3. Standardy auditu IS-II Řízení kvality (audit) IS BIVŠ ZS15

Obsah: 1.Pojem kvality, kvalita IS 2.Dělení norem kvality IS 3.Regulace

1. Historie 1700 př.n.l. Chamurapi – kodex o kvalitě stavění, piva 300 př.n.l. Aristoteles – první filosofické diskuze o primární a sekundární kvalitě 1723 Výnos cara Petra I. o trestech za nekvalitu pušek 1932 Francouzský lexikon Larousse zmínka: „Kvalita je to, co dělá danou věc právě tou věcí, která je“ Kvantita místo kvality Zákazník – kontrola při výrobním procesu Nedostatek zdrojů – kvalita je snižování ztrát V ČSSR – „Komplexní řízení kvality“, „Povinné hodnocení výrobků“ Japonsko – technická dokonalost TQM – technická dokonalost a efektivně využívané zdroje, normy ISO Kvalita života a kvalita společnosti

Vývoj řízení kvality CWQC - Company Wide Quality Control

Aristoteles Kvalita = jedna z deseti kategorií chápání jsoucna (podstata, kvantita, kvalita, vztah, místo, čas, poloha, mít, činnost, trpnost) Definice „to, při čem je něco nějaké“ Rozlišoval různé druhy kvality: stav a dispozice, přirozená schopnost a neschopnost, trpné kvality a citové vzruchy, podoba a tvar

Praktické definice kvality Peter F. Drucker – “Quality in a product or service is not what the supplier puts in. It is what the customer gets out and is willing to pay for … Customers pay only for what is of use to them and gives them value. Nothing else constitutes quality.” Henry Ford – „Quality means doing the right thing when no one is looking“ WILLIAM A. FOSTER, quoted in Igniting the Spirit at Work: Daily Reflections – Quality is never an accident; it is always the result of high intention, sincere effort, intelligent direction and skillful execution; it represents the wise choice of many alternatives.

Jakost – kvalita??? Dříve překlady – jakost, systémy řízení jakosti – Jakost – kladná vlastnost – Kvalita – pohled zákazníka, běžná řeč Definice – “conformance to specifications“, tj. jako „způsobilost pro užití“. – „kvalita je shoda s požadavky“ – „je schopnost výrobku nebo služby, uspokojit zákazníkova očekávání“

Definice obecně ČSN EN ISO 9000:2005: „Jakost je stupeň splnění požadavků souborem inherentních charakteristik“ – požadavek je potřeba, která je stanovena buď spotřebitelem, závazným předpisem, nebo se obvykle předpokládá – inherentní charakteristiky jsou vnitřní vlastnosti produktu/procesu kvality, které k němu existenčně patří, tyto charakteristiky mohou být měřitelné (kvantitativní), nebo neměřitelné (kvalitativní)

Kvalita IS Kvalita IS je určena: požadavkem uživatele, respektive informační potřebou uživatele. V procesně řízených organizacích je tato potřeba ovlivněna kvalitou business procesu, inherentními charakteristikami informačních systémů, tj. – inherentními charakteristikami softwarových produktů, – charakteristikami jejich vývoje, implementace a provozování, inherentními charakteristikami systému poskytování služeb, tj. – kvalitou služeb IT, – kvalitou informací, – kvalitou uživatelů (určenou jejich znalostmi a dovednostmi) Pozn.: službu IT vnímá uživatel podle (ITSMF, 2008) jako „prostředek poskytování hodnoty zákazníkovi prostřednictvím výstupů, kterých zákazník chce dosáhnout bez vlastnictví specifických nákladů a rizik“

2. Standardy pro hodnocení kvality IS/IT Hodnocení kvality IS/IT Hodnocení IS/IT procesů ISO 9000 ISO/IEC ISO 330xx Hodnocení výstupů z IS/IT procesů Hodnocení kvality procesu tvorby SW ISO , CMMI Hodnocení kvality provozu ITIL, COBIT ISO a 2 ISO/IEC Hodnocení kvality SW produktu ISO 9126, ISO ISO 14598, ISO ISO Hodnocení kvality IS COBIT Hodnocení kvality služeb ITIL, SLA ISO 25000

Řada ISO/IEC Systém managementu jakost i ISO 9000:2000 Systém managementu jakosti – základy, zásady a slovník pojmů ISO 9001: 2008 Systém managementu jakosti – požadavky ISO 9004:2000 Systém managementu jakosti – směrnice pro zlepšení

ISO/IEC Posuzování softwarového procesu (Software Process Improvement and Capability Determination) – SPICE Mezinárodní rámec pro hodnocení procesů Úzce spojen s normou ISO – Referenční model softwarového procesu V roce 2004 při revizi se oddělily – nyní pouze pro hodnocení zralosti, význam pro auditory 5 dimenzí procesů: zákazník/dodavatel, inženýrství, podpora, řízení a organizace Zralost procesů se měří pomocí atributů procesu: výkonnost procesů, řízení procesů, definice, rozmístění, měření, kontrola, inovace a optimalizace procesu Každý z těchto atributů se hodnotí pětibodovou stupnicí od nedosaženo (not achieved) až po plně dosaženo (fully achieved)

