Kontrola poskytování IT služeb zákaznickým auditem ISAE3402 Zora Říhová Vysoká škola ekonomická v Praze, fakulta informatiky a statistiky Ústav informatiky, Jihočeská univerzita, České Budějovice
[email protected] Abstrakt: Externí služby v oblasti podnikové informatiky jsou již běžnou součástí řízení společností - ať už formou částečného nebo úplného outsourcingu souvisí a s trendem zvyšování efektivity hlavních výrobních procesů a dostupností získání kvalitních informatických služeb. Poskytování těchto služeb je třeba sledovat, kontrolovat a stále více sílí potřeba tyto služby auditovat. Mnohdy nestačí mít certifikovaného poskytovatele na normy kvality ISO, ale zákazník mnohdy pro důvěryhodnost poskytnutých služeb a pro potřeby finančního auditu vyžaduje audit podle normy ISAE 3402 (International Standards for Assurance Engagements). Klíčová slova: Audit, poskytování informatickch služeb, ISAE 3402, normy ISO, IT služby Abstract: External services in the field of business informatics are a common part of corporate governance - whether in the form of partial or complete outsourcing trend as related to improving the efficiency of the main production processes and the availability of acquiring high-quality of IT services. The provision of these services is necessary to monitor, control and increasingly growing need for these services to audit. Often not enough to have certified provider of quality standards ISO, but customers can trust for services provided and for the needs of the financial audit request audit accordance with ISAE No.3402 (International Standards for Assurance Engagements). Key words: Audit, provision of informatics services, ISAE 3402, ISO standards, IT services
1. Úvod Externí služby v oblasti podnikové informatiky (IT) jsou již běžnou součástí řízení společností. Správa podnikové informatiky externím dodavatelem (dále jen poskytovatel) ať už formou částečného nebo úplného outsourcingu souvisí s trendem zvyšování efektivity hlavních podnikových procesů a s dostupností kvalitních IT služeb. Poskytování IT služeb je prováděno na základě smluvních ujednání o úrovni poskytování služeb (SLA – Service Level Agreement). Smlouvy většinou předpokládají/vyžadují, že dodavatel IT služeb je certifikován podle norem ISO 90001, ISO 20000-1 a ISO 27001. V případě, že zákazník potřebuje prověřit poskytované služby a jejich provádění, může si vyžádat audit podle ISAE 3402 (International Standards for Assurance Engagements), který je uznáván finančními auditory zákazníka. Postupně bude docházet k tomu, že tak jako se auditují účetní standardy, zda jsou používány správně, bude i v oblast IT stále častěji auditována, zda jsou standardy používány správně na konkrétních datech a konkrétních zakázkách. Zdá se, že tyto 60
SYSTÉMOVÁ INTEGRACE 4/2013
Kontrola poskytování IT služeb zákaznickým auditem ISAE3402
audity budou časem nezbytnými. Důvodem je to, že finální data je nutné auditovat nejen z hlediska práce funkčních specialistů (např. účetních) a lidí, kteří s daty pracují (např. administrátoři), ale i z hlediska automatizovaných informačních systémů (např. v účetnictví nejsou data zpracovávána jen účetními, ale jejich zpracování je automatizováno informačními systémy). Důvodem je prověřovat správnost, pravdivost, důvěryhodnost a oprávněnost zpracování. Jako v jiných oblastech se stala standardem norma, která se osvědčila, tak v případě zákaznického auditu se se tímto standardem stala norma ISAE 3402, která byla reakcí na pád firem Enron a Wordcom a měla ochránit akcionáře i veřejnost před nepravdivým vykazováním finančních výsledků. Norma ISAE 3402 platí od roku 2011 a navazuje na normu SAS 70. Certifikát ISAE 3402 se vydává s platností na daný finanční rok, kterého se týkala kontrolovaná data. Nejlepším způsobem, jak vysvětlit celý postup auditu je uvést příklady z firmy, která poskytuje IT služby a tímto auditem prošla. V příspěvku jsou diskutovány nejdůležitější aspekty a problémy, které se objevily při auditu, který si objednal a zaplatil zákazník. Cílem zákaznického auditu je důkladně prověřit poskytování služeb a soulad se smlouvou, metodikami a reálným prováděním a poskytovatele vybavit certifikátem ISAE 3402, který ověřuje správnost, důvěryhodnost a bezpečnost poskytovaných služeb a jejich výsledků.
