Řízení kvality (audit) IS BIVŠ ZS 15 Doc. Ing. Vlasta Svatá, CSc.

Slides:



Advertisements
Podobné prezentace
Informační systém krizového řízení kraje
Advertisements

Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec,
Organizace a řízení výstavbových projektů v praxi
12. Projekt – nástroj realizace změny
KONTROLA zpracovala: Ing. Jaroslava Teuberová Náchod, dne
HISTORICKÝ VÝVOJ 1900 Výrobková normalizace, vojenský průmysl
13. Koordinace projektů Realizace změn Koordinace projektů
Petr Marek, ČNB Bankovní dohled IT Petr Marek, ČNB
Facility management ČSN EN
Efektivní informační bezpečnost
Aktivita číslo 5 Návrh a zavedení systému centrální administrace a řízení projektů Zvýšení kvality řízení na Krajském úřadě Plzeňského kraje.
Daniel Kardoš Ing. Daniel Kardoš
Postavení a úkoly manažera v oblasti řízení lidských zdrojů podniku
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace
3. Životní cyklus a procesy projektu
12. OPERATIVNÍ MANAGEMENT
Inovace výuky ve vazbě na požadavky Mezinárodních výukových standardů doc. Ing. Marie Pospíšilová,CSc. SVŠES.
Auditorské postupy Činnosti před uzavřením smlouvy
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Jaromír Skorkovský ESF MU KAMI
Audit seminář CGI duben 2014.
ITIL Information Technology Infrastructure Library.
Marie Borecká, Kristina Ficencová 6. kruh, 1. ročník VSRR
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
Daniel Kardoš Ing. Daniel Kardoš
Informační systémy TPS,MIS, SIS.
Komponent 3 Situační analýza 3.1 Komunikační strategie 3.2 Zlepšování přístupnosti a obsahu informací na Internetu 3.3 Model vzdělávání Podpůrné dokumenty.
Ivo Novotný Jak vybrat dodavatele vzdělávání JAK SI SPRÁVNĚ VYBRAT... Dodavatele vzdělávání.
Realizační tým ICZ duben 2005
Systém dalšího vzdělávání pracovníků výzkumu a vývoje v MS kraji a jeho realizace Projekt A6 Rozpočet a plánování tvorby projektů a jejich následná realizace.
Management jakosti jako úhelný kámen provozu klinické laboratoře
Jako součást informačního systému podniku
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Finanční kontroly ve veřejné správě IT podpora kontrolovaných procesů při správě prostředků SR a EU Konference ISSS Hradec Králové, březen 2004 RNDr. Zdeněk.
Základní rozdělení činností v podnikové informatice
Graduate Recruitment Zakladatelé Deloitte Touche Tohmatsu.
© Ing. V. Šebek, CSc. Řízení projektů a podnikových procesů 1/9 9. Tvorba modelů v procesně řízeném podniku  Způsoby modelování  Základní postupy a role.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Proces řízení kvality projektu Jaromír Štůsek
Prof. Molnár1 Podnikové informační systémy Outsourcing IS/IT a ASP Prof. Ing. Zdeněk Molnár, CSc Ústav řízení a ekonomiky podniku
Reporting.
Technické řešení PostSignum QCA
1 14.Postakviziční integrace-jaké kroky se mají učinit po podpisu kupní smlouvy Kateřina Čepeláková, E-72 Šk.rok:2009/2010.
6. Koncepce řízení projektů
Systém řízení moderního podniku Management system of modern company
2. Životní cyklus a procesy projektu
IAF MD 18:2015 Aplikace ISO/IEC 17021:2011 v oblasti řízení služeb (ISO/IEC )
BUDOVÁNÍ SYSTÉMŮ MANAGEMENTU
Metodika řízení projektů
BSC 1992 Robert S. Kaplan a David P. Norton článek navrhující měření výkonnosti organizací – BSC – Vyrovnaný přehled výsledků kniha The Balanced.
Projektové procesy.  Podrobné procesní modely (PMBOK)  Zjednodušený procesní model  COBIT.
Teorie auditu, fáze auditu, správné auditní postupy, Audit podle ISO Doc. Ing. Michal Voldřich CSc. Ing. Jan Pivoňka ing. Rudolf Ševčík Ph.D.
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Přednáška č. 9 Hodnocení veřejných zakázek Úvod do veřejných zakázek a věcné hodnocení Ladislav Kavřík
IS jako nástroj moderního personálního managementu Vít Červinka
Přechod na ISO 9001:2015 v DIAMO, s. p.
Řízení kvality (audit) IS
Kontrola. Kontrola Kontrola Kontrola je proces sledování reality, zjišťování, zda se vyvíjí žádoucím směrem, rozbor příčin případných odchylek a přijetí.
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
Tradiční metodiky vývoje softwaru
Edukační standardy Beharková Natália.
Výbor pro audit ing. Bohuslav Poduška, CIA, CRMA
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Tradiční metody vývoje softwaru
KPV/PIS Websol s.r.o. Jaroslav Plzák Lukáš Choulík Tomáš Kraus.
Zkušenosti z řízení a auditu rozsáhlého mezinárodního IS
farmakovigilanční audit
Transkript prezentace:

Řízení kvality (audit) IS BIVŠ ZS 15 Doc. Ing. Vlasta Svatá, CSc.

Osnova 1. Druhy ujištění/auditu 2. Problémy ujištění/auditu 3. Institucionální zabezpečení 4. Obsah auditu - domény

Druhy auditu/ujištění 1. Hledisko komplexnosti 2. Hledisko realizátora 3. Hledisko objektu hodnocení 4. Hledisko úrovně řízení 5. Hledisko časové 6. Hledisko cíle 7. Hledisko metodologie

UjištěníAssuranceKomplexní nezávislé prověření kontrol, které jsou delegovány na jiné subjekty (existence, realizace, efektivnosti) vzhledem k cílům řízení Audit Examination Komplexní, formalizované nezávislé prověření kontrol (existence, realizace, efektivnosti) vzhledem k existujícím standardům Systematický proces realizovaný kompetentní nezávislou osobou, která objektivně hodnotí a získává důkazy o entitě, události, procesu, interní kontrole za účelem formulace výroku a zpracování zprávy, která určuje míru souladu tvrzení o objektu s určeným kritériem (standardem, sadou standardů) PrověrkaReviewV porovnání s auditem nižší forma ujištění, jejímž cílem je prověření existence možných překážek negativně ovlivňujících kontroly (negativního ujištění) Dohodnutá procedura Agreed-upon procedures Třetí strana (zadavatel) a auditor souhlasí s provedením určitých činností, jejichž cílem je získat dostatečné důkazy, na které se třetí strana spolehne a provede na jejich základě závěry/rozhodnutí KontrolaControl objective, control Prověření dílčích aspektů, jevů, procesů s předem určenou hodnotou. Jeden kontrolní cíl může být zajištěn řadou různých kontrol Druhy auditu/ujištění 1. Hledisko komplexnosti

Rozdíly v komplexnosti Druhy auditu Porovná vání Testování /verifikace Úroveň důkazů Závěry/ výrok Provádí Examination (audit) ano vysokáanoNezávislý odborník ReviewanoOmezené žádné maláNe „Negativní“ závěry: Neobjevili jsme nic, co by nasvědčovalo, že tvrzení o objektu nejsou pravdivá ?? Agreed- upon procedura anožádnéPodle požadavků třetí strany (někdy i větší než při examination) Ne, dělá si ho třetí strana ??

Výrok auditora Nekvalifikovaný výrok (bez výhrad) – důkazy auditu potvrzují ve všech aspektech očekávání a soulad s kritérii Kvalifikovaný výrok (s výhradou) – důkazy auditu odráží, co se očekává s určitými nedostatky, které ale celkově významně neovlivňují příznivý výsledek (součástí zprávy musí být vysvětlení) Záporný výrok – důkazy audity nepotvrzují očekávání a soulad s kritérii (nejsou zavedeny adekvátní kontroly, nebo existuje velká pravděpodobnost, že cíle kontrol nejsou splněny) Zřeknutí se výroku – stanovisko nemůže být poskytnuto z důvodu nedostatečných důkazů (možný vliv nedekovaných slabin může být zásadní)

Druhy auditu/ujištění 2. Hledisko realizátora Pozn.: CISA Study Guide rozlišuje externí a nezávislé (independent) audity: Externí : (zákaznické) realizují se mezi dodavateli a zákazníky organizace (ověření integrity transakcí, interních kontrol, souladu se společnými regulacemi, …) Nezávislé: (třetí stranou) jdou mimo vztah zákazník-dodavatel (licenční, certifikační, ověření kvality produktů)

