Řízení kvality (audit) IS Distanční opora předmětu na BIVŠ Praha Garant: Autor:
doc. Ing. Vlasta Svatá, CSc. doc. Ing. Vlasta Svatá, CSc.
Vlasta Svatá Předmět: Řízení kvality (audit) IS Studijní zátěž Prezenční studium
Semestr Týden
Počet kreditů
Počet výukových hodin podle počtu kreditů
7
252 21
Počet výukových kontaktních hodin 36 2+1
Počet výukových hodin samostudia 216 18
Počet časových hodin samostudia 162 13,5
Kombinované studium Počet kreditů
Semestr Výuka v blocích šest bloků za semestr
7
Počet výukových hodin podle počtu kreditů 252
Počet výukových kontaktních hodin 24
Počet výukových hodin samostudia 228
Počet časových hodin samostudia
6 x 42
6x4
6 x 38
6 x 28,5
171
Obsah Úvod
4 Modul : Vývoj, druhy a obsah auditu IS..................... 5
1. 1.1. 1.2. 2.
Vývoj auditu .................................................................... 6 Definice a obsah auditu ................................................... 8 Modul: Standardy a audit IS...................................... 13
2.1. 2.2. 2.3. 2.4. 3.
IT Governance ............................................................... 14 Standardy auditu externího............................................ 16 Standardy auditu interního ............................................ 18 Standardy IS/IT ............................................................. 20 Modul: Metodiky auditu IS ........................................ 24
3.1. 3.2. 3.3.
Cobit 4.1 ........................................................................ 24 IT Assurance Guide ....................................................... 25 Cobit 5 ........................................................................... 27 Modul: Obecné nástroje/postupy auditu IS .............. 31
4. 4.1. 4.2. 4.3.
Analýza rizik ................................................................. 32 Kontrolní systémy ......................................................... 35 Smlouva na audit ........................................................... 38
-2-
Vlasta Svatá Předmět: Řízení kvality (audit) IS 4.4.
Výstupní auditorská zpráva ........................................... 41 Modul : Vybrané druhy auditů .................................. 45
5. 5.1. 5.2.
Audit útvaru................................................................... 45 Audit procesu ................................................................ 54
-3-
Vlasta Svatá Předmět: Řízení kvality (audit) IS
Úvod Cílem předmětu je seznámit vás s disciplínou auditu informačního systému a s ní související velmi aktuální a praxí ţádanou profesí auditora informačního systému. Jde o průřezovou disciplínu, která v sobě integruje znalosti z různých oblastí IS/ICT, které studenti získají v jiných předmětech vyučovaných na BIVŠ. Současně vyţaduje jejich průběţné doplňování vyvolané rychle se vyvíjejícími technologiemi, standardy a koncepcemi řízení. V průběhu studia se seznámíte s vývojem náplně práce této profese, s rozdíly mezi auditem IS a jinými druhy auditu, s dostupnými metodikami, nástroji a standardy, které jsou pro tuto profesi důleţité. Výstupní znalosti Po úspěšném absolvování předmětu budete schopni plánovat, řídit a realizovat různé typy auditů informačních systémů tak, aby splňovaly základní poţadavky na audit (nezávislost, objektivnost, komplexnost a formalizovanost). Tento předmět můţe zároveň slouţit jako přípravná fáze pro získání certifikace v tomto oboru. Poţadavky na absolvování předmětu zahrnují tři části, jejichţ váhy ukazuje následující tabulka: Kriteria hodnocení
Maximální počet bodů 10 20 70
Zpracování případové studie Zpracování seminární práce Test a zkoušení
Minimální počet bodů 5 10 35
Forma realizace Případová studie: V rámci semestru proběhne šest tutoriálů. Náplní prvních pěti tutoriálů bude přednáška k dané oblasti auditu IS a průběţné konzultace k zadaným tématům seminárních prací a případové studii. Téma přednášek kaţdého tutoriálu odpovídá dále popsanému obsahu pěti modulů. Na posledním tutoriálu proběhne diskuze k vypracovaným seminárním pracím a případové studii. Do doby zahájení čtvrtého tutoriálu budou v IS BIVŠ uloţeny varianty případových studií, ze kterých si vylosujete na čtvrtém tutoriálu svoje zadání. Řešení případové studie odevzdáte v elektronické verzi do odevzdávárny Studentského informačního systému BIVŠ a ve vytištěné verzi přinesete na šestý (poslední) tutoriál. Semestrální práce: V Příloze 1 této opory najdete dokument Poţadavky na písemnou seminární práci, kde jsou uvedené typy témat vaší práce a formální poţadavky na její zpracování. O tématu vyrozumíte vyučujícího mailem nebo v průběhu Tutoriálu 2. Podmínkou je, ţe výběr a odsouhlasení témata semestrální práce musí být ukončeno v týdnu, ve kterém se koná Tutoriál 3. Ve zbývající části semestru budete toto téma zpracovávat a nejpozději do termínu konání pátého tutoriálu odevzdáte semestrální práci prostřednictvím -4-
Vlasta Svatá Předmět: Řízení kvality (audit) IS odevzdávárny ve studentském IS. Semestrální práce je hodnocena maximálním počtem bodů 20. Závěrečný test: Ve zkouškovém období budete absolvovat prezenčně závěrečný písemný test v termínech, které budou uvedeny v informačním systému a na které se předem zaregistrujete. Součástí kaţdého dále popsaného modulu jsou otázky, které Vám pomohou při přípravě na test. Jejich souhrn reprezentuje databázi otázek, ze kterých budou vybírány otázky k závěrečnému testu. Práce s doporučenou literaturou Kurz je podpořen základní a doplňkovou literaturou. Literatura základní: Svatá Vlasta: Audit informačního systému, Professional Publishing, 2012, ISBN 978-80-7431-106-2, druhé vydání Cobit 4.1, 2007, IT Governance Institute, ISBN 1-933284-72-2 COBIT 5: Enabling Processes, ISACA, 2012, ISBN 978-1-60420-241-0
Literatura doporučená: IT Assurance Guide using Cobit, 2007, ISBN 1-933284-74-9 Časopis Cobit Focus dostupný na http://www.isaca.org/KnowledgeCenter/cobit/Pages/COBIT-Focus.aspx ISACA: Standards, Guidelines, Tools and Techniques for IT Audit and Assurance dostupné na http://www.isaca.org/Knowledge-Center/Standards/Documents/ALLIT-Standards-Guidelines-and-Tools.pdf ISACA Journal, http://www.isaca.org/Journal/Past-Issues/Pages/default.aspx
Pro absolvování kurzu je nezbytně nutné si prostudovat knihu SVATÁ Vlasta: Audit informačního systému. Její jednotlivé kapitoly odpovídají jednotlivým modulům v tomto textu. Další literatura bude dostupná v elektronické verzi v informačním systému, případně Vám v průběhu přednášek uvedu webovou adresu, kde ji najdete a stáhnete si ji.
C L
1. Modul : Vývoj, druhy a obsah auditu IS Cíle kapitoly: Seznámit se s profesí auditora IS, jejím vývojem a vztahem k auditu finančnímu. Dalším cílem je, naučit se rozeznat jednotlivé druhy auditu (ujištění) a znát jejich charakteristické vlastnosti. Doporučená literatura: Autor Název
Svatá Vlasta
Audit
Vzdavatel a rok Strany vydání doporuče ného textu informačního Profesional Strany 9 -
-5-
Vlasta Svatá Předmět: Řízení kvality (audit) IS systému
Publishing, 2012
28
1.1. Vývoj auditu Chápání pojmu audit prošlo dlouhým vývojem, jehoţ počátky sahají aţ do vzniku prvních civilizací. Zpočátku se audit spojoval výhradně se záznamem údajů o hospodaření různých jednotek a jeho chápání bylo značně zjednodušené a zúţené. S postupem doby tak, jak se vyvíjely znalosti lidí, vyvíjelo se a rozšiřovalo i chápání pojmu audit. V dnešní době se termín audit neobjevuje jen ve spojení s kontrolou finančního hospodaření organizací, ale proniká i do dalších oblastí řízení. Běţně se tak setkáváme s audity ţivotního prostředí, forenzními audity, certifikačními audity bezpečnosti, audity procesů apod. Samotný výraz audit pochází z latinského slova odvozeného od slovesa „naslouchat, poslouchat―. Před stovkami let, kdy lidé neuměli číst ani psát, předávali auditorům ústně informace o stavu majetku vládců (např. stavy dobytka, pěstování polnin). Úkolem auditorů bylo vést evidenci o tomto majetku a průběţně ji aktualizovat podle informací, které získali „nasloucháním― při kontrole v terénu. U této primitivní formy auditu, která se realizovala ve starém Egyptě a Babylonu, byla hlavním cílem kontrola a bilancování majetku vlastníka. Auditorů bylo pro jednu oblast několik. To umoţňovalo jednak zpřesňování údajů a jednak jejich vzájemnou kontrolu. Ve starém Řecku a Římě k této formě auditu přibyl ještě tzv. audit veřejných účtů. Všichni veřejní (státní) úředníci museli předkládat své účty pověřeným osobám - auditorům, kteří je kontrolovali a zjišťovali, zda nedošlo ke zneuţití veřejné moci. Tito auditoři patřili k nejvýše postaveným členům společnosti. Ve středověku, a to zvláště ve Velké Británii, se principy auditu dále rozpracovaly. Auditoři byli vysocí úředníci, podléhající přímo hlavě státu. Jejich úkolem byla kontrola kopií účtů předkládaných jinými úředníky, kteří byli nasazeni korunou do jednotlivých hrabství, aby zde vykonávali některé správní a dozorčí funkce. Ve své době šlo o nejdokonalejší systém účetnictví a auditu na světě, protoţe se jiţ zde uplatňoval princip „oddělení odpovědností―. To znamená, ţe jeden člověk shromaţďoval platby od obyvatel, jiný je zaznamenával (evidoval) a další – auditor – byl přítomen u tzv. „čtení účtů― za přítomnosti lorda (majitele správní jednotky). V době průmyslové revoluce začaly vznikat první společnosti registrované státem. To vedlo k přijetí zákonů, které předepisovaly zhotovování přehledů o hospodaření těchto společností pro tzv. „audity akcionářů―. V porovnání se současným stavem pro tyto audity neexistovala ţádná omezení, která by zajišťovala jejich objektivitu. Jediným poţadavkem bylo, ţe úředníci, provádějící audit, nesměli vykonávat ţádnou výkonnou funkci v auditované společnosti. Dokonce se od nich vyţadovalo, aby byli vlastníky cenných papírů auditované společnosti. Později byl tento poţadavek zrušen a pro audit se najímali externí odborníci. Cílem tohoto auditu bylo porovnání poloţek ve výroční zprávě s poloţkami v účetních knihách a prověřování, ţe kaţdá transakce má svůj doklad. -6-
Vlasta Svatá Předmět: Řízení kvality (audit) IS Na konci 19. a začátkem 20 století řada států včetně např. USA přejala britský model auditu. To znamená, ţe se audit zaměřoval na prověření hospodářské činnosti managementu společnosti a na odhalení případných podvodů. Zpočátku se prověřovaly všechny transakce společností, ale s jejich rostoucím počtem se stal tento přístup neefektivní a začaly se uplatňovat techniky výběru vzorků a testování. Na konci 70. let minulého století byla zaloţena Asociace EDP (Electronic Data Processing) auditorů. Pro tuto dobu bylo charakteristické, ţe se EDP audit chápal spíše jako „umění―, nebyl zformulován do vědní discipliny, neměl své nástroje, systém vzdělání atd. V 80. letech se jiţ můţe hovořit o tom, ţe se z auditu informačního systému (dále audit IS) stala inţenýrská disciplina. Asociace EDP auditů se přetransformovala do organizace ISACA (Information Systems Audit and Control Association, www.isaca.org) která dodnes představuje největší mezinárodní organizaci sdruţující auditory informačních systémů. Zpočátku se audit IS zaměřoval na hodnocení procesů, které proběhly v minulosti. Audit IS byl chápán jako doplněk finančního auditu. V několika posledních letech vzhledem ke stále rostoucímu významu informačních technologií a informačních systémů se jiţ chápe jako samostatná vědní disciplina přesto, ţe někteří autoři (Soltani, 2010) toto tvrzení zpochybňují (více viz kapitola 2.3). Ať uţ však vnímáme audit jako vědeckou disciplinu, nebo ne, jde významnou oblast znalostí a preventivní nástroj zvyšování kvality a bezpečnosti informačních systémů včetně jejich vazeb na systémy řízení. Historie auditu v České republice se začala odvíjet teprve po roce 1989. V roce 1992 byl vydán zákon č. 524/1992 Sb., o auditorech a Komoře auditorů České republiky. Ten byl nahrazen v roce 2000 zákonem č. 254/2000. Poslední úprava proběhla v roce 2009 zákonem 93/2009 Sb. o auditorech a o změně některých zákonů [Z93_2009]. KAČR vydávala svoje směrnice pro provádění finančních auditů, z nichţ jedna – Směrnice č. 11 se týkala auditu prováděného v počítačovém prostředí. Všechny tyto směrnice ale přestaly být k 1.1 2005 účinné a byly nahrazeny mezinárodními auditorskými standardy a jejich aplikačními doloţkami. Co se týká auditu IS, ten se začal v České republice prosazovat v roce 1996, kdy se vytvořily vazby na mezinárodní organizaci ISACA. Zpočátku šlo o vytvoření tzv. Czech Chapter v rámci této organizace. O rok později se Česká republika stala plnohodnotným členem ISACA s tím, ţe je moţné skládat jednou ročně v České republice mezinárodní certifikační zkoušky CISA (Certified Information Systems Auditor). Na přelomu tisíciletí prošla auditorská profese krizí, která byla vyvolána finančními skandály několika velkých firem (Enron, WorldCom, Parmalat). Příčinou krize byla skutečnost, ţe finanční audity nesignalizovaly dopředu ţádné problémy v hospodaření těchto firem a nebyly tak schopny ochránit majetek investorů a akcionářů. V případě bankrotu Enronu audit vykonávala renomovaná auditorská a poradenská firma Arthur Andersen, která patřila mezi tzv. „velkou pětku― mezinárodně uznávaných auditorských firem společně s PricewaterhouseCoopers, Deloitte Touche, Ernst & Young and KPMG. Po jeho skandálu v roce 2002 musela tato firma ukončit svoji činnost, přestoţe byla
-7-
Vlasta Svatá Předmět: Řízení kvality (audit) IS později Nejvyšším soudem Spojených Států rehabilitována. Její návrat mezi auditorské firmy se však jiţ neuskutečnil. Co bylo příčinou těchto problémů? Odpověď není jistě jednoduchá, protoţe příčin byla celá řada a jejich významnost se lišila podle jednotlivých zemí a podniků. Za zmínku stojí tři obecné příčiny: konflikt zájmů organizací pověřených výkonem auditu, globalizace podniků a pomalé akceptování nových forem auditu. Auditorské firmy začaly postupem času nabízet kromě finančního auditu i další sluţby, jako např. daňové poradenství, implementaci informačních technologií, audity bezpečnosti, rizikové analýzy apod. Došlo tak k situaci, ţe větší část příjmů těchto společností pocházela z jiných sluţeb neţ z finančního auditu. Začalo se hovořit o konfliktu zájmů a situace byla řešena organizační restrukturalizací těchto firem, jejímţ cílem bylo oddělit finanční audit od poskytování jiných sluţeb. Další příčinou soumraku auditorského průmyslu byla, a pravděpodobně bude i v budoucnu, rostoucí dynamika prostředí, ve kterém podniky fungují. Podniky na tuto situaci reagují tím, ţe se sdruţují do více či méně formálních uskupení, která jim umoţní v daném prostředí posílit svoji konkurenceschopnost. Současně s restrukturalizací podniků dochází ke změnám v majetkových poměrech společností, které musejí být řešeny účetně. Účetním a dalším standardům se ale nedaří dostatečně rychle reflektovat danou situaci, a proto dochází k chybám a omylům. Významným akcelerátorem jsou nakonec i moderní informační technologie a zvláště rostoucí integrace informačních systémů. Konečně poslední zmíněnou příčinou bylo pomalé akceptování jiných forem auditu, neţ je audit finanční. Finanční audit je bezesporu základem všech dalších druhů auditů a jeho výjimečné postavení je neotřesitelné. Přesto v podmínkách současných integrovaných informačních systémů a moderních informačních a komunikačních technologií by měl být doprovázen dalšími druhy auditu, které lze shrnout pod pojem audit informačního systému. Často se tak neděje, protoţe tento druh auditu není podpořen zákonnými úpravami a je obvykle finančně náročný. Podniky v České republice jej provádějí proto jen zcela výjimečně, nebo v omezené míře. Přesto význam auditu IS v České republice podobně jako ve světě stále roste. Především v bankách a v organizacích se zahraniční účastí se postupně zřizují funkce vnitřních auditorů. Jejich hlavní náplní jsou aktivity spojené s finančním auditem, ale stále častěji se v rámci těchto útvarů vydělují profese auditora IS. Vzhledem ke stále rostoucí závislosti organizací na informačních systémech a informačních technologiích bude postupem času nedílnou součástí jejich řízení i audit IS.
1.2. Definice a obsah auditu Audit lze tedy obecně definovat takto (zdroj autor): Audit je objektivní ověření stavu, jevu, záměru, skutečnosti se stavem nebo jevem ţádoucím, tj. modelem, normou, standardem apod. Audit provádí odborník - auditor, výsledkem je komplexní názor ve formě výroku auditora. Audit představuje jeden z nástrojů řízení.
-8-
Vlasta Svatá Předmět: Řízení kvality (audit) IS Základem všech auditů je finanční audit (statutární audit). Jedna z definic finančního auditu zní takto: Audit je systematický proces objektivního získávání a vyhodnocování důkazů, týkajících se informací o ekonomických činnostech a událostech, s cílem zjistit míru souladu mezi těmito informacemi a stanovenými kriterii a sdělit výsledky zainteresovaným zájemcům (zdroj: Výbor americké účetní asociace). Jeho funkce se postupně rozšířily z kontroly finančního hospodaření firem na další oblasti, a to na oblast souladu se standardy (tzv. compliance audit) a oblast efektivního vyuţívání zdrojů (tzv. operational nebo performace audit). Cílem auditu souladu je zjistit, zda transakce nebo událost odpovídá existujícím relevantním standardům, a to především právním. Pro vymezení obsahu auditu informačních systémů má větší význam operační audit (operational audit), který se v oblasti státního sektoru označuje termínem provozní audit nebo audit výkonu (performance audit). Jeho definice však nejsou tak jednoznačné jako u finančního auditu a dokonce i termín "operačníprovozní- funkční audit" můţe být nahrazen termíny jinými, např. "audit řízení" nebo "audit plnění cílů organizace". Na rozdíl od předchozích typů auditů je obecně jeho cílem nezávislé prověření fungování dané organizační entity, programu, činnosti nebo funkce z hlediska účelného a účinného plnění jejich cílů. Podle ISACA je audit formální prověření souladu se standardem nebo sadou návodů, správnosti záznamů, účelnosti a účinnosti dosaţení definovaných cílů. Audit můţe být realizován formou interních nebo externích sluţeb. Pojem audit má obecně velmi blízko k pojmu kontrola. Audit představuje nejvyšší úroveň kontroly. Zatímco běţné kontroly se zaměřují na porovnání dílčích aspektů, jevů, procesů s předem určenou hodnotou (např. kontrola správnosti vstupních dat), audit je nadřazen těmto kontrolám a jeho úkolem je vytváření a prověřování komplexního systému kontrol z hlediska toho, zda podporují cíle podniků, zda stanovené standardy jsou aktuální a vyhovující a zda procesy v organizaci jsou efektivní a produktivní. Kontrola
Control objective, control
Prověření dílčích aspektů, jevů, procesů s předem určenou hodnotou. Jeden kontrolní cíl můţe být zajištěn řadou různých kontrol.