2. Metodologické zázemí „Audit obecně je objektivní ověření stavu, jevu, záměru, skutečnosti se stavem nebo jevem žádoucím, tj. modelem, normou, standardem apod. Audit provádí odborník – auditor, výsledkem je komplexní názor ve formě výroku auditora. Audit představuje jeden z nástrojů řízení.“ (SVATÁ, 2012) Můžeme uvést také další definici, která vystihuje podstatu: „Kontrola je souhrn všech politik, procedur, praktik a organizačních struktur, které jsou vytvořené za účelem zajištění objektivní jistoty, že bude dosaženo obchodních cílů a že nežádané události budou předem eliminovány nebo alespoň včas odhaleny a napraveny.“(INSTITUTE, IT Governance, 2007). Další informace s auditní problematikou lze získat i např. v (SANDERSON, 2012), (ELDER, 2010).
Audity podle norem ISO Poskytovatelé IT služeb běžně znají normy ISO jako normy kvality, bezpečnosti či provádění IT služeb. Certifikáty ISO mají platnost 3 roky (každý rok musí být však proveden dozorový audit) a většina IT firem se nechává na tyto normy certifikovat, tedy i tuto certifikaci platí. Normy ISO v zásadě proklamují, že všechny procesy v podniku musejí být zdokumentovány, řízeny a neustále zlepšovány. Nejběžnější certifikace se týkají norem ISO 9001 ISO 2000-1, ISO 27000, ISO 10006, ISO14000, ISO18000. Většinou se poskytovatel na tuto certifikaci připravuje v rámci interního auditu a pak následuje audit provedený externím auditorem, který udělí certifikát kvality vyjadřující shodu s normou (i v případě, že ze strany auditora jsou vyjádřena určitá doporučení, která je nutno respektovat a v následujícím roce zkontrolovat) či eventuálně neshodu a certifikát udělen není (http://www.cqs.cz/Normy/CSN-ISO-IEC20000-12012-Management-sluzeb-pro-informacni-technologie.html).
SYSTÉMOVÁ INTEGRACE 4/2013
61
Zora Říhová
Praxe si ale vynutila auditní postupy, kterými se prověřují služby i u firem, které certifikáty ISO mají. Běžně je kontrola poskytovaných služeb prováděna na základě pravidelného smluvního reportingu (SLA). Jsou však situace, zákazník potřebuje mít jistotu o průběhu poskytování služeb a ne jen reporty v určených intervalech. V tom případě je vhodné použít audit podle normy USAE 3402.
Norma ISAE 3402 ISAE 3402 je mezinárodní standard pro globální zajištění standardů pro reporting a kontrolu servisních organizací, prováděné auditorem, jejichž cílem je vydat pro účely uživatelských účetních jednotek a jejich auditorů zprávu o kontrolách servisní organizace poskytující služby uživatelským účetním jednotkám v případech, kdy tyto kontroly mohou být relevantní pro vnitřní kontrolní systém uživatelských účetních jednotek v oblasti účetního výkaznictví. (http://isae3402.com/ ISAE3402_overview. html). Efektivně se používá od 15.6.2011. Rozšiřuje normu SAS 70 (the Statement on Auditing Standards No. 70), která definuje standardy auditorů, které musí uplatňovat při vnitřních kontrolách v servisních organizacích. SAS 70 byl rozvíjen American Institute of Certified Public Accountants (AICPA) jako zjednodušení souboru kritérií auditorských standardů původně definované v roce 1988. Zároveň je norma ISAE ve shodě s požadavky se Sarbanes Oxley Act (SOX). V ISAE 3402 , stejně jako v dřívější SAS 70, auditorské zprávy jsou klasifikovány buď jako typ I nebo typ II. V typu I auditor hodnotí snahy servisní organizace v době auditu, aby se zabránilo účetním nesrovnalostem, chybám a zkreslení. Auditor rovněž posuzuje pravděpodobnost, že tyto snahy budou produkovat požadované budoucí výsledky. Zpráva typu II obsahuje stejné informace jako v typu I, navíc auditor pokouší určit účinnost dohodnutých kontrol od jejich provedení/implementace. Zprávy typu II obecně zahrnují data v zákazníkem zvoleném