COBIT DLA (NIE)OPORNYCH AUDYTORÓW ogólna procedura audytu M.Forystek, ,

Wielkość: px
Rozpocząć pokaz od strony:

Download "COBIT DLA (NIE)OPORNYCH AUDYTORÓW ogólna procedura audytu M.Forystek, 03.10.2000, 09.01.2002"

Transkrypt

1 COBIT DLA ()OPORNYCH AUDYTORÓW ogólna procedura audytu M.Forystek, , Coraz większa liczba audytorów spotyka się z problemem dokonania oceny systemu informatycznego. W znacznej mierze zakładanym kryterium oceny jest bezpieczeństwo. Rzadziej zgodność z prawem, czy efektywność. Wielu audytorów na początku nie wie jak zabrać się do takiego zadania. Najbardziej oczywistą radą w takich sytuacjach jest zachęcenie do skorzystania z jednego ze standardów audytu środowiska informatycznego. Podejście takie pozwala bowiem efektywnie zbadać nawet skomplikowane systemy informatyczne poprzez przyłożenie określonej w standardzie "siatki" zalecanych mechanizmów kontrolnych. Niemniej ocena dopasowania do takiej siatki zależy w zancznej mierze od wiedzy, doświadczenia, a zwłaszcza kryteriów stosowanych przez audytora. Z istniejących standardów audytu systemów informatycznych wydaje się, że największą rolę odgrywa COBIT (Control Objectives For Information and Related Technology). Dlatego na jego przykładzie zostanie zaprezentowana praktyczna procedura audytowa. Standard COBIT powstał w odpowiedzi na potrzeby szerokiego grona osób poszukujących uniwersalnych narzędzi do budowania właściwego środowiska kontrolnego systemów informatycznych. Został opracowany w ramach projektu prowadzonego przez Fundację - Information Systems Audit And Control Foundation - utworzoną przez stowarzyszenie ISACA Information Systems Audit And Control Association. W projekcie uczestniczyli, i uczestniczą nadal, najbardziej doświadczeni audytorzy IT oraz managerowie IT z całego świata. Na wstępie projektu COBIT dokonano przeglądu istniejących i stosowanych standardów oraz wysłano ankiety do kilku tysięcy firm. Szerokie czerpanie z już istniejących, i co ważniejsze sprawdzonych rozwiązań oraz zaangażowanie do pracy bardzo szerokiego zespołu, reprezentującego wiele znanych firm (w tym cała Wielka Piątka, Unisys, SONY itp.) dały gwarancje produktu o najwyższej jakości. W chwili obecnej COBIT jest jedynym standardem tak szeroko obejmującym zagadnienia IT/IS. Ponadto jest powszechnie dostępny, bowiem większość standardu jest dostępna bezpłatnie (część Audit Guidelines jest dostępna bezpłatnie tylko dla członków ISACA), a za jego stosowanie, w odróżnieniu od np. ITIL (Information Technology Infrastructure Library), nie są pobierane żadne opłaty. Podczas posługiwania się standardem wykorzystuje się typową procedurę audytową, wywodzącą się z audytu finansowegi. Składa się ona z pięciu etapów: I II III Zapoznanie się z procesem audytor przeprowadza wywiady i zbiera dokumentację, która jest niezbędna do zaznajomienia się z procesem, określenia w jakim celu, przez kogo, w jakim czasie i na jakiej podstawie jest realizowany. Ten etap ma przygotować audytora do prowadzenia dalszych działań audytorskich. W jego ramach audytor powinien uzyskać wiedzę na temat mechanizmów kontrolnych, jakie zostały zaprojektowane. Ocena mechanizmów kontrolnych audytor ma za zadanie określić na ile system kontrolny zidentyfikowany w pierwszym etapie jest rzetelny i efektywny. Ocena ta powstaje na skutek analizy regulaminów i procedur oraz analizy obserwacji realizacji procesów poczynionych w pierwszym etapie audytu poprzez zweryfikowanie, czy spełniają one wymagania uznane za wzorcowe. Ocena zgodności celem audytora jest określenie, czy ustanowiony system kontroli jest w praktyce realizowany. Czyli czy działania prowadzi się zgodnie z ustalonymi procedurami. Istotny jest fakt, że badania prowadzi się wyłącznie wobec ustanowionych mechanizmów kontrolnych, nie obejmując nimi tych mechanizmów, które powinny istnieć (na podstawie analizy z etapu pierwszego), ale nie są stosowane. Strona 1 z 8

2 IV V Ocena ryzyka poszukuje się dowodów na to, że luki w systemie kontrolnym (jeżeli takowe istnieją), albo niewłaściwa realizacja założeń systemu kontroli rodzą ryzyko, że cele narzucone przez biznes na IT/IS nie zostaną osiągnięte. "Określenie osiągania celów" - po wykonaniu czterech pierwszych etapów audytor jest już przygotowany do przedstawienia wniosków na temat skuteczności i efektywności systemu kontroli, czyli określenia: błędów struktury - na ile budowa systemu kontroli jest niezgodna z uznanymi za START TOŻSAMOŚĆ, PROCESY, LOKALIZACJE, OSOBY I WYWIADY Z KLIENTAMI AUDYTU DOSTRZEGANE PRZEZ KLIENTÓW USTALONE SPISANE RAZEM DO OCENY Rysunek 1 Diagram pierwszej fazy audytu - Zapoznanie się z procesem wzorcowe dobrymi praktykami i zapewnia efektywne i skuteczne działanie, błędów realizacji na ile prowadzone działania są niezgodne z wymaganiami ustanowionego środowiska kontrolnego, oraz dowodów potwierdzających, że istniejące błędy wpływają na (nie)osiąganie przez proces założonych celów. I Zapoznanie się z procesem (Obtaining An Understanding) Cele etapu: zaznajomienie się z zagadnieniami związanymi z procesem (związanymi z realizacją celów kontrolnych określonych przez kierownictwo), oraz uzyskanie wiedzy na temat wyobrażenia kierownictwa o kontroli procesu, czyli wiedzy na temat ludzi, procesów, miejsca, gdzie zadania są realizowane i ustalonych procedur/działań dla ich kontroli. W większości przypadków podczas rozpoczynania audytu nie są dokładnie znane, ani organizacja, ani reguły rządzące procesem. Nawet w przypadku, gdy audyt jest prowadzony przez pracowników jednostki audytu wewnętrznego konieczne staje się zebranie na wstępnie prac materiałów w postaci polityk, regulaminów, procedur, ustaw i rozporządzeń dotyczących badanego procesu. Niezbędne jest także rozpoznanie jakie jednostki organizacyjne są zaangażowane w realizację procesu oraz którzy pracownicy wykonują określone działania. Na pierwszą fazę audytu Zapoznanie się z procesem (ang. Obtaining An Understanding) - składają się dwa kroki przeprowadzenie wywiadów oraz zebranie materiałów. Mimo, iż zarówno wywiady, jak i zbieranie dokumentów źródłowych są wykonywane przez cały okres prowadzenia audytu, to jednak ze względów chronologicznych stanowią pierwszy krok audytu. Zazwyczaj bowiem audyt rozpoczyna się od wywiadu wstępnego, w trakcie którego ustalane są osoby kontaktowe i podstawowe materiały audytowe. Strona 2 z 8

