikt zájmů, - auditor nemá s objektem auditu ani se zadavatelem auditu žádné spojení, které by představovalo konflikt zájmů, Formalizovanost ? - proces auditu se musí řídit metodikou a existujícími standardy Podle některých materiálů se ještě uvádějí další vlastnosti, jako je Pružnost – schopnost měnit cíle auditu podle prostředí a požadavků zákazníka, Systémovost – schopnost prosazovat zájmy vlastníka

23 4. Ujištění/Assurance (Cobit 4) Stakeholder užívá objekt (např. aplikaci) Odpovědná strana (Responsible party) stakeholder deleguje odpovědnost na tuto stranu) Assurance profesionál provádí proces ujištění Vztah mezi dvěma nebo více stranami, ve kterém je IT assurance profesionál pověřen zpracováním písemné zprávy (závěru) týkajícího se objektu hodnocení, za který odpovídá jiná strana

24 Ujištění – vlastnosti musí jít o vztah mezi třemi partnery, musí být definovaný předmět ujištění, musí být definovaná vhodná kritéria ujištění, musí být definován proces ujištění, musí být zformulován závěr ujištění.

25 Komponenty ujištění (Cobit 5)

26 Tři strany Auditor (assurance professional) – osoba, která odpovídá za proces ujištění a za finální zprávu, která se týká objektu ujištění Odpovědná strana (responsible, accountable party) – jednotlivec, skupina nebo organizační entita (auditovaná strana), která má odpovědnost za objekt ujištění (provoz, rozsah, kvalitu,…) Uživatel (zainteresovaná strana)–různí stakeholdeři (akcionáři, banky, zákazníci, představenstvo, výbor auditu, stát a legislativa, regulátoři). V některých případech může být odpovědná strana identická s uživatelem (např. IT management)

27 Objekt auditu Určitá informace, postup nebo kontroly (politiky, rámce, informace, procesy, …), které jsou předmětem ujištění (testování a reportování) Objekt ujištění může zahrnovat návrh nebo provoz interních kontrol a manažerských praktik týkajících se jakéhokoliv aspektu organizace nebo souladu s regulacemi (standardy, zákony)

28 Vhodná kriteria Standardy nebo benchmarky (např. Cobit 5), která slouží pro hodnocení objektu Mohou být více či méně formální Kriteria by měla splňovat stejné kvalitativní atributy informace: –Objektivita – nesmí zkreslovat –Měřitelnost – musí se opírat o konzistentní kvalitativní nebo kvantitativní metriky –Srozumitelnost – snadná komunikace a omezení různé interpretace –Úplnost – žádný relevantní faktor, který ovlivňuje závěry auditu není opomenut –Relevance – musejí se týkat objektu ujištění Pokud kriteria určuje některý stakholder, potom by auditor měl prověřit, zda splňují tyto vlastnosti, nebo nedostatky uvést v auditorské zprávě

29 Další prvky v modelu Zadaný problém nemusí být příčinou, ale důsledkem – systémový pohled, vazba na strategii Realizace (Execution) – strukturovaný postup auditu/ujištění např. podle návodu Cobit 5 for Assurance Závěry (Conclusion) – různé formy: –Popis různých scénářů, které podporují doporučení –Výběr vhodného řešení, které je praktické a realizovatelné –Popis nezbytných kroků, které by měli provést klíčoví stakeholdeři Doporučení reportovat zvlášť Různé úrovně detailu podle úrovně řízení auditované strany Proces ujištění: A.Určení rozsahu auditu/ujištění B.Porozumění objektu ujištění a určení vhodných kriterií C.Prezentování a diskutování závěrů ujištění

30 Najděte alespoň pět rozdílů?

31 Audit/ujištění porovnání AUDIT Komponenty: –Tvrzení o objektu zájmu –Kriteria: všeobecně přijímané regulace (ISO, COBIT, ITIL) Počet účastníků: 2 Činnosti: –Hodnocení stupně souladu –Zveřejnění výsledků (certifikace) UJIŠTĚNÍ Komponenty: –Objekty samotné –Kriteria: vytvořená nebo schválená stakeholdery (snížení rozpočtu IT o 10%) Počet účastníků: 3 Činnosti: –Hodnocení stupně souladu –Zveřejnění výsledků –Úprava kriterií Ujištění je obecnější pojem, audit je jednou z jeho forem


Stáhnout ppt "Řízení kvality (audit) IS Doc. Ing. Vlasta Svatá, CSc. BIVŠ – pondělí, čtvrtek, podle dohody, Místnost 217 VŠE – středa 11.30."

Podobné prezentace


Reklamy Google