Audit
Audit
Komplexní, formalizované nezávislé prověření kontrol (existence, realizace, efektivnosti) vzhledem k existujícím standardům
Ujištění
Assurance
Komplexní nezávislé prověření kontrol, které jsou delegovány na jiné subjekty (existence, realizace, efektivnosti) vzhledem k cílům řízení
Prověrka
Review
V porovnání s auditem niţší forma ujištění, jejímţ cílem je prověření existence moţných překáţek negativně ovlivňujících kontroly -9-
Vlasta Svatá Předmět: Řízení kvality (audit) IS (negativního ujištění) Dophodnutá Aagreed-upon procedura procedures
Ujištění o dodrţování regulací a postupů bez hodnocení jejich efektivnosti
Tabulka 1: Porovnání pojmu kontrola, audit, ujištění
V několika posledních letech se v souvislosti s popisovanou krizí auditu objevuje vedle pojmu audit a kontrola také pojem ujištění (assurance). Ujištění je případ, kdy je auditor (nebo jiný důvěryhodný profesionál) pověřen zhotovením písemného dokladu, který vyjadřuje závěr o zkoumaném předmětu, za který je odpovědný někdo jiný (viz Obrázek 1). Pro větší názornost si pod pojmem stakeholder můţeme představit účetního, který vyuţívá v rámci business procesu objekt ujištění – například softwarovou aplikaci, za kterou je odpovědný IT profesionál - správce aplikace (odpovědná strana). Interní auditor (profesionál provádějící ujištění) realizuje proces ujištění. Jako vhodná kriteria ujištění se mohou pouţít např. bezpečnostní politika organizace, zákony (např. o ochraně osobních údajů, o účetnictví, ISO normy, ITIL, COBIT). Termín ujištění tak zahrnuje řadu vzájemně provázaných aktivit, např. podporu finančního auditu, prověření kontrolního systému, prověření souladu s relevantními standardy a postupy, prověření souladu s uzavřenými smlouvami a licencemi, řízení rizika, řízení bezpečnosti.
Uživatel výstupů ujištění (stakeholder)
řídí
Business proces
Spoléhá na
Užívá
souhlasí
Odpovědná strana
řídí
Objekt ujištění
Závěr
Vhodná kriteria ujištění
souhlasí
Porovnává s kriterii
souhlasí
Profesionál provádějící ujištění
užívá
Proces ujištění
Výstupem je
Obrázek 1: Znázornění procesu ujištění [ITGI_2007]
Audit v porovnání s ujištěním tedy představuje specifickou formu ujištění, při které profesionál-auditor realizuje formální, nezávislé a systematické prověření objektu zájmu proti známým a vhodným standardům nebo proti tvrzením managementu. Audit vyţaduje formální přístup, soulad se specifickými standardy a návody a dodrţování specifických formátů auditorských zpráv. Současně podle [G20_2008] audit reprezentuje nejvyšší, nikoliv však absolutní, úroveň ujištění týkající se efektivnosti kontrolních
- 10 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS postupů. Můţe se dále rozlišovat přímý (direct) a atestační (attest) audit. Přímý audit znamená, ţe auditor přímo hodnotí určitý objekt nebo oblast; audit atestační znamená, ţe auditor hodnotí správnost nebo nesprávnost výroku někoho jiného - odpovědných osob (manaţerů) o objektu, nejčastěji systému interních kontrol. Tento typ sluţeb vznikl v souvislosti s přijetím zákona SOX. Kromě auditu se ale v rámci ujištění rozlišuje dále přezkoumání (review) přímé a atestační (direct, attest) a ověřování postupů (agreed-upon procedures). Přezkoumání poskytuje v porovnání s auditem niţší míru ujištění o efektivnosti kontrol, protoţe se neprovádí v takovém rozsahu a tudíţ není auditor schopen vyjádřit pozitivní názor (pozitivní ujištění). Cílem přezkoumání je zjistit, zda neexistují nějaké skutečnosti, které by mohly negativně ovlivnit hodnocení auditora (negative assurance – ujištění týkající se negativních vlivů, negativní ujištění). Pouţívá se například tam, kde došlo k nějakým významným změnámv IS a je potřeba se ujistit, ţe tyto změny neovlivnily negativně systém kontrol. Ověřování postupů představuje nejniţší formu ujištění. Jejím cílem není hodnocení efektivnosti kontrol, ale pouze jejich existence a realizace. V tomto případě auditor pouze formuluje nálezy, ale nedělá závěry. Vzhledem k tomu, že pojem ujištění není v českém prostředí příliš běžný a jeho používání by mohlo vést k nedorozumění, bude se v dalším textu používat pojem audit i v takových případech kdy půjde spíše o jiné formy ujištění. Audit informačního systému je specifický proces, který se zabývá posuzováním a poradenstvím objektů v prostředí, kde se pouţívají informační technologie. Jeho cílem je kvalitativně a/nebo kvantitativně přispět ke správné organizaci informačního systému tak, aby byly splněny poţadavky uţivatelů. Objekty mohou být organizace a řízení IS, základní i aplikační software, technické vybavení, telekomunikační systémy, procesy tvorby a údrţby systémů, ochrana a bezpečnost systému, data (databáze) apod. Podle materiálu [ISCZ_2007] je Audit IS definován jako:― jakýkoliv audit, který zahrnuje přezkoumání a ohodnocení (částečné nebo úplné) systémů pro automatizované zpracování informací, souvisejících neautomatizovaných procesů a rozhraní mezi nimi.― Audit musí vţdy splňovat čtyři základní vlastnosti, kterými jsou: komplexnost – musí postihnout všechny relevantní aspekty a vazby, objektivnost – musí se opírat o existující standardy, případně zkušenosti, pokud standardy neexistují, nezávislost - auditor nemá s objektem auditu ani se zadavatelem auditu ţádné spojení, které by představovalo konflikt zájmů, formalizovanost - proces auditu se musí řídit metodikou a existujícími standardy. Závěrem lze tedy shrnout, ţe audit IS:
- 11 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS 1. jako kaţdý jiný audit se zaměřuje na kontroly a efektivnost fungování vybraných objektů, 2. překrývá se s jinými formami auditu (finančním, operačním), 3. je společně s těmito druhy auditu jednou z forem ujištění. Obsah, respektive záběr auditu prošel vývojem, který lze stručně shrnout do těchto etap: 1. etapa hodnocení výsledků zpracování na počítačích – obsahem auditu jsou vstupy, zpracování a výstupy informačních systémů, důraz je na prověřování minulých a existujících transakcích, 2. etapa hodnocení rizika a kontrol počítačového zpracování – obsah se rozšiřuje na preventivní hodnocení spolehlivosti a průkaznosti počítačově zpracovávaných transakcí např. jiţ v etapě jejich vývoje nebo pořizování, 3. etapa hodnocení a optimalizace procesů IT i navazujících procesů – obsah se dále rozšiřuje z oblasti čistě „počítačové― do oblastí souvisejících (např. postavení útvaru IS/IT v rámci organizace, realizace přidané hodnoty k business procesům pomocí IS/IT, hodnocení metrik sluţeb, uzavírání smluv, apod.). Podíváme-li se na tzv. domény auditu IS, které definovala ISACA a které nejlépe ukazují, co je obsahem auditu IS, i zde je patrný shora naznačený posun (viz Obrázek 2). Domény 1970
%
Domény 2000 CISA
%
Domény 2009 CISA
%
Domény 2011 CISA
%
Standardy a postupy auditu
8
Postupy auditu
10
Postupy auditu
10
Proces auditu IS
14
Organizace řízení IS
15
Řízení plánování a organizace IS
11
IT Governance
15
Governance a řízení IT
14
Provoz IS
22
Technická infrastruktura a provoz
13
Dodávka podpora sluţeb
14
Provoz, údrţba a podpora IS
23
Integrita, důvěrnost a bezpečnost IS
29
Ochrana informačních aktiv
25
Ochrana informačních aktiv
31
Ochrana informačníc h aktiv
30
Obnova systému a podnikatelskýc h aktivit po katastrofách
10
Obnova systému a podnikatelský ch aktivit po katastrofách
14
Tvorba, pořízení, implementace a údrţba aplikačních
16
Řízení ţivotního cyklu systémů a infrastruktury
16
Pořízení, vývoj a implementa ce IS
19
a
Tvorba, pořízení a údrţba programového vybavení
26
- 12 -
a IT
Vlasta Svatá Předmět: Řízení kvality (audit) IS systémů Rozvoj podnikatelskýc h procesů a řízení rizika
15
Obrázek 2: Vývoj domén podle ISACA
V tabulce jsou uvedeny domény původní, tj. domény, které platily ještě před několika lety, a domény, které jsou aktuální. Současné domény jsou na webových stránkách dále popsány činnostmi, které by auditor měl zvládnout a znalostmi, které k tomu potřebuje. V dalším textu je uveden přehled činností podle domén [DOM_2009]. Kontrolní otázky: 1. Popište vývoj auditu IS ve světě a v ČR. 2. Jakými krizemi prošla v historii auditorská profese, jaké byly příčiny a důsledky? 3. Jaké instituce zabezpečují profesi auditora IS na mezinárodní a národní úrovni? Jaké aktivity vyvíjejí? 4. Definujte pojmy kontrola, audit, ujištění (assurance) obecně a ve vazbě na IS. 5. Jaké jsou základní vlastnosti a druhy auditu? Aplikujte různá kriteria dělení. 6. Jakým způsobem se vyvíjel obsah/záběr auditu IS a jaký je jeho současný stav? 7. Jako druhy certifikací, standardů a jiných dokumentů nabízí organizace ISACA? 8. Popište rozdíly mezi finančním auditem a auditem IS.
C
L
2. Modul: Standardy a audit IS Cíle kapitoly: Při studiu doporučeného textu si uděláte přehled o tom, co je základem stylu řízení IT označovaného termínem IT Governance. Dále se seznámíte se standardy, které jsou pro interní a externí auditory důleţitým vodítkem pro jejich práci. Další skupinu standardů, která je důleţitá pro zajištění objektivního hodnocení daného objektu auditu, jsou standardy, které se týkají vlastních objektů – tedy IS. Jde v zásadě o dva základní typy standardů: standardy informační bezpečnosti a standardy kvality IS. Doporučená literatura: Autor Název
Svatá Vlasta
Audit
Vzdavatel a rok Strany vydání doporuče ného textu informačního Profesional Strany 29
- 13 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS systému
T
Publishing, 2012
-73
2.1. IT Governance IT Governance (ITG) V současné době je ITG formálně vymezený styl řízení IT, který oproti předchozím modelům řízení nově definuje postavení a odpovědnost útvaru IT na jedné straně a vlastníků a exekutivy podniků na straně druhé. Cílem této koncepce je překonat bariéry mezi těmito úrovněmi řízení organizací a zdůraznit fakt, ţe přestoţe je oblast IT formálně řízena vedoucím příslušného útvaru, odpovědnost za rozvoj IT leţí především na statutárních orgánech a nejvyšším vedení organizací. Tato koncepce řízení tak vhodně doplňuje koncepci řízení zaměřenou na taktickou a operativní úroveň řízení IT, opírající se o IT sluţby. ITG zastřešuje organizace IT Governance Institute (www.itigi.org). Za dobu své existence vydal a stále vydává řadu různých dokumentů, jejichţ společným cílem je pomoci organizacím při prosazování zmíněného rámce řízení. Jejich základní přehled poskytuje Tabulka 2. Cíl
Název dokumentu
Usnadnit zavádění ITG Board Briefing on IT Governance, v praxi The IT Governance Implementation Guide: Using COBIT® and Val IT 2nd Edition, Implementing and Continually Improving IT Governance Zhodnotit zralost Maturity levels for IT Governance zavádění ITG v praxi Poskytnout celkový An Executive View of IT Governance, 2009 přehled o postavení ITG IT Governance Global Status Report—2008 v organizacích Definovat cíle ITG pro Information Security Governance: Guidance for oblast řízení informační Boards of Directors and Executive Management, bezpečnosti 2nd Edition Poskytnout návod pro Cobit 4.1 procesní řízení IT vycházející z principů ITG Ukázat vazby mezi Cobit Mapping: Mapping to ITIL (ISO 27002, jednotlivými normami PRINCE2, PMBOK, TOGAF 8.1, CMMI) pro oblast IT
- 14 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Poskytnout návod na IT Assurance Guide: Using Cobit hodnocení IT procesů pro assurance profesionály a auditory Podpořit ITG přijetím ITGI Enables IS0/IEC 38500:2008 Adoption ISO/IEC normy Tabulka 2: Příklady dokumentů podporujících ITG (dokumenty jsou dostupné na www.isaca.org )
V zásadě se ITG zaměřuje na dva základní cíle: zvyšování hodnoty podnikatelských procesů pomocí IT – tento cíl je řízen vazbou IT na podnikatelské procesy, omezování rizika spojeného s pořízením a provozem IT – tento cíl je řízen podnikovým systémem odpovědností.
Přikazování
CÍLE IT je propojeno s podnikáním IT maximalizuje přínosy IT zdroje se vyuţívají odpovědně IT rizika se řídí
Porovnání
IT PROCESY zefektivňují podnikání sniţují náklady řídí rizika (bezpečnost, spolehlivost a soulad se standardy)
Měření průběhu
Obrázek 3: Základní rámec pro ITG
Oba cíle musejí být podporovány adekvátními zdroji a měřeny/hodnoceny, aby bylo moţné zjistit míru jejich dosaţení. Tento základní rámec vede k definování pěti klíčových oblastí ITG, z nichţ je kaţdá řízena tzv.„stakeholder1 value―, tj. hodnotou zainteresovaných stran.
STAKEHOLDER JE TERMÍN, KTERÝ OZNAČUJE KAŢDÉHO, KDO MÁ BUĎ ODPOVĚDNOST ZA PODNIKATELSKÉ PROCESY, NEBO JE S NIMI JINAK SPOJEN (OČEKÁVÁ OD NICH SPRÁVNÉ FUNGOVÁNÍ) , JDE NAPŘ. O AKCIONÁŘE, ŘEDITELE, EXEKUTIVU, EKONOMICKÝ I TECHNICKÝ MANAGEMENT, UŢIVATELE, STÁT, DODAVATELE, VEŘEJNOST. 1
- 15 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS
Ge ne ho rová dn ot ní
IT Governance
Říze ní riz ik
ní Měře e c a realiz
ní oje ií p o Pr rateg st
Řízení zdrojů
Obrázek 4: Pět oblastí ITG
2.2. Standardy auditu externího V průběhu formování profese auditora informačního systému vznikala řada různých dokumentů, jejichţ cílem bylo vytvořit standardy, návody, doporučení apod., které by audit IS pomohly objektivizovat a formalizovat. Mezinárodní standardy týkající se profese auditora jsou vydávány řadou mezinárodních i národních profesních organizací auditorů. Standardy ISACA ISACA vydává standardy, které jsou závazné pro interní a externí auditory – členy ISACA a drţitele titulu CISA. Standardy se dělí na: standardy (Standards) – definují povinné poţadavky pro profesi a postup auditu, návody (Guidelines) – představují návody pro aplikaci standardů, procedury (Procedures) – zahrnují příklady postupů auditu IS, o které se auditor můţe opřít při provádění různých druhů auditu IT/IS. Kromě auditorských standardů ISACA ještě vydává standardy pro odborníky na kontroly (Standards for Control Professionals). Standardy jsou dostupné na webové stránce ISACA , kde se průběţně doplňují a mění (Standards, 2010). Kromě těchto standardů existuje ještě profesionální etický kodex, který určuje, jaké jsou hlavní zásady auditorské profese. 1. Vytvářet harmonii a soulad s vhodnými standardy, postupy a kontrolními prvky informačních systémů. 2. Dodrţovat standardy auditu IS tak, jak je přijala Asociace pro audit a kontrolu (ISACF). 3. Pečlivě, loajálně a poctivě slouţit zájmu zaměstnavatelů, akcionářů,
- 16 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS klientů a veřejnosti, vědomě se neúčastnit nelegálních činností. 4. Dodrţovat důvěrnost informací získaných při plnění povinností. Nepouţít informace ve vlastní prospěch a ani je neprozradit jiným osobám či subjektům. 5. Nezávisle, objektivně vykonávat svoji povinnost a vyvarovat se aktivit, které ohroţují, nebo by mohly ohrozit nezávislost. 6. Udrţovat kvalifikaci v oblasti auditu a IS prostřednictvím účasti na profesionálních rozvojových aktivitách. 7. Věnovat náleţitou pozornost získání a dostatečnému zdokumentování konkrétního materiálu klienta, který je základem pro závěry a doporučení. 8. Informovat patřičné subjekty o výsledcích práce provedeného auditu. 9. Podporovat vzdělávání managementu, klientů a veřejnosti při rozšiřování svých znalostí v oblasti auditu IS. 10. Udrţovat vysoký standard chování a charakteru, jak v profesionálních, tak osobních činnostech. Tabulka 3: Etický kodex auditora IS
V roce 2007 vznikla potřeba tyto různé standardy zpřehlednit a provázat je do jednotného rámce. Tak vznikl dokument ITAF – IT2 Assurance Framework. Jeho cílem je poskytnout profesionálům v oblasti auditu/ujištění a dalším zainteresovaným stranám informace týkající se návrhu, tvorby, realizace a zpracování výstupů z těchto aktivit. Zatímco shora uvedené dělení na standardy, návody a procedury respektovalo různé úrovně podrobnosti popisu a nikoliv jejich věcné zaměření, dokument ITAF tento přístup mění a pro prezentaci standardů upřednostňuje pohled věcného zaměření. ITAF rozlišuje tři kategorie standardů: Obecné (General): jsou společné pro všechny druhy ujištění a týkají se takových fenomenů, jako je profesní nezávislost, objektivita, potřebné znalosti, kompetence, dovednosti. Prováděcí (Performance): týkají se způsobu řízení jednotlivých aktivit auditorů, jako například plánování, zajišťování zdrojů, dohled, řízení rizika, významnost nálezů, vedení dokumentace apod. Výstupní (Reporting): určují druhy výstupních zpráv, způsob jejich zveřejňování a projednávání. Uvedené tři druhy standardů jsou podporovány zvláštními návody (guidelines) a technikami (techniques).
V DOKUMENTECH VYDÁVANÝCH ORGANIZACEMI ISACA A ITGI SE TERMÍN INFORMAČNÍ TECHNOLOGIE /IT) POUŢÍVÁ V ŠIRŠÍM KONTEXTU VE SMYSLU INFORMAČNÍ SYSTÉM 2
- 17 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Obecné standardy (General Standards)
Návody Celopodnikové (Enterprise guidelines)
Prováděcí standardy (Performance Standards)
Návody pro řízení IT (IT Management guidelines)
Návody pro procesy IT auditu a ujištení (IT Audit and Assurance Processes guidelines)
Výstupní standardy (Reporting Standards)
Návody pro řízení IT auditu a ujištění (IT Audit and Assurance Management guidelines)
Nástroje a techniky pro IT ujištění (IT Tools and Techniques)
Obrázek 5: Základní struktura dokumentu ITA
Návody (IT Assurance Guidelines) se dále podle svého předmětu dělí do čtyř skupin: Celopodnikové (Enterprise topics): návody týkající se řízení organizací a jeho vlivu na funkci IT (různé politiky, praktiky, standardy, ujišťovací projekty apod.) Řízení IT (IT Management): návody týkající se řízení IT v organizacích (IT Governance, řízení projektů, plánování IT útvarů, rozpočtování, metriky, zajišťování zdrojů, zajišťování souladu s regulatorními poţadavky apod.), Procesy auditu a ujištení IT (IT Audit and Assurance Processes): návody týkající se realizace procesů v rámci zjišťovacích a auditorských projektů (IT Assurance Guide Using Cobit, audit obecných kontrol, audit aplikačních kontrol, audit ERP systémů apod.), Řízení IT auditu a ujištění (IT Audit and Assurance Management): návody se zabývají řízením auditů a ujišťovacích projektů (zakotvení funkce auditu a assurance, plánování auditu, určování rozsahu, náleţitosti dokumentace apod.) V poslední části dokumentu ITAF jsou uvedeny techniky (IT Assurance Techniques), které je moţné pouţít při realizaci návodů – guidelines.
2.3. Standardy auditu interního Většina standardů, které byly primárně vytvořeny pro externí audity, jsou platné i pro audity interní. Kromě nich ale existují další standardy, které jsou určeny pouze interním auditorům. Jednou ze základních právních norem, kterými se problematika interního auditu ve státní správě řídí, je zákon č. 320/2001 Sb. ze dne 9. srpna 2001, o
- 18 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole). Tento zákon stanoví povinnost jednotlivým správcům státního rozpočtu sluţbu interního auditu v organizaci zřídit. Zároveň upravuje postavení a funkce interního auditu. Jednotlivá ustanovení tohoto zákona jsou upravena prováděcí vyhláškou Ministerstva financí ČR č. 416/2004 Sb. ze dne 28. července 2004. Postavení a odpovědnosti útvaru interního auditu upravuje čtvrtá část zákona. Interní audit je definován jako: „nezávislé a objektivní přezkoumávání a vyhodnocování operací a vnitřního kontrolního systému orgánu veřejné správy, které zjišťuje, zda a) právní předpisy, přijatá opatření a stanovené postupy jsou v činnosti orgánu veřejné správy dodrţovány, b) rizika vztahující se k činnosti orgánu veřejné správy jsou včas rozpoznávána, a zda jsou přijímána odpovídající opatření k jejich vyloučení nebo zmírnění, c) řídící kontroly poskytují vedoucímu orgánu veřejné správy spolehlivé a včasné provozní, finanční a jiné informace, d) provozní a finanční kritéria jsou plněna, e) zavedený vnitřní kontrolní systém je dostatečně účinný, reaguje včas na změny ekonomických, právních, provozních a jiných podmínek, f) dosaţené výsledky při plnění rozhodujících úkolů orgánu veřejné správy poskytují dostatečné ujištění, ţe schválené záměry a cíle tohoto orgánu budou splněny.― Interní audit přitom musí zajišťovat funkčně nezávislý útvar, případně k tomu pověřený zaměstnanec, který je organizačně oddělený od výkonných struktur. Útvar interního auditu předkládá vedoucímu orgánu veřejné správy doporučení ke zdokonalování vnitřní kvality kontrolního systému, dále k předcházení či mírnění rizik a k přijetí opatření k nápravě případných zjištěných nedostatků. Další funkcí útvaru je poskytování konzultační činnosti ve vybraných otázkách. Z hlediska členění auditu podle funkcí, interní audit ve veřejné správě se zaměřuje především na: finanční audit, který ověřuje, zda údaje vykázané ve finančních, účetních a jiných výkazech věrně zobrazují majetek, zdroje jeho financování a hospodaření s ním, audit systémů, který prověřuje a hodnotí systémy zajištění příjmů orgánu veřejné správy, včetně vymáhání pohledávek, financování jeho činnosti a zajištění správy veřejných prostředků, audit výkonu, který zkoumá výběrovým způsobem hospodárnost, efektivnost a účelnost vnitřního kontrolního systému. Zákon dále stanoví postavení interního auditu, jmenování a odvolávání vedoucího útvaru interního auditu (které je závislé na typu veřejnoprávní jednotky), plánování interního auditu a podávání zpráv. - 19 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Mezinárodní standardy určené pro interní audit vydává především organizace IIA (The Institute of Internal Auditors, www.theiia.org) Vzhledem k rostoucí důleţitosti interních auditů vznikla potřeba činnost těchto útvarů nezávisle hodnotit. K tomu účelu existuje Standard 1300 Quality Assessment and Improvement Program. Jde o standard, který vydala organizace IIA a který upravuje postup hodnocení útvarů interního auditu. Má dvě části: S1311 – Internal Assessments upravuje moţnost interního hodnocení útvarů (průběţné a periodické), S1312 – External Assessments upravuje variantu „sebehodnocení s nezávislým ověřením―.
2.4. Standardy IS/IT Standardy bezpečnosti Bezpečnost informací, její řízení a hodnocení formou auditů představuje velmi významnou oblast řízení IS/IT v organizacích. V současné době se prakticky všechny významné normy shodují v tom, co se chápe pod pojmem bezpečnost informací. Za všechny podle [DOU_2008] je bezpečnost informací (Information Security) zachování důvěrnosti, integrity a dostupnosti informací a s nimi spojené priority např. autentičnost, odpovědnost, nepopiratelnost, hodnověrnost. Přitom důvěrnost (Confidentiality) je zajištění, ţe informace jsou přístupné nebo sděleny pouze těm, kteří k tomu mají oprávnění, integrita (Integrity) je zajištění správnosti a úplnosti informací, dostupnost (Availability) je zajištění, ţe informace je pro oprávněné uţivatele přístupná v okamţiku potřeby. Bezpečnost se současně chápe jako jeden z významných atributů kvality informací, resp. informačních systémů (podrobněji následující kapitola). Normy pro řízení informační bezpečnosti představují početnou skupinu norem, které v posledních několika letech prodělaly komplexní restrukturalizaci. Jako příklady mezinárodních standardů bezpečnosti jsou v dalším textu stručně popsány tyto skupiny norem: normy pro zavedení a certifikaci ISMS (sada norem ISO/IEC 27000), alternativní normy zabývající se identifikací, zavedením a hodnocením tzv. „base practices― pro různé domény (ISO/IEC 21827), hodnocení bezpečnosti IT produktů (ISO/IEC 15408, TCSEC, ITSEC). Podrobnější popis problematiky řízení bezpečnosti informací je uveden ve stejnojmenné publikaci [DOU_2008]. Normy pro zavedení a certifikaci ISMS
- 20 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Před vznikem sady ISO/IEC 27000 existovala celá řada různých norem, které se týkaly řízení informační bezpečnosti, ale pouţívaly jinou terminologii a vzájemně se překrývaly. Uţivatelům tato nesystémová řešení způsobovala problémy a vedla k neefektivnímu řešení. Z tohoto důvodu ISO (International Organization for Standardization) podobně, jak tomu bylo u norem pro řízení kvality série ISO9000, rezervovala sérii ISO 27000 pro normy z oblasti bezpečnosti informací. ISMS je efektivní dokumentovaný systém řízení a správy informačních aktiv s cílem eliminovat jejich moţnou ztrátu nebo poškození tím, ţe jsou určena aktiva, která se mají chránit, jsou zvolena a řízena moţná rizika bezpečnosti informací, jsou zavedena opatření s poţadovanou úrovní záruk a ta jsou kontrolována. Sada norem se postupně formuje a doplňuje. Do doby psaní textu byly k dispozici tyto normy3: ISO 27000 - definice pojmů a terminologický slovník pro všechny ostatní normy z této série byl vydán v květnu 2009. ISO 27001 (BS7799-2) - hlavní norma pro Systém řízení bezpečnosti informací (ISMS), dříve známá jako BS7799 část 2, podle které jsou systémy certifikovány. Norma byla publikována koncem října 2005. ISO 27002 (ISO/IEC 17799 & BS7799-1) - aktuální verze normy byla prvně publikována v červnu 2005 jako ISO/IEC 17799:2005. V červenci 2007 došlo k přejmenování ISO/IEC 17799:2005 na ISO/IEC 27002:2005, obsahově se normy neliší. ISO 27003 - návod pro návrh a zavedení ISMS v souladu s ISO 27001. ISO 27004 - norma byla publikována v prosinci 2009 pod názvem "Information technology - Security techniques - Information security management - Measurement". ISO 27005 - norma byla publikována v červnu 2008 pod názvem "Information technology - Security techniques - Information security risk management". Normu přeloţila společnost Risk Analysis Consultants. Český překlad je k dispozici na stránkách ÚNMZ. ISO 27006 - norma byla publikována v březnu 2007 pod názvem ―Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems‖. Normu přeloţila společnost Risk Analysis Consultants. Český překlad je k dispozici na stránkách ÚNMZ. ISO 27011 - doporučení a poţadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů. ISO 27799 - doporučení a poţadavky na řízení bezpečnosti informací ve zdravotnických zařízeních. Příklady připravovaných norem:
3
ZDROJ: HTTP://WWW.ISO27000.CZ/, ČERVENEC 2010
- 21 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS ISO 27007 - norma bude obsahovat doporučení pro auditování ISMS. ISO 27008 - norma bude obsahovat doporučení auditorům ISMS a bude doplňovat ISO 27007. ISO 27009 - norma bude obsahovat doporučení pro auditování bezpečnostních opatření. atd., například i normy řešící specifika různých sektorů. Standardy kvality Podobně jako u standardů bezpečnosti i standardy týkající se hodnocení kvality vydává především mezinárodní organizace ISO a některé z nich se přejímají jako ČN. Protoţe ale hodnocení kvality v oblasti IS/IT je mnohem obtíţnější a hůře exaktně řešitelné, kromě ISO norem existuje i celá řada metodik, návodů, konceptů, modelů, které pomáhají tuto oblast zvládat. Dříve, neţ si něco řekneme k hlavním normám a jejich obsahu, pokusme se zamyslet nad pojmem kvalita4. Pro praktický ţivot a řízení podniků je v současné době důleţitá definice normy ČSN EN ISO 9000:2005: Jakost je stupeň splnění poţadavků souborem inherentních charakteristik, přičemţ •
požadavek je potřeba, která je stanovena buď spotřebitelem, závazným předpisem, nebo se obvykle předpokládá,
•
inherentní charakteristiky jsou vnitřní vlastnosti produktu/procesu kvality, které k němu existenčně patří, tyto charakteristiky mohou být měřitelné (kvantitativní), nebo neměřitelné (kvalitativní).
Kdybychom se pokusili tuto definici upravit pro definování kvality IS, potom kvalita IS je určena poţadavkem uţivatele, respektive informační potřebou uţivatele. V procesně řízených organizacích je tato potřeba ovlivněna kvalitou business procesu, inherentními charakteristikami informačních systémů, tj. o inherentními charakteristikami softwarových produktů, o charakteristikami jejich vývoje, implementace a provozování, inherentními charakteristikami systému poskytování sluţeb, tj. o kvalitou sluţeb5 IT , o kvalitou informací, o kvalitou uţivatelů (určenou jejich znalostmi a dovednostmi).
JEŠTĚ DO NEDÁVNÉ DOBY SE V ČESKÉM JAZYCE UPŘEDNOSTŇOVAL PŘED POJMEM KVALITA POJEM JAKOST. 5 SLUŢBU IT VNÍMÁ UŢIVATEL PODLE (ITSMF, 2008) JAKO „PROSTŘEDEK POSKYTOVÁNÍ HODNOTY ZÁKAZNÍKOVI PROSTŘEDNICTVÍM VÝSTUPŮ, KTERÝCH ZÁKAZNÍK CHCE DOSÁHNOUT BEZ VLASTNICTVÍ SPECIFICKÝCH NÁKLADŮ A RIZIK― 4
- 22 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Materiály týkající IT Governance (především Cobit) se s touto komplexní tematikou vypořádávají tak, ţe nepracují s pojmem kvalita IS, ale s pojmem kvalita informací, kterou chápou jako souhrn následujících atributů: účelnost (Effectiveness) účinnost (Efficiency) důvěrnost (Confidentiality) spávnost a úplnost (Integrity) dostupnost (Availability) soulad s normami (Compliance) spolehlivost (Reliability). Pod dojmem těchto úvah je zřejmé, ţe standardů, které řeší některý z aspektů kvality IS/IT je celá řada a je moţné je dělit podle různých hledisek. Obrázek 6 je příkladem takového dělení norem (ev. metodik, nejlepších praktik) s uvedenými příklady, které jsou dále stručně popsány.
Obrázek 6: Druhy a standardy hodnocení kvality v oblasti IS/IT
Kontrolní otázky: 1. Vysvětlete význam a různá hlediska pro dělení standardů z pohledu auditu IS. 2. Vysvětlete pojmy Corporate Governance, Enterprise Governance a IT Governance, jejich význam a vazby pro audit IS. 3. Vysvětlete pojem IT Governance, komu je tento rámec určen a jakým způsobem se dotýká činnosti statutárních orgánů a managementu organizací? 4. Popište pět základních cílů IT Governance.
- 23 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS
<č.>.
5. Uveďte, jaké druhy standardů týkajících se profese auditora IS vydává ISACA ev. jiné organizace. K jednotlivým druhům uveďte příklady. 6. Popište účel a obsah dokumentu ITAF. 7. Uveďte standardy důleţité pro interní audit, jeden z nich si vyberte a popište jeho obsah podrobněji. 8. Co můţe být předmětem norem pro informační bezpečnost? Uveďte příklady. 9. Popište koncepci norem ISO 27000, vyberte si dvě normy z této sady a podrobněji popište jejich obsah. 10. Popište koncepci normy ISO/IEC 21827 IS – Systems Security Engineering – Capability Maturity Model (SSE-CMM) ( ČSN ISO/IEC 21827) 11. Popište cíl, koncepci a základní pojmy normy ISO/IEC 15408 – Evaluation Criteria for IT Security 12. Popište vývoj a obsah pojmu kvalita obecně a jeho specifika ve vazbě na IS. 13. Jak je moţné kategorizovat normy, zabývající se různými aspekty kvality IS? 14. Vysvětlete cíl a obsah sady norem ISO/IEC 25000 označovaných zkratkou SQuaRE. 15. Uveďte příklady zákonů ČR relevantních pro audit IS, dva z nich si vyberte a popište jejich obsah podrobněji. 16. Co je obsahem zákonů SOX a BASEL II, jaký mají vliv na auditorskou profesi.
C L
3. Modul: Metodiky auditu IS Cíle kapitoly: Hlavním cílem je seznámit se s metodikou Cobit 4.1 a rozdíly ve verzi Cobit 5. Doporučená literatura: Autor Název
Svatá Vlasta
Vzdavatel a rok Strany vydání doporuče ného textu Audit informačního Profesional Strany 73 systému Publishing, 2012 -106
3.1. Cobit 4.1 Základní princip metodiky COBIT je postaven na propojení tří různých aspektů řízení informačních technologií v organizacích. Jsou jimi: cíle organizací ve formě poţadavků na vlastnosti (kriteria) dodávaných informací; uvaţují se následující informační kriteria: efektivnost, výkonnost, důvěryhodnost, integrita, dostupnost, shoda, hodnověrnost, zdroje informačních technologií; jako základní zdroje se uvaţují aplikace, informace, infrastruktura a lidé,
- 24 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS procesy; mapa procesů vychází ze čtyř domén, které kopírují ţivotní cyklus řízení IT a jsou označovány zkratkou tvořenou počátečními písmeny anglického názvu domény: PO: Plan and Organise (Plánování a organizace). AI: Acquire and Implement (Akvizice a implementace). DS: Deliver and Support (Dodávka a podpora). MI: Monitor and Evaluate (Sledování a hodnocení). Základní filosofie metodiky Cobit předpokládá, ţe business manaţeři jsou odpovědní za plnění strategických cílů, které musejí mít vazbu na strategické cíle IT. K plnění strategických cílů potřebují informace, na které jsou kladeny (podle povahy business procesů) různé nároky týkající se jejich kvality ve formě poţadavků (kriterií) informací. Kvalitu informací ovlivňují IT procesy, které je moţné uspořádat do uzavřeného ţivotního cyklu (PO, AI, DS a MI). Při realizaci IT procesů se vyuţívají IT zdroje (aplikace, informace, infrastruktura a lidé). Procesy jsou jednoznačně identifikovány zkratkou domény, do které patří a pořadovým číslem procesu v doméně (např. PO5 – Řízení IT investic, jde o pátý proces v doméně PO). Procesy se dále člení na aktivity. Základní jednotkou standardu Cobit je proces, protoţe k němu jsou vázány všechny informace potřebné pro efektivní řízení a hodnocení oblasti IT. Princip metodiky zaloţený na uvedených třech aspektech řízení IT je často zobrazován formou tzv. kostky Cobit.
Obrázek 7: Kostka Cobit
3.2. IT Assurance Guide Předcházející kapitola se věnovala obsahu základních dokumentů metodiky Cobit, a sice Cobit Framework, Control Objectives, Management Guidelines a - 25 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Maturity Models. Informace a znalosti získané na základě studia a aplikace těchto dokumentů jsou klíčové pro pochopení dalších dokumentů, které jsou určené jiným specialistům, mezi jinými i auditorům IS. Pro auditory, resp. „assurance― profesionály Cobit poskytuje dva druhy návodů: IT Governance Implementation Guide: Using Cobit and Val IT, který je zaloţen na kontrolních praktikách (Control practices), pomáhajících zavést kontrolní cíle do praxe, IT Assurance Guide: Using Cobit je zaloţen na etapách a činnostech (testech), které jsou společné kaţdému auditu, pokud jej chápeme jako projekt s určitým ţivotním cyklem. Kdybychom měli shrnout cíle jednotlivých dokumentů formou otázek, na které odpovídají, potom: Cobit Framework: Co je třeba udělat pro zavedení systému kontrol? Control Practices: Jak dosáhnout cílů kontrol? Assurance Guide: Jaké kroky (etapy) má auditor realizovat a jaké druhy testů je potřeba provést ve vazbě na jednotlivé procesy Cobit 4.1 (tj. pro kaţdý z 34 procesů)? Koncepce Dokument IT Assurance Guide6 je primárně určen auditorům IS a „assurance― profesionálům. Jeho cílem je poskytnout návody pro jednotlivé etapy a činnosti ţivotního cyklu auditu a ujištění. Obsahově navazuje na Cobit 4.1, především část věnovanou kontrolním cílům (Control Objectives). Umoţňuje tak provést hodnocení (audit/ujištění) procesu vzhledem k těmto doporučeným cílům. Auditor pak můţe: poskytnout vedení záruky o dodrţování relevantních kontrol, hodnotit rizika vyplývající z nedodrţení těchto kontrol, doporučit opravná opatření. Doporučení a testy jsou zvlášť formulované pro obecné kontroly procesů (PCn), pro aplikační kontroly (ACn) a pro specifické kontrolní cíle procesů (např. PO 5.1 – PO 5.5). Obecné kontroly procesů se mohou pouţívat jako doplněk nebo alternativa ke specifickým kontrolním cílům procesů. Podle dokumentu musí kaţdý projekt ujištění splňovat následujících pět vlastností (Obrázek 8): musí jít o vztah mezi třemi partnery, musí být definovaný předmět ujištění, musí být definovaná vhodná kriteria ujištění, musí být definován proces ujištění, musí být zformulován závěr ujištění. VE TŘETÍ VERZI METODIKY COBIT SE TENTO DOKUMENT NAZÝVAL AUDIT GUIDELINES. TATO TERMINOLOGICKÁ ZMĚNA DOKLÁDÁ TENDENCI K ŠIRŠÍMU CHÁPÁNÍ POJMU AUDIT (VIZ ÚVODNÍ KAPITOLY TEXTU). 6
- 26 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS
Tři partneři: assurance profesionál, strana odpovědná za hodnocený objekt příjemce výstupu
Předmět ujištění (data, systémy, procesy)
Vhodná kriteria ujištění (např. standady, benchmarks, legislativa)
Proces, který assurance profesionál bude realizovat
Závěr zpracovaný assurance profesionállem
Obrázek 8: Pět vlastností projektu ujištění
3.3. Cobit 5 Základní filosofie, která je popsána pro verzi 4.1, zůstává ve verzi 5 nezměněna, i kdyţ je upravena a doplněna tak, aby lépe odráţela současné potřeby podniků. Informace je klíčovým zdrojem pro všechny typy organizací a má svůj ţivotní cyklus: vzniká, uţívá se, uchovává se, zveřejňuje se a ničí se. V celém ţivotním cyklu informace hraje klíčovou úlohu informační technologie. Z těchto důvodů informační technologie proniká a ovlivňuje všechny aspekty podnikatelských i soukromých aktivit. Z těchto úvah vyplývá, ţe cílem řízení organizací by mělo být: 1. řízení kvality informací potřebných pro rozhodování, 2. generování hodnot prostřednictvím investic do IT (respektive pomocí efektivních IT a jejích inovací dosahovat strategických cílů organizace), 3. provozní dokonalost podporovaná spolehlivou a efektivní IT, 4. udrţovat rizika spojená s IT na přijatelné úrovni, 5. optimalizovat náklady IT sluţeb a technologií. Těchto dílčích cílů je moţné dosáhnout tím, ţe se realizují procesy správy a řízení IT (governance procesy a procesy manaţerské). Nejvyšší úrovně řízení včetně statutárních orgánů musí pohlíţet na IT jako na jiná významná aktiva v organizaci a dále musí být zajištěn soulad s právními, regulatorními a smluvními poţadavky kladenými pro tuto oblast. Základem Cobit 5 jsou principy (Principles) a předpoklady (Enablers), které jsou natolik obecné, ţe jsou vhodné pro organizace všech velikostí a typů (ziskové, neziskové, státní). Podrobnější popis principů a předpokladů je obsahem dokumentu Chyba! Nenalezen zdroj odkazů.. Podobně jako Cobit 4.1 zahrnoval celou řadu různých dokumentů, které byly určeny pro různé stakeholdery, podobně Cobit 5 bude zahrnovat v zásadě čtyři skupiny dokumentů: Cobit 5 Framework; popisuje základní rámec (principy, předpoklady, vazby na jiné rámce), Cobit 5 Enabler Guides; jde o dokumenty, které jsou obecným návodem na vytváření předpokladů pro efektivní řízení IT; z těchto dokumentů byl k srpnu 2012 uvolněn dokument Cobit 5 Enabling processes, Cobit 5 Processional Guides; jde o dokumenty určené pro jednotlivé specialisty, jako například auditory, specialisty pro informační bezpečnost,
- 27 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS specialisty pro řízení rizik, apod.; z tento dokumentů byl k srpnu 2012 uvolněn dokument Cobit 5 Implementation, Colaborativní on-line dokumenty, jejichţ prostřednictvím budou uţivatelé Cobit 5 sdílet svoje znalosti získané aplikací předešlých dokumentů. Z uvedených dokumentů jsou jiţ k dispozici tři, a to Cobit 5 Framework Chyba! Nenalezen zdroj odkazů., Cobit 5 Enabler Guides Chyba! Nenalezen zdroj odkazů. a COBIT 5 for Information Security. Z pohledu řízení kvality procesů IT je pro nás nejdůleţitější dokument Cobit 5 Enabling processes, který popisuje procesní model a jeho jednotlivé procesy. Jde podobně jako v případě Cobit 4.1 asi o 200 stránkový dokument , který má tuto strukturu: Kapitola 1popisuje stručně obsah dokumentu a jeho vazby na další dokumenty Cobit 5; rozsah 1 stránka A4), Kapitola 2 vysvětluje úrovně cílů a jejich popis. Popis rovněţ zahrnuje příklady metrik pro podnikové cíle (enterprise goals) a IT cíle (IT goals); rozsah 6 stránek A4, Kapitola 3 představuje na obecné úrovni komponenty popisu kaţdého procesu. Procesy zahrnují jak governance procesy, tak manaţerské procesy a umoţňují nahradit procesy, které byly obsahem dílčích dokumentů Cobit 4.1 (Val IT, Risk IT, ISO/IEC 38500); rozsah 3 stránky A4, Kapitola 4 zahrnuje referenční model procesů tak, jak byl vytvořen v souladu s nejlepšími praxemi a zkušeností expertů. Popis procesů je obecný a je potřeba ho přizpůsobit podmínkám v kaţdé organizaci; rozsah 2 stránky A4, Kapitola 5 je hlavní kapitolou dokumentu a obsahuje podrobný popis všech 37 procesů referenčního modelu; rozsah 176 stránek A4, Příloha A obsahuje mapování procesů mezi Cobit 5, Val IT a Risk IT do úrovně cílů kotrol/řízení; rozsah 8 stránek A4, Příloha B a C zahrnuje mapování mezi podnikovými cíli, IT cíli a procesy Cobit 5; rozsah 5 stránek A4. Popis procesu Cobit 5 Kaţdý z 37 procesů Cobit 5 je popsán ve stejné struktuře, která zahrnuje: identifikaci procesu, oblasti Governance/management, domény, popis procesu (Process Description), popis účelu procesu (Process Purpose Statement), tabulku obsahující IT cíle, na které má daný proces primární vazbu a metriky pro tyto cíle, tabulku obsahující cíle procesu a metriky k těmto cílům, tabulku ukazující vazby mezi klíčovými procesními praktikami a typickými rolemi na všech úrovních řízení a typ odpovědnosti (RACI Chart), tabulku popisující vstupy a výstupy pro jednotlivé procesní praktiky a dále aktivity spojené s jednotlivými procesními praktikami (Process Practices, Inputs/Outputs and Activities), tabulku vazeb procesu na jiné standardy (Related Guidance).
- 28 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Rozdíly mezi verzí Cobit 4.1 a Cobit 5 Z dosavadního popisu procesního modelu v metodice Cobit 4.1 a Cobit 5 jsou zřejmé podstatné rozdíly, které lze shrnout do dále popsaných bodů (volně podle Chyba! Nenalezen zdroj odkazů.. Zavedení nových principů GEIT Cobit 5 je moţné velmi přehledně charakterizovat pomocí pěti základních principů . Tyto principy nebyly v předchozí verzi jasně definovány, některé dokumenty (Risk IT a Val IT) je zcela postrádaly. Těmito principy jsou: 1. Uspokojení potřeb zájmových skupin – základním cílem existence podniků je generování hodnot pro tyto skupiny. Vzhledem k tomu, ţe zájmových skupin je jich více a kaţdá skupina má jiné zájmy, jsou tyto hodnoty různorodé a často jsou v konfliktu. Z těchto důvodů je potřeba, aby se při kaţdém strategickém rozhodování hledaly odpovědi na otázky: Kdo bude mít z výsledku rozhodnutí prospěch? Kdo ponese rizika? Jaké zdroje budou potřeba? Tento princip je podporován například kaskádováním cílů a stanovením metrik umoţňujících hodnocení dosaţení cílů. 2. „End-to-end“ pokrytí podniku – Cobit 5 pohlíţí na procesy řízení IT (governance i manaţerské) jako na součást celopodnikového řízení pokrývající celý ţivotní cyklus IT. Konkrétně je tento princip realizován propojením procesů governance úrovně a procesů manaţerských a dále tím, ţe pohlíţí na informace a IT jako na celopodniková aktiva, se kterými se musí nakládat stejně, jako s jinými aktivy organizací. To znamená, ţe Cobit 5 se nezaměřuje pouze na funkční oblast řízení IT. 3. Aplikace jednoho integrovaného rámce - Cobit 5 je provázán na další rámce a standardy, které podniky nejčastěji vyuţívají. Jde jednak o standardy celopodnikové (např. COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000), ale také o standardy zaměřené do oblasti IT (např. ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI) 4. Podpora holistického přístupu – Cobit 5 definuje 7 předpokladů (Enablers, které jednotlivě, ale i společně mají vliv na to, zda bude cílů dosaţeno. Jde o tyto předpoklady: Principy, politiky a rámce; Procesy; Organizační struktury; Kultura, etika a chování; Informace; Sluţby, infrastruktura a aplikace; Lidé, dovednosti a kompetence. 5. Oddělení úrovně řízení „Governance“ od úrovně řízení „ Management― – tyto dvě úrovně jsou odděleny, protoţe zahrnují jiné druhy činností, vyţadují jiné organizační zabezpečení a slouţí různým účelům. Governance je v odpovědnosti statutárních orgánů a v jejím čele je předseda představenstva. Management je v odpovědnosti exekutivních orgánů v čele s výkonným ředitelem. Nový referenční model procesů Cobit 5 přináší poměrně velké změny v koncepci a obsahu jednotlivých procesů. I kdyţ na první pohled nedošlo k velké změně v počtu procesů (Cobit 4.1 –obsahuje 34 procesů, Cobit 5 obsahuje 37 procesů), hlavní změny se
- 29 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS odehrály na úrovni cílů kontrol/řízení (Control Objectives- v terminologii Cobit 4.1) a praktik procesů/řízení (Process Practices v terminologii Cobit 5). Dokument Cobit 5 Enabling Processes obsahuje ve své příloze A mapující tabulku mezi těmito dvěma procesními modely. Změna terminologie, dekompozice procesního modelu a detailu popisu Pravděpodobně největší změnou v terminologii je opuštění termínu cíl control/řízení – Control Objective a jeho nahrazení termínem procesní praktika – Process Practice, případně manaţerská praktika (Management Practice). Tuto změnu lze jistě uvítat, a to ze dvou důvodů. Prvním důvodem byl nejasný překlad termínu Control Objective do češtiny (překladatelsky správně cíl řízení; logicky ale správně spíše cíl control). Druhým důvodem byla nejasná vazba mezi procesem, cíli kontrol a aktivitami procesu. Nové kaskádování cílů a metrik Jednou z velkých předností verze Cobit 4.1 bylo kaskádování cílů a jejich provázání s doporučenými metrikami. Cobit 4.1 formuloval 4 úrovně cílů: Business cíle (17) členěné do 4 perspektiv BSC IT cíle (28) Cíle procesů Cíle aktivit procesů Cobit 5 pracuje s těmito úrovněmi cílů: Governance cíle (3) Podnikové (Enterprise) cíle (17) členěné do 4 perspektiv podle BSC IT cíle (17) členěné do 4 perspektiv podle BCS Procesní cíle Se změnami kaskádování cílů došlo také ke změně metrik. Celkově lze tedy shrnout, ţe došlo k redukci počtu cílů i metrik, coţ můţe být přínosem, protoţe se tím vyvaţuje rozšíření procesů na oblast governance. Rozšířená RACI matice RACI diagram (RACI Chart) se obsahově rovněţ změnil. Ve verzi Cobit 4.1 byly odpovědnosti formou R- Resposible, A-Accountable, C-consulted a IInformed uvedeny ke kaţdé aktivitě procesu a uvaţoval se omezený počet rolí. Ve verzi Cobit 5 jsou odpovědnosti přiřazeny ke kaţdé praktice a počet rolí byl rozšířen. Změna v hodnocení úrovní zralosti procesů Cobit 5 opouští model hodnocení zralosti procesů, který byl typický pro verzi Cobit 4.1 a který vycházel z modelu CMM (Capability Maturity Model). Přechází na model, který se označuje zkratkou PAM (Process Assessment Model) a je formulován v normě ISO/IEC 15504.
- 30 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Model PAM se sice podobá modelu CMM v tom smyslu, ţe pouţívá 6 úrovní zralosti, avšak jejich vlastní obsah je vymezen přesněji definovanými atributy, které je potřeba navázat na indikátory procesů uvedenými jak ve verzi Cobit 4.1, tak v verzi COBIT 5. Dále mají tyto úrovně jiný věcný obsah, který je určován atributy procesu a dále upřesňován definovanými postupy (Practices) a pracovními výstupy (Work Products). Cobit 5 propojuje 5 principů, které organizacím umoţňují vytvořit efektivní governance a manaţerské procesy, jejichţ základem je 7 holistických předpokladů umoţňujících, optimalizaci investic vkládaných do informací a IT. Dále je kladen zvýšený důraz na předpoklady (enablers). Ty se ve verzi Cobit 4.1 sice skrytě objevovaly (např. informace, infrastruktura, aplikace a lidé jako zdroje procesů), avšak nebyly aplikovány konzistentně. Zjednodušeně lze říci, ţe zatímco cílem verze Cobit 4.1 bylo úspěšné zavedení procesů podporujících IT Governance, cílem verze Cobit 5 je zavedení GEIT (Governance of Enterprise of IT), kde procesy představují pouze jeden ze sedmi shora uvedených předpokladů. Kontrolní otázky modulu: 1. Popište příčiny vzniku Governance přístupů a způsob jejich aplikace na různých úrovních řízení organizací. 2. Jaké jsou základní principy (domény) IT Governance? 3. Čím se zabývá organizace INTOSAI? 4. Popište principy metodiky auditu IS podle INTOSAI. 5. Porovnejte metodiku INTOSAI a Cobit. 6. Popište cíl, principy a vazby metodiky IT Assurance Guide k metodice Cobit? 7. Co je součástí popisu procesu podle dokumentu IT Assurance Guide? 8. Popište ţivotní cyklus auditu podle dokumentu IT Assurance Guide. 9. Zvolte si příklad a prezentujte na něm hlavní etapy auditu podle dokumentu IT Assurance Guide. 10. Popište historii a princip metodiky Cobit 4 (vyuţijte k tomu tzv. Kostku Cobit). 11. Podrobněji popište procesní dimenzi metodiky Cobit. 12. Co je obsahem popisu kaţdého procesu v metodice Cobit? 13. Jaké druhy kontrol se rozlišují v metodice Cobit? 14. S jakými druhy cílů a metrik se pracuje v metodice Cobit? Jakou mají vzájemnou vazbu? 15. Vysvětlete princip modelů zralosti a způsob jejich vyuţití v metodice Cobit. 16. Vysvětlete principy Cobit 5 a jeho rozdíly proti verzi 4.1.
- 31 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS
C L
<č.>.
4. Modul: Obecné nástroje/postupy auditu IS Cíle kapitoly: Kapitola seznámí studenty se základy teorie analýzy rizik a kontrolních systémů. Dále se studenti seznámí s náleţitostmi základních dokumentů doprovázejících všechny druhy auditu: smlouva na audit a výstupní auditorská zpráva. Doporučená literatura: Autor Název
Svatá Vlasta
Vzdavatel a rok Strany vydání doporuče ného textu Audit informačního Profesional Strany systému Publishing, 2012 111 -167
4.1. Analýza rizik Proces řízení rizik se opírá o několik prvků, které jsou v současné době jiţ více méně shodně interpretovány různými standardy (metodikami, rámci). Tyto prvky mají mezi sebou sloţité vazby, které ukazuje Obrázek 9. Aktiva – něco, co má hodnotu (měřitelnou nebo neměřitelnou), kterou je potřeba chránit, včetně lidí, infrastruktury, informací, financí a pověsti. Hrozba – jakákoli situace nebo událost, která můţe způsobit škodu systému. Agent hrozby – metoda nebo věc, která vyuţije slabinu aktiva (např. motivace, zdroje, schopnost). Událost hrozby – fáze působení hrozby na slabinu systému. Slabina – vlastnost, která můţe být vyuţita hrozbou (např. heslo, které se nemění, hořlavý koberec, špatně nastavený firewall). Chybějící kontrola je povaţována za slabinu. Prostředky ochrany je označení pro jakékoliv kontroly nebo měřítka, která zvyšují pruţnost, odolnost nebo spolehlivost IT sluţeb. Riziko – potenciál ţe daná hrozba vyuţije slabinu aktiva a způsobí ztrátu nebo zničení aktiva. Residuální riziko – riziko spojené s událostí, kdy existující kontrola redukuje dopad nebo pravděpodobnost události a která se bere na vědomí.
- 32 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Jsou odpovědní za
Vlastníci
Kontroly Chrání před a detekují
Soustřeďují se na
Ruší nebo snižují
Redukují
Rizika Závisejí na
Agent hrozby
Hrozby
Využívají
Slabiny
Aktivují
Aktiva
Mají
Obrázek 9: Prvky analýzy rizik a jejich vazby
Riziko se obecně definuje jako kombinace pravděpodobnosti, ţe dojde k neţádoucí události a následků, které z takové události mohou vzniknout. Riziko je přímo úměrné slabině, pravděpodobnosti a velikosti škody. Riziko celopodnikové (business) je riziko, ţe bude negativně ovlivněna kvalita kontrolního systému, tj. především účelnost a hospodárnost provozních aktivit (Operations), spolehlivost finančního výkaznictví (Financial reporting) a soulad s regulacemi (Compliance). Riziko IS/IT je riziko, ţe bude porušena kvalita IS, tj. půjde o porušení účelnosti (effectiveness), účinnosti (efficiency), souladu s regulacemi (compliance) a spolehlivosti reliability). Dokument [RISK_2009] ve snaze překonat bariéry mezi business riziky a riziky IS/IT dokonce definuje riziko IT jako „business riziko, které je ovlivněné uţíváním, vlastnictvím, provozem, zaváděním a řízením IT v celé organizaci―. Riziko bezpečnosti informací je riziko, ţe bude porušena důvěrnost (confidentiality), integrita (integrity) a dostupnost (availability) aktiv. Proces řízení rizik (Risk Management) je různými zdroji popisován různě. V zásadě se ale všechny zdroje shodují v tom, ţe zahrnuje tři základní etapy: určení základních východisek pro proces řízení rizik (určení poţadavků a kriterií hodnocení rizik významných aktiv), hodnocení rizik – stanovení pravděpodobnosti, ţe určité hrozby vyuţijí existujících slabin aktiv a způsobí škodu, ošetření rizik – stanovení kontrol, která rizika sníţí na akceptovatelnou úroveň.
