Zarządzanie audytem IT

Wielkość: px
Rozpocząć pokaz od strony:

Download "Zarządzanie audytem IT"

Transkrypt

1 Przewodnik Audytu Technologicznego IPPF Praktyczny Przewodnik Zarządzanie audytem IT Edycja 2

2

3 Globalny Przewodnik Audytu Technologicznego (GTAG ) 4: Zarządzanie audytem IT Edycja 2 Styczeń 2013

4

5 GTAG Spis treści 1. Streszczenie Wstęp Strategia biznesowa, procesy i projekty Infrastruktura i procesy technologiczne PODEJŚCIE oparte na analizie ryzyka Środowisko audytu Kwalifikacje i umiejętności Przeprowadzanie audytu IT Sporządzanie sprawozdań Narzędzia audytu Podsumowanie Autorzy i recenzenci...17 Załącznik A: Źródła standardów Załącznik B: Modele architektury IT

6 GTAG Streszczenie / Wstęp 1. Streszczenie Technologia informatyczna (IT) odgrywa w audycie wewnętrznym istotną rolę. Pojawiające się nowe ryzyka wymagają stosowania nowych procedur zarządzania nimi. Proces przeprowadzania audytu IT nie różni się w zasadzie od wykonywania jakichkolwiek innych działań audytowych. Audytor planuje badanie, identyfikuje i dokumentuje odpowiednie kontrole, testuje model i efektywność operacyjną kontroli, wyciąga wnioski i sporządza sprawozdanie. Zarządzający audytem wewnętrznym regularnie przekazują sprawozdania na temat wyników prac audytu IT głównym interesariuszom, takim jak rada 1, wyższa kadra kierownicza, regulatorzy, audytorzy zewnętrzni oraz dyrektor ds. systemów informatycznych. Zadaniem niniejszego przewodnika jest pomóc zarządzającemu audytem wewnętrznym planować audyt IT i zarządzać nim efektywniej i wydajniej. Przewodnik opisuje jak: Określić, gdzie potrzebne są zasoby audytowe IT. Które części planu audytu wewnętrznego będą wymagały zaangażowania specjalistów ds. audytu IT? Zarządzający audytem wewnętrznym powinien być w stanie ocenić planowane wykorzystanie pracy audytorów IT względem wytycznych przedstawionych w niniejszym przewodniku, by upewnić się, że zakres planowanych prac jest odpowiedni. Zasoby audytowe IT zwykle są ograniczone, a wymagania wysokie. Określenie potrzeb audytu IT pomaga zarządzającemu audytem wewnętrznym efektywnie wbudować zakres działań IT w plan audytu wewnętrznego. Bez względu na liczebność komórki audytu wewnętrznego, najważniejsze jest posiadanie odpowiedniego zbioru umiejętności do określonych zadań audytowych, które można pozyskiwać z wewnątrz organizacji lub spoza niej, w zależności od możliwości danej organizacji. Ocenić ryzyko IT. Ryzyka IT zmieniają się wraz z rozwojem technologii. Niektóre z nich związane są z samą technologią, a inne ze sposobem, w jaki organizacje korzystają z IT. Niniejszy przewodnik pomaga zarządzającemu audytem wewnętrznym nauczyć się, jak identyfikować oraz ilościowo określać ryzyka związane z IT. Dzięki temu można upewnić się, że zasoby audytu IT koncentrują się na obszarach zapewniających organizacji najwyższą wartość. Przeprowadzić audyt IT. Szybki rozwój i złożoność IT zwiększają potrzebę wprowadzania odpowiednich procedur audytowych IT, które można włączyć w rutynowe audyty operacji i procesów, celem wyeliminowania poszczególnych ryzyk wskazanych podczas planowania audytu. Audytowanie przy pomocy listy kontrolnej lub ankiety jest niewystarczające. Ponadto, niniejszy przewodnik wspomaga zarządzającego audytem wewnętrznym w zakresie wymaganych kompetencji, jakie powinni posiadać audytorzy IT, by wnieść do audytu wystarczającą wiedzę i ekspertyzę narzędzi wspomagających audytora przeprowadzającego testy związane z IT oraz określonych wymogów dotyczących sporządzania sprawozdań. Głównym celem niniejszego przewodnika jest przekazanie prostym językiem pragmatycznych informacji, w tym konkretnych rekomendacji, które zarządzający audytem wewnętrznym może natychmiast wdrożyć. Niniejszy przewodnik opisuje również kryteria, jakie zarządzający audytem wewnętrznym może zastosować do oceny dojrzałości funkcji audytu IT oraz sprawdzenia, czy zespół audytu wewnętrznego wykonuje zadania zgodnie z najwyższymi standardami. 2. Wstęp Ryzyka, z jakimi zmagają się organizacje, typy audytów, jakie należy przeprowadzić, sposób priorytetyzowania środowiska audytu oraz przekazywania wyników, stanowią istotne wyzwanie dla zarządzających audytem wewnętrznym. Niniejszy Globalny Przewodnik Audytu Technologicznego (GTAG) został opracowany z myślą o zarządzających audytem wewnętrznym i kierownictwie ds. audytu wewnętrznego, odpowiedzialnymi za nadzorowanie audytów IT, jak również za testowanie IT wchodzące w skład innych prowadzonych audytów. Niniejszy przewodnik opisuje problemy strategiczne związane z planowaniem, wykonywaniem i sporządzaniem sprawozdań na temat działań audytu IT. Opisane zostały zarówno podstawy, jak i problemy pojawiające się na bieżąco. Roczna ocena ryzyka wykonana w celu opracowania planu audytu, który nie bierze pod uwagę ryzyk IT, jest postrzegana jako niedostateczna (patrz standardy 1210.A3, 1220.A2 i 2110.A2). 1 Rada Najwyższy organ zarządzający, do obowiązków którego należy kierowanie działaniami i kierownictwem organizacji i/lub nadzór nad nimi. Zazwyczaj w skład rady wchodzi niezależna grupa dyrektorów (np. rada dyrektorów, rada nadzorcza, zarządzająca lub powiernicza). Jeśli taka grupa nie istnieje, radą może być kierujący organizacją. Za radę można uznać komitet audytu, któremu organ zarządzający przekazał określone obowiązki. 2

7 GTAG Wstęp Audyt wewnętrzny powinien uwzględnić trzy następujące kwestie: Wysoki procent kluczowych kontroli wewnętrznych, na których polega organizacja, najprawdopodobniej opiera się na technologii. Przykład: polityka organizacji mówi, że przed dokonaniem jakichkolwiek płatności na konto dostawcy usług, wykonywany jest trzytorowy dobór. Jest to porównanie zamówienia, wykazu dostaw oraz faktury. W przeszłości pracownik ręcznie porównywał dokumenty, a następnie spinał je i katalogował. Obecnie wszystkie porównania mogą być przeprowadzane wewnątrz systemu ERP 2 organizacji. System wykonuje porównania automatycznie w oparciu o wcześniej skonfigurowane zasady oraz poziomy tolerancji, a następnie automatycznie zapisuje rozbieżności w zdefiniowanych kontach rozbieżności. W celu przeprowadzenia efektywnego audytu takiej kontroli, audytorowi może być potrzebne uzyskanie dostępu do stosowanych ustawień konfiguracyjnych systemów ERP, by ocenić ich reguły i ustawienia. Wymaga to pewnego poziomu umiejętności technicznych, a posiadają je tylko niektórzy audytorzy. Organizacje muszą rozumieć ryzyka strategiczne związane z rozbudowanymi środowiskami IT. Wykorzystanie technologii informatycznych w biznesie zmienia strategiczne ryzyka organizacji, która powinna to rozumieć i przedsięwziąć odpowiednie działania, by nimi zarządzać. W celu odpowiedniego zarządzania ryzykami IT, należy stworzyć system kontroli ogólnych i aplikacji IT. Skuteczne kontrole IT są niezbędne, by chronić operacje organizacji oraz zagwarantować, że jej zdolność konkurencyjna nie zostanie naruszona. Systemy, które nie pracują w oczekiwany sposób, mogą przyczynić się do poważnego narażenia reputacji. Przykład: wyobraźmy sobie zautomatyzowany proces opisany powyżej, w którym zamówienie sprzedaży przychodzi za pośrednictwem strony internetowej i przez system ERP zostaje bezpośrednio przekazane do powierzchni magazynowej. A teraz wyobraźmy sobie, co się stanie, jeśli klient przez przypadek zamówi 100 palet zamiast 100 sztuk produktu. Jeśli organizacja w pełni zoptymalizowała procesy z systemem ERP, możliwe, że system sprawdzi stan magazynowy, odnotuje, że taka ilość palet nie jest dostępna, uaktualni harmonogram produkcji, by wyprodukowano 100 palet i automatycznie wyśle zamówienia na surowce za pomocą elektronicznej wymiany danych (EDI) 3. Bez odpowiednich kontroli zapobiegawczych, taki błąd najprawdopodobniej nie zostanie wykryty aż do momentu otrzymania towaru przez klienta. Kwestią, która nierzadko stanowi problem, jest zrozumienie zależności między kontrolami IT, a sporządzaniem sprawozdań, oszustwami, operacjami, zgodnością finansową i innymi kluczowymi kwestiami. Jest to stosunkowo łatwe, kiedy oceniamy kontrole wewnątrz aplikacji (np. ustawienia trzytorowego doboru omówione powyżej). Jednakże jest to znacznie trudniejsze przy ocenie technologii wspomagających, które mogą mieć znacznie większy wpływ na organizację, niż kontrole IT dotyczące pojedynczej aplikacji lub procesu. Załóżmy na przykład, że organizacja tworzy elektroniczne płatności, które wysyła do swojego dostawcy usług. Płatności te są przesyłane drogą elektroniczną na konta bankowe na podstawie kodów SWIFT 4 każdego z kont dostawcy usług. Wszystkie numery ACH 5 przechowywane są w tabeli w systemie baz danych organizacji. Administrator bazy danych lub ktokolwiek, kto posiada prawo dostępu do bazy danych, albo osoby bez zatwierdzonego dostępu, które mają techniczne umiejętności, by uzyskać nieautoryzowany dostęp do bazy danych, mogą zmienić dowolny wpis w tabeli na swój numer nakierowujący ACH konta bankowego. W przypadku uruchomienia kolejnej płatności elektronicznej pieniądze zostaną zdeponowane na koncie bankowym oszusta. W ten sposób dochodzi do całkowitego obejścia mechanizmów zabezpieczeń, kontroli i ścieżki audytu, istniejących wewnątrz procesu biznesowego oraz aplikacji biznesowej. W przypadku powyższego scenariusza z łatwością daje się zauważyć, że niedoskonała kontrola na poziomie bazy danych mogłaby mieć znacznie poważniejsze konsekwencje, niż błąd w ustawieniach doboru trzytorowego. W ramach rocznej oceny ryzyka należy zatem uważnie ocenić prawdopodobieństwo oraz potencjalne wpływy ryzyk związanych ze środowiskiem IT. 2 Systemy ERP (ang. Enterprise Resource Planning) systemy wspomagania zarządzania zasobami przedsiębiorstwa 3 elektroniczna wymiana danych (ang. Electronic Data Interchange, EDI) przepływ informacji o transakcjach wykorzystujący standardowe formaty komunikatów. 4 kod SWIFT (ang. Society for Worldwide Interbank Financial Telecommunication Stowarzyszenie na Rzecz Światowej Międzybankowej Telekomunikacji Finansowej) kod stosowany przez stowarzyszenie zajmujące się wymianą informacji między bankami. Kod SWIFT składa się z 8 znaków i w sposób unikalny identyfikuje dany bank. 5 ACH (ang. Automated Clearing House) sieć wymiany danych finansowych w Stanach Zjednoczonych Ameryki Północnej 3