CharakteristikaSebehodnoceníInterní ujištění/auditExterní ujištění/audit Požadavek nezávislosti Nepožadován nebo negarantován Správné začlenění/ organizace útvaru auditu Smluvně zabezpečit a ověřovat Uživatel (zainteresovaná strana) Business a IT manažeři na různých úrovních řízení Exekutiva, výbor auditu, operativní management Statutární orgány, obecně organizace jako celek Odpovědná stranaOdpovědní zaměstnanci za objekt ujištění (IT manažer, administrátoři, vlastníci IT procesů, vývojáři,…. Business manažeři, vlastníci business procesů, aplikací, uživatelé Představenstvo a exekutiva Auditor/assurance profesionál Business a IT manažeři na různých úrovních řízení Útvar interního audituExterní auditor Formát zprávy a požadavky Volný formát Požadavek interní konzistence Požadavek interní konzistence ve vazbě na profesionální standardy Vysoce regulovaný/standardi- zovaný Určující pravidla/standardy Standardní postupy vycházející z dobré praxe Profesní standardy a etický kód Soulad s profesními standardy a etickým kódem zajištěn, kontrolován a udržován Spolehlivost (důvěryhodnost) Nejnižší Závisí na dovednostech a objektivitě hodnotitelů Střední Závisí na dovednostech a objektivitě interního auditu a spolupráci s odpovědnou stranou Maximální

Druhy auditu/ujištění 3. Hledisko objektu Audit obecných kontrol – hodnocení adekvátnosti a testování jejich efektivnosti. Mohou být zaměřené na určitý typ obecných kontrol a praktik (např. řízení změn, zálohování a obnova systémů), nebo skupinu kontrol Audit aplikací – audity zaměřené především na bezpečnost systémů, nebo na určitý aspekt aplikací (integrita dat, ukládání a obnova dat, provozní hodnota) Audit vývoje systémů – tři formy: –Prověrka/review - používané metodologie –Audit/examination vývoje a implementace určité aplikace –Audit/examination dílčích výstupů a kontrol v jednotlivých fázích vývoje systémů Technický nebo specializovaný audit – omezený rozsah a technické cíle, jsou specifičtější v porovnání s audity obecných kontrol, mohou mít formu auditu nebo prověrky (např. audit konfigurace firewallu, aplikace)

Druhy auditu/ujištění 4. Hledisko úrovně řízení Objektivní realita, fyzické procesy IS Data/informace účetní i-ce 1.stupně Správnost a úplnost odrazu Technický formální audit Systém řízení VŠ (interní standardy) informace 2.stupně Soulad,účinnost a účelnost IS vzhledem k cílům SŘ ČR – MŠ (standardy ČR) Soulad, účinnost a účelnost vzhledem k cílům ČR EU direktivy, čerpání zdrojů z EU Soulad, účinnost a účelnost vzhledem k cílům EU Profesionální audit Interní audit Externí audit

Druhy auditu/ujištění 5. Aspekt času Jednorázový audit Opakující se audit –Audit projektu – etapy projektu –Audit informační bezpečnosti – certifikační audit Předauditní činnosti Počáteční audit Udržovací audity Recertifikační audit Průběžný audit (vysoká automatizace)

Druhy auditu/ujištění 6. Hledisko cíle Audit interních kontrol (internal control examination) –Cíl: podrobné prověřování interních kontrol, –Důraz na testování návrhu kontrol –Závěry nebo výroky musí být podloženy adekvátními důkazy o tom, že jak návrh kontrol, tak jejich provoz zajišťují splnění cílů kontrol Audit souladu (compliance auditing) –Cíl: míra zavedení a dodržování odsouhlasených regulací –Důraz na kriteriích - regulacích Audit provozu (operational auditing) –Cíl: prověřování všech nebo jen části fungování /procesů organizace –Důraz na účelnost a účinnost

Druhy auditu/ujištění 7. Metodologie Hledisko metodologické –substantivní audit – předmětem jsou transakce, –audit založený na kontrolách – z množiny doporučených kontrol auditor vybírá relevantní –Audit založený na riziku – auditor provádí RA a na jejím základě vybírá relevantní kontroly –procesně orientovaný audit Hledisko vazby na právní systém (soudy, kriminální akty) nebo jiné aktivity –forenzní (soudní) audit –„due dilligence“ audit - součástí investičního rozhodování –ostatní – nejsou součástí soudní pře, kriminálního aktu, investičních rozhodování

2. Problémy auditu Statutárního: –Zelená kniha - Politika v oblasti auditu: poučení z krize, 2010 –cvičení

Problémy auditu IS 1. Problém postavení v České republice 2. Problém komplexnosti a dynamického vývoje objektu auditu (informační systémy, informační technologie), 3. Problém kriterií potřebných pro objektivní hodnocení a závěry auditu.

