Řízení kvality (audit) IS BIVŠ ZS 15 Doc. Ing. Vlasta Svatá, CSc.
Osnova 1. Druhy ujištění/auditu 2. Problémy ujištění/auditu 3. Institucionální zabezpečení 4. Obsah auditu - domény
Druhy auditu/ujištění 1. Hledisko komplexnosti 2. Hledisko realizátora 3. Hledisko objektu hodnocení 4. Hledisko úrovně řízení 5. Hledisko časové 6. Hledisko cíle 7. Hledisko metodologie
UjištěníAssuranceKomplexní nezávislé prověření kontrol, které jsou delegovány na jiné subjekty (existence, realizace, efektivnosti) vzhledem k cílům řízení Audit Examination Komplexní, formalizované nezávislé prověření kontrol (existence, realizace, efektivnosti) vzhledem k existujícím standardům Systematický proces realizovaný kompetentní nezávislou osobou, která objektivně hodnotí a získává důkazy o entitě, události, procesu, interní kontrole za účelem formulace výroku a zpracování zprávy, která určuje míru souladu tvrzení o objektu s určeným kritériem (standardem, sadou standardů) PrověrkaReviewV porovnání s auditem nižší forma ujištění, jejímž cílem je prověření existence možných překážek negativně ovlivňujících kontroly (negativního ujištění) Dohodnutá procedura Agreed-upon procedures Třetí strana (zadavatel) a auditor souhlasí s provedením určitých činností, jejichž cílem je získat dostatečné důkazy, na které se třetí strana spolehne a provede na jejich základě závěry/rozhodnutí KontrolaControl objective, control Prověření dílčích aspektů, jevů, procesů s předem určenou hodnotou. Jeden kontrolní cíl může být zajištěn řadou různých kontrol Druhy auditu/ujištění 1. Hledisko komplexnosti
Rozdíly v komplexnosti Druhy auditu Porovná vání Testování /verifikace Úroveň důkazů Závěry/ výrok Provádí Examination (audit) ano vysokáanoNezávislý odborník ReviewanoOmezené žádné maláNe „Negativní“ závěry: Neobjevili jsme nic, co by nasvědčovalo, že tvrzení o objektu nejsou pravdivá ?? Agreed- upon procedura anožádnéPodle požadavků třetí strany (někdy i větší než při examination) Ne, dělá si ho třetí strana ??
Výrok auditora Nekvalifikovaný výrok (bez výhrad) – důkazy auditu potvrzují ve všech aspektech očekávání a soulad s kritérii Kvalifikovaný výrok (s výhradou) – důkazy auditu odráží, co se očekává s určitými nedostatky, které ale celkově významně neovlivňují příznivý výsledek (součástí zprávy musí být vysvětlení) Záporný výrok – důkazy audity nepotvrzují očekávání a soulad s kritérii (nejsou zavedeny adekvátní kontroly, nebo existuje velká pravděpodobnost, že cíle kontrol nejsou splněny) Zřeknutí se výroku – stanovisko nemůže být poskytnuto z důvodu nedostatečných důkazů (možný vliv nedekovaných slabin může být zásadní)
Druhy auditu/ujištění 2. Hledisko realizátora Pozn.: CISA Study Guide rozlišuje externí a nezávislé (independent) audity: Externí : (zákaznické) realizují se mezi dodavateli a zákazníky organizace (ověření integrity transakcí, interních kontrol, souladu se společnými regulacemi, …) Nezávislé: (třetí stranou) jdou mimo vztah zákazník-dodavatel (licenční, certifikační, ověření kvality produktů)
CharakteristikaSebehodnoceníInterní ujištění/auditExterní ujištění/audit Požadavek nezávislosti Nepožadován nebo negarantován Správné začlenění/ organizace útvaru auditu Smluvně zabezpečit a ověřovat Uživatel (zainteresovaná strana) Business a IT manažeři na různých úrovních řízení Exekutiva, výbor auditu, operativní management Statutární orgány, obecně organizace jako celek Odpovědná stranaOdpovědní zaměstnanci za objekt ujištění (IT manažer, administrátoři, vlastníci IT procesů, vývojáři,…. Business manažeři, vlastníci business procesů, aplikací, uživatelé Představenstvo a exekutiva Auditor/assurance profesionál Business a IT manažeři na různých