šestiměsíčním období. Zprávy jsou součástí finančního auditu zákazníka. Tento audit provádí většinou nadnárodní společnosti, které mají připraveny šablony a rámce, které pak systematicky prověřují. Obsahově se zkoumají stejné oblasti jako v normách ISO 2000-1 a 27000, tedy zejména: Řízení změn, implementace a schválení řešení Logická a fyzická bezpečnost Řízení konfigurace Řízení incidentů a problémů Řízení dat Řízení rizik a to z hlediska : Existence norem, smluv a procesních postupů u poskytovatele nebo zákazníka, podle kterých se postupuje Dodržování těchto dokumentovaných postupů (jak znalosti lidí, tak praktické prověření na vybraných datech)
62
SYSTÉMOVÁ INTEGRACE 4/2013
Kontrola poskytování IT služeb zákaznickým auditem ISAE3402
3. Plánování auditu Shrnuté zkušenosti vycházejí z vlastního působení v oblasti certifikací a auditních projektů u poskytovatele IT služeb v pozici Projekt Managera a Proces@Risk Managera. Auditu podle normy ISAE 3402 předcházely zkušenosti z auditů ISO 20001 a 27001. Tyto audity byly specifické ještě i tím, že probíhaly maticově mezi skupinou států (Dvorak-Rihova,2011), (Rihova 2011) a cílem bylo sjednocení procesních postupů a soulad s normou v rámci skupiny pěti států. Audit ISAE 3402 probíhal také celosvětově u zákazníka a jeho poskytovatelů, nešlo ale o sjednocování procesů, ale o provádění v jednotlivých státech podle dané dokumentace. V každé organizaci by měl existovat plán auditů stanovující termíny interních či externích auditů na daný rok, auditovanou oblast (normu), termín auditu a dobu přípravy na audit a lokality (pobočky), kterých se audit bude týkat. Tento plán vytváří organizace na základě plánovaných událostí, které se v daném roce mají odehrát (např. změna sídla organizace, fúze, významné organizační změny a restrukturalizace apod.). Na základě tohoto plánu začínají zodpovědné osoby v organizaci připravovat audit. Fáze auditu, při kterých musí auditovaná organizace externímu auditorovi poskytovat součinnost jsou: Uzavření smlouvy na audit Předběžné plánování Vytvoření plánu auditu Realizace auditu Závěr a vydání auditorské zprávy Sledování plnění závěrů auditorské zprávy V souladu s teorií probíhal i audit popisovaný v další části. Je uveden příklad průběhu auditu podle normy ISAE 3402, který si vyžádal zákazník jako doložení správnosti prováděných operací. Nestačí pouze plnění smluvních SLA, ale nutno prověřit i jednotlivé postupy práce pracovníků i průchodů dat v systému. Do auditu byly zařazeno osmnáct zemí, které poskytovaly stejnému zákazníkovi IT služby, jejichž výsledky ovlivňují finanční audit zákazníka (servery pro projekty SAP, datová centra). Cílem bylo projít auditem bez neshody a zapracovat všechna doporučení, která z auditu vzešla. Audit prováděla společnost EY – a pro Českou republiku byla určena mnichovská pobočka EY, která si přizvala také česky mluvící konzultanty. Tím bylo zaručeno, že auditoři mohou studovat dodané dokumenty existující v češtině. Smlouvu s auditorem uzavírala centrála poskytovatele ve Francii a jednotlivé státy ji neměly k dispozici. Audit byl naplánován jak z pohledu rozsahu (server, na kterém se zpracovávají aplikace SAP, datové centrum vlastnil zákazník a tak toto centrum nebylo předmětem auditu.), času (stanovené půlroční období říjen 2011- březen 2012). Personálními požadavky byly definovány jen rámcově, neboť zkušenost s tímto typem auditu u nás nebyla. K dispozici byly šablony s oblastmi, které se budou zkoumat. Vždy byla uvedena oblast, testovací kroky a dokumentace k prováděným krokům (viz příklad v Tab 1. Postupovalo se podle postupů nadnárodní konzultační společnosti Ernst@Yang, která tento audit prováděla u všech zúčastněných států.
SYSTÉMOVÁ INTEGRACE 4/2013
63
Zora Říhová
Konzultační společnost předložila s měsíčním předstihem plány auditu, ve kterých se nejprve specifikovaly oblasti, kterých se bude audit týkat (serverů, datových center, projekty SAP apod. – záleželo na konkrétních službách pro zákazníka). Příprava na audit byla minimální, protože z předložených šablon nebylo jasné, jaké konkrétní dokumenty či data budou zkoumány a zároveň audit tohoto druhu byl provádění u poskytovatele poprvé. Tab.1. Příklad šablony pro auditované oblasti Control
Test steps
Evidence to be provided by provider
A Business Continuity framework is in place and uses a consistent process.
A-DS4-1 A: Walk through process and control procedures: For serious and nonforeseeable incidents the All the concerned parties Escalation Manager alerts receive regular training at least two members of sessions regarding the the Emergency procedures and their Management Team of the roles and concerned location in responsibilities. predefined order.
1) BCP / emergency handbook(s) 2) Process descriptions / charts Service Continuity Management (Notfallmanagement) inspected for: - Communication rules - Emergency organization and decition rules.
A managed distribution approach exists to ensure that deliverables are properly distributed to all relevant employees. A-DS4-1 B: Either two members of the Emergency Management Team or one member of it and the Escalation Manager have the permission to decide next steps supported by guidance of the Emergency Handbook. The steps of Emergency Management Team are subsequently checked by the Emergency Manual Team.
64
1) BCP / emergency handbook(s) 2) Process descriptions / charts Service Continuity Management (Notfallmanagement) inspected for: - Emergency organization and decition rules.
SYSTÉMOVÁ INTEGRACE 4/2013
Kontrola poskytování IT služeb zákaznickým auditem ISAE3402
4. Průběh auditu Časová náročnost byla stanovena původně na 5 dní. Ve skutečnosti však audit probíhal 2 měsíce, ve kterých bylo nutno neustále auditorům předkládat metodiky, smlouvy a reálné výpisy dat, na základě kterých se posuzovala správnost poskytovaných služeb. Současně se zodpovídaly dotazy auditorů, které vyplývaly z prostudovaných materiálů (a těch nebylo málo). Důkladnost auditu se zakládala na dokazování: podle jaké metodiky poskytovatele/smlouvy/vyšší korporátní normy/metodiky zákazníka se postupuje zda všichni příslušní pracovníci znají tuto metodiku či smlouvu (jak s ní byli seznámeni) zda deklarované postupy zpracování dat se opravdu používají a konkrétní činnosti jsou dokumentovány a kontrolovány (na zvoleném šestiměsíčním období). Audit probíhal na konkrétním IT prostředí (vybrán byl server, na kterém se provozoval IS SAP pro zákazníka, včetně serveru vývojového a testovacího) a na konkrétních datech z předem stanoveného půlročního časového období. Audit probíhal korektně, velmi důkladně a naprosto důsledně. Oblasti auditu byly tedy dopředu vymezené. Uveďme hlavní oblasti, které se zkoumaly: 1) Reportování – zda je podle požadavků smlouvy, zda jsou pravidelné, kam se ukládají, zda jsou řádně podepsané, pokud zápis vyžaduje podpis, zda jsou případné reklamace ze strany zákazníka a jak jsou vyřízeny. 2) Management dostupnosti a kontinuity je oblast vysoce svázaná s analýzou rizik. Muselo se prokazovat odzkoušení krizových plánů alespoň jedenkrát za rok a bylo nutno prokázat relevantnost jednotlivých opatření v souladu se smlouvou. 3) Analýza rizik - rozdělení rizik na malé (neohrožuje produktivní provoz systému SAP), střední (může ohrozit produktivní provoz systému SAP), velké (ohrozí produktivní provoz) a současně metodika pro analýzu rizik je auditory zkoumána s největší pečlivostí nejen po teoretické stránce, zda je a jak definováno ve smlouvě i v metodikách poskytovatele, ale také po stránce praktického dodržování (výpisy z provozních deníků – zda ke každé změně je uveden stupeň rizika a jaká opatření jsou realizována pro eliminaci rizik – např. kontrola čtyř očí, kdy administrátor jedné směny zkontroluje aktivity druhé směny). Připravenost na rizika a jejich zvládání v jednotlivých případech zabrala mnoho času (zkoumalo se téměř ve všech oblastech, zejména při změnách a testování). Povinný monitoring je důležitou součástí sledování rizik. 4) Management kapacit – zkoumá se existence procesu plánování kapacit včetně odpovědné osoby. Musí existovat kapacitní plán, včetně postupů a technik pro monitorování stavu kapacit. 5) Bezpečnost informací a s tím spojená bezpečnost fyzická i technologická se zkoumala podle zvedených bezpečnostních politik - např. prokázat na kterou pásku se provedla záloha systému, zda se tato páska uložila do bezpečného SYSTÉMOVÁ INTEGRACE 4/2013
65
Zora Říhová
úložiště, jak se označila, zda existuje v tomto úložišti kniha, do které se provede záznam o uložení pásky. Podobné to bylo s prokazováním oprávněnosti vstupů do serverovny, zda jednotlivé vstupy jsou v souladu s knihou vydaných karet, zda jsou karty všechny (problémem by bylo, kdyby někdo z odcházejících zaměstnanců neodevzdal svoji kartu nebo na hostovskou kartu vstoupil někdo bez uvedení v knize karet). Sledovaly se vstupy do servrovny v jednotlivých dnech a odsouhlasovalo se s knihou karet a seznamem oprávněných vlastníků karet). Pečlivě se také ověřovala kontrola např. administrátorských hesel. 6) Management incidentů – zkoumala se funkčnost helpdesku, zda všechny incidenty jsou zaznamenány včetně řešení, jaká je doba řešení incidentu a související komunikace se zákazníkem. 7) Management problémů - auditoři zkoumali dokumentovaný postup pro eskalování incidentu, který nelze jednoduše řešit do řešení problému, dále záznamy o řešení problémů, dobu řešení problémů apod. Na příkladech z databáze ověřovali výpovědi příslušných pracovníků. 8) Management konfigurace – zde bylo třeba dokázat stáří, technickou podporu (smlouvy se subdodavatelem, záruční a pozáruční servis,...) pro jednotlivé používané komponenty. Zde ověřovali auditoři kompletnost databáze, Identifikaci položek konfigurace a jejich záznamy v databázi, nástroj, ve kterém se databáze vedla (s výhradami byl akceptován excel soubor, u kterého není možno ověřit, kdo prováděl určité změny). 9) Management změn - tato oblast si vyžádala detailní péči auditorů, kdy zkoumali zadávání změn (oprávněnost zadavatele) povolování změn (oprávněnost schvalovatele), návrh řešení a jeho odsouhlasení oprávněnými osobami, testování změn (kontrola testů), související dokumentace. I změny technického charakteru bylo nutno mít odsouhlaseny zákazníkem – pokud to výslovně již není ve smlouvě. Tedy i administrátorské (např. rozšíření paměti) a zejména postupy testování. 10) Release management – dokumentace přípravy a uvolnění nových verzí, akceptační testy, akceptační protokoly. Vše bylo zkoumáno po formální i obsahové stránce na vybraných příkladech zvolených auditory. 11) Spokojenost zákazníka byla součástí zjišťování z hlediska pravidelnosti anket a sledování, vyhodnocování a vypořádání eventuálních negativních trendů. Odpovědní pracovníci museli předkládat dokumenty a vysvětlovat. Zatímco audity ISO se věnují zlepšování procesů, audit ISAE zjišťoval současný a minulý stav prováděných služeb. Také se nezkoumal proces rozpočtování a finančního zabezpečení projektu.
5. Vyhodnocení auditu Nálezy auditorů byly čtyř úrovní. Nálezy, které se mohly odstranit ihned (např. dohledat příslušné zápisy, změnit některé formulační nepřesnosti ve vnitřních normách, dohledání všech karet pro vstup do serverovny a jejich soulad s knihou vstupů) a nemusely se uvádět v závěrečné zprávě. Dále nálezy malé (low), které se již v závěrečné zprávě uvedly, ale jejich závažnost nebyla pro výsledek auditu limitující (upozorňovaly na určitou situaci, např. chybějící podpis v zápise z jednání, který se 66
SYSTÉMOVÁ INTEGRACE 4/2013
Kontrola poskytování IT služeb zákaznickým auditem ISAE3402
obratem doplnil, neprůkazný důkaz o znalosti určité normy pracovníky obsluhy serveru, vedení knihy záložních pásek….). Nálezy středního významu (medium) již z hlediska zákazníka by mohly způsobit problémy a byly auditory formulovány jako doporučení (např. zavést důslednou a průkaznou kontrolu čtyř očí při provádění jakýchkoli změn, průkazné testovací plány, metodika vytváření testovacích plánů, písemná dokumentace při přechodu z testovacího prostředí do produkčního, stanovení rizik v provozním deníku při realizaci určité změny a vzhledem k jejímu ohrožení produktivního provozu, výhrady k použití excelu jako databáze CMDB, kdy nelze zajistit průkaznost autora provedených změn,…). Nejzávažnější nálezy kategorie „high“ už jsou závažné nálezy, které mohou mít vliv na produktivní provoz systému a kvalitu poskytovaných výsledků. V našem auditu se objevil nález této kategorie jen jednou (šlo o chybějící dokument, kdy zákazník písemně identifikoval změny, se kterými dopředu souhlasí (tzv. předschválené změny) a není nutné při potřebě této aktivity žádat zákazníka o souhlas (např. technologické změny - rozšíření paměti, mazání starých souborů, zálohování). Zákazník s těmito změnami samozřejmě souhlasil, ale nebyly uvedeny v žádném zápise ani ve smlouvě. Toto doporučení se odstranilo velmi rychle zápisem se zákazníkem, kde byly vyjmenovány činnosti, které jsou tímto dokumentem pokládány předem za schválené. Do této kategorie by patřily nálezy např. pokud by poskytovatel neprokázal obnovení záloh z pásek (alespoň jednou za rok – většinou se systém obnovuje z disků, což je rychlejší), nesoulad výpisu vstupů do serverovny s knihou vstupních karet a jejich vlastníků, politika změny hesel apod. Zápisy nálezů byly formalizovány viz příklad v Tab 2.
Tab.2. Příklad vyhodnocení auditované oblasti Control
Test
Deviation
A-AI7-1 Testing Execution
(A) Selected a sample of changes to IT systems and ascertained through inspection of the change documentation that (1) the changes were documented¸ (2) a formal testing strategy was defined and followed¸ (3) risks were identified and taken into account¸ (4) sign-offs for deployment into the production environment were provided by IT management and customers.
Changes without any impact on the production environment may be tested by the operator performing the change. No four-eye control or further approval is required prior to or post implementation.
Tests are executed according to Atos defined- or to contractual agreed test plans / strategies. The test plans / strategies are developed and followed, taking into account the level of risk / impact classification of the change to the systems.
SYSTÉMOVÁ INTEGRACE 4/2013
Risk
Status
medium
67
Zora Říhová
Na odstranění nálezů všech úrovní trval zákazník (zvláštním reportem se hlásila opatření k nápravě), auditoři doporučovali odstranění nálezů úrovně medium a high. Byl stanoven termín splnění a auditoři tato opatření důkladně zkontrolovali. Auditor pak vydal zprávu , kde byly konstatovány auditované oblasti a výrok bez výhrad pro finanční účely za všechny poskytovatele pro daného zákazníka. V případě eventuální neprovedení nápravných opatření by poskytovatel neobdržel certifikát ISAE 3402 a jeho zpracování a poskytování IT služeb by nebylo považováno za pravdivé. Tím by ani zákazník nezískal finanční audit s výrokem „bez výhrad“ se všemi dalšími důsledky. Audit byl prováděn ve všech státech, kde zákazník měl své poskytovatele a bylo tedy nutno odstranit nálezy všech kategorií a podrobně tyto nápravy zdokumentovat (v každém státě byly v průměru tři chyby úrovně medium, do deseti úrovně low a výjimečně typu high). Pokud by se měl tento audit opakovat, tak určitě je tu již zkušenost s požadavky auditorů a celý průběh by byl časově mnohem méně náročný. V celosvětovém měřítku již byly zkušenosti u poskytovatele s maticovou certifikací na normu ISO 20001 a problematikou procesního sladění mnoha států včetně řízení takto rozsáhlého projektu (Říhová,2011). Audit ISAE 3402 však byl prováděn poprvé a bylo nutno projít velmi důkladnou kontrolou a bezpodmínečně odstranit/zapracovat nálezy auditorů.