- 33 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Analýza rizik, respektive určování velikosti rizik (tj. pravděpodobnosti rizika, velikosti škody a faktorů rizika) je nedílnou součástí všech procesů řízení rizika. Její podrobný průběh se ale můţe řídit různými postupy a technikami. Jejich základní dělení nabízí norma ISO/IEC 27005, která rozlišuje následující přístupy: základní přístup, neformální přístup, podrobná analýza rizik, kombinovaný přístup. Přístupy se liší rozsahem analýzy rizik, jejich rychlostí a samozřejmě také finanční náročností. Vzhledem k tomu, ţe získané informace jsou pro bezpečnost organizace zásadní, jsou uvedené výsledky utajované a přístupné pouze omezenému okruhu lidí z vedení organizace a poté těm, kdo z nich v další práci vycházejí. Zjištěná rizika by následnou činností měla být ošetřena tak, aby se jednak sníţila pravděpodobnost vzniku bezpečnostního incidentu, nejlépe na nulovou pravděpodobnost, jednak se sníţily následky incidentu, viz výše. Analýzu rizik je nutno pravidelně opakovat, a to z toho důvodu, ţe situace v organizaci i bezpečnostní situace se stále mění. Při pouţití základního přístupu se rychle zavedou určitá bezpečnostní opatření a ţádná podrobnější analýza se vlastně neprovádí. Tato opatření jsou obvykle přejata z nějakého standardu v oblasti bezpečnosti IS. V podstatě se pouze porovná doporučený standard s jiţ aplikovanými bezpečnostními opatřeními a pouţijí se jen ta, která ještě uţívána nebyla. Kladem je rychlost a úspora všech zdrojů. Záporem je to, ţe jednotlivá bezpečnostní opatření nejsou nijak přizpůsobena konkrétní situaci, a proto mohou být předimenzována nebo poddimenzována. U neformálního přístupu se vychází pouze ze zkušeností osob (osoby), které dané prostředí znají. Kladem je rychlost a nízké náklady, záporů je řada. Metoda závisí pouze na subjektivních znalostech a zkušenostech, a nikoliv na objektivním hodnocení podpořeném vhodnými prostředky. Proto se doporučuje pouze jako počáteční krok, který bude následovaný podrobnou analýzou rizik. Podrobná analýza rizik je nejpřesnější, ale i nejnáročnější metodou z hlediska času i peněz. Při tomto postupu se nejdříve musí identifikovat a hodnotit aktiva organizace, poté se ve vazbě na aktiva posoudí hrozby a odhadne se jejich zranitelnost. U některých aktiv, například serverů, je tento postup poměrně snadno realizovatelný. Pokud se ale za aktiva a s nimi spojené hrozby povaţuje např. i poškození dobré pověsti, porušení obchodního tajemství, porušení zákonů, porušení důvěrnosti osobních dat apod., tak je tento typ analýzy velmi obtíţný, pracný a neobejde se bez informovaných odhadů. Protoţe podrobná riziková analýza je velmi náročná (časově i finančně), je moţno provést kombinovaný přístup, kdy se podrobnou analýzou rizik hodnotí pouze vybrané prioritní oblasti (aktiva) a pro ostatní se aplikují méně pracné postupy. Z hlediska způsobu hodnocení velkosti a pravděpodobnosti hrozeb je moţné dále rozlišit kvantitativní a kvalitativní metody. Kvantitativní metody - 34 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Kvantitativní metody jsou z pohledu historie prvním způsobem provádění výpočtu. Rizika se vyjadřují ve spojité škále hodnot, obvykle ve finančním vyjádření. Typickým představitelem je metoda očekávaných ztrát ALE ( Annual Loss Expectancy): ALE = SLE x ARO kde SLE (Single Loss Exposure) je ztráta při jednom výskytu hrozby, ARO (Annualized Rate of Occurency) je vyjádření pravděpodobnosti výskytu hrozby za rok. Kvalitativní metody Kvalitativní metody vyjadřují rizika v diskrétní škále hodnot (např. 1 – 10, A – D, velmi malá – velmi vysoká apod.). Přiřazení hodnot se děje pomocí analytických postupů a subjektivního vyjádření ze strany osob, dělajících analýzu. Subjektivita je také hlavním nedostatkem těchto metod. Příkladem aplikace kvalitativních metod je metoda brainstormingu a metoda bodového hodnocení.
4.2. Kontrolní systémy Pojem kontrola je nedílnou součástí kaţdé teorie řízení. Obecně zjišťuje, zda dosahované výsledky odpovídají výsledkům ţádoucím. V předcházející kapitole bylo řečeno, ţe součástí procesu řízení rizik je hodnocení efektivnosti kontrol a jejich dopadu na velikost rizika. Nedílnou a velmi důleţitou součástí auditorské profese je proto orientace a znalost různých kontrol a kontrolních cílů7, protoţe jedině potom je moţné existující kontroly v konkrétním prostředí analyzovat a vyvodit správné závěry ve formě určení druhů a způsobů testování. Rizika, kontroly a testy tak tvoří základní páteř kaţdého auditu. Kontroly slouţí pro eliminaci nebo sníţení rizik. Součástí kaţdé metodiky pro podporu auditu finančního nebo informačního systému je přehled kontrol (kontrolních cílů), které jsou nezbytné pro správné fungování auditovaného objektu. Těchto kontrol je celá řada a kaţdá metodika je historicky dělila jiným způsobem. V poslední době lze zaznamenat určitý trend k jejich sjednocení. Pro dělení kontrol lze uplatnit různá hlediska, např.: hledisko osoby, která ji vykonává: externí, interní, hledisko pouţití počítačů: automatizovaná, ruční, hledisko času: preventivní, průběţná, následná, hledisko doby trvání: nepřetrţitá (automatizovaná), občasná pravidelná, občasná nepravidelná, hledisko rozsahu: komplexní, dílčí. Pro další úvahy je důleţité odlišit dvojí pojetí kontroly:
V DOKUMENTECH COBIT I COSO SE VEDLE POJMU KONTROLA ROZLIŠUJE POJEM KONTROLNÍ CÍL (CONTROL OBJEKTIVE), KTERÝ VYJADŘUJE VÝSLEDEK NEBO CÍL, KTERÉHO SE MÁ V RÁMCI IT PROCESU DOSÁHNOUT IMPLEMENTACÍ RŮZNÝCH KONTROL (CONTROL PROCEDURES). 7
- 35 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS 1. kontrola jako proces: jde o souhrn činností, při kterých oprávněné osoby nebo organizace poskytují prověrky, audity nebo ujištění, ţe organizace plní svoje cíle. Hlavními vlastnostmi kontroly jako procesu jsou nezávislost, objektivnost, komplexita a formalizovanost; příkladem je certifikační audit informační bezpečnosti, audit IS, finanční audit, finanční kontrola apod., 2. kontrola jako systém: znamená systém dílčích kontrol, který pomáhá v rámci organizace plnit stanovené cíle (interní kontrolní systém); jeho hlavními vlastnostmi je hospodárnost, efektivnost a účelnost. Výsadní postavení mezi různými druhy kontrol má finanční kontrola. Tato kontrola je v České republice upravena zákonem 320/2001, o finanční kontrole. V kapitole Chyba! Nenalezen zdroj odkazů. byl tento zákon zmiňován v souvislosti se standardy interního auditu. V této části se zaměříme na to, jakým způsobem definuje finanční kontrolu a do jaké míry se zabývá kontrolami IS. Zákon vymezuje uspořádání a rozsah finanční kontroly vykonávané mezi orgány veřejné správy, mezi orgány veřejné správy a ţadateli nebo příjemci veřejné finanční podpory a uvnitř orgánů veřejné správy. Stanoví předmět, hlavní cíle a zásady finanční kontroly vykonávané podle tohoto zákona a podle zvláštních právních předpisů. Vyhláška uvádí podrobnosti o kontrolních metodách a kontrolních postupech a dále o struktuře a rozsahu zpráv o výsledcích finančních kontrol, postupech a termínech jejich předkládání. Na základě nově přijatých nařízení Evropské unie, jimiţ se řídí programy finanční pomoci Evropské unie pro programové období let 2007 aţ 2013, byl zákon nahrazen novelou, vydanou pod zákonem 298/2007 Sb. Nejvýraznějším rysem novely je doplnění (rozšíření) veřejnoprávní kontroly o audit podle přímo pouţitelných předpisů Evropské unie. Předmětem tohoto auditu je ověřování účinného fungování řídícího a kontrolního systému a ověřování vykázaných výdajů na vhodném vzorku operací při realizaci programů spolufinancovaných z rozpočtu Evropské unie pro programové období let 2007 aţ 2013. Zákon rozlišuje mezi pojetím kontroly jako procesu a kontroly jako systému, i kdyţ terminologicky pro obě pojetí pouţívá termín systém. Říká, ţe finanční kontrola je částí systému finančního řízení a ţe je tvořena: systémem finanční kontroly vykonávané kontrolními orgány (pojetí kontroly jako procesu), systémem finanční kontroly vykonávané podle mezinárodních smluv (pojetí kontroly jako procesu), vnitřním kontrolním systémem v orgánech veřejné správy (pojetí kontroly jako systému). Vnitřní kontrolní systém je dále upřesněn tak, ţe zahrnuje: a. řídící kontrolu: finanční kontrolu zajišťovanou odpovědnými vedoucími zaměstnanci jako součást vnitřního řízení orgánu veřejné správy při přípravě operací před jejich schválením, při průběţném sledování uskutečňovaných operací aţ do jejich konečného vypořádání
- 36 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS a vyúčtování a následném prověření vybraných operací v rámci hodnocení dosaţených výsledků a správnosti hospodaření, b. interní audit: organizačně oddělené a funkčně nezávislé přezkoumávání a vyhodnocování přiměřenosti a účinnosti řídící kontroly, včetně prověřování správnosti vybraných operací. Podle zákona má realizovat finanční audity, audity systémů a audity výkonu. Mezi hlavní cíle finanční kontroly patří: dodrţování právních předpisů a opatření přijatých orgány veřejné správy v mezích těchto předpisů při hospodaření s veřejnými prostředky k zajištění stanovených úkolů těmito orgány, zajištění ochrany veřejných prostředků proti rizikům, nesrovnalostem nebo jiným nedostatkům způsobeným zejména porušením právních předpisů, nehospodárným, neúčelným a neefektivním nakládáním s veřejnými prostředky nebo trestnou činností, včasné a spolehlivé informování vedoucích orgánů veřejné správy o nakládání s veřejnými prostředky, o prováděných operacích, o jejich průkazném účetním zpracování za účelem účinného usměrňování činnosti orgánů veřejné správy v souladu se stanovenými úkoly, hospodárný, efektivní a účelný výkon veřejné správy. Zaměříme-li svoji pozornost na interní kontrolní systémy, potom, abychom si plně uvědomili postavení IT kontrol v organizacích, je třeba rozlišit nejméně tři různé úrovně řízení a v jejich kontextu i tři druhy IT kontrol. Toto rozlišení schematicky ukazuje Obrázek 10.
- 37 -
Atd.
Proces logistika
Proces výroba
IT služby OS/data/aplikace/sítě
Atd.
Aplikační kontroly Kontroly zabudované do podnikových aplikací, např.: - úplnost - správnost - platnost - autorizace - oddělení povinností
Exekutivní řízení
Proces finance
Kontrolní prostředí celkový přístup managementu ke kontrolám, např.: -zavádění principů IT Governance -získávání certifikací, -existence politik, programů apod.
Obecné kontroly Kontroly, které jsou součástí IT sluţeb, např.: - tvorba programů - řízení změn - provoz počítače - přístup k datům a programům
Vlasta Svatá Předmět: Řízení kvality (audit) IS Obrázek 10: Vazby mezi úrovněmi řízení a druhy kontrol IT
Úroveň exekutivního řízení je odpovědná za podnikatelskou strategii, definuje cíle, politiky k jejich dosaţení a rozhodnutí o zdrojích potřebných pro jejich dosaţení. Totéţ se provádí i v oblasti IT. Definují se strategie rozvoje IT ve vazbě na podnikatelskou strategii, stanovují se IT politiky a definují potřebné IT zdroje. Tato úroveň odpovídá za celkové kontrolní prostředí v organizaci. Úroveň podnikatelských procesů představuje mechanismus vytváření hodnoty. Zahrnuje vstupy, zpracování a výstupy. V současné době jsou podnikatelské procesy stále více automatizované a integrované s komplexními a vysoce efektivními IT systémy. Této úrovni odpovídají aplikační kontroly (např. viz Cobit aplikační kontroly AC1 – AC6). Úroveň IT služeb zahrnuje sdílené sluţby, které vyuţívá více neţ jeden proces nebo útvar a jsou často dodávány jako společné sluţby. Jde např. o řízení bezpečnosti, telekomunikační sluţby, vyuţívání počítačové paměti apod. Obvykle jsou řízeny centrálním útvarem IS/IT. Tato úroveň odpovídá za obecné IT kontroly (např. viz Cobit kontrolní cíle 34 procesů ve čtyřech doménách).
4.3. Smlouva na audit Smlouva na audit je nezbytná v případě externího auditu. Jejím cílem je nastavení základních parametrů auditu. Předmět auditu znamená vymezení objektu (prvku) informačního systému. V některých případech zadavatel auditu dokáţe popsat, co by mělo být předmětem auditu (například určitý projekt, aplikace, proces, role nebo datová struktura, ISMS apod.). V těchto případech se většinou jedná o externí audity. V řadě případů externích auditů a téměř u kaţdého auditu interního ale tomu tak není, a potom musí auditor (s pomocí zadavatele) předmět sám určit a ohraničit. Je to důleţité proto, aby před zahájením auditu byla jasná omezení a moţné přínosy auditu a předešlo se tak nedorozumění v očekáváních mezi zadavatelem a auditorem. Auditor při plánování můţe postupovat několika různými způsoby, které by měl ideálně vzájemně kombinovat: vertikální přístup upřednostňuje „postup shora dolů― a auditor se nejdříve seznamuje se strategickými cíli podniku, vybírá ten nejdůleţitější nebo nejrizikovější, cílům přiřazuje vhodné IT cíle a ty potom provazuje na vhodné IT procesy a jejich kontrolní cíle. Tento postup je plně podporován metodikou Cobit, horizontální přístup upřednostňuje pohled jednotlivých objektů/prvků IS, kterými mohou být aplikace, datové objekty, zařízení, lidé, které se potom se sdruţují například podle business procesů, podle funkčních oblastí řízení podniku (organizační struktury), prvků infrastruktury nebo dat,
- 38 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS přístup vyuţívající analýzu rizik vychází z mapování jednotlivých aktiv (prvků) IS, jejich slabin, hrozeb (velikosti škody, jakou mohou způsobit a pravděpodobnosti realizace) a na jejich základě definuje předmět auditu, dynamický přístup upřednostňuje ţivotní cyklus IS a jeho prvků od pořízení, testování, implementaci, provozování a monitorování aţ po vyřazení nebo zrušení. Auditor se zaměřuje na nové nebo uvaţované prvky IS, nebo na ty, které naopak fungují jiţ delší dobu bez větších změn. Cíl auditu má úzkou vazbu na předmět auditu. Pokud se např. vytipuje, ţe předmětem auditu bude určitý proces, aplikace, projekt, potom je třeba upřesnit, jaký atribut nebo atributy tohoto prvku bude audit hodnotit. V zásadě můţe jít o účelnost, účinnost, bezpečnost, soulad s regulacemi a spolehlivost. Auditor společně se zadavatelem a ve vazbě na konkrétní předmět auditu můţe určit i jiné atributy (např. pro aplikaci snadnost údrţby, pro proces míru automatizace, pro projekt délku trvání a vazby na jiné projekty). Jak u předmětu, tak u cíle auditu by se měla specifikovat jejich případná omezení. Rozsah, respektive hloubka auditu, určuje, zda se provedou všechny tři etapy kroky etapy Realizace tak, jak byly popsány v Kapitole Chyba! Nenalezen zdroj odkazů. Chyba! Nenalezen zdroj odkazů. a označeny písmeny A,B,C. Jinými slovy jde o to, zda auditor provede pouze porovnání vůči nějakému vybranému kriteriu hodnocení předmětu a cíle auditu, většinou na základě studia dokumentace a rozhovorů s odpovědnými pracovníky. Výstupem potom bude hodnocení toho, jak předmět splňuje náleţitosti kriteria, co je potřeba doplnit, upravit. Na této úrovni podrobnosti probíhá většina certifikačních auditů. Podrobnější rozsah auditu zahrnuje po předcházející etapě testování toho, jaké reálné výstupy předmět auditu poskytuje a co se s nimi dělá. Vyuţívají se přitom různé testovací techniky a auditor obvykle musí mnohem intenzivněji spolupracovat s různými externími i interními specialisty. Audit je pak náročnější a draţší. Nejpracnější je audit, který nejen ţe porovnává definovaný předmět s kriteriem a testuje výstupy, ale také se snaţí nejlépe finančně vyjádřit, jaký vliv mají zjištěné nedostatky na cíle podnikání (např. kdyţ proces nemá svého vlastníka, kdyţ mají přístup do databáze neautorizované osoby, kdyţ projekt překročil plánovaný rozpočet). Velmi často není moţné tyto dopady vyčíslit, především vzhledem k faktu, ţe audit by měl mít preventivní charakter, a tudíţ je obtíţné určit, jaké škody by nastaly, kdyţ k nim nedošlo. Jiná situace nastává, kdyţ jiţ k incidentu došlo a auditor má za úkol zjistit škody a případně navrhnout prevenci proti opakování. Typickým příkladem takových auditů jsou forenzní audity. K předchozím dvěma částem smlouvy se váţí i další informace, které se týkají kriterií hodnocení. Jejich upřesnění je důleţité pro zajištění objektivity auditu. Pokud standardy pro daný předmět neexistují, potom by ve smlouvě měly být popsány mechanismy a postupy, kterými se vytvoří (např. rozhovory s manaţery nebo vlastníky organizace, které pomohou určit hranice, a hodnoty metrik, které postaví hranici mezi to, co je pro auditovaného přijatelné (kvalitní, bezpečné) a co nikoliv.
- 39 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Organizace auditu je důleţitá v těch případech, kdy jde o komplexnější podrobný audit, kdy se dá předpokládat, ţe jeho realizaci bude muset provádět více osob. Základním poţadavkem v rámci této části smlouvy je, aby byl auditor (ev. celý tým) nezávislý na auditovaném objektu. Dále je vhodné určit: vedoucího auditorského týmu a jeho členy, místo v organizaci zadavatele auditu, kde budou členové týmu studovat dokumentaci, vést rozhovory, zpracovávat podklady, kontaktní osobu z organizace zadavatele, pravidla pro komunikaci mezi členy týmu a zaměstnanci organizace zadavatele auditu, prostředky, které bude auditor pouţívat (CAAT – Computer Assissted Audit Techniques). Harmonogram auditu je další důleţitou součástí smlouvy, protoţe vymezuje časový úsek, ve kterém se budou realizovat testy, na jejichţ základě se budou formulovat závěry. Auditor se tím jistí pro případ, ţe pokud dojde k nějaké změně v IS mimo toto období, tak se případná rizika s touto akcí spojená nemohou objevit v auditorské zprávě. Harmonogram by měl vycházet z nějaké metodiky, aby průběh auditu splňoval poţadavek formalizovanosti. Dále by měl definovat základní etapy, potřebné vstupy, jejich kroky a výstupy. Při popisu výstupů z auditu IS jsou důleţité tyto informace: počet (výstup musí být vţdy minimálně jeden – závěrečná auditorská zpráva), pokud je výstupů více, mělo by se určit k jakým etapám (krokům, činnostem) v harmonogramu se budou vázat, nebo zda budou mít pravidelný průběh (např. kaţdý týden, měsíc), komu budou výstupy určeny, v jaké formě se adresátům dodají (písemně, elektronicky) a jakými kanály (osobně, mailem, kurýrem, poštou), zda se zpracují dvě verze zpráv: jedna pro manaţery, druhá pro IT specialisty, jaký bude stupeň utajení výstupů, zda bude součástí výstupů i jejich prezentace, do jaké doby má auditovaný subjekt nebo zadavatel auditu reagovat s připomínkami k výstupům auditu. Cena auditu můţe být stanovena po dohodě s klientem jako cena pevná, nebo můţe být odvozena od hodinových sazeb podle ceníku sluţeb. Na výši ceny má často vliv hodnota nebo důleţitost auditovaného předmětu (například cena projektu u auditu projektu, cena aplikace při auditu aplikace, nebo počet zaměstnanců při certifikačních auditech). Další cenové rozdíly jsou způsobeny konkrétní auditorskou firmou nebo osobou auditora, předmětem podnikání auditované strany, nebo tím, zda jde o první nebo opakovaný audit. Kromě těchto klíčových částí smlouvy by smlouva na audit měla obsahovat další části, jako např.:
- 40 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS práva auditovaného (odstoupit od smlouvy, hodnotit kvalitu apod.), právo auditora na přístup k informacím, lokacím, zařízením, softwaru apod. relevantním danému předmětu a cíli, prohlášení auditora o zachování mlčenlivosti o získaných informacích, další části, které jsou běţnými součástmi smluv na dodávku sluţeb (identifikace stran, sankce a penále, náhrada škody, smírčí soud, způsoby ukončení smlouvy, apod.) a které by měly být vypracovány ve spolupráci s právníky obou stran. Někdy je obtíţné všechny tyto části smlouvy bez znalosti konkrétního prostředí určit. Důvodem je buď neschopnost zadavatele auditu přesně specifikovat poţadavky na audit, někdy zase auditor nemůţe odhadnout míru podrobnosti auditu, který poskytne poţadované ujištění o kvalitě dané oblasti IS. V těchto případech se osvědčuje uzavřít dohodu na provedení auditu ve dvou krocích: v prvním provést obecný audit, který se zaměří např. na obecné kontroly (viz metodika COBIT), a teprve po tomto auditu uzavřít dohodu na další, podrobnější audit, který se zaměří na nejrizikovější oblasti, které odhalí audit předchozí. Výstupem z této etapy je uzavřená smlouva na audit. V případě, ţe jde o interní audit, můţe být tato etapa nahrazena vymezením statutu interního auditu a jeho postavení v rámci organizace. V rámci útvaru interního auditu by měla být vymezena odpovědnost za audit IS, tj. popis pozice, popis poţadavků na jeho obsazení (vzdělání, praxe, znalosti konkrétních metodik a technologií podle dané organizace), popis odpovědností a práv.
4.4. Výstupní auditorská zpráva Auditorská zpráva je formální písemná komunikace mezi auditorem, auditovaným a manaţery, případně dalšími zájmovými skupinami. Je základním výstupem auditora. Jejím cílem je pomoci vedení, které musí přijmout odpovědnost za zavedení a udrţování adekvátního systému vnitřních kontrol. Finanční auditoři mají náleţitosti a obsah výstupní auditorské zprávy upravené zákonem 93/2009, Sb, o auditorech §20 Zpráva auditora. Podle tohoto zákona musí zpráva obsahovat: úvod, ve kterém statutární auditor uvádí o jméno a příjmení, adresu místa trvalého pobytu o
identifikaci účetní závěrky nebo konsolidované účetní závěrky účetních jednotek
rozsah provedeného povinného auditu včetně odkazu na auditorské standardy, podle kterých byl povinný audit proveden, výrok auditora, který musí jasně vyjádřit stanovisko auditora, zda účetní závěrka nebo konsolidovaná účetní závěrka podává věrný a poctivý obraz předmětu účetnictví v souladu s pouţitými právními předpisy a účetními standardy; výrok auditora je buď bez výhrad, s výhradou,
- 41 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS záporný, nebo je vyjádření výroku odmítnuto, jestliţe auditor není schopný o výroku rozhodnout, popis všech skutečností, které nejsou obsaţeny ve výroku a auditor je povaţuje za vhodné uvést, zejména významné nejistoty a skutečnosti s významným vlivem na předpoklad časově neomezeného trvání účetní jednotky z důvodu finanční situace účetní jednotky. datum vyhotovení a podpis. Výstupní auditorská zpráva pro audit IS je upravena standardem S7Reporting a návodem G20 – Reporting8. Standard uvádí, ţe „auditor IS musí zhotovit zprávu, která bude mít vhodnou formu odpovídající ukončenému auditu. Zpráva musí uvést organizaci, kde byl audit proveden, příjemce a případná omezení v její distribuci. Dále musí obsahovat rozsah, cíle, dobu, po kterou se audit prováděl, způsob, hloubku a časový rozvrh prováděných činností. Zpráva má také obsahovat nálezy, závěry a doporučení. V případě, ţe auditor měl v průběhu auditu nějaká omezení, měl by je ve zprávě rovněţ kvalifikovat.― Návod G20 rozvádí základní náleţitosti uvedené ve standardu a podrobněji definuje pouţívané termíny. Uvádí, ţe typy sluţeb ujištění, nabízených auditory, mohou být: audit přímý a atestační (direct, attest), přezkoumání (review) přímé a nepřímé (direct, attest), ověřování postupů (agreed-upon-procedures). Jejich podrobnější popis je uveden v kapitole Chyba! Nenalezen zdroj odkazů.. Jak audit, tak i přezkoumání vyţadují: plánování činností, hodnocení efektivnosti návrhu kontrolních postupů, testování efektivnosti provádění kontrolních postupů (způsob, doba a rozsah se budou lišit mezi auditem a přezkoumáním), formulování závěru týkajícího se návrhu a provádění kontrolních postupů podle předem definovaných kriterií. Závěr auditu má formu pozitivního vyjádření a poskytuje vysokou míru ujištění; závěr přezkoumání má formu negativního ujištění a poskytuje niţší míru ujištění. Výstupem z ověřování postupů není vyjádření názoru. Jde o situace, kdy například regulátor vydá nějaká nařízení týkající se kontrolních postupů a auditor má posoudit jejich dodrţování. Cílem potom není poskytnout regulátorovi záruky o efektivnosti těchto postupů, ale spíše uvést nálezy, ze kterých si potom regulátor udělá závěry sám. Názor auditora musí být podpořen sadou dostatečných a vhodných důkazů. Důkazy mají přitom často spíše argumentační neţ průkazný charakter. Audit, 8
OBOJÍ DOSTUPNÉ NA WWW.ISACA.ORG
- 42 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS jehoţ předmětem je systém interních kontrol, má omezení, která vyplývají z podstaty interních kontrol: vedení organizací obvykle vyţaduje, aby náklady interních kontrol nepřevyšovaly jejich přínosy, většina kontrol má formu rutiny, a časem se mění, pravděpodobnost negativního chování lidí je velká, kontroly nejsou součástí jednoho systému, ale jejich části jsou v odpovědnosti jiných organizací (poskytovatelů různých sluţeb), tedy jiných systémů. Dalším problémem auditorských zpráv je jejich aktuálnost. Mezi prováděním testů a zpracováním auditorské zprávy včetně její prezentace můţe uběhnout období, během kterého se mohou realizovat změny, které ovlivní i relevantnost závěrů auditu. Auditor by měl vzít v úvahu tyto tzv. následné události (subsequent events), ale není odpovědný za jejich detekci. Dále uvedené náleţitosti auditorských zpráv obsahují doporučení, která jsou společná pro všechny zprávy a mají formální charakter. Věcný obsah zpráv a jeho členění potom závisí na konkrétním auditovaném objektu (jinou strukturu zprávy bude mít audit projektu, audit aplikace, audit procesu). Společné části auditorských zpráv týkající se efektivnosti kontrol mají dvojí charakter. Jednak jde o identifikační a popisné údaje, a dále jde o různá doporučená prohlášení, která mají za úkol porozumět omezením auditu a jeho výstupu ve formě auditorské zprávy. Identifikační a popisné údaje: název zprávy, identifikace adresáta, popis rozsahu auditu zahrnující: o identifikaci nebo popis objektu auditu (oblasti), o pouţitá kriteria hodnocení nebo východiska hodnocení, o v případě, ţe jde o atest, je třeba uvést hodnotící dokument, ve kterém se vedení vyjadřuje k efektivnosti kontrol, identifikaci účelu auditorské zprávy a těch, kteří se na toto hodnocení budou spoléhat a uvedení omezení pro vyuţití zprávy k jiným účelům nebo pro jiné strany, informace o všech omezeních, které ovlivnily průběh auditu, pokud je to vhodné, součástí zprávy by měla být zvláštní část, která zahrnuje doporučení na opravné akce a reakce odpovědných manaţerů, pokud se kvalifikuje názor auditora, je třeba popsat způsob kvalifikace, vyjádření názoru auditora na to, zda návrh a fungování kontrol v dané oblasti je efektivní (nejlépe v hodnotovém vyjádření),
- 43 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS podpis auditora, adresa auditora datum zpracování zprávy. Prohlášení: ţe za údrţbu struktury efektivních kontrol včetně auditované oblasti je odpovědné vedení organizace, ţe auditor prováděl hodnocení s cílem vyjádřit názor na efektivnost kontrolních postupů, ţe audit byl proveden v souladu se standardy ISACA nebo jinými standardy upravujícími auditorskou profesi, ţe vzhledem k nevyhnutelným omezením jakýchkoliv interních kontrol, můţe dojít k úmyslným nebo neúmyslným chybám, které nebudou podchyceny, ţe jakékoliv spoléhání se na výsledek hodnocení v následujících obdobích po auditu není vhodné vzhledem k měnícím se okolnostem a podmínkám auditované oblasti, audit není určen pro detekci všech slabin kontrol, protoţe neprobíhá nepřetrţitě a testování se provádí na vzorcích. V případě, ţe jde o průběţný audit a bylo zpracováno více zpráv, musí se vytvořit závěrečná zpráva, ve které jsou odkazy na tyto dílčí zprávy. Pokud jsou nedostatky menšího významu, můţe se auditor rozhodnout, zda nálezy probere s odpovědnými pracovníky a po jejich odstranění je nebude uvádět ve zprávě. Pokud tak učiní, měl by to alespoň oznámit odpovědným autoritám. Před započetím auditu by měl auditor zjistit, zda v dané oblasti jiţ audit probíhal. Pokud ano, součástí auditorské zprávy by mělo být i posouzení toho, jak organizace reagovala na doporučená opatření předchozího auditu. Kontrolní otázky modulu: 1. Vyjmenujte základní etapy postupu auditu a porovnejte tyto etapy s postupem uvedeným v dokumentu IT Assurance Guide. 2. Jaké body upřesňující předmět smlouvy na audit IS jsou důleţité? 3. Popište obsah etapy předběţného plánování a její výstupy. 4. Popište různé úrovně kontrol a rizik, vazby mezi nimi a metodiky, které je upravují. 5. Vysvětlete princip metodiky COSO (COSO Internal Control a COSOP ERM). 6. Porovnejte etapy procesu řízení rizika podle ISO 27005 a metodiky Risk IT 7. Uveďte a definujte základní pojmy procesu řízení rizik. 8. Vysvětlete princip mapy rizik. 9. Diskutujte různé hlediska pro kategorizaci rizik. 10. Popište různé druhy analýzy rizik.
- 44 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS
<č.>.
11. Uveďte různé druhy nástrojů pro podporu procesu řízení rizik, v čem se liší a jaké mají představitele. 12. Vysvětlete pojetí kontroly jako procesu a jako systému. 13. Co je obsahem zákona 320/2001 Sb., o finanční kontrole. 14. Uveďte různá hlediska pro dělení kontrol. 15. Vysvětlete rozdíl mezi Kontrolním prostředím, aplikačními kontrolami a obecnými kontrolami IT, uveďte příklady. 16. Uveďte různá hlediska pro dělení testů 17. Jaké druhy a techniky testů existují z hlediska jejich automatizované podpory. 18. Vysvětlete rozdíl mezi klasickým a moderním pojetím architektury IS. 19. Vysvětlete historii normy ISO 42010, jaké jsou náleţitosti pro popis rámců architektur v připravované verzi normy? 20. Uveďte členění rámců EA (Enterprise Architecture), vyberte si jeden z rámců a popište jeho obsah podrobněji. 21. Diskutujte význam rámců EA pro audit IS. 22. Jaké typy sluţeb ujištění mohou poskytovat auditoři IS? 23. Vysvětlete rozdíl mezi auditem, přezkoumáním a ověřováním. 24. Co by měly obsahovat společné části auditorských zpráv? 25. Jaké typy prohlášení by měly obsahovat auditorské zprávy? 26. Uveďte základní kategorie CAAT, jejich funkcionalitu a představitele.
5. Modul : Vybrané druhy auditů
C
Cíle kapitoly: V kapitole jsou popsány dva druhy auditu: audit útvaru IT a audit procesu IT. V knize Audit informačního systému jsou uvedené další příklady auditů. Na přednáškách se tyto příklady průběţně inovují podle toho, jak se vyvíjí oblast řízení IT Doporučená literatura:
L
Autor
Svatá Vlasta
Název
Vzdavatel a rok Strany vydání doporuče ného textu Audit informačního Profesional Strany systému Publishing, 2012 111 -167
5.1. Audit útvaru Přehled cílů a kriterií Cílem auditu útvaru IT je hodnotit účelnost a účinnost jeho fungování. Tento typ auditu je aktuální pro velké, případně střední organizace, kde
- 45 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS ukazatel podílu výdajů na IT na celkových výdajích organizace vykazuje stále rostoucí trend při stagnující nebo sniţující se úrovni IT sluţeb, nebo kde tento podíl se pohybuje nad 10%9. Impulsem pro tento typ auditu mohou být rovněţ významné organizační změny, například fúze organizací nebo výměna vedení. Dílčí cíle auditu jsou: hodnocení vazeb mezi strategií podniku a strategií rozvoje IT/IS (IT Governance), hodnocení politik a postupů útvaru IT/IS (standardů), hodnocení způsobu řízení a financování útvaru IS/IT, hodnocení způsobu řízení a financování projektů, hodnocení organizační struktury na úrovni podniku a útvaru IS/IT, hodnocení úrovně automatizace řízení útvaru IT. Kaţdý z těchto dílčích cílů můţe být samostatným auditem, který hodnotí dílčí aspekt fungování útvaru. Kriteria Dílčí cíl/audit
Procesy podle metodiky Cobit Hodnocení vazeb mezi PO1 Define a strategic IT strategií podniku a strategií plan rozvoje IT/IS (IT ME4 Provide IT Governance), governance Hodnocení politik a PO8 Manage quality postupů útvaru IT/IS ME3 Ensure compliance (standardů), with external requirements Hodnocení způsobu řízení DS6 Identify and allocate a financování útvaru IS/IT, costs ME2 Monitor and evaluace internal control Hodnocení způsobu řízení PO5 Manage the IT a financování projektů , investment ME2 Monitor and evaluate internal control Hodnocení organizační PO4 Define IT processes, struktury na úrovni organization and podniku a útvaru IS/IT, relationships Hodnocení sluţeb DS2 Manage third –party poskytovaných třetí services stranou 9
Jiná kriteria ISO/IEC 38500:2008 Corporate governance for IT G18 IT Governance
TCO Ukazatelé hodnoty IT Metodika Val IT
G39 Organisation ITIL
TENTO ÚDAJ JE TŘEBA BRÁT ORIENTAČNĚ, PROTOŢE HO NELZE VZTÁHNOUT NA VŠECHNY ORGANIZACE A ODVĚTVÍ.
- 46 -
IT
Vlasta Svatá Předmět: Řízení kvality (audit) IS Hodnocení úrovně Není k dispozici automatizace řízení útvaru IT.
Porovnání s jinými organizacemi podobného zaměření
Tabulka 4: Dílčí cíle a kriteria auditu útvaru IT
Audit vazeb mezi strategiemi podniku a IT Pro hodnocení vazeb mezi strategií podniku a strategií rozvoje IT/IS (IT Governance), neexistuje ţádný konkrétní návod, protoţe je velmi závislý na konkrétních podmínkách (oblasti podnikání, velikosti organizace, míře závislosti na IT, stylu vedení a celkové kultuře v organizaci. Odpovědnost za tuto oblast má nejvyšší vedení organizací. Jako výchozí, ale nikoliv postačující kriterium, je moţné pouţít normu ISO/IEC 38500:2008 Corporate governance for IT, ve které je popsán obecný rámec pro nejvyšší vedení organizací, definující 6 principů IT governance (odpovědnost (responsibility), strategie strategy), pořizování IT (acquisition), provoz (performance), soulad (conformance) a lidské chování (human behaviour). Tyto principy jsou stručně rozpracovány do povinností vedení organizací, a to podle základních tří etap: hodnocení (evaluate), řízení (direct) a monitorování (monitor). Doporučení dalších dokumentů uvedených v tabulce (G18 IT Governance) jsou jiţ podrobnější a lze je shrnout do tří základních úkolů auditora: zhodnotit podnikový strategický plán IT (zda exituje mise, vize pro IT, hlavní iniciativy a potřebné zdroje), zhodnotit proces strategického plánování IT (zda existuje metodika pro tvorbu plánů, která respektuje business plán, zda se proces opakuje – minimálně jednou ročně tak, aby se plány aktualizovaly, zda jsou jednotlivé kroky plánování přiřazené podnikovým rolím), zhodnotit taktický plán IT (zahrnuje např. hodnocení způsobu řízení projektů). Obsahem auditorské zprávy auditu vazeb mezi strategiemi podniku a IT by měly být dvě části. První by se týkala hodnocení procesu zavádění IT Governance, například: popis klíčových procedur, které nejvyšší vedení zavedlo pro realizaci efektivního IT governance a odpovídající dokumentaci, informaci o jakémkoliv nesouladu s jakýmikoliv zákony, politikami, směrnicemi nebo průmyslovými zásadami pro Enterprise Governance, informaci o větších nekontrolovaných rizikách, informaci o neefektivních nebo neúčelných kontrolách a doporučení jak je měnit, celkový závěr o IT Governance. Druhá by se zaměřila na vlastní vazby mezi strategiemi, konkrétně na hodnocení obsahu jednotlivých plánů IT (strategického a taktického plánu) a procesu jejich vytváření včetně potřebných zdrojů a časového průběhu. Jako kriteria mohou v tomto případě slouţit Cobit procesy PO1 a ME4. Vzhledem
- 47 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS k tomu, ţe plánování je hledání rovnováhy mezi poţadavky na různé zdroje IT a moţnostmi jejich zabezpečení, můţe auditor vyuţít i jiné standardy, které upravují postupy týkající se např. strategie informační bezpečnosti, dostupnosti IT, dodávek IT sluţeb, řízení kapacit, plánování projektů, plánování personálního zabezpečení, podnikové architektury apod. Při plánování IT mohou organizace vyuţívat automatizovanou podporu, která se zaměřuje na podrobné zmapování architektury (architectural due diligence), konsolidaci poţadavků a výběr portfolia projektů a jejich monitorování. Tyto nástroje jsou předpokladem pro dosaţení vyšších úrovní zralosti procesů plánování IS/IT. Příkladem mohou být produkty společnosti Alfabet10. Audit politik a postupů útvaru IT Nezbytnost hodnocení politik a postupů útvaru IT/IS (standardů), vychází z předpokladu, ţe pokud má vedení organizace stanovené konkrétní cíle v oblasti IT, potom musí vybudovat mechanismus politik a standardů, které plnění těchto cílů usnadní. Standardy, které se vztahují na oblast řízení IT, se mohou dělit na externí a interní. Na nejvyšší úrovni jsou externí standardy, o jejichţ platnosti by měl rozhodnout management. Nejčastěji se týkají takových oblastí, jako vnitřní kontrolní systém, řízení projektů, řízení bezpečnosti, řízení kvality atd. Přehled oblastí společně s příklady známých standardů ukazuje Obrázek 11.
Oblast řízení kvality ISO 20000, Six Sigma
Oblast plánování BSC, Automated workflow planning methodolopgy
Oblast řízení bezpečnosti ISO 27000
Oblast vývoje aplikací CMMI, ISO 15504, ISO 12207
Oblast řízení IT služeb ITIL
Oblast řízení projektů PMBOK, PRINCE2
IT Governance COSO, COBIT SOX
Obrázek 11: Oblasti řízení IT a jejich externí standardy
Interní standardy mohou být s celopodnikovou platností nebo s platností v rámci útvaru IS/IT. Při určení rozsahu auditu by toto mělo být upřesněno.
10
HTTP://WWW.ALFABET.COM/PRODUCTS/OVERVIEW/
- 48 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Příklady interních standardů s celopodnikovou platností jsou různé politiky, které se přímo netýkají oblasti řízení IS/IT, ale nepřímo ji ovlivňují. Příklady jsou: přijímání nových zaměstnanců, podpory vzdělávání a růstu zaměstnanců, ukončení pracovního poměru, rotace funkcí a prázdninová rotace, školení (při nákupu nových technologií, nezávislé na dodavateli), věcného a časového plánování práce zaměstnanců útvaru a sledování jeho dodrţování, vytváření personálních rezerv (školení více pracovníků na jednu funkci). Další příklady standardů s celopodnikovou platností jsou takové, které se přímo týkají oblasti IS/IT, např.: řízení dat: řízení dokumentace, správcovství (opatrovnictví dat), integrita dat v počítačových aplikacích, metadata, vývoje aplikací: vývoj realizovaný koncovými uţivateli, řízení konfigurace, projektová hlášení, etických zásad: elektronická pošta, vyuţívání internetu, autorská práva softwaru, duševní vlastnictví, bezpečnosti: přístupová práva, financování, zálohování a obnova, vzdálený přístup do systému, manipulace s PC, notebooky a periferiemi, ochrana proti virům, webu: autorská práva a internet, návrh a prezentace webových stránek, archivace, poskytování elektronických sluţeb. Příkladem poslední kategorie standardů jsou ty, které se vztahují na zaměstnance a činnosti pouze v rámci útvaru IT: standardy pro komunikaci, standardy pro poskytování IT sluţeb, standardy pro přijímání a propouštění pracovníků, standardy pro plánování, standardy pro dokumentaci systémů, standardy pro financování útvarů a projektů – rozpočty, standardy pro pořízení SW, standardy pro programování, apod. Audit způsobu řízení a financování útvarů IT Audit způsobu řízení a financování útvarů IS/IT zahrnuje prověření
- 49 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS modelu financování útvaru, systémů zúčtování za poskytované sluţby, rozpočtu útvaru, způsobů vykazování hodnoty IT ve vazbě na podnikovou strategii. Modelů pro financování útvaru IS/IT je celá řada. Dále jsou uvedené nejčastější varianty: útvar IS/IT nemá povahu střediska, náklady na IT/IS jsou reţijními náklady, rozpočet pro IT je součástí celopodnikového plánování, financování IT je zaloţeno na business metrikách (např. náklady na IT se rozpočítávají v rámci podniku mezi jednotlivé podnikatelské subjekty podle jejich podílu na trţbách), financování IT je zaloţeno na IT metrikách. To znamená, ţe se sleduje čerpání jednotlivých zdrojů IT a činnost útvaru se financuje na základě nákladů potřebných pro tyto zdroje, model přímého financování vychází z předchozího modelu, ale náklady určené čerpáním zdrojů se rozpočítávají přímo konkrétním uţivatelům (útvarům, střediskům), např. náklady na aplikaci CRM útvaru marketingu, model financování se opírá o předem dohodnuté ceny IT sluţeb. Tento model funguje tam, kde jsou homogenní sluţby, jako např. roční cena provozu PC. Pokud jsou ale součástí poskytování sluţeb ve větším objemu i nestandardní sluţby, nebo pokud je třeba rozlišovat různé úrovně sluţeb, potom není tento model vhodný, financování se opírá o cenu business transakce (např. cena faktury). Tento model je z pohledu uţivatelů nejlepší, ale současně představuje velký problém pro útvar IS/IT, protoţe stanovit spravedlivě tyto ceny není jednoduché vzhledem ke sloţitosti a propojení systémů a procesů podílejících se na těchto transakcích, financování vychází z předchozích modelů, ve kterých se stanovuje cena za jednotku sluţeb IT, ale tato cena zahrnuje ziskovou sloţku. Získané peníze se potom investují do projektů. Někdy se tento modle označuje jako interní outsourcing. To znamená, ţe jde o obdobný model, jako při poskytování sluţeb externím poskytovatelem. Tento model není častý a vyuţívá se tam, kde se organizace připravuje na vyčlenění útvaru IS/IT do samostatného právního subjektu, tzn. při přechodu na externí outsourcing. Systémy zúčtování za poskytované sluţby se liší v tom, jakým způsobem se přiřazují náklady za čerpání IT zdrojů uţivatelům. Vyuţívají se přitom různé modely, které jsou součástí znalostí o účetnictví. V úvahu připadají dva modely: nákladový model - celkové náklady na IS/IT (přímé, nepřímé, reţijní) se rozpočítávají např. podle počtu uţivatelů nebo organizačních jednotek; jde o nejčastější model,
- 50 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS model ABC (Activity Based Costing, v případě IT jde spíše o model SBC – Service Based Costing) - přímé, nepřímé náklady se zjišťují podle jednotlivých sluţeb (např. help desk) a dále se rozpočítávají podle jednotek sluţeb (poţadavek na help desk), které mohou být rozúčtovány jednotlivým uţivatelům. Reţijní náklady se formou procentní marţe připočítávají k přímým a nepřímým nákladům sluţby. Rozpočet útvaru je velmi důleţitým nástrojem finančního řízení útvarů IT. Rozpočty se obvykle dělí na kapitálové a provozní. Kapitálové rozpočty pokrývají poţadavky na nové investice. Tyto poţadavky se neopakují často a jsou nepravidelné. Prostředky takto pořízené mají delší ţivotní cyklus a odpisují se. Provozní rozpočty zahrnují kaţdodenní výdaje spojené s provozem IS/IT. Výdaje se obvykle člení na tyto poloţky: hardware: licenční poplatky, odpisy, neinvestiční prostředky, vybavení uţivatelů (PC, notebooky), podnikové počítače (servery), řízení dokumentů (tiskárny, skanery), síťová infrastruktura, software: licence, údrţba, nové nákupy, jednorázové poplatky, odpisy aplikací a síťového SW, personální zabezpečení: např. vývojáři, administrátoři, a další výdaje na externisty
obsluha
počítačů,
externisté: konzultanti, řízení procesů, integrační sluţby apod., telekomunikace: mobilní zařízení, hlasové a datové sluţby, externí poskytovatelé sluţeb: vývoj systémů, help-desk apod. podle typu outsourcingu, další výdaje: cestovné školení, nábytek, pronájmy místností, zařízení, spotřeby energií, vody atd. Jiný způsob členění nákladů upřednostňuje procesní přístup, např. vývoj nových sluţeb, aplikací zlepšování existujících sluţeb, aplikací, administrativa, plánování podpora uţivatelů údrţba aplikací údrţba HW. Podle různých statistik (např. Gartner) je poměr mezi poloţkami kapitálového a provozního rozpočtu 20-30% : 80-70%. Z provozního rozpočtu přibliţně jedna třetina připadá na personální zabezpečení. Při procesním členění nákladů největší podíl – aţ 50% - připadá na procesy podpory uţivatelů. Tyto ukazatele je třeba brát pouze jako orientační, protoţe jsou ovlivněny řadou různých faktorů (velikost organizace, podíl outsourcingu, závislost oblasti podnikání na automatizované podpoře, apod.). Auditor by proto při hodnocení efektivnosti útvaru měl vycházet spíše z trendů neţ z absolutních hodnot. - 51 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Hodnocení způsobu řízení a financování projektů je úzce provázáno s předchozím typem auditu. Auditor by měl zjistit, zda existují definované postupy pro výběr investic do IT, zda existuje doporučená metodika pro řízení projektů, zda existují postupy pro řízení portfolia projektů, Jako kriteria hodnocení těchto postupů je moţné pouţít celou řadu existujících metodik pro řízení projektů. Tyto metodiky lze rozčlenit do těchto kategorií: metodiky pro řízení portfolia projektů (Project Portfolio Management): dávají návody jak vytvářet efektivní portfolio projektů v rámci organizace. Příklad Val IT, obecné metodiky řízení projektů: nabízejí rámce pro řízení projektů bez ohledu na oblast aplikace, tedy jsou pouţitelné i pro jiné projekty neţ projekty IT. Opírají se o definovaný ţivotní cyklus, procesy a jejich náleţitosti (vstupy, výstupy, nástroje, odpovědnost). Příklad: PMI – PMBOK, PRINCE2, obecné metodiky pro řízení IT projektů: zabývají se řízením projektů pro oblast IT. Berou tedy v úvahu specifika této oblasti. Příklad: MDIS11, vyhlášky pro ISVS (informační systémy ve veřejné správě), speciální metodiky vázané na produkty (např. ASAP12 pro SAP). Audit způsobů vykazování hodnoty IT Cílem auditu způsobů vykazování hodnoty IT ve vazbě na podnikovou strategii je prověřit zda a jakým způsobem se vykazuje hodnota IT vzhledem k podnikatelským aktivitám. Pro tuto oblast existuje řada metrik, které je moţné členit do tříd podle toho, jaké oblasti řízení IT se týká: metriky provozních rozpočtů: meziroční vývoj rozpočtů, jejich alokace podle organizační struktury, výše rozpočtu jako procento celkových příjmů/výdajů organizace, výše rozpočtu na jednoho zaměstnance, výše rozpočtu na jednoho uţivatele, výše rozpočtu na jednu stanici, podíly jednotlivých poloţek, metriky kapitálových rozpočtů: meziroční vývoj, procento provozního rozpočtu, změny ve struktuře, metriky HW/platforem: počet PC a jejich vývoj, počet serverů a jejich vývoj, objem zpracování operačními systémy, počet zaměstnanců/uţivatelů na 1 kus, apod., metriky personální: podíl zaměstnanců/uţivatelů na jednoho IT zaměstnance, trendy ve vývoji počtu zaměstnanců IT, roční výdaje na školení na jednoho zaměstnance IT, atd. Podrobnější přehled metrik podle domén Value Governance, Portfolio management a Investment management je dostupný v dokumentu [VAL_2008]. 11 12
MDIS – MULTIDIMENSIONAL DEVELOPMENT OF IS [VOR_2008] ASAP - ACCELERATED SAP
- 52 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Audit organizační struktury Audit organizační struktury na úrovni podniku a útvaru IS/IT by měl prověřit organizační entity/role odpovědné za IT Governance (Výbor pro audit, Výbor pro strategii IT, Výbor pro plánování IT, CIO, CSO – Chief Security Officer, CRO – Chief Risk Officer, CCO – Chief Compliance Officer), strukturu útvarů odpovědných za IS/IT (centrální útvar, útvary jednotlivých poboček), způsob dělení pravomocí a odpovědností, vazby, náklady spojené s jejich fungováním. Jako kriterium pro posouzení organizačních entit a rolí odpovědných za IT Governance mohou slouţit všechny dokumenty týkající se IT Governance (zejména např. Board Briefing on IT Governance, IT Governance Implementation Guide: Using Cobit and Val IT), které vymezují jejich odpovědnosti, sloţení a kompetence. Co se týká prověření struktury útvarů odpovědných za IT, jde o velmi pracný úkol, zvlášť v podmínkách velkých nadnárodních organizací, kde existují různé formy centralizace a decentralizace poskytování sluţeb IT. Auditor by se měl soustředit na to, zda jsou všechny klíčové procesy řízení těmito rolemi a útvary pokryty a současně zda se nepřekrývají. Jako východisko úplného výčtu procesů IT můţe slouţit metodika Cobit nebo ITIL. Důleţitým aspektem je zjištění, zda se dodrţuje tzv. princip oddělení odpovědností (segregation of duties). Tento princip organizace nabádá, aby v zájmu sníţení rizik byly vţdy jasně oddělené kompetence: mezi útvarem IT/IS a uţivatelskými útvary, v rámci útvaru IT/IS : mezi vývojem, provozem a testováním. V případě oddělení odpovědností mezi vývojem, provozem a testováním jde především o to, aby jeden člověk nebyl odpovědný za více neţ jednu tuto oblast. Organizace často tento princip porušují s poukazem na jeho finanční náročnost. V tomto případě by však měly existovat náhradní kontroly, které by riziko z porušení principu sniţovaly. Audit úrovně automatizace řízení útvaru IT Audit úrovně automatizace řízení útvaru IT má za cíl zhodnotit míru automatizované podpory řídících a rozhodovacích procesů. Dá se totiţ předpokládat, ţe čím je větší automatizace těchto činností, tím větší procento kontrol je automatizovaných, a tím jsou v organizaci lepší předpoklady pro jejich efektivní fungování. Nástrojů je celá řada a o některých z nich byla jiţ zmínka v předešlém textu. Jejich nevýhodou jsou často poměrně velké náklady na pořízení a údrţbu. To se týká zejména integrovaných nástrojů typu GRC, CABE nebo BTO. Pro střední a menší organizace je proto výhodnější vyuţít nástrojů zabudovaných do aplikací (například ERP systémů) nebo nástrojů, které jsou zaměřené jen na jednu oblast řízení /kontrol (např. řízení projektů, řízení rizika, řízení rozpočtů IT, apod.).
- 53 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS U všech shora diskutovaných dílčích cílů/auditů útvaru IT platí, ţe auditor nejdříve musí porozumět systému existujících kontrol a zhodnotit je podle vybraných kriterií a teprve poté by měl hodnotit jejich efektivitu a prověřit, jak se dodrţují v praxi. V případě, ţe dojde k závěru, ţe se v praxi nedodrţují, měl by posoudit, jaké hrozby a rizika to přináší pro podnikatelské procesy (viz postup auditu podle IT Assurance Guide).
5.2. Audit procesu Přehled cílů a kriterií Audit jakéhokoliv procesu IT je v porovnání s jinými druhy auditu poměrně jednoduchou záleţitostí. Důvodem je, ţe existují dvě kvalitní procesně orientované metodiky, které mohou pro tento typ auditu slouţit jako kriterium. Jde o metodiky Cobit a ITIL. V metodice Cobit je proces Change management součástí domény AI – Acquire and Implement. Proces má označení AI6 Manage Changes. ITIL (Information Technology Infrastructure Library) je podle (ITIL, 2007) veřejně dostupný rámec, který popisuje nejlepší praktiky ve správě sluţeb IT. Sluţbu IT definuje jako prostředek dodávání hodnoty zákazníkovi tím, ţe zprostředkovává výstupy, jichţ chce zákazník dosáhnout, aniţ by vlastnil specifické náklady a rizika. Správa sluţeb (Service Management) je potom mnoţina specifických organizačních schopností pro dodávání hodnoty zákazníkům ve formě sluţeb. Metodika prošla poměrně bouřlivým vývojem. V současné době je k dispozici její třetí verze, která proti předcházející verzi zredukovala počet knih na pět a podřídila jejich řazení ţivotnímu cyklu sluţeb: Service Strategy (Strategie sluţeb), Service Design (Návrh sluţeb), Service Transition (Přeměna sluţeb), Service Operation (Provoz sluţeb), Continual Service Improvement (Průběţné zlepšování sluţeb). Proces řízení změn je součástí knihy Service Transition a má označení ST 4.2 Change Management. Dílčí cíl/audit
Jiná kriteria
Procesy podle metodiky Cobit postupy AI6 Manage changes PC1 – PC6 dopadu, AI6 Manage changes priorit, PC1 – PC6
ITIL ST 4.2 Change management ITIL ST 4.2 Change management
AI6 Manage changes PC1 – PC6 Sledování a hlášení stavu AI6 Manage changes změn PC1 – PC6 Uzavření změny a AI6 Manage changes dokumentace PC1 – PC6
ITIL ST 4.2 Change management ITIL ST 4.2 Change management ITIL ST 4.2 Change management
Standardy a procesu Hodnocení určování autorizace Naléhavé změny
Tabulka 5: Dílčí cíle a kriteria auditu procesu řízení změn
- 54 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Vzhledem k různému zaměření a cílům metodiky Cobit a ITIL je zřejmé, ţe jak při implementaci procesů IT, tak i při jejich hodnocení, je výhodné jejich vhodná kombinace. Tuto činnost usnadňují mapující dokumenty, které vydala organizace ISACA (Mapping of ITIL with Cobit 4.1). Přehled dílčích cílů auditu a kriterií viz Tabulka 5. Audit standardů a postupů procesu Dílčí cíl zahrnuje zhodnocení formálního postupu, jehoţ cílem je standardizace řešení všech poţadavků na změny (včetně údrţby) aplikací, procesů, systémů, sluţeb a platforem. Auditor by podle dokumentu IT Assurance Guide měl prověřit, zda tento formální postup zahrnuje: definování rolí a odpovědností, klasifikaci a postup stanovení priorit změn, hodnocení dopadu změn, schválení změn, sledování realizace změn, mechanismus pro kontrolu verzí, dopad na integritu dat, pokyny pro nakládání s naléhavými změnami, plánování kontinuity, vyuţívání systému pro záznam změn, oddělení odpovědností. Dále má prověřit, ţe v případě poskytování sluţeb třetími stranami, jsou i ony součástí procesu a zda jsou ošetřeny ve smlouvách na dodávky sluţeb. Audit hodnocení dopadu, určování priorit a autorizace V tomto případě jde o prověření, zda všechny změny se hodnotí podle toho, jak ovlivní provoz systémů a jeho funkcionalitu. Změny je nutné třídit do různých kategorií, stanovit jejich priority a schvalovat jejich realizaci. Auditor by měl prověřit: zda všichni vlastníci byznys procesů a IT zaměstnanci mají moţnost hlásit změny, ţe existuje standard pro jejich kategorizaci (například změna infrastruktury, operačního systému, sítě, aplikace pořízené, aplikace navrţené, apod.), ţe existují definovaná kriteria pro kategorizaci změn (např. podle poţadavků na technické nebo finanční zabezpečení), ţe se změny hodnotí z pohledu jejich dopadu na infrastrukturu, systémy a aplikace, ţe se změny hodnotí z hlediska souladu s regulacemi a existujícími smluvními závazky,
- 55 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS ţe se kaţdá změna formálně potvrdí vlastníkem business procesu a odpovědným IT odborníkem, vzorek změn a postup jejich hodnocení v rámci procesu. Naléhavé změny V rámci provozu IS/IT dochází k situacím, kdy je potřeba rychle reagovat na problém a není čas na to, aby se změny, které je třeba přijmout v rámci reakce na událost, projednaly v rámci definovaného procesu řízení změn. Z těchto důvodů by auditor měl zhodnotit: zda v rámci obecného procesu řízení změn jsou definovány postupy pro ošetření naléhavých změn, prohlédnout dokumentaci reprezentativního vzorku těchto změn a zkontrolovat, zda jejich ošetření odpovídá definovaným postupům, na základě rozhovorů s personálem zjistit, zda tyto změny byly dodatečně autorizovány a zdokumentovány, prověřit, ţe byla provedena post-implementační kontrola naléhavých změn. Sledování a hlášení stavu změn V rámci procesu řízení změn je potřeba zavést systém sledování a hlášení změn, které nebyly přijaty, schválených změn, které jsou v procesu implementace, a ukončených změn. Cílem je, aby byla jistota, ţe schválené změny byly implementovány podle plánu. Auditor by měl proto: prověřit, ţe takový systém existuje a případní zájemci mají moţnost sledovat postup řízení změn, zkontrolovat, zda jsou definované různé stavy řízení změn (např. změna přijatá, odmítnutá, schválená, ale dosud nerealizovaná, schválená v procesu realizace, ukončená), prověřit, ţe manaţeři mají k dispozici přehledy o délce trvání implementace změn a dodrţování stanovených termínů implementace. Uzavření změny a dokumentace Při implementaci změny je nutné aktualizovat související systémy, uţivatelskou dokumentaci, případně změnit procesy a školit uţivatele. Auditor proto prověřuje: zda se aktualizuje dokumentace (provozní postupy, konfigurace, dokumentace aplikace, informace v nápovědách, školící materiál, archivaci dokumentace změny (před a po implementaci), promítnutí změn v IT do dokumentace podnikových procesů.
- 56 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Kontrolní otázky modulu: 1. Uveďte dílčí cíle auditu útvaru IT a doporučená kriteria pro jejich hodnocení. 2. Diskutujte audit politik a postupů útvaru IT (druhy standardů, příklady) 3. Diskutujte audit způsobu řízení a financování útvaru IT (modely financování útvaru, systémy zúčtování za poskytované sluţby, rozpočet útvaru, způsoby vykazování hodnoty IT ve vazbě na podnikovou strategii). 4. Uveďte dílčí cíle auditu databází a doporučená kriteria pro jejich hodnocení 5. Diskutujte audit vazeb na ostatní vrstvy systému, strukturu databáze 6. Diskutujte obsah auditu ţivotního cyklu databáze podle jednotlivých etap 7. Diskutujte obsah audit přístupu do databáze (typy uţivatelů, druhy kontrol) 8. Diskutujte obsah auditu integrity databáze a ochrany citlivých dat (druhy integrity, druhy kontrol, příklady) 9. Diskutujte obsah auditu kontinuity databáze (druhy záloh, technologie, strategie) 10. Uveďte dílčí cíle a kriteria pro audit procesu řízení změn 11. Diskutujte jednotlivé dílčí cíle auditu procesu řízení změn a doporučené činnosti auditora.
Seznam příloh: Příloha č. 1
Požadavky na písemnou seminární práci 1. Věcné Obsahem práce můţe být: 1. Detailní seznámení s vybraným dokumentem, metodikou, projektem, normou, rámcem, zákonem apod., který je významný pro audit IS jako návod pro jeho postup nebo jako kriterium, které pomáhá audit objektivizovat. S tímto popisem je vhodné také např. uvést údaje o jeho vyuţívání ve světě a v ČR, problémy a výhody jeho aplikace, cenu apod. 2. Návrh na postup auditu vybraného objektu (např. aplikace, IT procesu, sluţby, projektu, technologie) včetně uvedení standardů, návodů a procedur dostupných na webové stránce ISACA (isaca.org). 3. Popis vybrané třídy softwarových nástrojů usnadňující auditorskou činnost (např. produkty typu GRC – Governance-Risk-Compliance SW, obecný auditní software, software pro podporu analýzy rizik informační bezpečnosti apod. 4. Jiný obsah po dohodě s vyučujícím, např. teoretická úvaha o vývoji, obsahu, trendech, problémech atd. auditorských a „ujišťovacích― aktivit, porovnání postavení v ČR a ve světě, porovnání a vazby s jinými druhy auditů (finanční audit, dohled v bankách, audit bezpečnosti) apod.
- 57 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS
2. Formální Práce bude obsahovat následující části: 1. Úvodní list 2. Úvod 3. Vlastní text 4. Závěr 5. Seznam pramenů a literatury Specifikace jednotlivých částí: ad 1) Úvodní list musí obsahovat: obor a ročník studia jméno autora akademický rok absolvování předmětu název předmětu jméno vyučujícího název práce datum odevzdání práce
ad 2) Úvod je přiblíţení a odůvodnění zvoleného tématu, jeho zařazení v širším kontextu, stručný nástin a rozbor nejdůleţitější pouţité literatury, stručné (minimálně v bodech) přiblíţení struktury zpracovaného tématu, jak je zachycen v následující části práce.
- 58 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS ad 3) Autor poloţí otázku (nastíní problém), vypracuje ji, veškerá tvrzení musí být podloţena odkazy, aby bylo zřejmé, o čí názor se jedná, z čeho autor vychází a co jsou jeho vlastní stanoviska a závěry. Odkazy na literaturu v textu budou uvedeny číslem v hranaté závorce, které koresponduje s uvedením zdroje v seznamu pramenů a literatury. ad 4) V závěru provede shrnutí zpracování otázky, kterou poloţil v úvodu a vypracoval v hlavní části. V závěru nesmí být ţádná nová fakta a nepodloţené teze. Úvod a závěr jsou pasáţe, které se vzájemně doplňují. ad 5) Seznam pramenů a literatury musí obsahovat: přehled literatury: knihy, články z odborného tisku přehled dalších (internetových) pouţitých pramenů (pokud s nimi autor pracoval)
!!! Seznamy musí být řazeny v abecedním pořádku !!! Formát dokumentu: velikost písma 12; řádkování 1,5; typ písma Times New Roman; zarovnávání textu do bloku; okraje 2,5 cm na všech stranách dokumentu; text členěný do odstavců; číslované stránky; popis u kaţdého obrázku, grafu či tabulky (př. Obr. 1: Vazba mezi dokumenty Cobit [3]); správné pouţívání citací v textu atd. Citáty musí být v uvozovkách. Doporučený rozsah seminární práce je 6 - 10 stran (úvodní list a literatura se nepočítá).
Seznam obrázků: Obrázek 1: Znázornění procesu ujištění [ITGI_2007]...................................... 10 Obrázek 2: Vývoj domén podle ISACA ........................................................... 13 Obrázek 3: Základní rámec pro ITG ................................................................. 15 Obrázek 4: Pět oblastí ITG ............................................................................... 16 Obrázek 5: Základní struktura dokumentu ITA................................................ 18 Obrázek 6: Druhy a standardy hodnocení kvality v oblasti IS/IT .................... 23 Obrázek 7: Kostka Cobit .................................................................................. 25 Obrázek 8: Pět vlastností projektu ujištění ....................................................... 27 Obrázek 7: Prvky analýzy rizik a jejich vazby ................................................. 33 Obrázek 8: Vazby mezi úrovněmi řízení a druhy kontrol IT............................ 37 Obrázek 11: Oblasti řízení IT a jejich externí standardy .................................. 48
Seznam tabulek: Tabulka 1: Porovnání pojmu kontrola, audit, ujištění ...................................... 10 - 59 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS Tabulka 2: Příklady dokumentů podporujících ITG (dokumenty jsou dostupné na www.isaca.org ) ........................................................................................... 15 Tabulka 3: Etický kodex auditora IS ................................................................ 17 Tabulka 4: Dílčí cíle a kriteria auditu útvaru IT ............................................... 47 Tabulka 4: Dílčí cíle a kriteria auditu procesu řízení změn .............................. 54
Literatura: [ALI_2008 ]
Aligning CobiT® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit, IT Governance Institute, 2008
[BOA_2005]
Board Briefing on IT Governance, IT Governance Institute, ISBN 1-893209-64-4, druhé vydání, 2005
[COB_2007] 933284-72-2
COBIT® 4.1, 2007, IT Governance Institute, ISBN 1-
[COBM_2007]
COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.0, ISBN 978-1-933284-82-X
[COBS_2007]
Cobit Security, 2007, Cobit Security Baseline, ITGI, 2007, ISBN 987-1-9332284-81-1
[DOU_2008]
Řízení bezpečnostri informací, Petr Doucek, Luděk Novák, Vlasta Svatá, Professional Publishing, 2008, ISBN 978-80-86946-88-7
[FLE_2009]
Fleischmann, doktorská disertační práce Audit a hodnocení IS bank, VŠE Praha, 2009,
[FLI_1980]
FLINT, D., An Essay in Audit Theory - The Formulation of Basic Postulates, a Working Paper for the Third Annual Congress of the European Accounting Association, 1980, nepublikováno
[HAM_2003]
Hamaker Stacey, Principles of Governance, Information Systems Control Journal, 3/2003
[HUJ_2008]
Hujňák Petr, sborník Systémová integrace, článek: Business Case: řízení hodnoty a rozsahu ICT projektu, 2008, ISBN 978-80-245-1373-7
[HUJ_2005]
Hujňák Petr, sborník Systémová integrace, článek: Process Governance System, 2005, ISBN 80-245-0895-8
[ISACA_2007]
ISACA, IT Control Objectives for Basel II - The Importance of Governance and Risk Management for Compliance, 2007, ISBN 1893209385 Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition, ISBN 1-933284-29-3, 2006
[ISG_2006]
[ISO_135]
ČSN ISO/IEC TR 13335 – Informační technologie – Směrnice pro řízení bezpečnosti IT
[ISO_218]
ISO/IEC 21827 IS – Systems Security Engineering – Capability Maturity Model (SSE-CMM)
- 60 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS [ISO_275]
ISO 27005:2008 – Information Security – Security Techniques – Information security risk management
[ISO_310] guidelines
ISO 31000:2009
[ISO_420]
ISO/IEC 42010:2007 Systems and software engineering Recommended practice for architectural description of software-intensive systems, 2007
[ISO_912]
ČSN ISO/IEC 9126 Hodnocení softwarového produktu – charakteristiky jakosti a návod pro jejich pouţívání ITGI, IT Assurance Guide using Cobit, 2007, ISBN 1-
[ITGI_2007] 933284-74-9,
Risk management - Principles and
[ITGI_2006]
IT Control Objectives for Sarbanes Oxley, ITGI, 2006, ISBN 1-933284-76-5
[ITGI_2008]
IT Governance Global Status Report—2008, PwC, ITGI, ISBN 978-1-60420-064-5
[ITGI_2009]
An Executive View of IT Governance, 2009, ITGI
[ITIL_2007]
The Introduction to the ITIL Service Lifecycle Book , ISBN 13: 9780113310616, 2007
[ITS_2008] 2008
ITSMF, ITIL V3, Slovníček termínů, definic a zkratek,
[LEI_2010]
Leinhart,2010, Cobit Focus Journal, Volume 2, April 2010,Integrating ISACA Frameworks Into One Overarching Framework
[MAT_2009]
Matishak, Oracle database 11g, :Administration Workshop I.,Oracle Corporation 2009, D50102GC20
[MCC_2008]
BRUCE MCCUAIG, Fundamentals of GRC: Mastering Risk Assessment, Thomson Reuters, 2008
[MIK_2009]
Mikloš Josef, Architektonické rámce architektuře, IDS Scheer ČR, s.r.o.
[OECD_1999] 92-64-17126-6
OECD Principles of Corporate Governance, 1999, ISBN
[RISK_2009]
Risk IT, ITGI, Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT Framework, 2009, ISBN 978-1-60420-111-6
[RYM_2005]
Rym Ayadi, The New Basel Capital Accord and SME Financing, 2005, ISBN 92-9079-591-3
[SAP_2008]
Gerhard Oswald, SAP Service and Support, 3rd edition, SAP Press, ISBN 978-1-59229-089-5
[SVA_2007 ]
Audit informačního systému, Vlasta Svatá, 2007, 1.dotisk 1. vydání, ISBN 80-245-0975-X, 2007
- 61 -
v podnikové
Vlasta Svatá Předmět: Řízení kvality (audit) IS [SWA_1997]
Swanson, Marsh: A system-based conceptual framework for auditing, System Research, Volume 10, Issue 1, 1997
[TOG_2009]
TOGAF ,The Open Group Architecture Forum. 2009. TOGAF Version 9, ISBN 978-90-8753-230-7
[V64_2002]
Vyhláška č. 64/2002, Ministerstvo financí
[VAL_2008] 60420-066-9
Val IT Framework 2.0,2008, ISACA, ISBN 978-1-
[VAN_2009] 0442
Vančura, Časopis E-LOGOS, 20/2009,VŠE, ISSN 1211-
[VOR_2008]
Voříšek Jiří a kol, Principy a modely řízení podnikové informatiky, Oeconomica, 2008, ISBN 978-80-2451440-6
[WEB_1999]
Weber Ron 1999, Information Systems Control and Audit, ISBN 8131704726
[Z93_2009]
Zákon 93/2009 Sb., o auditorech a Komoře auditů České republiky
[Z101_00]
Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů
[Z137_06]
Zákon č.137/2006, o veřejných zakázkách
[Z227_00]
Zákon 227/2000 Sb., o elektronickém podpisu
[Z320_2001]
Zákon 320/2001 Sb., o finanční kontrole
[Z365_00] správy
Zákon 365/2000 Sb., o informačních systémech veřejné
[Z412_05]
Zákon 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti
[Z480_04]
Zákon 480/2004 Sb., o některých sluţbách informační společnosti a o změně některých zákonů
[SOX_02 ]
The Public Accounting Reform and Investor Protection Act, Public Law 107-304-July, 2002
[ISO_154]
ČSN ISO/IEC 15408 Informační technologie Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT - Část 2: Bezpečnostní funkční komponenty Information technology - Security techniques Evaluatution criteria for IT security - Part 2: Security functional components
[ISO_155]
ČSN ISO/IEC 15504-2 Informační technologie Posuzování procesu - Část 2: Realizace posouzení Information technology - Process assessment - Part 2: Performing an assessment
- 62 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS [ISO_122]
ČSN ISO/IEC:2008 Informační technologie - Procesy v ţivotním cyklu softwaru Information technology - Software life cycle processes
[ISO_200]
ČSN ISO/IEC 20000-1:2005 nformační technologie Management sluţeb Část 1: Specifikace Information technology - Service management - Part 1: Specification
[ISO_197]
ČSN ISO/IEC 19770-1, SAM, Informační technologie Správa softwarových aktiv - Část 1: Procesy Information technologie - Software asset management Part 1: Processes
[ISA_401]
Standard ISA 401 – Auditování v prostředí počítačových informačních systémů (Auditing in a Computer Information Systems Environment)
[ISA_315]
ISA 315 Stanovení a vyhodnocení rizik výskytu významné nesprávnosti prostřednictvím znalosti účetní jednotky a jejího prostředí
[ISA_330]
ISA 330 Reakce auditora na vyhodnocení rizika
[COSO_1992]
COSO Internal Controls - Integrated Framework, AICPA, 1992, Product# 990012
[COSO_ERM]
COSO – ERM (Enterprise Risk Management) Integrated framework, AUCPA, 2004, Product# 990015
[KRA_2008]
KRÁL, B., Manaţerské účetnictví, Management Press, 2008, ISBN 978-80-7261-141-6
[THOM_2002]
THOMSET, R,Radical Project Management, Prentice Hall, 2002, ISBN 0-13-099486-2
- 63 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS
Internet: [BASEL_2004]
Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework, http://www.bis.org/publ/bcbs107.htm
[BRE_2003]
Bredeneyer, Dana, Ruth Malan, Raj Krishnan and Aaron Lafrenz, Enterprise Architecture as Business Capabilities Architecture, 2003, http://www.ewita.com/newsletters/10025_files/Enterpris eArchitectureAsCapabilitiesArchSlides.PDF, srpen, 2010,
[CAAT_2009]
A Guide to Computer Assissted Audit Techniques, Computer Assisted Audit Group, 617-887-6996, http://www.mass.gov/Ador/docs/dor/Publ/PDFS/caat.pdf
[COB_2010] isaca.org
COBIT® 5 Design (Exposure Draft), 2010, ISACA,
[DOM_2009]
Domény pro CISA: http://www.isaca.org/Template.cfm?Section=Content_Ar eas&Template=/ContentManagement/ContentDisplay.cf m&ContentID=42391, srpen 2009
[ERN_ 2010]
ERNST and Young: Risk konvergence: The Future State of Governance, Risk, and Control, http://www.technologyexecutivesclub.com/Articles/itgov ernance/futurestate.php
[G11_2008]
G11, 2008 IS Auditing Guideline: G11 Effect of Pervasive IS Controls, ISACA, www.isaca.org
[G13_2008]
G13,ISACA, Auditing Guideline: G13 Use of Risk Assessment in Audit Planning, 2008, www.isaca.org, staţeno červenec 2010
[G8_2008]
G8, 2008, ISACA, Audit Documentation, www.isaca.org
[INT_2006]
INTOSAI, 2006, Methodological Recommendations for Information Systems Audit, http://www.intosaiitaudit.org/16th_ISCITA_lith.pdf, červenec, 2010
[ISA_401]
ISA 401, http://www.auditors.it/public/images/pagine/139/allegati/ A135_ISA_401.pdf
[ISACA_2010]
ISACA, Risk IT Overview,www.isaca.org/KnowledgeCenter/Standards, 2010
[ISCZ_2007]
SACA CZ, Proces provádění auditu IT, ISACA Czech Republic Chapter o.s., www.isaca.cz , srpen 2009
[ISDAC_2009]
ISACA, In Summary: The Taking Governance Forward Mapping Initiative, ISACA Journal, Volume 1, (2009), http://www.isaca.org/Template.cfm?Section=Home&CO
- 64 -
Vlasta Svatá Předmět: Řízení kvality (audit) IS NTENTID=54596&TEMPLATE=/ContentManagement/ ContentDisplay.cfm [ISF_2010]
ISF, 2010, IRAM, https://www.securityforum.org/?page=DocumentView&i temid=4414
[ISO_270]
ISO/IEC 27000, 2009, http://gelisim.org/makaleler/ISO_IEC_27000_2009.pdf, červenec 2010
[ITGI_2007]
IT Governance Trends, IT Governance Institute, 2007 http://www.itgi.org/
[KOD_2004]
Kodex správy a řízení společností zaloţený na principech OECD, 2004, http://www.mpo.cz/dokument2566.html
[LIM_1926]
LIMPERG, The Accountant's Certificate in Connection with the Accountant's Responsibility (The International Congress of Accountants, 1926)
[MAU_1961]
MAUTZ, R.K. and Hussein A. Sharaf, 1961, The Philosophy of Auditing, PDF e-books, http://pdfcatch.net/ebook/mautz+and+sharaf/
[MFCR_2010]
CHJ7 Pokyn pro jednotné provádění kontroly vzorku operací a projektů v rámci strukturálních fondů a Fondu soudrţnosti, http://www.mfcr.cz/cps/rde/xchg/mfcr/xsl/verspr_kontrol a_8566.html
[NBÚ_2005]
NBÚ, 2005, Informace o hodnocení bezpečnosti informačních technologií Common Criteria (CC), www.nbu.cz , červenec 2010
[RAC_2009]
RAC, 2009, http://www.rac.cz/RAC/homepage.nsf/CZ/CRAMM, staţeno srpen 2009
[ROG_2009]
ROGER, EA Comparisons, Object Watch, Inc. Roger Sessions, http://www.objectwatch.com/whitepapers/4EAComparis on.pdf, staţeno srpen, 2009
[SOL_2010]
SOLTANI, An Introduction to Auditing and Assurance, Chapter 1, 2010, vig.pearsoned.co.uk/catalog/uploads/Soltani_C01.pdf
[STA_2010]
Standards, 2010, http://www.isaca.org/KNOWLEDGECENTER/STANDARDS/Pages/default.aspx
[STE_2009]
Steuperaert Dirk, Identify, Givern and Manage IT Risk, Cobit Focus, October 2009, www.isaca.org
[SUR_2003]
SURIN, Abran,SQuaRE, 2003,The second generation of standards for software product quality, http://profs.logti.etsmtl.ca/wsuryn/research/SQE-
- 65 -
ISACA,
Vlasta Svatá Předmět: Řízení kvality (audit) IS Publ/SQuaREsecond%20generation%20of%20standards%20for%20S W%20Quality%20%28IASTED03%29.pdf, červenec 2010 [ŠKO_2008]
Škop, Prodáváme software jako sluţbu, Progress Software, 2008, http://www.progress.com/progress_software/worldwide_ sites/cz/docs/soa/prodavame_software_jako_sluzbu.pdf
[VAN_2004]
Vaníček, Kvalita software ve světle mezinárodních norem, Česká zemědělská universita, Provozně ekonomická fakulta, Katedra informačního inţenýrství, [email protected]
- 66 -