3 Wywiady (Obtaining An Understanding/Interviewing) W części Audit Guidelines standardu COBIT, w ramach każdego z procesów, w sekcji Obtaining an Understanding Audit Guidelines dostarcza sugestii co do osób z którymi należy przeprowadzać wywiady. Informacje te należy traktować jedynie jako sugestie, bowiem dana organizacja może się poważnie różnić od organizacji ogólnej (wzorcowej), którą rozpatrywali twórcy standardu. Mimo, że COBIT nie daje żadnych wskazówek co do techniki przeprowadzania wywiadów, to należy pamiętać, że powszechnie obowiązującą praktyką jest sporządzanie notatek z wywiadu i ich weryfikowanie przez osobę, której dotyczą. W szczególności należy pamiętać, żeby notatki z wywiadu były opatrzone przynajmniej: datą przeprowadzenia wywiadu, miejscem przeprowadzenia wywiadu, imieniem i nazwiskiem osoby, z którą przeprowadzano wywiad, imieniem i nazwiskiem (imionami i nazwiskami) osób, które przeprowadzały wywiad, spisem pytań i odpowiedzi, podpisami osób, które przeprowadzały wywiad i podpisem osoby, która udzielała odpowiedzi. Pozyskanie (Obtaining An Understanding/Obtaining) COBIT, w ramach każdego z procesów, w sekcji Obtaining an Understanding - Obtaining, Audit Guidelines dostarcza sugestii co do dokumentów, które powinny stanowić podstawę audytu. Ze względu na poważne różnice pomiędzy firmami, listę tę należy traktować jednak jedynie jako sugestię dla audytora. Wszystkie dokumenty muszą być zwrócone właścicielowi przed zakończeniem audytu. Kopie sporządzone przez audytora powinny być opatrzone unikalnym (w ramach danego audytu) numerem dowodu, datą pobrania oraz nazwą prowadzonego audytu. Na zakończenie pierwszej fazy audytu audytor powinien mieć określone, udokumentowane i zweryfikowane: Kto wykonuje zadania objęte celem kontrolnym?. Gdzie zadania są wykonywane?, Kiedy zadania są wykonywane?, Na podstawie jakich informacji wejściowych są wykonywane zadania?, Jakie są oczekiwane rezultaty działań, oraz Jakie są ustalone procedury związane z wykonywaniem zadań? II Ocena mechanizmów kontrolnych (Evaluating The Controls) Cele etapu: dokonanie oceny mechanizmów kontrolnych (na podstawie wiedzy z poprzedniego etapu) i określenia, czy mechanizmy te są skuteczne i sprawne (na razie tylko teoretycznie); skuteczne i sprawne mechanizmy kontrolne to takie, które są efektywne kosztowo i dostarczają racjonalnego uzasadnienia, że zadania są wykonywane, a cele kontrolne są spełniane; Strona 3 z 8

4 Po zapoznaniu się z organizacją procesu w kolejnej fazie audytu należy określić, czy mechanizmy kontrolne wbudowane w proces są właściwe, tzn. czy odpowiadają potrzebom organizacji i są zgodne z właściwymi dobrymi praktykami i standardami przemysłowymi. Oceny mechanizmów kontrolnych dokonuje się poprzez zweryfikowanie, czy organizacja pprocesu wykazuje parametry/właściwości określone w sekcji Evaluating The Controls Audit Guidelines. Dla przykładu podczas audytu procesu DS5 Zapewnienie bezpieczeństwa systemów należy zweryfikować, czy "Istnieje i jest używany schemat klasyfikacji danych, aby wszystkie zasoby systemowe miały przypisanego właściciela odpowiedzialnego za bezpieczeństwo i zawartość.", tzn.: czy organizacja ustaliła ogólne zasady klasyfikacji danych, czy w badanym obszarze została przeprowadzona klasyfikacja danych oraz, czy wszystkie zasoby poddawane audytowi mają przypisanego właściciela. Podany przykład stanowi tylko część wymagań, których działanie w ramach procesu należy zweryfikować w trakcie audytu. Należy zauważyć, że lista wymagań COBIT nie jest ani wyczerpująca, ani ostateczna. W przyszłości z całą pewnością będą zachodziły w niej zmiany, o czym można sądzić na podstawie zmian pomiędzy kolejnymi wersjami COBIT. Na zakończenie drugiej fazy audytu audytor powinien mieć: ocenę praw, regulacji i kryteriów organizacyjnych z punktu widzenia możliwości ich stosowania, ocenę ustalonych procedur w celu określenia, czy są efektywne kosztowo, i czy dostarczają racjonalnego zapewnienia, że zadanie jest wykonywane oraz, że cel kontrolny jest osiągany, ocenę wszystkich kompensacyjnych mechanizmów kontrolnych używanych do wspomagania słabych procedur, określone, czy ustalone procedury i kompensacyjne mechanizmy kontrolne tworzą wspólnie skuteczną strukturę kontrolną, określone, czy byłyby odpowiednie testowanie zgodności. III Ocena zgodności (Assessing Compliance) Cele etapu: SILNE TESTY DOWODOWE INFOR./ DOK. USTALONE OCENA USTALONYCH PROCEDUR S Ą SKUTECZNE? OKRE ŚLIĆ I OCENIĆ KOMPENSACYJNE MECHANIZMY KONTROLNE KMK SĄ SKUTECZNE? PRAWO, REGULACJE I KRYTERIA ORGANIZACJI TESTOWA ZGODNOŚCI Rysunek 2 Diagram drugiej fazy audytu - Ocena mechanizmów kontrolnych Strona 4 z 8

