Řízení kvality (audit) informačního systému Standardy/Kritéria Doc. Ing. Vlasta Svatá, CSc. svata@vse.cz
Definice auditu – 1/5 Základní vlastnosti auditu: Komplexnost ? - postihnout všechny relevantní aspekty a vazby, Objektivnost ? – opírat se při auditu o existující standardy, ev. zkušenosti, pokud standardy neexistují, Nezávislost ? - auditor nemá s objektem auditu ani se zadavatelem auditu žádné spojení, které by představovalo konflikt zájmů, Formalizovanost ? - proces auditu se musí řídit metodikou a existujícími standardy
Obsah Governance Standardy – dvě perspektivy Perspektiva funkce/profese/útvaru (Assurance function perspective) (ITAF, IPPF, SSAE) Perspektiva vlastního ujištění (Assessment perspective (bezpečnost, kvalita, ..)
1. Governance obecně ‘Governance’ je odvozeno od řeckého slova kubernáo = kormidlovat, řídit, vést Systém řízení GOVERNANCE umožňuje zainteresovaným skupinám (stakeholders): formalizovaně a průhledně hodnotit podmínky a příležitosti určovat směr vývoje organizací a monitorovat realizaci vzhledem ke stanoveným cílům. GTAG 17 (theiia.org):“IT governance consists of the leadership, organizational structures, and processes that ensure that the enterprise’s [IT] supports the organization’s strategies and objectives.” Je v odpovědnosti statutárních orgánů nebo ekvivalentních entit
ISO/IEC 38500: 2008
ISO 38500:2015 V zásadě stejná koncepce jako ISO/IEC 38500:2008 Definice: “the system by which the current and future use of IT is directed and controlled” Komentář (není její součástí): „Governance of IT“ je ekvivalent ke corporate governance of IT, enterprise governance of IT, organizational governance of IT Bohužel není uveden termín: Governance of enterprise IT, který je používán v Cobit 5 Model stejný jako v předešlé normě (Evaluate, Direct, Monitor) – stejný popis Principy totéž (Responsibility, Strategy, Acquisition, Performance, Conformance, Human Behaviour
Další navazující normy: ISO 38501: 2015 Information technology -- Governance of IT -- Implementation guide Poskytuje návod na implementaci governance of IT v organizaci ISO 38502:2014 Information technology -- Governance of IT -- Framework and model Poskytuje informace o rámci a modelu, který může být použit pro zavedení hranic a vazeb mezi současným a budoucím managementem a governance při užívání IT v organizacích
Governance - hlavní cíle
IT Governance role, standardy, and rámce
CIO – CTO - CISO CIO – odpovídá za řízení a provoz klíčových aplikací pro organizaci; je zaměřen spíše dovnitř útvaru CTO (Chief technology Officer)- odpovídá za řízení kvality dodávek IT a IT služeb; je spíše orientován mimo organizaci CISO (Chief Information Security Officer) – odpovídá za bezpečný a standardům odpovídající provoz IT v organizaci
Hlavní problémy/otázky Jaký je rozdíl mezi Governance a managementem? Jaké jsou komponenty ITG? Jak implementovat ITG? Jaký je současný stav zavádění ITG iv praxi?
Jaký je rozdíl mezi governance a managementem Governance zajišťuje, že potřeby, příležitosti a podmínky stakeholderů jsou hodnoceny tak, aby se stanovily vyvážené a pro všechny přijatelné cíle organizace, kterých chce dosáhnout Směry vývoje vychází ze stanovení priorit a rozhodování a jejich změnách Realizace cílů se průběžně monitoruje a porovnává se stanovenými cíli Management plánuje, pořizuje, provozuje a monitoruje činnosti v souladu s cíli stanovenými v rámci governance tak, aby se splnily cíle organizace
Jaké jsou komponenty ITG? (GTAG 17- Auditing IT Governance)
Komp.1:Organizační a governance struktury Existuje role CIO a je součástí vrcholového managementu? Je srozumitelná struktura organizace a její procesy tak, aby IT mohlo účelně a účinně podporovat dosažení cílů organizace? Jaké existují role (organizační entity), které zajišťují propojení potřeb organizace s poskytovanými IT službami? Mají definované adekvátní pravomoce a odpovědnosti? Jsou potřeby organizace a požadavky na IT služby popsány ve strategických a taktických plánech? Jsou monitorovány? Hodnotí CIO pravidelně společně s vrcholovým managementem postup plnění plánů? Jsou jasně definované role a odpovědnosti a mají vedoucí pracovníci potřebné pravomoce a odpovědnosti za výsledky?
Komp.2: Podpora a vedení Má nejvyšší vedení jasně definované role a odpovědnosti ve vazbě na funkci IT týkající dosahování strategických a taktických cílů? Je role CIO jasně definovaná a jsou s ní všichni srozuměni? Je si organizace vědoma skutečnosti, že IT jsou významným faktorem přispívajícím k dosahování cílů stejně jako při podpoře denních aktivit organizace? Je CIO součástí nejvyššího vedení organizace? Účastní se pravidelných jednání nevyššího vedení a statutárních orgánů a diskutuje s nimi vazbu IT na strategii? Má IT adekvátní zdroje pro plnění potřeb organizace?
Komp.3: Strategické a operativní plánování Vnímají statutární orgány a nevyšší vedení IT jako strategického partnera organizace? Zahrnuje strategický plán část popisující jak IT může podpořit tvorbu hodnot? Je strategický plán podporován taktickým operativním plánem, který bere v úvahu požadavky na IT a jeho dodávky? Používají se prováděcí metriky (KPI) pro hodnocení a monitoring efektivnosti funkce IT? Jsou strategická rozhodování podložena na správné CBA a hodnotí se po realizaci, že bylo dosaženo zamýšlené ROI? Existuje vazba mezi ukončenými investicemi do IT a budoucím rozhodování o investicích formou „lessons learned“ Je vedeni IT kvalifikované a zkušené?
Komp.4: Dodávka služeb a metriky Mají statutární orgány informace o skutečných nákladech na IT a jejich vazbách na dosahování cílů? Používají se ukazatele pro hodnocení hodnoty IT a hodnoty jejích služeb? Jaké? Porovnávají se náklady s náklady v podobných organizacích? Hodnotí se fungování CIO pomocí finančních a nefinančních dat? Je přehled o způsobech poskytování služeb IT (IT sourcing) a jak se měří, hodnotí a monitoruje?
Komp.5: IT organizace a řízení rizik V jaké míře jsou procesy organizace automatizovány? Jak je komplexní infrastruktura IT a kolik se používá aplikací? Jsou data standardizována a snadno se sdílí napříč organizací (a IT infrastrukturou)? Exitují standardy týkající se HW, SW, pořizování IT služeb, kontrol, procesů? Jak jsou zralé It procesy a exitují nějaké rámce, které se aplikují? (např. COBIT IT Governance Framework, ITIL IT Service Management framework, ISO 20000)? Jak se řídí rizika ve vazbě na potřeby organizace, bezpečnost, soulad s regulacemi? Jaká je strategická důležitost IT?
Klíčové oblasti ITG (Cobit 4.1) 3 Drivers: Propojení strategií Řízení zdrojů Měření výkonu 2 Výstupy: Realizace hodnot Řízení rizik
Jak implementovat ITG? (Cobit 5 Implementation)
Příklad popisu každé fáze
Faktory, které jsou nejčastější příčinou neúspěchu zavádění ITG Zdroj: https://net.educause.edu/ir/library/pdf/ers0805/rs/ers08056.pdf
Faktory, které jsou nejčastější příčinou úspěchu zavádění ITG Zdroj: https://net.educause.edu/ir/library/pdf/ers0805/rs/ers08056.pdf
Jaký je současný stav ITG v praxi Jaký je současný stav ITG v praxi? From cyber security to IT Governance Protiviti IT Audit benchmarking survey 2014 http://www.protiviti.com/en-US/Documents/Surveys/4th-Annual-IT-Audit-Benchmarking-Survey-ISACA-Protiviti.pdf
Governance of Enterprise IT COBIT: Governance of Enterprise IT (GEIT) 2005/7 2000 1998 Evolution of scope 1996 Governance of Enterprise IT COBIT 5 IT Governance COBIT4.0/4.1 Management COBIT3 Val IT 2.0 (2008) Control COBIT2 Risk IT (2009) Audit COBIT1 2012 A business framework from ISACA, at www.isaca.org/cobit Source: COBIT® 5 Introduction Presentation © 2012 ISACA® All rights reserved.
2.1 Standardy – Perspektiva funkce/profese/útvaru ITAF – IT Assurance Framework IPPF – International Professional Practices Framework SSAE – Statements on Standards for Attestation
ITAF ITAF je komplexní model vycházejí z best practice pro provádění auditů IS : Zavádí standardy určené profesionálům v oblasti auditu /ujištění IS s cílem definovat jejich odpovědnosti, znalosti a dovednosti, postupy provádění auditů a náležitosti auditorských zpráv. Definuje termíny a koncepty specifické pro ujištění v oblasti IS Poskytuje návody, nástroje a techniky pro plánování, návrh a reporting
Struktura dokumentu ITAF ITAF obsahuje standardy ve třech kategoriích: General standards (řada 1000) – návody, kterými se musí řídit IS profesionál při ujištění. Týkají se etiky práce, nezávislosti, objektivity stejně jako znalostmi, kompetencemi a dovednostmi Performance standards (řada 1200) – standardy pro realizaci práce, jako například plánování a supervize, určování rozsahu prací, řízení rizik a principvýznamnosti, náležitosti dokumentace atd Reporting standards (řada 1400 ) – popisuje druhy výstupů, způsob komunikace IS Audit and Assurance Tools and Techniques(sekce 3000), poskytuje informace o různých metodologiích, nástrojích a vzorech a popisuje způsob jejich aplikace. Tyto informace mohou mít různou formu (diskusní materiály, white papers, programy pro konkrétní druhy auditů, knihy.
Profesionální etický kód Majitelé certifikací ISACA musí: Support the implementation of, and encourage compliance with, appropriate standards and procedures for the effective governance and management of enterprise information systems and technology, including: audit, control, security and risk management. Perform their duties with objectivity, due diligence and professional care, in accordance with professional standards. Serve in the interest of stakeholders in a lawful manner, while maintaining high standards of conduct and character, and not discrediting their profession or the Association. Maintain the privacy and confidentiality of information obtained in the course of their activities unless disclosure is required by legal authority. Such information shall not be used for personal benefit or released to inappropriate parties. Maintain competency in their respective fields and agree to undertake only those activities they can reasonably expect to complete with the necessary skills, knowledge and competence. Inform appropriate parties of the results of work performed including the disclosure of all significant facts known to them that, if not disclosed, may distort the reporting of the results. Support the professional education of stakeholders in enhancing their understanding of the governance and management of enterprise information systems and technology, including: audit, control, security and risk management.
Institut interních auditorů (theiia Institut interních auditorů (theiia.org) IPPF - International Professional Practices Framework Mandatory Guidance Core Principles for the Professional Practice of Internal Auditing Definition of Internal Auditing Code of Ethics International Standards for the Professional Practice of Internal Auditing (Standards) Recommended guidance Implementation Guidance Implementation Guides and Practice Advisories assist internal auditors in applying theStandards. They collectively address internal auditing's approach, methodologies, and consideration, but do not detail processes or procedures. Supplemental Guidance General Public sector GTAG (Global Technology Audit Guides) GAIT Guide to the Assessment of IT Risk (GAIT) Guidance Topics and Resources Audit Committee Resource Exchange CBOK Resource Exchange COSO Resource Exchange Risk Resource Exchange
Implementation Guidance - příklady IG1000 NEW! IG1000: Purpose, Authority, and Responsibility (Supersedes: PA1000-1 Internal Audit Charter) July 2015 1110-1 Organizational Independence January 2009 1111-1 Board Interaction 1120-1 Individual Objectivity 1130-1 Impairment to Independence or Objectivity 1130.A1-1 Assessing Operations for Which Internal Auditors Were Previously Responsible 1130.A2-1 Internal Audit’s Responsibility for Other (Non-audit) Functions 1200-1 Proficiency and Due Professional Care 1210-1 Proficiency 1210.A1-1 Obtaining External Service Providers to Support or Complement the Internal Audit Activity 1220-1 Due Professional Care 1230-1 Continuing Professional Development 1300-1 NEW! Quality Assurance and Improvement Program May 2015 1311-1 NEW! Internal Assessments 1312-1 NEW! External Assessments 1312-2 NEW! External Assessments: Self Assessment with Independent Validation 1312-3 NEW! Independence of External Assessment Team in the Private Sector 1312-4 NEW! Independence of the External Assessment Team in the Public Sector 1320-1 NEW! Reporting Results of the Quality Assurance and Improvement Program May 2015 1321-1 NEW! Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing” 1322-1 NEW! Disclosure of Nonconformance with the International Standards for the Professional Practice of Internal Auditing (Standards)
Suplemental Guidance - GTAG GTAG 17: Auditing IT Governance July 2012 GTAG 16: Data Analysis Technologies August 2011 GTAG 15: Information Security Governance June 2010 GTAG 14: Auditing User-developed Applications June 2010 GTAG 13: Fraud Prevention and Detection in an Automated World December 2009 GTAG 12: Auditing IT Projects March 2009 GTAG 11: Developing the IT Audit Plan January 2009 GTAG 10: Business Continuity Management GTAG 9: Identity and Access Management GTAG 8: Auditing Application Controls GTAG 7: Information Technology Outsourcing, 2nd Edition June 2012 PLEASE NOTE: GTAG 6 has been deleted from the IPPF. Some of its concepts are combined with the 2nd edition of GTAG 4.Some of its concepts are combined with the 2nd edition of GTAG 4. DELETED January 2013 GTAG 5: Managing and Auditing Privacy Risks PLEASE NOTE: GTAG 5 has been replaced by the Auditing Privacy Risks, 2nd Edition Practice Guide. REPLACED July 2012 GTAG 4: Management of IT Auditing, 2nd Edition January 2013 NEW! GTAG 3: Continuous Auditing: Coordinating Continuous Auditing and Monitoring to Provide Continuous Assurance, 2nd Edition March 2015 GTAG 2: Change and Patch Management Controls: Critical for Organizational Success, 2nd Edition March 2012 GTAG 1: Information Technology Risk and Controls, 2nd Edition March 2012
Suplemental Guidance – GAIT Guide to the Assessment of IT Risk GAIT Methodology January 2009 GAIT for IT General Control Deficiency Assessment January 2009 GAIT for Business and IT Risk January 2009
SSAE 16– Statements on Standards for Attestation Statement on Standards for Attestation Engagements (SSAE) No. 16, Určena pro hodnocení kontrol u organizací poskytovatelů služeb nezávislými auditory Týká se především poskytovatelů služeb zpracování transakcí finančního charakteru (vazba na finanční audit) Nahradila normu SAS 70 (15. červen 2011) Vazba na ISAE 3402 (International Standard on Assurance Engagements, Assurance Reports on Controls at a Service Organization v rámci International Federation of Accountants (IFAC)).
SSAE 16 – Type 1 Report Obsah Popis systémů organizace poskytovatele služeb Písemné prohlášení managementu organizace poskytovatele, že k určitému datu systém poskytování služeb byl navržen tak, aby splňoval cíle kontrol Auditorská zpráva nezávislého auditora
SSAE16 – Type 2 Report Obsah Popis systémů organizace poskytovatele služeb Písemné prohlášení managementu organizace poskytovatele, že v určitém časovém rozmezí systém poskytování služeb byl navržen a fungoval tak, aby splňoval cíle kontrol Auditorská zpráva nezávislého auditora
Interní kontrola finančního reportingu SOC1 Report SOC2 Report SOC3 Report Předmět Interní kontrola finančního reportingu Podrobná kontrola bezpečnosti provozu IT Globální kontrola bezpečnosti provozu IT Uživatelé Detailní zpráva určená pro uživatele a jejich auditory Detailní zpráva určená pro uživatele, jejich auditory a další určené strany Stručná zpráva určená veřejnosti (možnost zveřejnění na webu) Druhy systémů Třídy transakcí Procedury zpracování a reportování Účetní data Příprava reportů pro uživatele Další významné události a podmínky kromě zpracování finančních transakcí Infrastruktura Software Procedury Lidé Data Druhy kontrol Kontroly zpracování transakcí Podpůrné obecné kontroly IT (v některých případech se může zaměřit jen na obecné IT kontroly) Důvěrnost Integrita Dostupnost Obsah zprávy Popis systému poskytovatele Výrok týkající se zavedení, provozu a efektivnosti kontrol U type 2 zprávy: popis testů kontrol a výsledků Výrok zda organizace poskytovatele udržuje efektivní systém kontrol Další návody AICPA Guide Service Organizations: Reporting on Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting Guide AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy AT 101, Attestation Engagements AICPA Technical Practice Aid,
Příklad Pokud organizace poskytuje služby formou outsourcingu, které ovlivňují finanční údaje zákazníka, bude nutné, aby organizace získala SSAE 16 SOC1 report typu 2, zvláště v tom případě, kdy je organizace zákazníka obchodována na akciových trzích