Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií
Možnosti využití Cobit 4.1 pro auditory IS Bakalářská práce
Autor:
YerzhanBurabayev Informační technologie, Auditor informačních systémů
Vedoucí práce:
Praha
doc. Ing. Vlasta Svatá, CSc
Duben, 2011
Prohlášení: Prohlašuji, že jsem bakalářskou, práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
________________ V Praze, dne 29.4.2011
YerzhanBurabayev
Poděkování Rád bych tímto poděkoval doc. Ing. Vlastě Svaté, CSc. za vedení této práce, vstřícnost a připomínky při tvorbě práce.
Anotace Audit IS je dnes velmi frekventovaným termínem, který vyjadřuje současnou nutnost efektivně řídit IS, posuzovat dopady všech rozhodnutí a správné organizace informačního systému tak, aby byly splněny požadavky uživatelů, smluv, zákonů a jiných regulací. Metodika Cobit reprezentovaná Asociací Auditu a Kontroly Informačních Systémů (ISACA) je jedním z nástrojů, který dává jistý návod na co se zaměřit, pokud chceme zlepšit řízení informatiky v podniku. Prozkoumat možnost využití metodiky Cobit při auditu informačních systémů je hlavním cílem této bakalářské práce. Publikace v úvodní částí obecně seznamuje čtenáře s auditem a jeho vývojem. Ve druhé kapitole věnuje třem základním okruhům governance a více podrobně představuje IT Governance. Dále, ve třetí kapitole popisuje jak se podle jednotlivých etap provádí audit. V dalších dvou kapitolách věnuje samotné metodice a její komponentám a dokumentu IT AssuranceGuide, což je součásti Cobit. V závěrečné kapitole práce ukazuje na příkladu možnost aplikace Cobit při auditu IS. Annotation One ofthe mostdiscussed topics in our days is Information Systems Audit, which represents the current need to effectively manage the Information Systems, assess the impact of all decisionsand proper organization of Information Systems to meet user requirements, contracts, laws and other regulations. The Cobitmethodologyrepresented bythe Information Systems Audit and Control Association (ISACA) and is oneof theinstruments, which makes possible to improveIT managementin theenterprise. The main goal of the thesis is to explore the possibility of using the methodology of the Cobit for IT audit. The introductory part of the thesis is familiarize the reader with the audit and its development. Thesecondchapterdeals withthreebasictypesof governanceand in moredetail presentsITgovernance. The third chapter describes the specific stages of implementation the audit. The next twochapters are devoted tothe methodologyitselfanditscomponentsand deals with the documentof ITAssuranceGuide, whichis part of the Cobit. In thefinalchapter it is demonstratedthe possibility of applying Cobit in IT audit.
Obsah ÚVOD
7
1
9
OBECNĚ
1.1
HISTORIE AUDITU
9
1.2
DEFINICE AUDITU
10
1.3
ASSURANCE
11
2
IT GOVERNANCE
13
2.1
IT GOVERNANCE OBECNĚ
14
2.2
IT GOVERNANCE V KAZACHSTÁNU
16
3
POSTUP PROVÁDĚNÍ AUDITU
3.1 4
19
AUDITORSKÁ ZPRÁVA
22
METODIKA COBIT
24
4.1
ZÁKLADNÍ CHARAKTERISTIKA METODIKY COBIT
25
4.2
PROCESY COBIT 4.1
26
4.3
INFORMAČNÍ KRITÉRIA A ZDROJE
28
4.4
MODEL ZRALOSTI
29
4.5
CÍLE PROCESU
32
4.6
METRIKY
32
4.7
KONTROLY
34
4.8
RACI MATICE (RACI CHARTS)
35
5
IT ASSURANCE GUIDE
5.1
37
IT ASSURANCE ROAD MAP
38
5.1.1
PLÁNOVANÍ (PLANNING)
39
5.1.2
URČENÍ ROZSAHU (SCOPING)
39
5.1.3
REALIZACE
40
6
PRAKTICKÁ CAST
42
6.1
PŘEDMĚT A CÍL AUDITU
42
6.2
POROZUMĚNÍ A DOKUMENTACE ARCHITEKTURY IS PODNIKU
42
6.3
PLÁN AUDITU
43
5
6.4
VÝBĚR PROCESŮ
43
6.4.1
POPIS PROCESU DS5
43
6.4.2
KONTROLNÍ CÍLE PROCESU DS5
46
6.4.3
KONTROLNÍ CÍL DS5.3 ŘÍZENÍ AUTENTIZACE A AUTORIZACE
47
6.5
VYBĚR KONTROL
48
6.5.1
AC1 PŘÍPRAVA ZDROJOVÝCH DAT A JEJICH AUTORIZACE
48
6.5.2
AC2 SHROMAŽĎOVÁNÍ DAT A JEJICH VSTUP
49
6.5.3
AC3 KONTROLY SPRÁVNOSTI, ÚPLNOSTI A PRAVOSTI
50
6.6
REALIZACE AUDITU
51
ZÁVĚR
53
SEZNAM POUŽITÉ LITERATURY
55
SEZNAM TABULEK
56
SEZNAM OBRÁZKŮ
56
6
ÚVOD Informace jsou v dnešní době velice ceněny, žijeme totiž v době, kdy jsou jedním z hlavních aktiv společnosti. Kvalita služeb je na hlavním místě a zajistit tuto kvalitu je třeba, k čemu pomohou tyto systémy. Právě to je odrazem vysokých investic, které jsou pro podnik významné a které je též třeba kontrolovat. Informační systémy uchovávají informace o všech významných činnostech, které ve firmě probíhají. Strategický význam informačních činností je na rostoucí trajektorii. Jelikož důležitost informačních systémů stále stoupá, je třeba zajistit také objektivní ověření stavu a ujištění, jaká je kvalita informačních systémů. Audit IS je definován jako proces, který by měl být opakovatelný. Na základě toho je nutné jej provozovat dle určitých metodik a pravidel, která jsou definována. Cílem práce je prozkoumat, jaké možnosti přináší aplikace metodiky COBIT v rámci auditu, jež se zabývá informačními systémy. Práce je rozdělena na dvě části dle logického uspořádání. V první části seznámím čtenáře s tím, jaké jsou obecné aspekty auditu na základě IS metodiky COBIT. První kapitola se zabývá vývojem auditu ve světě a problémy, které položily základ k používání různých norem a metodik auditu, definuje také audit z obecného hlediska. Následující kapitola stručně popisuje IT Governance a také problematiku významu a správy IT společnosti. Obecný postup auditu analyzuji ve třetí kapitole. Je důležitý v tom smyslu, že by se ho měl auditor držet a na základě výsledku pak sepsat auditorskou zprávu. Ve čtvrté kapitole popíši všechny pracovní nástroje, jež jsou důležité jako součást metodiky a pokusím se také přiblížit čtenářům to, co je podstatou COBIT a jaké produktové zázemí můžeme využít pro vrcholové vedení společnosti, stejně tak pro vedení obchodu, pro specialisty governance, auditu, bezpečnsoti a informačních technologií. V páté kapitole nastíním problematiku dokumentu IT AssuranceGuide jako součásti COBIT. Pro auditory informačních systémů je naprosto stěžejní. Proto též přiblížím možnost vymezení předmětu ujišťování a vyhodnocování vyspělosti vybraných procesů. Připojím také analýzu způsobů, kterým se určují rozsah auditu a na kroků, jež jsou směřovány na správné provedení auditu auditorem. Druhá část práce je částí praktickou, ve které reálně přiblížím možnosti využití COBIT 4.1 k provedení auditu. Tento audit bude prováděn v podniku na základě pozice externího auditora. 7
Veškeré informace, které jsem využil v této práci, jsem získával hlavně na internetu, neboť vznikl problém, že knižních publikací, které by se věnovaly této problematice, je velice málo a navíc velice rychle morálně zastarávají. Většina knižních zdrojů je v angličtině a je velice nesnadné nalézt oficiální překlady odborných termínů.
8
1 OBECNĚ 1.1 Historie auditu Podle Králička (KRÁLÍČEK, 1997)první zmínky o činnostech, které by se daly přirovnat k dnešnímu auditu, pocházejí již ze starého Egypta, kde platilo pravidlo, že o daňových příjmech referovali dva nezávislí úředníci. V antickém Římě vládci určovali tzv. kvestory, kteří měli za úkol kontrolovat účetnictví v jednotlivých provinciích. Výsledky své činnosti byli kvestoři povinni sdělovat před shromážděním. Slovo audit tedy pochází z latinského „audire“, český poslouchat. Od té doby se obor auditu významně rozvinul, formalizoval a také rozčlenil podle oborů a pohledu na problematiku. A proto dnes existují různé obory auditu, jako audit finanční, audit kvality, audit informačních systémů atd. Obecný cíl auditu se ale za dlouhou dobu podstatně nezměnil. Změnil se však způsob provádění auditu, který je vystaven změnám. Od druhé poloviny 20. století ho ovlivnil rozvoj informačních technologií. Informační technologie si získaly postupně své místo jak v problematice zpracovávání účetnictví, tak i v řízení firem. Účetnictví i firmy se tak dnes vedou hlavně pomocí informačních technologií. To vedlo k tomu, že finanční auditoři museli pracovat s účetními daty, která existovala jenom v elektronické podobě, zatímco proces jejich zpracování pro ně byl neznámým oborem. Samotný proces auditu a sami auditoři se museli adaptovat na změny postupu zpracování účetních dat a řízení podniku. Finanční auditoři sice byly schopní naučit se pracovat s novými postupy a naučit se ovládat počítače, nicméně již není logicky v jejich silách stát se ještě odborníky na informační technologie. Bylo tak nutné začít spolupracovat s odborníky na informační technologie a využívat jejich služeb. Jakmile se už nejednalo pouze o podporu finančního auditu, ale byla překročena hranice této podpory, vznikl samostatný obor, který se zabýval auditem informačního systému. Průkopníci tohoto oboru si říkali auditoři EDP (Electronic Data Processing). Vzniká tak na základě práce této skupiny v roce 1969 i asociace EDPAA(Electronic Data ProcessingAuditorsAssociation)1. ). Hlavním smyslem této asociace bylo shromažďování informací a získávání znalostí z oboru, kterým se tito auditoři zabývaly, tj. z oboru auditu EDP. Dalším cílem a posláním Asociace bylo transformovat tyto znalosti do podoby, aby mohly být vydány jako standardy a směrnice pro audit IS. První soubor takovýchto smě 1
Od roku 1994 její nástupcem se stává ISACA (Information Systems Audit and ControlAssociation).
9
vychází v roce 1977 pod názvem ControlObjectives, a je všeobecně považován za předchůdce dnešního COBIT (ControlObjectivesforInformation and related Technology). Vývoj auditu IS byl od počátku poměrně dynamický. Nejvíce se audit IS rozšiřoval v důsledku nějakého incidentu či skandálu, kdy se objevovala potřeba větší kontroly informačního systému. Jako příklad se dá uvést případ pojišťovací společnosti EquityFundingCorporationof America, jejíž manažeři falšovali účetní doklady a účetní výkazy za účelem zvýšení hodnoty akcií společnosti. Dalším příkladem je případ společnosti Enron nebo útoky z jedenáctého září. Audit v České republice se začal rozvíjet na přelomu 80. a 90. let minulého století. V roce 1992 byl vydán zákon č. 524/1992 Sb., o auditorech a Komoře auditorů České republiky (dále jen KAČR). Ten byl nahrazen v roce 2000 zákonem č. 254/2000. Poslední úprava byla provedena v roce 2009 zákonem 93/2009 Sb. o auditorech a o změně některých zákonů (Zákon 93/2009 Sb., o auditorech a komoře auditu České republiky). KAČR vydávala svoje směrnice pro provádění finančních auditů. Jedna z nich -Směrnice č. 11- se týkala auditu prováděného v počítačovém prostředí. Všechny tyto směrnice přestaly být k 1.1.2005 účinné a byly nahrazeny mezinárodními auditorskými standardy a jejich aplikačními doložkami. Co se týče auditu IS, ten se začal v České republice rozšiřovat v roce 1996, kdy se vytvořily vazby na mezinárodní organizaci ISACA. Zpočátku šlo o vytvoření Czech Chapter v rámci této organizace. O rok později se Česká republika stala plnohodnotným členem ISACA s tím, že jednou ročně je možné v České republice skládat mezinárodní certifikační zkoušky CISA (CertifiedInformation Systems Auditors).(SVATÁ, 2011)
1.2 Definice auditu Můžeme citovat T. A. Leeho(Komora auditorů České republiky, 2007),který říká, že audit je: „způsob, kterým je jedna osoba ujištěna druhou o kvalitě, podmínkách nebo stavu předmětné věci, kterou druhá osoba zkoumala. Potřeba takového auditu vzniká, protože první osoba má pochybnosti nebo si není jista kvalitou, podmínkami nebo stave předmětné věci a sama není schopna se těchto pochybností či nejistoty zbavit“. Tato definice vlastně říká, že úkolem auditora je využít svých praktických zkušeností a teoretických znalostí k tomu, aby byla zmíněná pochybnost rozptýlena a nebo odstraněna. Je pochopitelné, že specifičtěji se budeme dívat na audit podle Výboru americké účetní asociace, který audit definuje jako: „systematický proces objektivního získávání a vyhodnocování důkazů, týkajících se informací o ekonomických činnostech a událostech, s 10
cílem zjistit míru souladu mezi těmito informacemi a stanovenými kritérii a sdělit výsledky zainteresovaným zájemcům“ (Komora auditorů České republiky, 2007). Na základě definic, které jsem uvedl výše, můžeme konstatovat, že audit je formalizovaným procesem, jež je prováděn subjektem, který je nezávislý a který má za cíl zjistit objektivitu předkládaných dat a tyto data ověřit. Podle Svaté (SVATÁ, 2011)je audit objektivní ověření stavu, jevu, záměru a skutečnosti se stavem nebo jevem žádoucím, tj. modelem, normou, standardem apod. Audit provádí odborník- auditor. Výsledkem auditu je komplexní názor ve formě výroku auditora. Audit je jedním z nástrojů řízení. Audit musí splňovat čtyři základní vlastnosti. Těmi jsou: Komplexnost- musí postihnout všechny relevantní aspekty a vazby Objektivnost- musí se opírat o existující standardy, prípadně zkušenosti, pokud standardy neexistují Nezávislost- auditor nemá s objektem auditu ani se zadavatelem auditu žádné spojení, které by představovalo konflikt zájmů Formalizovanost- proces auditu se musí řídit metodikou a existujícími standardy Podle Rodríguez R. citovaného v (PIATTINI, 2000)se zpočátku audit IS používal pro podporu finančního auditu. Ale v důsledku růstu informačních technologií a jejich významu v podniku vznikl audit informačních systémů jako samostatná disciplína. V souladu s ČSN ISO/IEC 12207 je audit IS analýza informačního systému, jejímž cílem je posoudit, zda je systém v souladu se stanovenými požadavky (uživatelskými, legislativními,
kvalitativními,
bezpečnostními,
normalizačními
apod.).(Informační
technologie - Procesy v životním cyklu softwaru, 1997)
1.3 Assurance Assurance z anglického jazyka se překládá jako ujištění. Podle (SVATÁ, 2011) ujištění je množina činnosti, jejímž cílem je poskytnout uživateli určitý stupeň ujištění o objektu a hodnocení. Jinými slovy to je případ, kde je auditor pověřen zhotovením písemného dokladu, který vyjadřuje závěr o zkoumaném objektu, za který odpovídá někdo jiný. Tabulka 1 Porovnání pojmů kontrola, audit a ujištění Kontrola
Controlobjective, Prověření dílčích aspektů, jevů, procesů s předem určenou control
hodnotou. Jeden kontrolní cíl může být zajištěn řadou různých kontrol 11
Audit
Audit
Komplexní, formalizované nezávislé prověření kontrol (existence, realizace, efektivnosti) vzhledem k existujícím standardům
Ujištění
Assurance
Komplexní nezávislé prověření kontrol, které jsou delegovány na
jiné subjekty (existence, realizace,
efektivnosti) vzhledem k cílům řízení Přezkoumání
Review
V porovnání s auditem nižší forma ujištění, jejímž cílem je prověření
existence
možných
překážek
negativně
ovlivňujících kontroly (negativního ujištění) Ověřování
Agreed-
Ujištění o dodržování regulací a postupů bez hodnocení
postupů
uponprocedures
jejichefektivnosti Zdroj: Svatá, 2011
12
2 IT Governance Výraz Governance můžeme v do češtiny přeložit jako správa společnosti. Tímto výrazem se popisují dva okruhy problémů. Prvním je správa firmy ve smyslu zákonů, pravidel a zvyklostí, které ve firmě panují. Druhý okruh se zabývá stylem řízení firmy představenstvem. Lze rozlišit tři základní okruhy governance. Tyto tři okruhy tvoří dohromady koncepci řízení podniku jako nedílný celek. Jedná se o: - Corporategovernance - Enterprisegovernance - IT governance. Jak šel čas, principy governance začaly pronikat do dalších oblastí řízení informaních technologií. Na základě tohoto vývoje postupně vznikaly nové úrovně governаnce: Рrоjесtgоvеrnаnаnсеa Informationsecuritygovernance. Pojmem Project governance můžeme popsat procesy, jež je nezbytné aktivovat proto, aby byl projekt úspěšný. Používá se hlavně v průmyslové oblasti informačních technologií. Coporategovernance Corporategovernance můžeme do českého jazyka volným způsobem přeložit jako správa řízení společnosti, kdy tato správa je chápána jako proces, jež je koncepčně upraven. Tento koncept pak obsahuje pravidla, předpisy a pokyny pro podnik. Svoji důležitost nabývá tento pojem hlavně z důvodu zvýšení důvěryhodnosti podniku pro investory. Hlavním cílem je tak vytvoření jednotných pravidel, která budou řádně nastavena a která budou platit pro nadnárodní i národní společnosti. Corporategovernance zahrnuje mnoho oblastí ve firmě, nejedná se tedy pouze o vztahy mezi vedením společnosti, akcionáři a ostatními zainteresovanými stranami, ale také způsob, jakým jsou dosahovány cíle společnosti, jakou strukturu mají orgány společnosti a jakým způsobem je dohlíženo na fungování těchto orgánů. Jedná se o strukturu, která minimálně z teoretického hlediska umí pojmout fungování firmy tak, že všechny zúčastněné strany z tohoto fungování mají prospěch a že podnik dodržuje jak zákonná opatření, tak i etické kodexy a normy. Např. iniciativy, které prosazuje OECD (EconomicCooperation and Development), EU nebo USA jsou nejvíce viditelné. Jde o to, že tyto iniciativy velmi dobře podpoří práva akcionář a všech ostatních stran, které jsou na podnikání zainteresované. Navíc je podporována i konkurenceschopnost dané firmy. (Kúdelková, 2006) V roce 1999 OECD zformulovala řadu doporučení, nazývaných Principy CG. Tyto principy byly později přijaty ministry financí G7 a staly se součástí OECD návodů pro multinárodní
13
podniky, konkrétně kapitoly, týkající se prověřování a průhlednosti procesů. Postupně byly tyto principy akceptovány dalšími organizacemi po celém světě, včetně České republiky. Rámec CG je definován předpisy, právem a formální politikou. V současné době se považuje za tzv. „bestpractice“ pro oblast řízení korporací.(SVATÁ, 2011) Je pravidlem, že podniky, které provádí kvalitní corporategovernance, dosahují vyšší hodnotu na akciovém trhu. Vysokou investiční návratnost např. požadují mezinárodní investiční fondy. Firmy jsou tak hnány snahou zvyšovat výnosnost svých investic a zvolily proto restrukturalizaci celého podniku. Výsledkem bylo zavedení: - Enterprisegovernance (správa podniků) - IT governance (správa iformačních technologií). Enterprisegovernance Pojem Enterprisegovernance se do českého jazyka překládá jako správa podniku. Lze ji definovat
různě,
např.
Information
Systém
Audit
and
ControlFundation
definuje
Enterprisegovernance jako určitý soubor postupů a odpovědností, které vykonávají řídící orgány firmy a které mají pomoci stanovit a udržet strategický směr vývoje podniku a zajištění dodržení stanovených cílů. Dalším cílem zmíněného souboru je též práce s riziky - ověření, zda jsou ošetřena a zvládnuta a zda se zdroji firmy je nakládáno s tou nejlepší odpovědností a péčí. Hlavními oblastmi EG je (SVATÁ, 2011): řízení podnikových rizik procesy nabývaní majetku výkonnost vedení (hodnocení míry dosažení stanovených cílů)
2.1 IT governance obecně Pojem IT Governance můžeme do češtiny přeložit jako správu systému informačních technologií. Tato správa je tvořena strukturou procesů a vazeb, jejíž náplní je úprava investičních rozhodování, péče o vztahy se zákazníky, projektové řízení a další oblasti, kde se využívá IT procesů ve vztahu k dosažení podnikových cílů a realizaci přidané hodnoty. Důležitá je však návratnosti investic do informačních technologií, se kterou je třeba v rámci projektování IT governance počítat jako s nezbytností. Jedná se o přístup dlouhodobý, který se zabývá informačními technologiemi, resp. řízením informačních technologií a investicemi do nich takovým způsobem, aby při plnění podnikových cílů, což je nezbytnost, byla i zajištěna návratnost těchto investic. V dnešní době je o IT governance velký zájem. Jedná se o to, že jak v USA, tak v Evropě došlo na obou stranách i impulsům, které tento zájem vyvolaly. V USA se jednalo o vznik zákona Sarbanes-Oxley a v Evropě se začal používat Basel II. Tento zájem je navíc utvrzován
14
prohlášeními, že IT v sobě mají tu vlastnost, že se mohou vymknout kontrole. To pak má za následek určitý dopad na podnik, který může být velký až katastrofální. Je to z toho důvodu, že IT má velký vliv na řízení firemních procesů a jejich výkonnosti. ITG zastřešuje organizace IT Governance Institute (www.itigi.org). Za dobu své existence vydal a stále vydává řadu různých dokumentů, jejichž společným cílem je pomoci organizacím při prosazování zmíněného rámce řízení. Podle IT Governance Institute se ITG zaměřuje na dva základní cíle (SVATÁ, 2011):
zvyšování hodnoty podnikatelských procesů pomicí IT omezování rizika spojeného s pořízením a provozem IT Obrázek 1 Základní rámec pro ITG
Zdroj: IT Governance Institute, 2006 Právě tím, že podnik nasadí lepší a účinnější systém IT governance, získává větší stupeň důvěry v bezchybnou práci IT, resp. důvěru v podnikové IT jako takové. Eliminují se tak potenciální rizika a konfliktní rozhodnutí na základě toho, že šablona pro jakékoliv rozhodování jsou stejné, tzn. existují pro všechna rozhodnutí stejné autorizační procesy. Dochází tak k lepšímu souladu činnosti firmy a IT, neboť nevzniká neefektivita způsobena konfliktními rozhodnutími. Pro řízení změn v aplikacích je stanovena určitá standardizace a dochází tak k minimalizaci chyb. Pokud následně dochází ke změnám, jež se není nutné bát jakýchkoliv hrozeb, ale jedná se spíše o příležitosti, které mohou firmě prospět. Jako další přínos lze jmenovat i dokumentaci všech IT procesů a rolí. Je tak zaručena vysoká míra transparentnosti, na základě které lze IT lépe řídit a korigovat. V rámci IT governance je 15
stanovena vykazovací povinnost a je nutné též zmínit, že nabízí poskytnutí bázi k možné implementaci bestpractice, vše podle platných standardů. IT procesy firmy velmi ovlivňují účinnost a efektivnost IT governance ve firmě, a efektivnosti IT procesů je doslova založena, stejně tak na procesních přístupech. Tyto IT procesy totiž zajišťují podklady pro hodnocení efektivnosti činnosti firmy, zajišťují podporu veškerým firemním činnostem a poskytují měřítka, dle kterých lze měřit výkonnost IT. (LBMS, s.r.o.)
2.2 IT Governance v Kazachstánu Prezident Republiky Kazachstán ve svém ročním poselství národu určil řadu úkolů, mezi nimi nejdůležitějším jevstup do WTO za příznivých pro Kazachstán podmínek. Hlava státu přímo poukázal na potřebu širšího uplatnění mezinárodních technických norem v co nejkratší době. Jedním z výkonných nástrojů tohoto poselství je vyhláška č.175- r ode dne 27.06.2007, o urychleném přechodu kazachstánských podniků na mezinárodní standardy systémů řízení jakosti (SMK). „Ulttykakparattyktehnologijalar“ a.s., která je hlavním poskytovatelem IT služeb pro vládu, považuje za jeden z nejdůležitějších strategických směru efektivní využití a rozvoj systémů řízení jakosti. Standard ISO 9001 „systém managementu kvality“ je to norma, která slouží jako referenční model pro nastavení základních řídicích procesů v organizaci, které pomáhají neustále zlepšovat kvalitu poskytovaných výrobků či služeb a spokojenost zákazníka. Vedení „Ulttykakparattyktehnologijalar“ a.s., na základě principu SMK “procesní postup a neustálé zlepšování“, implementovalo prověřené standardy a provedlo optimalizace společenských procesů. Pro dosažení stanovených cílů a splnění strategie „Ulttykakparattyktehnologijalar“ a.s. 24.12.2009 úspěšně prošla registrací do Evropského systému managementu BSI (Velká Británie), zřízeného na základě Anglického Královského statutu BSI, který byl založen v roce 1901. „Ulttykakparattyktehnologijalar“ a.s. současně má další certifikáty: Certifikát systému managementu jakosti- ISO 9001- 2009 č.750001.07.03.05416 v souladu se standardy RK ISO- 9001- 2009 Certifikát o souladu systému managementu jakosti registrovaného v Evropském systému managementu BSI, s registrací v USA ANAB- ISO- 9001- 2008 NoFS 557257, s požadavky standardu ISO- 9001-2008 vůči následujícím činnostem: poskytování služeb v oblasti IT, včetně vývoje, implementace a integrace 16
informačních
systémů;
poskytování
poradenských
služeb
v oblasti
IT;
standardizace v oblasti IT; systémově- technická podpora programů. Certifikát o souladu Systému Řízení IT- servisy ISO/IEC 20000-1-2005 č.ITSM 557258 registrovaného v Evropském systému managementu BSI, s registrací v USA, s požadavky standardu ISO/IEC20000-1-2005 vůči následujícím činnostem: služby Service- Desku, které poskytují vnějším VIP zákazníkům podle aktuální verzi katalogu IT služeb. Přitom integrovány systémy managementu (ISM) na základě nové verzi ST RK ISO 9001- 2009, ISO 9001- 2008, ISO/IEC 20000- 1- 2005. Za osnovu ISM byl vybrán SMK. ISM- je moderní efektivní systém managementu jakosti, což je sjednocení několika systémů managementu organizace s cílem odstranění nesouladu na jedné stráně, a dublování na druhé. Jedním z hlavních cílů vedení „Ulttykakparattyktehnologijalar“ a.s. je dodržení osmí principů SMK a zvyšovat spokojenost zákazníků a dalších zainteresovaných stran, na základě analýzy a hodnocení stávající situace s cílem určit oblasti pro zlepšení a stanovení cílů pro zlepšení. 8 principů SMK: Zaměření zákazníka Vůdcovství vedoucího Zapojení lidí Procesní přístup Systémový přístup k management Neustálé zlepšování Rozhodování na základě faktů Vzájemně výhodná spolupráce s dodavateli V „Ulttykakparattyktehnologijalar“ a.s. byly automatizovány a integrovány stávající informační systémy business- procesů pro zajištění operativnosti při provedení výrobních procesů společnosti: Byl zaveden IS „NEUMAN SERVICE DESK“- informační systém pro efektivní řízení zákaznický servis, organizace řízení incidentů, plnohodnotnou evidencí software
a
hardware,
též
tvorbu
(servicelevelagreement);
17
adresářových
služeb
a
SLA
Byl zavedena aplikace „NAUMEN PHONE“- call centrum, zpracovávající veškeré volání, založené na technologii VoIP. Zlepšuje účinnost komunikace po telefonu a umožňuje zefektivnit provozní náklady; CACTI- její účelem je je sběr dat založené na SNMP (a celý systém je vlastně nadstavbou nad nástrojem RRDTool). Obdobným systémem je třeba známé MRTG. Jenže Cacti přináší řadu dalších možností. Díky možnosti používat skripty, je možné získávat hodnoty přímo z operačního systému nebo třeba pomocí WMI. ZABBIX- je velmi silný monitorovací nástroj pro dohled nad síťovými prostředky (servery, počítači, přepínači, sondami, atd.) a službami jimi poskytovanými (pošta, www stránky, atd.). V případě výpadku síťového prostředku či služby umí systém poslat varování správcům systému či provést jiné definované akce, např. restartování problémové služby. IBM Tivoli- software pro správu IT; je sada samostatných nástrojů pro různé oblasti správy IT. Tyto nástroje se mohou podle potřeb zákazníků nasazovat samostatně a postupně. Významným efektem tohoto řešení je vzájemná spolupráce těchto nástrojů, která výrazně zvyšuje celkovou efektivitu práce IT oddělení.
1C: Predprijatije 8 „Mzdové a personální řízení“ 1C: „AC-Budgeting“ 1C: Účetnictví 7.0 Systém GOAL- automatizovaný systém na řízení personálů, umožňující kontrolovat splnění příkazu vedení.
18
3 Postup provádění auditu Audit IS můžeme definovat jako určitou posloupnost po sobě jdoucích úkonů. Jedná se o proces, kdy na sebe navzájem logicky navazují jednotlivé fáze činností a kdy jsou tyto činnosti propojeny a navzájem se ovlivňují. Jednotlivé činnosti v tomto procesu mají svoje vstupy a výstupy. Mezi vstupy můžeme řadit informace, které získáváme od subjektu, který je podrobován auditu. Dále jsou za vstupy třeba pokládány výstupy ostatních fází auditu. Na začátku je třeba dobře stanovit cíl auditu a k němu postupně směřovat, tzn. směřovat k cíli musí nejen jednotlivé fáze, ale hlavní celý proces jako celek. Stanovení cíle je jedním z faktorů úspěšnosti celého auditu. Proces, jakým by měl audit postupovat, a stejně tak jednotlivé fáze auditu nelze do detailu popsat a specifikovat, neboť existuje celá řada způsobů provedení auditu a pro každý audit existují určitá specifika, jež jsou daná rozdílností IS v každé firmě nebo v každém projektu. Popsat tak krok za krokem, který vždy auditoři udělají, je zhola nemožné. Je třeba totiž pro každý IS zvolit unikátní přístup. Tím pádem je zřejmě, že auditoři musí být zkušení a velmi odborně zdatní, neboť jsou na ně z tohoto hlediska kladeny vysoké nároky. Obecný plán či postup však stanovit jde. V nich se definují jednotlivé etapy auditu tak, aby korespondovaly s projekty auditů. Audit se tedy na základě plánu či zvoleného postupu rozdělí do několika fází(RICHARDSON, 1987): Úvodnípřehled Aplikačníanalýza Prvotní ověření interních kontrol Ověřovací testy Konečné ověření interních kontrol Test účetní bilance Reporting Aby byl audit v konečném důsledku úspěšný, je třeba velmi dobře definovat první dvě fáze. V rámci první fáze bychom měli shromáždit základní informace o společnosti, kterou budeme auditovat. Je třeba též zjistit, jaký je v dané společnosti uplatňován systém. Tyto informace zahrnují údaje o předmětu činnosti, financích, organizační struktuře, automatizaci finančního systému atd. Jedná se o podklady, které jsou nezbytné k vytvoření plánu auditu, který by měl být výstupem této první fáze. V rámci této fáze tedy:
19
získáváme zmíněné informace identifikujeme aplikační systém a jeho rozsah tvoříme plán auditu V rámci druhé fáze se provádí aplikační analýza, kdy by mělo dojít k poznání souvislostí, jaký vztah mají aplikace, které jsou nastaveny v podniku, k obchodním cílům firmy. V této fáze jde spíše o pochopení komplexní obecné roviny na tyto aplikace, nikoliv na jednotlivé detaily či jednotlivé dílčí aplikace. I kdyby v podniku existovaly procesy, které se neřídí automatizovaně, je třeba brát v potaz i tyto, neboť jsou ve vzájemném vztahu s aplikacemi. V této fázi tak mají auditoři za úkol: shromáždit příklady zdrojových dokumentů shromáždit všechny formy vstupních a výstupních dokumentů vytvořit vývojový diagram Výstupem této fáze auditu je právě výše zmíněný vývojový diagram, jehož hlavním úkolem je přehledně zobrazit, jaké jsou jednotlivé aplikace a jaký je jejich vztah, resp. vztah mezi aplikacemi, jež jsou automatizované a neautomatizované. Další fáze se pak týkají prací, které auditoři realizují s cílem prověřit a testovat IS dle plánu auditu, který byl stanoven na začátku. Existuje však jeden problém, který souvisí s tím, že v určité době byly informační systémy brány pouze jako technická podpora pro firemní procesy, hlavně v oblasti financí a účetnictví. V současnosti však došlo k velkému rozdílu, neboť v dnešní době jsou informační systémy chápány jako komplexní podpora řídících procesů ve firmě. Proto je vhodné uvést i novější přístup, který charakterizuje proces auditu. Tento přístup znázorní následující tabulka(SVATÁ, 2011) : Tabulka 2 Etapy auditu Etapy
Činnosti Specifikace
Podepsaná smlouva na audit
předmětu auditu cílů auditu 0. ETAPA: Uzavření smlouvy
Výstupy
rozsahu auditu organizace auditu časového úseku odměny výstupů
20
obecných standardů Porozumění: 1. ETAPA: Předběžné plánování
potvrzení
správnosti
porozumění
podnikatelským procesům
dokumentace auditu
architektuře IS
dokumentace systému
systému vnitřních kontrol
program auditu Plán auditu
Hodnocení kontrol 2. ETAPA: Vytvoření plánu auditu
Plán testů Určení potřebných zdrojů pro audit a jejich rozvrh Realizace
3. ETAPA: Realizace auditu
testů
kontrol
Výsledky testů
(výběr
Předběžná
vzorku)
auditorská
zpráva
Realizace podrobných testů Analýza a vyhodnocování výsledků
4. ETAPA: závěr a vydání auditorské zprávy 5. ETAPA:
Rozhovor s managementem
Výsledné auditorská zpráva
Zpracování auditorské zprávy Vytvoření plánu sledování
Průběžná hlášení managementu
sledování plnění závěrů auditorské zprávy
Zdroj: Svatá, 2011 Tato tabulka znázorňuje, jaké jsou jednotlivé etapy auditu IS, jaké jsou aktivity v rámci jednotlivých etap a jaké jsou jejich konečné výstupy. Samotnému auditu předchází nultá etapa. Má za úkol určit základní podmínky, v rámci kterých se bude audit provádět. Na konci této etapy se podepisuje smlouva o auditu. Jestliže však provádíme interní audit, tato fáze je bezpředmětná, spíše je pak třeba specifikovat status interního auditora. Základním krokem, který je naprosto nezbytný pro správnou realizaci auditu, je porozumění předmětu auditu a též dobrá orientace v této problematice. Celá fáze je velice náročná, protože auditor musí porozumět procesům ve firmě, poznat organizace a její vnitřní funkční vazby v návaznosti na systém IS a systém kontroly vnitřních procesů podniku. Musí tedy nastudovat potřebné dokumenty a provádí se též rozhovory s pracovníky. Posuzuje i práci v podniku a jednotlivé procesy pozoruje. Na základě tohoto auditor jasně určití, že předmětu auditu, tj. to, co bude kontrolovat, řádně poznal a jednotlivé procesy pochopil. Po té připraví program auditu, který obsahuje kontrolní body auditu. Následně se sestavuje plán auditu, ve kterém auditor stanoví klíčové procesy, které bude třeba auditovat. Právě tyto procesy určí na základě informací, které získal v předchozích fázích. V plánu také určí, jaké zdroje bude k testování potřeba, v jaké době proběhne a jaké druhy testů budou provedeny. Tyto informace pak vtělí do kompletního plánu auditu. 21
Další fází je již praktická realizace kontroly dle sestavného plánu auditu. Po té se analyzují získané výsledky. Ověřuje se hlavně soulad mezi tím, co bylo záměrem kontroly a tím, jak dopadla praktická realizace kontroly. Pokud z výsledků vyplyne nějaký nesoulad, musí se provést substantivní testy, jež by měly určit případné škody, které by způsobit tento nesoulad. Po té, na základě výsledků, se sestaví předběžná zpráva auditora. Úplně poslední fází celého procesu je vydání závěrečné auditorské zprávy, která je tvořena na bázi zprávy předběžné a na základě konzultací této zprávy, jež proběhne mezi auditorem a odpovědným pracovníkem či pracovníky vždy za určitou část. Je možné i přiřadit k celému procesu fázi Sledování plnění závěrů auditorské zprávy. Tato fáze však stojí mimo rámec procesu auditu.
3.1 Auditorská zpráva Výsledkem auditorského procesu je auditorská zpráva. Jak uvádí Svatá (2005), auditorská zpráva je určitý most mezi auditorem a managementem, který je kontrolován auditován. Jde o nástroj písemné komunikace mezi těmito protipóly.
Jelikož zpráva je
formalizovaná, můžeme říci, že se jedná o sdělení formální, které informuje objekt, který si audit zadal, o výsledcích šetření a závěrech, které byly formulovány. Jiné zdroje, např. Gray (2008) uvádí, prostředek, který s vysokou mírou efektivity sděluje kontrolovanému subjektu buď uspokojení a nebo neuspokojení nad stavem, který byl zjištěn v daném objektu. Zpráva, která je po ukončení procesu auditu vytvořena, není adresována výlučně managementu, ale mohou ji využít jako zdroj informací i výše uvedení stakeholders. Auditorská zpráva je určitým způsobem strukturovaná, nelze ji psát bez jakýchkoliv mantinelů či pravidel. Naopak, je třeba přihlížet např. k mezinárodním auditorským standardům ISA 700, jež přesně určují, jaký má být obsah auditorské zprávy a jakou má mít formu. Tento standard určuje pro auditorskou zprávu následující části: 1. Název 2. Příjemce 3. Úvodní odstavec (Identifikace účetní závěrky) 4. Odpovědnost vedení účetní jednotky za účetní závěrku 5. Odpovědnost auditora 6. Výrok auditora, který obsahuje Odkaz na rámec účetního použitý při sestavení účetní závěrky Vyjádření výroku auditora k účetní závěrce 22
7. Další povinnosti auditora 8. Podpis auditora 9. Datum zprávy 10. Sídlo auditora Neplatí však, že všechny auditorské zprávy musí mít stejnou formu, naopak, mohou se pro různé typy auditů odlišovat. Členění, které je uvedeno výše, je však třeba pokládat za základ. Vystihuje totiž základní bázi strukturace obsahu auditorské zprávy. Jak jsme si mohli u výše uvedeného členění všimnout , součástí zprávy auditora je i výrok auditora, který vyjadřuje, jaký má auditor názor ohledně správnosti či nesprávnosti zkoumaného objektu. Stejně tak hodnotí informace dostupné o objektu auditu a dočteme se zde i názor auditora na to, zda objekt vše vykazuje a eviduje správně a pravdivě a zda dostupné informace korespondují se stavem, který je v reálu. Auditor může použít tyto výroky: Výrok bez výhrad Výrok s výhradou Záporný výrok Odmítnutí výroku Podle Svaté (2011) auditorskou zprávu pro audit ohledně IS upravuje standard S7Reporting a G20- Reporting. Tyto jsou dostupné nawww.isaca.org.
Standard uvádí, že
„auditor IS musí zhotovit zprávu, která bude mít vhodnou formu odpovídající ukončenému auditu. Zpráva musí uvést organizaci, kde byl audit proveden, příjemce a případná omezení v její distribuci. Dále musí obsahovat rozsah, cíle, dobu, po kterou se audit prováděl způsob, hloubku a časový rozvrh prováděných činností. Zpráva musí také obsahovat nálezy, závěry a doporučení. V případě, že auditor měl v průběhu auditu nějaká omezení, měl by je ve zprávě uvést.“ Jedná-li se o průběžný audit, a bylo-li zpracováno více zpráv, je třeba vytvořit závěrečnou zprávu, která shrne zprávy dílčí s odkazy právě na tyto dílčí zprávy. Existuje též možnost, že pokud auditor najde nedostatky, které jsou menší závažnosti, projedná tyto nedostatky s vedoucími pracovníky a pokud dojde k jejich odstranění, může dojít k rozhodnutí, že nebudou uváděny ve zprávě. Pokud je toto učiněno, je třeba to sdělit autoritám, které mají za tuto oblast odpovědnost. Než celkový proces auditu začne, je třeba, aby auditor zjistil, zda již v určité oblasti audit probíhal či nikoliv. Jestliže zde již probíhal, součástí zprávy se potom stane i sdělení, do jaké míry daný objekt reagoval na doporučení předchozího auditu. 23
4 MetodikaCobit COBIT ( Cobit je zkratka od anglického názvu ControlObjectivesforInformational and related Technology) představuje procesně orientovaný nástroj pro řízení informatiky, kontrolní nástroj pro auditory a model zralosti. Je to nástroj pro budování a rozvoj ICT governance. Jak uvádí Svatá, jedná se o takovou metodiku, která je universálně využitelná a nezáleží na tom, jaká je konkrétní situace. I tak ji ale někteří odborníci říkají "bestpractise". Jedná se o metodiku, jež nám udává sadu doporučení, které se platní na poli všech průmyslových oblastí. Cobit tak přináší možnost řešení těm firmám, které se snaží identifikovat a měřit oblasti, které se z hlediska IT zdají problémové. Stejně tak mohou optimalizovat investice do IT a zajistit pro ně větší transparentnost. Existuje tak možnost implementovat systém, který je dobře uchopitelný a který poskytuje kvalitní kontrolní a řídící služby pro firemní IT prostředí. Cobit si můžeme představit jako set 6 publikací: - ExecutiveSummary, co je souhrn základních konceptů, principů a obsah. Je zde i popis základních konceptů a 4 domén včetně 34 IT procesů - Cobit Framework představuje IT procesy, IT zdroje a informační kritérií - Cobitobjectives nám charakterizuje základní podstatu a přínosy, které mohou plynout z detailních kontrolních kritérií pro IT procesy - IT AssuranceGuide obsahuje návrh, který shrnuje kontrolní činnosti a popis rizik, pokud kontrolní činnosti nebudou realizovány. Tato publikace je přednostně určena pro IT auditory - ImplementationToolset má ve svém obsahu Management Awareness
a IT
ControlDiagnostics. Patří sem i prezentace pro management, ImplementationGuide a případové studie, které jsou od různých uživatelů Cobit. - Management Guidelines obsahuje modely, jež se dotýkají vyspělosti procesů a kritických faktorů úspěchu včetně klíčových indikátorů zaměřených na splnění cílů (KGI) a výkonu (KPI). IT Governance je založena na plošném vnímání, v rámci kterého lze využít ICT a jejich integrace do fungování celého podniku. Pokud se na to podíváme tímto pohledem, je metoda Cobit určena. Management- potřebuje rozhodovat o výdajích do rozvoje a provozu ICT a posoudit, zda jsou tyto výdaje správně a efektivně využívány. V tomto směru je
24
CobiT nástrojem pro definování jednoznačného rámce řízení ICT a usnadňuje orientaci managementu v nečitelném prostředí ICT, Uživatelé- mají stále vyšší potřebu seznámit se s fungování ICT a nalézt přiměřené záruky za správné a bezpečné fungování služeb ICT, které využívají či garantují, Auditoři- při své práci neustále naráží na využívání ICT. V tomto směru CobiT poskytuje základní rámec pro to, jakým způsobem hodnotit správnost a hodnost nasazení ICT vzhledem k posuzované části organizace
4.1 Základní charakteristika metodiky Cobit Jako základní charakteristiku COBITu můžeme uvést, že se jedná o takový standard, který je všeobecně použitelný a přijímaný (řízení, vedení, kontrola a audit IS/IT). Základem tohoto systému jsou cíle řízení vypracovaných ISACF (Information Systems Audit and ControlFoundation; 1996) a navíc je i doplněn o standardy z rámci odvětvových specifikací a techniky. Jedná se o procesní nástroj IT Governance, který obsahuje pracovní nástroje, jež jsou nápomocny manažerům při řízení kontrolních a řídících požadavků a při technologických problémech s podnikatelskými riziky. Je zde kladen důraz na souznění s požadavky ohledně regulace, neboť pomáhá organizaci dosáhnout lepších výsledků na základě IT. Dále pak přináší zjednodušení v zavádění metodického rámce Cobit ve společnosti. Další hlavní charakteristikou systému Cobit je jeho orientace na business. Není tedy vytvořen jen proto, aby ho využívali IT manažeři, specialisté či bezpečnostní specialisté a nebo auditoři, ale také pro možnost poskytnutí poradenství komplexního rozsahu hlavně pro management a vlastníky business procesů. Základním stavebním kamenem je řízení a kontrola informací, které pak pomáhají plnit všechny obchodní požadavky. Touto metodikou je IT rozděleno na jednotlivé funkční domény, kam patří plánování, implementace, provoz a monitoring. V těchto doménách jsou jednotlivé procesy poměřovány na základě 7 informačních kritérií, kam řadíme efektivnost, výkonnost, důvěryhodnost, integrita, dostupnost, přizpůsobivost a spolehlivost. Všechny výsledná zjištění jsou po té přiřazena 5 zdrojům (personál, aplikace, technologie, vybavenost, data). Na základě COBIT dochází v k vymezení každého procesu Modelem zralosti, který je nazývám Maturity Model, dále pak KGI (výsledkové metriky) a KPI (výkonnostní metriky). Výsledek celého procesu lze nazvat jako normovaný pohled na způsob, kterým je podniková informatika řízena a jaká je výše její dosažené úrovně.
25
Obrázek 2 Základní principy Cobit
Zdroj: Cobit 4.1
4.2 Procesy Cobit 4.1 Ve verzi Cobit 4.1 je celkem 34 procesů. Každý proces obsahuje popis ze čtyř pohledu: popis procesu kontrolní cíle procesu manažerská příručka se vstupy a výstupy procesů, s cíli a metrikami model zralosti daného procesu Mapa procesů vychází ze čtyř domén: Plánování a organizace (Plan and Organise) Akvizice a implementace (Acquire and Implement) Dodání a podpora (Deliver and Support) Sledování a hodnocení (Monitor and Evaluate) Plánovaní a organizace Doména PLÁNOVÁNÍ A ORGANIZACE má na starosti procesy, které probíhají v rámci úrovně strategického a taktického řízení IS/IT. Jejím cílem je definování takové cesty IT, která by byla pro zajištění podnikových cílů ta nejlepší. Jejím obsahem jsou následující procesy: PO1
strategický plán IS/ICT, 26
PO2
informační architektura,
PO3
determinace technologického směru,
PO4
řešení organizace IS/ICT a vztahů mezi procesy a jejich organizací,
PO5
řízení investic do ICT,
PO6
sdílení manažerských cílů a směrů,
PO7
řízení lidských zdrojů,
PO8
řízení jakosti,
PO9
řízení rizik IT,
PO10
řízení projektů.
Akvizice a implementace Doména Akvizice a implementace má na starosti realizaci IT strategie, neboť u každého IT řešení je potřeba, aby se identifikovalo, rozvíjelo a aby došlo i implementaci a integraci do obchodních procesů. Tato doména se též stará o pokrytí všech změn, které nastanou v údržbě systémů, které již existují a o pokračování všech životních cyklů. Jejím obsahem jsou tyto procesy: AI1
identifikace automatizovaných řešení,
AI2
pořízení a správa aplikačního SW,
AI3
pořízení a správa technologické infrastruktury,
AI4
postoupení a provoz programového vybavení,
AI5
zajištění zdrojů IT,
AI6
řízení změn,
AI7
zavedení a prověření úprav a změn
Dodání a podpora Tato doména je určena pro dodávání požadovaných služeb IS/ICT. Vždy je to v rozsahu, který má rozsah od tradičních operací až k bezpečnostním operacím včetně všech souvisejících aspektů a dále až ke školení. Tato doména se též zabývá zpracováním dat aplikačními systémy. Sem můžeme zařadit následující procesy: DS01
definice a řízení úrovně služeb (SLA),
DS02
řízení služeb třetích stran,
DS03
řízení výkonnosti a kapacity v IS/ICT, 27
DS04
nepřetržitá dostupnost služeb,
DS05
zabezpečování bezpečnosti systémů,
DS06
identifikace a alokace nákladů,
DS07
vzdělávání a školení uživatelů,
DS08
řízení „service desku“ a incidentu,
DS09
řízení konfigurací,
DS10
řízení problémů a incidentů,
DS11
řízení dat,
DS12
řízení prostředků,
DS13
řízení provozu.
Sledování a hodnocení Doména Slevování a hodnocení pracuje na bázi procesů, které umožňují provádění kontroly, iterního a externího auditu a nebo i získávání alternativních zdrojů. Platí, že všechny procesy, které zde probíhají, se musí podrobit pravidelného hodnocení. Základní metrikou kvality je soulad, který se měří v kontextu s kontrolními požadavky . Hodnocení bývá prováděno vzhledem ke kvalitě a času. V této doméně můžeme identifikovat následující procesy: M1
monitorování výkonnosti IT,
M2
stanovení míry kontroly,
M3
certifikace,
M4
realizace nezávislého auditu.
4.3 Informační kritéria a zdroje Aby mohly být plněny podnikové cíle, je třeba pořídit takové informace, které vyhoví kontrolním kritériím, že jsou stanoveny na základě kvalitativních, obsáhlých, bezpečnostních, spolehlivých a požadavků. Všechny své cíle IT organizace dosahuje na základě jasně definovaných procesů při využití lidských schopností a technologických infrastruktur. Na základě toho mohou být zprovozněny automatizované aplikace, které využívají obchodní informace. Reakcí na obchodní požadavky IT podnik potřebuje investice do takových zdrojů, jež jsou nezbytné pro vytvoření dostatečné technické kapacity, která bude mít na starost podporu obchodních kapacit, což již přímo ovlivňuje naplnění požadovaného výsledku. 28
Tabulka 3 Znázornění procesů Cobit c závislosti na informační kritéria a zdroje
M1 M2 M3
P P P
P P P
M4
P
P
Sledování
P
S S S S P
P S S
S S
P
P
P
P S
S S
S
S
S
S
+
+
+
+
+ + +
+ +
+ +
+
+
+ +
+ + + + + + +
+ +
S
+ + +
+ + +
+ + + +
+ + +
S S
S S
+ +
S
S P
+ + + + + +
+ + + + + +
+ + + + + +
+
+ + +
+ +
+ +
+
+
S P S S S P S
+
+
P S P S
+ + + + +
S
P P P S
P S
S S S
S S S
S S S
S P P
S S S
+ + +
+ + +
S
S
S
P
S
+
+
P- primaryenabler (primárně)
P
Data
P
P
Zařízení
P
P P P P
S P
Technologie
P P P S
P
+
Aplikace
P P P P
S
+
Personál
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Spolehlivost
P P P P
S
Zdroje Shoda
P P P P P P
S
Dostupnost
Implementace
AI1 AI2 AI3 AI4 AI5 AI6 AI7
Integrita
Vykonnost S S S S P
Důvěryhodnost
Efektivnost P P P P P P P P P P
Plánovaní
PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10
Provoz
Informační kritéria
+ +
+ +
+ + + + + + +
+ +
+ +
+
+ + +
+ + +
+ + +
+
+
+
S- secondaryenabler (sekundárně) Zdroj: KIT, VŠE
4.4 Model zralosti Tento model se zabývá uspořádáváním vývojových kroků, které by měly vést ke zlepšení procesů, které jsou uspořádány do šesti úrovní (Maturity level). Tyto úrovně můžeme nazvat jako ordinální škála, na základě které probíhá měření dokonalosti jednotlivých procesů. Míra určité dokonalosti vzniká na základě přesně definované vývojové etapy, která je pak bází, na základě které se může dál provádět určité zlepšování. Jestli-že organizace naplní všechny cíle pro úroveň, která je definovaná, může tak dosahovat vyšší úrovně 29
dokonalosti. Model je definován do té míry abstraktně, aby se nemohlo stát to, že bude ovlivňován způsob, jakým jsou jednotlivé procesy nastavovány a uváděny v život v rámci té či oné organizace. Na základě toho, jak jsou zvládány jednotlivé procesy, se odvíjí názvy jednotlivých úrovní dokonalosti. Na úrovni 2 by měla organizace zvládat procesy takovým způsobem, že je možno je v různých projektech opakovat. Pro úroveň tři můžeme říci, že organizace má své procesy standardizované a definované, pro úroveň 4 pak platí, že procesy jsou řízeny na základě ukazatelů, tzn. jsou zavedeny metriky, aby mohla být kontrolována výkonnost a kvalita procesů. 5. úroveň je nejvyšší a na základě této jsou procesy optimalizovány a organizace si zajistila podmínky, které umožní zlepšování svých vnitřních procesů a to v rámci permanentního běhu. Nyní stručně představíme jednotlivé úrovně: 0 Neexistuje: proces v podniku chybí a podnik nemá informace o tom, že je nutné daný proces řešit 1 Počáteční nebo náhodné řešení: v podniku nejsou nastavené žádné procesy ve standardizované formě, procesy jsou chaotické a nemají strukturu, která by byla jakýmkoliv způsobem ustálená. Existují definice pouze pro některé procesy, kterých je pouze několik a jejich úspěch závisí na tom, jaké bude zvoleno ad hoc řešení či úsilí některých jednotlivých osob. Přístup k řešení je charakterizován neorganizovaností a výkonnost procesů je tak nepředvídatelná, protože procesy jsou stále měněny. 2 Opakovaná: Procesy jsou definovány již na nějakém stupni vývoje a jsou řešeny na bázi jednoduchý procedur. V hledáčku pozornosti je hlavně časový harmonogram a náklady na projekt. Plánování a průběh projektů se vyznačuje stabilitou a je možné opakovat úspěch. Platí zde vysoký stupeň spoléhání na znalosti určitých jednotlivců. 3 Definovaná: procesy ve firmě jsou standardizovány a zdokumentování, nepreferuje se individuální přístup ve vztahu ke standardizovaným a osvědčeným procesům. To, že se objeví chyby, je nepravděpodobné a na základě všech zkušeností jsou procesy formalizované. 4 Řízená a měřená: Na základě této fáze se měří a kontroluje soulad kvality a jednotlivých procedur a přijímají se opatření, pokud by se objevily takové procesy, které by byly neefektivní. Dochází ke stálému zlepšování procesů na základě poznatků z praxe a jsou cíleně řízena na základě měření. 30
5 Optimalizovaná: jedná se o nejvyšší úroveň procesů, které jsou založeny na výsledcích neustálého provádění zlepšování. IT je již součástí samostatného automatického workflow, které poskytuje nástroj, jak zlepšit kvalitu a účinnost a dává tak možnost rychlého přizpůsobení. Základy pro implementaci nových technologií, které by zefektivnily proces, jsou samozřejmostí. Všechny procesy lze charakterizovat jako permanentně se zlepšující dokonalost. Nyní si představíme charakteristiky znalostních modelů: odvolávajíc se na obchodní požadavky a umožňují, aby docházelo k možnosti definovat různé úrovně zralosti na základě stupnic je umožněno účelné sebehodnocení stupnicemi je umožněno též snadné měření s jejich pomocí se dá nastavit as-is a to-be pozice, jež je ve vztahu k IT řízení, kontrole a bezpečnosti umožňuje, aby byla vypracovávána diferenční analýza a aby bylo možné určit, co je třeba udělat pro dosažení úrovně, která byla vybrána Tím, že jsou procesy dokonalé, umožní organizaci, aby dokázala lépe předvídat to, zda projekt dosáhne cílů, které byly stanoveny. Projekty, které se řeší analogicky a které jsou na různých úrovních řízení procesů, se liší v tom, jaké mají náklady a jaký potřebují čas na to, aby byl produkt vyvinut, jakou mají funkčnost a kvalitu. Tím, jak se dokonalost všech procesů zvyšuje, dochází k tomu, že rozdíly mezi výsledky plánovanými a faktickými, se stále snižuje. Obrázek 3 Grafické znázornění modelu zralosti
Zdroj: Cobit 4.1 Tento model představuje nástroj, pomocí něhož můžeme provést charakteristiku organizace podle vyspělosti procesů, které uvnitř fungují. Je možné použít dva základní způsoby. 31
Organizace si sama aplikuje určitý model, který ji umožní zjistit, jaké jsou možné směry zlepšení svých procesů Ohodnocení rizika kontraktu, které může vzniknout s konkrétní organizací
4.5 Cíle procesu Je možné rozlišit 4 úrovně cílů: -
podnikatelské cíle
-
IT cíle
-
cíle IT procesů
-
cíle IT aktivit
IT cíle podporují business cíle a pro dosažení výsledku, který požadujeme u IT cíle, je potřeba, aby se pro něj zpracoval určitý proces nebo vzájemné působní několika procesů, jež budou tento cíl či výsledek podporovat. Proto jsou někdy definované takové cíle procesů, které vyžadují, aby byla spouštěna celá řada dalších aktivit. Aby bylo dosaženo cíle procesu, je nutné definovat, jaké jsou jednotlivé cíle aktivit. Obrázek 4 Příklad: Vztahy cílů
Zdroj: Cobit 4.1
4.6 Metriky Výsledkové metriky (Outcomemeasures nebo KGI- KeyGoalIndicators) Metriky můžeme charakterizovat jako konkrétní číselné ukazatele, které bývají prezentovány buď nějakým konkrétním číslem a nebo v procentech. Ukazují nám, jaký je aktuální stav procesu IS/ICT. Každý z ukazatelů, který je uveden v procesu, má svoji vazbu na obchodní procesy a stejně tak i na cíle, které si organizace stanovila. Podle toho, jaká je hodnota ukazatelů, se dá stanovit a charakterizovat aktuální úroveň podpory, jež konkrétní procesy IS/ICT přispívají k dosažení cílů a strategií organizace. 32
Při stanovování číselné hodnoty metrik se vychází z jednotlivých ukazatelů, kdy se tyto ukazatelé sledují z pohledu BSC (Balanced Business Scorecard) 2 , Financí a Zákazníka. Jednou z typických metrik, jež se měří obchodní cíle, jsou finanční výsledky a spokojenost zákazníka. Tyto hodnoty je možné měřit ex-post, což znamená, že popisují tedy aktuální výsledky, které jsou dosahované. Existuje však jediný rozdíl v chápání dimenzí BSC. Jedná se o případ zákaznické dimenze, neboť v tomto případě neuvažujeme o zákaznících, kteří by stáli mimo organizaci, ale o zákaznících – uživatelích. dosažení návratnosti investic, zvýšení výkonu managementu, redukce IT rizik, zlepšení produktivity, integrace zásobovacích řetězců, standardizace procesů, získávání nových a uspokojování existujících zákazníků, vytvoření nových služeb, zvýšení dostupnosti, provozuschopnosti a snížení prostojů, uspokojování potřeb a očekávání zákazníka procesu, soulad s průmyslovými standardy, atd. Vykonnostní metriky (Performance Indicator/KPI- Key Performance Indicator) Jedná se o ukazatel, který na základě sledování IT procesů, resp. jejich výkonnosti, může vyjádřit, jak IT procesy podporují to, aby bylo dosahováno obchodních cílů a požadavků. Umožňují nám předpovídání pravděpodobnosti úspěchu nebo selhání, které může v budoucnu nastat. Je třeba rozlišovat: BalancedScorecard [UCE01] představuje manažerský systém řízení organizace prostřednictvím vyvážené soustavy vzájemně silně provázaných ukazatelů výkonnosti podniku. Na organizaci je přitom nahlíženo ze čtyř perspektiv: finanční perspektivy, zákaznické perspektivy, perspektivy interních procesů a perspektivy učení se a růstu organizace. Cílem finanční perspektivy je rostoucí ziskovost podniku. V rámci této perspektivy jsou rozlišovány 3 základní stadia cyklu: stadium růstu, stádium nasycení růstu a stádium zralosti. BSC slouží jako základna pro tvorbu finanční strategie a nastavení finančních cílů a ukazatelů jejich naplňování. V perspektivě zákaznické se organizace zaměřuje na identifikaci zákaznických a tržních segmentů ve vazbě na finanční ukazatele výkonnosti. Mezi základní skupiny měřítek této perspektivy patří podíl na trhu a obratu, udržení zákazníků, získávání nových zákazníků, ziskovost zákazníků a další. Organizace se rovněž zabývá měřením výhod, které zákazníkům přináší (vlastnosti výrobku/služby, image a pověst, vztahy se zákazníky apod.). Hlavním cílem této perspektivy je rostoucí počet spokojenosti zákazníků. V souvislosti s procesně organizační perspektivou (interní procesy) jsou rozlišovány procesy řídící, zákaznické a procesy zajištění zdrojů. Cílem této perspektivy jsou efektivní a výkonné podnikové procesy. Poslední perspektivou BSC je perspektiva rozvoje a růstu, která podporuje dynamické stanovení cílů a jejich nepřetržité zdokonalování. Jsou definovány 3 základní oblasti: motivace, kvalifikace, kvalita a funkčnost systému řízení (efektivní vnitřní komunikace). Za hlavní cíl se v této perspektivě považují kvalifikovaní a motivovaní zaměstnanci. 2
33
-
KGI se zabývá tím, „co“ se kontroluje
-
KPI se zabývá možnostmi, jak co zlepšit.