5 ustalenie, czy zachodzi zgodność pomiędzy ustalonymi mechanizmami kontrolnymi, a faktycznie działającymi; rzeczywiście stosowane procedury i kompensacyjne mechanizmy kontrolne powinny być porównane z ustalonymi procedurami (tymi, które zostały zebrane w pierwszym etapie audytu) W momencie, kiedy audytor zna już ustanowiony system kontrolny to musi się podjąć oceny, czy i jak on funkcjonuje w praktyce. Ocena ta jest przedmiotem trzeciego etapu audytu. Ocenę przeprowadza się poprzez prześledzenie, czy działania założone w procedurach (formalnych i nieformalnych) są faktycznie realizowane w sposób ścisły i powtarzalny. Należy mieć na uwadze, że badania prowadzi się wyłącznie wobec ustanowionych mechanizmów kontrolnych. Także w przypadku badania zgodności COBIT dostarcza wskazówek, co należy zweryfikować. Wykorzystując przykład procesu DS5 Zapewnienie bezpieczeństwa systemów należy np. "Sprawdzić, czy istnieje spis urządzeń dostępu dla utrzymywania ich w komplecie." Niemniej wskazówki COBIT mają (powinny mieć) charakter wyłącznie pomocniczy. Podstawowym źródłem audytora powinny być ustanowione procedury i to tylko te, które w drugim etapie audytu zostały uznane za efektywne. Na zakończenie trzeciego etapu audytor powinien mieć udokumentowane stosowanie się organizacji do procedur zidentyfikowanych w dwóch pierwszych etapach audytu i mieć określony wniosek, czy ustalone procedury i kompensacyjne mechanizmy kontrolne są właściwie i konsekwentnie stosowane przez organizację. Na podstawie poziomu zgodności, audytor powinien określić poziom testów dowodowych potrzebnych do dostarczenia zapewnienia, że stosowane mechanizmy kontrolne są sprawne i skuteczne. IV Udowadnianie ryzyka (Substantiating The Risk) Cele etapu: przeprowadzeni testów dostarczających jednoznacznych dowodów na to, że mechanizmy kontrolne nie wspierają osiągania celów biznesowych W wielu przypadkach pierwsze etapy audytu wykazują, że badany system kontroli ma słabości, tzn., że stosowane mechanizmy kontrolne są niewystarczające lub, że ustanowione mechanizmy kontrolne w praktyce nie działają lub działają wadliwie. Pierwsza wada systemu kontroli ustalone procedury odpowiednie procedury kontrolne są właściwie i konsekwentnie stosowane ograniczone testowanie dowodowe ocena przegląd próbek wyników zadań dla okre ślenia zgodności z ustalonymi procedurami zgodne? próbki wyników zadań określ faktyczne procedury faktyczne procedury są adekwatne? odpowiednie procedury kontrolne nie są aktualne lub konsekwentnie stosowane silne testowanie dowodowe Rysunek 3 Diagram trzeciej fazy audytu - Szacowanie zgodności powinna zostać wykryta w trakcie II etapu audytu oceny mechanizmów kontrolnych, drugi z mankamentów powinien być wykryty w trakcie III etapu audytu ocena zgodności. Strona 5 z 8

6 Nie wszystkie zaobserwowane słabości systemu kontroli mają istotne znaczenie dla organizacji, dlatego konieczne wydaje się odpowiedzenie na pytanie Na ile zaobserwowane słabości badanego systemu kontroli wpływają na wzrost ryzyka tego, że wymagane cele kontrolne nie są osiągane?. Inaczej rzecz ujmując, konieczne jest wykazanie relacji pomiędzy słabościami systemu kontroli, a nieosiąganiem celów biznesowych. Aby odpowiedzieć na to pytanie należy udokumentować przypadki, w których zidentyfikowane słabości systemu kontroli przyczyniają się nieosiągania celów biznesowych, a w konsekwencji do wymiernych strat finansowych. Zebranie dowodów powinno odbywać się w ramach ścisłej procedury analitycznej. Faza, w której dokonuje się selekcji materiałów źródłowych w poszukiwaniu dowodów wzrostu ryzyka spowodowanego niewłaściwym funkcjonowaniem systemu kontroli nosi nazwę fazy udowadniania ryzyka. Wykonanie (Substantiating The Risk/Performing) W celu znalezienia dowodów audytowych potwierdzających tezę o wzroście ryzyka w wyniku niewłaściwego funkcjonowania systemu kontroli konieczne jest dokonanie selekcji dokumentów źródłowych. W przypadku dokumentów o charakterze masowym powinno to być wykonane poprzez zastosowanie właściwych procedur statystycznych. Informacji o tym jakiej selekcji należy dokonać dostarcza punkt Wykonanie (ang. Performing) sekcji Udowadnianie ryzyka (Substantiating The Risk) Audit Guidelines. Dla każdego akapitu w tym punkcie należy określić, o ile ma to zastosowanie, informacje o tym jakie zastosowano metody selekcji materiałów dowodowych, jakich użyto wzorców do porównań itp. Przykładowo dla procesu AI6 zarządzanie zmianami, dla akapitu (Wykonanie) porównania zarządzania kontrolą zmian z podobnymi organizacjami lub odpowiednimi międzynarodowymi standardami/uznanymi, najlepszymi praktykami przemysłowymi. należy określić jakie standardy/praktyki zostaną wykorzystane. Akapit ten uzmysławia jak wielką pojemność mogą mieć dość lakoniczne wyglądające sformułowania COBIT. Pod tym stosunkowo krótkim zdaniem kryje się np. wykonanie porównania badanego systemu kontroli zmian z wymaganiami procesu Change Management standardu ITIL (Information Technology Infrastructure Library) lub z wymaganiami norm ISO z serii 9000, albo wymaganiami standardu CMM (Capability Maturity Model). Przytoczony akapit udowadnia jednocześnie, że twórcy COBIT nie stawiają go w roli jedynego, pełnego i właściwego zbioru wytycznych do zarządzania i kontroli IT. Zachęcają wręcz do korzystania z innych rozwiązań, a zwłaszcza do korzystania z norm i wytycznych przemysłowych dla danej branży, ale w ujęciu w schemat COBIT. Strona 6 z 8

