Business vs. IT Governance propojení byznysu a IT

Transkript

1

2 Definice IT Governance Proč je IT Governance používána Business vs. IT Governance propojení byznysu a IT Jak IT Governance auditovat Příklady Slide 2

3 PwC Slide 3

4 Institut IT Governance " vedení, organizační struktury a procesy zajišťující, že IT v organizaci udržuje a rozšiřuje své strategie a cíle." ISA 315 Hodnoceni rizika materiální chyby na základě pochopení auditované entity a jejího prostředí Slide 4

5 čas čas čas čas čas Slide 5

6 Patří Interní audit mezi aktivity, které zahrnují IT Governance? Odpověď: Slide 6

7 Činnosti a funkce IT v organizaci jsou v souladu, což umožňuje podporovat cíle a priority organizace. IT přináší přínosy v souladu se strategií podniku, optimalizuje náklady, začleňuje již osvědčené postupy a maximalizuje hodnoty vytvořené investicemi do IT. Investice učiněné v oblasti IT jsou optimální a kritické IT zdroje jsou spravovány a užívány odpovědně a efektivně. Požadavky na dodržování předpisů jsou srozumitelné, existuje povědomí o riziku a chuť organizace s tímto rizikem pracovat a tato rizika jsou efektivně řízena. Výkon je optimálně sledovaný a měřený a přepokládané benefity jsou realizovány, včetně uplatňování strategických iniciativ, využívání zdrojů a poskytování služeb IT. Existuje synergie mezi iniciativami v oblasti IT a rozhodnutími mimo IT je v nejlepším zájmu organizace jako celku. Panuje vzájemné porozumění mezi všemi zúčastněnými stranami o tom, jak může IT zajistit přidanou hodnotu organizaci. Slide 7

8 PwC Slide 8

9 IT Governance IT organizace se potýká s dramatickými změnami v důsledku fúze/akvizice. Byznys se přeměňuje a IT se musí rychle přizpůsobit. Byznys není přesvědčen o hodnotách IT a cítí, že IT není schopno vykazovat odpovídající výkon. Outsourcing byl zadán bez náležitého odůvodnění nebo aniž by řešil hlubší problémy, což má za následek neadekvátní služby. IT plní pouze podpůrnou funkci a není schopno inovace a poskytnutí konkurenční výhody. Přínosy IT nejsou měřeny nebo je nelze jednoznačně prokázat. Neexistuje dostatečná kontrola nad výdaji IT a náklady na IT jsou považovány za příliš vysoké. Neexistuje přehled či přístup k právním a smluvním podmínkám, které se mají dodržovat. Současná architektura IT omezuje potenciální inovační možnosti a není agilní. Neexistuje dostatečná znalost rizik souvisejících s IT a tato rizika nejsou řízena. Byznys nerozumí procesům IT a nevidí možný přínos v časovém horizontu. IT nemá potřebné dovednosti nebo dostatečné množství zdrojů, aby naplnilo očekávání organizace. Slide 9

10 IT Governance - Setting the scene Slide 10

11 PwC Slide 11

12 Byznys strategie Průmysl & trhy Regulatorní prostředí Velikost & struktura org. Závislost na & stěžejnost IT Podniková governance Interní & externí prostředí organizace Rámec IT Governance Rozhraní s operativou IT Slide 12

13 Slide 13

14 Jak lze IT Governance auditovat a lze to vůbec? Odpověď: Slide 14

15 PwC Slide 15

16 Slide 16

17 Monitoring Posouzení výkonnosti kontrolního systému v průběhu času. Kombinace průběžného a samostatného hodnocení. Řízení a kontrolní činnost. Aktivity interního auditu. Kontrolní aktivity Jsou prováděny politiky či procedury zajišťované vnitřními směrnicemi organizace. Rozsah činností, zahrnující schvalování, autorizaci, ověřování, doporučení, vyhodnocení výkonu, zabezpečení IT aktiv, rozdělení odpovědností. Informace a komunikace Identifikace a zpracování relevantních informací a jejich včasná komunikace. Přístup jak k interně, tak i externě generovaným informacím. Informace, na jejichž základě provádí organizace patřičné kontroly, jsou důležitými podklady pro manažerská rozhodnutí. Kontrolní prostředí Stanoví směr organizace a ovlivňuje povědomí jejích zaměstnanců o kontrolním prostředí. Faktory zahrnující integritu, etické hodnoty, kompetence, autority, odpovědnosti. Základní kámen pro ostatní komponenty kontrol. Posouzení rizik Identifikace a analýza relevantních rizik pro dosažení cílů, které tvoří jednotky. Je základem pro stanovení kontrolní činnosti. Slide 17

18 Celofiremní kontroly (ELC) fungují v celé organizaci. Jsou to všechny komponenty kromě samotných Kontrolních aktivit Tyto komponenty mohou mít méně hmatatelné prvky dle konkrétní firemní kultury Tone at the top V důsledku toho jsou tyto složky méně hmatatelné a měřitelné pro svou povahu. Jsou však neméně důležité, protože jsou přítomny v celé organizaci. PwC Slide 18

19 Musíme vždy zvažovat kontroly a opatření, která používá management při řízení podniku Tyto kontroly nad oblastí IT mohou odrážet přístup managementu k potřebám jednotlivých entit v oblasti IT Průběžně podporovat efektivitu ITGC, která podporuje klíčové kontroly a/nebo data Kontroly zavedené vedle ostatních součástí interních kontrol jsou často označovány jako nepřímé kontroly na úrovni entity. Často o nich hovoříme ve smyslu Entity Level Controls (ELCs) nad IT. Slide 19

20 Patří mezi ELC tyto kontroly a proč? Existují Pravidla etického chování, která jsou šířeny mezi zaměstnance. IT ředitel hlásí na pravidelných měsíčních poradách vedení stav klíčových projektů. IT monitoruje celopodnikovou síť a chrání ji před útoky. Ředitel vývoje pravidelně monitoruje činnost svého oddělení. Odpověď: Slide 20

21 Plánování rozsahu a obsahu auditu Začínáme mapováním a testem IT Governance, například otestujeme přímé i nepřímé ELC. Závěry auditu IT governance slouží k upřesnění plánu auditu: - Vytipování rizikových oblastí v IT - Slabá místa při řízení IT jsou rizikovější a budou vyžadovat detailnější testování dílčích kontrol(např. použití širších vzorků) - Silné kontroly v IT governance znamenají celkově nižší riziko, to umožní např. výběr menších vzorků nebo použití méně náročných testů, například formou dot Problémy zjištěné při prověrce IT governance jsou standardně uvedeny v závěrečné zprávě a následně řešeny. Díky jejich charakteru může jít o dlouhodobý proces (např. zlepšení proaktivity zaměstnanců IT) Slide 21

22 Jsou role a odpovědnosti IT definovány a pochopeny tak, aby byly určeny odpovědné osoby a příslušná evidence pro vnitřní kontrolu? Je prováděno náležité rozdělení odpovědností klíčových funkcí IT? Jaká je povaha stylu operativního řízení IT vedení a jaký je postoj k vnitřním kontrolám? Jak oddělení IT a jeho vedení prosazuje silné kontrolní prostředí? Jak jsou řízeny lidské zdroje a podporují metody řízení lidských zdrojů v IT jejich integritu, motivaci a schopnosti? Jaký je způsob řízení a dohledu nad funkcí IT, včetně úrovně interakce s výkonným vedením, představenstvem a auditovou komisí? Slide 22

23 Jak mezi sebou komunikují a spolupracují IT a finance v záležitostech týkajících se vnitřní kontroly nad účetními výkazy? Jsou politiky a postupy k zachování integrity klíčových finančních aplikací a dat, a to jak v rámci IT i mimo něj? Jak jsou sledovány a řešeny změny v procesech, systémech, aplikacích, lidských zdrojích a obchodních podmínkách z pohledu IT kontrol? Jak vedení sleduje problémy, reaguje na ně a zajišťuje vhodné řešení incidentů, které ukazují na případné problémy kontrolního prostředí, jako je významné narušení bezpečnosti nebo problémy s poškozením dat? Slide 23

24 PwC Slide 24

25 Jak vyhodnocujeme a ověřujeme kontroly na úrovni entit v IT? Příklad: IT role a odpovědnosti jsou jasně definovány v organizační struktuře IT a jsou k dispozici pro všechen IT personál prostřednictvím intranetu. Vlastnictví a zaznamenání vnitřních kontrol je jasně definováno v odpovědnostních profilech. Hodnocení & ověřování Slide 25

26 Kontrola: Nedostatky vnitřní kontroly IT jsou čtvrtletně hlášeny výboru pro audit. Hodnocení & ověřování Slide 26

27 Závěr o ELC Tým musí učinit závěr o ELC velmi klíčový Vyhodnocení ELC bude mít vliv na povahu, časovou náročnost a rozsah provedených prací na kontrolních činnostech. Slabý ELC v rámci IT Silný Vyšší Velikosti vzorků pro testování kontrolních aktivit Nižší Slide 27

28 Kontrola: Došlo v IT k oddělení neslučitelných pravomocí Hodnocení & ověřování Slide 28

29 This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Česká republika, s.r.o., its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it PricewaterhouseCoopers Česká republika, s.r.o. All rights reserved. PwC is the brand under which member firms of PricewaterhouseCoopers International Limited (PwCIL) operate and provide services. Together, these firms form the PwC network. Each firm in the network is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way.