ISO/IEC ISO/IEC :2004 Information technology -- Process assessment -- Part 1: Concepts and vocabulary ISO/IEC :2003 Information technology -- Process assessment -- Part 2: Performing an assessment – definuje úrovně zralosti a jejich atributy ISO/IEC :2004 Information technology -- Process assessment -- Part 3: Guidance on performing an assessment ISO/IEC :2004 Information technology -- Process assessment -- Part 4: Guidance on use for process improvement and process capability determination ISO/IEC :2012 Information technology -- Process assessment -- Part 5: An exemplar software life cycle process assessment model ISO/IEC TR :2008 Information technology -- Process assessment -- Part 6: An exemplar system life cycle process assessment model ISO/IEC TR :2008 Information technology -- Process assessment -- Part 7: Assessment of organizational maturity ISO/IEC PRF TS Information technology -- Process assessment -- Part 8: An exemplar process assessment model for IT service management – teprve se připravuje ISO/IEC TS :2011 Information technology -- Process assessment -- Part 9: Target process profiles ISO/IEC TS :2011 Information technology -- Process assessment -- Part 10: Safety extensit

Nová řada pro hodnocení procesů ISO/IEC bude nahrazeno sadou norem ISO/IEC Co se změní? – ISO / IEC bude kromě způsobilosti procesu podporovat posuzování dalších charakteristik procesů, – Třídy hodnocení budou podrobněji popsány Co se nezmění: – Úrovně hodnocení způsobilosti procesů – Atributy hodnocení – Škála hodnocení

Nová řada 330xx pro hodnocení procesů ISO/IEC 33001:2015 Information technology -- Process assessment -- Concepts and terminology ISO/IEC 33001:2015 ISO/IEC 33002:2015 Information technology -- Process assessment -- Requirements for performing process assessment ISO/IEC 33002:2015 ISO/IEC 33003:2015 Information technology -- Process assessment -- Requirements for process measurement frameworks ISO/IEC 33003:2015 ISO/IEC 33004:2015 Information technology -- Process assessment -- Requirements for process reference, process assessment and maturity models ISO/IEC 33004:2015 ISO/IEC TR 33014:2013 Information technology -- Process assessment -- Guide for process improvement ISO/IEC TR 33014:2013 ISO/IEC 33020:2015 Information technology -- Process assessment -- Process measurement framework for assessment of process capability ISO/IEC 33020:2015

ISO/IEC – Životní cyklus SW Poprvé 1995, poslední verze 2008 Procesy – aktivity - úkoly Primární procesy – akvizice (činnosti pořizovatele) – dodání (činnosti dodavatele) – vývoj (činnost vývojáře SW) – provozování (činnosti při zavádění a testování systému, podpora uživatele) – údržba (chyby a chybová hlášení, změny, aj.) Podpůrné procesy Dokumentace, zajištění kvality, ověřování, validace, kontrola procesů, audit aj. Organizační procesy Management, optimalizace, školení, aj.

CMMI Propojení na ISO 15504, pro IT firmy praktičtější SEI – Software Engineering Institute Integruje do jednoho rámce tři modely, které vznikly z předchozích SEI modelů nástroj pro hodnocení zralosti procesů, především procesů projektů tvorby software, ale postupně také procesů pořizování software a poskytování služeb Jde o modely: – The Capability Maturity Model for Software (SW-CMM), – The Systems Engineering Capability Model (SECM), – The Integrated Produkt Development Capability Maturity Model (IPD-CMM).

1. POČÁTEČNÍ Proces je neformální, ad hoc, průběh se nedá předvídat 2. OPAKUJÍCÍ SE Funguje řízení projektů, procesy se opakují 3. DEFINOVANÝ Procesy jsou definovány a integrovány 4. ŘÍZENÝ Procesy a produkty jsou kvantitativně sledovány 5. OPTIMALIZOVANÝ Procesy se stále zlepšují

ISO ISO/IEC 20000:2005 je první celosvětový standard, který se speciálně vztahuje k managementu služeb IT a zaměřuje se na zlepšování kvality, zvyšování efektivity a snížení nákladů u IT procesů. Původ- standard BS 15000, popisuje integrovanou sadu procesů řízení pro poskytování služeb IT a obsahově se řídí ustanoveními best practice IT Infrastructure Library (ITIL). Norma má více částí, avšak základní jsou první dvě: – ISO/IEC :2005 (Information technology – Service management – Part 1: Specification) je určena pro posuzování a případně certifikaci kvality IT služby, – ISO/IEC :2005 (Information technology – Service management – Part 2: Code of practice) je návodem pro zavedení funkčního systému IT služeb (IT Service Management - ITSM).