7 ZAPEW OKREŚL TECHNIKI TESTOWANIA WYMAGANE SILNE TESTY DOWODOWE? WYKONAJ TESTY LOSOWE LUB STATYSTYCZNE OKREŚL, CZY DLA PRÓBKI ZOSTAŁ OSIĄGNIĘTY CEL KONTROLNY CEL OSIĄGNIĘTY? WYKONAJ OGRANICZONE PRÓBKOWA LOSOWE LUB OSĄDOWE BRAK ZAPEWNIA Rysunek 4 Diagram czwartej fazy audytu - Zidentyfikowanie ryzyka Zidentyfikowanie (Substantiating The Risk/Identifying) Po dokonaniu selekcji materiałów dowodowych konieczne jest określenie, czy mogą one stanowić materiał, na bazie którego można wykazać związek pomiędzy wadami systemu kontroli, a nieosiąganiem założonych celów. Wskazówek jak tego dokonać dostarcza punkt Zidentyfikowanie (ang. Identifying) sekcji Udowadnianie ryzyka (Substantiating The Risk) Wytycznych Audytu. Dla każdego akapitu tego punktu należy określić, czy klauzule w nim zawarte są realizowane. Jeżeli nie, to stanowi to dowód na związek pomiędzy niewłaściwym funkcjonowaniem systemu kontroli, a wzrostem ryzyka tego, że cele biznesowe nie zostaną osiągnięte. Faza udowadnianie ryzyka stanowi jednocześnie ostatnią fazę operacyjną. Po jej zakończeniu audytor przystępuje do przeglądu analitycznego zebranych materiałów i informacji i na jego podstawie do wydania osądu o badanym systemie kontrolnym oraz do przygotowania wniosków i rekomendacji audytowych. Tę ostatnią fazę można nazwać fazą Określenia osiągania celów kontrolnych. V Określenie osiągania celów Po wykonaniu czterech etapów audytor jest przygotowany do przedstawienia wniosków na temat skuteczności i efektywności systemu kontroli, czyli określenia: błędów struktury - na ile budowa systemu kontroli jest zgodna z uznanymi za wzorcowe dobrymi praktykami i zapewnia efektywne i skuteczne działanie, błędów realizacji na ile prowadzone działania są niezgodne z wymaganiami ustanowionego środowiska kontrolnego, oraz dowodów potwierdzających, że istniejące błędy wpływają na osiąganie przez proces założonych celów. Jest to chyba najtrudniejszy z etapów audytu. Całość działań audytora ma charakter analityczny. Główna trudność polega na właściwym dobraniu informacji zebranych w czasie audytu do poszczególnych celów kontrolnych. W standardzie COBIT nie ma kaskadowego zestawienia wymagań kontrolnych w stosunku do celów kontrolnych. Autorzy standardu wyszli z założenia, że sztywne przyporządkowanie ograniczyłoby uniwersalność standardu i jednocześnie zbytnio ograniczyło rolę audytora. Dlatego polegając na własnym profesjonalnym osądzie audytor musi dokonać oceny każdego z celów kontrolnych poprzez wykorzystanie właściwych informacji zebranych w czasie audytu. Wyniki tej analizy stanowią ostateczną postać raportu pokontrolnego. Strona 7 z 8

8 Prowadzenie audytu systemów informatycznych z metodycznego punktu widzenia nie różni się od innych rodzajów audytu. Inna jest materia badana. Często audytor ma do czynienia z sytuacjami niematerialności przedmiotu audytu. Wykorzystuje się inne narzędzia w postępowaniu dowodowym. Niemniej utarte już schematy ogólnej procedury audytowej pozostają niezmienne. Wydaje się, że w wielu przypadkach nawet audytor nie będący specjalistą od systemów informatycznych, ale potrafiący umiejętnie korzystać ze standardu COBIT może w sposób znaczący przyczynić się do obniżenia ryzyk związanych z takimi systemami do ustalonego poziomu. Strona 8 z 8

Audyt systemów informatycznych w świetle standardów ISACA

Audyt systemów informatycznych w świetle standardów ISACA Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy

Bardziej szczegółowo

Darmowy fragment www.bezkartek.pl

Darmowy fragment www.bezkartek.pl Wszelkie prawa zastrzeżone. Rozpowszechnianie całości lub fragmentów niniejszej publikacji w jakiejkolwiek postaci bez zgody wydawcy zabronione. Autor oraz wydawca dołożyli wszelkich starań aby zawarte

Bardziej szczegółowo

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r. ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r. w sprawie wprowadzenia Regulaminu Audytu Wewnętrznego w Urzędzie Gminy Czernikowo. Na podstawie Standardu 2040 Międzynarodowych Standardów

Bardziej szczegółowo

Ministerstwo Finansów Departament Ochrony Interesów Finansowych Unii Europejskiej - Instytucja Audytowa -

Ministerstwo Finansów Departament Ochrony Interesów Finansowych Unii Europejskiej - Instytucja Audytowa - Ministerstwo Finansów Departament Ochrony Interesów Finansowych Unii Europejskiej - Instytucja Audytowa - Program Operacyjny Infrastruktura i Środowisko Audyt Systemu lata 2007-2013 Krajowe ramy prawne

Bardziej szczegółowo

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi

Bardziej szczegółowo

NS-01 Procedura auditów wewnętrznych systemu zarządzania jakością

NS-01 Procedura auditów wewnętrznych systemu zarządzania jakością Załącznik nr 1 do zarządzenia Burmistrza Miasta Środa Wielkopolska Nr 19/2010 z dnia 22 lutego 2010 r. NS-01 Procedura auditów wewnętrznych systemu zarządzania jakością 1. Cel procedury Celem procedury

Bardziej szczegółowo

Robert Meller, Nowoczesny audyt wewnętrzny

Robert Meller, Nowoczesny audyt wewnętrzny Robert Meller, Nowoczesny audyt wewnętrzny Spis treści: O autorze Przedmowa CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO Rozdział 1. Podstawy audytu 1.1. Historia i początki audytu 1.2. Struktura

Bardziej szczegółowo

Kiedy audyt jest audytem a kiedy nie? PURECONFERENCES, WARSZAWA 9/10/2014

Kiedy audyt jest audytem a kiedy nie? PURECONFERENCES, WARSZAWA 9/10/2014 Kiedy audyt jest audytem a kiedy nie? PURECONFERENCES, WARSZAWA 9/10/2014 Audyt, ocena ryzyka, kontrola Kilka zdań o Instytucie Bezpieczeństwa i Informacji; Kilka zdań o prelegencie; Kilka zdań o wystąpieniu;

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski

Bardziej szczegółowo

ZARZĄDZENIE NR 17/2014R. KIEROWNIKA GMINNEGO OŚRODKA POMOCY SPOŁECZNEJ W POSTOMINIE

ZARZĄDZENIE NR 17/2014R. KIEROWNIKA GMINNEGO OŚRODKA POMOCY SPOŁECZNEJ W POSTOMINIE ZARZĄDZENIE NR 17/2014R. KIEROWNIKA GMINNEGO OŚRODKA POMOCY SPOŁECZNEJ W POSTOMINIE Z DNIA 29 GRUDNIA 2014R. w sprawie określenia procedur samooceny funkcjonowania systemu kontroli zarządczej w Gminnym

Bardziej szczegółowo

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r. Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r. Instrukcja dokonywania samooceny oraz sporządzania oświadczenia o stanie kontroli zarządczej w Szkole Podstawowej nr 4 im. Kawalerów

Bardziej szczegółowo

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY PROGRAM ZAPEWNIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMI OLECKO Załącznik nr 3 do Programu zapewnienia i poprawy jakości audytu wewnętrznego w Gminie Olecko KWESTIONARIUSZ SAMOOCENY I. ORGANIZACJA

Bardziej szczegółowo

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO Załącznik nr 1 do Zarządzenia nr 13/09 Burmistrza Miasta Hajnówka z dnia 30 stycznia 2009 r. KARTA AUDYTU WEWNĘTRZNEGO 1. Nazwa JSFP Urząd Miasta Hajnówka zwany dalej Jednostką. 2. Adres Jednostki 17-200

Bardziej szczegółowo

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r.

