Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Řízení kvality (audit) IS

ZveřejnilBedřich Neduchal

Podobné prezentace

Prezentace na téma: "Řízení kvality (audit) IS"— Transkript prezentace:

1 Řízení kvality (audit) IS
Doc. Ing. Vlasta Svatá, CSc.

2 Osnova Druhy ujištění/auditu Problémy ujištění/auditu
Institucionální zabezpečení Obsah auditu - domény

3 Definice auditu IS Proces, který se zabývá posuzováním a poradenstvím objektů v prostředí, kde se používají informační technologie. Jeho cílem je kvalitativně a/nebo kvantitativně přispět ke správné organizaci informačního systému tak, aby byly splněny požadavky uživatelů. Objekty mohou být organizace a řízení IS, základní i aplikační software, technické vybavení, telekomunikační systémy, procesy tvorby a údržby systémů, ochrana a bezpečnost systému, data (databáze) apod.

4 Kořeny auditu IS Statutární/finanční audit
audit souladu (compliance audit) provozní audit (operations audit) audit výkonu (performance audit)

5 Compliance/conformance audit (soulad, shoda)
Audit shody je komplexní kontrola dodržování organizace platných právních předpisů "Compliance" je schopnost fungování organizace v souladu s regulací (jedna specifická regulace) „Conformance" je schopnost fungování organizace v souladu s více regulacemi (soubor kritérií) V praxi tyto pojmy jsou zaměňují

6 Provozní audit Hodnocení specifických aktivit v rámci organizace a jejich přínosu k růstu společnosti (IT, logistika, marketing, zásobování,…) Ujištění o KPI organizace IT velký vliv na rozvoj společností – audit IS zvláštní důležitost

7 Audit výkonu Hodnocení "tří E", a to:
Účelnosti - dělat správné věci v souladu se strategií Účinnost – dělat věci správně – s co nejmenšími zdroji Ekonomika – zajišťovat rovnováhu mezi přínosy a náklady To přesahuje problematiku interních kontrol, protože vedení nedosahuje svých cílů pouhým souladem s regulacemi

8 Druhy auditu/ujištění
Hledisko komplexnosti Hledisko realizátora Hledisko objektu hodnocení Hledisko úrovně řízení Hledisko časové Hledisko metodologie

9 Druhy auditu/ujištění 1. Hledisko komplexnosti
Assurance Komplexní nezávislé prověření kontrol, které jsou delegovány na jiné subjekty (existence, realizace, efektivnosti) vzhledem k cílům řízení Audit Examination Komplexní, formalizované nezávislé prověření kontrol (existence, realizace, efektivnosti) vzhledem k existujícím standardům Systematický proces realizovaný kompetentní nezávislou osobou, která objektivně hodnotí a získává důkazy o entitě, události, procesu, interní kontrole za účelem formulace výroku a zpracování zprávy, která určuje míru souladu tvrzení o objektu s určeným kritériem (standardem, sadou standardů) Prověrka Review V porovnání s auditem nižší forma ujištění, jejímž cílem je prověření existence možných překážek negativně ovlivňujících kontroly (negativního ujištění) Dohodnutá procedura Agreed-upon procedures Třetí strana (zadavatel) a auditor souhlasí s provedením určitých činností, jejichž cílem je získat dostatečné důkazy, na které se třetí strana spolehne a provede na jejich základě závěry/rozhodnutí Kontrola Control objective, control Prověření dílčích aspektů, jevů, procesů s předem určenou hodnotou. Jeden kontrolní cíl může být zajištěn řadou různých kontrol

10 Rozdíly v komplexnosti
Druhy auditu Porovnávání Testování /verifikace Úroveň důkazů Závěry/ výrok Provádí Examination (audit) ano vysoká Nezávislý odborník Review Omezené žádné malá Ne „Negativní“ závěry: Neobjevili jsme nic, co by nasvědčovalo, že tvrzení o objektu nejsou pravdivá ?? Agreed-upon procedura Podle požadavků třetí strany (někdy i větší než při examination) Ne, dělá si ho třetí strana NKÚ

11 Výrok auditora Nekvalifikovaný výrok (bez výhrad) – důkazy auditu potvrzují ve všech aspektech očekávání a soulad s kritérii Kvalifikovaný výrok (s výhradou) – důkazy auditu odráží, co se očekává s určitými nedostatky, které ale celkově významně neovlivňují příznivý výsledek (součástí zprávy musí být vysvětlení) Záporný výrok – důkazy audity nepotvrzují očekávání a soulad s kritérii (nejsou zavedeny adekvátní kontroly, nebo existuje velká pravděpodobnost, že cíle kontrol nejsou splněny) Zřeknutí se výroku – stanovisko nemůže být poskytnuto z důvodu nedostatečných důkazů (možný vliv nedetekovaných slabin může být zásadní)

12 Druhy auditu/ujištění 2. Hledisko realizátora
Zákaznické Nezávislé Pozn.: CISA Study Guide rozlišuje externí a nezávislé (independent) audity: Externí : (zákaznické) realizují se mezi dodavateli a zákazníky organizace (ověření integrity transakcí, interních kontrol, souladu se společnými regulacemi, …) Nezávislé: (třetí stranou) jdou mimo vztah zákazník-dodavatel (licenční, certifikační, ověření kvality produktů)

13 Interní ujištění/audit Externí ujištění/audit
Charakteristika Sebehodnocení Interní ujištění/audit Externí ujištění/audit Požadavek nezávislosti Nepožadován nebo negarantován Správné začlenění/ organizace útvaru auditu Smluvně zabezpečit a ověřovat Uživatel (zainteresovaná strana) Business a IT manažeři na různých úrovních řízení Exekutiva, výbor auditu, operativní management Statutární orgány, obecně organizace jako celek Odpovědná strana Odpovědní zaměstnanci za objekt ujištění (IT manažer, administrátoři, vlastníci IT procesů, vývojáři,…. Business manažeři, vlastníci business procesů, aplikací, uživatelé Představenstvo a exekutiva Auditor/assurance profesionál Útvar interního auditu Externí auditor Formát zprávy a požadavky Volný formát Požadavek interní konzistence Požadavek interní konzistence ve vazbě na profesionální standardy Vysoce regulovaný/standardi-zovaný Určující pravidla/standardy Standardní postupy vycházející z dobré praxe Profesní standardy a etický kód Soulad s profesními standardy a etickým kódem zajištěn, kontrolován a udržován Spolehlivost (důvěryhodnost) Nejnižší Závisí na dovednostech a objektivitě hodnotitelů Střední Závisí na dovednostech a objektivitě interního auditu a spolupráci s odpovědnou stranou Maximální

14 Druhy auditu/ujištění 3. Hledisko objektu
Audit obecných kontrol – hodnocení adekvátnosti a testování jejich efektivnosti. Mohou být zaměřené na určitý typ obecných kontrol a praktik (např. řízení změn, zálohování a obnova systémů), nebo skupinu kontrol Audit aplikací – audity zaměřené především na bezpečnost systémů, nebo na určitý aspekt aplikací (integrita dat, ukládání a obnova dat, provozní hodnota) Audit vývoje systémů – tři formy: Prověrka/review - používané metodologie Audit/examination vývoje a implementace určité aplikace Audit/examination dílčích výstupů a kontrol v jednotlivých fázích vývoje systémů Technický nebo specializovaný audit – omezený rozsah a technické cíle, jsou specifičtější v porovnání s audity obecných kontrol, mohou mít formu auditu nebo prověrky (např. audit konfigurace firewallu, aplikace)

15 Druhy auditu/ujištění 4. Hledisko úrovně řízení
Objektivní realita, fyzické procesy IS Data/informace účetní i-ce 1.stupně Správnost a úplnost odrazu Technický formální audit Systém řízení VŠ (interní standardy) informace 2.stupně Soulad,účinnost a účelnost IS vzhledem k cílům SŘ ČR – MŠ (standardy ČR) Soulad, účinnost a účelnost vzhledem k cílům ČR EU direktivy, čerpání zdrojů z EU Soulad, účinnost a účelnost vzhledem k cílům EU Profesionální audit Interní audit Externí audit

16 Druhy auditu/ujištění 5. Aspekt času
Jednorázový audit Opakující se audit Audit projektu – etapy projektu Audit informační bezpečnosti – certifikační audit Předauditní činnosti Počáteční audit Udržovací audity Recertifikační audit Průběžný audit (vysoká automatizace)

17 Druhy auditu/ujištění 6. Metodologie
Hledisko metodologické substantivní audit – předmětem jsou transakce, audit založený na kontrolách – z množiny doporučených kontrol auditor vybírá relevantní Audit založený na riziku – auditor provádí RA a na jejím základě vybírá relevantní kontroly procesně orientovaný audit Hledisko vazby na právní systém (soudy, kriminální akty) nebo jiné aktivity forenzní (soudní) audit „due dilligence“ audit - součástí investičního rozhodování ostatní – nejsou součástí soudní pře, kriminálního aktu, investičních rozhodování

18 Různé druhy ujištění pro různé stakeholdery
Kombinované ujištění (Combined Assurance) Tři linie obrany: Provozní manažeři – interní kontroly Funkce řízení rizik a souladu (bezpečnost IT) Interní a externí audit Postup: Vytvořit registr stakeholderů, rizik a kontrol v celé organizaci Mapování všech rizik na všechny úrovně ujištění (linie obrany)

19 MetricStream program

20 2. Problémy auditu Statutárního:
Zelená kniha - Politika v oblasti auditu: poučení z krize, 2010

21 Problémy auditu IS Problém postavení v České republice
Problém komplexnosti a dynamického vývoje objektu auditu (informační systémy, informační technologie), Problém kriterií potřebných pro objektivní hodnocení a závěry auditu.

22 1. Problém postavení auditu v ČR
Pro správné fungování auditu musí být v souladu tyto aspekty: aspekt ekonomický aspekt informační aspekt motivační aspekt právní, procesní aspekt Rozpor mezi očekáváním zadavatele auditu IS a možnostmi auditora

23 2. Problém komplexnosti IS
OBJEKT-IS AUDIT IS Různé druhy auditu Úroveň testů Různé druhy objektů (procesy, funkce, komponenty IS atd.) Úroveň dekompozice (globál, detail) Problém dekompozice Získání - seznámení se se stávajícím stavem hodnocení -znalost žádoucího stavu prověření -analýza rozdílů zdůvodnění –zpráva,doporučení Problém životního cyklu Plánování a organizace Pořízení a implementace Dodávka a podpora Monitorování

24 Problém kriterií Kriterií v oblasti IS/IT (standardů, zákonů, norem atd.) je hodně, překrývají se, různá forma Pro některé oblasti chybějí a musejí se vytvářet při auditu ve spolupráci s managementem organizací (např. co je kvalitní IS, co je bezpečný IS pro danou organizaci) Je nepopulární se je učit NKÚ

25 3. Institucionální zabezpečení auditorské profese
Na úrovni mezinárodní Na úrovni národní Na úrovni organizace

26 Mezinárodní úroveň Název Zkratka Kontakt Popis
Information Systems Audit and Control Association ISACA www. isaca.org Mezinárodní organizace pro oblast auditu, řízení, kontroly a bezpečnosti informačních systémů Institute for Internal Auditors IIA Organizace zabývající se profesí interního auditora International Organisation of Supreme Audit Institutions WG Group on IT Audit – India INTOSAI Zastřešující organizace pro instituce zabývající se externími audity státních organizací (tzv. SAI Supreme Audit Institutions, v ČR Nejvyšší kontrolní úřad) International Federation of Accountants IFAC Vytváří mezinárodní standardy a návody pro profesionály v oblasti účetnictví a auditu American Institute of Certified public Accountants AICPA Největší asociace účetních profesionálů vydávající auditorské standardy vhodné pro všechny typy organizací 

27 Národní úroveň Český institut interních auditorů
Komora auditorů České republiky ISACA Czech Republic Chapter Deloitte &Touch Ernst &Young KPMG PWC

28 Zabezpečení na úrovni organizace
Útvar interního auditu Může mít vlastní oddělení pro audit IS (řízení bezpečnosti IS) Jeden člověk odpovědný za audit IS

29 ISACA Nezávislá, nezisková, globální asociace, která se zabývá rozvojem, zaváděním a používáním špičkových znalostí a postupů pro oblast IS na mezinárodní úrovni. Dříve známá pod celým jménem Information Systems Audit and Control Association, nyní pouze zkratka, protože se její zájem rozšířil do oblasti IT Governance ISACA byla založena v roce 1969 malou skupinou jednotlivců, kteří rozpoznali důležitost jednotného řízení auditu kontrol počítačového zpracování V současné době ISACA slouží 140,000 odborníků v 180 zemích

30 Domény 1970 % Domény 2000 CISA Domény 2009 Domény 2013 2016 Standardy a postupy auditu 8 Postupy auditu 10 Proces auditu IS 14 21 Organizace a řízení IS 15 Řízení plánování a organizace IS 11 IT Governance Governance a řízení IT 16 Provoz IS 22 Technická infrastruktura a provoz 13 Dodávka a podpora IT služeb Provoz, údržba a podpora IS 23 20 Integrita, důvěrnost a bezpečnost IS 29 Ochrana informačních aktiv 25 31 30 Obnova systému a podnikatelských aktivit po katastrofách Tvorba, pořízení a údržba programového vybavení 26 Tvorba, pořízení, implementace a údržba aplikačních systémů Řízení životního cyklu systémů a infrastruktury Pořízení, vývoj a implementace IS 19 18 Rozvoj podnikatelských procesů a řízení rizika

Stáhnout ppt "Řízení kvality (audit) IS"

Podobné prezentace

Informační systém krizového řízení kraje

Informační systém krizového řízení kraje
Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec, 13.11.2008.

Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec,
KONTROLA zpracovala: Ing. Jaroslava Teuberová Náchod, dne

KONTROLA zpracovala: Ing. Jaroslava Teuberová Náchod, dne
HISTORICKÝ VÝVOJ 1900 Výrobková normalizace, vojenský průmysl

HISTORICKÝ VÝVOJ 1900 Výrobková normalizace, vojenský průmysl
13. Koordinace projektů Realizace změn Koordinace projektů

13. Koordinace projektů Realizace změn Koordinace projektů
IS V EKONOMICKÝCH SUBJEKTECH Ing. Jiří Šilhán. IS IS – data+lidi+HW, prvky + relace mezi uživateli, které splňují nějaké cílové chování – tak aby byly.

IS V EKONOMICKÝCH SUBJEKTECH Ing. Jiří Šilhán. IS IS – data+lidi+HW, prvky + relace mezi uživateli, které splňují nějaké cílové chování – tak aby byly.
Facility management ČSN EN

Facility management ČSN EN
Riziko a významnost v auditu

Riziko a významnost v auditu
TEORETICKÉ OTÁZKY BEZPEČNOSTI

TEORETICKÉ OTÁZKY BEZPEČNOSTI
Efektivní informační bezpečnost

Efektivní informační bezpečnost
29. 4. 2011 Aktivita číslo 5 Návrh a zavedení systému centrální administrace a řízení projektů Zvýšení kvality řízení na Krajském úřadě Plzeňského kraje.

Aktivita číslo 5 Návrh a zavedení systému centrální administrace a řízení projektů Zvýšení kvality řízení na Krajském úřadě Plzeňského kraje.
Daniel Kardoš Ing. Daniel Kardoš

Daniel Kardoš Ing. Daniel Kardoš
Postavení a úkoly manažera v oblasti řízení lidských zdrojů podniku

Postavení a úkoly manažera v oblasti řízení lidských zdrojů podniku
1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina

7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace

Management kontinuity činností organizace
3. Životní cyklus a procesy projektu

3. Životní cyklus a procesy projektu
12. OPERATIVNÍ MANAGEMENT

12. OPERATIVNÍ MANAGEMENT
Inovace výuky ve vazbě na požadavky Mezinárodních výukových standardů doc. Ing. Marie Pospíšilová,CSc. SVŠES.

Inovace výuky ve vazbě na požadavky Mezinárodních výukových standardů doc. Ing. Marie Pospíšilová,CSc. SVŠES.
Auditorské postupy Činnosti před uzavřením smlouvy

Auditorské postupy Činnosti před uzavřením smlouvy

Podobné prezentace

Reklamy Google