C OBIT – AUDITORSKÉ NÁVODY 4SA425

DS2 – Manage Third-party Services

A UDITORSKÉ NÁVODY Změna terminologie: Assurance Guide ve verzi 4.0, Audit Guidelines ve verzi 3.0) Umožňují provést hodnocení procesu vzhledem k doporučeným kontrolním cílům To umožňuje auditorovi Poskytnout vedení záruky o dodržování relevantních kontrol Hodnotit rizika vyplývající z nedodržení těchto kontrol Doporučit opravná opatření

N ÁVODY - G UIDE Cobit poskytuje dva druhy návodů (guide): Cobit Control Practices– Guidance to Achieve Control Objectives for Successful ITG: pomáhají zavést kontrolní cíle do praxe IT Assurance Guide: Using Cobit - je založen na etapách a testech, které jsou společné všem auditům (assurance steps) Cobit Framework: Co je třeba udělat pro zavedení systému kontrol Control Practices: Jak dosáhnout cílů kontrol Assurance Guide: Jaké kroky (etapy) má audit obecně a jaké testy se mají realizovat ve vazbě na procesy Cobit Framework

C OBIT C ONTROL P RACTICES – PŘÍKLAD DS2 Control Practices: 1. Pro každého poskytovatele služeb definuj role a odpovědnosti 2. Urči vlastníka pro každý vztah a seznam ho s jeho odpovědností za kvalitu služeb 3. Vytvoř dokument obsahující vlastníky vztahů a seznam s ním zbytek organizace 4. Zaveď a zdokumentuj formalizovaný proces komunikace mezi organizací a poskytovatelem služeb 5. Zajisti, že kontrakty s klíčovými poskytovateli umožňují prověřit interní kontroly poskytovatele managementem nebo třetí stranou 6. Pravidelně kontroluj reporty mezi organizací a poskYtovatelem služeb 7. Eviduj incidenty způsobené poskytovatelem a reportuj je v rámci interního procesu řízení incidentů 8. Pravidelně kontroluj a hodnoť služby poskytovatele vzhledem k zavedeným úrovním služeb; projednávej s ním návrhy změn

A SSURANCE G UIDE Testy jsou uvedeny zvlášť pro každý druh kontrol: Obecné kontroly (General Controls) Obecné kontroly procesů (Generic Controls, např. PC1 – PC6) Cíle kontrol (Control Objectives, např. DS 2.1) Aplikační kontroly (Application Controls) jsou mimo základní rámec Cobit, protože odpovědnost za ně nemá IT, ale vlastník business procesu, jsou integrovány do business procesů, IT pouze dodává a podporuje aplikační služby liší se podle jednotlivých aplikací

U JIŠTĚNÍ / AUDIT IS JAKO PROJEKT Musí splňovat 5 vlastností ???: Tři partneři: assurance profesionál, strana odpovědná za hodnocený objekt příjemce výstupu Předmět ujištění data, systémy, procesy Vhodná kriteria např. standady, benchmarks, legislativa Proces, který assurance profesionál bude realizovat Závěr zpracovaný assurance profesionálem

P OSTUP IT ASSURANCE (IT A SSURANCE M AP /S TEPS ) Plánování - Určení rozsahu - Realizace

1. P LÁNOVÁNÍ Cílem je 1. Vymezit předmět IT assurance (IT Assurance Universe) 2. Předběžně vyhodnotit vyspělost vybraných procesů

1.P LÁNOVÁNÍ : 1.1 V YMEZENÍ PŘEDMĚTU IT ASSURANCE Vertikální přístup (shora dolů) Business cíle podle priorit – IT cíle – cíle IT procesů Horizontální přístup Objekty (aplikace, projekty,..) se seskupí podle Business procesů Lidí a způsobu organizace (org. jednotek) Prvků infrastruktury (datová centra, sítě, platformy,..) Datových objektů (databáze, kmenový soubor, logy transakcí,..) Analýza rizik

1. P LÁNOVÁNÍ : 1.2 H ODNOCENÍ ZRALOSTI PROCESŮ Rychlé hodnocení: 1. Důležitost: Jak důležitý je proces pro organizaci? (1 vůbec není důležitý – 5 velmi důležitý). 2. Realizace: Jak proces probíhá? (1velmi dobře - 5 nevím nebo špatně). 3. Formalizovanost: Existuje k danému procesu nějaká smlouva nebo jasně definovaná procedura? (Ano/Ne). 4. Existence auditu: Byl proces již předmětem auditu? (Ano/Ne). 5. Odpovědnost: Kdo je za proces odpovědný? (Jméno nebo nevím) Hodnocení pomocí atributů zralosti: 1. Povědomí a komunikace 2. Politiky, plány a procedura 3. Nástroje a automatizace 4. Dovednosti a znalosti 5. Odpovědnost (responsibility, accountability) 6. Stanovení cílů a měřítka.

Procesy RizikoOdpovědnost Byl auditován Foromalizovanost Důležitost Realizace IT Někdo jiný Externista Neznámý Proces přijímání studentů na VŠE Proces stanovení rozvrhu Proces zadání závěrečných prací Proces přerušení studia Proces přihlašování k závěrečným zkouškám T ABULKA PRO RYCHLÉ HODNOCENÍ PROCESŮ

H ODNOCENÍ POMOCÍ ATRIBUTŮ ZRALOSTI

2. S TANOVENÍ ROZSAHU 2.1 Určení důvodu pro assurance – ovladače ujištění Získat informace ???: podmínky daného podnikání a s nimi spojená rizika, organizační strukturu, role a odpovědnosti, platné politiky a procedury, právní normy a regulace vztahující se k dané organizaci, existující kontroly, manažerské reporty, minulé události, které ohrozily cíle organizace a přijatá opatření, současné problémy a zájmy jednotlivých zájmových skupin, jaká jsou očekávání managementu spojená s projektem auditu/ujištění

2. S TANOVENÍ ROZSAHU - POKR. 2.2 Dokumentace IT architektury společnosti 2.3 Výběr vhodného rámce pro systém kontrol (např. Cobit, COSO ev. ISO) 2.4 Identifikace IT procesů 2.5 Výběr IT komponent (zdroje, vlastnosti i-cí, …) 2.6 Upřesnění výběru IT komponent (původní určení může být hodně široké, a proto je potřeba ho upřesnit/zúžit. 2.7 Výběr kontrolních cílů (podle Cobit control objectives) 2.8 Upřesnění výběru kontrolních cílů (redukce vybraných cílů v předchozím kroku)

3. R EALIZACE 3.1Upřesnění porozumění objektu ujištění 3.2 Upřesnění rozsahu 3.3 Testování efektivnosti návrhu kontrol (A) 3.4 Testování výstupů kontrolních cílů/realizace kontrol (B) 3.5 Dokumentace dopadu slabin kontrol (C) 3.6 Vytvoření a prezentování zprávy s celkovými závěry a doporučeními Ověření porozu- mění objektu IT ujištění Ověření rozsahu klíčových kontrolních cílů pro IT ujištění Testování efektivnosti návrhu kontrolních cílů Alternativně / doplňkově testovat výstupy z kontrol- ních cílů Doku- mentová- ní dopadu slabin kontrol Formulace a prezentace celkového závěru a doporučení

P OSTUP IT ASSURANCE (IT A SSURANCE M AP /S TEPS ) Plánování - Určení rozsahu - Realizace Krok A Krok B Krok C

P ŘÍKLADY VYUŽITÍ A SSURANCE G UIDE Krok A Krok B Krok C

O BECNÁ STRUKTURA POPISU KONTROL PROCESŮ A OBECNÝCH KONTROL Popis kontrolního cíle Ovladače hodnoty a rizika: Ovladače hodnot (Value Drivers) poskytují příklady přínosů, které mohou být důsledkem správných kontrol (např. pro DS2.1 Identifikace všech vazeb na dodavatele: rychlá identifikace poskytovatele služeb pro dodávku uvažované služby ) Ovladače rizika (Risk Drivers) poskytují příklady rizik, které je možné kontrolami snížit (např. neidentifikovaný významný poskytovatel) Assurance testovací kroky : A. Testování návrhu kontrol B. Testování výstupu kontrol (realizace) C. Dokumentování dopadu zjištěných slabin (hodnocení efektivnosti kontrol

P OPIS OBECNÝCH KONTROL PROCESŮ PC1 Cíle procesů PC2 Vlastnictví procesu PC3 Opakovatelnost procesu PC4 Role a odpovědnosti PC5 Politiky, plány a procedury PC6 Zlepšování realizace procesu

P ŘÍKLAD POPISU OBECNÉ KONTROLY : PC2 V LASTNICTVÍ PROCESU

P OPIS KONTROLNÍCH CÍLŮ PROCESŮ Pro každý dílčí kontrolní cíl např. DS 2.1 Pro každý proces např. DS2

P ŘÍKLAD POPISU DÍLČÍHO KONTROLNÍHO CÍLE DS 2.1: V ALUE D RIVERS, R ISK D RIVERS A 1. A SSURANCE KROK A

P ŘÍKLAD POPISU PROCESU DS2 – ASSURANCE KROK B

P ŘÍKLAD POPISU PROCESU DS2 – ASSURANCE KROK C

P OPIS APLIKAČNÍCH KONTROL AC1 Příprava zdrojových dokumentů a autorizace AC2 Sběr a vstup dat AC3 Kontroly správnosti, úplnosti a spolehlivosti /pravosti – autenticity AC4 Integrita a platnost /legálnost zpracování dat AC5 Kontroly výstupu, porovnání a ošetření chyb AC6 Integrita a oprávněnost transakcí

P ŘÍKLAD POPISU APLIKAČNÍ KONTROLY AC3

P ROCES UJIŠTĚNÍ : PŘÍKLAD UJIŠTĚNÍ / AUDITU PROCESU ŘÍZENÍ ZMĚN Obecné kroky Realizace 3.1 a 3.2 Upřesni porozumění prostředí a rozsah IT ujištění 3.3 (A) Testování efektivnosti návrhu kontrol Ujištění o procesu řízení změn Shromažďování dokumentace o procesu, účastníci, používané nástroje, historie (archiv změn) Výstup: diagram skutečného průběhu procesu řízení změn v dané organizaci Kriteria: např.podle Cobit je jedním krokem procesu potřeba pro každou změnu zhodnotit její dopad Výstup:ve vývojovém diagramu žádný takový krok není

A SSURANCE PROCESS General steps 3.4 Testování výstupů kontrolních cílů/realizace kontrol (B) Example: Process manage changes V popisu procesu je kontrola, že všechny havarijní/naléhavé změny budou dodatečně zpracovány v procesu řízení změn vybere se vzorek havarijních změn a zkontroluje se, zda byly zpracovány v procesu Výstup: 3 havarijní změny z 25 nebyly následně zpracovány procesem jako normální změny

A SSURANCE PROCESS General steps 3.5 Dokumentace dopadu slabin kontrol (C) 3.6 Vytvoření a prezentování zprávy s celkovými závěry a doporučeními Example: Process manage changes Slabina: ne všechny havarijní změny procházejí procesem – riziko ztráty záznamu o těchto změnách a nemožnost poučení se z těchto incidentů Výstup: potřeba zhodnotit význam této slabiny (např. platby penále podle SLA) Závěr: slabina existuje, ale dopad byl zanedbatelný