8 GTAG Strategia biznesowa, procesy i projekty 3. Strategia biznesowa, procesy i projekty Strategia biznesowa jest główną siłą napędową identyfikacji środowiska audytu, którą organizacja powinna wziąć pod uwagę podczas oceny ryzyka. Wskazuje ona cele organizacji oraz metody, które należy stosować, by je osiągnąć. Ważne jest, by zarządzający audytem wewnętrznym oraz zespół kierownictwa audytu wewnętrznego rozumiał strategię biznesową i rolę technologii w organizacji oraz wzajemne oddziaływanie tych dwóch elementów. Jednym z narzędzi, z jakiego zarządzający audytem wewnętrznym może skorzystać podczas dokonywania oceny strategii biznesowej organizacji oraz jej wpływu na audyt IT, jest GTAG 11: Developing the IT Audit Plan (GTAG 11: Opracowanie planu audytu IT) Zarządzający audytem wewnętrznym znajdą w nim informacje na temat pojęcia środowiska IT organizacji w kontekście biznesowym. Komponenty IT wymienione w rozdziale 4 zapewniają narzędzia potrzebne do mapowania operacji organizacji w infrastrukturze IT i określają aspekty IT innych obszarów zidentyfikowanych w środowisku audytu, niezbędnych do przeprowadzenia oceny ryzyka. Kiedy zarządzający audytem wewnętrznym dokona mapowania operacji oraz infrastruktury IT organizacji, wpływ zależności IT i operacyjnych w organizacji stanie się oczywisty. Rozszerzone mapowanie może wskazać obszary krytyczne, takie jak infrastrukturę, aplikacje, procesy oraz zależności (zarówno wewnętrzne, jak i zewnętrzne), które mogą być narażone na ryzyka wcześniej nieokreślone. Proces mapowania pomoże zarządzającemu audytem wewnętrznym w ocenie ryzyka IT oraz tolerancji ryzyka wewnątrz organizacji. Zapewnia również wgląd w potencjalne ryzyka niezidentyfikowane, o których należy powiadomić kierownictwo wyższego szczebla lub kierownictwo działu IT. Zazwyczaj projekty IT wykorzystują zasoby specjalistyczne audytu wewnętrznego, by udzielić zapewnienia na temat najważniejszych elementów projektów. Zarządzający audytem wewnętrznym powinien ocenić poziom umiejętności i wiedzy wymaganych do przeprowadzenia audytu IT i przydzielić odpowiednie zasoby. W niektórych przypadkach, w celu odpowiedniego obsadzenia pracownikami takich badań, potrzebna jest zewnętrzna ekspertyza przedmiotu projektu. Wymagane kroki omówione zostały szczegółowo w GTAG 12: Auditing IT Projects (GTAG 12: Audytowanie projektów IT). 4

9 GTAG Infrastruktura i procesy technologiczne 4. Infrastruktura i procesy technologiczne Definiowanie IT Jednym z początkowych wyzwań, z jakim musi się zmierzyć zarządzający audytem wewnętrznym podczas określania zaangażowania zasobów audytu IT jest zdefiniowanie wykorzystania IT. Czy systemy telefoniczne i poczty głosowej są elementami IT? Czy do IT powinny należeć wymogi dotyczące dostępu do obiektów i ich identyfikacji oraz systemy zabezpieczeń fizycznych- a jeśli zostały one zlecone na zewnątrz firmie zarządzającej nieruchomościami? To kilka problemów, jakim należy przyjrzeć się przydzielając zasoby audytu IT. IT rozumiane jest różnie przez różne organizacje. Dwie organizacje z tej samej branży mogą posiadać zupełnie odmienne środowiska IT. Dodatkowo sprawę komplikuje fakt, że wewnątrz jednej organizacji kontrole mogą być scentralizowane, zdecentralizowane lub mieszane. Przenośne systemy komputerowe, sieci społecznościowe i cloud computing poszerzają granice i oddalają się od kontroli centralnej, powodując jedyne w swoim rodzaju ryzyka i okoliczności. Niestety IT nie zostało jasno, czy też uniwersalnie zdefiniowane. Niniejsza część Przewodnika pomoże zarządzającym audytem wewnętrznym określić sposób podejścia do IT wewnątrz organizacji. Niektóre elementy zostały zintegrowane z ręcznymi procesami i procedurami, a niektóre z nich można uważać za elementy niezależne. Ryzyka IT istnieją w każdej części składowej organizacji i znacznie się od siebie różnią. Włamanie na firmową stronę internetową oraz zmiana kierunku przebiegu płatności elektronicznej, to przykłady bardzo różnych ryzyk w organizacji. Każda warstwa jest istotna W celu uzyskania skuteczności audytu wewnętrznego, należy wziąć pod uwagę ryzyka każdej warstwy informatycznej i uszeregować je pod względem ważności. Ponadto w oparciu o nie, każdej warstwie należy przydzielić zasoby audytowe. Jeśli związana z IT część planu audytu nie zawiera audytów wszystkich warstw, plan audytu jako całość może w sposób niewystarczający uwzględniać ryzyka organizacji związane z IT. W niektórych przypadkach, zamiast przeglądać wszystkie warstwy w jednym roku, warto przeanalizować je w cyklu audytu (tj. w kilka lat na zasadzie rotacji). Plany rotacyjne, które przekraczają 3 lata mogą okazać się nieodpowiednie z powodu wysokiego wskaźnika zmian zachodzących w środowisku IT. Jaką ilość zasobów należy przypisać każdej warstwie? Gdzie powinny one zostać ulokowane? Odpowiedziami na te wymagające pytania są naturalne wyniki procesów oceny ryzyka w połączeniu z oceną i analizą strategiczną wykonanymi przez audytora. Bez względu na to, jak zostaną rozdzielone zasoby, należy wziąć pod uwagę wszystkie warstwy informatyczne. Czym są warstwy? Poniżej znajduje się graficzne przedstawienie IT wewnątrz organizacji. Każda organizacja jest inna, jednak poniższa ilustracja pozwoli zidentyfikować krytyczne procesy IT w większości organizacji. Rozważyć można również inne modele architektury IT, które opisano w załączniku A. Zarządzanie IT Klienci Infrastruktura techniczna Internet Dostawcy usług Systemy Operacyjne Bazy danych Sieci Aplikacje Transakcyjne: wytworzone w organizacji Transakcyjne: rozwiązanie pudełkowe opracowane przez zewnętrznego dostawcę usług Transakcyjne: rozwiązanie dedykowane dla organizacji opracowane przez zewnętrznego dostawcę usług Aplikacje wspomagające Centra danych Procesy IT 5

10 GTAG Infrastruktura i procesy technologiczne Głównymi warstwami, jakie należy wziąć pod uwagę są: zarządzanie IT; infrastruktura techniczna; aplikacje; połączenia zewnętrzne. Należy zauważyć, iż powyższa ilustracja nie definiuje kategorii planu audytu. Kiedy planowane są poszczególne działania audytu IT, można je podzielić na kategorie w oparciu o procesy zachodzące w organizacji lub na podstawie standardowych struktur. Powyższa ilustracja została opracowana, by pokazać w jaki sposób IT powiązane jest z organizacją oraz aby upewnić się, że zasoby audytowe zostaną przydzielone do każdej warstwy. Organizacja poszczególnych audytów pozostaje w gestii zarządzającego audytem wewnętrznym. Zarządzanie IT Ryzyka biznesowe/strategiczne Cele Ryzyka związane z procesem Aplikacja ICT Informacje handlowe Procedura Cel biznesowy Proces biznesowy Infrastruktura Zapewnienie Cele Ryzyka związane z procesem Aplikacja ICT Informacje handlowe Procedura Zarządzanie IT składa się ze zbioru ludzi, polityk, procesów i procedur, które zarządzają usługami oraz sprzętem i oprogramowaniem IT. Integralność przetwarzania oraz danych w dużym stopniu zależy od poszczególnych zadań wykonywanych regularnie przez personel administracyjny. Dlatego też ta część składowa zawiera: kontrolę systemu, programowanie, planowanie, zarządzanie dostawcami usług, zarządzanie problemami i incydentami, zarządzanie zmianą, zarządzanie projektami IT, odtwarzanie zasobów utraconych lub po katastrofie, zarządzanie bezpieczeństwem, ład organizacyjny IT, itd. Powyższe funkcje są procesami biznesowymi i jako takie będą reprezentowały podobną strategię audytową. Audytor przygląda się ludziom i zadaniom, a nie technicznym ustawieniom systemu. W niektórych przypadkach procesy zarządzania dotyczą urządzeń technicznych i wtedy audyt bierze pod uwagę zarówno urządzenia, jak i proces zarządzania. Niektóre kontrole tych procesów mogą mieć dość techniczny charakter i wymagają specjalistycznych umiejętności, choć umiejętności doświadczonego audytora wewnętrznego będą w zupełności wystarczające. Urządzenia techniczne Ta warstwa zasadniczo dotyczy technologii, która leży u podstaw, obsługuje i umożliwia korzystanie z podstawowych aplikacji biznesowych. Należą do niej: Systemy operacyjne oprogramowanie zarządzające systemem komputerowym, tworzące środowisko do uruchamiania i kontroli zadań użytkownika. Przykładowe systemy to: Z/OS, UNIX, Windows, OS/400. System operacyjny zarządza wszystkimi programami i plikami. Działania wykonywane na poziomie systemu operacyjnego zazwyczaj obchodzą większość zabezpieczeń i kontroli istniejących na poziomie procesów. Pliki i bazy danych wszystkie elektroniczne dane biznesowe, krytyczne i inne, przechowywane są w plikach, które mogą być częścią bazy danych znajdującej się gdzieś w środowisku. Bazy danych (które mogą być pojedynczym plikiem lub ich grupą), składają się z tabel zawierających dane, zawierają one zależności między pozycjami danych i indeksami pozycji danych. Elastyczność struktur baz danych oznacza, że wykorzystuje się je w większości biznesowych aplikacji przetwarzających i sporządzających sprawozdania. Należą do nich np. Oracle, MS SQL Server oraz DB2. Działania wykonywane na poziomie bazy danych zazwyczaj również obchodzą większość kontroli istniejących na poziomie procesów. Sieci w celu przepływu danych w organizacji, musi istnieć metoda przesyłu, przy pomocy przewodu, światłowodu lub systemu bezprzewodowego. Sieć składa się z fizycznych elementów takich jak przewody, urządzenia zarządzające ruchem w sieci, takie jak przełączniki (switch), routery (trasowniki) 6

11 GTAG Infrastruktura i procesy technologiczne czy firewall (zapory sieciowe) oraz programy, które kontrolują ruch danych 6. Integralność sieci odgrywa ważną rolę w zapewnianiu kompletności i dokładności danych biznesowych organizacji. Jeśli na przykład, pracownik magazynu przygotowuje wysyłkę produktu i skanuje go skanerem kodów kreskowych, jak taka transakcja zostaje zapisana w księdze głównej? Odpowiedź: przemieszcza się po sieci i jest przetwarzana. A co, jeśli nie przemieszcza się po sieci? Co, jeśli zostanie po drodze zmieniona, lub całkiem zniknie? Jak dowie się o tym organizacja? Centra danych sprzęt komputerowy znajduje się w centrach danych i serwerowniach, które zapewniają fizyczną infrastrukturę, fizyczne zabezpieczenia oraz kontrole środowiska wymagane, by chronić infrastrukturę technologiczną i aplikacje. Audyty infrastruktury technologicznej koncentrują się na przeglądzie technicznych ustawień konfiguracji w połączeniu ze związanymi z nimi procesami zarządzania. Działalność biznesowa Połączenia zewnętrzne Sieć firmowa nie pracuje w odosobnieniu. Z pewnością jest połączona z wieloma sieciami zewnętrznymi. Internet, który najszybciej przychodzi na myśl, to zaledwie jedna z takich sieci, a audytorzy bardzo często popełniają błąd, nie biorąc innych sieci pod uwagę. W rzeczywistości, istnieje duże prawdopodobieństwo, że sieć firmowa jest połączona z wieloma innymi sieciami (np. dostawcy usługi przetwarzania w chmurze oraz oprogramowania chmury jako usługi). Przykład: czy organizacja prowadzi działalność za pomocą systemu elektronicznej wymiany danych (EDI)? Jeśli tak, sieć firmowa jest prawdopodobnie podłączona do sieci dostawcy EDI, a być może nawet bezpośrednio do sieci partnera handlowego. Czy organizacja korzysta z usług magazynowych innych dostawców? Jeśli tak, obie sieci są ze sobą prawdopodobnie połączone. Ryzyka związane z innymi sieciami firmowymi oraz kontrole, które można zastosować różnią się od tych, jakie można zastosować w przypadku połączeń internetowych. W miarę, jak organizacje automatyzują coraz więcej kluczowych procesów, osoby z zewnątrz mają coraz większy dostęp do sieci firmowej, często przez Internet. Wyobraźmy sobie na przykład, możliwość sprawdzenia statusu konta karty kredytowej lub status zamówienia paczki. Klienci, którzy wykonują te czynności, najprawdopodobniej wchodzą do sieci wewnętrznych tych organizacji przez Internet. Problem polega na tym, że organizacje nie mają kontroli nad sieciami zewnętrznymi i dlatego nie powinny im ufać. Wszystkie informacje płynące z i do sieci zewnętrznych powinny być uważnie kontrolowane i monitorowane w zakresie wymaganym przez poziom ryzyka danej organizacji. Zdefiniowanie procedur audytu, tak by odpowiadały temu ryzyku może okazać się sporym wyzwaniem, ponieważ organizacja może audytować tylko to, co kontroluje. Dlatego też, decydujące znaczenie ma audytowanie przynajmniej punktów wejścia do i wyjścia z systemu. Aplikacje Aplikacje biznesowe to programy, które wykonują konkretne zadania związane z operacjami biznesowymi. Stanowią integralną część procesu biznesowego i nie mogą być rozpatrywane niezależnie od procesów, jakie obsługują: Aplikacje transakcyjne Do aplikacji transakcyjnych należy głównie oprogramowanie, które przetwarza i rejestruje transakcje biznesowe. Jest to między innymi przetwarzanie zamówień sprzedaży, rejestrowanie w księdze głównej oraz zarządzanie magazynem. Aplikacje wspomagające Aplikacje wspomagające, to wyspecjalizowane oprogramowanie, które ułatwia prowadzenie działalności, ale z reguły nie przetwarza transakcji. Do takich aplikacji należą na przykład hurtownie danych, programy poczty elektronicznej, oprogramowanie faksu, oprogramowanie klasy Business Intelligence, oprogramowanie do obrazowania dokumentów oraz do projektowania. Audyt IT koncentruje się głównie na aplikacjach transakcyjnych. Jednak niektóre aplikacje wspomagające, takie jak te wspomagające sporządzanie sprawozdań zewnętrznych lub aplikacje kontrolujące maszyny, również mogą stanowić wysokie ryzyko. Audyt wewnętrzny powinien regularnie oceniać pojawiające się ryzyka w organizacji i wskazywać wymagane działania audytowe. Wiedza specjalistyczna wymagana w przypadku niektórych aspektów IT może sprawić, iż proces ten będzie dość złożony. 6 id S/ IPS (ang. Intrusion Detection Systems/Intrusion Prevention Systems) systemy wykrywania i zapobiegania próbom nieuprawnionego dostępu do sieci z zewnątrz, standardowo połączony z zaporą i systemem powiadamiania. IDS identyfikuje próby uzyskania dostępu do sieci z zewnątrz, zadaniem IPS jest wykrywanie ataków na system komputerowy z wewnątrz jak i od zewnątrz systemu/sieci oraz uniemożliwianie przeprowadzenia takich ataków. 7

12 GTAG Podejście oparte na analizie ryzyka 5. Podejście oparte na analizie ryzyka Podejście oparte na analizie ryzyka stosuje się w przypadku wszystkich działań zarządzania audytem wewnętrznym, w tym przy tworzeniu i utrzymywaniu programu audytu, przydzielaniu personelu oraz przeprowadzaniu audytu IT. Niniejsza część skoncentruje się na stronie IT oceny ryzyka. Część wewnętrzna oceny ryzyk związanych z IT określa zadania audytowe dotyczące IT o najwyższej potencjalnej wartości w danym okresie, aby ocenić, czy powinno się je uwzględnić w planie audytu. W celu przeciwdziałania ryzykom związanym z IT, nie ma potrzeby stosowania odmiennej metodologii. Korzystanie z tej samej metodologii w przypadku wszystkich typów ryzyka jest ważne, bo dzięki temu istnieje jeden spójny proces oceny ryzyka audytu wewnętrznego, wykorzystywany we wszystkich funkcjach audytu wewnętrznego. Innym istotnym źródłem oceny ryzyka związanego z IT, poza zbieraniem danych, jest przeprowadzanie wywiadów z ważnymi interesariuszami, takimi jak menadżerowie IT, zarządzający pionami biznesowymi oraz eksperci. Wywiady pomagają ilościowo określić ryzyka, które trudno jest zmierzyć bezpośrednio. Bardzo ważne jest, by pod uwagę wziąć wysoki wskaźnik zmian technologicznych oraz sposoby wykorzystania technologii przez społeczeństwo. Wymaga to częstych uaktualnień wszelakich ocen ryzyka. Doskonałym przykładem jest szybki wzrost znaczenia kwestii związanych z prywatnością powodowanych dostępnością i użyciem serwisów społecznościowych. Bardziej szczegółowy opis znajduje się w Praktycznym przewodniku IIA, Auditing Privacy Risks (Audytowanie zagrożeń dla prywatności). Bardziej szczegółowy opis oceny ryzyk związanych z IT został zawarty w GTAG 11: Developing the IT Audit Plan (GTAG 11: Opracowanie planu audytu IT) Ryzyko wyrażane jest zwykle jako połączenie wpływu danego zdarzenia i prawdopodobieństwa jego wystąpienia. Dokładne wyliczenie ryzyka jest często bardzo trudne, szczególnie, gdy weźmiemy pod uwagę ciąg bardzo nieprawdopodobnych zdarzeń. W ocenie ryzyka należy użyć obu czynników, a informacje statystyczne i logi błędów mogą mieć spory wkład w takiej ocenie. W niektórych przypadkach w celu zwrócenia uwagi na dane ryzyko, wystarczy rozważyć konsekwencje (np. utratę centrum danych) bez potrzeby poznania ciągu zdarzeń, potencjalnie będących ich przyczyną, ani prawdopodobieństwa ich wystąpienia. Często możliwe jest określenie ogólnych warunków ryzyka, które mają zastosowanie we wszystkich typach zadań audytu IT, ale które inaczej się objawiają. Wskaźnikami ogólnego zastosowania w przypadku potencjalnej ekspozycji mogą być wielkość oraz krytyczność biznesowa. Na przykład, liczba aplikacji firmy obsługiwanych przez centrum danych może opisywać jej krytyczność biznesową (prawdopodobnie określane jest jej znaczenie), a liczba serwerów, których firma jest hostem 7, może świadczyć o jej rozmiarze. Z drugiej strony rozmiar projektu może być mierzony wielkością budżetu, a jego krytyczność biznesowa liczona jest liczbą jednostek, w których zastosowana została aplikacja wspierająca będąca rezultatem projektu. Liczba incydentów, o których wystąpieniu wiadomo, lub wcześniejsze udane realizacje projektów organizacji, mogą być wskaźnikiem prawdopodobieństwa ich wystąpienia. 7 Host oznacza w tym przypadku dostarczanie przez daną firmę infrastruktury dla usług sieciowych 8

13 GTAG Środowisko audytu 6. Środowisko audytu W celu stworzenia podstawy przydziału i budżetowania zasobów audytu IT oraz w celu zapewnienia wymaganej ilości zasobów, aby uzyskać racjonalne zapewnienie dotyczące ryzyk IT, środowisko audytu powinno wskazać te przeglądy, które obejmują IT i wymagają umiejętności specjalisty audytu IT. Środowisko audytu nie powinno stanowić tajemnicy; powinno być udostępniane odpowiednim partnerom (np. kierownictwu IT i innym), by zachęcić ich do wnoszenia wkładu i przekazywania sugestii, służących wprowadzaniu ulepszeń. Więcej szczegółowych informacji znajduje się w GTAG 11. Środowisko audytu IT nie powinno być odrębne. Działania audytu IT powinny stanowić wbudowany element ogólnego środowiska audytu, ponieważ między technologią informatyczną i procesami biznesowymi przez nią obsługiwanymi istnieją silne zależności. Na przykład, aplikacje biznesowe IT zwykle znajdują się w ogólnym środowisku audytu, stanowiąc część procesu biznesowego. Środowisko audytu powinno mieć taką strukturę, by umożliwić pogrupowanie typów audytu i w ten sposób umożliwić identyfikację przeglądów wymagających specjalizacji IT (np. audyt aplikacji IT oraz procesów IT). W przypadku procesów grupowania/strukturyzowania, z reguły polega się na strukturze wykorzystywanej przez kadrę zarządzającą IT. Mowa o tym zazwyczaj w strategii IT. Najlepiej byłoby, aby struktura ta opierała się na powszechnie używanych programach ramowych, takich jak COBIT, ITIL, COSO (szczegóły znajdują się w rozdziale 8 Przewodnika) i innych. W złożonej organizacji, nadmiernie szczegółowe środowisko audytu może zawierać tysiące elementów związanych z IT. Takim środowiskiem trudno jest zarządzać z powodu nakładu pracy wymaganego, by je stworzyć, regularnie uaktualniać i wykonywać ocenę ryzyka we wszystkich jego elementach. Jeśli, z drugiej strony, elementy związane z IT są zbyt ogólne, prawdopodobnie nie będzie to wystarczającą podstawą, by stworzyć plan audytu. Poniżej znajdują się zasady, których należy przestrzegać tworząc komponenty IT środowiska audytu: Należy zapewnić kompletność poprzez uwzględnienie wszystkich odpowiednich obiektów, również tych, które nie są oczywiste (np. działania outsourcowane, takie jak dostawcy w modelu offshoringu 8, elementy związane z biznesem silnie powiązane z IT oraz wysoce zautomatyzowane procesy biznesowe). W procesie uaktualniania należy zwrócić szczególną uwagę na nowe pojawiające się zagadnienia. Wśród aktualnych przykładów znaleźć można przetwarzanie danych w chmurze, media społecznościowe, lub użycie urządzeń mobilnych. 8 Offshoring przenoszenie procesów biznesowych w skali międzynarodowej. 9

14 GTAG Kwalifikacje i umiejętności 7. Kwalifikacje i umiejętności W wielu organizacjach powracającą kwestią jest rozbieżność między wykorzystaniem i zależnością systemów IT, a zasobami wykorzystywanymi do identyfikacji i zarządzania ryzykami, których źródłem są te technologie. Dlatego też koniecznym jest, aby podczas dokonywania oceny ładu organizacyjnego, zarządzania ryzykiem oraz procesów kontrolnych, audyt wewnętrzny należycie uwzględnił systemy informacyjne. Dla zarządzającego audytem wewnętrznym jednym z kluczowych elementów pozwalających reagować na te ryzyka jest zapewnienie wymaganych kompetencji w zespole audytowym. Mówi o tym Kodeks Etyki IPPF (Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego), który nakazuje audytorom wewnętrznym angażować się wyłącznie w takie zadania, do przeprowadzenia których posiadają potrzebną wiedzę, umiejętności oraz doświadczenie. Wspomina o tym również Standard 1210: Biegłość, który wymaga, by audytorzy wewnętrzni posiadali wiedzę, umiejętności i inne kompetencje potrzebne do wykonywania ich indywidualnych obowiązków. Audyt wewnętrzny jako zespół, musi posiadać lub zdobyć wiedzę, umiejętności i inne kompetencje niezbędne do wykonywania jego obowiązków. IIA zapewnia zintegrowane ramy dotyczące kompetencji, wskazując kompetencje potrzebne, by utrzymać działalność audytu wewnętrznego. Jeśli dział audytu wewnętrznego nie posiada wiedzy, umiejętności ani innych kompetencji potrzebnych do przeprowadzenia audytu IT w całości lub w części, zadaniem zarządzającego audytem wewnętrznym jest pozyskanie kompetentnego doradztwa i pomocy. Zasoby przypisane do wykonania zaplanowanych audytów odgrywają bardzo ważną rolę. Przykład: zasób umiejętności potrzebny, by audytować konfigurację zapory sieciowej, znacznie różni się od umiejętności wymaganych, by audytować tabele konfiguracji zobowiązań w bazie danych. Wybór odpowiedniego audytora posiadającego umiejętności potrzebne do przeprowadzenia konkretnego audytu jest kluczowy. Oczywiście, zarządzający audytem wewnętrznym powinien rozumieć, że żaden audytor nie będzie w stanie przeprowadzić wszystkich prac związanych z audytem IT oraz że dział audytu w wielu przypadkach będzie potrzebował audytorów bardziej zaangażowanych w kwestie związane z aplikacjami, a także innych, lepiej znających się na technologiach infrastruktury. W rezultacie, zarządzający audytem wewnętrznym, który dobrze rozumie środowisko audytu, ryzyka wynikające z użycia technologii oraz bieżący zasób umiejętności pracowników działu audytu IT, powinien być w stanie skoncentrować się na działaniach związanych odpowiednio z rekrutacją i szkoleniem. Jeśli wymagane umiejętności oraz kompetencje IT nie są dostępne, lub podjęto decyzję, by nie szkolić, ani nie zatrudniać pracowników posiadających takie umiejętności, zarządzający audytem wewnętrznym może poszukać zewnętrznego dostawcy usług, by wspomóc lub uzupełnić personel wewnętrzny 9 (tj. outsourcing lub cosourcing 10 ). W celu wypełnienia obowiązków związanych z IT, zarządzający audytem wewnętrznym powinien wziąć pod uwagę kilka kluczowych kwestii w ramach zarządzania kwalifikacjami i umiejętnościami audytorów: Czy wszystkie elementy IT organizacji stanowią część procesu planowania oraz czy wskazano obszary wysokiego ryzyka? Czy istnieje przegląd zasobów umiejętności potrzebnych do przeprowadzenia audytu IT organizacji oraz jakimi typami umiejętności zarządzający audytem wewnętrznym już dysponuje w dziale audytu? Czy dział audytu posiada politykę dotyczącą niedostatków wiedzy (np. rekrutacja, outsourcing lub cosourcing)? Czy audytorzy IT posiadają wymagane wykształcenie formalne, certyfikaty i doświadczenie? Jeśli nie, czy dział ma plan działania w takiej sytuacji? Czy dział audytu wewnętrznego zapewnia odpowiednie szkolenia dla audytorów tak, aby posiadali oni dogłębną wiedzę na temat wykorzystania technologii w organizacji, powiązanych ryzyk oraz tego, jak efektywnie przeprowadzać audyty? 9 Szczegóły znajdują się w Praktykach Doradczych 1210.A1 1: Pozyskiwanie zewnętrznych dostawców usług w celu wsparcia lub uzupełnienia personelu działu audytu wewnętrznego. 10 Co-sourcing w IT, to forma współpracy między działem IT organizacji, a usługodawcami zewnętrznymi, polegająca na oddelegowaniu części obowiązków działu IT na zewnątrz firmy. Stanowi zazwyczaj rozwinięcie usług konsultingowych. 10

15 GTAG Przeprowadzanie audytu IT 8. Przeprowadzanie audytu IT Na ogół proces przeprowadzania czynności audytu IT nie różni się niczym od procesu przeprowadzania jakiegokolwiek innego rodzaju audytu. Audytor planuje audyt, określa i dokumentuje odpowiednie kontrole, testuje model i skuteczność operacyjną kontroli, wyciąga wnioski i sporządza sprawozdanie. Ponieważ większość zarządzających audytem wewnętrznym jest zaznajomiona z procesem ogólnym, temat ten nie zostanie omówiony w niniejszym przewodniku GTAG. Jednakże istnieje kilka kwestii związanych z audytem IT, których istnienia zarządzający audytem wewnętrznym powinien być świadomy i którymi powinien umieć zarządzać. Współpraca audytorów IT z pozostałymi audytorami Audyt wewnętrzny powinien dążyć do osiągnięcia holistycznego podejścia względem realizacji audytu. Istnieją z pewnością dziedziny IT, które będą audytowane wyłącznie przez audytorów IT posiadających specjalistyczną wiedzę (głównie tematy dotyczące infrastruktury IT, takie jak centra danych i sieci, lub procesy IT, takie jak Help Desk (I linia wsparcia dla użytkownika), jednak największą wartość dla weryfikacji aplikacji wnosi audytowanie całych łańcuchów wartości, w tym zarówno biznesowych, jak i IT. W przypadku takich rodzajów audytów, należy koncentrować się na celach biznesowych, a wszelkie ryzyka (w tym ryzyka związane z IT) powinny być oceniane z tej właśnie perspektywy. Może to stanowić nie lada wyzwanie, ale jest też bardzo cenne, ponieważ dzięki temu rozpoznaje się zależność biznesu od IT. Przykład: jeśli działania audytu IT wykażą, iż nie istnieje plan odtwarzania po katastrofie DRP 11, audytorzy IT oraz audytorzy operacyjni mogą współpracować przy opisywaniu wpływu spodziewanego czasu przestoju w przypadku awarii na działalność firmy (np. ograniczony poziom produkcji, opóźnienia w wypłacie wynagrodzeń dla pracowników, niezdolność sprzedaży jakichkolwiek towarów). W takiej sytuacji dla dojrzałego audytu wewnętrznego organizacji nie ma znaczenia, kto prowadzi poszczególne audyty. Należy skoncentrować się na współpracy, by uzyskać optymalny wynik audytu. Programy ramowe i standardy Zarządzający audytem wewnętrznym powinien być w stanie rozpocząć działania przy pomocy zbioru celów kontroli IT i choć nie zapewni to 100% szczegółowości w tym konkretnym środowisku, wybrać odpowiedni program ramowy. COSO i COBIT Gdzie zarządzający audytem wewnętrznym może znaleźć wyczerpujący zbiór celów kontroli IT? Źródłami informacji, na które często powołują się audytorzy są Kontrola wewnętrzna zintegrowany program ramowy oraz Zarządzanie ryzykiem korporacyjnym (ERM) zintegrowany program ramowy Komitetu Organizacji Sponsorujących (COSO). Nie koncentrują się one jednak na kwestiach związanych z IT. Środowisko kontroli oparte na zaleceniach COSO powinno zostać poszerzone o bardziej szczegółowe cele kontroli IT, aby efektywnie ocenić środowisko kontroli IT. Istnieje na to kilka sposobów. Szeroko stosowane ramy dotyczące zarządzania IT oraz kontroli zawarte są w standardach COBIT (Control Objectives for Information and Related Technology) Stowarzyszenia ds. audytu i kontroli systemów informatycznych (Information Systems Audit and Control Association (ISACA)), które wydano w 1994 roku. W roku 2012 opublikowano wersję COBIT 5.0. Założeniem standardów COBIT nie jest rywalizacja z COSO i innymi programami ramowymi. Można je natomiast stosować, by te programy dopełnić poprzez poszerzenie ich o bardziej konkretne cele kontroli IT. Polityki, standardy i procedury Taki program ramowy jak COBIT, oferuje zbiór ogólnie przyjętych celów kontroli IT, pomagających kadrze zarządzającej w określeniu metody pomiaru i zarządzania ryzykiem IT. Kadra zarządzająca zwykle stosuje tego typu ramy podczas opracowywania kompleksowego zbioru polityk, standardów oraz procedur związanych z IT. Lista źródeł polityk, standardów oraz procedur znajduje się w załączniku A. Jednym z wyzwań, jakie stają przed audytorami podczas przeprowadzania działań audytu IT jest wiedza, jaki zakres audytować. Większość organizacji nie posiada w pełni rozbudowanych podstawowych wymogów kontroli IT dotyczących wszystkich aplikacji i technologii. Szybki rozwój technologii sprawia, że jakiekolwiek wytyczne podstawowe w krótkim czasie stają się bezużyteczne. 11 DRP (ang. Disaster Recovery Plan) planowanie sposobu działania na wypadek awarii, katastrofy lub innych zdarzeń 11

16 GTAG Sporządzanie sprawozdań 9. Sporządzanie sprawozdań Zarządzający audytem wewnętrznym regularnie przedstawiają sprawozdania na temat wyników audytu IT kluczowym interesariuszom, takim jak rada, kadra zarządzająca wyższego szczebla, regulatorzy, audytorzy zewnętrzni lub dyrektorzy ds. systemów informatycznych, w taki sam sposób, w jaki przekazują wyniki innych działań zapewniających. Dalsze wytyczne dotyczące współpracy z kluczowymi interesariuszami znajdują się w Praktycznym Przewodniku IIA pt. Interaction with the Board ( Współpraca z radą ). Tak jak w przypadku większości sprawozdań audytowych, adresatami sprawozdań dotyczących audytu IT może być kierownictwo szczebla o kilka poziomów wyższego, niż osoby, z którymi przeprowadza się wywiady lub które dokonują audytu. Sprawozdania audytowe powinny przekazywać najważniejsze informacje w sposób precyzyjny i czytelny tak, aby spostrzeżenia lub problemy były zrozumiałe oraz aby odpowiedzialna za nie kadra zarządzająca mogła zacząć działać. Odpowiednio przeprowadzony rzetelny audyt jest stratą pieniędzy i czasu, jeśli kierownictwo nie wdraża skutecznych planów działania mających na celu uwzględnienie wskazanych kwestii i zidentyfikowanych ryzyk z nimi związanych. Kadra zarządzająca zwykle niechętnie zapoznaje się z informacjami dotyczącymi procesu audytowego, zastosowanego w celu wskazania problemów. Chcą raczej wiedzieć, jakie istnieją problemy, jakie są ich potencjalne konsekwencje oraz co należy w takim wypadku zrobić. z ustaleń audytu będzie się odnosiło wyłącznie do szczegółów każdego odrębnego obszaru technologii. W przypadku niektórych odbiorców może się to okazać działaniem właściwym, jednak rada oraz wyższa kadra kierownicza mogą nie być zainteresowani szczegółowymi kwestiami technicznymi, lub ich nie rozumieć. Oczekują oni zwykle, że wyniki audytu IT powiązane będą z kwestiami biznesowymi. Dlatego też działania audytu IT powinny być zintegrowane z działaniami audytorów procesów/operacyjnych/finansowych oraz z procedurami, jakie przeprowadzają. Dotyczy to w szczególności środowisk z dużymi zintegrowanymi systemami ERP, w których znacząca ilość kluczowych kontroli procesów jest zawarta w samych systemach. Należy jednak pamiętać, że w niektórych przypadkach trudno będzie przeprowadzić audyt komponentów infrastruktury centralnej, takich jak centra danych lub sieci bezprzewodowe. Wtedy słusznym wydaje się przeprowadzenie osobnego audytu każdego z komponentów. Ryzyka zidentyfikowane podczas audytu muszą jednak nadal zostać przełożone na język i ryzyka biznesowe. Sprawozdania powinno się pisać zakładając, że ich odbiorcy posiadają wiedzę, ale mogą nie mieć odpowiedniego doświadczenia w obszarach podlegających audytowi. Nie powinny również skrywać głównego komunikatu za wieloznaczną lub techniczną terminologią. Celem zarządzającego audytem wewnętrznym jest przedstawienie komunikat w sposób jasny, zrozumiały i wyważony. W swych sprawozdaniach zespół audytu wewnętrznego powinien starać się stosować podejście holistyczne. Większość organizacji całkowicie polega na systemach IT i dlatego sporządzanie sprawozdań na temat ryzyka i kontroli w środowisku IT organizacji powinno stanowić element podejścia zarządzającego audytem wewnętrznym do dostarczania zapewnienia. Choć istnieją procesy i infrastruktury IT, które można audytować oddzielnie (i być może powinno się ze względu na efektywność), to z reguły najbardziej wartościowym jest audytowanie pełnych łańcuchów wartości (w tym zarówno biznesowych, jak i IT). W przypadku tego typu audytów, w centrum zainteresowania może znaleźć się ryzyko biznesowe, o którym łatwiej niż o ryzyku IT powiadamia się kadrę zarządzającą. Ryzyka związane z IT są w ostatecznym rozliczeniu źródłem ryzyka biznesowego, choć związek między nimi nie zawsze jest tak oczywisty. Jakie zatem elementy audytu IT, z punktu widzenia sprawozdawczości, powinny zostać przeprowadzone w ramach działań zapewniających audytu wewnętrznego? Czy należy przeprowadzić audyt sieci bezprzewodowych, audyt architektury i modelu sieci, lub dokonać przeglądu informatycznego narzędzia (aplikacji) do projektowania sieci? Jeśli audyty podzieli się w ten sposób, powstanie ryzyko, że sprawozdanie 12

17 GTAG Narzędzia audytu 10. Narzędzia audytu W celu zwiększenia efektywności i skuteczności audytu, zarządzający audytem wewnętrznym powinni jak najczęściej korzystać z narzędzi i/lub zautomatyzowanych technik audytu. Narzędzia audytu z reguły wymagają nakładów finansowych, więc zarządzający audytem wewnętrznym powinien ostrożnie przeanalizować koszty/korzyści danego rozwiązania przed dokonaniem inwestycji w dane narzędzie. Narzędzia audytu można podzielić na dwie ogólne kategorie: narzędzia wspierające proces audytu (nie opisane w niniejszym przewodniku), które wspierają ogólny proces zarządzania audytem (np. elektroniczne narzędzie zarządzające dokumentami roboczymi) oraz narzędzia testujące, które automatyzują wykonywanie testów audytowych (np. narzędzia analizy danych i techniki audytu wspierane komputerowo ang. CAATs). Testujące narzędzia IT Narzędzia testujące automatyzują czasochłonne zadania audytowe, takie jak analiza dużych populacji danych. Ponadto, stosowanie narzędzi przy przeprowadzaniu procedur audytowych pomaga osiągnąć spójność. Jeśli na przykład narzędzie wykorzystywane jest do oceny konfiguracji bezpieczeństwa serwera, wszystkie serwery testowane przez to narzędzie zostaną ocenione względem takich samych punktów odniesienia. W przypadku ręcznego wykonywania takich procedur pozostawia się miejsce na interpretację audytora. I wreszcie, użycie narzędzi umożliwia audytorom testowanie całej populacji danych, a nie tylko próby transakcji. Dzięki temu można osiągnąć znacznie wyższy stopień zapewnienia audytowego. Zarządzający audytem wewnętrznym powinni być świadomi, że podczas nabywania narzędzi audytu IT należy rozważyć takie same kwestie, jak w przypadku wyboru dowolnych narzędzi biznesowych (np. zbiór funkcji, wsparcie, itp.). Narzędzia analizy bezpieczeństwa To szeroki wachlarz narzędzi, które są w stanie dokonywać przeglądu dużych populacji urządzeń i/lub użytkowników oraz identyfikować luki w bezpieczeństwie. Istnieje wiele różnych typów narzędzi analizy bezpieczeństwa, które można jednak podzielić następująco: Narzędzia analizy sieci składają się z oprogramowania, które można uruchomić w sieci i przy ich użyciu zbierać informacje na jej temat. Hakerzy zwykle wykorzystują jedno z tych narzędzi w trakcie prowadzenia rozpoznania celem określenia charakterystyki danej sieci. Audytorzy IT mogą korzystać z tych narzędzi w przypadku rozmaitych procedur audytowych, takich jak: Ocena dokładności diagramów sieci poprzez mapowanie sieci korporacyjnej. Identyfikacja kluczowych urządzeń sieciowych wymagających dodatkowej uwagi audytora. Gromadzenie informacji na temat dozwolonego ruchu w sieci (co bezpośrednio wspiera proces oceny ryzyka IT). Narzędzia oceny podatności 12 Kiedy wprowadzana technologia jest gotowa do użycia natychmiast po jej zainstalowaniu, w większości technologii pojawia się kilka standardowych podatności, takich jak istnienie domyślnych identyfikatorów i haseł lub ustawień domyślnych. Zautomatyzowaną metodę sprawdzania standardowych podatności zapewniają narzędzia oceny, o których mowa w niniejszej części. Narzędzi tych można używać w odniesieniu do zapór sieciowych, serwerów, sieci i systemów operacyjnych. Wiele z nich może być użytych zaraz po zainstalowaniu; audytor przyłącza zakres, który ma zostać przeszukany przez narzędzie, które następnie sporządza raport na temat wszystkich podatności zidentyfikowanych w tym zakresie. Korzystanie z tych narzędzi jest dla audytora istotne z kilku powodów, choćby dlatego, że są to typy narzędzi, jakich użyłby haker do przeprowadzenia ataku na organizację. Należy zauważyć, że uruchomienie niektórych z tych narzędzi jest potencjalnie niebezpieczne, ponieważ mogą one wpłynąć na integralność systemów, które skanują. Audytor powinien dokonać przeglądu planowanego użycia omawianych narzędzi wraz z osobą odpowiedzialną za bezpieczeństwo w organizacji oraz koordynować testowanie wraz z kadrą zarządzającą IT, aby upewnić się, że czas potrzebny do przeprowadzenia testów nie wpłynie negatywnie na proces produkcyjny. W niektórych przypadkach może okazać się, że osoba odpowiedzialna za kwestie bezpieczeństwa lub administratorzy systemów regularnie korzystają z niektórych z tych narzędzi w ramach procesów zarządzania systemami. Wtedy wyniki mogą zostać wykorzystane, by wspomóc pracę audytu IT, jeśli zostanie odpowiednio zaplanowana i przeprowadzona. Narzędzia analizy bezpieczeństwa aplikacji Wiele obszernych, zintegrowanych aplikacji posiada zapewniane przez dostawcę usług narzędzia analizy bezpieczeństwa aplikacji, które analizują bezpieczeństwo użytkownika względem wcześniej skonfigurowanych reguł. Narzędzia te mogą 12 Vulnerability Assessment ( ocena podatności na atak ) specjalistyczne oprogramowanie skanujące sieci informatyczne w celu zidentyfikowania luk potencjalnie podatnych na atak 13

18 GTAG Narzędzia audytu również oceniać podział zadań wewnątrz aplikacji. Zarządzający audytem wewnętrznym powinien być świadomy tego, iż większość z tych narzędzi posiada zbiór uprzednio skonfigurowanych reguł lub najlepszych praktyk propagowanych przez dostawcę usług. 14

19 GTAG Podsumowania 11. Podsumowanie W miarę pojawiania się nowych ryzyk powiązanych z technologią, wymagane są nowe procedury, by skutecznie nimi zarządzać. Bez wątpienia przez ostatnie 15 lat technologia zmieniła oblicze audytu wewnętrznego. Ryzyka, z jakimi organizacje muszą się zmierzyć, rodzaje audytów, jakie należy przeprowadzić, to, jak priorytetyzować środowisko audytu oraz przekazywać wnikliwe spostrzeżenia radzie i kadrze zarządzającej wyższego szczebla to kwestie, na jakie zarządzający audytem wewnętrznym powinni zwrócić uwagę. I wreszcie, proces przeprowadzania audytu obejmującego ryzyka IT w zasadzie niczym nie różni się od procesu przeprowadzania każdego innego typu audytu. Audytor planuje audyt, identyfikuje i dokumentuje odpowiednie kontrole, testuje model i efektywność operacyjną kontroli, wyciąga wnioski i przekazuje sprawozdanie. I podobnie, tak jak w przypadku innych zadań zapewniających, zarządzający audytem wewnętrznym regularnie przekazują wyniki audytu IT kluczowym interesariuszom, w tym radzie, kierownictwu wyższego szczebla, regulatorom, audytorom zewnętrznym lub dyrektorowi ds. systemów informatycznych. Strategia biznesowa kieruje identyfikacją środowiska audytu oraz oceną ryzyka, określa, jakie elementy są istotne dla rady i wyższej kadry kierowniczej oraz które z bieżących operacji mogą ulec zmianie. Dlatego ważne jest, aby zarządzający audytem wewnętrznym rozumiał zarówno strategię biznesową, jak i rolę technologii informacyjnej (IT) w organizacji oraz ich wzajemne oddziaływanie. Kiedy zarządzający audytem wewnętrznym mapuje operacje oraz infrastrukturę IT organizacji, ma jedyną w swoim rodzaju okazję, by poznać wpływ zależności technologicznych i operacyjnych w organizacji. Projekty IT są często kluczowymi elementami napędzającymi zmiany w organizacjach. Są również nierzadko mechanizmem wykorzystywanym przez kierownictwo do wdrażania strategii biznesowej. Początkowym wyzwaniem, z jakim przychodzi się zmierzyć zarządzającemu audytem wewnętrznym podczas zestawiania części składowych planu audytu IT, jest określenie działań IT wewnątrz organizacji. Zdając sobie sprawę z wysokiego stopnia zróżnicowania środowisk IT, zarządzający audytem wewnętrznym może potraktować definicję IT, jako zbiór części składowych. I choć różnią się między sobą, są jednakowo ważne. Podejście oparte na analizie ryzyka jest ogólną ideą, która znajduje zastosowanie w przypadku prawie wszystkich działań audytu wewnętrznego. Środowisko audytu powinno pamiętać o kwestiach związanych z IT, ponieważ pomiędzy IT i biznesem istnieją silne zależności. W celu możliwości podjęcia działań wyeliminowania tych ryzyk przez zarządzającego audytem wewnętrznym, jedną z kluczowych dla niego części składowych jest zapewnienie potrzebnego poziomu kompetencji w zespole audytowym. Ponadto, zarządzający audytem wewnętrznym powinni starać się korzystać z narzędzi i/lub zautomatyzowanych technik audytu celem zwiększenia skuteczności i efektywności audytu. Podobnie jak narzędzia biznesowe, narzędzia audytu wymagają inwestycji w czas i zasoby, a zatem zarządzający audytem wewnętrznym powinien ostrożnie rozważyć koszty/zyski rozwiązania, zanim poczynione zostaną inwestycje w dane narzędzie. 15

20 GTAG Autorzy i recenzenci 12. Autorzy i recenzenci Autorzy: Stephen Coates, CIA, CGAP, CISA Rune Johannessen, CIA, CCSA, CRMA, CISA Max Haege Jacques Lourens, CIA, CISA, CGEIT, CRISC Cesar L Martinez, CIA, CGAP Recenzenci: Steve Hunt, CIA, CRMA, CISA, CGEIT Steve Jameson, CIA, CCSA, CFSA, CRMA Nadzór na projektem tłumaczenia: Sebastian Burgemejster, CISA, CGAP, CCSA, CRMA Kontrola jakości tłumaczenia: Andrzej Brągiel, IIA Polska, Audytor Wewnętrzny Sebastian Burgemejster, CISA, CGAP, CCSA, CRMA Tłumaczenie: Anna Ratajczyk Skład DTP: Marcin Boguś 16

Robert Meller, Nowoczesny audyt wewnętrzny

Robert Meller, Nowoczesny audyt wewnętrzny Robert Meller, Nowoczesny audyt wewnętrzny Spis treści: O autorze Przedmowa CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO Rozdział 1. Podstawy audytu 1.1. Historia i początki audytu 1.2. Struktura

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU Załącznik nr 2 do zarządzenia nr 48/09 Głównego Inspektora Pracy z dnia 21 lipca 2009 r. OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU PROCEDURA P1 SPIS

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting

Bardziej szczegółowo

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013 Wartość audytu wewnętrznego dla organizacji Warszawa, 11.03.2013 Informacje o Grupie MDDP Kim jesteśmy Jedna z największych polskich firm świadczących kompleksowe usługi doradcze 6 wyspecjalizowanych linii

Bardziej szczegółowo

Warszawa, dnia 12 maja 2016 r. Poz. 20

Warszawa, dnia 12 maja 2016 r. Poz. 20 Warszawa, dnia 12 maja 2016 r. Poz. 20 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 10 maja 2016 r. w sprawie Karty audytu wewnętrznego w Ministerstwie Spraw

Bardziej szczegółowo

Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Szczucinie

Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Szczucinie Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Szczucinie (będące częścią Polityki zgodności stanowiącej integralną część Polityk w zakresie zarządzania ryzykami w Banku Spółdzielczym w

Bardziej szczegółowo

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. DZIENNIK URZĘDOWY MINISTRA SPRAW ZAGRANICZNYCH Warszawa, dnia 6 maja 2015 r. Poz. 16 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. w sprawie Karty

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Bank Spółdzielczy w Augustowie. Zasady Ładu Korporacyjnego dla instytucji nadzorowanych

Bank Spółdzielczy w Augustowie. Zasady Ładu Korporacyjnego dla instytucji nadzorowanych Załącznik do uchwały Zarządu Nr 81 z dnia 16.12.2014r. Załącznik do uchwały Rady Nadzorczej Nr 29 z dnia 17.12.2014r. Bank Spółdzielczy w Augustowie Zasady Ładu Korporacyjnego dla instytucji nadzorowanych

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

System Kontroli Wewnętrznej w Banku BPH S.A.

System Kontroli Wewnętrznej w Banku BPH S.A. System Kontroli Wewnętrznej w Banku BPH S.A. Cel i elementy systemu kontroli wewnętrznej 1. System kontroli wewnętrznej umożliwia sprawowanie nadzoru nad działalnością Banku. System kontroli wewnętrznej

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ Załącznik Nr 3 Do Zarządzenia Nr 56/10 STAROSTY KOSZALIŃSKIEGO z dnia 1 października 2010 r. SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ W STAROSTWIE POWIATOWYM W KOSZALINIE Do sporządzenia samooceny wykorzystano

Bardziej szczegółowo

Karta audytu wewnętrznego

Karta audytu wewnętrznego Załącznik nr 1 do Zarządzenia Nr 0050.149.2015 Burmistrza Miasta Lędziny z dnia 08.07.2015 Karta audytu wewnętrznego 1. Karta audytu wewnętrznego określa: cel oraz zakres audytu wewnętrznego; zakres niezależności

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38 DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO Warszawa, dnia 29 września 2014 r. Pozycja 38 ZARZĄDZENIE MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO 1) z dnia 29 września 2014 r. w sprawie Karty

Bardziej szczegółowo

Polityka przestrzegania Zasad ładu korporacyjnego. w Banku Spółdzielczym w Szczuczynie

Polityka przestrzegania Zasad ładu korporacyjnego. w Banku Spółdzielczym w Szczuczynie Załącznik do uchwały Zarządu Banku Spółdzielczego w Szczuczynie Nr 79/2014 z dnia 12.12.2014r. Załącznik do uchwały Rady Nadzorczej Banku Spółdzielczego w Szczuczynie Nr 51/2014 z dnia 12.12.2014r. Polityka

Bardziej szczegółowo

ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE

ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE Załącznik nr 1 do Uchwały Zarządu Banku z dnia 18.12.2014r Załącznik nr 1 do Uchwały Rady Nadzorczej z dnia 18.12.2014r ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE Głogów, 2014r W Banku

Bardziej szczegółowo

Rola i zadania Komitetu Audytu. Warszawa, 11.03.2013

Rola i zadania Komitetu Audytu. Warszawa, 11.03.2013 Rola i zadania Komitetu Audytu Warszawa, 11.03.2013 Informacje o Grupie MDDP Kim jesteśmy Jedna z największych polskich firm świadczących kompleksowe usługi doradcze 6 wyspecjalizowanych linii biznesowych

Bardziej szczegółowo

Polityka zarządzania ładem korporacyjnym w Spółdzielczej Kasie Oszczędnościowo- Kredytowej Świdnik

Polityka zarządzania ładem korporacyjnym w Spółdzielczej Kasie Oszczędnościowo- Kredytowej Świdnik Polityka zarządzania ładem korporacyjnym w Spółdzielczej Kasie Oszczędnościowo- Kredytowej Świdnik 1 W związku z opublikowaniem przez Komisję Nadzoru Finansowego Zasad ładu korporacyjnego dla instytucji

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Personalizacja Plan-de-CAMpagne dostosowywanie programu do indywidualnych potrzeb firm, działów oraz osób

Personalizacja Plan-de-CAMpagne dostosowywanie programu do indywidualnych potrzeb firm, działów oraz osób Personalizacja Plan-de-CAMpagne dostosowywanie programu do indywidualnych potrzeb firm, działów oraz osób Wdrożenie systemu planowania zasobów przedsiębiorstwa pomimo wielu korzyści często też wiąże się

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. Usprawnienie procesu zarządzania konfiguracją Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. 1 Typowy model w zarządzaniu IT akceptacja problem problem aktualny stan infrastruktury propozycja

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami a zarządzanie ryzykiem Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu

Bardziej szczegółowo

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku w sprawie wprowadzenia Karty Audytu Wewnętrznego w Urzędzie Miasta w Tomaszowie Mazowieckim. Na podstawie art.

Bardziej szczegółowo

Audyt systemów informatycznych w świetle standardów ISACA

Audyt systemów informatycznych w świetle standardów ISACA Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy

Bardziej szczegółowo

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy. ANKIETA / KWESTIONARIUSZ DLA JEDNOSTEK PODLEGŁYCH / NADZOROWANYCH PRZEZ MINISTRA NAUKI I SZKOLNICTWA WYŻSZEGO W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ Kontrola zarządcza stanowi ogół działań

Bardziej szczegółowo

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego Na podstawie art. 50 ust. 1 ustawy z dnia 30 czerwca 2005r. o finansach

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO Załącznik Nr 1 do Zarządzenia Starosty Suskiego Nr 35/2010 z dnia 30 lipca 2010 r. KARTA AUDYTU WEWNĘTRZNEGO Rozdział 1 Postanowienia ogólne 1 Karta audytu wewnętrznego reguluje funkcjonowanie audytu wewnętrznego

Bardziej szczegółowo

Karta audytu Uniwersytetu Śląskiego w Katowicach

Karta audytu Uniwersytetu Śląskiego w Katowicach Załącznik do zarządzenia Rektora UŚ nr 38 z dnia 28 lutego 2012 r. Uniwersytet Śląski w Katowicach Zatwierdzam: Rektor Uniwersytetu Śląskiego Karta audytu Uniwersytetu Śląskiego w Katowicach Katowice,

Bardziej szczegółowo

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r.

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r. Zarządzanie ryzykiem teoria i praktyka Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r. Zarządzanie ryzykiem - agenda Zarządzanie ryzykiem - definicje Ryzyko - niepewne

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie

Bardziej szczegółowo

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Wykładowca mgr prawa i mgr inż. elektronik Wacław Zimny audyt

Bardziej szczegółowo

Zasady ładu korporacyjnego w Banku Spółdzielczym w Sierpcu

Zasady ładu korporacyjnego w Banku Spółdzielczym w Sierpcu Załącznik do Uchwały nr 60/2014 Rady Nadzorczej Banku Spółdzielczego w Sierpcu z dnia 01 grudnia 2014 roku Załącznik do Uchwały nr 20/2014 Zarządu Banku Spółdzielczego w Sierpcu z dnia 04 grudnia 2014

Bardziej szczegółowo

Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Leżajsku.

Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Leżajsku. Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Leżajsku. 1 W Banku wdraża się zasady ładu korporacyjnego, które obejmują następujące obszary: 1. Organizacja i struktura organizacyjna 2.

Bardziej szczegółowo

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji

Bardziej szczegółowo

Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 2015-04-16

Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 2015-04-16 Zmiany w istniejących systemach zarządzania środowiskowego zbudowanych wg normy ISO 14001:2004, wynikające z nowego wydania ISO 14001 (wybrane przykłady) Grzegorz Ścibisz Warszawa, 16. kwietnia 2015 Niniejsza

Bardziej szczegółowo

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015 Wykorzystanie elementów systemu EMAS w SZŚ według ISO 14001:2015 dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP Agenda Elementy SZŚ według EMAS (Rozporządzenie UE 1221/2009) i odpowiadające im

Bardziej szczegółowo

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Gorlicach

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Gorlicach BANK SPÓŁDZIELCZY w GORLICACH ul. Stróżowska 1 Załącznik do Uchwały Nr 122/2014 Zarządu Banku Spółdzielczego w Gorlicach z dnia 15.12.2014 r. Załącznik do Uchwały Nr 24/2014 Rady Nadzorczej Banku Spółdzielczego

Bardziej szczegółowo

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku w sprawie Karty Audytu Wewnętrznego Zespołu Audytu Wewnętrznego Uniwersytetu Warmińsko-Mazurskiego

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ.

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ. Zał. do zarządzenia Prezesa NFZ Nr 6 /2006 z dnia 5 września 2006 r. REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA I. Ogólne zasady i cele audytu wewnętrznego 1. Celem przeprowadzania audytu

Bardziej szczegółowo

Zarządzenie Nr 26/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 23 grudnia 2011 roku

Zarządzenie Nr 26/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 23 grudnia 2011 roku Zarządzenie Nr 26/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 23 grudnia 2011 roku w sprawie wprowadzenia Karty Audytu Wewnętrznego w Uniwersytecie Kazimierza Wielkiego oraz Programu zapewniania

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA RYZYKIEM W PROJEKTACH I PROGRAMACH STRATEGICZNYCH

INSTRUKCJA ZARZĄDZANIA RYZYKIEM W PROJEKTACH I PROGRAMACH STRATEGICZNYCH Załącznik Nr 3 do Zarządzenia Nr 52/2014 Rektora UMCS INSTRUKCJA ZARZĄDZANIA RYZYKIEM W PROJEKTACH I PROGRAMACH STRATEGICZNYCH Spis treści Słownik pojęć... 1 Wprowadzenie... 2 Kroki zarządzania ryzykiem

Bardziej szczegółowo

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich Załącznik do Uchwały Zarządu Nr 11/XLI/14 z dnia 30 grudnia 2014r. Załącznik do uchwały Rady Nadzorczej Nr 8/IX/14 z dnia 30 grudnia 2014r. Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym

Bardziej szczegółowo

Polityka zarządzania ryzykiem braku zgodności. w Banku Spółdzielczym w Wąsewie

Polityka zarządzania ryzykiem braku zgodności. w Banku Spółdzielczym w Wąsewie Załącznik Nr 5 do uchwały Zarządu Nr 105/2014 z dnia 11.12.2014 r. Załącznik do uchwały Rady Nadzorczej Nr 45/2014 z dnia 22.12.2014 r. Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym

Bardziej szczegółowo

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA Strona: 1 z 6 1. Zaangażowanie kierownictwa Najwyższe kierownictwo SZPZLO Warszawa Ochota przejęło pełną odpowiedzialność za rozwój i ciągłe doskonalenie ustanowionego i wdrożonego zintegrowanego systemu

Bardziej szczegółowo

Plan zarządzania projektem

Plan zarządzania projektem Plan zarządzania projektem Opracował: Zatwierdził: Podpis: Podpis: Spis treści: 1. Wst p... 2 1.1 Cel... 2 1.2 Zakres... 2 1.3 Przeznaczenie dokumentu... 2 1.4 Organizacja dokumentu... 2 1.5 Dokumenty

Bardziej szczegółowo

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r. ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r. w sprawie wprowadzenia Regulaminu Audytu Wewnętrznego w Urzędzie Gminy Czernikowo. Na podstawie Standardu 2040 Międzynarodowych Standardów

Bardziej szczegółowo

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi

Bardziej szczegółowo

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Postanowienia ogólne 1 1. Kontrolę zarządczą w PUP stanowi ogół działań podejmowanych dla zapewnienia

Bardziej szczegółowo

ZAPYTANIE OFERTOWE. Ul. Sikorskiego 28 44-120 Pyskowice NIP 6480001415 REGON 008135290. Oferty pisemne prosimy kierować na adres: Hybryd Sp. z o.o.

ZAPYTANIE OFERTOWE. Ul. Sikorskiego 28 44-120 Pyskowice NIP 6480001415 REGON 008135290. Oferty pisemne prosimy kierować na adres: Hybryd Sp. z o.o. ZAPYTANIE OFERTOWE Pyskowice, dn. 28.04.2014r. Szanowni Państwo, Zwracamy się do Państwa z zaproszeniem do złożenia ofert na ujęte w niniejszym zapytaniu ofertowym zakupy w związku z realizowanym w ramach

Bardziej szczegółowo

FOCUS TELECOM POLSKA SP. Z O.O. Materiał Informacyjny

FOCUS TELECOM POLSKA SP. Z O.O. Materiał Informacyjny FOCUS TELECOM POLSKA SP. Z O.O. Materiał Informacyjny I. INFORMACJE OGÓLNE Focus Telecom Polska Sp. z o.o. działa w branży ICT od 2008 roku. Firma specjalizuje się w tworzeniu i dostarczaniu innowacyjnych

Bardziej szczegółowo

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych

Bardziej szczegółowo

Plus500CY Ltd. Polityka przeciwdziałania konfliktom interesów

Plus500CY Ltd. Polityka przeciwdziałania konfliktom interesów Plus500CY Ltd. Polityka przeciwdziałania konfliktom interesów Polityka przeciwdziałania konfliktom interesów 1. Wstęp 1.1. Niniejsza polityka w zakresie zapobiegania konfliktom interesów przedstawia w

Bardziej szczegółowo

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów

Bardziej szczegółowo

Załącznik do Uchwały Nr 45/2014. Rady Nadzorczej Pienińskiego Banku Spółdzielczego. z dnia 30.12.2014 r. Załącznik do Uchwały Nr 8/12/2014

Załącznik do Uchwały Nr 45/2014. Rady Nadzorczej Pienińskiego Banku Spółdzielczego. z dnia 30.12.2014 r. Załącznik do Uchwały Nr 8/12/2014 Załącznik do Uchwały Nr 45/2014 Rady Nadzorczej Pienińskiego Banku Spółdzielczego z dnia 30.12.2014 r. Załącznik do Uchwały Nr 8/12/2014 Zarządu Pienińskiego Banku Spółdzielczego z dnia 08.12.2014r. POLITYKA

Bardziej szczegółowo

DOTACJE NA INNOWACJE

DOTACJE NA INNOWACJE Strzyżów, 29-05-2013 Ogłoszenie o zamówieniu kompleksowego wdrożenia systemu B2B do współpracy handlowej pomiędzy firmą Triton a Partnerami Zamawiający: TRITON S.C. Marcin Bosek, Janusz Rokita ul. Słowackiego

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

Wybór ZSI. Zakup standardowego systemu. System pisany na zamówienie

Wybór ZSI. Zakup standardowego systemu. System pisany na zamówienie Wybór ZSI Zakup standardowego systemu System pisany na zamówienie Zalety: Standardowy ZSI wbudowane najlepsze praktyki biznesowe możliwość testowania przed zakupem mniej kosztowny utrzymywany przez asystę

Bardziej szczegółowo

Wprowadzenie do systemu ERP: CDN XL

Wprowadzenie do systemu ERP: CDN XL Wprowadzenie do systemu ERP: CDN XL Przedmiot: Lk: 1/7 Opracował: mgr inż. Paweł Wojakowski Instytut Technologii Maszyn i Automatyzacji Produkcji Zakład Projektowania Procesów Wytwarzania Pokój: 3/7 B,

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

Kontrola i audyt wewnętrzny w przedsiębiorstwach i w administracji publicznej

Kontrola i audyt wewnętrzny w przedsiębiorstwach i w administracji publicznej Nazwa: Rodzaj: Charakterystyka: Kontrola i audyt wewnętrzny w przedsiębiorstwach i w administracji publicznej Studia podyplomowe realizowane we współpracy z Polskim Instytutem Kontroli Wewnętrznej w Warszawie

Bardziej szczegółowo

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO Załącznik nr 1 do Zarządzenia nr 13/09 Burmistrza Miasta Hajnówka z dnia 30 stycznia 2009 r. KARTA AUDYTU WEWNĘTRZNEGO 1. Nazwa JSFP Urząd Miasta Hajnówka zwany dalej Jednostką. 2. Adres Jednostki 17-200

Bardziej szczegółowo

Dane Klienta: Staples Polska Sp. z o.o. Bysewska 18 80-298 Gdańsk www.staplesadvantage.pl

Dane Klienta: Staples Polska Sp. z o.o. Bysewska 18 80-298 Gdańsk www.staplesadvantage.pl Dane Klienta: Staples Polska Sp. z o.o. Bysewska 18 80-298 Gdańsk www.staplesadvantage.pl Staples Polska Sp. z o.o. (dawniej Corporate Express Polska Sp. z o.o.) to jeden z największych na świecie dostawców

Bardziej szczegółowo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010 Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

Projekt Badawczy Analiza wskaźnikowa przedsiębiorstwa współfinansowany ze środków Unii Europejskiej

Projekt Badawczy Analiza wskaźnikowa przedsiębiorstwa współfinansowany ze środków Unii Europejskiej Projekt Badawczy Analiza wskaźnikowa przedsiębiorstwa współfinansowany ze środków Unii Europejskiej FiM Consulting Sp. z o.o. Szymczaka 5, 01-227 Warszawa Tel.: +48 22 862 90 70 www.fim.pl Spis treści

Bardziej szczegółowo

Procedura: Ocena Systemu Zarządzania

Procedura: Ocena Systemu Zarządzania Procedura: Ocena Systemu Zarządzania I. CEL PROCEDURY Celem niniejszej procedury jest jednoznaczne określenie zasad planowania, prowadzenia, dokumentowania i oceny działań audytowych oraz kontrolnych prowadzonych

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Monika Kos, radca ministra Departament Polityki Wydatkowej Warszawa, 13 stycznia 2015 r. Program prezentacji

Bardziej szczegółowo

MAPA ZAPEWNIENIA W ORGANIZACJI

MAPA ZAPEWNIENIA W ORGANIZACJI MAPA ZAPEWNIENIA W ORGANIZACJI tel.: 22 694 30 93 fax: 22 694 33 74 e-mail: sekretariat.da@mofnet.gov.pl www.mofnet.gov.pl Ministerstwo Finansów/ Działalność/ Finanse publiczne/kontrola zarządcza i audyt

Bardziej szczegółowo

Nowy wzór sprawozdania ograniczył liczbę umieszczanych w nim informacji.

Nowy wzór sprawozdania ograniczył liczbę umieszczanych w nim informacji. Nowy wzór sprawozdania ograniczył liczbę umieszczanych w nim informacji. W dniu 1 maja 2008 r. zaczęło obowiązywać nowe Rozporządzenie Ministra Finansów z dnia 4 kwietnia 2008 r. w sprawie trybu sporządzania

Bardziej szczegółowo

System zarządzania zleceniami

System zarządzania zleceniami Verlogic Systemy Komputerowe 2013 Wstęp Jednym z ważniejszych procesów występujących w większości przedsiębiorstw jest sprawna obsługa zamówień klientów. Na wspomniany kontekst składa się: przyjęcie zlecenia,

Bardziej szczegółowo

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015 Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015 ZAPEWNIAMY BEZPIECZEŃSTWO Piotr Błoński, Warszawa, 17.03.2016 r. Program 1. Zarządzanie zmianą - zmiany w normie ISO 9001:2015 2. Zarządzanie

Bardziej szczegółowo

Dlaczego outsourcing informatyczny? Jakie korzyści zapewnia outsourcing informatyczny? Pełny czy częściowy?

Dlaczego outsourcing informatyczny? Jakie korzyści zapewnia outsourcing informatyczny? Pełny czy częściowy? Dlaczego outsourcing informatyczny? Przeciętny informatyk firmowy musi skupić w sobie umiejętności i specjalizacje z wielu dziedzin informatyki. Równocześnie musi być administratorem, specjalistą od sieci

Bardziej szczegółowo

CEL SZKOLENIA: DO KOGO SKIEROWANE JEST SZKOLENIE:

CEL SZKOLENIA: DO KOGO SKIEROWANE JEST SZKOLENIE: Audytor Wewnętrzny systemu HACCP oraz standardów IFS w wersji 6 (International Food Standard version 6) i BRC w nowej wersji 7 (Global Standard for Food Safety issue 7) - AWIFSBRC CEL SZKOLENIA: zrozumienie

Bardziej szczegółowo

System DEPTHeuresis stanowi odpowiedź na wyzwania HR, czyli: SYSTEM ZARZĄDZANIA KAPITAŁEM LUDZKIM DEPTHeuresis

System DEPTHeuresis stanowi odpowiedź na wyzwania HR, czyli: SYSTEM ZARZĄDZANIA KAPITAŁEM LUDZKIM DEPTHeuresis SYSTEM DEPTHeuresis System DEPT stanowi odpowiedź na wyzwania HR, czyli: Pozwala w łatwy sposób zarządzać różnorodnością kompetencji, kwalifikacji. Udrażnia komunikację dzięki wprowadzeniu naturalnego

Bardziej szczegółowo

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika

Bardziej szczegółowo

Komunikat nr 115 z dnia 12.11.2012 r.

Komunikat nr 115 z dnia 12.11.2012 r. Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania

Bardziej szczegółowo

Dobre Praktyki Komitetów Audytu w Polsce

Dobre Praktyki Komitetów Audytu w Polsce Dobre Praktyki Komitetów Audytu w Polsce WPROWADZENIE Niniejsze Dobre praktyki komitetów audytu odzwierciedlają najlepsze międzynarodowe wzory i doświadczenia w spółkach publicznych. Nie jest to zamknięta

Bardziej szczegółowo

I. Postanowienia ogólne.

I. Postanowienia ogólne. PROCEDURY KONTROLI ZARZĄDCZEJ Załącznik Nr 1 do zarządzenia nr 291/11 Prezydenta Miasta Wałbrzycha z dnia 15.03.2011 r. I. Postanowienia ogólne. 1 Procedura kontroli zarządczej została opracowana na podstawie

Bardziej szczegółowo

Skuteczność => Efekty => Sukces

Skuteczność => Efekty => Sukces O HBC Współczesne otoczenie biznesowe jest wyjątkowo nieprzewidywalne. Stała w nim jest tylko nieustająca zmiana. Ciągłe doskonalenie się poprzez reorganizację procesów to podstawy współczesnego zarządzania.

Bardziej szczegółowo

SKZ System Kontroli Zarządczej

SKZ System Kontroli Zarządczej SKZ System Kontroli Zarządczej KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych Na podstawie art. 69 ust. 3 ustawy z

Bardziej szczegółowo

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

Model dojrzałości dopasowania strategicznego. Nadzór Poziom 1 Poziom 2 Poziom 3 Poziom 4 Poziom 5 Na poziomie

Model dojrzałości dopasowania strategicznego. Nadzór Poziom 1 Poziom 2 Poziom 3 Poziom 4 Poziom 5 Na poziomie Tab. 1. Opis poziomów dojrzałości procesów dla obszaru nadzór. Formalne strategiczne planowanie biznesowe Formalne strategiczne planowanie Struktura organizacyjna Zależności organizacyjne Kontrola budżetowania

Bardziej szczegółowo

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA PRZEZNACZENIE I ZADANIA PROGRAMU Program risk AB jest narzędziem informatycznym wspierającym proces

Bardziej szczegółowo

Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz

Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz 2012 Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne Maciej Bieńkiewicz Społeczna Odpowiedzialność Biznesu - istota koncepcji - Nowa definicja CSR: CSR - Odpowiedzialność przedsiębiorstw

Bardziej szczegółowo

Zarządzaj projektami efektywnie i na wysokim poziomie. Enovatio Projects SYSTEM ZARZĄDZANIA PROJEKTAMI

Zarządzaj projektami efektywnie i na wysokim poziomie. Enovatio Projects SYSTEM ZARZĄDZANIA PROJEKTAMI Sprawne zarządzanie projektami Tworzenie planów projektów Zwiększenie efektywności współpracy Kontrolowanie i zarządzanie zasobami jak również pracownikami Generowanie raportów Zarządzaj projektami efektywnie

Bardziej szczegółowo