Proces audytu systemów informatycznych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Proces audytu systemów informatycznych"

Transkrypt

1 Proces audytu systemów informatycznych 1. Zarządzanie złożonością problemu Prowadzenie audytu systemów informatycznych jest procesem bardzo złożonym. Poczynając od planowania badania, poprzez zebranie wystarczających dowodów, tworzenie bieżąco dokumentacji audytowej, a kończąc na przekazaniu rekomendacji w raporcie końcowym, audytor podejmuje profesjonalne osądy. Aby podejmowane przez niego decyzje były trafne, konieczne jest zrozumienie kompleksowości badanego systemu, poziomu istotności z punktu widzenia celów audytowych oraz uwzględnienia odpowiednich typów ryzyka. Pierwszym krokiem w zrozumieniu kompleksowości systemu 1 jest jego podział na podsystemy(moduły). Podsystem należy rozumieć jako logiczny komponent głównego systemu, który wykonuje określone funkcje na rzecz systemu głównego. Proces dekompozycji systemu w podsystemy nazywany jest faktoryzacją(ang. factoring). Faktoryzacja jest procesem, który kończy się w momencie uzyskania podsystemów wystarczająco szczegółowych tak, aby mogły odrębnie zostać poddane badaniu. Istnieje wiele metod wykorzystywanych podczas faktoryzacji systemu poddawanego badaniu. W ujęciu ogólnym podział dokonywany jest w oparciu o strukturę organizacyjną przedsiębiorstwa(ang. managerial functions). Poszczególne podsystemy uzyskiwane w wyniku dekompozycji, korespondują z hierarchią organizacji wykorzystywaną podczas zarządzania technologią informatyczną(tabela 1). W ujęciu szczegółowym uwzględnia się elementy systemu poddawanego badaniu, klasyfikując je ze względu na realizowane przez niego funkcje. Można zatem wyróżnić podsystemy poprzez elementy brzegowe, wejściowe, komunikacyjne, przetwarzające itd. Charakterystykę poszczególnych podsystemów w ujęciu szczegółowym prezentuje tabela 2. 1 Szczególnie w przypadku zintegrowanych systemów informatycznych. Mariusz Zarzycki, 1

2 Tabela 1. Główne rodzaje podsystemów w oparciu o strukturę organizacyjną Podsystem zarządzania. Charakterystyka podsystemu. Zarząd (ang. Top Management) Zarządzanie systemami informacyjnymi (ang. Information systems management) Zarządzanie rozwojem systemów (ang. Systems development management) Zarządzanie programowaniem (ang. Programming management) Administrowanie danymi (ang. Data administration) Zarządzanie zapewnieniem jakości (ang. Quality assurance management) Zarządzanie bezpieczeństwem (ang. Security administration) Zarządzanie operacjami Zarząd musi zapewnić, aby systemy informacyjne były poprawnie zarządzane. Jest on odpowiedzialny przede wszystkim za długoterminowe decyzje dotyczące tego, jak systemy informacyjne będą wykorzystane w organizacji. Rozumiane jako ogólna odpowiedzialność za planowanie i kontrolę wszelkich czynności wykonywanych przez system informacyjny. W praktyce przekłada się na dekompozycję długofalowych planów zarządu na krótkoterminowe cele do realizacji. Rozumiane jako odpowiedzialność za projektowanie, implementację i utrzymanie systemów informatycznych. Rozumiane jako odpowiedzialność za programowanie nowych systemów, utrzymanie starych oraz ogólne wsparcie programowe. Planowanie i kontrola aspektów związanych z kontrolą danych. Zapewnienie odpowiednio wysokich standardów w stosunku do rozwoju, implementacji, przetwarzania i utrzymania systemów. Kontrola dostępu i fizyczne bezpieczeństwo związane z informacyjną funkcją systemu. Rozumiane jako odpowiedzialność za planowanie i kontrolę codziennych operacji zachodzących w systemach. (ang. Operations management) Źródło: Opracowanie własne na podstawie Weber R., Information Systems Control and Audit, Prentice Hall, NJ 1999, s. 39. W następnej kolejności, audytor zmuszony jest zidentyfikować wszystkie zdarzenia zachodzące w danym podsystemie. Szczególną uwagę należy zwrócić na zdarzenia niecelowe, którym podczas badania należy dokładnie się przyjrzeć. W celu identyfikacji tych zdarzeń, należy w przypadku: ujęcia ogólnego podjąć decyzję co do określonych funkcji, jakie powinny być realizowane w ramach danego podsystemu; ujęcia szczegółowego dokładnie zapoznać się z przebiegiem transakcji; często wykorzystywane są tutaj walk-through techniques, które identyfikują elementarne składniki podsystemu, biorące udział w przetwarzaniu transakcji z jednoczesnym, dogłębnym zrozumieniem procesów zachodzących w danym elemencie podsystemu. Po dokonaniu wystarczająco szczegółowej faktoryzacji, audytor musi dokonać oceny istotności 2. Sprowadza się to do ustalenia, co z punktu widzenia celów audytowych jest istotne, a co nie. Ocena istotności umożliwia określenie priorytetów prac i zwiększenie efektywności audytu. Obejmuje ona rozważenie wywieranego na organizację wpływu 2 Różnica w określania istotności w zależności od rodzaju audytu została zasygnalizowana w rozdziale drugim. Mariusz Zarzycki, 2

3 błędów, zaniedbań, nieprawidłowości lub czynów niedozwolonych, które mogą wyniknąć ze słabości kontroli w audytowanym obszarze 3. Tabela 2. Elementy, wedle których identyfikuje się podsystemy w ujęciu szczegółowym Rodzaj elementu. Charakterystyka podsystemu. Elementy brzegowe(ang. Boundary) Elementy wejściowe(ang. Input) Elementy komunikacyjne(ang. Communications) Elementy przetwarzające(ang. Processing) Baza danych(ang. Database) Elementy wyjściowe(ang. Output) Podsystem zawierający komponenty, które stanowią interfejs pomiędzy użytkownikiem a systemem. Podsystem zawierający komponenty, które biorą udział w przygotowywaniu, wprowadzaniu komend i danych do systemu. Podsystem zawierający komponenty, które transmitują dane pomiędzy podsystemem a systemem głównym. Podsystem zawierający komponenty wykorzystywane do podejmowania decyzji, obliczeń, klasyfikacji, zamówień, podsumowań danych w systemie. Podsystem zawierający komponenty, które definiują, dodają, udzielają dostępu, modyfikują i kasują dane z systemu. Podsystem zawierający komponenty, które odbierają oraz prezentują dane użytkownikom systemu. Źródło: Opracowanie własne na podstawie Weber R., Information Systems Control and Audit, Prentice Hall, NJ 1999, s Podczas oceny istotności należy rozważyć 4 : możliwy do zaakceptowania przez kierownictwo, audytora i odpowiednie organy nadzorcze poziom błędów, zdolność do kumulowania się małych błędów i słabości(tworzenie tzw. efektu kumulatywnego). Planując prace audytowe należy określić cele kontrolne i opierając się na istotności ustalić, które mechanizmy kontrolne powinny być poddane badaniu. W przypadku audytu informatycznego(choć nie tylko) mamy do czynienia z dwoma rodzajami ryzyka. Pierwsze z nich(ryzyko w ujęciu ogólnym) skojarzone jest z audytowanym obszarem i zostało omówione wcześniej. Drugi rodzaj ryzyka skojarzony jest z możliwością fałszywego wyciągnięcia wniosków na skutek subiektywnego osądu, jakiego w badaniu dokonuje audytor. Ten drugi rodzaj ryzyka nazywany jest ryzykiem audytu, na który składają się elementy zaprezentowane na poniższym rysunku. 3 Forystek M., op.cit., s Forystek M., op.cit., s Mariusz Zarzycki, 3

4 Ryzyko audytu (ang. audit risk) Rysunek 1. Elementy wchodzące w skład modelu ryzyka audytu. = Ryzyko nieodłączne(wewnętrzne) (ang. inherent risk) Prawdopodobieństwo wystąpienia strat materialnych lub oszustw wewnątrz środowiska organizacji. X Ryzyko kontroli (ang. control risk) Prawdopodobieństwo, że system kontroli wewnętrznej nie wykryje na czas błędów. X Ryzyko niewykrycia, (przeoczenia) (ang. detection risk) Prawdopodobieństwo, że zastosowane procedury audytowe nie ujawnią błędu, który może mieć istotny wpływ na analizowany obszar. Źródło: Opracowanie własne na podstawie Hunton J.E., Bryant S.M., Bagranoff N.A., Core Concepts of Information Technology Auditing, Wiley, 2004, s. 49. M. Forystek 5 przedstawia definicję ryzyka nieodłącznego, stwierdzając, iż jest to podatność na wystąpienie istotnego błędu, który sam lub w połączeniu z innymi błędami będzie miał istotny wpływ na analizowany obszar, przy braku mechanizmów kontrolnych. Podczas rozważania ryzyka nieodłącznego należy wziąć, według autora, pod uwagę następujące kwestie: wyniki oraz daty poprzednich audytów w danym obszarze, poziom skomplikowania systemów, podatność na utratę lub sprzeniewierzenie aktywów kontrolowanych przez system, sytuacje, różniące się od codziennych działań, związanych z przetwarzaniem danych(np. użycie systemów operacyjnych do wprowadzania zmian do danych). Oceniając ryzyko nieodłączne, audytorzy biorą pod uwagę czynniki widoczne w najbliższym otoczeniu danej organizacji, tj. branży, rodzaju zarządzania. Dla poszczególnych segmentów uwzględniane mogą być analizy systemów rachunkowości, systemów strategicznych, systemów, w których zachodzą krytyczne operacje czy najbardziej zaawansowanych technologicznie systemów 6. Oceniając ryzyko kontroli związane z danym segmentem audytu, poddaje się pod rozwagę wiarygodność oraz skuteczność mechanizmów kontrolnych występujących zarówno po stronie systemów zarządzania, jak i programów komputerowych 7. Dopóki odpowiednie mechanizmy kontrolne nie zostaną jednoznacznie zidentyfikowane jako efektywne, ryzyko kontroli należy traktować jako wysokie. Wysoki poziom ryzyka wewnętrznego oraz ryzyka kontroli narzuca audytorowi konieczność zgromadzenia odpowiedniej ilości dowodów audytowych. 5 Forystek M., op.cit., s Porównaj tabela Weber R., Information Systems Control and Audit, Prentice Hall, NJ 1999, s Analogia do przeprowadzanej wcześniej faktoryzacji. Mariusz Zarzycki, 4