Zlepšení, které může nastat, by pak pozitivně ovlivnilo celkový výsledek. KPI se zabývá dimenzí interních procesů a učení a to vždy na bázi BSC. Obrázek 5 Vazba cílů a metrik podniku
Zdroj: KIT, VŠE
4.7 Kontroly Základní funkční řízení je založeno na kontrole. Cobit definuje kontrolu jako soubor procedur, politik, nástrojů a organizačních struktur, které mají za úkol poskytovat manažerům výstupy ohledně ujištění ohledně dosažení cílů, které si podnik stanovil. Stejně tak dokáže informovat i o nežádoucích událostech, které mohou být preventivně redukovány, ošetřeny a včas odhaleny. Cobit rozlišuje dva základní typy kontrol. Jedná se o: Obecné (IT General Controls) – jedná se o součástí IT procesů a součástí služeb. Týkají se např. toho, jak tvořit systémy, funkční řízení, změny, jak nakládat s bezpečností provozu atd. Aplikační (Application Controls) – jde o součásti aplikačního software, který podporuje business procesy ve firmě. Podíváme-li se na toto v širším kontextu, nejde jen o automatizované kontroly, jež jsou zabudované do aplikací, ale jde také o ruční kontroly. Tyto jsou zaměřeny např. na kontrolu úplnosti transakcí, správnost transakcí atd. Obecné kontroly se dále rozlišují na :
34
Kontrérní cíle procesu: Tyto cíle jsou specifické pro jednotlivé procesy, neboť se identifikují v podobě procesů. Jde tedy o počáteční písmena domény, číslo procesu a samozřejmě též tečku číslem kontrolního pole. Obecné cíle procesů: Tyto cíle jsou doplňkem specifických kontrolních cílů. Společné jsou pro všechny procesy a označují se zkratkou PCn. PC zde značí ProcessControl a „n“ označuje, o jaké číslo kontroly se jedná. Celkem je šest kontrol: o PC1 Cíle procesů, o PC2 Vlastnictví procesu, o PC3 Opakovatelnost procesu, o PC4 Role a odpovědnosti (odpovědnosti za aktivity), o PC5 Politiky, plány a procedury (dokumentace a školení), o PC6 Zlepšování realizace procesu (vzory, metriky) K označení aplikačních kontrol se využívá zkratky „ACn“. „AC“ zde označuje ApplicationControl“ a „n“ je opět číslo kontroly. Celkem je šest kontrol: AC1
Příprava zdrojových dat a jejich autorizace,
AC2
Shromažďování dat a jejich vstup,
AC3
Kontroly správnosti, úplnosti a pravosti,
AC4
Integrita zpracování a hodnověrnost,
AC5
Kontrola výstupů, konsolidace, ošetření chyb,
AC6
Správnost, originalita a autentizace předávaných výstupů.
4.8 RACI matice (RACI Charts) Pomocí této matice je možné určit, kdo má jaký vztah k nějaké aktivitě. Její pomoc spočívá v tom, že manažerům umožní definovat, kdo se a jakou formou podílí na jednotlivých aktivitách v rámci procesu. Existuje vazba mezi rolemi a aktivitami uvnitř dané matice a její rozlišení je do 4 forem: R- responsible (odpovědný) A- accountable (právně odpovědný) C- consulted (konzultuje aktivity) I- informed (informován o aktivitách)
35
Obrázek 6 RACI matice procesu PO1
Zdroj: Cobit 4.1
36
5 IT ASSURANCE GUIDE Na základě metodiky COBIT jsou na audit IS/ICT napojeny další domunety: IT GovernanceImplementationGuide: UsingCobit and Val IT, jehož podstata tkví v kontrolních praktikách (Kontrol practices) a pomoc zavést kontrolní cíle do praxe IT AssuranceGuide: UsingCobit, jehož báze je založena na etapách a činnostech (testech), jež jsou společné pro všechny audity, pokud se na něj díváme jako na projekt, jež má určitý životní cyklus Cílem IT AssuranceGuide by mělo být poskytnutí návodů, které by říkaly, jak je možné využít Cobit při tvoření auditu IS. Tím by se poskytla možnost jak pro ověření, tak pro zvýšení důvěryhodnosti systému jako celku. Právě k hlavnímu dokumentu COBIT se vztahuje IT AssuranceGuide a jsou tedy propojeny velice podrobnými postupy, jež říkají, jak provádět audit kontrol ve všech 34 IT procesech, které jsou v něm popsané. Pokud provádíme audit informačního systému na základě rámce COBIT, nahlížíme na jednotlivé procesy vždy ze dvou úhlů pohledu či úrovní. Právě od těchto dvou základních pohledů se potom odvine to, jaké budou v jakých úrovních budou následné navrhované postupy. Prvním tímto pohledem je pohled procesní. Na základě procesního pohledu jsou určeny postupy, jež jsou specifikovány pro každý konkrétně daný proces. Tyto postupy zahrnují i provedení testů výsledků, jež dosáhly kontrolní cíle. Jde tedy o to zjistit, zda byly kontrolní cíle dosaženy a zdokumentovat, jaká jsou jednotlivá slabá místa kontrol. Druhým pohledem je možnost nahlížení na proces z hlediska kontrolních cílů procesu. Při tomto pohledu se testuje návrh kontrolních cílů, jejíž bází byly specifické postupy, které se odehrávají v daném procesu. Podstatou všech postupů, jež byly stanoveny pro audit IS, jsou dle COBIT tyto: Kontrolní cíle – jde o specifické vyjádření stavu, který je žádoucí a kterého by mělo být dosaženo tak, že jsou implementovány kontrolní postupy, jež se týkají IT procesu v dané firmě Hodnotové ukazatele a ukazatele rizika – tyto poskytují podklady, na základě kterých můžeme rozhodnout o relevanci zavádění kontrolních postupů. Stejně tak získáváme podklady pro možnost rozhodnout o smysluplnosti dosahování stanovených kontrolních cílů. Hodnotové ukazatele udávají, v jaké výši jsou
37
potenciální přínosy, jež plynou ze zavedení kontroly, ukazatele riziky a možné hrozby, jež vyplývá to toho, že by nebyla zavedena. Kroky kontrolních testů – IT assurance určuje, jaké jsou základní postupy kontrolních testů, jež poskytují návod pro práci auditorů. Tento návod je na základě definice, která určuje základní kroky kontrolních testů. Jako základní korky můžeme stanovit: o Testy návrhu kontrol o Ověření, zda je správné nastavení kontrol o Hodnocení, jaká je efektivnost kontrol Fáze kontrolních testů jsou prvním stupněm, v rámci kterého se navrhuje kontrolní plán. Samostatně jsou však nepoužitelné jako návod pro postup auditu, neboť jsou spíše určeny pro auditory, kteří již mají určité zkušenosti, jež jsou pro ně základem pro možnost vytvoření podrobnějšího programu pro kontrolu. Projekt ujištění musí podle dokumentu splnit vlastnosti, kterých je celkem pět a které jsou zobrazeny na obrázku č. 7. Obrázek 7 Vlastnosti ujištění
Zdroj:ITAssuranceGuide
5.1 ItAssuranceRoad Map Velice důležitá součást IT AssuranceGuide je Road Map. Aby se mohl provádět porovnatelný, konzistentní a efektivní audit, musí se k němu přistupovat metodickou cestou, tj. musí existovat konzistentní metodika. Je však třeba uvést, že existují i specifické přístupy, které se obvykle liší např. v závislosti na typu společnosti, která je auditovaná. I tak je ale třeba mí přístup k postupu auditu, je by byl, i přes menší změny či úpravy, aplikovatelný na větší množství situací. IT AssuranceRoad Map rozděluje fáze auditu do tří kategorií. Poslední kategorie se pak dělí na další činnosti: Plánovaní 38
Určení rozsahu Realizace o Porozumění auditovanému subjektu o Identifikace rozsahu klíčových kontrolních cílů o Testování účinnosti a návrhu kontrol o Testování výstupů klíčových kontrolních cílů o Dokumentace dopadu slabých míst kontrol o Vyvození závěrů a doporučení
5.1.1 Plánovaní (Planning) Základní cíl etapy plánování je vytvoření plánu auditu, jež by přinesl mantinel pro budoucí kontrolní aktivity a který by stanovil cíle auditu a reflektoval, že existují nějaké strategie či priority uživatelů. Činnost, která je v této etapě nejdůležitější, je stanovení rozsahu auditu a stanovení, jakou má auditor odpovědnost (IT AssuranceUniverse) a jak bude stanoven kontrolní systém. Základní parametry projektu ujištění musí vycházet ze systémového pohledu na organizaci, kdy se musí tento výsek reálného světa zmapovat, ohraničit a namodelovat pomocí známých prvků. Dá se přitom použit vertikální nebo horizontální přístup. Při uplatnění vertikálního přístupu auditor musí postupovat shora dolů, t.j. východiskem jsou strategické business cíle organizace a jejich priority. Na základě vybraných prioritních strategických cílů auditor dále prověřuje strategické IT cíle. Vybere si jen ty, které mají největší prioritu a snaží se k nim přiřadit kritické IT procesy a kontrolní cíle. Při zvolení horizontálního přístupu auditor postupuje tak, že seskupí aplikace nebo projekty podle business procesů, lidí a způsobu jejich organizace, prvků infrastruktury a datových objektů. Tyto prvky se také mohou vybrat přímo jednotlivě (např. určitá aplikace, proces, databáze, organizační entita, atd.). Je vhodné u vybraných IT procesů hodnotit zralost. Podle hloubky auditu se dá provést buď rychlé, nebo podrobné hodnocení zralosti. Na základě toho je pak možné určit rozsah a cíle auditu.
5.1.2 Určení rozsahu (Scoping) Cílem této etapy je schopnost stanovit oblasti, které budou přesně vymezené pro určití předmětu auditu, cílů konkrétních aktivit na základě procesu auditu. Tento proces určení rozsahu auditu zahrnuje to, jak se určí obchodní cíle organizace, na které pak navazují IT cíle. 39
Následně se provádí identifikace zdrojů a procesů, které jsou nutné k dosažení těchto cílů. Z cílů, které jsou takto určeny, se vybírají ty, které budou předmětem auditu. Procesy a zdroje, které jsou na ně navázané, dovolují určit mnohem přesnější rozsah, pro který se audit provede.
5.1.3 Realizace Poslední fází auditu je realizace. Základem realizace je samostatný úkon provedení auditu a jeho ukončení. Obsahem této závěrečné činnosti je souhrn jednotlivých činností v postupné sledu, kterými auditor musí projít tak, aby mohl být audit zdárně zakončen. Postup jednotlivých událostí můžeme sledovat na obrázku č. 8. Dále jsou zde zobrazeny další dvě etapy v rámci procesu auditu a výstupy těchto etap. Obrázek 8 IT AssuranceRoad Map
Zdroj: IT AssuranceGuide: UsingCobit ExecutionRoad Map ProcessAssuranceSteps je definován jako jednotlivé kroky auditu, které se vztahují k testování kontrol, jež jsou součástí kontrolního prostředí COBIT. Jde zde o šest kontrol generických, šest aplikačních a také o IT Generalscontrols. U těch, které byly naposled zmíněny, jde o poskytnutí návodu, jakým způsobem kontrolovat všech 34 procesů, jež jsou 40
stanoveny metodikou COBIT. Kroky, které jsou stanoveny v rámci ProcessAssuranceSteps jsou podle IT Assuranceguide: Cíl kontroly (ControlObjective) Hodnotové ukazatele (ValueDrivers) Ukazatele rizika (Risk Drivers) Test návrhu kontrol (Test theControl Design) (Test theOutcomeoftheControlObjective) Dokumentace
dopadu
slabých
míst
kontrol
(DocumenttheImpactofControlWeaknesses) Z pohledu auditu IS COBIT nabízí návody, které pomohou definovat předmět auditu a hlavně také podrobnější postupy, jež jsou vhodné pro provedení testování jednotlivých kontrol v rámci kontrolního prostředí podniku. Jsou též vhodné také pro testování pro provádění testů jednotlivých IT procesů. Zhodnocení úrovně IS/IT jde pak na základě auditu poměrně velmi snadno.
41
6 PRAKTICKÁ CAST Na základě získaných znalosti v první časti práce, v této kapitole se zaměříme na využití metodiky Cobit v praxi z pozice externího auditora. Auditovaným objektem je vymyšlený podnik. Jedná se o podnik, který uchovává data a údaje o klientech pojišťovny.
6.1 Předmět a cíl auditu Na začátku se musí vymezit problematické oblastí informačního systému, které budou auditu podrobeny. A to prostřednictvím zkoumaní dokumentace a rozhovoru s odpovědnými pracovníky. Pří rozhovoru s vedením a příslušnými pracovníky auditor musí získat další informace: Business cíle a rizika spojená s jeho dosahováním Organizační struktura Role a odpovědnosti Existující kontrolní opatření Předpisy a regulace podniku Problémy v minulosti a opatření, která byla přijata pro jejich vyřešení Nynější problémy a znepokojení Jaké přínosy očekává vedení od auditu Neboť se jedná o firmu, která se zabývá zpracování dat, je velice důležitou a stěžejní věcí zabezpečit přístup k datům. Audit se proto zaměřuje na prověrku toho, jak je zabezpečen tento zmíněný přístup. Cíl auditu je tedy definován jako ujištění vedení firmy, že přístup k datům je zabezpečen.
6.2 Porozumění a dokumentace architektury IS podniku Dále se na základě rozhovoru s klíčovými IT pracovníky musí popsat architektura IS podniku. Na obrázku č. 9 je uvedeny základní prvky a procesy podnikové architektury IS/IT.
42
Obrázek 9 Základní prvky a procesy podnikové architektury IS
Zdroj: IT AssuranceGuide
6.3 Plán auditu Důležitou podmínkou, která musí být splněna, aby mohl být audit správně proveden, je příprava, naplánování a vypracování programu auditu. Je tedy nutné v této fázi zvážit: způsob, jakým budou rozpracovány cíle auditu, tzn. co je třeba auditovat a co není identifikace rizik, která jsou v auditovaných procesech významná pochopení a znalosti definovaných procesů a jejich rizik a jejich řízení časové rozplánování auditu a stanovení priorit způsob, jakým bude zabezpečen audit z hlediska lidských zdrojů
6.4 Výběr procesů Abychom určili rozsah auditu, použijeme COBIT a zaměříme se nejprve na procesy COBIT. Následně vyhledáme takový proces, kterým by mohl mít něco společného se zabezpečením přístupu k databázi. Je zapotřebí vybrat vhodné informační kritérium, které nejvíce odpovídá cíle auditu. Jelikož se jedná o zabezpečení přístupu, nejvíce odpovídá Důvěrnost (Compatibility) Pak v příloze Appendix II dokumentu Cobit 4.1 vybrat procesy, které se s informačním kritériem protínají v primární vazbě.Takový postupvýběru procesu se nazývá horizontální přístup, který je popsan v kapitole 4.3.1, poukazuje, že nejvhodnějším procesem je DS5 „zajištění bezpečnosti systému“, který je uveden v doméně Dodání a podpora.
6.4.1 Popis procesu DS5 Potřeba udržovat integritu informací a ochranu majetku IT vyžaduje proces řízení bezpečnosti. Tento proces zahrnuje vytváření a udržování role a odpovědností v oblasti ITbezpečnosti, politiky, standardy a postupy. Řízení bezpečnosti také zahrnuje provádění 43
bezpečnostního monitorování a pravidelné testování a realizaci nápravných opatření v případě zjištěných nedostatků bezpečnostní nebo mimořádných událostí. Efektivní řízení bezpečnosti umožní chránitIT majetek a minimalizovatdopad incidentů a zranitelností bezpečnostního systému na obchodu. Řízení procesu zajištění bezpečnosti systému je zaměřeno na definování bezpečnostních IT politik, plánů a procedur a monitorování, zjišťování, vykazování a řešení incidentů a zranitelností bezpečnostního systému. Aby bylo dosaženo bezpečnosti systému,
je nejdříve zapotřebí porozumět
bezpečnostním požadavkům, zranitelnostem a hrozbám; autentizace a autorizace se musí řídit standardizovaným způsobem a pomocí pravidelného testování bezpečnostního systému. Tento proces se měří podle počtu incidentů, které poškozují pověst organizace, počtu systémů, u kterých nebyly dodrženy bezpečnostní požadavky a podle počtu porušení v rozdělení povinností. Zdroje it pro proces DS5 Na obrázku č. 10 je vidět, že proces zajištění bezpečností systému je součástí řízení aplikace, informace, infrastruktury a lidí. Obrázek 10 Oblast zdrojů procesů DS5
Informační kritéria pro proces DS5 Obrázek č. 11 ukazuje, že informačními kritérií jsou primárně důvěrnost a integrita, a sekundárně jsou pak dostupnost, shoda a hodnověrnost. Tím pádem prоcеs DS5 má primární vаzbunа zаjištění důvěrnosti a integrity informací.
44
Obrázek 11 Informační kritéria procesu DS5
Vazby na IT Governance Proces zajištění bezpečnosti systému sе primárně vztаhujе k oblаstiřízеní rizik (Obrázek č. 12) Obrázek 12 Vazba procesu DS5 na IT Governance
Zdroj: IT AssuranceGuide RACI matice pro proces DS5 Z obrázku č. 13 vyplývá, že skoro za všechny činnosti, kromě pravidelného kontrolování a ověření přístupových práv uživatelů a oprávnění, právně odpovědným je ředitel IT útvaru.
45
Obrázek 13 RACI matice pro proces DS 5
Zdroj: IT AssuranceGuide
6.4.2 Kontrolní cíle procesu DS5 Každý proces, který je stanoven v metodice COBIT, je rozdělen do několika kontrolních cílů, které jsou podrobnější. Jestliže chceme provést prověření celého procesu, který zajišťuje bezpečnost systému, musím se zaměřit zvláště na jednotlivé kontrolní cíle. Jednotlivé kontrolní cíle jsou tedy rozpracovány v dokumentu IT AssuranceGuide. Zde jsou pro jednotlivé cíle stanoveny hodnotové faktory (valuedrivers), rizikové faktory (risk drivers). Je zde rozpracováno i to, jakým způsobem je možné ověřit navržení kontrolního cíle (test thecontrol design). Kontrolní cíle procesu: DS5.1
Řízení informační bezpečnosti
DS5.2
Plánování informační bezpečnosti
DS5.3
Řízení autentizace a autorizace (totožnosti)
DS5.4
Řízení uživatelských účtů
DS5.5
Testování, dohled a monitorování bezpečnosti
DS5.6
Definování bezpečnostních incidentů
DS5.7
Ochrana bezpečnostních technologií
DS5.8
Správa kryptografických klíčů
DS5.9
Prevence, detekce a korekce škodlivých programů
DS5.10 Bezpečnost sítí DS5.11 Výměna citlivých dat Cílem auditu je ujištění vedení firmy o přístupu k databázi a jeho zabezpečení a proto se 46
zaměříme na kontrolní cíl DS5.3 Řízení autentizace a autorizace. Stejně tak je třeba se zaměřit na rizikové a hodnotové faktory a stejně tak na kroky, na základě kterých se ověřují jednotlivé návrhy.
6.4.3 Kontrolní cíl DS5.3 Řízení autentizace a autorizace Zajistit, aby všichni uživatelé (interní, externí a dočasné) a jejich činnost v IT systémech (business aplikací, IT prostředí, provoz systému, vývoj a údržba) byly jednoznačně identifikovatelné. Provádění identifikace uživatelů autentizačními mechanismy. Ověřit, zda přístupová práva uživatelů k systému a datům jsou v souladu s definovanými a dokumentovanými obchodními potřebami. Ujistit se, že přístupová práva uživatelů jsou vyžadovány managementem uživatele, schváleny vlastníky systému a jsou implementovány bezpečnostní- odpovědnou osobou. Udržovaní uživatelských identit a přístupových práv v centrálním úložišti. Aplikovat rentabilní technické a procedurální opatření a udržovat je aktuální pro stanovení identifikace uživatele, provádění autentizace. Hodnotové faktory DS5.3 Efektivní provádění změn Náležité zkoumání neoprávněného přístupu Zabezpečení komunikaci Rizikové faktory DS5.3 Neoprávněné změny HW a SW Zpřístupnění k selhaným business požadavkům a kompromitace bezpečnosti business- kritických systémů Nespecifikované bezpečnostní požadavky pro všechny systémy Porušení principu rozdělení povinností Informace oslabeného systému Ověření návrhu kontrolního cíle DS5.3 Dokument IT AssuranceGuide obsahuje návod, který se zabývá každým dílčím cílem (test thecontrol design). Dle tohoto návodu lze provést jednotlivé auditorské činnosti. Abychom mohli ověřit návrh kontrolního cíle pro DS5.3, uvádí se v tomto dokumentu další kroky:
47
Zjistěte, zda bezpečnostní postupy vyžadují, aby uživatele a systémové procesy byly unikátně identifikovatelné a systémy konfigurovány tak, aby prováděly autentizace před umožněním přístupu Jestli předurčené a předem schválené role jsou využívány k udělení přístupových prav; určete, zda tyto role jasně vymezují povinnosti s nejnižší úrovní oprávněnía zajistěte si, aby zřízení a změnu role prováděl útvar, který je vlastníkem procesu. Zjistěte, zda kontrolní mechanismy, zajišťující inicializace přístupu a autentizace, jsou využívány pro řízení logického přístupu pro všechny uživatele, systémových procesů a IT zdrojů, pro interně a vzdáleně řízené uživatele, procesy a systémy. Kroky, které jsou výše vypsané, nám mohou posloužit jako testové otázky, na základě kterých sestavíme program auditu. Ne všechny jsou však relevantní pro to, aby mohly být využity v každé organizaci. Je proto nutné, aby byly konkrétně přizpůsobeny.
6.5 Vyběr kontrol Audit databáze znamená audit jednotlivého komponentu informačního systému, jež má velice těsné vazby na další prvky, mezi které můžeme zařadit sítě, operační systém, aplikaci. Jedná se o zvláštní typ aplikace, teda půjde o audit aplikační. Rekapitulace: náš cíl je na základě auditu ujistit vedení firmy, že je zabezpečen přístup k databázi. Jelikož jde o aplikační audit, je zapotřebí zvolit aplikační kontroly, které byly popsány v kapitole 4.7. Na základě spolupráce s IT AssuranceGuide byly ze šesti aplikačních kontrol vybrány ty, jež jsou nejvíce odpovídající cíli auditu. Jedná se o: AC1
Příprava zdrojových dat (dokumentů) a jejich autorizace
AC2
Shromažďování dat a jejich vstup
AC3
Kontroly správnosti, úplnosti a pravosti
6.5.1 AC1 Příprava zdrojových dat a jejich autorizace Ověření,
zda
zdrojovédokumentyjsou
připraveny
podle
stanovených
postupů
autorizovanými a kvalifikovanými pracovníky, s přehlednutím k přiměřenému rozdělení povinností týkajících se vzniku a schvalování těchto dokumentu. Minimalizace chyb a opomenutí. Odhalit chyby a nesrovnalosti, aby mohly být hlášeny a opraveny. Hodnotové ukazatele: Integrita dat Dokumentace standardizovaných a autorizovaných transakcí 48
Zlepšení aplikačního výkonu Přesnost údajů o transakcích Rizikové ukazatele: Narušená integrita kritických dat Neoprávněné anebo chybné transakce Neefektivnost
a oprava
Oveření návrhu kontrolního cíle Ujistěte se, zda koncepce systému zajišťuje identifikaci a řízení úrovně autorizace Ověřte,
zda
koncepce
systému
zajišťuje
použití
předem
schválených
autorizačních seznamů Ověřte, zda zdrojové dokumenty jsou navřeny s předurčeným kódováním, alternativy atd., pro podporu včasného dokončení a minimalizovaní výskytu chyb Ověřte, zda návrh systému podporuje revizi formulářů úplnosti a autorizace Ověřte, zda systém navřen tak, aby sledoval a podával zprávy o neúplných a neautorizovaných dokumentech, které byly odmítnuty a vraceny vlastníkovi na opravu
6.5.2 AC2 Shromažďování dat a jejich vstup Jedná se o ověření, jestli jsou vstupní data vytvořena na základě přiměřeně rychlé práce kvalifikovaných a autorizovaných pracovníkůPokud dojde k opravám a opětovnému vložení dat, pokud byla vložena nesprávně, je nutné, aby tento průběh nepoškodil původní transakci. Hodnotové ukazatele: vkládání přesných dat a jejich efektivní zpracování vč citlivá ochrana zpracovávaných dat Rizikové ukazatele: neefektivnost
kvůli vkládání nekompletních dat
narušená integrita kritických dat neodhalené chyby při vkládání dat 49
Dále následují konkrétní testy v rámci kontroly zdrojových dat, které se dotazují a testují zda: jsou zdrojové dokumenty v systému číslovány, jsou vytvořena kritéria pro včasnost, kompletnost a př a zda jsou tato kritéria správně nastavena a komunikována, jsou zdokumentované procesy k opravě chyb při vkládání dat a zda tyto procesy obsahují kroky k případné opravě
,
jsou zdokument
,
jsou zdokumentována autorizační pravidla definující autorizaci provkládání dat, editaci, schvalování nebo zamítnutí změn v rámci dané transakce, jsou reporty o chybách posuzovány kompetentní osobou a zda jsou všechny chyby zaznamenány a opraveny v přiměřeném časovém horizontu.
6.5.3 AC3 Kontroly správnosti, úplnosti a pravosti Na základě práce aplikačního systému dochází k zajištění kompletnosti a přesnosti transakcí. Data, jež vstupují do transakcí, se musí ověřit. Jestliže je potřeba jejich oprava nebo nějaká korekce, je třeba tuto vykonat na místě, kde byla pořízena. Hodnotové ukazatele: oprava nesprávnosti při zpracování dat během celého procesu zpracování dat bude dbáno o jejich přesnost a kompletnost Data se nepřerušovaně zpracovávají funkce vkládání dat a funkce jejich zpracování jsou odděleny Rizikové ukazatele: narušená integrita kritických dat neefektivnost při zpracování dat díky nesprávně vloženým a nekompletním datům chyby při vložení dat nebyly odhaleny neoprávněné a neautorizované vkládání dat Následují pak konkrétní testy na základě potřeby kontrolovat přesnost, kompletnost a autenticitu. Tyto kontrolní testy testují, zda: lze u důležitých aplikací vkládat a modifikovat data pouze osoba, která je k tomu autorizovaná 50
jsou navrženy kontroly, na základě kterých se testuje vkládání dat a další autorizační kontroly vkládání dat probíhá na základě stanovených postupů Je nutné také nezapomenout na nutnost prozkoumání záznamů o chybách a nerovnovážných procesech. Stejně tak je třeba dát pozor na záznamy, které se týkají oprav za účelem možnosti ověřit, jak jsou nastaveny kontrolní procesy. To znamená, zda dochází k řešení chybových stavů na základě postupů, které jsou stanoveny a zdokumentovány.
6.6 Realizace auditu Teď když už všechny údaje jsou k dispozice, jež jsou nezbytné k sestavení prоgrаmu аuditu. Progrаm auditu měl by zahrnovat: Cíl auditu Útvar podrobený auditu Harmonogram auditu Sestavení tymu auditorů (kdo je vedoucím, manažerem, členem atd.) Testové otázky Výběr vzorků Počítačová podpora Před tím než auditor přestoupí k samotné realizace, musí ověřit, zda správně porozuměl danému prostředí a vydefinoval předmět auditu. Pak teprve by měl přestoupit k testování návrhu kontrol, testování výstupů kontrolních cílů a dokumentování dopadu slabin kontrol (když takové existují). Audit se realizuje na záklаdě zkoumání podnikové dоkumentace, která se týká přеdmětuаuditu a prосtřednictvím interview uživateli. Prostudovaná dokumеntace měla by představovat nejprve řád a prасоvníinstrukсе, jež obsаhujíformalizоvаné pоstupy procesů v podniku, včetně stanоvеní některých kontrolních cílů. V předchozí kapitolách Výběr procesů a Výběr kontrol je uvedeno, že pro potřеbу auditubylyvybrányaplikačníkontroly AC1, AC2, AC3 a kontrolnícíl DS5.3. Vybrané kontroly měly by být aplikovány během rozhovorů s uživateli, kladením otázek ze záklаdníhооkruhu dotаzůа následujícím zаměřením rozhоvоru nаidentifikоvané slabiny procesů. Základní okruh otázek, vycházející ze zvolených kontrol a kontrolních cílů: Jsоuvýstupуpřеdáványautorizovаnýmzpůsоbеm? Je sběr a zápis dat prоváděnkvalifikоvаným a určеnýmpracоvníkem? 51
Jsоujednоtlivédоkumenty v sуstému číslovány? Je bezpečnostními postupy zajištěno omezení přístupu prostřednictvím autentizace? Jsоu jednotlivé dokumenty číslоvаnу?
52
Závěr Velice často je dnes ve světě řízení informatiky skloňováno slovo Cobit. Jde o takovou metodiku řízení informatiky, na základě které lze naplnit cíl zastřešování a integrování ostatních detailnějších standardů. Na základě toho lze uvést, že Cobit je spíše obecný. Přináší nám referenční model, jež obsahuje 34 informačních procesů. U těchto procesů můžeme definovat měřítka, která by měla být daným procesem splňována. Tato metodika ale už neuvádí, jaké jsou konkrétní opatření vhodné k dosažení definovaných výsledků. V této obecnosti ale však můžeme spatřovat spíše výhodu, neboť z Cobitu dělá nástroj, jež si každá firma může přizpůsobit svým potřebám. Na kreativitě konkrétních pracovníků pak závisí, jak dokáží tento systém ve své firmě implementovat. COBIT je procesní nástroj, která zahrnuje pracovní nástroje, jež pomáhají manažerům řídit požadavky, které vyplývají z procesní a řídící roviny života ve firmě. Pomáhají též s technologickými problémy a riziky, které přináší obchodní činnost. Cobit podává pohled na řízení organizace, který není nijak zkreslený a který není žádným způsobem pokřivený. Pomáhá také organizacím dosahovat lepší výsledky a klade důraz na to, aby vznikl soulad s regulačními požadavky firmy. V práci jsem se také soustředil na to, abych pojmenoval nástroje, kterými COBIT disponuje. Pomocí těchto nástrojů ulehčuje život auditorům a pomáhá zvýšit efektivnost jejich práce. Nástrojem, který je při auditu informačních systémů stěžejní záležitostí, je dokument IT AssuranceGuide. Jedná se o poradní nástroj auditorů, ukazuje jim, jakým způsobem využít pestrost ujišťovacích aktivit, jež jsou specifické pro každý z 34 IT procesů, jež jsou náplní COBITu. Aplikaci nástroje COBIT jsem aplikovat v poslední kapitole na modelovém příkladu. Nebylo mým cílem definovat nějaké konkrétní závěry, ale spíše poukázat na to, jakým způsobem je možné využít nástrojů COBIT a jakým způsobem z těchto nástrojů vytěžit informace, jež jsou nezbytné pro vytvoření přehledu o problematice, která je auditovaná. Domnívám se, že hlavním přínosem metodiky COBIT při auditování informačních systémů je možnost vyhodnotit zralost procesů a v získání přehledu o tom, jaká je auditovaná problematika a jak je možné pomoci při procesu sestavování programu auditu. Právě program auditu je totiž jedním z důležitých nástrojů, který zajišťuje hladký průběh auditu. Mohu jmenovat i výhodu v přínosu hodnotových a rizikových faktorů. Tyto faktory totiž 53
napomáhají auditorům při potřebě přípravy argumentace při posuzování nedostatků. Rád bych uvedl i jednu z hlavních nevýhod metodiky COBIT, kterou vidím ve velké obecnosti, která je této metodice vlastní. Auditor, pokud pracuje na definici předmětu auditu, musí spoléhat sám na sebe a využívat COBIT ve smyslu zdroje informací. Pro využití COBITu při realizaci a ukončení auditu již nevidím žádnou možnost využití.
54
SEZNAM POUŽITÉ LITERATURY Bibliografie [1] KRÁLÍČEK, V. Auditing. Praha: Vysoká škola ekonomická v Praze, 1997. ISBN 807079-812-2 [2] PIATTINI, M. Auditing Information Systems.Hershey: Idea Group Publishing, 2000. ISBN 1-878289-75-6 [3] RICHARDSON, D. Audit and Control of Information Systems. Cincinnati: SouthWestern Publishing, 1987. ISBN 0-538- 10940-8 [4] SVATÁ, V. Audit Informačního Systému. Příbram: Professional publishing, 2011. ISBN 978- 80- 7431- 034- 8 [5] Informační technologie - Procesy v životním cyklu softwaru. Vydal Český normalizační institut. Praha: Český normalizační institut, 1997. [6] Zákon 93/2009 Sb., o auditorech a komoře auditu České republiky.
Internetové články [1] Komora auditorů České republiky. (2007). Získáno 7.3.2011, z www.kacr.cz: http://www.kacr.cz/Article.asp?nDepartmentID=18&nArticleID=6&nLanguageID=1 [2] IT Governance Institute. (2006). Board briefing on IT governance, 2nd edition. Načteno z ISACA: http://www.isaca.org/KnowledgeCenter/Research/Documents/BoardBriefing/26904_Board_Briefing_final.pdf [3] Kúdelková, M. (9.1.2006). Načteno z Ministerstvo průmyslu a obchodu: http://www.mpo.cz/dokument2566.html [4] LBMS, s.r.o. IT Governance. Získáno 18.2.2011, z LBMS: http://www.lbms.cz/reseni/_pdf/IT-Governance-sheet.pdf
55
Seznam tabulek Tabulka 1 Porovnání pojmů kontrola, audit a ujištění.............................................................. 11 Tabulka 2 Etapy auditu ............................................................................................................. 20 Tabulka 3 Znázornění procesů Cobit c závislosti na informační kritéria a zdroje ................... 29
Seznam obrázků Obrázek 1 Základní rámec pro ITG.......................................................................................... 15 Obrázek 2 Základní principy Cobit .......................................................................................... 26 Obrázek 3 Grafické znázornění modelu zralosti ...................................................................... 31 Obrázek 4 Příklad: Vztahy cílů ................................................................................................ 32 Obrázek 5 Vazba cílů a metrik podniku ................................................................................... 34 Obrázek 6 RACI matice procesu PO1 ...................................................................................... 36 Obrázek 7 Vlastnosti ujištění.................................................................................................... 38 Obrázek 8 IT Assurance Road Map ......................................................................................... 40 Obrázek 9 Základní prvky a procesy podnikové architektury IS ............................................. 43 Obrázek 10 Oblast zdrojů procesů DS5 ................................................................................... 44 Obrázek 11 Informační kritéria procesu DS5 ........................................................................... 45 Obrázek 12 Vazba procesu DS5 na IT Governance ................................................................. 45 Obrázek 13 RACI matice pro proces DS 5............................................................................... 46
56