6. Zobecnění I v IT firmách je nutno budovat systém kvality a jeho kontrolu, je nutno, aby IT pracovníci znali nejen normy ISO, ale i např. normu ISAE 3402. Je nutné sledovat, zda se objeví nedostatky v samotných systémech nebo jejich dodatečných úpravách, mohou pochybit poskytovatelé a to nejen v personálním zabezpečení, ale i v technologii (nedůsledná administrace, nezkontrolované a nedostatečně testované úpravy programu, ale i manipulace s programem, změny v programu, nasazení nových HW) a mohlo by se stát, že by systém nemusel poskytovat správná a pravdivá data. Doporučení pro poskytovatele IT služeb možno shrnout do následujících bodů: Mít celopodnikovou IT politiku, která je přetransformována do vyžadovaných procesních postupů (dokumentované politiky a plány ) Implementovat potřebné procesy a postupy Provádět soustavné kontroly dokumentovaných postupů a procesů Mít jasně daná pravidla poskytování úrovně sužeb Vybírat a školit zaměstnance Stanovit a dodržovat bezpečnostní pravidla Mít havarijní plány.
7. Závěr Finanční problémy přinutily společnosti i vlády reagovat zvýšenými požadavky na průkaznost, správnost a důvěryhodnost poskytovaných IT služeb ke zlepšení interních i externích kontrol a zabezpečit správnost finančních výkazů. 68
SYSTÉMOVÁ INTEGRACE 4/2013
Kontrola poskytování IT služeb zákaznickým auditem ISAE3402
Zákaznický audit je jedna z možností, jak prověřit služby dodavatele s dopadem na finanční služby a důkladně zmapuje pracovní a bezpečnostní postupy. Certifikát ISAE 3402 je uznatelným dokumentem pro finanční úřady a finanční audit zákazníka, jako důkaz důvěryhodnosti a spolehlivost poskytnutých outsourcovaných IT služeb. Audit tohoto typu je velmi přísným auditem, který platí zákazník a který velmi důsledně zkoumá a vyhodnocuje předkládané dokumenty a data. Tento audit přinutí poskytovatele k uvědomění si důležitých detailů, které často jsou vnímány jako samozřejmé a formální. Audit odhalí slabiny a rizika, kterých si mnohdy poskytovatel ani není vědom, neboť zatím vše funguje a smluvní služby se poskytují. Platí nutnost neustálého kontrolování a zlepšování procesů a tím zvyšování efektivity, kontrolování stavu, ověření nastavení a optimalizace chodu firmy.
Literatura Dvořák,M., Říhová, Z. 2011: Problems of ISO 27001 Matrix certification, In Information Security Summit. Praha: TATE International, s. 41-58. ISBN 978-80-86813-22-6. Elder, R. J., Beasley, M. S., Arens, A. A. 2010: Auditing and assurance services : an integrated approach. Upper Saddle River: Pearson, ISBN 978-0-13-245893-1. INSTITUTE, IT Governance. COBIT® 4.1, 2007: framework, control objectives, management guidelines, maturity models. Rolling Meadows, IL IT Governance Institute, ISBN 19-332-8472-2. ISACA. 2012: IT Audit, Assurance and Control Standards [online]. [cit. 2013-02-20]. Dostupné z: http://www.isaca.org/Knowledge-Center/Standards/Pages/default.aspx http://isae3402.com/ISAE3402_overview.html http://www.cqs.cz/Normy/CSN-ISO-IEC-20000-12012-Management-sluzeb-proinformacni-technologie.html Říhová, Z. 2011: Matrix Certification of the Service Continuity Management Process in a Multinational Corporation. Econ'11. sv. 20, č. 2, s. 61--66. ISSN 1803-3865. Sanderson, I., ISACA. 2012: Help shape ISACA’s IS Audit and Assurance Standards [online]. ISACA, [cit. 2013-02-20]. Dostupné z: http://www.isaca.org/ KnowledgeCenter/Blog/Lists/Posts/Post.aspx?List=ef7cbc6d-9997-4b62-96a4a36fb7e171af& ID=243 Svatá, V.: 2012: Audit informačního systému. 2. vyd. Praha: Professional Publishing, 219 s. ISBN 978-80-7431-106-2. JEL Classification: L86, M42
SYSTÉMOVÁ INTEGRACE 4/2013
69