5 Ryzyko niewykrycia jest odwrotnie proporcjonalne do wypadkowej ryzyka nieodłącznego i ryzyka kontroli. Na przykład, jeżeli poziom ryzyka nieodłącznego i ryzyka kontroli jest wysoki, to aby ograniczyć ryzyko badania do akceptowalnego, niskiego poziomu, poziom akceptowalnego ryzyka przeoczenia powinien być niski. 2. Etapy procesu audytowego W literaturze przedmiotu można spotkać się z wieloma podejściami dotyczącymi stricte procesu audytowego. Stowarzyszenie do Spraw Audytu i Kontroli Systemów Informatycznych ISACA 8 proponuje uwzględnić w procesie audytu informatycznego cztery główne kroki, w skład których wchodzą między innymi następujące zadania do wykonania: szacowanie ryzyka i wstępne planowanie audytu, zapoznanie się z audytowanym obszarem(zrozumienie natury procesów i ryzyka poprzez wywiady i pozyskanie odpowiednich dokumentów), szczegółowe planowanie audytu, przeprowadzenie szczegółowych prac audytowych, ocena zaplanowanych, przewidzianych mechanizmów kontrolnych pod kątem ich adekwatności w stosunku do potrzeb, ocena zgodności zastanej praktyki z planami i przewidywaniami, przygotowanie i prezentacja raportu. J.E Hunton, S.M. Bryant, N.A. Bagranoff 9 wymieniają w procesie audytowym takie kroki, jak: planowanie, szacowanie ryzyka, przygotowanie programu audytowego, zbieranie dowodów, formułowanie konkluzji oraz dostarczanie opinii poaudytowej. Weber R. 10 analogicznie, traktuje, proces audytowy jako sekwencję konkretnych kroków do wykonania(patrz schemat blokowy przedstawiony na rysunku 2) ISACA Audit Guidelines [cit ], 9 Hunton J.E, Bryant S.M., Bagranoff N.A., op.cit., s Weber.R., op.cit., s Niektóre z elementów dotycząc stricte audytu finansowego, np. ograniczone testy dowodowe. Mariusz Zarzycki, 5

6 Rysunek 2. Schemat blokowy reprezentujący proces audytowy według Webera Źródło: Opracowanie własne na podstawie Weber R., Information Systems Control and Audit, Prentice Hall, NJ 1999, s. 48. W ogólnym uproszczeniu audyt można traktować jako proces składający się z poniższych etapów: przygotowania do badania, które uwzględnia w sobie m.in. planowanie badania oraz opracowanie programu audytowego, przeprowadzanie badania, uwzględniającego m.in. wszelkiego rodzaju testy mechanizmów kontrolnych, przedstawienie raportu końcowego z wykonanej pracy. Mariusz Zarzycki, 6

7 2.1. Przygotowanie do badania Standardy audytowania systemów informatycznych ISACA 12, opisane wcześniej, stanowią, iż audytor systemów informatycznych ma za zadanie opracować plan pracy audytu systemów informatycznych w sposób zapewniający realizację celów audytu przy zachowaniu zgodności z ogólnie panującymi standardami audytowania. W standardzie dokładnie precyzuje się fazę planowania jako zadanie składające się z : ustanowienia zakresu i celów badania z punktu widzenia pracy audytora, wykonania wstępnego oszacowania mechanizmów kontrolnych pod kątem zastosowania w procesach poddawanych audytowi, zrozumienia organizacji, tj, zgromadzenia wiedzy na temat środowiska operacyjnego, w tym finansowego organizacji, wszelkich rodzajów ryzyka wewnętrznego, specyficznego dla danej branży, zidentyfikowania zakresu zależności badanej organizacji od usług realizowanych przez firmy zewnętrzne, opracowania programu audytowego zawierającego wykaz specyficznych procedur, które audytor będzie stosował w trakcie przeprowadzania badania, opracowania i przedstawienia planu audytu wraz z wszelkimi niezbędnymi materiałami wykorzystywanymi do ich opracowania. Ze względu na fakt, iż w większości przypadków podczas rozpoczynania audytu wiedza na temat poddawanego badaniu obszaru jest niepełna, zgromadzenie odpowiednich informacji o organizacji, procedurach, regulaminach, ustawach, rozporządzeniach, procesach oraz pracownikach, wykonujących określone zadania, jest niezbędna 13. Główne źródła pozyskiwania informacji można podzielić na 14 : źródła pochodzące z audytowanego obszaru, tj. prezentacje własne jednostek, schematy procesów, systemy samooceny, przegląd katalogów istniejących 12 ISACA Audit Guidelines, Standard Planowanie Audytu. Porównaj również J.E Hunton, S.M. Bryant, N.A. Bagranoff, op.cit., s Rodzaj oraz ilość zdobywanej wiedzy o organizacji uzależniony jest również od faktu, czy badanie wykonywane jest przez audytorów zewnętrznych czy wewnętrznych. Różnice opisane są szczegółowo przez Webera Weber R., op.cit., s. 47. Porównaj również z National State Auditors Association and the U. S. General Accounting Office A Joint Initiative, Management Planning Guide for Information Systems Security Auditing, Grudzień Nisbet A., Metodologia przeprowadzania audytu Citigroup, Materiały konferencyjne IIA/ISACA Konferencja Grudzień Mariusz Zarzycki, 7

8 problemów, wskaźniki jakości i wydajności, kluczowe trendy operacyjne i finansowe, protokoły ze spotkań kierownictwa, źródła pochodzące z działalności audytowej, tj. wyniki śledzenia procesu, notatki z monitorowania działalności, problemy znajdujące się pod ścisłą obserwacją członków zarządu, raporty dotyczące odstępstw od standardów, śledzenie wykonywanych działań korekcyjnych, materiały robocze z poprzednich audytów, wyniki innych audytów, źródła zewnętrzne, tj. sprawozdania władz nadrzędnych, biuletyny informacyjne, czasopisma. Rysunek 3 przedstawia sekwencję zdarzeń, jaką ISACA zaleca, określając ogólne podejście do procesu audytowego(etapu planowania). Rysunek 3. Sekwencje zdarzeń podczas planowania audytu Źródło: Opracowanie własne na podstawie ISACA Audit Guidelines, [cit ], s Audytor gromadząc potrzebną wiedzę na temat organizacji, w celu opracowania planu i programu audytu, poza zidentyfikowaniem podstawowego ryzyka oraz mechanizmów kontrolnych, określa procesy i zasoby informatyczne podlegające audytowi. Kwestia zdobywanej wiedzy uzależniona jest od charakterystyki badanej organizacji, jednakże przy założeniu badania ZSI musi ona być bardzo obszerna i szczegółowa. Kompleksowość ZSI wymaga od audytora zrozumienia wszelkich zdarzeń, operacji, transakcji zachodzących w systemie i mogących mieć wpływ na przedmiot audytu. Jak widać na rysunku 3, w celu zaobserwowania ustalonych procedur w organizacji stosuje się między innymi wstępne wywiady mające na celu ustalenie osób kontaktowych, pomocnych podczas zbierania Mariusz Zarzycki, 8

9 dowodów audytowych. Gromadzenie dowodów może się również odbywać przy zastosowaniu wszelkiego rodzaju kontrolnych kwestionariuszy, tzw. list kontrolnych 15. Dokumentami wyjściowymi, powstałymi w procesie planowania oraz będącymi odpowiedzią na zlecenie audytu, są 16 : zawiadomienie o audycie przed rozpoczęciem audytu należy przygotować stosowne pismo do osób odpowiedzialnych za obszary, które mają być poddane audytowi; pismo powinno zawierać powołanie się na regulację umocowującą audyt, cel audytu, zakres audytu, badany okres czasu, dane o personelu audytowym, daty rozpoczęcia i zakończenia audytu, szczególne wymagania dotyczące prowadzenia audytu; w ramach szczegółowych wymagań zawrzeć można prośbę o przesłanie lub wskazanie miejsca przechowywania aktualnych wersji regulacji obejmujących badany obszar(schemat organizacyjny, regulaminy, procedury), szczegółowy plan audytu w formie papierowej lub elektronicznej, zawiera listę prac do wykonania, listę osób i innych zasobów wymaganych do wykonania prac, harmonogram pracy i budżet, formularze realizacji audytu, program audytowy określa krok po kroku zadania do wykonania, niezbędne dla osiągnięcia celów audytu; powinien posiadać formę, która pozwala na określenie pracy już wykonanej oraz pozostałej do wykonania(np. arkusz Microsoft Project) i najczęściej występuje w postaci tabeli zawierającej numer referencyjny, zagrożenia, cele/mechanizmy kontrolne, sposoby testowania, uwagi; program audytowy należy modyfikować zgodnie z postępem w wykonywanych pracach audytowych, wypełnione kwestionariusze, 15 Na podstawie Hunton J.E., Bryant S.M., Bagranoff N.A., op.cit., s. 63 oraz ISACA Audit Guidelines, [cit ], s Narzędzie w postaci kwestionariusza umożliwia audytorowi zadawanie pytań dotyczących wewnętrznych mechanizmów kontrolnych stosownych do eliminowania zagrożeń w aplikacjach, procesach oraz pytań ułatwiających identyfikację ryzyka związanego z dokonywaniem zmian w organizacji oraz chociażby, z logicznym dostępem do danych. Przykładami pytań spotykanych w kwestionariuszach są: 1) Czy, aby dokonać zmiany w organizacji, potrzebna jest odpowiednia autoryzacja? 2) Kto wykonuje zadania objęte danym celem kontrolnym? 3) Gdzie i kiedy wykonywane są określone operacje? 4) Na podstawie jakich danych wejściowych wykonywane są zadania? 5) Jakie są rezultaty działań? 6) Czy są ustalone określone procedury dotyczące wykonywania danej operacji?. Do głównych zalet kwestionariuszy można zaliczyć: uwzględnienie konkretnych mechanizmów kontrolnych podczas określania ryzyka, możliwość uzyskania pełniejszej informacji, poprzez porównanie różnych wersji udzielonych odpowiedzi. Kwestionariusze są również często stosowane podczas opracowywania diagramów odzwierciedlających zachodzące operacje w badanej organizacji. 16 Na podstawie Forystek M., op.cit., s , ISACA Audit Guidelines [cit ] s oraz Hunton J.E., Bryant S.M., Bagranoff N.A., op.cit., s Mariusz Zarzycki, 9