Struktura procesů ISO 20000

ISO/IEC první celosvětový standard pro oblast Software Asset Managementu (SAM) Popisuje integrovanou sadu procesů řízení pro správu softwarových aktiv ve firmě. Zaměřuje se na zlepšování kvality, zvyšování efektivity a snížení nákladů Vazba na ITIL Cílem normy je poskytnout organizacím směrnice či systém dokumentů, díky kterým minimalizují rizika a náklady na správu softwaru Norma má dvě části, obecnější a tím i větší využití má její první část – ISO/IEC : 2006 (Information technology - Software asset management) Part 1: Processes) má úzkou vazbu na ISO 20000, je vhodnou normou pro posílení governance principů pro oblast řízení aktiv IT, – ISO/IEC : 2009 (Information technology - Software asset management - Part 2: Software identification tag) je zaměřena na optimalizaci identifikace softwarových produktů.

Řada ISO/IEC SQuaRE sjednocení dílčích norem, vznik nové řady ISO/IEC 25000, zkratka SQuaRE – Software Quality Requirements and Evaluation

Řada ISO/IEC SQuaRE ISO/IEC 2500n - Product Quality General DivisionDivision – tj. oblast řízení kvality ISO/IEC 2501n - Quality Model Division – tj. oblast modelů kvality ISO/IEC 2502n - Quality Metrics Division – tj. oblast měření kvality ISO/IEC 2503n - Quality Requirements Division – tj. oblast požadavků na kvalitu ISO/IEC 2504n - Quality Evaluation Division - tj. oblast rozvoje kvality

Řada ISO/IEC SQuaRE Tři druhy kvality SW: ISQ vnitřní kvalita (Internal SW Quality) – představuje zabudované vlastnosti softwarového produktu, ESQ vnější kvalita (External SW Quality) – představuje počítačový systém, na kterém se aplikace provozuje, IUSQ kvalita užití (In Use SW Quality) – představuje řídicí systém (business procesy) a uživatele, kteří aplikaci využívají.

3. Regulace - SOX Sarbanes-Oxley Act (2002) - The Public Accounting Reform and Investor Protection Act Organizace obchodované na burze bez ohledu na geografické umístění (SEC - Security and Exchange Commision) Je povinný, sankce

SOX – sekce Požadavky čtvrtletní certifikace finančních reportů uvedení všech odhalených nedostatků kontrol uvedení všech trestních činů roční certifikace interních kontrol managementem nezávislé ověření auditorem čtvrtletní kontrola aktualizací/změn monitorování provozních rizik hlášení významných událostí aktuální (real-time) důsledky (report nesmí být starší než 4 pracovní dny) Odpovědnost CEO CFO management nezávislý odborník/auditor management nezávislý odborník/auditor

Z hlediska auditu - nejdůležitější sekce 404 V praxi: výběr standardu, proti kterému se bude systém kontrol posuzovat a vytvoření plánu pro hodnocení, testování a hlášení efektivnosti těchto kontrol ( COSO a COBIT) po zavedení nezávislé hodnocení – atestace auditorem výsledky atestace - součást výroční zprávy SOX - pokračování

Basel II 2004 nová pravidla kapitálové přiměřenosti, 2007 platná cíl posílení stability a bezpečnosti bank a finančních institucí nově se zabývají provozními riziky (selhání interních procesů, systémů, lidí) zavádějí nové postupy pro výpočet velikosti rizik a z toho vyplývajících požadavků na alokaci kapitálu

Basel II – Pilíř 1 Pilíř 1: Požadavek na minimální kapitál (Minimum Capital Requirement) – pravidla pro výpočet požadovaného kapitálu – metody pro měření rizik, pokrývá úvěrové, tržní a provozní riziko Základní dokument: Sound Practices for the Management and Supervision of Operational Risk – 10 základních principů pro řízení provozních rizik – naplnění těchto 10 principů předpokladem pro volbu pokročilejšího přístupu v hodnocení provozních rizik (Advanced Measurement Approach, AMA) a následného snížení kapitálu na jejich pokrytí

Basel II – Pilíř Pilíř 2: Proces dozorného posouzení (Supervisory Review Process) – posiluje dohlížecí pravomoci – na základě posouzení rizikového profilu stanovuje regulátor limit kapitálové přiměřenosti jednotlivých bank Pilíř 3: Požadavky na tržní disciplínu (Market Discipline) – Posiluje požadavky na poskytování informací tak, aby měla veřejnost dostatek informací o rizikovosti bank a finančních institucí

Basel III – postupně Reakce na současnou finanční krizi Regulátoři budou moci požadovat zvýšení bankovního kapitálu (základního) Dvojí polštář – „kapitálový polštář“ ve výši 2,5 procenta nad regulatorní minimum - pokrytí zvýšených ztrát v době, kdy se ekonomice nebude dařit – „proticyklický polštář“ reaguje na nedostatek Basel II (neschopnost reagovat na ekonomický cyklus) – Nadměrný přírůstek úvěrů – regulátor (centrální banka) má možnost zvýšit povinný kapitálový poměr až o 2,5 procenta Dopad na domácnosti a firmy – méně úvěrů – zpomalení růstu ekonomiky