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r. Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r. w sprawie wprowadzenia Regulaminu audytu wewnętrznego Politechniki Lubelskiej Na podstawie art. 66 Ustawy z dnia 27 lipca

Bardziej szczegółowo

Komunikat nr 115 z dnia 12.11.2012 r.

Komunikat nr 115 z dnia 12.11.2012 r. Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Audity wewnętrzne. Dokument dostępny w sieci kopia nadzorowana, wydruk kopia informacyjna.

Audity wewnętrzne. Dokument dostępny w sieci kopia nadzorowana, wydruk kopia informacyjna. Strona: 2 z 6 1. Cel działania. Nadrzędnym celem Urzędu Marszałkowskiego zgodnie z przyjętą polityką jakości jest zapewnienie sprawnej i profesjonalnej obsługi administracyjnej klientów. W związku z powyższym

Bardziej szczegółowo

Zastosowanie symulacji Monte Carlo do zarządzania ryzykiem przedsięwzięcia z wykorzystaniem metod sieciowych PERT i CPM

Zastosowanie symulacji Monte Carlo do zarządzania ryzykiem przedsięwzięcia z wykorzystaniem metod sieciowych PERT i CPM SZKOŁA GŁÓWNA HANDLOWA w Warszawie STUDIUM MAGISTERSKIE Kierunek: Metody ilościowe w ekonomii i systemy informacyjne Karol Walędzik Nr albumu: 26353 Zastosowanie symulacji Monte Carlo do zarządzania ryzykiem

Bardziej szczegółowo

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji

Bardziej szczegółowo

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki 17-100 Bielsk Podlaski, Kopernika 1

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki 17-100 Bielsk Podlaski, Kopernika 1 Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO 1. Nazwa JSFP Urząd Miasta zwany dalej Jednostką 2. Adres Jednostki 17-100 Bielsk Podlaski, Kopernika 1 3. Podstawa

Bardziej szczegółowo

Karta audytu wewnętrznego

Karta audytu wewnętrznego Załącznik nr 1 do Zarządzenia Nr 0050.149.2015 Burmistrza Miasta Lędziny z dnia 08.07.2015 Karta audytu wewnętrznego 1. Karta audytu wewnętrznego określa: cel oraz zakres audytu wewnętrznego; zakres niezależności

Bardziej szczegółowo

REGULAMIN audytu wewnętrznego Akademii Rolniczej we Wrocławiu

REGULAMIN audytu wewnętrznego Akademii Rolniczej we Wrocławiu REGULAMIN audytu wewnętrznego Akademii Rolniczej we Wrocławiu 1 1. Audytem wewnętrznym jest ogół działań, przez które rektor kierujący uczelnią uzyskuje obiektywną i niezależną ocenę funkcjonowania uczelni

Bardziej szczegółowo

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego Na podstawie art. 50 ust. 1 ustawy z dnia 30 czerwca 2005r. o finansach

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Normy ISO serii 9000 Zostały uznane za podstawę wyznaczania standardów zarządzania jakością Opublikowane po raz

Bardziej szczegółowo

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika

Bardziej szczegółowo

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ Załącznik Nr 3 Do Zarządzenia Nr 56/10 STAROSTY KOSZALIŃSKIEGO z dnia 1 października 2010 r. SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ W STAROSTWIE POWIATOWYM W KOSZALINIE Do sporządzenia samooceny wykorzystano

Bardziej szczegółowo

System Kontroli Wewnętrznej w Banku BPH S.A.

System Kontroli Wewnętrznej w Banku BPH S.A. System Kontroli Wewnętrznej w Banku BPH S.A. Cel i elementy systemu kontroli wewnętrznej 1. System kontroli wewnętrznej umożliwia sprawowanie nadzoru nad działalnością Banku. System kontroli wewnętrznej

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie

Bardziej szczegółowo

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015 Wykorzystanie elementów systemu EMAS w SZŚ według ISO 14001:2015 dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP Agenda Elementy SZŚ według EMAS (Rozporządzenie UE 1221/2009) i odpowiadające im

Bardziej szczegółowo

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy. ANKIETA / KWESTIONARIUSZ DLA JEDNOSTEK PODLEGŁYCH / NADZOROWANYCH PRZEZ MINISTRA NAUKI I SZKOLNICTWA WYŻSZEGO W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ Kontrola zarządcza stanowi ogół działań

Bardziej szczegółowo

ISTOTNYCH. o COBIT 5

ISTOTNYCH. o COBIT 5 ISTOTNYCH 5FAKTÓW o COBIT 5 Informacja jest kluczowym zasobem wszystkich organizacji. Od momentu powstania informacji do jej zniszczenia, technologie informatyczne odgrywają znaczącą rolę w jej przetwarzaniu

Bardziej szczegółowo

Zarządzenie Nr 26/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 23 grudnia 2011 roku

Zarządzenie Nr 26/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 23 grudnia 2011 roku Zarządzenie Nr 26/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 23 grudnia 2011 roku w sprawie wprowadzenia Karty Audytu Wewnętrznego w Uniwersytecie Kazimierza Wielkiego oraz Programu zapewniania

Bardziej szczegółowo

Maciej Oleksy Zenon Matuszyk

Maciej Oleksy Zenon Matuszyk Maciej Oleksy Zenon Matuszyk Jest to proces związany z wytwarzaniem oprogramowania. Jest on jednym z procesów kontroli jakości oprogramowania. Weryfikacja oprogramowania - testowanie zgodności systemu

Bardziej szczegółowo

Projekt pn Wdrożenie metodyk zarządzania usługami IT, projektami i programami w Urzędzie Miasta Bydgoszczy

Projekt pn Wdrożenie metodyk zarządzania usługami IT, projektami i programami w Urzędzie Miasta Bydgoszczy Projekt pn Wdrożenie metodyk zarządzania usługami IT, projektami i programami w Urzędzie Miasta Bydgoszczy współfinansowany ze środków Mechanizmu Finansowego Europejskiego Obszaru Gospodarczego. Marek

Bardziej szczegółowo

EUROPEJSKI.* * NARODOWA STRATEGIA SPÓJNOŚCI FUNDUSZ SPOŁECZNY * **

EUROPEJSKI.* * NARODOWA STRATEGIA SPÓJNOŚCI FUNDUSZ SPOŁECZNY * ** 1 * 1 UNZA EUROPEJSKA KAPITAŁ LUDZKI.* * FUNDUSZ SPOŁECZNY * ** administracji samorządowej", Poddziałanie 5.2.1 Modernizacja zarządzania w administracji samorządowej" W PIHZ l.dane Klienta: RAPORT Z AUDITU

Bardziej szczegółowo

Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa. Robert Kępczyński Senior Consultant

Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa. Robert Kępczyński Senior Consultant Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa Robert Kępczyński Senior Consultant Mechanizm bezpieczeństwa zawsze jest kompromisem " Akceptowalne ryzyko Skomplikowanie Dłuższy czas reakcji

Bardziej szczegółowo

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku w sprawie wprowadzenia Karty Audytu Wewnętrznego w Urzędzie Miasta w Tomaszowie Mazowieckim. Na podstawie art.