úrovních řízení Útvar interního audituExterní auditor Formát zprávy a požadavky Volný formát Požadavek interní konzistence Požadavek interní konzistence ve vazbě na profesionální standardy Vysoce regulovaný/standardi- zovaný Určující pravidla/standardy Standardní postupy vycházející z dobré praxe Profesní standardy a etický kód Soulad s profesními standardy a etickým kódem zajištěn, kontrolován a udržován Spolehlivost (důvěryhodnost) Nejnižší Závisí na dovednostech a objektivitě hodnotitelů Střední Závisí na dovednostech a objektivitě interního auditu a spolupráci s odpovědnou stranou Maximální
Druhy auditu/ujištění 3. Hledisko objektu Audit obecných kontrol – hodnocení adekvátnosti a testování jejich efektivnosti. Mohou být zaměřené na určitý typ obecných kontrol a praktik (např. řízení změn, zálohování a obnova systémů), nebo skupinu kontrol Audit aplikací – audity zaměřené především na bezpečnost systémů, nebo na určitý aspekt aplikací (integrita dat, ukládání a obnova dat, provozní hodnota) Audit vývoje systémů – tři formy: –Prověrka/review - používané metodologie –Audit/examination vývoje a implementace určité aplikace –Audit/examination dílčích výstupů a kontrol v jednotlivých fázích vývoje systémů Technický nebo specializovaný audit – omezený rozsah a technické cíle, jsou specifičtější v porovnání s audity obecných kontrol, mohou mít formu auditu nebo prověrky (např. audit konfigurace firewallu, aplikace)
Druhy auditu/ujištění 4. Hledisko úrovně řízení Objektivní realita, fyzické procesy IS Data/informace účetní i-ce 1.stupně Správnost a úplnost odrazu Technický formální audit Systém řízení VŠ (interní standardy) informace 2.stupně Soulad,účinnost a účelnost IS vzhledem k cílům SŘ ČR – MŠ (standardy ČR) Soulad, účinnost a účelnost vzhledem k cílům ČR EU direktivy, čerpání zdrojů z EU Soulad, účinnost a účelnost vzhledem k cílům EU Profesionální audit Interní audit Externí audit
Druhy auditu/ujištění 5. Aspekt času Jednorázový audit Opakující se audit –Audit projektu – etapy projektu –Audit informační bezpečnosti – certifikační audit Předauditní činnosti Počáteční audit Udržovací audity Recertifikační audit Průběžný audit (vysoká automatizace)
Druhy auditu/ujištění 6. Hledisko cíle Audit interních kontrol (internal control examination) –Cíl: podrobné prověřování interních kontrol, –Důraz na testování návrhu kontrol –Závěry nebo výroky musí být podloženy adekvátními důkazy o tom, že jak návrh kontrol, tak jejich provoz zajišťují splnění cílů kontrol Audit souladu (compliance auditing) –Cíl: míra zavedení a dodržování odsouhlasených regulací –Důraz na kriteriích - regulacích Audit provozu (operational auditing) –Cíl: prověřování všech nebo jen části fungování /procesů organizace –Důraz na účelnost a účinnost
Druhy auditu/ujištění 7. Metodologie Hledisko metodologické –substantivní audit – předmětem jsou transakce, –audit založený na kontrolách – z množiny doporučených kontrol auditor vybírá relevantní –Audit založený na riziku – auditor provádí RA a na jejím základě vybírá relevantní kontroly –procesně orientovaný audit Hledisko vazby na právní systém (soudy, kriminální akty) nebo jiné aktivity –forenzní (soudní) audit –„due dilligence“ audit - součástí investičního rozhodování –ostatní – nejsou součástí soudní pře, kriminálního aktu, investičních rozhodování
2. Problémy auditu Statutárního: –Zelená kniha - Politika v oblasti auditu: poučení z krize, 2010 –cvičení
Problémy auditu IS 1. Problém postavení v České republice 2. Problém komplexnosti a dynamického vývoje objektu auditu (informační systémy, informační technologie), 3. Problém kriterií potřebných pro objektivní hodnocení a závěry auditu.
1. Problém postavení auditu v ČR Pro správné fungování auditu musí být v souladu tyto aspekty: –aspekt ekonomický –aspekt informační –aspekt motivační –aspekt právní, –procesní aspekt Rozpor mezi očekáváním zadavatele auditu IS a možnostmi auditora
2. Problém komplexnosti IS 2. Problém komplexnosti IS OBJEKT-ISAUDIT IS Dekompozice /druhy auditu Způsob dekompozice (procesní, funkční, komponentová atd.) Úroveň dekompozice (globál, detail) Dekompozice/druhy objektu Způsob dekompozice (procesní, funkční, komponentová atd.) Úroveň dekompozice (globál, detail) Problém č.1 Životní cyklus auditu Získání - seznámení se se stávajícím stavem hodnocení -znalost žádoucího stavu prověření -analýza rozdílů zdůvodnění – zpráva,doporučení Problém č.2 Životní cyklus objektu Plánování a organizace Pořízení a implementace Dodávka a podpora Monitorování
Problém kriterií Problém kriterií Kriterií v oblasti IS/IT (standardů, zákonů, norem atd.) je hodně, překrývají se, různá forma Pro některé oblasti chybějí a musejí se vytvářet při auditu ve spolupráci s managementem organizací (např. co je kvalitní IS, co je bezpečný IS pro danou organizaci) Je nepopulární se je učit
3. Institucionální zabezpečení auditorské profese Na úrovni mezinárodní Na úrovni národní Na úrovni organizace
Mezinárodní úroveň NázevZkratkaKontaktPopis Information Systems Audit and Control Association ISACAwww. isaca.orgMezinárodní organizace pro oblast auditu, řízení, kontroly a bezpečnosti informačních systémů Institute for Internal Auditors IIAwww.theiia.orgOrganizace zabývající se profesí interního auditora International Organisation of Supreme Audit Institutions WG Group on IT Audit – India INTOSAIwww.intosai.orgZastřešující organizace pro instituce zabývající se externími audity státních organizací (tzv. SAI Supreme Audit Institutions, v ČR Nejvyšší kontrolní úřad) International Federation of Accountants IFACwww.ifac.org Vytváří mezinárodní standardy a návody pro profesionály v oblasti účetnictví a auditu American Institute of Certified public Accountants AICPAwww.aicpa.org Největší asociace účetních profesionálů vydávající auditorské standardy vhodné pro všechny typy organizací
Národní úroveň Český institut interních auditorů Komora auditorů České republiky ISACA Czech Republic Chapter Deloitte &Touch Ernst &Young KPMGwww.kpmg.com PWCwww.pwc.com
Zabezpečení na úrovni organizace Útvar interního auditu –Může mít vlastní oddělení pro audit IS (řízení bezpečnosti IS) –Jeden člověk odpovědný za audit IS
ISACA Nezávislá, nezisková, globální asociace, která se zabývá rozvojem, zaváděním a používáním špičkových znalostí a postupů pro oblast IS na mezinárodní úrovni. Dříve známá pod celým jménem Information Systems Audit and Control Association, nyní pouze zkratka, protože se její zájem rozšířil do oblasti IT Governance ISACA byla založena v roce 1969 malou skupinou jednotlivců, kteří rozpoznali důležitost jednotného řízení auditu kontrol počítačového zpracování V současné době ISACA slouží 140,000 odborníků v 180 zemích
Domény 1970%Domény 2000 CISA %Domény 2009 CISA %Domény 2013 CISA Standardy a postupy auditu 8Postupy auditu10Postupy auditu10Proces auditu IS14 Organizace a řízení IS 15Řízení plánování a organizace IS 11IT Governance15Governance a řízení IT 14 Provoz IS22Technická infrastruktura a provoz 13Dodávka a podpora IT služeb 14Provoz, údržba a podpora IS 23 Integrita, důvěrnost a bezpečnost IS 29Ochrana informačních aktiv 25Ochrana informačních aktiv 31Ochrana informačních aktiv 30 Obnova systému a podnikatelských aktivit po katastrofách 10Obnova systému a podnikatelských aktivit po katastrofách 14 Tvorba, pořízení a údržba programového vybavení 26Tvorba, pořízení, implementace a údržba aplikačních systémů 16Řízení životního cyklu systémů a infrastruktury 16Pořízení, vývoj a implementace IS 19 Rozvoj podnikatelských procesů a řízení rizika 15