Audit Flashcards
Audit Is/IT a objekty
Proces, ktorý sa zaoberá Posudzovaním a Poradenstvom objektov, prispieva k správnej organizácií informačného systému
Objektmi môžu byť:
• organizácia a riadenie IS/IT,
• základný a aplikačný softvér,
• technické vybavenie,
• telekomunikačné systémy,
• procesy tvorby a údržby systémov,
• ochrana a bezpečnosť systému, údaje a pod
Pri vymedzovaní pojmu audit v oblasti IS/IT je potrebné si uvedomiť či ide o: audit informatiky (informačný audit) alebo informatiku ako nástroj využívaný pri audite (informatika vaudite).
Vlastnosti auditu
Komplexnosť – zhrnutie aspektov a väzieb
Objektívnosť - opora v existujúcich štandardoch, príp. skúsenostiach,
Nezávislosť - auditor nemá s objektom auditu ani so zadávateľom auditu žiadne spojenie, ktoré by predstavovalo konflikt záujmov,
Formalizovanosť - celý proces auditu musí byť riadený metodikou a existujúcimi štandardami,
Pružnosť - schopnosť meniť ciele auditu podľa prostredia a požiadaviek zákazníka,
Systémovosť- schopnosť presadzovať záujmy vlastníka.
Špecifiká auditu
Aspekt ekonomický - ekonomické prínosy auditu prejavujúce sa vo zvyšovaní hodnoty úspešne auditovaného objektu
Aspekt informačný - význam auditu ako nástroja riadenia kvality zverejňovaných informácií o auditovanom objekte
Aspekt motivačný - založený na predpoklade, podľa ktorého kvalita a význam auditu sú do značnej miery určované právnymi predpismi,
Procesný aspekt - potrebu konceptuálneho modelu auditu, najčastejšie vo forme metodiky alebo pravidiel postupu auditu.
Prístupy k auditu
Autoritatívny - o oddelenie autority do nezávislých poradenských firiem, čím sa zvýšila ich nezávislosť. Autoritatívny prístup sa opiera oprávnu alebo regulačnú nezávislosť. , v minulosti veľká 6,dnes veľká 4
Disciplinárny – zabezp. Ochranu integrity podnikov, . určuje, ktoré informácie je možné zverejňovať mimo podnikový systém, atým aj obmedzuje areguluje autoritu tak, aby nedochádzalo k jej koncentrácii.
Hľadiská auditu
- Hľadisko úrovne auditu
technický audit – overuje súlad medzi objektívnou realitou a systémom riadenia (či subjekty riadenia majú k dispozícii kvalitné informácie), spracováva informácie 1.stupňa,
profesionálny audit – overuje súlad medzi výstupmi zo systému riadenia danej organizácie - Hľadisko vykonávateľa auditu IS
audit interný – vykonávaný organizačnou jednotkou alebo zamestnancom organizácie,
audit externý – vykonávaný externou organizačnou jednotkou alebo pracovníkom - Hľadisko ekonomické a časové
jednorazový audit–rýchly audit zameraný na konkrétny aspekt systému v danom časovom rozpätí,
priebežný audit–preventívny nepretržitý audit monitorujúci hlavné charakteristiky prevádzky IS. - Hľadisko vecného zamerania auditu
• audit legálnosti programového vybavenia,
• audit bezpečnosti,
• audit kontrolného systému,
• operačný audit (audit efektívnosti prevádzky),
• audit projektu nového systému apod. - Hľadisko metodologické
substantívny audit – predmetom auditu sú transakcie,
audit založený na kontrolách a riziku – predmetom auditu je vnútorný kontrolný systém organizácie a riziká s ním spojené (riziková analýza). - Hľadisko väzby na právny systém alebo iné aktivity
• forenzný (súdny) audit – je audit, vychádzajúcich z poznatkov forenzných vied a je zameraný hlavne na získavanie objektívnych a preukázateľných dôkazov,
• Predinvestičká previerka/„duedilligence“ audit - Je to služba pre investora, ktorý sa rozhoduje kúpiť podnik. Audítor mu poskytuje informácie osituácii vnútri podniku a o vhodnosti jeho kúpy,
• ostatné – nie sú súčasťou súdneho konania, kriminálneho aktu, investičných rozhodovaní.
Vývojové etapy auditu
Vývojové etapy auditu:
1) etapa – hodnotenie výsledkov spracovania na počítačoch – obsahom auditu sú vstupy, spracovanie a výstupy IS/IT, dôraz sa kladie na preverovanie minulých aexistujúcich transakcií,
2) etapa – hodnotenie rizika a kontrol počítačového spracovania - obsah sa rozširuje na preventívne hodnotenie spoľahlivosti a preukázateľnosti počítačovo spracovávaných transakcií,
3) etapa – hodnotenie a optimalizácia procesov IS/IT a nadväzujúcich procesov – obsah sa ďalej rozširuje z oblasti čisto počítačovej do oblastí súvisiacich.
Štandardy a metodiky auditu
Štandardy a metodiky auditu: - Všetky štandardy v súčasnosti zastrešuje projekt IT Governance(ITG) –Správa a riadenie informačných technológií
• Štandardy IS/IT – štandardy bezpečnosti, štandardy kvality, ostatné
• Štandardy auditu podľa ISACA – Standards, Guidlines, Procedures
• Štandardy auditu podľa INTOSAI – Basic principless, General Standards, Field Standards, Reporting Stadards
• Základné medzinárodné metodiky
• - metodika ISACA –COBIT (Control Objectivesfor Informationand related Technology),
• - metodika INTOSAI –IS (International Organization of Supreme Audit Institutions – Information Systems).
Postup zavádzania ITG - IT Governance
- Zoznam aktivít
- Výstupné metriky
• zlepšenie riadenia prevádzky a nákladov,
• merateľný prínos IS/IT v inovácií produktov aslužieb,
• súčasnú dostupnosť zdrojov aslužieb IS/IT,
• odstránenie rizík integrity a dôvernosti informácií. - Najlepšie riešenia
- Kritické faktory
- Performance drivers – indikátory toho, ako dosiahnuť ITG na rozdiel od metrík výstupu, ktoré hodnotia, čo sa má dosiahnuť, často v nadväznosti na kritické faktory úspechu, napr.: rozsah afrekvencia hlásení oriziku akontrolách najvyššiemu vedeniu, zlepšená nákladová efektívnosť procesov IS/IT,postoje systému, produktivita a čas reakcie.
Druhy auditu vypísať
Druhy auditu: Audit útvarov,Audit outsourcingu,Audit prevádzky
Audit útvarov
- Väzby medzi stratégiou podniku a stratégiou rozvoja IS/IT (IT Governance) – strátégia PODNIKU VS ROZVOJA
- hodnotenie: podnikového strategického plánu, procesu strategického plánovania IS/IT, taktického plánu zahrnujúce hodnotenie spôsobu riadenia projektu, dodania služieb IS/IT a aplikácií, metodológie na tvorbu aobstaranie systému, podpory IT governance v praxi
- Audítor by mal porovnať zistené skutočnosti so štandardami v tejto oblasti:
• či existuje vízia a ciele pre oblasť IS/IT,
• či sa vykonáva rizikové riadenie pre oblasť využívania zdrojov IS/IT,
• či existuje rozpočet pre IS/IT, ako sa určuje aaké sa stanovujú varianty,
• či sa využívajú metriky na realizáciu procesov IS/IT (napr. bestpraktices), či sa pravidelne monitoruje dodržiavanie stanovených pravidiel, postupov atď
- Politika a postupy útvarov IS/IT (ŠTANDARDY)
- interné štandardy s celopodnikovou platnosťou, ale aj štandardy z oblastí: riadenia dát, vývoja, etické zásady, web
Interné štandardy ako napr. - štandardy na: komunikáciu, poskytovanie služieb IS/IT, prijímanie a prepúšťanie pracovníkov, plánovanie, dokumentáciu systému, financovanie útvarov a projektov, obstaranie softvéru, programovanie. - Spôsob riadenia a financovania útvarov a projektov IS/IT
-financovanie závisí od toho, o aký druh strediska ide: nákladové stredisko, ziskové stredisko,investičné stredisko
+ spôsob priraďovania nákladov: nákladový model: zisťujú sa celkové náklady na IS/IT atie sa potom rozpočítavajú, model ABC- riame, nepriame a režijné náklady zisťujú podľa jednotlivých služieb a ďalej sa rozpočítavajú podľa jednotiek služieb,metodiky vytvorené pre potreby IS/IT: ITIM-IT (IT Investment Management) metodika pomáhajúca posudzovať spôsob riadenia investícií voblasti IT, AIE (Applied Information Economics), TVO (Total Value Oportunity) – metodika Gartner. - Organizačné štruktúry na úrovni podniku a útvarov IS/IT
posúdenie efektívnosti delenia zodpovednosti a právomoci voblasti IS/IT aich vplyvu na kvalitu a cenu služieb IS/IT:
• organizačné entity zodpovedné za IT Governance,
• štruktúru útvarov zodpovedných za IS/IT, spôsob delenia právomoci azodpovednosti, väzby,
• náklady spojené s ich prevádzkou. - Automatizované nástroje na podporu riadenia IS/IT v podnikoch
Aplikačné programové vybavenia pre oblasť riadenia IS/IT v podnikoch.
Dve základné oblasti: riadenie projektov (tzv. Project Management Systems), podporu správy prevádzky (tzv. Enterprise Management Systems).
Audit outsoucingu
- druh outsourcinguIS/IT, rozsah outsourcinguIS/IT,
- zhodnotenie procesov plánovania outsourcinguIS/IT,
- zhodnotenie zmluvy SLA,
- zhodnotenie realizácie outsourcinguIS/IT.
Existencia outsourcingu v žiadnom prípade nezbavuje podnik zodpovednosti za vnútorný kontrolný systém IS/IT.
Audit prevádzky IS/IT
Procesy a služby:
Hodnotenie kvality prevádzky z pohľadu: služieb poskytovaných koncovým používateľom,
pohľadu samotných procesov prevádzky realizovaných špecialistami IS/IT.
hodnotenie kvality jednotlivých komponentov prevádzky (konfigurácia, bezpečnosť, kapacita), ktorými sú napr. HW, systémový SW, DB SW, ASW, siete.
- Etapy životného cyklu prvkov prevádzky – hodnotenie jednotlivých etáp životného cyklu prvkov prevádzky, ktoré sú:
• obstaranie prvkov –výberové konanie, zmluvy,
• inštalácia a testovanie,
• údržba - riadenie zmien, riadenie kapacít, riadenie dát (zálohovanie).