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Karta Audytu Wewnętrznego. w Urzędzie Miejskim w Wyszkowie. i jednostkach organizacyjnych

Karta Audytu Wewnętrznego. w Urzędzie Miejskim w Wyszkowie. i jednostkach organizacyjnych Karta Audytu Wewnętrznego w Urzędzie Miejskim w Wyszkowie i jednostkach organizacyjnych SPIS TREŚCI I. Przepisy ogólne... 3 II. Ogólne cele i zasady audytu wewnętrznego... 3 III. Prawa i obowiązki Audytora

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

Korzyści wynikające z wdrożenia systemu zarządzania jakością w usługach medycznych.

Korzyści wynikające z wdrożenia systemu zarządzania jakością w usługach medycznych. Norma PN-EN ISO 9001:2009 System Zarządzania Jakością w usługach medycznych Korzyści wynikające z wdrożenia systemu zarządzania jakością w usługach medycznych. www.isomed.pl Grzegorz Dobrakowski Uwarunkowania

Bardziej szczegółowo

AKSES - SYSTEM AKREDYTACJI I STANDARDÓW DZIAŁANIA INSTYTUCJI WSPARCIA EKONOMII SPOŁECZNEJ PODSUMOWANIE ETAPU TESTOWANIA

AKSES - SYSTEM AKREDYTACJI I STANDARDÓW DZIAŁANIA INSTYTUCJI WSPARCIA EKONOMII SPOŁECZNEJ PODSUMOWANIE ETAPU TESTOWANIA AKSES - SYSTEM AKREDYTACJI I STANDARDÓW DZIAŁANIA INSTYTUCJI WSPARCIA EKONOMII SPOŁECZNEJ PODSUMOWANIE ETAPU TESTOWANIA dr Maciej Frączek Małopolska Szkoła Administracji Publicznej Uniwersytetu Ekonomicznego

Bardziej szczegółowo

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku w sprawie Karty Audytu Wewnętrznego Zespołu Audytu Wewnętrznego Uniwersytetu Warmińsko-Mazurskiego

Bardziej szczegółowo

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH SPIS TREŚCI O autorach 11 Od autorów 13 Bezpieczeństwo systemów informatycznych 15 Wprowadzenie do bezpieczeństwa systemów

Bardziej szczegółowo

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 28 września 2015 r. Poz. 1480 ROZPORZĄDZENIE MINISTRA FINANSÓW z dnia 4 września 2015 r. w sprawie audytu wewnętrznego oraz informacji o pracy i

Bardziej szczegółowo

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości

Bardziej szczegółowo

Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Szczucinie

Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Szczucinie Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Szczucinie (będące częścią Polityki zgodności stanowiącej integralną część Polityk w zakresie zarządzania ryzykami w Banku Spółdzielczym w

Bardziej szczegółowo

Zwrot z inwestycji w IT: prawda czy mity

Zwrot z inwestycji w IT: prawda czy mity Zwrot z inwestycji w IT: prawda czy mity Inwestycje w technologie IT 1 muszą podlegać takim samym regułom oceny, jak wszystkie inne: muszą mieć ekonomiczne uzasadnienie. Stanowią one koszty i jako takie

Bardziej szczegółowo

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie

Bardziej szczegółowo

Przedmowa... 7 1. System zarządzania jakością w przygotowaniu projektów informatycznych...11

Przedmowa... 7 1. System zarządzania jakością w przygotowaniu projektów informatycznych...11 Spis treści Przedmowa... 7 1. System zarządzania jakością w przygotowaniu projektów informatycznych...11 1.1. Wprowadzenie...11 1.2. System zarządzania jakością...11 1.3. Standardy jakości w projekcie

Bardziej szczegółowo

DOLNY ŚLĄSK. Strony internetowe

DOLNY ŚLĄSK. Strony internetowe TRUDNOŚCI 1. Zasadniczo największą trudnością przy realizowaniu tego typu zadania jest brak jakiegokolwiek wzorca czy przepisu, na podstawie którego można przygotować się do jego wykonania. 2. Od początku

Bardziej szczegółowo

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ.

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ. Zał. do zarządzenia Prezesa NFZ Nr 6 /2006 z dnia 5 września 2006 r. REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA I. Ogólne zasady i cele audytu wewnętrznego 1. Celem przeprowadzania audytu

Bardziej szczegółowo

Statystyczne sterowanie procesem

Statystyczne sterowanie procesem Statystyczne sterowanie procesem SPC (ang. Statistical Process Control) Trzy filary SPC: 1. sporządzenie dokładnego diagramu procesu produkcji; 2. pobieranie losowych próbek (w regularnych odstępach czasu

Bardziej szczegółowo

HARMONOGRAM SZKOLENIA

HARMONOGRAM SZKOLENIA Materiały Tytuł Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 Zagadnienie do przerobienia Materiały do przeglądnięcia CZĘŚĆ 1 1. Wymagania dla systemu ISMS wg ISO/IEC 27001

Bardziej szczegółowo

Audyty systemów zarządzania i kontroli oraz audyty operacji

Audyty systemów zarządzania i kontroli oraz audyty operacji Audyty systemów zarządzania i kontroli oraz audyty operacji Audyty systemów zarządzania i kontroli Wytyczne Komisji Europejskiej dotyczące wspólnej metodyki oceny systemów zarządzania i kontroli w państwach

Bardziej szczegółowo

0cena efektywności pomocy udzielanej uczniowi. Opracowała mgr Jadwiga Bargieł

0cena efektywności pomocy udzielanej uczniowi. Opracowała mgr Jadwiga Bargieł 0cena efektywności pomocy udzielanej uczniowi Opracowała mgr Jadwiga Bargieł Celem udzielanej przez nas uczniowi pomocy psychologiczno pedagogicznej jest rozpoznawanie jego możliwości psychofizycznych

