Vazba na Cobit 5
Hlavní cíle návodu • Návod na to, jak užívat rámec Cobit 5 pro podporu a organizaci auditu/ujištění • Strukturovaný přístup pro realizaci auditu podle jednotlivých „enablers“ definovaných v Cobit 5 • Popisuje strukturovaný přístup pomocí konkrétních příkladů „audit/assurance“ programů
Komu je určen • Profesionálům v oblasti auditu a ujištění • Statutárním orgánům a auditorským výborům jako zájmovým skupinám (stakeholdeři) • Business a IT manažerům jako představitelům odpovědných stran (accoutable parties) • Externím stakeholderům (externí auditoři, regulátoři, zákazníci)
Koncepce dokumentu • Navazuje na 7 předpokladů (enablers): 1. 2. 3. 4. 5. 6. 7.
Principy, politiky a rámce; Procesy; Organizační struktury; Kultura, etika a chování; Informace; Služby, infrastruktura a aplikace; Lidé, dovednosti a kompetence.
• Každý předpoklad má v konkrétní organizaci jinou podobu, která ovlivňuje i způsob ujištění • Každý z principů Cobit 5 se diskutuje do hloubky z pohledu auditu/ujištění
Komponenty ujištění
Různé pohledy na ujištění • Perspektiva zajištění funkce auditu/ujištění (Assurance function perspective) – co se musí provést pro to, aby se ujištění mohlo realizovat jako součást IT Governance a řízení (podle enablers) • např. Jaké je organizační zabezpečení ujištění ? •Jaké informace jsou výsledkem ujištění? • Perspektiva postupu auditu/ujištění (Assessment perspective)– jak postupovat při auditu objektu IT (v tomto případě podnikové IT, popsané v Cobit 5 Enabling Processes, proto pouze popsán • podrobný popis klíčových procesů ujištění MEA01, MEA02 a MEA03 •obecný postup ujištění podle enablers
Vazba koncepce na další dokumenty
A: Assurance Function Perspective Popis této části dokumentu obsahuje pro každý enabler popis: •Společných dimenzí enablerů •Assurance function perspective
1. Enabler: Principy, politiky a rámce (PPR) Společné dimenze předpokladu (Enabler) PPR: • Stakeholders – Internal or external – Někteří politiky určují, jiní je mají dodržovat
• Cíle – Komunikace napříč organizací – Omezení v počtu a srozumitelné
• Životní cyklus – formální popis
• Dobrá praxe – Součást rámce pro governance a management (hierarchická struktura) – Náležitosti popisu ( rozsah a platnost, následky nedodržování, nástroje pro ošetření výjimek , způsob hodnocení dodržování) – Vazba na risk apetit organizace – Periodická aktualizace nebo po větších změnách v organizaci
PPR: Assurance Function Perspective • PPR Součástí ITAF
2. Enabler: Procesy Společné dimenze předpokladu (Enabler) Procesy: • Definice: „Proces je souhrn praktik (practices), ovlivňovaný podnikovou politikou a postupy, které získávají vstupy z řady zdrojů (včetně jiných procesů), které transformují na výstupy (např. produkty, služby)“ • Stakeholdeři procesů: interní a externí, reprezentace prostřednictvím rolí, RACI chart • Cíle procesů: popis požadovaného výstupu – Může jít o artefakt, významná změna stavu nebo významné zlepšení procesu – Kaskádování cílů: business – IT – proces – Kategorizace cílů • • •
• •
Vlastní (intrinsic), inherentní: je správný v porovnání s dobrou praxí, je v souladu s interními a externími regulacemi? Kontextový cíl: je proces implementovaný v souladu se specifiky podniku? Je relevantní a srozumitelný? Provádí se snadno? Dostupnost a bezpečnost cíle - je cíl tajný, pokud je to potřeba? Je dostupný tomu, pro koho je určen?
Životní cyklus procesů - definovaný – vytvořený, provozovaný – monitorovaný – aktualizovaný – zastaralý/zrušený. Podle ISO/IEC 15504 možné řídit etapy definování, provozu, monitorování a optimalizace procesů Dobrá praxe – Cobit 5 Enabling processes procesní model
Podpůrné procesy pro postup ujištění (nejsou podrobně popsány (vodítko Cobit5 Enabling processes)
Procesy: Assurance Function Perspective (popisuje procesy podporující funkci ujištění)
Klíčové procesy pro postup ujištění (jsou dále
Popis vybraných klíčových procesů
Pro klíčové procesy jsou v dokumentu dále uvedeny informace, které nejsou v Cobit 5 Enabling processes (kromě prvních dvou: popis procesu a jeho účelu)
3. Enabler: Organizační struktury • Společné dimenze předpokladu (Enabler) Organizační struktury: • Cíl: Jak organizační struktury mohou podpořit realizaci ujištění • Stakeholdeři: interní externí (útvary, regulatorní orgány, dodavatelé, klienti, ..) • Cíl: mít adekvátní mandát, principy, aplikovat dobré praktiky v rámci ujištění • Životní cyklus: změna mandátu, cílů • Dobrá praxe: principy provozu útvaru (četnost schůzek, dokumentace,..), složení interní vs. externí zaměstnanci, míra pravomoci, rozsah kontrol, eskalační postupy, možnosti delegování pravomoci,..)
Organizační struktury: Assurance Function Perspective
(definovat všechny organizační struktury přispívající k dobrému fungování funkce ujištění: klíčové, podpůrné)
Podpůrné organizační struktury
Pro klíčové org. struktury jsou dále uvedeny doplňující informace: • Složení • Mandát • RACI tabulka • V/V
B: Assessment Perspective • Klíčové procesy ujištění doména MEA •Popis identický s Cobit 5 Enabling Processes • U některých aktivit dodatečné informace
Řízení postupu ujištění • Pro správné řízení enablerů je potřeba klást tyto otázky:
Obecný postup auditu (podle enablerů)
Fáze A: Urči rozsah ujištění (shrnutí)
Příklad popisu kroků fáze A
Příklad popisu fáze B