1. Problém postavení auditu v ČR Pro správné fungování auditu musí být v souladu tyto aspekty: –aspekt ekonomický –aspekt informační –aspekt motivační –aspekt právní, –procesní aspekt Rozpor mezi očekáváním zadavatele auditu IS a možnostmi auditora

2. Problém komplexnosti IS 2. Problém komplexnosti IS OBJEKT-ISAUDIT IS  Dekompozice /druhy auditu  Způsob dekompozice (procesní, funkční, komponentová atd.)  Úroveň dekompozice (globál, detail) Dekompozice/druhy objektu  Způsob dekompozice (procesní, funkční, komponentová atd.)  Úroveň dekompozice (globál, detail) Problém č.1 Životní cyklus auditu  Získání - seznámení se se stávajícím stavem  hodnocení -znalost žádoucího stavu  prověření -analýza rozdílů  zdůvodnění – zpráva,doporučení Problém č.2  Životní cyklus objektu  Plánování a organizace  Pořízení a implementace  Dodávka a podpora  Monitorování

Problém kriterií Problém kriterií Kriterií v oblasti IS/IT (standardů, zákonů, norem atd.) je hodně, překrývají se, různá forma Pro některé oblasti chybějí a musejí se vytvářet při auditu ve spolupráci s managementem organizací (např. co je kvalitní IS, co je bezpečný IS pro danou organizaci) Je nepopulární se je učit

3. Institucionální zabezpečení auditorské profese Na úrovni mezinárodní Na úrovni národní Na úrovni organizace

Mezinárodní úroveň NázevZkratkaKontaktPopis Information Systems Audit and Control Association ISACAwww. isaca.orgMezinárodní organizace pro oblast auditu, řízení, kontroly a bezpečnosti informačních systémů Institute for Internal Auditors IIAwww.theiia.orgOrganizace zabývající se profesí interního auditora International Organisation of Supreme Audit Institutions WG Group on IT Audit – India INTOSAIwww.intosai.orgZastřešující organizace pro instituce zabývající se externími audity státních organizací (tzv. SAI Supreme Audit Institutions, v ČR Nejvyšší kontrolní úřad) International Federation of Accountants IFACwww.ifac.org Vytváří mezinárodní standardy a návody pro profesionály v oblasti účetnictví a auditu American Institute of Certified public Accountants AICPAwww.aicpa.org Největší asociace účetních profesionálů vydávající auditorské standardy vhodné pro všechny typy organizací

Národní úroveň Český institut interních auditorů Komora auditorů České republiky ISACA Czech Republic Chapter Deloitte &Touch Ernst &Young KPMGwww.kpmg.com PWCwww.pwc.com

Zabezpečení na úrovni organizace Útvar interního auditu –Může mít vlastní oddělení pro audit IS (řízení bezpečnosti IS) –Jeden člověk odpovědný za audit IS

ISACA Nezávislá, nezisková, globální asociace, která se zabývá rozvojem, zaváděním a používáním špičkových znalostí a postupů pro oblast IS na mezinárodní úrovni. Dříve známá pod celým jménem Information Systems Audit and Control Association, nyní pouze zkratka, protože se její zájem rozšířil do oblasti IT Governance ISACA byla založena v roce 1969 malou skupinou jednotlivců, kteří rozpoznali důležitost jednotného řízení auditu kontrol počítačového zpracování V současné době ISACA slouží 140,000 odborníků v 180 zemích

Domény 1970%Domény 2000 CISA %Domény 2009 CISA %Domény 2013 CISA Standardy a postupy auditu 8Postupy auditu10Postupy auditu10Proces auditu IS14 Organizace a řízení IS 15Řízení plánování a organizace IS 11IT Governance15Governance a řízení IT 14 Provoz IS22Technická infrastruktura a provoz 13Dodávka a podpora IT služeb 14Provoz, údržba a podpora IS 23 Integrita, důvěrnost a bezpečnost IS 29Ochrana informačních aktiv 25Ochrana informačních aktiv 31Ochrana informačních aktiv 30 Obnova systému a podnikatelských aktivit po katastrofách 10Obnova systému a podnikatelských aktivit po katastrofách 14 Tvorba, pořízení a údržba programového vybavení 26Tvorba, pořízení, implementace a údržba aplikačních systémů 16Řízení životního cyklu systémů a infrastruktury 16Pořízení, vývoj a implementace IS 19 Rozvoj podnikatelských procesů a řízení rizika 15