Bardziej szczegółowo

Podejście procesowe do audytów PKJPA. Szkolenia do audytu PKJPA 2009

Podejście procesowe do audytów PKJPA. Szkolenia do audytu PKJPA 2009 Podejście procesowe do audytów PKJPA Szkolenia do audytu PKJPA 2009 Agenda 1. Wprowadzenie do nowej formuły audytu 2. Struktura i sposób tworzenia dokumentacji Struktura dokumentacji, poziomy dokumentacji

Bardziej szczegółowo

Plan kontroli zarządczej na rok 2012 dla Urzędu Gminy Pruszcz Gdański w Pruszczu Gdańskim. Planowa na wartość

Plan kontroli zarządczej na rok 2012 dla Urzędu Gminy Pruszcz Gdański w Pruszczu Gdańskim. Planowa na wartość Plan kontroli zarządczej na rok 2012 dla Urzędu Gminy Pruszcz Gdański w Pruszczu Gdańskim Lp. CEL Nazwa 1. Przejrzysty proces zatrudniana zapewniający wybór najlepszego kandydata na dane stanowisko Wskaźnik

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

COBIT 5 WHITE PAPER WSTĘP

COBIT 5 WHITE PAPER WSTĘP COBIT 5 1 CTPartners 2014 Dokument stanowi przedmiot prawa autorskiego przysługującego CTPartners S.A. z siedzibą w Warszawie. Zwielokrotnianie i rozpowszechnianie publikacji jest dozwolone wyłącznie za

Bardziej szczegółowo

KARTA OCENY MERYTORYCZNEJ WNIOSKU O DOFINANSOWANIE PROJEKTU POZAKONKURSOWEGO

KARTA OCENY MERYTORYCZNEJ WNIOSKU O DOFINANSOWANIE PROJEKTU POZAKONKURSOWEGO Załącznik nr 4 Karta oceny merytorycznej wniosku o dofinansowanie projektu pozakonkursowego w ramach RPO WP 2014-2020. KARTA OCENY MERYTORYCZNEJ WNIOSKU O DOFINANSOWANIE PROJEKTU POZAKONKURSOWEGO W RAMACH

Bardziej szczegółowo

Dobre Praktyki Komitetów Audytu w Polsce

Dobre Praktyki Komitetów Audytu w Polsce Dobre Praktyki Komitetów Audytu w Polsce WPROWADZENIE Niniejsze Dobre praktyki komitetów audytu odzwierciedlają najlepsze międzynarodowe wzory i doświadczenia w spółkach publicznych. Nie jest to zamknięta

Bardziej szczegółowo

REGULAMIN MONITORINGU I EWALUACJI PROJEKTU DZIELNICOWA AKADEMIA UMIEJĘTNOŚCI

REGULAMIN MONITORINGU I EWALUACJI PROJEKTU DZIELNICOWA AKADEMIA UMIEJĘTNOŚCI REGULAMIN MONITORINGU I EWALUACJI PROJEKTU DZIELNICOWA AKADEMIA UMIEJĘTNOŚCI WSPÓŁFINANSOWANEGO ZE ŚRODKÓW UNII EUROPEJSKIEJ W RAMACH PROGRAMU OPERACYJNEGO KAPITAŁ LUDZKI realizowanego w okresie 1 września

Bardziej szczegółowo

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO Załącznik Nr 1 do Zarządzenia Starosty Suskiego Nr 35/2010 z dnia 30 lipca 2010 r. KARTA AUDYTU WEWNĘTRZNEGO Rozdział 1 Postanowienia ogólne 1 Karta audytu wewnętrznego reguluje funkcjonowanie audytu wewnętrznego

Bardziej szczegółowo

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting

Bardziej szczegółowo

Biznes plan innowacyjnego przedsięwzięcia

Biznes plan innowacyjnego przedsięwzięcia Biznes plan innowacyjnego przedsięwzięcia 1 Co to jest biznesplan? Biznes plan można zdefiniować jako długofalowy i kompleksowy plan działalności organizacji gospodarczej lub realizacji przedsięwzięcia

Bardziej szczegółowo

Launch. przygotowanie i wprowadzanie nowych produktów na rynek

Launch. przygotowanie i wprowadzanie nowych produktów na rynek Z przyjemnością odpowiemy na wszystkie pytania. Prosimy o kontakt: e-mail: kontakt@mr-db.pl tel. +48 606 356 999 www.mr-db.pl MRDB Szkolenie otwarte: Launch przygotowanie i wprowadzanie nowych produktów

Bardziej szczegółowo

Zasady ładu korporacyjnego w Banku Spółdzielczym w Sierpcu

Zasady ładu korporacyjnego w Banku Spółdzielczym w Sierpcu Załącznik do Uchwały nr 60/2014 Rady Nadzorczej Banku Spółdzielczego w Sierpcu z dnia 01 grudnia 2014 roku Załącznik do Uchwały nr 20/2014 Zarządu Banku Spółdzielczego w Sierpcu z dnia 04 grudnia 2014

Bardziej szczegółowo

Akredytacja do celów rozporządzenia nr 402/2013. Krzysztof Woźniak

Akredytacja do celów rozporządzenia nr 402/2013. Krzysztof Woźniak Akredytacja do celów rozporządzenia nr 402/2013 Krzysztof Woźniak Rozporządzenie Komisji (UE) nr 402/2013 Rozporządzenie wykonawcze Komisji (UE) nr 402/2013 z dnia 30 kwietnia 2013 r. w sprawie wspólnej

Bardziej szczegółowo

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU SPIS TREŚCI: ROZDZIAŁ I... 3 POSTANOWIENIA OGÓLNE... 3 ROZDZIAŁ II... 6 KONTROLA INSTYTUCJONALNA PROWADZONA

Bardziej szczegółowo

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008 Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź z dnia 09.05. 2008 w sprawie : wprowadzenia procedury Identyfikacji zagrożeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Miasta Czeladź

Bardziej szczegółowo

Polityka przestrzegania Zasad ładu korporacyjnego. w Banku Spółdzielczym w Szczuczynie

Polityka przestrzegania Zasad ładu korporacyjnego. w Banku Spółdzielczym w Szczuczynie Załącznik do uchwały Zarządu Banku Spółdzielczego w Szczuczynie Nr 79/2014 z dnia 12.12.2014r. Załącznik do uchwały Rady Nadzorczej Banku Spółdzielczego w Szczuczynie Nr 51/2014 z dnia 12.12.2014r. Polityka

Bardziej szczegółowo

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Postanowienia ogólne 1 1. Kontrolę zarządczą w PUP stanowi ogół działań podejmowanych dla zapewnienia