10 dokumentacja badanego obszaru(regulaminy, procedury, schematy przepływów). W chwili osiągnięcia przez audytora wystarczającej wiedzy związanej z występującym w organizacji czy w ZSI ryzykiem oraz mechanizmami kontrolnymi, następuje przejście do drugiej fazy procesu audytowego. Etap ten przeprowadzanie audytu - przedstawia się jako ocenę wykrytych podczas planowania regulacji, kryteriów, ich efektywności oraz skuteczności. Ocenie poddaje się również spójność stosowanej struktury kontrolni wewnętrznej Przeprowadzanie badania 17 Standardowa procedura przeprowadzania badania składa się z czterech etapów: oceny mechanizmów kontrolnych, oceny zgodności, dowodzenia ryzyka oraz określania osiągania celów. Celem pierwszego etapu, tj. oceny mechanizmów kontrolnych, jest oszacowanie mechanizmów kontrolnych pod kątem ich skuteczności i sprawności 18. Oceny dokonuje się poprzez weryfikację i analizę określonych regulaminów oraz procedur skorelowanych z wymaganiami uznanymi powszechnie za wzorcowe. Ocena mechanizmów kontrolnych przedstawiona jest na rysunku 46. Oceniając skuteczność mechanizmów kontrolnych należy przyjąć za kryterium ich adekwatność do potrzeb i warunków, w jakich działa organizacja. W zależności od skuteczności stosowanych przez organizację procedur kontrolnych, następnym krokiem podczas przeprowadzania badania jest ocena zgodności(ang. compliance testing), przedstawiona na rysunku 5, bądź wykonanie wzmocnionych, dodatkowych testów dowodowych(ang. significant substantive testing). 17 Fragmenty rozdziału opracowano w znacznym stopniu na podstawie: ISACA Audit Guidelines [cit ], s oraz Forystek M. op.cit., s Skuteczne i sprawne mechanizmy kontrolne to takie, które są efektywne kosztowo i dostarczają racjonalnego zapewnienia, że cele kontrolne będą zrealizowane. Mariusz Zarzycki, 10

11 Rysunek 4. Sekwencje zdarzeń podczas oceny mechanizmów kontrolnych 19 Źródło: Opracowanie własne na podstawie ISACA Audit Guidelines [cit ], s Celem pierwszej z możliwości jest ustalenie, czy zachodzi zgodność pomiędzy ustalonymi mechanizmami kontrolnymi, a faktycznymi działaniami wynikającymi z procedur formalnych i nieformalnych. W trakcie ustaleń sprawdza się, czy rzeczywiste procedury i kompensacyjne mechanizmy kontrolne są skorelowane z procedurami ustalonymi w pierwszym etapie audytu 20 oraz czy działania w nich określone wykonywane są w usystematyzowany i ścisły sposób. Testowanie zgodności przedstawiono na rysunku 5. Rysunek 5. Sekwencje zdarzeń podczas testowania zgodności Źródło: Opracowanie własne na podstawie ISACA Audit Guidelines [cit ,] s Przykładem próby dokonania oceny mechanizmów kontrolnych podczas audytu bezpieczeństwa sieci teleinformatycznej jest weryfikacja, czy istnieje wykaz odpowiednich reguł dotyczących ruchu sieciowego, uwzględniającego filtrowanie odpowiednich portów, aplikacji, protokołów itd. Przykładem firewall a realizującego wszystkie wymienione aspekty jest Microsoft ISA Server Weryfikacja ta musi określić również osoby mogące dokonywać modyfikacji w konfiguracji ściany ogniowej. 20 Jest to bardzo istotny element, że badanie przeprowadza się w stosunku do ustanowionych mechanizmów kontrolnych. Nie uwzględnia się mechanizmów kontrolnych, które powinny istnieć, a nie są stosowane w organizacji. Mariusz Zarzycki, 11

12 Konkluzję testowania zgodności stanowi dokumentacja, ustosunkowująca się do poprawności i konsekwencji w stosowaniu ustalonych procedur mechanizmów kontrolnych przez badaną organizację. Bazując na ustalonym poziomie istotności audytor określa poziom stosownych, dodatkowych testów dowodowych, niezbędnych do uzyskania zapewnienia, że proces kontroli jest adekwatny do potrzeb organizacji. Celem wykonywania dodatkowych testów jest dostarczenie ostatecznego zapewnienia, że mechanizmy kontrolne wspierają lub nie osiąganie celów gospodarczych 21. Aby uzyskać potrzebne dowody należy zastosować odpowiednie metody analityczne umożliwiające między innymi selekcję materiałów źródłowych w poszukiwaniu dowodów wzrostu ryzyka 22 spowodowanego niewłaściwym funkcjonowaniem systemu kontroli 23. Dodatkowe testy przeprowadza się, gdy: wykryto całkowity brak odpowiednich mechanizmów kontrolnych, istniejące mechanizmy kontrolne uznane zostały za niewystarczające, testy zgodności pokazują, iż mechanizmy kontrolne nie zostały odpowiednio wdrożone. Schemat blokowy przedstawiony na rysunku 6 prezentuje poszczególne kroki podczas udowadniania ryzyka. Udowadnianie ryzyka jest ostatnią fazą operacyjną w ramach etapu przeprowadzania badania. Po jej zakończenia audytor analizuje zebrane dowody w celu przedstawienia wniosków na temat skuteczności i efektywności istniejącego w organizacji systemu kontroli. 21 Forystek M., op.cit., s W wielu przypadkach pierwsze etapy audytu wykazują, że badany system kontroli ma słabości, tzn. że stosowane mechanizmy kontrolne są niewystarczające lub, że ustanowione mechanizmy kontrolne w praktyce nie działają lub że działają wadliwie. Pierwsza wada systemu kontroli powinna zostać wykryta w trakcie I etapu badania oceny mechanizmów kontrolnych, drugi z mankamentów powinien być wykryty w trakcie II etapu badania oceny zgodności. 22 Konieczne jest wykazanie relacji pomiędzy słabościami systemu kontroli a nie osiąganiem celów. 23 Faza, w której dokonuje się selekcji materiałów źródłowych w poszukiwaniu dowodów wzrostu ryzyka spowodowanego niewłaściwym funkcjonowaniem systemu kontroli nosi nazwę fazy udowadniania ryzyka. Mariusz Zarzycki, 12

13 Rysunek 6. Sekwencje zdarzeń podczas udowadniania ryzyka Źródło: Opracowanie własne na podstawie ISACA Audit Guidelines [cit ] s W celu określenia prawdopodobieństwa osiągnięcia zaplanowanych celów, audytor ustosunkowuje się do 24 : błędów struktury na ile budowa systemu kontroli jest zgodna z uznanymi za wzorcowe dobrymi praktykami i zapewnia efektywne i skuteczne działanie, błędów realizacji na ile prowadzone działania są niezgodne z wymaganiami ustanowionego środowiska kontrolnego oraz dowodów potwierdzających, że istniejące błędy wpływają na osiąganie przez proces założonych celów Przygotowywanie raportu 25 Uwieńczeniem całego procesu audytowego jest przedstawienie przez audytora raportu z wykonanej pracy. Podobnie jak w przypadku braku jednoznacznych standardów określających, jak przygotowywać program audytowy, tak i w stosunku do procesu raportowania nie ma dokładnych wytycznych określających, jak ma on wyglądać. Sposób przygotowania raportu uzależniony jest ściśle od badanej jednostki oraz od rodzaju audytu. W przypadku audytu wewnętrznego sposób ten powinien być jednoznacznie opisany w regulaminach organizacyjnych dotyczących audytu. W przypadku audytu zewnętrznego, regulacje dotyczące nie tylko procesu raportowania, ale i całego procesu audytowego powinny zawierać się w umowie audytowej. Raport jest formalnym dokumentem 24 Forystek M., op.cit., s Fragmenty rozdziału opracowano w znacznym stopniu na podstawie: ISACA Audit Guidelines s , Forystek M., op.cit., s oraz Huston J.E, Bryant S.M., Bagranoff N.A., op.cit., s Mariusz Zarzycki, 13

14 przedstawiającym cele audytowe, wykonane prace, wnioski oraz rekomendacje. Stanowi on główny produkt prac audytowych, poprzez który oceniani są audytorzy przeprowadzający badanie 26. Rysunek 7 przedstawia propozycje dotyczące struktury procesu raportowania audytowego. Rysunek 7. Proces przygotowywania raportu audytowego Wybranie spostrzeżeń. Spotkanie podsumowujące Formułowanie rekomendacji Formułowanie oceny Raport końcowy Opinia kierownictwa Spotkanie końcowe Raport wstępny Uwarunkowania Oszustwa Zdarzenia późniejsze Ograniczenia Źródło: Opracowanie własne na podstawie Forystek M, Audyt informatyczny, InfoAudit, Warszawa 2005, s Proces przygotowywania raportu rozpoczyna się od dokonania selekcji informacji, uzyskanych o badanym obszarze, w celu wybrania spostrzeżeń mających znaleźć się w raporcie. Wybrane spostrzeżenia powinny 27 : być istotne z punktu widzenia przedmiotu audytu, wynikać z wykrytych w czasie badania błędów i ich potencjalnej ważności w stosunku do zaobserwowanych słabości w istniejących w organizacji mechanizmach kontrolnych. Zgodnie z zasadami zachowania jakości audytu 28 wybrane spostrzeżenia audytowe powinny być bieżąco omawiane z kierownictwem jednostki audytowanej. Spotkanie podsumowujące na zakończenie prac audytowych pomiędzy przeprowadzającym audyt a zarządzającym jednostką audytowaną ma na celu 29 : przekazanie kierownictwu badanego obszaru wyników przeprowadzanego audytu, poddanie wstępnej dyskusji spostrzeżeń audytowych, wstępne wyjaśnienie nasuwających się wątpliwości dotyczących badanego obszaru, 26 Konieczne jest zachowanie odpowiedniej formy raportu, sformułowań w nich używanych, tak, aby był on zrozumiały dla kierownictwa badanej organizacji. Standard ISACA (Forma i zawartość raportu) stwierdza: Zadaniem Audytora Systemów Informatycznych (Audytora SI) jest dostarczenie określonym odbiorcom odpowiednio sformułowanego raportu dotyczącego wykonanych prac audytowych. Raport z audytu ma przedstawiać obszar, cele, okres oraz rodzaj i zakres wykonanej pracy audytorskiej. Ma wskazywać badaną organizację, odbiorcę raportu oraz wszelkie zastrzeżenia co do jego obiegu. Dodatkowo ma przedstawiać wyniki, wnioski i rekomendacje oraz wszelkie opinie audytora wobec badanego obszaru. 27 Forystek M., op.cit., s Patrz COBIT Audit Guidelines [cit ], 29 Forystek M., op.cit., s Mariusz Zarzycki, 14

15 umożliwienie przedstawienia nowych faktów mających wpływ na ustalenia audytu, uzgodnienie realizacji najpilniejszych rekomendacji, przyspieszenie procesu tworzenia planu realizacji rekomendacji, wcześniejsze przygotowanie do realizacji zaleceń, uniknięcie późniejszych wątpliwości i wadliwej interpretacji wyników audytu. Na podstawie ustaleń wynikających z rozmów z kierownictwem jednostki badanej, audytor formułuje rekomendacje, w których sugeruje się korekcyjne rozwiązania w stosunku do źle działających mechanizmów kontrolnych. Podczas przygotowywania rekomendacji audytorzy opierają się na analizach kosztów i korzyści zastosowania mechanizmów kontrolnych,, analizy SWOT, priorytetach działań oraz ewentualnych harmonogramach prac do wykonania w ramach rekomendacji. Przypisywanie priorytetów prac uwzględnionych w rekomendacjach przeprowadzane jest ściśle z uwzględnieniem takich kryteriów, jak oczekiwane korzyści i łatwość wdrożenia proponowanych rozwiązań. Formułowanie przez audytora określonych rekomendacji w stosunku do zastanego w badanej organizacji stanu mechanizmów kontrolnych może mieć znaczący wpływ na wprowadzane przez organizację inicjatywy czy projekty. Reasumując, sformułowane rekomendacje muszą spełniać kilka warunków 30 : muszą być opłacalne koszt proponowanych mechanizmów kontrolnych w żadnym wypadku nie może przekraczać wartości ewentualnych strat, co więcej koszt nie powinien przekraczać różnicy pomiędzy ryzykiem istniejącym a akceptowanym, muszą być realizowalne audytor nie może rozpatrywać badanego obszaru w oderwaniu od wszelkich powiązań, współzależności itp., muszą być skuteczne zalecenia muszą skutecznie zmniejszać ryzyko, a ich wdrożenie nie może zmniejszać ryzyka w jednym obszarze, podwyższając go w innym. Jednym z elementów prezentowanych zarówno we wstępnym, jak i w końcowym raporcie jest opinia audytowa. Międzynarodowe standardy przyjmują trzy główne rodzaje opinii, podczas opracowania których bierze się pod uwagę między innymi takie czynniki, jak: charakter analizowanych mechanizmów kontrolnych oraz ograniczenia systemu kontroli. Pierwsza z nich to opinia bez zastrzeżeń(satysfakcjonująca)(ang. unqualified opinion), występująca w przypadku braku jakichkolwiek zastrzeżeń odnośnie do zgodności stosowanych mechanizmów kontrolnych z akceptowalnymi praktykami kontrolnymi. 30 Forystek M., op.cit., s Mariusz Zarzycki, 15

16 Oznacza to, że według opinii audytora brak jest istotnych słabości, które mogłyby udaremnić realizację celów kontrolnych. Kolejnym rodzajem opinii jest opinia z zastrzeżeniem(ang. qualified opinion). Jak można przypuszczać, w tym wypadku analiza mechanizmów kontrolnych wykryła pojedyncze luki(słabości) w istniejącym systemie kontroli, które wedle audytora mogą stanowić zagrożenie, uniemożliwiające realizację celów kontrolnych. Trzecim rodzajem opinii audytowej jest opinia negatywna, niesatysfakcjonująca(ang. adverse opinion), wydawana w sytuacji, gdy analiza systemu kontroli wykryła słabości istotne z punktu widzenia celów kontroli. Rodzą one wysokie prawdopodobieństwo wystąpienia zagrożeń, które uniemożliwić mogą spełnienie celów kontrolnych. W praktyce spotyka się również przypadki odmowy wyrażenia opinii(ang. disclaimer of opinion). Możliwe jest to wtedy, gdy na podstawie przeprowadzonej pracy audytor nie jest w stanie wydać jakiejkolwiek opinii(na przykład w przypadku braku możliwości zebrania odpowiednich dowodów audytowych). Kolejnym etapem procesu przygotowywania raportu audytowego jest przygotowanie raportu wstępnego. Wytyczne ISACA określają, co powinien zawierać, w minimalnym zakresie, raport wstępny. Generalnie, powinien on jasno określać audytowaną jednostkę, odbiorców raportu oraz wszelkie zastrzeżenia co do jego obiegu(klauzule zastrzeżone, tajne). Do obowiązkowych elementów zalicza się 31 : nazwę badanej organizacji, tytuł, podpis oraz datę generowania raportu, określenie celów kontrolnych oraz stwierdzenie, że audytor wykonał zadanie, by wyrazić opinię na temat ich skuteczności, stwierdzenie, że audyt nie jest przeznaczony do wykrywania wszystkich słabości w procedurach kontrolnych w sposób ciągły w danym przedziale czasu, a testy wykonane na procedurach kontrolnych oparte są na próbach, osoby upoważnione do zapoznawania się z raportem oraz zastrzeżenie odpowiedzialności za wykorzystanie go do jakichkolwiek innych celów lub przez jakąkolwiek inną osobę, zakres audytu z uwzględnieniem badanego obszaru, okresu czasowego, systemów informatycznych itp., wszelkie standardy użyte przez audytora podczas formułowania opinii, 31 ISACA Guidelines [cit ], oraz Hunton J.E., Bryant S.M., Bagranoff N.A, op.cit., s. 212 oraz Forystek M., op.cit., s Mariusz Zarzycki, 16

17 stwierdzenie, że utrzymanie skutecznej kontroli wewnętrznej jest obowiązkiem kierownictwa, wyjaśnienia na temat czynników wpływających na dostarczone zapewnienie oraz, w razie potrzeby, inne informacje, paragraf określający zastrzeżenia do wydanej opinii, opinię uwzględniającą wszelkie istotne aspekty, budowę i działania procedur kontrolnych, ich skuteczność, w odniesieniu do obszaru badanej działalności, adnotację mówiącą, że ze względu na wbudowane ograniczenia 32 każdego systemu kontroli, zawsze mogą wystąpić niewykryte nieprawidłowości. Forma samego raportu wstępnego i końcowego jest dowolna, jednakże należy pamiętać, iż ma ona być czytelna dla ostatecznego odbiorcy, którym jest kierownictwo badanej organizacji. Proces przygotowywania raportu kończy się zaprezentowaniem raportu końcowego, który posiada identyczną co do elementów treści formę, jak raport wstępny. Różnice pomiędzy wstępną a końcową wersją polegają jedynie na tym, że: raport końcowy nie może ulec zmianie, w przeciwieństwie do raportu wstępnego wzbogacanego o sugestie ze strony właściwych odbiorców, raport końcowy zawiera odpowiedzi kierownictwa jednostki badanej na spostrzeżenia i rekomendacje audytowe. Ważnym elementem procesu tworzenia raportów jest zachowanie odpowiednio wysokiego poziomu bezpieczeństwa uwzględniającego obieg tak newralgicznego z punktu widzenia organizacji dokumentu, jakim jest raport z przeprowadzonego badania. Szczególny nacisk należy położyć na zapewnienie odpowiedniego dostępu do raportu jedynie osobom zainteresowanym problemem. Dostęp powinien uwzględniać przypadki, w których zarówno audytorzy, jak i reprezentanci jednostki badanej mają wgląd jedynie do elementów raportu im 32 Patrz Forystek M., op.cit., s Często w trakcie badania mogą wystąpić ograniczenia uniemożliwiające audytorowi zebranie wystarczających dowodów. Fakt ten, wpływający na wzrost ryzyka, należy koniecznie odnotować w raporcie. Prezentując informacje związane z ograniczeniami należy uwzględnić takie aspekty, jak: istotę, harmonogram i przyczyny osłabienia niezależności i obiektywizmu, kroki podjęte w celu zapewnienia, że obiektywizm nie został istotnie osłabiony w ciągu prac audytowych i przygotowywania raportu, fakt, że informacja o potencjalnym osłabieniu niezależności została przekazana komisji rewizyjnej lub ekwiwalentnemu ciału. Jeżeli podczas badania okaże się, że prawdopodobnie źle funkcjonują ogólne mechanizmy kontrolne(czyli szwankuje organizacja podstawowych procesów zarządczych), wówczas audytor powinien przedstawić taką opinię, nawet, jeśli tego typu zagadnienia nie były wyraźnie określone w uzgodnionym zakresie prac audytowych. Mariusz Zarzycki, 17

18 przeznaczonych 33. Zabezpieczenie raportu przed niekontrolowanym dostępem oraz jakimikolwiek zmianami jest szczególnie istotne w początkowej fazie jego tworzenia 34. Podczas przeprowadzania badania często mają miejsce zdarzenia, do których audytor nie ma obowiązku odnosić się w swojej pracy. Forystek 35 zalicza do nich: zdarzenia późniejsze(wynikłe) oraz oszustwa. Zdarzenia późniejsze to wszelkie zdarzenia mające poważny wpływ na przedmiot badania, wynikłe później w stosunku do czasu lub okresu badania, ale powstałe przed datą wydania raportu 36. Oszustwo w ogólnym rozumieniu zdefiniować można jako akt bezprawny mający na celu wprowadzanie w błąd 37, udawanie kogoś innego, manipulację, zafałszowanie lub zmianę danych lub dokumentów, tworzenie pozorów bądź aranżowanie fałszywych instytucji, sytuacji. Wytyczne ISACA 38, ujęte w standardzie ( Nieprawidłowości i akty bezprawne) jasno precyzują: co należy rozumieć pod pojęciem nieprawidłowości oraz działań niedozwolonych, jak planować badanie, aby wykrywać akty bezprawne, odpowiedzialność kierownictwa i audytora SI, procedury reagowania na wystąpienie nieprawidłowości lub aktów nielegalnych, sposób uwzględniania w raporcie informacji o nieprawidłowościach oraz działaniach bezprawnych. Uogólniając, audytor nie ponosi explicite odpowiedzialności za zapobieganie oraz wykrywanie aktów bezprawnych. Niemniej jednak powinien projektować procedury do ich wykrywania opierając się na oszacowanym poziomie ryzyka i możliwości ich wystąpienia. Odkrycie takich działań wymaga szczególnie ostrożnego zachowania i podjęcia stosownych kroków. Audytor systemów informatycznych powinien zawrzeć w raporcie opis zdarzeń i okoliczności towarzyszących nieprawidłowości lub aktowi bezprawnemu. Spostrzeżenia powinny być przedstawione odpowiedniemu kierownictwu, wyższemu niż to, które jest uwikłane w sytuację uznaną za podejrzaną. Jeżeli uwikłane są wszystkie poziomy 33 Forystek M., op.cit., s Dostęp do raportu powinna mieć wyłącznie kadra kierownicza, audytorzy, którzy są za niego odpowiedzialni, oraz wyznaczeni pracownicy. 34 Wykorzystywanie narzędzi elektronicznego przekazu rodzi niebezpieczeństwo niekontrolowanego dostępu. 35 Forystek M., op.cit., s Tamże. Przed wydaniem raportu audytor powinien zasięgnąć u kierownictwa badanego obszaru informacji, czy są świadomi jakichkolwiek zdarzeń powstałych po zakończeniu prac audytowych, które mogłyby mieć poważny wpływ na przedmiot badania. Zgodnie ze standardami audytor nie ma obowiązku wykrywania tych zdarzeń, niemniej jednak, zawsze powinien rozważyć zawarcie wzmianki o tego typu przypadkach w raporcie. 37 W odróżnieniu od oszustwa błąd oznacza niezamierzoną pomyłkę. 38 Standardy, wytyczne i procedury audytowania i kontrolowania systemów informatycznych [cit ], s. 20. Mariusz Zarzycki, 18

19 kierownictwa, wówczas spostrzeżenia powinny być przedstawione organizacyjnym ciałom regulującym, takim jak zarząd czy rada nadzorcza 39. Analizując oszustwa należy również uwzględnić ich ewentualne przyczyny, tj. niezadowolenie pracowników, potencjalne ograniczenia zatrudnienia, outsourcing, restrukturyzację, istnienie majątku łatwo podatnego na zmianę przeznaczenia, słabą wydajność finansową/operacyjną organizacji, postawę kierownictwa, nieprawidłowości lub akty bezprawne charakterystyczne dla konkretnej branży albo pojawiające się w podobnych organizacjach. Akty bezprawne, masowo występujące w ostatnich czasach spowodowały, iż temat oszustw, również, a może i przede wszystkim tych z użyciem komputerów stanowi obiekt zainteresowań audytorów oraz innych instytucji. Zdarzenia mające miejsce w ostatnich latach wpłynęły na rozszerzenie odpowiedzialności audytora co do detekcji oszustw podczas badania 40. Szczególnym przypadkiem przeprowadzania audytu jest audyt śledczy mający na celu wykrycie przestępstw związanych z funkcjonowaniem i użytkowaniem systemów informatycznych. Audytor w tym miejscu występuje jako organ wykonawczy, działający na zlecenie np. prokuratury. 3. Komputerowe techniki wspomagania audytu 41 Istnieją dwa podejścia do prowadzenia badania w środowisku informatycznym: audytowanie obok komputera(ang. auditing around the computer) oraz audyt z użyciem komputera(ang. auditing with computer). Zarówno pierwsza, jak i druga metoda ma na celu ciągłe zwiększanie efektywności oraz podnoszenie jakości badań. Audyt obok komputera(ang. auditing around the computer) dotyczy przypadków, w których audytor bada informacje wejściowe i wyjściowe systemu informatycznego, ale nie 39 Standardy, wytyczne i procedury audytowania i kontrolowania systemów informatycznych [cit ], s. 23. Audytor powinien używać profesjonalnego osądu, kiedy informuje o zajściu nieprawidłowości lub aktu bezprawnego. Audytor SI powinien przedyskutować spostrzeżenia oraz naturę, czas i obszar jakichkolwiek dalszych procedur z kierownictwem odpowiedniego poziomu. Szczególnie ważnym jest, aby audytor SI zachował niezależność. Określając odpowiednie osoby, którym raportować nieprawidłowość lub działania bezprawne, audytor SI powinien uwzględnić prawdopodobieństwo uwikłania także najwyższego kierownictwa. W sytuacjach, gdy od audytora SI jest wymagane ujawnienie potencjalnych lub zidentyfikowanych nieprawidłowości lub aktów bezprawnych, powinna być najpierw zaciągnięta opinia prawna. 40 Chodzi o afery w takich instytucjach jak Enron, Global Crossing, Adelphia, WorldCom, Tyco(patrz w dalszej części pracy Ustawa Sarbanes-Oxley). Patrz Champlain J.J., op.cit., s Autor przedstawia metody detekcji oszustw zaistniałych z użyciem komputerów. Na podstawie przeprowadzonych badań zarówno praktycznych, jak i literaturowych postuluje on 13 kroków mających na celu wykrycie oszustw komputerowych(ang. e-crime, cybercrime, etc). 41 ISACA Use of Computer assisted Audit Techniques, [cit ], oraz Forystek M., op.cit., s , Hunton J.E., Bryant S.M., Bagranoff N.A., op.cit., s Mariusz Zarzycki, 19

20 testuje bezpośrednio procesu przetwarzania. Oznacza to, że audytor prowadzi badanie tak, jakby w badanej jednostce nie były wykorzystywane systemy informatyczne. Jeśli badane elementy są przechowywane wyłącznie w systemie informatycznym, audytowanie wokół komputera wymaga, aby były drukowane różnorodne dokumenty, dzienniki, księgi i sprawozdania. Może to być kosztowne i czasochłonne. Ponadto, audytowanie wokół komputera można stosować, jeśli audytor ma pewność, że przygotowane wydruki odzwierciedlają rzeczywiste dokumenty 42. Pod pojęciem audytowania z komputerem, które jest często nazywane w praktyce komputerowymi technikami i narzędziami wspomagania audytu(ang. computer assisted audit tools and techniques(caats)) rozumie się wszelkiego rodzaju programy, techniki bądź narzędzia komputerowe, które wykorzystywane są przez audytora podczas procedur audytowych do przetwarzania danych przechowywanych w systemach informatycznych badanej jednostki. Narzędzia CAATs mogą być wykorzystywane do przeprowadzania wielu rodzajów procedur audytowych, chociażby 43 : testowania szczegółów transakcji i sald dla ponownego przeliczania zysków lub do wybrania z zapisów komputerowych faktur z określoną wartością, procedur analitycznych dla identyfikacji niespójności przetwarzania, próbkowania, testowania mechanizmów kontroli ogólnej dla testowania konfiguracji systemu operacyjnego lub procedur dostępu do funkcji, kodu lub danych, weryfikacji poprawności sumowania lub kontroli sensowności danych, testowania mechanizmów kontroli w systemach informatycznych. Generalnie, komputerowe narzędzia wspomagania audytu można podzielić na dwa rodzaje 44 : narzędzia zwiększające wydajność w codziennych pracach audytorskich, do których zalicza się wszelkiego rodzaju elektroniczną korespondencję/dokumentację 45, narzędzia zarządzania dokumentami 46, narzędzia pracy grupowej 47, branżowe 42 Porównaj Weber. R., op.cit., s. 56. Forystek M., op.cit., s Autor prezentuje przypadki, w których stosować można audytowanie wokół komputera. Wymienia między innymi niski poziom ryzyka wewnętrznego, wsadowe przetwarzanie transakcji i inne. 43 Forystek M., op.cit., s. 221 za Międzynarodowymi Standardami Rewizji Finansowej. 44 Załącznik 2 prezentuje przykłady narzędzi wykorzystywanych do zautomatyzowania poszczególnych etapów prac audytowych. 45 Porównaj możliwości J.E.Hunton, S.M.Bryant, N.A. Bagranoff, op.cit., s Wszelkie oprogramowanie umożliwiające w trybie on-line zarządzanie dokumentami z uwzględnieniem chociażby kontrolowanego dostępu do tych dokumentów, śledzenia zmian i różnic. Mariusz Zarzycki, 20

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r. ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r. w sprawie wprowadzenia Regulaminu Audytu Wewnętrznego w Urzędzie Gminy Czernikowo. Na podstawie Standardu 2040 Międzynarodowych Standardów

Bardziej szczegółowo

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO Załącznik nr 1 do Zarządzenia nr 13/09 Burmistrza Miasta Hajnówka z dnia 30 stycznia 2009 r. KARTA AUDYTU WEWNĘTRZNEGO 1. Nazwa JSFP Urząd Miasta Hajnówka zwany dalej Jednostką. 2. Adres Jednostki 17-200

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Ministerstwo Finansów Departament Ochrony Interesów Finansowych Unii Europejskiej - Instytucja Audytowa -

Ministerstwo Finansów Departament Ochrony Interesów Finansowych Unii Europejskiej - Instytucja Audytowa - Ministerstwo Finansów Departament Ochrony Interesów Finansowych Unii Europejskiej - Instytucja Audytowa - Program Operacyjny Infrastruktura i Środowisko Audyt Systemu lata 2007-2013 Krajowe ramy prawne

Bardziej szczegółowo

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi

Bardziej szczegółowo

System Kontroli Wewnętrznej w Banku BPH S.A.

System Kontroli Wewnętrznej w Banku BPH S.A. System Kontroli Wewnętrznej w Banku BPH S.A. Cel i elementy systemu kontroli wewnętrznej 1. System kontroli wewnętrznej umożliwia sprawowanie nadzoru nad działalnością Banku. System kontroli wewnętrznej

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Audyt systemów informatycznych w świetle standardów ISACA

Audyt systemów informatycznych w świetle standardów ISACA Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy

Bardziej szczegółowo

Warszawa, dnia 12 maja 2016 r. Poz. 20

Warszawa, dnia 12 maja 2016 r. Poz. 20 Warszawa, dnia 12 maja 2016 r. Poz. 20 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 10 maja 2016 r. w sprawie Karty audytu wewnętrznego w Ministerstwie Spraw

Bardziej szczegółowo

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r.

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r. Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r. w sprawie wprowadzenia Regulaminu audytu wewnętrznego Politechniki Lubelskiej Na podstawie art. 66 Ustawy z dnia 27 lipca

Bardziej szczegółowo

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki 17-100 Bielsk Podlaski, Kopernika 1

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki 17-100 Bielsk Podlaski, Kopernika 1 Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO 1. Nazwa JSFP Urząd Miasta zwany dalej Jednostką 2. Adres Jednostki 17-100 Bielsk Podlaski, Kopernika 1 3. Podstawa

Bardziej szczegółowo

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. DZIENNIK URZĘDOWY MINISTRA SPRAW ZAGRANICZNYCH Warszawa, dnia 6 maja 2015 r. Poz. 16 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. w sprawie Karty

Bardziej szczegółowo

Wybór ZSI. Zakup standardowego systemu. System pisany na zamówienie

Wybór ZSI. Zakup standardowego systemu. System pisany na zamówienie Wybór ZSI Zakup standardowego systemu System pisany na zamówienie Zalety: Standardowy ZSI wbudowane najlepsze praktyki biznesowe możliwość testowania przed zakupem mniej kosztowny utrzymywany przez asystę

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku w sprawie wprowadzenia Karty Audytu Wewnętrznego w Urzędzie Miasta w Tomaszowie Mazowieckim. Na podstawie art.

Bardziej szczegółowo

COBIT DLA (NIE)OPORNYCH AUDYTORÓW ogólna procedura audytu M.Forystek, 03.10.2000, 09.01.2002

COBIT DLA (NIE)OPORNYCH AUDYTORÓW ogólna procedura audytu M.Forystek, 03.10.2000, 09.01.2002 COBIT DLA ()OPORNYCH AUDYTORÓW ogólna procedura audytu M.Forystek, 03.10.2000, 09.01.2002 Coraz większa liczba audytorów spotyka się z problemem dokonania oceny systemu informatycznego. W znacznej mierze

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 28 września 2015 r. Poz. 1480 ROZPORZĄDZENIE MINISTRA FINANSÓW z dnia 4 września 2015 r. w sprawie audytu wewnętrznego oraz informacji o pracy i

Bardziej szczegółowo

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r.

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r. Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r. w sprawie: wprowadzenia Regulaminu Audytu Wewnętrznego Politechniki Gdańskiej Na podstawie art. 68-71 oraz art. 272-296 ustawy

Bardziej szczegółowo

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku w sprawie Karty Audytu Wewnętrznego Zespołu Audytu Wewnętrznego Uniwersytetu Warmińsko-Mazurskiego

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

Karta audytu wewnętrznego

Karta audytu wewnętrznego Załącznik nr 1 do Zarządzenia Nr 0050.149.2015 Burmistrza Miasta Lędziny z dnia 08.07.2015 Karta audytu wewnętrznego 1. Karta audytu wewnętrznego określa: cel oraz zakres audytu wewnętrznego; zakres niezależności

Bardziej szczegółowo

Zasady i tryb przeprowadzania audytu wewnętrznego w Politechnice Warszawskiej

Zasady i tryb przeprowadzania audytu wewnętrznego w Politechnice Warszawskiej Załącznik nr 1 do Zarządzenia Nr 2 Rektora PW z dnia 25 stycznia 2006 r. Zasady i tryb przeprowadzania audytu wewnętrznego w Politechnice Warszawskiej Rozdział 1 Wstęp 1. Celem Zasad i trybu przeprowadzania

Bardziej szczegółowo

CASEWARE PROGRAM DLA BIEGŁYCH REWIDENTÓW

CASEWARE PROGRAM DLA BIEGŁYCH REWIDENTÓW CASEWARE PROGRAM DLA BIEGŁYCH REWIDENTÓW INFORMACJA O FIRMIE CASEWARE INTERNATIONAL INC Firma Caseware International istnieje od 1988 roku; Główna siedziba Toronto, Kanada; Posiadający lokalnych dystrybutorów

Bardziej szczegółowo

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego Na podstawie art. 50 ust. 1 ustawy z dnia 30 czerwca 2005r. o finansach

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ Załącznik Nr 3 Do Zarządzenia Nr 56/10 STAROSTY KOSZALIŃSKIEGO z dnia 1 października 2010 r. SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ W STAROSTWIE POWIATOWYM W KOSZALINIE Do sporządzenia samooceny wykorzystano

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

SKZ System Kontroli Zarządczej

SKZ System Kontroli Zarządczej SKZ System Kontroli Zarządczej KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych Na podstawie art. 69 ust. 3 ustawy z

Bardziej szczegółowo

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security. Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena

Bardziej szczegółowo

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. Usprawnienie procesu zarządzania konfiguracją Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. 1 Typowy model w zarządzaniu IT akceptacja problem problem aktualny stan infrastruktury propozycja

Bardziej szczegółowo

Oświadczenie o stanie kontroli zarządczej. Dyrektora Poradni Psychologiczno-Pedagogicznej nr 1 w Bydgoszczy. za rok 2012

Oświadczenie o stanie kontroli zarządczej. Dyrektora Poradni Psychologiczno-Pedagogicznej nr 1 w Bydgoszczy. za rok 2012 Oświadczenie o stanie kontroli zarządczej Dyrektora Poradni Psychologiczno-Pedagogicznej nr 1 w Bydgoszczy za rok 2012 Dział I Jako osoba odpowiedzialna za zapewnienie funkcjonowania adekwatnej, skutecznej

Bardziej szczegółowo

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU Załącznik nr 2 do zarządzenia nr 48/09 Głównego Inspektora Pracy z dnia 21 lipca 2009 r. OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU PROCEDURA P1 SPIS

Bardziej szczegółowo

Kontrola i audyt wewnętrzny w przedsiębiorstwach i w administracji publicznej

Kontrola i audyt wewnętrzny w przedsiębiorstwach i w administracji publicznej Nazwa: Rodzaj: Charakterystyka: Kontrola i audyt wewnętrzny w przedsiębiorstwach i w administracji publicznej Studia podyplomowe realizowane we współpracy z Polskim Instytutem Kontroli Wewnętrznej w Warszawie

Bardziej szczegółowo

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Postanowienia ogólne 1 1. Kontrolę zarządczą w PUP stanowi ogół działań podejmowanych dla zapewnienia

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

I. Postanowienia ogólne.

I. Postanowienia ogólne. PROCEDURY KONTROLI ZARZĄDCZEJ Załącznik Nr 1 do zarządzenia nr 291/11 Prezydenta Miasta Wałbrzycha z dnia 15.03.2011 r. I. Postanowienia ogólne. 1 Procedura kontroli zarządczej została opracowana na podstawie

Bardziej szczegółowo

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY PROGRAM ZAPEWNIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMI OLECKO Załącznik nr 3 do Programu zapewnienia i poprawy jakości audytu wewnętrznego w Gminie Olecko KWESTIONARIUSZ SAMOOCENY I. ORGANIZACJA

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne Załącznik Nr 1 do Zarządzenia Nr 29 z 01.07.2013r. REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU Postanowienia ogólne 1 1. Kontrola zarządcza w Powiatowym Urzędzie

Bardziej szczegółowo

RAPORT Z AUDYTU WEWNĘTRZNEGO URZĘDU GMINY TRĄBKI WIELKIE

RAPORT Z AUDYTU WEWNĘTRZNEGO URZĘDU GMINY TRĄBKI WIELKIE RAPORT Z AUDYTU WEWNĘTRZNEGO URZĘDU GMINY TRĄBKI WIELKIE NA DZIEŃ 1.10.2012 r. 1. Nazwa jednostki. Urząd Gminy Trąbki Wielkie w myśl art. 9 oraz art. 274 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych

Bardziej szczegółowo

Zarządzenie nr 98/2012. Wójta Gminy Żórawina z dnia 26 stycznia 2012 w sprawie wprowadzenia standardów kontroli zarządczej w Gminie Żórawina

Zarządzenie nr 98/2012. Wójta Gminy Żórawina z dnia 26 stycznia 2012 w sprawie wprowadzenia standardów kontroli zarządczej w Gminie Żórawina Zarządzenie nr 98/2012 Wójta Gminy Żórawina z dnia 26 stycznia 2012 w sprawie wprowadzenia standardów kontroli zarządczej w Gminie Żórawina Na podstawie art. 53 ust. 1, art. 68 ust. 1 i art. 69 ust. 1

Bardziej szczegółowo

Kwestia procesu / podziału odpowiedzialności w zakresie odpowiedzialności za księgi pomocnicze

Kwestia procesu / podziału odpowiedzialności w zakresie odpowiedzialności za księgi pomocnicze Kwestia procesu / podziału odpowiedzialności w zakresie odpowiedzialności za księgi pomocnicze Polska Izba Ubezpieczeń Seminarium w sprawie rachunkowości 26 listopada 2013 roku Agenda Otoczenie regulacyjne

Bardziej szczegółowo

DOKUMENTOWANIE CZYNNOŚCI AUDYTORSKICH PROCEDURA P3

DOKUMENTOWANIE CZYNNOŚCI AUDYTORSKICH PROCEDURA P3 Załącznik nr 4 do zarządzenia nr 2/11 Głównego Inspektora Pracy z dnia 14 stycznia 2011 r. DOKUMENTOWANIE CZYNNOŚCI AUDYTORSKICH PROCEDURA P3 SPIS TREŚCI 1. CEL 2. ODPOWIEDZIALNOŚĆ 3. SPOSÓB POSTĘPOWANIA

Bardziej szczegółowo

Dobre Praktyki Komitetów Audytu w Polsce

Dobre Praktyki Komitetów Audytu w Polsce Dobre Praktyki Komitetów Audytu w Polsce WPROWADZENIE Niniejsze Dobre praktyki komitetów audytu odzwierciedlają najlepsze międzynarodowe wzory i doświadczenia w spółkach publicznych. Nie jest to zamknięta

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

PLAN AUDYTU WEWNĘTRZNEGO URZĘDU MIASTA KATOWICE NA ROK 2006

PLAN AUDYTU WEWNĘTRZNEGO URZĘDU MIASTA KATOWICE NA ROK 2006 Urząd Miasta Katowice 40-098 Katowice ul. Młyńska 4 PLAN AUDYTU WEWNĘTRZNEGO URZĘDU MIASTA KATOWICE NA ROK 2006 Katowice, dn. 12.10.2005r. 1. Informacje o Urzędzie Miasta Katowice istotne dla przeprowadzenia

Bardziej szczegółowo

Cykle życia systemu informatycznego

Cykle życia systemu informatycznego Cykle życia systemu informatycznego Cykl życia systemu informatycznego - obejmuję on okres od zgłoszenia przez użytkownika potrzeby istnienia systemu aż do wycofania go z eksploatacji. Składa się z etapów

Bardziej szczegółowo

Launch. przygotowanie i wprowadzanie nowych produktów na rynek

Launch. przygotowanie i wprowadzanie nowych produktów na rynek Z przyjemnością odpowiemy na wszystkie pytania. Prosimy o kontakt: e-mail: kontakt@mr-db.pl tel. +48 606 356 999 www.mr-db.pl MRDB Szkolenie otwarte: Launch przygotowanie i wprowadzanie nowych produktów

Bardziej szczegółowo

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy. ANKIETA / KWESTIONARIUSZ DLA JEDNOSTEK PODLEGŁYCH / NADZOROWANYCH PRZEZ MINISTRA NAUKI I SZKOLNICTWA WYŻSZEGO W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ Kontrola zarządcza stanowi ogół działań

Bardziej szczegółowo

Robert Meller, Nowoczesny audyt wewnętrzny

Robert Meller, Nowoczesny audyt wewnętrzny Robert Meller, Nowoczesny audyt wewnętrzny Spis treści: O autorze Przedmowa CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO Rozdział 1. Podstawy audytu 1.1. Historia i początki audytu 1.2. Struktura

Bardziej szczegółowo

Plan kontroli zarządczej na rok 2012 dla Urzędu Gminy Pruszcz Gdański w Pruszczu Gdańskim. Planowa na wartość

Plan kontroli zarządczej na rok 2012 dla Urzędu Gminy Pruszcz Gdański w Pruszczu Gdańskim. Planowa na wartość Plan kontroli zarządczej na rok 2012 dla Urzędu Gminy Pruszcz Gdański w Pruszczu Gdańskim Lp. CEL Nazwa 1. Przejrzysty proces zatrudniana zapewniający wybór najlepszego kandydata na dane stanowisko Wskaźnik

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r. Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r. w sprawie ustanowienia Polityki zarządzania ryzykiem w Państwowej Wyższej Szkole Zawodowej w Koninie

Bardziej szczegółowo

Zapewnij sukces swym projektom

Zapewnij sukces swym projektom Zapewnij sukces swym projektom HumanWork PROJECT to aplikacja dla zespołów projektowych, które chcą poprawić swą komunikację, uprościć procesy podejmowania decyzji oraz kończyć projekty na czas i zgodnie

Bardziej szczegółowo

Plan zarządzania projektem

Plan zarządzania projektem Plan zarządzania projektem Opracował: Zatwierdził: Podpis: Podpis: Spis treści: 1. Wst p... 2 1.1 Cel... 2 1.2 Zakres... 2 1.3 Przeznaczenie dokumentu... 2 1.4 Organizacja dokumentu... 2 1.5 Dokumenty

Bardziej szczegółowo

Audyt funkcjonalnego systemu monitorowania energii w Homanit Polska w Karlinie

Audyt funkcjonalnego systemu monitorowania energii w Homanit Polska w Karlinie Audyt funkcjonalnego systemu monitorowania energii w Homanit Polska w Karlinie System zarządzania energią to uniwersalne narzędzie dające możliwość generowania oszczędności energii, podnoszenia jej efektywności

Bardziej szczegółowo

REGULAMIN KOMITETU AUDYTU RADY NADZORCZEJ BANKU BPH S.A.

REGULAMIN KOMITETU AUDYTU RADY NADZORCZEJ BANKU BPH S.A. Załącznik Nr 2 do Uchwały Rady Nadzorczej Banku BPH S.A. Nr 42/2014 REGULAMIN KOMITETU AUDYTU RADY NADZORCZEJ BANKU BPH S.A. Uchwalony Uchwałą Rady Nadzorczej Nr 8/2014 z dnia 1 kwietnia 2014 r. Zmieniony

Bardziej szczegółowo

Karta audytu Uniwersytetu Śląskiego w Katowicach

Karta audytu Uniwersytetu Śląskiego w Katowicach Załącznik do zarządzenia Rektora UŚ nr 38 z dnia 28 lutego 2012 r. Uniwersytet Śląski w Katowicach Zatwierdzam: Rektor Uniwersytetu Śląskiego Karta audytu Uniwersytetu Śląskiego w Katowicach Katowice,

Bardziej szczegółowo

OPROGRAMOWANIE WSPOMAGAJĄCE ZARZĄDZANIE PROJEKTAMI. PLANOWANIE ZADAŃ I HARMONOGRAMÓW. WYKRESY GANTTA

OPROGRAMOWANIE WSPOMAGAJĄCE ZARZĄDZANIE PROJEKTAMI. PLANOWANIE ZADAŃ I HARMONOGRAMÓW. WYKRESY GANTTA OPROGRAMOWANIE WSPOMAGAJĄCE ZARZĄDZANIE PROJEKTAMI. PLANOWANIE ZADAŃ I HARMONOGRAMÓW. WYKRESY GANTTA Projekt to metoda na osiągnięcie celów organizacyjnych. Jest to zbiór powiązanych ze sobą, zmierzających

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r. Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r. Instrukcja dokonywania samooceny oraz sporządzania oświadczenia o stanie kontroli zarządczej w Szkole Podstawowej nr 4 im. Kawalerów

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Komunikat nr 115 z dnia 12.11.2012 r.

Komunikat nr 115 z dnia 12.11.2012 r. Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania

Bardziej szczegółowo

NS-01 Procedura auditów wewnętrznych systemu zarządzania jakością

NS-01 Procedura auditów wewnętrznych systemu zarządzania jakością Załącznik nr 1 do zarządzenia Burmistrza Miasta Środa Wielkopolska Nr 19/2010 z dnia 22 lutego 2010 r. NS-01 Procedura auditów wewnętrznych systemu zarządzania jakością 1. Cel procedury Celem procedury

Bardziej szczegółowo

Karta audytu wewnętrznego w Uniwersytecie Mikołaja Kopernika w Toruniu

Karta audytu wewnętrznego w Uniwersytecie Mikołaja Kopernika w Toruniu Załącznik nr 1 do Zarządzenia nr 45 Rektora UMK z dnia 29 kwietnia 2010 r. Karta audytu wewnętrznego w Uniwersytecie Mikołaja Kopernika w Toruniu I. Postanowienia ogólne. 1 1. Karta Audytu Wewnętrznego

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

Wdrożenie nowych proinnowacyjnych usług sprzyjających dyfuzji innowacji w sektorze MSP nr umowy: U- POIG.05.02.00-00-016/10-00

Wdrożenie nowych proinnowacyjnych usług sprzyjających dyfuzji innowacji w sektorze MSP nr umowy: U- POIG.05.02.00-00-016/10-00 Regulamin usługi Wdrożenie nowych proinnowacyjnych usług sprzyjających dyfuzji innowacji w sektorze MSP nr umowy: U- POIG.05.02.00-00-016/10-00 Projekt realizowany jest w ramach Działania 5.2 Wsparcie

Bardziej szczegółowo

REGULAMIN KONTROLI ZARZĄDCZEJ W ZESPOLE SZKÓŁ Nr 3 W PŁOŃSKU

REGULAMIN KONTROLI ZARZĄDCZEJ W ZESPOLE SZKÓŁ Nr 3 W PŁOŃSKU Załącznik nr 1 do zarządzenia nr 3 z dnia 20.10.214r REGULAMIN KONTROLI ZARZĄDCZEJ W ZESPOLE SZKÓŁ Nr 3 W PŁOŃSKU Na podstawie art. 69 ust. 1 pkt 3 ustawy z 27 sierpnia 2009 r. o finansach publicznych

Bardziej szczegółowo

INSTYTUT MASZYN PRZEPŁYWOWYCH im. Roberta Szewalskiego POLSKIEJ AKADEMII NAUK 80-231 Gdańsk ul. J. Fiszera 14

INSTYTUT MASZYN PRZEPŁYWOWYCH im. Roberta Szewalskiego POLSKIEJ AKADEMII NAUK 80-231 Gdańsk ul. J. Fiszera 14 Gdańsk, 22.06.2015r. Szczegółowy Opis Przedmiotu Zamówienia do zapytania nr 54/PN/U/2015 I. Przedmiot zamówienia: Przedmiotem zamówienia jest wykonanie audytu zewnętrznego wydatkowania środków finansowych

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego Dziennik Ustaw Nr 21 2066 Poz. 108 108 ROZPORZĄDZENIE MINISTRA FINANSÓW z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego Na podstawie art. 285 ustawy z dnia 27 sierpnia

Bardziej szczegółowo

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38 DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO Warszawa, dnia 29 września 2014 r. Pozycja 38 ZARZĄDZENIE MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO 1) z dnia 29 września 2014 r. w sprawie Karty

Bardziej szczegółowo

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych

Bardziej szczegółowo

SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU AUDYTU DLA DZIAŁÓW ADMINISTRACJI RZĄDOWEJ, KTÓRYMI KIERUJE MINISTER INFRASTRUKTURY

SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU AUDYTU DLA DZIAŁÓW ADMINISTRACJI RZĄDOWEJ, KTÓRYMI KIERUJE MINISTER INFRASTRUKTURY Załącznik do Uchwały Nr 1/2011 Komitetu Audytu z dnia 14 lutego 2011 r. w sprawie przyjęcia Sprawozdania z realizacji zadań Komitetu Audytu w roku 2010 SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU

Bardziej szczegółowo

Metodyka projektowania komputerowych systemów sterowania

Metodyka projektowania komputerowych systemów sterowania Metodyka projektowania komputerowych systemów sterowania Andrzej URBANIAK Metodyka projektowania KSS (1) 1 Projektowanie KSS Analiza wymagań Opracowanie sprzętu Projektowanie systemu Opracowanie oprogramowania

Bardziej szczegółowo

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r. DZIENNIK URZĘDOWY KOMENDY GŁÓWNEJ STRAŻY GRANICZNEJ Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ z dnia 20 czerwca 2016 r. w sprawie regulaminu organizacyjnego

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

DLA SEKTORA INFORMATYCZNEGO W POLSCE

DLA SEKTORA INFORMATYCZNEGO W POLSCE DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej

Bardziej szczegółowo

Obszary zarządzania jednostką a regulacje wewnętrzne Lokalnej Grupy Rybackiej. Poznań, dnia 28 kwietnia 2011 r.

Obszary zarządzania jednostką a regulacje wewnętrzne Lokalnej Grupy Rybackiej. Poznań, dnia 28 kwietnia 2011 r. Obszary zarządzania jednostką a regulacje wewnętrzne Lokalnej Grupy Rybackiej Poznań, dnia 28 kwietnia 2011 r. System kontroli wewnętrznej Standardy kontroli wewnętrznej w Komisji Europejskiej opracowane

Bardziej szczegółowo

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO Załącznik Nr 1 do Zarządzenia Starosty Suskiego Nr 35/2010 z dnia 30 lipca 2010 r. KARTA AUDYTU WEWNĘTRZNEGO Rozdział 1 Postanowienia ogólne 1 Karta audytu wewnętrznego reguluje funkcjonowanie audytu wewnętrznego

Bardziej szczegółowo

Zarządzenie Nr BO.0050.90.2012 Burmistrza Ozimka z dnia 03.08.2012 r.

Zarządzenie Nr BO.0050.90.2012 Burmistrza Ozimka z dnia 03.08.2012 r. Zarządzenie Nr BO.0050.90.2012 Burmistrza Ozimka z dnia 03.08.2012 r. Na podstawie art. 274 ust. 3 ustawy z dnia 29 sierpnia 2009r. o finansach publicznych (Dz. U. z 2009 nr 157, poz. 1240 z późn. zm.)

Bardziej szczegółowo

Solvency II. Filar II - Wymogi systemu zarządzania. Polska Izba Ubezpieczeń Deloitte Advisory Sp. z o.o. Jakub Bojanowski. 10 grudnia 2008 roku

Solvency II. Filar II - Wymogi systemu zarządzania. Polska Izba Ubezpieczeń Deloitte Advisory Sp. z o.o. Jakub Bojanowski. 10 grudnia 2008 roku Solvency II Filar II - Wymogi systemu zarządzania. Polska Izba Ubezpieczeń Deloitte Advisory Sp. z o.o Jakub Bojanowski 10 grudnia 2008 roku 1 Filar II System Zarządzania System zarządzania ryzykiem opisany

Bardziej szczegółowo

Zarządzenie Nr 157 Prezydenta Miasta Olsztyn z dnia 13 czerwca 2011r.

Zarządzenie Nr 157 Prezydenta Miasta Olsztyn z dnia 13 czerwca 2011r. Zarządzenie Nr 157 Prezydenta Miasta Olsztyn z dnia 13 czerwca 2011r. w sprawie przyjęcia Programu zapewnienia i poprawy wewnętrznego przeprowadzanego w Urzędzie Miasta Olsztyn. jakości audytu Na podstawie

Bardziej szczegółowo

OPIS SYSTEMU ZARZĄDZANIA RYZYKIEM

OPIS SYSTEMU ZARZĄDZANIA RYZYKIEM OPIS SYSTEMU ZARZĄDZANIA RYZYKIEM SECUS ASSET MANAGEMENT S.A. dotyczy art. 110w ust.4 Ustawy o obrocie instrumentami finansowymi z dnia 29 lipca 2005 roku tekst zmieniony ustawą z 05-08-2015 Dz. U. poz.

Bardziej szczegółowo

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r.

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r. Zarządzanie ryzykiem teoria i praktyka Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r. Zarządzanie ryzykiem - agenda Zarządzanie ryzykiem - definicje Ryzyko - niepewne

Bardziej szczegółowo

BIEGŁY DO SPRAW ZAPOBIEGANIA I WYKRYWANIA PRZESTĘPSTW GOSPODARCZYCH I KORUPCJI. Partner studiów:

BIEGŁY DO SPRAW ZAPOBIEGANIA I WYKRYWANIA PRZESTĘPSTW GOSPODARCZYCH I KORUPCJI. Partner studiów: BIEGŁY DO SPRAW ZAPOBIEGANIA I WYKRYWANIA PRZESTĘPSTW GOSPODARCZYCH I KORUPCJI Partner studiów: Odbiorcy: Osoby zainteresowane specjalizacją w zakresie profesjonalnego zapobiegania i wykrywania nadużyć

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

Security Master Class

Security Master Class Security Master Class Platforma kompleksowej analizy zdarzeń Linux Polska SIEM Radosław Żak-Brodalko Senior Solutions Architect Linux Polska sp. z o.o. Podstawowe problemy Jak pokryć lukę między technicznym

Bardziej szczegółowo

REGULAMIN ORGANIZACYJNY SEKCJI AUDYTU WEWNĘTRZNEGO

REGULAMIN ORGANIZACYJNY SEKCJI AUDYTU WEWNĘTRZNEGO Załącznik do zarządzenia nr 11/2006 Głównego Inspektora Pracy z dnia 23 czerwca 2006 r. REGULAMIN ORGANIZACYJNY SEKCJI AUDYTU WEWNĘTRZNEGO Rozdział I Postanowienia ogólne 1. Sekcja Audytu Wewnętrznego

Bardziej szczegółowo

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami a zarządzanie ryzykiem Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu

Bardziej szczegółowo

Nowy wzór sprawozdania ograniczył liczbę umieszczanych w nim informacji.

Nowy wzór sprawozdania ograniczył liczbę umieszczanych w nim informacji. Nowy wzór sprawozdania ograniczył liczbę umieszczanych w nim informacji. W dniu 1 maja 2008 r. zaczęło obowiązywać nowe Rozporządzenie Ministra Finansów z dnia 4 kwietnia 2008 r. w sprawie trybu sporządzania

Bardziej szczegółowo

Część I. Różnice i podobieństwa analizy ryzyka na potrzeby zarządzania ryzykiem oraz rocznego planowania audytu i programowania zadań audytowych

Część I. Różnice i podobieństwa analizy ryzyka na potrzeby zarządzania ryzykiem oraz rocznego planowania audytu i programowania zadań audytowych Praktyczne aspekty określania wskaźników ryzyka w systemie zarządzania ryzykiem i ich wykorzystanie w procesie rocznego planowania audytu i programowania zadań audytowych Zofia Szynkowska Część I Różnice

Bardziej szczegółowo

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo