Řízení kvality (audit) IS Doc. Ing. Vlasta Svatá, CSc. svata@vse.cz
Osnova Druhy ujištění/auditu Problémy ujištění/auditu Institucionální zabezpečení Obsah auditu - domény
Definice auditu IS Proces, který se zabývá posuzováním a poradenstvím objektů v prostředí, kde se používají informační technologie. Jeho cílem je kvalitativně a/nebo kvantitativně přispět ke správné organizaci informačního systému tak, aby byly splněny požadavky uživatelů. Objekty mohou být organizace a řízení IS, základní i aplikační software, technické vybavení, telekomunikační systémy, procesy tvorby a údržby systémů, ochrana a bezpečnost systému, data (databáze) apod.
Kořeny auditu IS Statutární/finanční audit audit souladu (compliance audit) provozní audit (operations audit) audit výkonu (performance audit)
Compliance/conformance audit (soulad, shoda) Audit shody je komplexní kontrola dodržování organizace platných právních předpisů "Compliance" je schopnost fungování organizace v souladu s regulací (jedna specifická regulace) „Conformance" je schopnost fungování organizace v souladu s více regulacemi (soubor kritérií) V praxi tyto pojmy jsou zaměňují
Provozní audit Hodnocení specifických aktivit v rámci organizace a jejich přínosu k růstu společnosti (IT, logistika, marketing, zásobování,…) Ujištění o KPI organizace IT velký vliv na rozvoj společností – audit IS zvláštní důležitost
Audit výkonu Hodnocení "tří E", a to: Účelnosti - dělat správné věci v souladu se strategií Účinnost – dělat věci správně – s co nejmenšími zdroji Ekonomika – zajišťovat rovnováhu mezi přínosy a náklady To přesahuje problematiku interních kontrol, protože vedení nedosahuje svých cílů pouhým souladem s regulacemi
Druhy auditu/ujištění Hledisko komplexnosti Hledisko realizátora Hledisko objektu hodnocení Hledisko úrovně řízení Hledisko časové Hledisko metodologie
Druhy auditu/ujištění 1. Hledisko komplexnosti Assurance Komplexní nezávislé prověření kontrol, které jsou delegovány na jiné subjekty (existence, realizace, efektivnosti) vzhledem k cílům řízení Audit Examination Komplexní, formalizované nezávislé prověření kontrol (existence, realizace, efektivnosti) vzhledem k existujícím standardům Systematický proces realizovaný kompetentní nezávislou osobou, která objektivně hodnotí a získává důkazy o entitě, události, procesu, interní kontrole za účelem formulace výroku a zpracování zprávy, která určuje míru souladu tvrzení o objektu s určeným kritériem (standardem, sadou standardů) Prověrka Review V porovnání s auditem nižší forma ujištění, jejímž cílem je prověření existence možných překážek negativně ovlivňujících kontroly (negativního ujištění) Dohodnutá procedura Agreed-upon procedures Třetí strana (zadavatel) a auditor souhlasí s provedením určitých činností, jejichž cílem je získat dostatečné důkazy, na které se třetí strana spolehne a provede na jejich základě závěry/rozhodnutí Kontrola Control objective, control Prověření dílčích aspektů, jevů, procesů s předem určenou hodnotou. Jeden kontrolní cíl může být zajištěn řadou různých kontrol
Rozdíly v komplexnosti Druhy auditu Porovnávání Testování /verifikace Úroveň důkazů Závěry/ výrok Provádí Examination (audit) ano vysoká Nezávislý odborník Review Omezené žádné malá Ne „Negativní“ závěry: Neobjevili jsme nic, co by nasvědčovalo, že tvrzení o objektu nejsou pravdivá ?? Agreed-upon procedura Podle požadavků třetí strany (někdy i větší než při examination) Ne, dělá si ho třetí strana 17.9.2015 NKÚ
Výrok auditora Nekvalifikovaný výrok (bez výhrad) – důkazy auditu potvrzují ve všech aspektech očekávání a soulad s kritérii Kvalifikovaný výrok (s výhradou) – důkazy auditu odráží, co se očekává s určitými nedostatky, které ale celkově významně neovlivňují příznivý výsledek (součástí zprávy musí být vysvětlení) Záporný výrok – důkazy audity nepotvrzují očekávání a soulad s kritérii (nejsou zavedeny adekvátní kontroly, nebo existuje velká pravděpodobnost, že cíle kontrol nejsou splněny) Zřeknutí se výroku – stanovisko nemůže být poskytnuto z důvodu nedostatečných důkazů (možný vliv nedetekovaných slabin může být zásadní)
Druhy auditu/ujištění 2. Hledisko realizátora Zákaznické Nezávislé Pozn.: CISA Study Guide rozlišuje externí a nezávislé (independent) audity: Externí : (zákaznické) realizují se mezi dodavateli a zákazníky organizace (ověření integrity transakcí, interních kontrol, souladu se společnými regulacemi, …) Nezávislé: (třetí stranou) jdou mimo vztah zákazník-dodavatel (licenční, certifikační, ověření kvality produktů)
Interní ujištění/audit Externí ujištění/audit Charakteristika Sebehodnocení Interní ujištění/audit Externí ujištění/audit Požadavek nezávislosti Nepožadován nebo negarantován Správné začlenění/ organizace útvaru auditu Smluvně zabezpečit a ověřovat Uživatel (zainteresovaná strana) Business a IT manažeři na různých úrovních řízení Exekutiva, výbor auditu, operativní management Statutární orgány, obecně organizace jako celek Odpovědná strana Odpovědní zaměstnanci za objekt ujištění (IT manažer, administrátoři, vlastníci IT procesů, vývojáři,…. Business manažeři, vlastníci business procesů, aplikací, uživatelé Představenstvo a exekutiva Auditor/assurance profesionál Útvar interního auditu Externí auditor Formát zprávy a požadavky Volný formát Požadavek interní konzistence Požadavek interní konzistence ve vazbě na profesionální standardy Vysoce regulovaný/standardi-zovaný Určující pravidla/standardy Standardní postupy vycházející z dobré praxe Profesní standardy a etický kód Soulad s profesními standardy a etickým kódem zajištěn, kontrolován a udržován Spolehlivost (důvěryhodnost) Nejnižší Závisí na dovednostech a objektivitě hodnotitelů Střední Závisí na dovednostech a objektivitě interního auditu a spolupráci s odpovědnou stranou Maximální
Druhy auditu/ujištění 3. Hledisko objektu Audit obecných kontrol – hodnocení adekvátnosti a testování jejich efektivnosti. Mohou být zaměřené na určitý typ obecných kontrol a praktik (např. řízení změn, zálohování a obnova systémů), nebo skupinu kontrol Audit aplikací – audity zaměřené především na bezpečnost systémů, nebo na určitý aspekt aplikací (integrita dat, ukládání a obnova dat, provozní hodnota) Audit vývoje systémů – tři formy: Prověrka/review - používané metodologie Audit/examination vývoje a implementace určité aplikace Audit/examination dílčích výstupů a kontrol v jednotlivých fázích vývoje systémů Technický nebo specializovaný audit – omezený rozsah a technické cíle, jsou specifičtější v porovnání s audity obecných kontrol, mohou mít formu auditu nebo prověrky (např. audit konfigurace firewallu, aplikace)
Druhy auditu/ujištění 4. Hledisko úrovně řízení Objektivní realita, fyzické procesy IS Data/informace účetní i-ce 1.stupně Správnost a úplnost odrazu Technický formální audit Systém řízení VŠ (interní standardy) informace 2.stupně Soulad,účinnost a účelnost IS vzhledem k cílům SŘ ČR – MŠ (standardy ČR) Soulad, účinnost a účelnost vzhledem k cílům ČR EU direktivy, čerpání zdrojů z EU Soulad, účinnost a účelnost vzhledem k cílům EU Profesionální audit Interní audit Externí audit
Druhy auditu/ujištění 5. Aspekt času Jednorázový audit Opakující se audit Audit projektu – etapy projektu Audit informační bezpečnosti – certifikační audit Předauditní činnosti Počáteční audit Udržovací audity Recertifikační audit Průběžný audit (vysoká automatizace)
Druhy auditu/ujištění 6. Metodologie Hledisko metodologické substantivní audit – předmětem jsou transakce, audit založený na kontrolách – z množiny doporučených kontrol auditor vybírá relevantní Audit založený na riziku – auditor provádí RA a na jejím základě vybírá relevantní kontroly procesně orientovaný audit Hledisko vazby na právní systém (soudy, kriminální akty) nebo jiné aktivity forenzní (soudní) audit „due dilligence“ audit - součástí investičního rozhodování ostatní – nejsou součástí soudní pře, kriminálního aktu, investičních rozhodování
Různé druhy ujištění pro různé stakeholdery Kombinované ujištění (Combined Assurance) Tři linie obrany: Provozní manažeři – interní kontroly Funkce řízení rizik a souladu (bezpečnost IT) Interní a externí audit Postup: Vytvořit registr stakeholderů, rizik a kontrol v celé organizaci Mapování všech rizik na všechny úrovně ujištění (linie obrany)
MetricStream program
2. Problémy auditu Statutárního: Zelená kniha - Politika v oblasti auditu: poučení z krize, 2010
Problémy auditu IS Problém postavení v České republice Problém komplexnosti a dynamického vývoje objektu auditu (informační systémy, informační technologie), Problém kriterií potřebných pro objektivní hodnocení a závěry auditu.
1. Problém postavení auditu v ČR Pro správné fungování auditu musí být v souladu tyto aspekty: aspekt ekonomický aspekt informační aspekt motivační aspekt právní, procesní aspekt Rozpor mezi očekáváním zadavatele auditu IS a možnostmi auditora
2. Problém komplexnosti IS OBJEKT-IS AUDIT IS Různé druhy auditu Úroveň testů Různé druhy objektů (procesy, funkce, komponenty IS atd.) Úroveň dekompozice (globál, detail) Problém dekompozice Získání - seznámení se se stávajícím stavem hodnocení -znalost žádoucího stavu prověření -analýza rozdílů zdůvodnění –zpráva,doporučení Problém životního cyklu Plánování a organizace Pořízení a implementace Dodávka a podpora Monitorování
Problém kriterií Kriterií v oblasti IS/IT (standardů, zákonů, norem atd.) je hodně, překrývají se, různá forma Pro některé oblasti chybějí a musejí se vytvářet při auditu ve spolupráci s managementem organizací (např. co je kvalitní IS, co je bezpečný IS pro danou organizaci) Je nepopulární se je učit 17.9.2015 NKÚ
3. Institucionální zabezpečení auditorské profese Na úrovni mezinárodní Na úrovni národní Na úrovni organizace
Mezinárodní úroveň Název Zkratka Kontakt Popis Information Systems Audit and Control Association ISACA www. isaca.org Mezinárodní organizace pro oblast auditu, řízení, kontroly a bezpečnosti informačních systémů Institute for Internal Auditors IIA www.theiia.org Organizace zabývající se profesí interního auditora International Organisation of Supreme Audit Institutions WG Group on IT Audit – India INTOSAI www.intosai.org Zastřešující organizace pro instituce zabývající se externími audity státních organizací (tzv. SAI Supreme Audit Institutions, v ČR Nejvyšší kontrolní úřad) International Federation of Accountants IFAC www.ifac.org Vytváří mezinárodní standardy a návody pro profesionály v oblasti účetnictví a auditu American Institute of Certified public Accountants AICPA www.aicpa.org Největší asociace účetních profesionálů vydávající auditorské standardy vhodné pro všechny typy organizací
Národní úroveň Český institut interních auditorů www.ciia.cz Komora auditorů České republiky www.kacr.cz ISACA Czech Republic Chapter www.isaca.cz Deloitte &Touch www.deloitte.com Ernst &Young www.ey.com KPMG www.kpmg.com PWC www.pwc.com
Zabezpečení na úrovni organizace Útvar interního auditu Může mít vlastní oddělení pro audit IS (řízení bezpečnosti IS) Jeden člověk odpovědný za audit IS
ISACA Nezávislá, nezisková, globální asociace, která se zabývá rozvojem, zaváděním a používáním špičkových znalostí a postupů pro oblast IS na mezinárodní úrovni. Dříve známá pod celým jménem Information Systems Audit and Control Association, nyní pouze zkratka, protože se její zájem rozšířil do oblasti IT Governance ISACA byla založena v roce 1969 malou skupinou jednotlivců, kteří rozpoznali důležitost jednotného řízení auditu kontrol počítačového zpracování V současné době ISACA slouží 140,000 odborníků v 180 zemích
Domény 1970 % Domény 2000 CISA Domény 2009 Domény 2013 2016 Standardy a postupy auditu 8 Postupy auditu 10 Proces auditu IS 14 21 Organizace a řízení IS 15 Řízení plánování a organizace IS 11 IT Governance Governance a řízení IT 16 Provoz IS 22 Technická infrastruktura a provoz 13 Dodávka a podpora IT služeb Provoz, údržba a podpora IS 23 20 Integrita, důvěrnost a bezpečnost IS 29 Ochrana informačních aktiv 25 31 30 Obnova systému a podnikatelských aktivit po katastrofách Tvorba, pořízení a údržba programového vybavení 26 Tvorba, pořízení, implementace a údržba aplikačních systémů Řízení životního cyklu systémů a infrastruktury Pořízení, vývoj a implementace IS 19 18 Rozvoj podnikatelských procesů a řízení rizika