Bardziej szczegółowo

APN Promise SA. Przygotowane przez: Grzegorza Gmyrka. Audyt oprogramowania, Microsoft Software Asset Management Services Program

APN Promise SA. Przygotowane przez: Grzegorza Gmyrka. Audyt oprogramowania, Microsoft Software Asset Management Services Program APN Promise SA Audyt oprogramowania, Microsoft Software Asset Management Services Program Przygotowane przez: Grzegorza Gmyrka 2013 Zawartość dokumentu Usługi audytorskie Promise: Software Asset Management

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

Zasady kontroli w ramach PO KL

Zasady kontroli w ramach PO KL Zasady kontroli w ramach PO KL 2007-2013 obowiązujące od 1.01.2011 KONTROLA NA MIEJSCU (w siedzibie beneficjenta) Weryfikowane obszary: 1. Prawidłowość rozliczeń finansowych; 2. Kwalifikowlaność wydatków

Bardziej szczegółowo

MIÊDZYNARODOWY STANDARD REWIZJI FINANSOWEJ 520 PROCEDURY ANALITYCZNE SPIS TREŒCI

MIÊDZYNARODOWY STANDARD REWIZJI FINANSOWEJ 520 PROCEDURY ANALITYCZNE SPIS TREŒCI MIÊDZYNARODOWY STANDARD REWIZJI FINANSOWEJ 520 PROCEDURY ANALITYCZNE (Stosuje siê przy badaniu sprawozdañ finansowych sporz¹dzonych za okresy rozpoczynaj¹ce siê 15 grudnia 2009 r. i póÿniej) Wprowadzenie

Bardziej szczegółowo

Zasady i tryb przeprowadzania audytu wewnętrznego w Politechnice Warszawskiej

Zasady i tryb przeprowadzania audytu wewnętrznego w Politechnice Warszawskiej Załącznik nr 1 do Zarządzenia Nr 2 Rektora PW z dnia 25 stycznia 2006 r. Zasady i tryb przeprowadzania audytu wewnętrznego w Politechnice Warszawskiej Rozdział 1 Wstęp 1. Celem Zasad i trybu przeprowadzania

Bardziej szczegółowo

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje Załącznik do Zarządzenia nr 70/2015 Rektora UEP z dnia 27 listopada 2015 roku Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu 1 Definicje Określenia użyte w Polityce zarządzania

Bardziej szczegółowo

Projekt: Szansa drzemie w zmianie nowoczesne ZZL

Projekt: Szansa drzemie w zmianie nowoczesne ZZL Projekt współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Projekt: Szansa drzemie w zmianie nowoczesne ZZL Opis szkoleń planowanych do realizacji w ramach projektu

Bardziej szczegółowo

Przygotowanie dokumentacji projektu UE do kontroli 0 801 2727 24 (22 654 09 35)

Przygotowanie dokumentacji projektu UE do kontroli 0 801 2727 24 (22 654 09 35) Przygotowanie dokumentacji projektu UE do kontroli 0 801 2727 24 (22 654 09 35) Kontrola Kontrola jest podstawowym działaniem przeprowadzanym zarówno przez Instytucję Zarządzającą, Instyrucję Pośredniczącą

Bardziej szczegółowo

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013 Wartość audytu wewnętrznego dla organizacji Warszawa, 11.03.2013 Informacje o Grupie MDDP Kim jesteśmy Jedna z największych polskich firm świadczących kompleksowe usługi doradcze 6 wyspecjalizowanych linii

Bardziej szczegółowo

1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ

1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ 1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ Po zapoznaniu się z Komunikatem Nr 23 Ministra Finansów z dnia 16 grudnia 2009r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz.

Bardziej szczegółowo

Karta audytu Uniwersytetu Śląskiego w Katowicach

Karta audytu Uniwersytetu Śląskiego w Katowicach Załącznik do zarządzenia Rektora UŚ nr 38 z dnia 28 lutego 2012 r. Uniwersytet Śląski w Katowicach Zatwierdzam: Rektor Uniwersytetu Śląskiego Karta audytu Uniwersytetu Śląskiego w Katowicach Katowice,

Bardziej szczegółowo

ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE

ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE Załącznik nr 1 do Uchwały Zarządu Banku z dnia 18.12.2014r Załącznik nr 1 do Uchwały Rady Nadzorczej z dnia 18.12.2014r ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE Głogów, 2014r W Banku

Bardziej szczegółowo

Zmiany w normie ISO 19011

Zmiany w normie ISO 19011 Zmiany w normie ISO 19011 Tomasz Kloze Polskie Centrum Badań i Certyfikacji S. A. Jak powstawała nowa ISO 19011 Styczeń 2007 początek formalnego procesu przeglądu normy ISO 19011 Sformułowanie podstawowych

Bardziej szczegółowo

RAPORT Z POLSKIEGO BADANIA PROJEKTÓW IT 2010

RAPORT Z POLSKIEGO BADANIA PROJEKTÓW IT 2010 RAPORT Z POLSKIEGO BADANIA PROJEKTÓW IT 2010 Odpowiada na pytania: Jaka część projektów IT kończy się w Polsce sukcesem? Jak wiele projektów sponsorowanych jest przez instytucje publiczne? Czy kończą się

Bardziej szczegółowo

Kwestia procesu / podziału odpowiedzialności w zakresie odpowiedzialności za księgi pomocnicze

Kwestia procesu / podziału odpowiedzialności w zakresie odpowiedzialności za księgi pomocnicze Kwestia procesu / podziału odpowiedzialności w zakresie odpowiedzialności za księgi pomocnicze Polska Izba Ubezpieczeń Seminarium w sprawie rachunkowości 26 listopada 2013 roku Agenda Otoczenie regulacyjne

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Monika Kos, radca ministra Departament Polityki Wydatkowej Warszawa, 13 stycznia 2015 r. Program prezentacji

Bardziej szczegółowo

Bank Spółdzielczy w Augustowie. Zasady Ładu Korporacyjnego dla instytucji nadzorowanych

Bank Spółdzielczy w Augustowie. Zasady Ładu Korporacyjnego dla instytucji nadzorowanych Załącznik do uchwały Zarządu Nr 81 z dnia 16.12.2014r. Załącznik do uchwały Rady Nadzorczej Nr 29 z dnia 17.12.2014r. Bank Spółdzielczy w Augustowie Zasady Ładu Korporacyjnego dla instytucji nadzorowanych

Bardziej szczegółowo

Powody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO 9001. Mariola Witek

Powody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO 9001. Mariola Witek Powody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO 9001 Mariola Witek Przedmiot wykładu 1.Rozwój systemów zarządzania jakością (SZJ) 2.Potrzeba posiadania formalnych SZJ 3.Korzyści

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo