Řízení kvality (audit) IS

Slides:



Advertisements
Podobné prezentace
Informační systém krizového řízení kraje
Advertisements

Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec,
KONTROLA zpracovala: Ing. Jaroslava Teuberová Náchod, dne
HISTORICKÝ VÝVOJ 1900 Výrobková normalizace, vojenský průmysl
13. Koordinace projektů Realizace změn Koordinace projektů
IS V EKONOMICKÝCH SUBJEKTECH Ing. Jiří Šilhán. IS IS – data+lidi+HW, prvky + relace mezi uživateli, které splňují nějaké cílové chování – tak aby byly.
Facility management ČSN EN
Riziko a významnost v auditu
TEORETICKÉ OTÁZKY BEZPEČNOSTI
Efektivní informační bezpečnost
Aktivita číslo 5 Návrh a zavedení systému centrální administrace a řízení projektů Zvýšení kvality řízení na Krajském úřadě Plzeňského kraje.
Daniel Kardoš Ing. Daniel Kardoš
Postavení a úkoly manažera v oblasti řízení lidských zdrojů podniku
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace
3. Životní cyklus a procesy projektu
12. OPERATIVNÍ MANAGEMENT
Inovace výuky ve vazbě na požadavky Mezinárodních výukových standardů doc. Ing. Marie Pospíšilová,CSc. SVŠES.
Auditorské postupy Činnosti před uzavřením smlouvy
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Jaromír Skorkovský ESF MU KAMI
Audit seminář CGI duben 2014.
Marie Borecká, Kristina Ficencová 6. kruh, 1. ročník VSRR
Systém managementu jakosti
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
Daniel Kardoš Ing. Daniel Kardoš
Komponent 3 Situační analýza 3.1 Komunikační strategie 3.2 Zlepšování přístupnosti a obsahu informací na Internetu 3.3 Model vzdělávání Podpůrné dokumenty.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Reinženýring cesta ke zvyšování výkonnosti státní správy s využitím procesního řízení Ing. Martin Čulík Notes CS a.s. Konference ISSS 2003 Hradec Králové.
Analýza rizik Miroslav Čermák.
Realizační tým ICZ duben 2005
Systém dalšího vzdělávání pracovníků výzkumu a vývoje v MS kraji a jeho realizace Projekt A6 Rozpočet a plánování tvorby projektů a jejich následná realizace.
Systémy řízení jakosti - úvodní cvičení
Management jakosti jako úhelný kámen provozu klinické laboratoře
RNDr. Jana Sýkorová SOŠ a SOU technické, Třemošnice, Sportovní 322
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Základní rozdělení činností v podnikové informatice
1 Ověřování environmentálních technologií (ETV), cesta na zahraniční trhy , Hustopeče ČESKÉ EKOLOGICKÉ MANAŽERSKÉ CENTRUM
Graduate Recruitment Zakladatelé Deloitte Touche Tohmatsu.
© Ing. V. Šebek, CSc. Řízení projektů a podnikových procesů 1/9 9. Tvorba modelů v procesně řízeném podniku  Způsoby modelování  Základní postupy a role.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Proces řízení kvality projektu Jaromír Štůsek
Prof. Molnár1 Podnikové informační systémy Outsourcing IS/IT a ASP Prof. Ing. Zdeněk Molnár, CSc Ústav řízení a ekonomiky podniku
Reporting.
1 14.Postakviziční integrace-jaké kroky se mají učinit po podpisu kupní smlouvy Kateřina Čepeláková, E-72 Šk.rok:2009/2010.
6. Koncepce řízení projektů
Systém řízení moderního podniku Management system of modern company
2. Životní cyklus a procesy projektu
IAF MD 18:2015 Aplikace ISO/IEC 17021:2011 v oblasti řízení služeb (ISO/IEC )
BUDOVÁNÍ SYSTÉMŮ MANAGEMENTU
Metodika řízení projektů
Auditorské služby Tomáš Lorenc, Petr Svoboda, Martin Totůšek Martin Totůšek.
BSC 1992 Robert S. Kaplan a David P. Norton článek navrhující měření výkonnosti organizací – BSC – Vyrovnaný přehled výsledků kniha The Balanced.
Řízení kvality (audit) IS BIVŠ ZS 15 Doc. Ing. Vlasta Svatá, CSc.
Sdružení poradců Požadavky ISO 9001:2015 a ISO 14001:2015
INFORMAČNÍ SYSTÉMY PRO KRIZOVÉ ŘÍZENÍ POUŽITÍ INFORMAČNÍCH SYSTÉMŮ PRO MODELOVÁNÍ A SIMULACE KRIZOVÝCH SITUACÍ - T3 ING. JIŘÍ BARTA Operační program Vzdělávání.
Projektové procesy.  Podrobné procesní modely (PMBOK)  Zjednodušený procesní model  COBIT.
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Přechod na ISO 9001:2015 v DIAMO, s. p.
Systém managementu jakosti
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
Edukační standardy Beharková Natália.
Výbor pro audit ing. Bohuslav Poduška, CIA, CRMA
KPV/PIS Websol s.r.o. Jaroslav Plzák Lukáš Choulík Tomáš Kraus.
METODOLOGIE PROJEKTOVÁNÍ
Zkušenosti z řízení a auditu rozsáhlého mezinárodního IS
Obecné nařízení o ochraně osobních údajů
farmakovigilanční audit
Transkript prezentace:

Řízení kvality (audit) IS Doc. Ing. Vlasta Svatá, CSc. svata@vse.cz

Osnova Druhy ujištění/auditu Problémy ujištění/auditu Institucionální zabezpečení Obsah auditu - domény

Definice auditu IS Proces, který se zabývá posuzováním a poradenstvím objektů v prostředí, kde se používají informační technologie. Jeho cílem je kvalitativně a/nebo kvantitativně přispět ke správné organizaci informačního systému tak, aby byly splněny požadavky uživatelů. Objekty mohou být organizace a řízení IS, základní i aplikační software, technické vybavení, telekomunikační systémy, procesy tvorby a údržby systémů, ochrana a bezpečnost systému, data (databáze) apod.

Kořeny auditu IS Statutární/finanční audit audit souladu (compliance audit) provozní audit (operations audit) audit výkonu (performance audit)

Compliance/conformance audit (soulad, shoda) Audit shody je komplexní kontrola dodržování organizace platných právních předpisů "Compliance" je schopnost fungování organizace v souladu s regulací (jedna specifická regulace) „Conformance" je schopnost fungování organizace v souladu s více regulacemi (soubor kritérií) V praxi tyto pojmy jsou zaměňují

Provozní audit Hodnocení specifických aktivit v rámci organizace a jejich přínosu k růstu společnosti (IT, logistika, marketing, zásobování,…) Ujištění o KPI organizace IT velký vliv na rozvoj společností – audit IS zvláštní důležitost

Audit výkonu Hodnocení "tří E", a to: Účelnosti - dělat správné věci v souladu se strategií Účinnost – dělat věci správně – s co nejmenšími zdroji Ekonomika – zajišťovat rovnováhu mezi přínosy a náklady To přesahuje problematiku interních kontrol, protože vedení nedosahuje svých cílů pouhým souladem s regulacemi

Druhy auditu/ujištění Hledisko komplexnosti Hledisko realizátora Hledisko objektu hodnocení Hledisko úrovně řízení Hledisko časové Hledisko metodologie

Druhy auditu/ujištění 1. Hledisko komplexnosti Assurance Komplexní nezávislé prověření kontrol, které jsou delegovány na jiné subjekty (existence, realizace, efektivnosti) vzhledem k cílům řízení Audit Examination Komplexní, formalizované nezávislé prověření kontrol (existence, realizace, efektivnosti) vzhledem k existujícím standardům Systematický proces realizovaný kompetentní nezávislou osobou, která objektivně hodnotí a získává důkazy o entitě, události, procesu, interní kontrole za účelem formulace výroku a zpracování zprávy, která určuje míru souladu tvrzení o objektu s určeným kritériem (standardem, sadou standardů) Prověrka Review V porovnání s auditem nižší forma ujištění, jejímž cílem je prověření existence možných překážek negativně ovlivňujících kontroly (negativního ujištění) Dohodnutá procedura Agreed-upon procedures Třetí strana (zadavatel) a auditor souhlasí s provedením určitých činností, jejichž cílem je získat dostatečné důkazy, na které se třetí strana spolehne a provede na jejich základě závěry/rozhodnutí Kontrola Control objective, control Prověření dílčích aspektů, jevů, procesů s předem určenou hodnotou. Jeden kontrolní cíl může být zajištěn řadou různých kontrol

Rozdíly v komplexnosti Druhy auditu Porovnávání Testování /verifikace Úroveň důkazů Závěry/ výrok Provádí Examination (audit) ano vysoká Nezávislý odborník Review Omezené žádné malá Ne „Negativní“ závěry: Neobjevili jsme nic, co by nasvědčovalo, že tvrzení o objektu nejsou pravdivá ?? Agreed-upon procedura Podle požadavků třetí strany (někdy i větší než při examination) Ne, dělá si ho třetí strana 17.9.2015 NKÚ

Výrok auditora Nekvalifikovaný výrok (bez výhrad) – důkazy auditu potvrzují ve všech aspektech očekávání a soulad s kritérii Kvalifikovaný výrok (s výhradou) – důkazy auditu odráží, co se očekává s určitými nedostatky, které ale celkově významně neovlivňují příznivý výsledek (součástí zprávy musí být vysvětlení) Záporný výrok – důkazy audity nepotvrzují očekávání a soulad s kritérii (nejsou zavedeny adekvátní kontroly, nebo existuje velká pravděpodobnost, že cíle kontrol nejsou splněny) Zřeknutí se výroku – stanovisko nemůže být poskytnuto z důvodu nedostatečných důkazů (možný vliv nedetekovaných slabin může být zásadní)

Druhy auditu/ujištění 2. Hledisko realizátora Zákaznické Nezávislé Pozn.: CISA Study Guide rozlišuje externí a nezávislé (independent) audity: Externí : (zákaznické) realizují se mezi dodavateli a zákazníky organizace (ověření integrity transakcí, interních kontrol, souladu se společnými regulacemi, …) Nezávislé: (třetí stranou) jdou mimo vztah zákazník-dodavatel (licenční, certifikační, ověření kvality produktů)

Interní ujištění/audit Externí ujištění/audit Charakteristika Sebehodnocení Interní ujištění/audit Externí ujištění/audit Požadavek nezávislosti Nepožadován nebo negarantován Správné začlenění/ organizace útvaru auditu Smluvně zabezpečit a ověřovat Uživatel (zainteresovaná strana) Business a IT manažeři na různých úrovních řízení Exekutiva, výbor auditu, operativní management Statutární orgány, obecně organizace jako celek Odpovědná strana Odpovědní zaměstnanci za objekt ujištění (IT manažer, administrátoři, vlastníci IT procesů, vývojáři,…. Business manažeři, vlastníci business procesů, aplikací, uživatelé Představenstvo a exekutiva Auditor/assurance profesionál Útvar interního auditu Externí auditor Formát zprávy a požadavky Volný formát Požadavek interní konzistence Požadavek interní konzistence ve vazbě na profesionální standardy Vysoce regulovaný/standardi-zovaný Určující pravidla/standardy Standardní postupy vycházející z dobré praxe Profesní standardy a etický kód Soulad s profesními standardy a etickým kódem zajištěn, kontrolován a udržován Spolehlivost (důvěryhodnost) Nejnižší Závisí na dovednostech a objektivitě hodnotitelů Střední Závisí na dovednostech a objektivitě interního auditu a spolupráci s odpovědnou stranou Maximální

Druhy auditu/ujištění 3. Hledisko objektu Audit obecných kontrol – hodnocení adekvátnosti a testování jejich efektivnosti. Mohou být zaměřené na určitý typ obecných kontrol a praktik (např. řízení změn, zálohování a obnova systémů), nebo skupinu kontrol Audit aplikací – audity zaměřené především na bezpečnost systémů, nebo na určitý aspekt aplikací (integrita dat, ukládání a obnova dat, provozní hodnota) Audit vývoje systémů – tři formy: Prověrka/review - používané metodologie Audit/examination vývoje a implementace určité aplikace Audit/examination dílčích výstupů a kontrol v jednotlivých fázích vývoje systémů Technický nebo specializovaný audit – omezený rozsah a technické cíle, jsou specifičtější v porovnání s audity obecných kontrol, mohou mít formu auditu nebo prověrky (např. audit konfigurace firewallu, aplikace)

Druhy auditu/ujištění 4. Hledisko úrovně řízení Objektivní realita, fyzické procesy IS Data/informace účetní i-ce 1.stupně Správnost a úplnost odrazu Technický formální audit Systém řízení VŠ (interní standardy) informace 2.stupně Soulad,účinnost a účelnost IS vzhledem k cílům SŘ ČR – MŠ (standardy ČR) Soulad, účinnost a účelnost vzhledem k cílům ČR EU direktivy, čerpání zdrojů z EU Soulad, účinnost a účelnost vzhledem k cílům EU Profesionální audit Interní audit Externí audit

Druhy auditu/ujištění 5. Aspekt času Jednorázový audit Opakující se audit Audit projektu – etapy projektu Audit informační bezpečnosti – certifikační audit Předauditní činnosti Počáteční audit Udržovací audity Recertifikační audit Průběžný audit (vysoká automatizace)

Druhy auditu/ujištění 6. Metodologie Hledisko metodologické substantivní audit – předmětem jsou transakce, audit založený na kontrolách – z množiny doporučených kontrol auditor vybírá relevantní Audit založený na riziku – auditor provádí RA a na jejím základě vybírá relevantní kontroly procesně orientovaný audit Hledisko vazby na právní systém (soudy, kriminální akty) nebo jiné aktivity forenzní (soudní) audit „due dilligence“ audit - součástí investičního rozhodování ostatní – nejsou součástí soudní pře, kriminálního aktu, investičních rozhodování

Různé druhy ujištění pro různé stakeholdery Kombinované ujištění (Combined Assurance) Tři linie obrany: Provozní manažeři – interní kontroly Funkce řízení rizik a souladu (bezpečnost IT) Interní a externí audit Postup: Vytvořit registr stakeholderů, rizik a kontrol v celé organizaci Mapování všech rizik na všechny úrovně ujištění (linie obrany)

MetricStream program

2. Problémy auditu Statutárního: Zelená kniha - Politika v oblasti auditu: poučení z krize, 2010

Problémy auditu IS Problém postavení v České republice Problém komplexnosti a dynamického vývoje objektu auditu (informační systémy, informační technologie), Problém kriterií potřebných pro objektivní hodnocení a závěry auditu.

1. Problém postavení auditu v ČR Pro správné fungování auditu musí být v souladu tyto aspekty: aspekt ekonomický aspekt informační aspekt motivační aspekt právní, procesní aspekt Rozpor mezi očekáváním zadavatele auditu IS a možnostmi auditora

2. Problém komplexnosti IS OBJEKT-IS AUDIT IS Různé druhy auditu Úroveň testů Různé druhy objektů (procesy, funkce, komponenty IS atd.) Úroveň dekompozice (globál, detail) Problém dekompozice Získání - seznámení se se stávajícím stavem hodnocení -znalost žádoucího stavu prověření -analýza rozdílů zdůvodnění –zpráva,doporučení Problém životního cyklu Plánování a organizace Pořízení a implementace Dodávka a podpora Monitorování

Problém kriterií Kriterií v oblasti IS/IT (standardů, zákonů, norem atd.) je hodně, překrývají se, různá forma Pro některé oblasti chybějí a musejí se vytvářet při auditu ve spolupráci s managementem organizací (např. co je kvalitní IS, co je bezpečný IS pro danou organizaci) Je nepopulární se je učit 17.9.2015 NKÚ

3. Institucionální zabezpečení auditorské profese Na úrovni mezinárodní Na úrovni národní Na úrovni organizace

Mezinárodní úroveň Název Zkratka Kontakt Popis Information Systems Audit and Control Association ISACA www. isaca.org Mezinárodní organizace pro oblast auditu, řízení, kontroly a bezpečnosti informačních systémů Institute for Internal Auditors IIA www.theiia.org Organizace zabývající se profesí interního auditora International Organisation of Supreme Audit Institutions WG Group on IT Audit – India INTOSAI www.intosai.org Zastřešující organizace pro instituce zabývající se externími audity státních organizací (tzv. SAI Supreme Audit Institutions, v ČR Nejvyšší kontrolní úřad) International Federation of Accountants IFAC www.ifac.org Vytváří mezinárodní standardy a návody pro profesionály v oblasti účetnictví a auditu American Institute of Certified public Accountants AICPA www.aicpa.org Největší asociace účetních profesionálů vydávající auditorské standardy vhodné pro všechny typy organizací 

Národní úroveň Český institut interních auditorů www.ciia.cz Komora auditorů České republiky www.kacr.cz ISACA Czech Republic Chapter www.isaca.cz Deloitte &Touch www.deloitte.com Ernst &Young www.ey.com KPMG www.kpmg.com PWC www.pwc.com

Zabezpečení na úrovni organizace Útvar interního auditu Může mít vlastní oddělení pro audit IS (řízení bezpečnosti IS) Jeden člověk odpovědný za audit IS

ISACA Nezávislá, nezisková, globální asociace, která se zabývá rozvojem, zaváděním a používáním špičkových znalostí a postupů pro oblast IS na mezinárodní úrovni. Dříve známá pod celým jménem Information Systems Audit and Control Association, nyní pouze zkratka, protože se její zájem rozšířil do oblasti IT Governance ISACA byla založena v roce 1969 malou skupinou jednotlivců, kteří rozpoznali důležitost jednotného řízení auditu kontrol počítačového zpracování V současné době ISACA slouží 140,000 odborníků v 180 zemích

Domény 1970 % Domény 2000 CISA Domény 2009 Domény 2013 2016 Standardy a postupy auditu 8 Postupy auditu 10 Proces auditu IS 14 21 Organizace a řízení IS 15 Řízení plánování a organizace IS 11 IT Governance Governance a řízení IT 16 Provoz IS 22 Technická infrastruktura a provoz 13 Dodávka a podpora IT služeb Provoz, údržba a podpora IS 23 20 Integrita, důvěrnost a bezpečnost IS 29 Ochrana informačních aktiv 25 31 30 Obnova systému a podnikatelských aktivit po katastrofách Tvorba, pořízení a údržba programového vybavení 26 Tvorba, pořízení, implementace a údržba aplikačních systémů Řízení životního cyklu systémů a infrastruktury Pořízení, vývoj a implementace IS 19 18 Rozvoj podnikatelských procesů a řízení rizika