Uživatelská příručka k software Audit MV

Transkript

1 Uživatelská příručka k software Audit MV

2 OBSAH OBSAH ÚVOD DO SYSTÉMU Obecný úvod... 4 Informační systém Audit MV... 4 Příručka systému Audit MV Terminologie Lotus Notes... 4 Terminologie... 4 Dokumentová databáze... 4 Formulář... 4 Pole... 5 Dokument... 5 Dokument odpovědi... 5 Tlačítko... 5 Pohled... 5 Příloha... 5 Pevný text... 6 Obohacený text... 6 Identifikační kód uživatele... 6 Podpis, elektronický podpis... 6 Přístupová práva... 6 Skupina... 6 Kategorie... 7 Plné textové vyhledávání... 7 Sdílení dokumentů... 7 Replikace... 7 Pracovní stanice Notes (klient)... 7 Server Notes... 7 Lokální síť (LAN - Local Area Network)... 7 Metropolitní síť (MAN - Metropolitan Area Network)... 8 Rozsáhlá síť (WAN - Wide Area Network)... 8 Databáze pošty programu LN (nebo soubor pošty programu Notes)... 8 Aplikace pro řízení sledu prací (workflow) Terminologie systému Ovládání aplikací Akční tlačítka Pohledy Vložené pohledy Výstupní dokumenty Office Jak pracovat s touto příručkou STRUKTURA SYSTÉMU Jádro systému Podpůrné databáze systému Seznam auditorů: Seznam web uživatelů: Externí zdroje dat DATABÁZE AUDITŮ Popis datových položek Střednědobý plán auditu O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

3 Roční plán interního auditu...22 Typ auditu...23 Program auditu...23 Skutečný a žádoucí stav...23 Rizika...24 Doporučení Použití v auditním procesu...25 Sestavení střednědobého plánu...25 Sestavení ročního plánu...26 Zpracování auditu...26 Výstupní dokumenty NÁMĚTY PRO PLÁN KATALOG RIZIK...31 Formuláře...31 Pohledy...31 Vytvoření nového dokumentu nejvyšší hierarchické úrovně...31 Vytvoření nového dokumentu druhé, třetí nebo čtvrté hierarchické úrovně KATALOG PROCESŮ...34 Právní předpisy...35 Procesy, Gesce / Spolugesce a Činnosti DENNÍ ZÁZNAMY VYJÁDŘENÍ REGISTRY CESTOVNÍ NÁHRADY ČÍSELNÍKY UŽIVATELÉ...38 WEBové prostředí...38 Vyjádření...38 Opatření...39 Registry...39 Katalog rizik...39 Katalog procesů...39 Náměty pro plán...39 Příklady obrazovek v aplikacích tenkého klienta...40 Kontaktní údaje a informace, které odbor poskytuje...43 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

4 1. ÚVOD DO SYSTÉMU 1.1 Obecný úvod Informační systém Audit MV Informační systém Audit MV byl vytvořen firmou VUMS Legend s.r.o. Je realizován na bázi a v prostředí kancelářského systému Lotus Notes verze 7.0 a jeho jednotlivé komponenty tvoří funkční celek, který podporuje jednotlivé činnosti útvarů zabývajících se prováděním interního auditu v působnosti Ministerstva vnitra ČR. Příručka systému Audit MV Tato příručka je určena pro uţivatele obeznámené se základy práce v prostředí Windows a Lotus Notes. Obsahuje popis práce se systémem pro jednotlivé skupiny uţivatelů. Příručka je vytvořena jako sada dokumentů v databázi Lotus Notes, coţ uţivateli umoţňuje kdykoliv při práci se systémem tuto dokumentaci otevřít a operativně nalézt potřebné informace o právě prováděné činnosti. Informace uvedené v této příručce mohou být změněny v souvislosti s dalším vývojem systému. 1.2 Terminologie Lotus Notes Terminologie V dokumentaci je pouţívána terminologie systému Lotus Notes, pro snazší orientaci jsou proto v následujících odstavcích uvedeny nejběţnější pojmy s ilustračními analogiemi z běţné kancelářské praxe, které jsou napsány kurzívou. Podrobnější popis pojmů lze najít v databázi Nápověda programu Lotus Notes. Základní prvky databáze Dokumentová databáze Skupina dokumentů, formulářů a pohledů uloţená pod jedním jménem, která se otevírá prostřednictvím ikony databáze na pracovní ploše. Databáze 1 můţe být velmi malá a jednoduchá, např. telefonní seznam pracovní skupiny obsahující několik dokumentů a jeden pohled, nebo rozsáhlá a sloţitá, např. kontextová encyklopedie s tisíci dokumentů a mnoha pohledy. Adresáře, seznamy, šanony se spisy a dokumenty. Formulář Formuláře určují způsob zadávání informací do programu Notes a zobrazení a tisk těchto informací. Papírový formulář včetně návodu na jeho vyplnění. 1 Databáze programu Lotus Notes představuje jeden soubor obsahující více dokumentů, formulářů a pohledů uloţená pod jedním jménem, která se otevírá prostřednictvím ikony databáze na pracovní ploše. Databáze můţe být velmi malá a jednoduchá, např. telefonní seznam pracovní skupiny obsahující několik dokumentů a jeden pohled, nebo rozsáhlá a sloţitá, např. kontextová encyklopedie s tisíci dokumentů a mnoha pohledy. 4 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

5 Pole U ž i v a t e l s k á p ř í r u č k a k s o f t w a r e A u d i t M V Pojmenovaná oblast na formuláři, do níţ se zadává určitý typ informace. Položky papírového formuláře. Dokument Poloţka databáze programu Notes, kterou uţivatelé vytvářejí pomocí formuláře. Dokumentem můţe být stručná odpověď na dotaz i mnohastránková analýza trhu. Dokumenty obsahují pole s texty, čísly, grafickými prvky, skenovanými obrázky nebo dokonce i hlasovými zprávami. Chcete-li vytvořit dokument, vyplníte formulář z menu Tvorba v databázi. Vyplněný formulář. Dokument odpovědi Dokument vytvořený pomocí formuláře typu Odpověď, typické součásti diskusní databáze. V pohledu jsou dokumenty odpovědi většinou odsazeny pod dokumentem, na nějţ odpovídají. Vyplněný formulář fyzicky připojený k původnímu dokumentu (uložení do společných desek). Tlačítko Tlačítko je grafický prvek, který se můţe nacházet ve formulářích. Po stisknutí tlačítka se provádí akce nebo několik akcí, např. odeslání dokumentu pomocí elektronické pošty. Příklad tlačítka: Většinou nahrazuje činnost pracovníka (odnesení vyplněného formuláře do podatelny, nalezení adresy pro vyplnění apod.) Pohled Pohled je seznam dokumentů v databázi, jehoţ řazení usnadňuje vyhledání dokumentů. Databáze můţe mít značný počet pohledů. Chcete-li pohled změnit, vyberte z menu Pohled jiný pohled. Většinu pohledů vytvořil návrhář databáze, ale můţete si vytvořit vlastní pohledy, které budou k dispozici pouze vám. (Různí uţivatelé si mohou vytvořit různé pohledy, příp. budou pro některé uţivatele nedostupné, dostupnost pohledů se liší podle přístupových práv uţivatelů.) Řazení dokumentů ve spisech, oproti pohledům v Lotus Notes existuje pro papírové dokumenty jediný pohled (třídění), ostatní pohledy musí realizovat pracovník prohlížením všech papírových dokumentů. Příloha Soubor připojený k dokumentu programu Notes buď pomocí příkazu Úpravy - Vkládání - Příloha, nebo příkazem Soubor - Připojit... Příloha zůstane součástí dokumentu programu Notes, dokud není dokument či příloha vymazána. Papírové přílohy dokumentů. Na rozdíl od příloh v Lotus Notes může docházet k jejich ztrátám při manipulaci s dokumenty. O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

6 Pevný text U ž i v a t e l s k á p ř í r u č k a k s o f t w a r e A u d i t M V Oblast formuláře, která obsahuje popis (název) vkládané poloţky. Tento text nemůţe uţivatel modifikovat. Hlavičky papírového formuláře (Rok narození: ) Obohacený text Typ pole, které můţe návrhář databáze vloţit do formuláře. Styl textu v poli typu Obohacený text lze upravovat pomocí voleb v dialogovém okně Písmo. Je moţné např. pouţít tučné písmo a barvu, můţete vloţit obrázky, tabulky a další zvláštní údaje nebo objekty vytvořené v programu Notes, nebo importované z jiných aplikací, či vloţené ze schránky. Speciální položky formuláře (místo pro nalepení fotografie apod.) Bezpečnost, třídění Identifikační kód uţivatele Soubor přiřazený kaţdému uţivateli, který identifikuje tohoto uţivatele v programu Notes. Zabezpečuje kontrolu hesla uţivatele a zajišťuje bezpečnostní rysy programu Notes, jako přístupová práva, elektronické podpisy a šifrování. Fyzicky se nachází na disku pracovní stanice, která je uţivateli přidělena. Všichni uţivatelé programu Notes (a servery) musí mít přiřazen identifikační kód uţivatele. Magnetická karta opravňující ke vstupu do budovy, nebo osobní průkaz kontrolovaný vrátným (bezpečnostní službou). Podpis, elektronický podpis Připojit jedinečný (nezaměnitelný) elektronický podpis k dokumentu nebo k poli, neţ je dokument odeslán. Podpis je odvozen od uţivatelského identifikačního kódu odesilatele. Toto bezpečnostní opatření ubezpečuje příjemce, ţe dokument odeslal ten uţivatel, který jej napsal. Podpis oprávněného pracovníka na dokumentu (jeho falšování je trestné). Přístupová práva Zabezpečovací funkce určující úlohy, které můţe provádět jednotlivý uţivatel databáze Notes. Někteří uţivatelé mohou mít přístup ke všem činnostem, zatímco jiní mohou provádět pouze určité operace. Klíče od místnosti, trezoru s dokumenty. Skupina Nazývá se také skupina uţivatelů či seznam adres. Skupina je pojmenovaná mnoţina uţivatelů programu Notes definovaná formulářem Skupina v databázi Seznam jmen a adres. Seskupení uţivatelů usnadňuje hromadné odesílání pošty nebo přiřazení stejné úrovně přístupu kaţdému uţivateli v seznamu přístupových práv dané databáze. Papírové seznamy vytvářené na základě organizačních či jiných směrnic, které slouží pro schvalování, rozesílání a kolování dokumentů v rámci organizace i při styku s externími partnery. 6 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

7 Kategorie U ž i v a t e l s k á p ř í r u č k a k s o f t w a r e A u d i t M V Jméno (slovo, spojení slov, číslo) pouţité k seskupení dokumentů v pohledu. Moţnost sbalení kategorie umoţňuje udrţet si přehled mezi velkým mnoţstvím dokumentů v pohledu. Dokumenty vztahující se k objednávkám by mohly být seskupeny v kategorii Nákupy. Chcete-li vytvářet kategorie, musí být k dispozici pole pojmenované Categories. Uspořádání dokumentů do šanonů (spisů), oproti kategoriím v Lotus Notes, lze v papírové podobě seskupit pouze do jedné kategorie. Plné textové vyhledávání Funkce programu Notes, která umoţní vyhledat v databázi slova a slovní spojení, jakoţ i provádět sloţitější vyhledávání pomocí zástupných znaků a logických operátorů. Chcete-li provést plné textové vyhledávání, musí databáze obsahovat index pro plné textové vyhledávání - zvláštní soubor, který umoţní zkrátit proces vyhledávání na několik sekund. Tento pojem nemá žádnou analogii pro papírové dokumenty. Sdílení dokumentů Funkce systému Notes, která umoţňuje souběţný přístup více uţivatelů k vytvořenému dokumentu pro čtení. Zároveň upozorňuje na moţné konflikty při aktualizaci dokumentu. Společně s replikací minimalizuje nároky na uţivatele pro zachování konzistence uloţených dokumentů. Kopírování dokumentů a jejich rozesílání, zabezpečení rozesílání změn k dokumentům všem zainteresovaným pracovníkům. Replikace Replikace je proces udrţování oddělených kopií databáze na různých lokalitách v celkové synchronizaci. Při replikaci není nutné určovat podřízenost a nadřízenost jednotlivých účastníků, ale jsou-li provedeny změny v kterékoli kopii databáze, replikační proces je zodpovědný za obousměrné přidávání, mazání nebo přepis dokumentů ve všech replikách databáze podle přístupových práv přidělených kaţdé databázi. Rozesílání kopií dokumentů mezi různými pracovišti organizace a zabezpečení promítání změn do dokumentu z různých pracovišť. Struktura systému Pracovní stanice Notes (klient) Osobní počítač - pracovní stanice se systémem Windows (stolní nebo přenosná) - na němţ je provozován software pracovní stanice Notes. Server Notes Počítač, na němţ jsou uloţeny databáze programu Notes a který umoţňuje uţivatelům sdílet tyto databáze. Lokální síť (LAN - Local Area Network) Skupina počítačů, které mohou sdílet různá zařízení, např. tiskárny či souborové servery (např. Novell Netware), a vzájemně spolu komunikovat. Vzhledem O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

8 k tomu, ţe propojení v této síti je vytvořeno kabelem či nekomutovanými linkami, je lokální síť obvykle pouţita pouze v jedné budově. Metropolitní síť (MAN - Metropolitan Area Network) Je to obdoba lokální sítě s tím rozdílem, ţe propojené počítače nemusí být pouze v jedné budově, ale i na větší ploše (rozloha města). Metropolitní síť tvoří navzájem propojené lokální sítě. Propojení se uskutečňuje pomocí vysokorychlostních spojů (pevné metalické linky, optické, radiové). Rozsáhlá síť (WAN - Wide Area Network) Skupina počítačů, které spolu mohou komunikovat a sdílet zařízení, např. souborové servery. Na rozdíl od lokální sítě (LAN), pouţívá síť WAN telefonní linky. Sítě WAN jsou vytvořeny propojenými lokálními sítěmi. Databáze pošty programu LN (nebo soubor pošty programu Notes) Databáze programu Notes, do níţ odesíláte či v níţ přijímáte poštu. Ačkoliv je databáze pošty uloţená na serveru, můţete ji otevřít pouze vy. Můţete vlastnit i lokální kopii své databáze pošty, třeba na přenosném počítači či na dalším počítači doma, a pomocí mobilního provozu programu Notes můţete vzájemně vyměnit lokální a serverovou kopii databáze, aby byly identické, a odeslat poštu. Aplikace pro řízení sledu prací (workflow) Metoda podpory aplikací určených pro pracovní skupiny. Program Notes podporuje dva základní modely řízení sledu prací: sdílené aplikace a směrovací aplikace. Sdílené aplikace jsou všeobecné diskusní databáze, kam mohou různí lidé posílat své názory na určitý problém a kde je moţné kdykoliv prověřit stav diskuse. Směrovací aplikace jsou zaloţeny na výměně pošty, kde procházejí informace od jednoho uţivatele k druhému a kaţdý můţe zprávu určitým způsobem pozměnit. 1.3 Terminologie systému výraz administrátor systému alternativní pevný text auditovaná osoba automatizovaný autor dokumentu bezpečnost dat komentář Administrátor systému resp. správce systému, oba názvy popisují osobu nebo osoby se stejnou pravomocí. Administrátoři systému mají udělena nejvyšší práva k informačnímu systému. Výběr textu z nabízených moţností, které nelze upravovat (editovat). Útvar ministerstva, útvar policie nebo jejich niţší organizační článek, u něhoţ je připravován, vykonáván nebo byl vykonán interní audit. Stav, kdy je proces řízený počítačovým programem bez zásahu uţivatele. Osoba, která v rámci informačního systému vytvořila a uloţila dokument pod svým autorizačním kódem (login). Souhrn opatření zamezujících neoprávněnému pouţití elektronicky vedených informací (např. hesla, šifrování). 8 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

9 výraz bezpečnostní projekty činnost procesu dílčí proces dokument dokumenty Office dopad (významnost) důleţitost (IMP) editor dokumentu editovatelná pole epidemie formulář funkce gestor globalizace komentář Co se očekává od zabezpečení informačního systému, jaká aktivita (vše, co má hodnotu pro organizaci), co se chce chránit a jaké hrozby ohroţují tato aktiva přicházející v úvahu. Definuje opatření, jejichţ cílem je předejít, odhalit nebo zareagovat na moţná ohroţení. Řeší také implementaci opatření. Kaţdá činnost představuje jeden logický krok procesu (provedená bez podpory IT) nebo automatizovaná (probíhající bez účasti nebo i s účastí uţivatele). Jde o nejmenší jednotku práce, která má časový rámec. Z kaţdé činnosti mohou vyplynout jeden nebo více pracovních úkolů přiřazených nositelům činností; Část vykonávaného procesu (tj. postupu uloţeného právní normou) s relativně samostatnou posloupností navazujících kroků, v činnostech organizace (proces = interní audit, dílčí proces = zpráva o činnosti). V aplikaci audit MV je za dokument povaţován záznam informací sloţený ze souhrnu polí (poloţek). Soubory vytvořené v kancelářském balíku (např. textový soubor textového editoru, tabulka tabulkového procesoru). Rozsah následků pro auditovanou osobu (v konkrétních činnostech) uvedený v rozmezí hodnot 1 10 (zanedbatelný aţ katastrofální). U katastrofálního dopadu hrozí zastavení chodu organizace jako celku, včetně obrovské finanční ztráty. Stupeň priority doporučení na auditovanou osobu daný auditorem v rozsahu hodnot 1 10 (zanedbatelná aţ nejvyšší). Osoba, která provedla změnu informace v jiţ vytvořeném dokumentu a po té jej uloţila. Místo v dokumentu, do kterého lze volně vpisovat text, vybírat z přednastavené nabídky nebo vymazat jiţ existující informace (text, číslo, datum). Největší nahromadění výskytu onemocnění v časových a místních souvislostech. Šablona (formátování textu, rozloţení informací na obrazovce nebo v rámci dokumentu, umístění grafiky), podle které je vytvářený dokument sestaven. Systémem nabízené relevantní činnosti formou tlačítek pro uţivatele (např. vytvoření nového dokumentu, tisk dokumentu, editace, uloţení). Osoba pověřená výkonem určité činnosti, gescí za organizaci. Popis změn ve společnosti a světové ekonomice, které jsou O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

10 výraz hesla do rejstříku hierarchický pohled check box IP adresa jedinečné údaje jméno přihlášeného uţivatele katalog procesů katalog rizik klientelismus koeficient splnitelnosti (FC) U ž i v a t e l s k á p ř í r u č k a k s o f t w a r e A u d i t M V komentář důsledkem dramatického vzrůstu mezinárodního obchodu a sbliţování kultur. Popisné fráze, podle kterých bude v registrech vyhledáván text. Souhrn dokumentů zobrazený podle jednotlivých, na sebe navazujících, úrovní (dokument, odpověď na dokument, odpověď na odpověď). Zaškrtávací pole (vyjádření dvou moţností: ano x ne). Jedinečný parametr, podle kterého lze identifikovat konkrétní počítač zapojený v počítačové síti. Údaje vybrané z nabídky moţností bez práva změny této nabídky. Identifikace osoby pro přihlášení do aplikace audit MV (příjmení osoby a hierarchicky vyjádřený název útvaru). Hierarchicky (do 4 úrovní) uspořádaný výčet procesů podle jednotlivých oblastí činností vykonávaných organizací (např. výkon interního auditu v rámci účetní jednotky organizační sloţky státu Ministerstvo vnitra). Hierarchicky (do 4 úrovní) uspořádaný výčet rizik podle jednotlivých oblastí činností vykonávaných organizací (např. nepostupování při výkonu interního auditu v souladu s mezinárodními standardy). Lze chápat jako vztah, kde veřejné činitele a zájemce o státní zakázky spojuje společný osobní prospěch, takţe se navzájem chrání nebo z nabízené a přijímané ochrany mají (finanční) prospěch. Jedná se o formu korupce. Vyjádření rozsahu splnění opatření přijatých na základě doporučení. Koeficient splnitelnosti (FC) je součet součinů hodnot důleţitosti (IMP) a rozsahu splnění (EXT) vydělená součtem hodnot důleţitosti. Koeficient splnitelnosti je v rozsahu hodnot 0 aţ 1 s přesností na 2 desetinná místa. Na základě koeficientu splnitelnosti lze procentuálně vyjádřit celkový rozsah splnění doporučení. korupce kvóta { FC = Σ (IMP. EXT) / Σ IMP } Jednání, kterým osoba v určitém kvalifikovaném postavení (volený zástupce, úředník zaměstnaný ve veřejné správě, zaměstnanec veřejného sektoru, ale i osoba na určité pozici v soukromém sektoru) zneuţívá svého postavení k osobnímu obohacení nebo obohacení třetích osob, přičemţ z tohoto jednání mohou mít přímý uţitek osoby, které korupční jednání vyvolají, a vţdy vzniká škoda do různé míry určitelné skupině fyzických i právnických osob. Stanovený počet (předepsané mnoţství), poměrný díl. 10 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

11 výraz MAC adresa mapa rizik ministr/statutár mrtvá evidence nepotismus oblast největšího rizika oblast přijatelného rizika oblast zanedbatelného rizika obohacený text oceněná závaţnost oceňovací matice rizik odpovědná osoba odpovědní dokument oprávněný uţivatel komentář Jedinečné číslo v hexadecimálním útvaru (šestnáctková soustava), které informuje o výrobci a výrobním čísle (např. síťové karty PC). Grafické vyjádření vybraných hodnot z katalogu rizik formou bublinkového grafu. Osoba oprávněná jednat v plném rozsahu pravomocí za organizaci. Souhrn dokumentů nesoucích informace, které pozbyly platnost a byly přesunuty systémem nebo uţivatelem do archivační části systému. V aplikaci audit MV nelze dokumenty mazat, lze je pouze přesunout do mrtvé evidence z důvodu dokladování činnosti auditora. Způsob obsazování funkcí, v němţ jsou preferováni příbuzní proti ostatním. Část mapy rizik, ohraničená risk kapacitou, ve které mají rizika katastrofální dopad na chod organizace. Část mapy rizik, ohraničená risk apetitem a risk kapacitou. Rizika nacházející se v této oblasti jsou pro chod organizace akceptovatelná. Je nezbytné těmto rizikům věnovat zvýšenou pozornost. Část mapy rizik, ohraničená risk apetitem. Rizika uvedená v této oblasti jsou nevýznamná a jejich působení můţe ovlivnit vnitřní chod organizace nevýznamným způsobem. Text umoţňující číslování odstavců, změnu fontu písma, vkládání objektů atd. Průměr součtu závaţností (tj. jednotlivých součinů četností a významností) uvedených v jednotlivých 8 váhách u konkrétního zjištění (uvádí se v dílčí zprávě z auditu a zprávě z auditu u jedné auditované osoby). Její hodnota je v rozsahu Souhrn informací uvedený v rizikových faktorech váhách po jednotlivých rizicích uvedených v katalogu rizik. Pro 1., 2. a 3. úroveň katalogu rizik jsou automatizovaně vypočteny rizikové faktory váhy ze sumy hodnot 4. úrovně katalogu. Pouţívá se pro mapu rizik uváděnou v rámci jednotlivých auditů a roční zprávu o činnosti auditu. Zpravidla se jedná o osobu přímo podřízenou statutárovi organizace (druhý stupeň řídící úrovně). Odpovědná osoba řídí jednotlivé auditované osoby nebo odpovídá za auditovanou činnost. Druhá úroveň v hierarchii dokumentů. Jedná se o typ dokumentu odpověď na dokument mající vazbu k hlavnímu dokumentu (např. vyjádření se auditované osoby k dílčí zprávě z auditu). Fyzická osoba nebo skupina osob, které je umoţněn přístup k vybranému rozsahu informací aplikace audit MV. O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

12 pohled pole poloţka výraz pravděpodobnost (četnost) prázdná poloţka priority proces (podnikový, základní proces) projektové záměry a projekty (IT) komentář Souhrn dokumentů tříděný podle indexu, tj. pravidel a podmínek pro výběr (např. abecední seznam auditorů). Prvek formuláře, který obsahuje určitý typ dat. Můţe např. obsahovat text nebo grafiku. Lze jej umístit na libovolné místo formuláře. Vlastnosti textu, např. tučné písmo nebo barva, nastavené pro pole, ovlivňují způsob zobrazení údajů ve výsledném dokumentu. Informace uvedená v poli, můţe se jednat např. o jeden údaj vybraný z nabízeného seznamu. Moţnost výskytu rizika v konkrétní činnosti organizace. Uvádí se v hodnotách 1 10 (vyskytuje se za výjimečných okolností vyskytuje se téměř vţdy). Nulový řetězec textu. Oblasti činností, ve kterých je předpokládána značná četnost rizik nebo jejich negativní dopad na organizaci. Jsou definovány ve střednědobém plánu po jednotlivých letech a v ročním plánu (např. účinnost vnitřního kontrolního systému organizační sloţky státu MV). Je mnoţina jedné nebo více propojených činností, příp. dílčích procesů jako mnoţiny jedné nebo více propojených činností, společně přispívajících k dosaţení cíle procesu. Tyto jsou logicky propojené tak, jak se podílejí na celkové realizaci procesu. Má definován svůj počáteční a koncový bod, rozhraní a i zúčastněné organizační jednotky (tj. role nebo funkční místa). Proces je zpravidla úzce spjatý s organizační strukturou a obvykle je i popsán metodickými pokyny resp. jinými typy interních aktů řízení (NMV, PMV). V řadě případů můţe přecházet i přes hranice organizačních jednotek. Má své zákazníky externí nebo interní. Vyčleněním části procesu lze vytvořit tzv. podproces (dílčí proces). V daných podmínkách půjde zřejmě o zmapování základních procesů tedy procesů, které jsou zpravidla totožné s vymezením jednotlivých činností v příslušných ustanoveních uvedených v rámci předmětu činností jednotlivých útvarů ministerstva v organizačním řádu ministerstva; Jde o popis struktury procesu v logické posloupnosti činností příp. dílčích procesů tak, jak se podílejí na jeho celkové realizaci. Musí obsahovat přiřazení rolí, tj. obecného organizačního označení toho subjektu, který činnost vykonává. Jde v podstatě o odkaz na organizační prvek příp. funkci, která danou činnost zabezpečuje (Viz NMV č. 65/1994, čl. 3 Projekt a projektový záměr) /1/ Útvary mohou zřizovat informační systémy a počítačové sítě a provádět změny charakteru jejich provozu pouze na základě evidovaného projektu, jehoţ realizace byla povolena 12 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

13 výraz U ž i v a t e l s k á p ř í r u č k a k s o f t w a r e A u d i t M V komentář prvním náměstkem ministra vnitra a pod odborným dozorem věcně příslušného útvaru bezpečnostního úseku Ministerstva vnitra (dále jen "věcně příslušný útvar"). předdefinovaný text předvyplněné pole registr relativní závaţnost risk apetit risk kapacita riziko riziková oblast rizikové faktory váhy /2/ Podkladem pro evidenci projektu je projektový záměr; jeho sestavení zabezpečuje útvar, který bude vykonávat funkce provozovatele informačního systému nebo počítačové sítě, pokud organizační řád Ministerstva vnitra tuto činnost nesvěřuje jinému útvaru. Projektový záměr obsahuje zejména analýzu současného stavu, popis jeho nedostatků, shrnutí cílů, stanovení postupu pro dosaţení cílového stavu a stanovení prostředků k dosaţení cílového stavu Text, uvedený v poli jiţ při zaloţení nového dokumentu, který lze uţivatelem upravovat. Část formuláře nabízející předpřipravenou informaci při zaloţení nového dokumentu. Zpravidla se jedná o výběr z nabízených moţností. Souhrn informací v aplikaci audit MV majících vztah k výkonu auditu, poskytovaných auditovaným a odpovědným osobám (např. registr zjištění, registr doporučení, registr opatření). Procentuální vyjádření závaţnosti. Celková významnost rizika, kterou je vedení organizace ochotno přijmout k dosaţení stanovených cílů. Je hranicí mezi oblastí zanedbatelného rizika a akceptovatelného rizika. Významnost rizika, nad kterou je ohroţen chod organizace. Jedná se o maximální míru rizika, kterou je organizace schopna ještě unést. Je hranicí mezi oblastí akceptovatelného rizika a oblastí nejvyšší rizikovosti. Pravděpodobnost, ţe nastane určitá událost, jednání nebo stav, které by mohly mít negativní vliv na plnění poţadovaných cílů. Plocha v mapě rizik ohraničená dopadem (významností), četností (pravděpodobností) a risk apetitem nebo risk kapacitou. Porovnatelné nebo měřitelné parametry pro hodnocení stupně významnosti rizik, které jsou kombinací subjektivního posuzování moţných neţádoucích dopadů na řádnou správu a řízení orgánů veřejné správy a pravděpodobnosti výskytu těchto rizik prostřednictvím objektivních nebo historických údajů. Pro daný kalendářní rok jsou uvedeny v ročním plánu auditu. Jedná se o 8 vah vztaţených k jednotlivým rizikovým oblastem ohodnocených číselnou hodnotou. Součet všech osmi vah musí být roven 1. (např. prostředky EU = 0,20; sankce = 0,05; převod listinných agend do elektronických = 0,15; organizační změny = 0,15; veřejné prostředky = 0,20; O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

14 výraz rozsah splnění (EXT) RT pole řízený přístup skutečný stav spolugestor správce katalogu správce zdroje dat SSL protokol tenký klient text z nabídky váha rizika vícenásobná poloţka volný text vstupy procesu U ž i v a t e l s k á p ř í r u č k a k s o f t w a r e A u d i t M V komentář veřejné zakázky = 0,15; četnost a výsledky kontrol a auditů = 0,05; sloţitost a změny předpisů = 0,05). Posouzení splněnosti opatření přijatých na základě doporučení v hodnotách 0 aţ 1 (nesplněno aţ splněno na 100%). Viz obohacený text Programem vypočítaný přístup k informacím poskytovaným oprávněnému uţivateli. Informace popisující zjištění u auditované osoby zadokumentovaná auditorem. Útvar spoluodpovídající za konkrétní činnost organizace vycházející z právních předpisů. Fyzická osoba s nejvyššími právy k souhrnu informací zdroje dat pouţívaných pro vytváření dokumentů (např. katalog rizik). Fyzická osoba s nejvyššími právy ke zdroji dat včetně moţnosti jejich změny. Zkratka z anglického Secured Sockets Layer. Poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran. Nejčastěji se vyuţívá pro bezpečnou komunikaci v internetových technologiích. Jedná se o prostředí podporované internetovými prohlíţeči (např. Internet Explorer) poskytující informace uţivateli po jednotlivých stránkách včetně Interface (např. z telefonního seznamu prvních 20 osob, pro dalších 20 osob musí uţivatel odeslat poţadavek na zobrazení další stránky). Výběr textu z programově nabízených moţností. Ohodnocení váhy jednotlivého rizika relativního významu v porovnání se všemi ostatními posouzenými rizikovými faktory podle stupnice ve zvolené číselné řadě 0 1, celková suma 8 vah je rovna 1 (např. prostředky EU = 0,20; sankce = 0,05; převod listinných agend do elektronických = 0,15; organizační změny = 0,15; veřejné prostředky = 0,20; veřejné zakázky = 0,15; četnost a výsledky kontrol a auditů = 0,05; sloţitost a změny předpisů = 0,05). Informace skládající se z více údajů jednoho typu z nabízeného seznamu (např. auditované osoby). Libovolný text zapsaný uţivatelem. Jde o situaci nebo skutečnost, na základě které je proces odstartován. Můţe jít např. o rozhodnutí vedení, výstupy z průběţné analýzy stavu problematiky, podání občana, zaměstnance apod., realizace plánovaných opatření atd. 14 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

15 výraz vygenerovat dokument vypočítávané datum vypočítávané pole výstupní dokumenty výstupy procesu závaţnost zdroj dat ţádoucí stav komentář Programové vytvoření výstupního dokumentu aplikací Office z prostředí Lotus Notes. Datum vypočítávané programem na základě předem daných podmínek. Část formuláře, která obsahuje vypočítávanou informaci dle předem daných podmínek. Dokumenty vyuţívané k vytváření tiskových výstupů souvisejících s činností auditora. Jde o situaci nebo skutečnost, na základě které je proces ukončen. V převáţné části případů v našich podmínkách jde např. o vydání rozhodnutí ve správním řízení, poskytnutí poţadovaných informací, předloţení strategických a koncepčních materiálů, návrhů právních předpisů resp. interních aktů řízení atd. Součin významností (dopadu) a pravděpodobnosti výskytu (četnosti). Závaţnost je v mapě rizik vyjádřena velikostí bublinky. Část aplikace audit MV, tedy souhrn dokumentů obsahujících informace jednoho druhu (např. vyjádření auditovaných a odpovědných osob, denní záznam auditora, katalog rizik). Citace právních norem vztahujících se ke konkrétním zjištěním v auditované oblasti (např. z právních předpisů, interních aktů řízení, organizačních řádů a statutů, právních aktů a smluv, příp. i z usnesení vlády, zřizovacích listin). 1.4 Ovládání aplikací Aplikace vyuţívají standardní rozhraní a ovládání systému Lotus Notes. V této kapitole jsou zdůrazněna některá specifika systému Audit MV. Akční tlačítka Ikona Název tlačítka Popis Uloţit Zavřít Odkazy Upravit Nový (dokument) Pohledy Zobrazí se nabídka odkazů z aktuálního dokumentu. V novém okně se otevře zvolený. Tvorba nového dokumentu (různých typů dle kontextu). Pro otevření dokumentu z pohledu se pouţívá poklepání nebo klávesa Enter na řádku dokumentu. Kromě řádků dokumentů jsou v pohledech někdy i řádky kategorií, ty nelze otevřít, jen sbalit a rozbalit. O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

16 Také se pouţívají pohledy s hierarchií dokumentů, kdy řádek dokumentu po rozbalení zobrazí podřízené dokumenty. Pokud řádek pohledu lze rozbalit, je v něm zobrazena šipka. Pokud řádek pohledu lze sbalit, je v něm zobrazena šipka. Rozbalit/sbalit lze jen jednu úroveň nebo všechny. Lze pouţívat myš, tlačítka panelu nástrojů, poloţky menu Pohled a klávesnici: Vloţené pohledy Jeden řádek pohledu (ať uţ řádek kategorie nebo dokumentu) je obvykle zobrazen jako jeden řádek textu. V některých pohledech se jeden dokument můţe zobrazovat aţ jako devět řádků textu. Můţe se stát, ţe ani tak není příslušný text zobrazen celý, ten je moţno zobrazit otevřením dokumentu. Ve formulářích jsou pouţity vloţené pohledy na podřízené dokumenty k aktuálnímu dokumentu. Pokud je vloţených pohledů více, přepínají se pomocí tzv. "záloţek" či "oušek". Výstupní dokumenty Office K plánům a auditům se v aplikaci tvoří dokumenty Office. Podle stavu dokumentu a aktuálního uţivatele se mění nabídka tlačítka. Pokud uţ dokument zvoleného typu existuje, zobrazí se jejich nabídka s moţností otevřít existující nebo zaloţit nový. Nově zaloţený výstupní dokument se objeví nejprve jako nový dokument Lotus Notes odpovídající zvolenému výstupnímu dokumentu. Má řadu polí vyplněných systémem automaticky a můţe mít další pole, které vyplní uţivatel. Po stisknutí tlačítka Přepnout do Word (Excel) se aktivuje přes celou plochu vnořený objekt dokumentu Office. Do záloţek dokumentu Office se přenesou automaticky hodnoty odpovídajících polí z dokumentu Lotus Notes. Uţivatel ještě můţe v dokumentu upravit jiné texty. V tomto stavu je menu aplikace sloučením menu Lotus Notes a Office. Některé poloţky menu nejsou dostupné. Např. pro tisk dokumentu Office pouţijte tlačítko Tisk... (s tiskovým dialogem, tj. dalším nastavením tisku) nebo Tisk (přímý tisk) z akční lišty formuláře výstupního dokumentu Lotus Notes. Přepnutí zpět do Lotus Notes není moţné, dokument lze pouze uloţit (uloţí se dokument Lotus Notes s aktuální verzí objektu Office). Po znovutevření dokumentu Lotus Notes lze upravit editovatelná pole a znovu provést přepnutí do Office. Pro zobrazení, která místa dokumentu Office jsou plněna automaticky je moţno v menu Word Nástroje - Moţnosti... Zobrazení zvolit Záloţky. Záloţky pak jsou [ohraničeny hranatými závorkami]. Pokud záloţku odstraníte, při příští aktivaci uţ nebude toto místo automaticky aktualizováno. 16 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

17 1.5 Jak pracovat s touto příručkou Tato příručka je průvodní dokumentací kancelářského systému Audit MV. Je vytvořena formou dokumentační databáze Lotus Notes a lze ji pouţívat jedním ze dvou způsobů: ve formě elektronické jako průběţnou nápovědu při práci se systémem ve formě tištěné jako běţnou písemnou příručku. Tisknout lze celou příručku nebo podle potřeby jednotlivé kapitoly tlačítkem v záhlaví libovolného dokumentu. Tlačítko v záhlaví libovolného dokumentu otevře pohled Rejstřík pro moţnost hledání podle hesel. Pouţívání v elektronické formě má mj. tu výhodu, ţe jednotlivé odkazy na další kapitoly v příručce jsou realizovány propojením dokumentů pomocí ikony propojení. Klepnutím na ikonu propojení se ihned otevře dokument (kapitola) na níţ odkaz směřuje. Návrat do původního dokumentu se provede např. klávesou Esc. Databáze obsahuje pohledy: Obsah - standardní obsah všech kapitol příručky Rejstřík - umoţňuje vyhledávání podle hesel Poznámky k verzi - speciální dokument s informacemi o příslušné verzi Chybová hlášení - přehled chybových hlášení a doporučených reakcí Pro vyhledávaní informací v příručce lze také samozřejmě (po vytvoření indexu) pouţít plnotextového vyhledávaní Lotus Notes. Příručka je členěna do 13 kapitol: Kapitoly 1. a 2. jsou úvodními všeobecnými informacemi pro získání přehledu o struktuře a moţnostech systému Audit. Kapitoly 3. aţ 13. popisují jednotlivé výkonné databáze systému včetně všech vzájemných vazeb a jsou vlastně návodem k obsluze systému Audit. Všechny tyto kapitoly mají jednotnou strukturu a obsahují: přehled všech formulářů a pohledů v databázi pro kaţdý formulář databáze jeho účel včetně přístupových práv pro kaţdý formulář databáze návod jak s formulářem pracovat Dodatek A je podrobným návodem pro administraci systému v provozu. Je určen pro speciálního pracovníka - administrátora systému s příslušnými odbornými znalostmi. 2. STRUKTURA SYSTÉMU 2.1 Jádro systému Jádrem systému je databáze Audit MV, která obsahuje dokumenty znázorněné na následujícím obrázku: O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

18 Typy dokumentů v hlavní databázi Audit MV (inaau.nsf) Střednědobý plán Plán na 4 roky. Slouţí jako podklad pro tvorbu ročních plánů. Roční plán Záhlaví ročního plánu. Poloţky v samostatných svázaných dokumentech. Audit Tj. poloţka plánu auditu. Postupně se z ní stane hlavní dokument auditu. Obsahuje seznam auditorů a auditovaných osob. Výstupní dokument Kaţdý má své pořadové číslo a vloţený objekt Word/Excel Dílčí zpráva Zpráva u jedné Ao Zpráva z auditu Obsahují výběr ze zjištěni, rizik a doporučení. Zjištění Jednotlivé skutečné stavy a text se ţádoucím stavem. Přenos do Vyjádření. Riziko Rizika Vazba s katalogem rizik Doporučení Doporučení auditora Opatření Opatření auditované a odpovědné osoby přenesená z Vyjádření 18 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

19 1. Audit MV (hlavní databáze, inaau.nsf) AU Bude pro jeden auditní útvar kontinuálně (po mnoho let, s archivací uzavřených auditů do archivní databáze). Přístupná jen z LN. Moţnost replikace do lokálních LN (na notebook). Obsahuje: Střednědobé a roční plány auditu Zjištění, rizika, doporučení a opatření přenesená z vyjádření Sběrný arch a výstupní dokumenty s Word objekty. Podrobnější popis je v samostatné kapitole příručky. 2. Denní záznamy DZ Přístupná jen z LN. Moţnost replikace do lokálních LN (na notebook). Obsahuje jednoduché denní záznamy auditorů s nepovinnou vazbou na audit. Podrobnější popis je v samostatné kapitole příručky 3. Vyjádření VY Programově synchronizovaná s hlavní databází (zjištění, rizika, doporučení, opatření) Obsahuje 2 podobné, ale oddělené části: Vyjádření auditované osoby (z webu zadává vyjádření ke zjištěním a svá opatření) Vyjádření odpovědné osoby (z webu zadává vyjádření k auditu a svá opatření) Auditoři přistupují z LN - čtou zde vyjádření a opatření. Podrobnější popis je v samostatné kapitole příručky. 4. Registry RE Všem web uţivatelům zpřístupňuje zjištění, doporučení a opatření se statutárem schválených auditů. Podrobnější popis je v samostatné kapitole příručky. 5. Katalog rizik KR Číselník 3 úrovní rizik plus doplňovaná data pro 4. úroveň. Přístup z webu i LN. Podrobnější popis je v samostatné kapitole příručky. 6. Katalog procesů KP Seznam procesů pro kvalifikaci rizik.. Přístup z webu i LN. Podrobnější popis je v samostatné kapitole příručky. 7. Náměty pro plán NP Sběr námětů z webu i LN. Podrobnější popis je v samostatné kapitole příručky. 8. Cestovní náhrady CP Bez explicitních vazeb na ostatní databáze. Podrobnější popis je v samostatné kapitole příručky. O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

20 2.2 Podpůrné databáze systému 1. Uţivatelé AD Databáze bude částečně kompatibilní s designem adresní knihy a bude zařazena jako secondary Domino Directory do Directory Assistance s volbou Group Authorization. Jelikoţ takováto databáze, pomocí které se ověřují skupiny, můţe být jen jediná, sloučíme oba seznamy uţivatelů do jediné databáze. Přístupná jen z LN. Budou zde 2 oddělené agendy: Seznam auditorů: Obsahuje část uţivatelů z DD, které mohou pracovat s vyvíjeným systémem v roli auditora, vedoucího auditorského týmu a vedoucího auditního útvaru a doplňkové informace o nich. Kontaktní údaje Název organizačního celku (tj. pracoviště interního auditora) Seznam nadřízených pro schvalování (z téhoţ seznamu auditorů). Moţná to půjde nějak nahradit pouţitím Jmenované funkce z EKIS II EKIS\au1.nsf. Plné uţivatelské jméno LN a doména LN, tedy údaje potřebné pro: Vyhledání svého dokumentu dle uţivatelského jména aktuálně přihlášeného uţivatele a zjištění doplňkových informací Zjištění LN poštovní adresy uţivatele (pro posílání avíz). Jsou zde vedeny skupiny auditorů útvarů (tj. OSS, SPO a s.p.), k zabezpečení oddělení vlastních dokumentů. Seznam web uţivatelů: Při prvním zřízení přístupu ke zdroji dat vyjádření pro auditovanou osobu nebo odpovědnou osobu (náměstka) se zde zaloţí nový osobní dokument. Bude však neosobní tedy v názvu nebude jméno a příjmení, ale název organizační jednotky a funkce. Název musí být unikátní, budou se asi pouţívat poslední 2 úrovně organizačních jednotek (spojené do jednoho názvu). Pro přihlašování bude zavedeno i krátké jméno (short name). Bude vygenerováno heslo v otevřeném tvaru, které bude na výstupním dokumentu ve Word (v záloţce, která neodpovídá, ţádnému poli LN dokumentu, naplněné jednoúčelovým skriptem), ale nebude uloţeno v ţádném LN dokumentu. Jen v příslušném poli v osobním dokumentu bude v zašifrovaném tvaru (pouţitelném pro ověření shody se zadaným heslem, nikoliv pro zobrazení hesla). Při dalším zřízení přístupu stejné osoby se přidělí nové heslo a podobným způsobem vytiskne na výstupní Word dokument. Správce software automaticky udrţuje skupiny všech těchto web uţivatelů, resp. odděleně i auditované osoby a odpovědné osoby. Podrobnější popis je v samostatné kapitole příručky (1). 2. Archiv auditu MV AA Bude pro jeden auditní útvar kontinuálně. Z hlavní databáze se sem budou přesunovat dokumenty z uzavřených auditů. 20 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

21 3. Číselníky CI Nabídky jako oslovení, typy auditu apod. Podrobnější popis je v samostatné kapitole příručky (2). 4. Historie (Protokolování přístupu) PP Záznamy o modifikacích a čtení dokumentů. Podrobnější popis je v samostatné kapitole příručky (3). 5. Šablona společných prvků (inasp.ntf) SP Pro návrhové prvky sdílené více databázemi (zejména knihovny, subformy apod.) Má nastaven šablonový string inasp. Prvky, které mají být sdílené se zkopírují do této šablony a všude, kde jsou pouţity se zapíše explicitní dědění z inasp. Po úpravě takového prvku a otestování v nějaké db, je potřeba ho přenést do společné šablony. Jinak se v 1:00 (nebo i dříve při ručním provedení refresh designu) designérem vrátí poslední stav ze šablony. 6. Příručka PU Replikovaná db s příručkou. Tato databáze. 7. Diskuse DI Replikovaná db s připomínkami. Databáze standardního designu Lotus Notes diskuse. 2.3 Externí zdroje dat Rozdělení do databází na serveru existující zdroje dat seznam součástí seznam_soucasti_mv.nsf interní akty řízení IAR_MV.nsf IAR_PP.nsf IAR_HZS.nsf Informace zaslané MF ČR i_mf_xxx.nsf Výběr vzorků z EKIS SAP R/3 program auditu referátník.nsf jmenované funkce EKIS\ au1.nsf středisko elektronizace dokumentů (SW LN scan) Č.j. - archiv písemností ( vše zelené ) archiv_xxx.nsf elektronická spisová služba (jednací protokol) O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

22 3. DATABÁZE AUDITŮ 3.1 Popis datových položek Střednědobý plán auditu Střednědobý plán zpracuje vedoucí auditorského útvaru, schvaluje jej ministr vnitra/ statutár (datum schválení je uloţeno v dokumentu střednědobý plán ). Střednědobé plány se tvoří kaţdé čtyři roky na období čtyř let. Můţe nastat změna metodiky a plány budou tvořeny v jiných intervalech. Střednědobý plán můţe být upraven. V tomto případě platí poslední upravená verze. Konkrétní plán můţe být pouze v jednom konkrétním ročním plánu a v jednom platném střednědobém plánu. Pro střednědobý plán není stanoven počet rizikových faktorů. Roční plán interního auditu - je sestaven pro následující kalendářní rok, - není ve sběrném archu, má vlastní volně editovatelné číslo jednací. - zpracuje vedoucí auditorského útvaru, schvaluje ministr vnitra/ statutár, datum schválení je uloţeno v dokumentu roční plán, Roční plán obsahuje: priority na rok (automatizovaně přenesený text ze střednědobého plánu k předmětnému roku s moţností editace ), výčet interních auditů vyplněné poloţky auditu: o název auditu, o typ auditu (následný ), o předběžný cíl auditu, o auditované období (nemusí být vyplněno), o termín výkonu auditu (můţe se v průběhu roku změnit), o seznam auditovaných osob. (V ročním plánu nemusí být všechny auditované osoby, budou doplněny dokumentem program auditu ), o identifikace předchozího auditu (u následného auditu). rizikové faktory Pro roční plán je definováno vţdy osm rizikových faktorů. Názvy rizikových faktorů se mohou pro různé roční plány měnit. Rizikové faktory jsou pouţity v dokumentu Plán interního auditu na rok v části riziková oblast, kde obsah sloupce riziková oblast odpovídá názvům rizikových faktorů. Kaţdý rizikový faktor má přidělenu číselnou hodnotu ( váhu ). Váhy rizikových faktorů: o jsou ke kaţdému rizikovému faktoru doplněny ručně, o jsou čísla s přesností dvou desetinných míst, součet vah všech osmi faktorů je roven 1, o platí pro roční plán, o jsou pouţity v dokumentu Oceňovací matice rizik. četnost a významnost rizikových faktorů: 22 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

23 o jsou ke kaţdému rizikovému faktoru doplněny ručně, o mají číselnou hodnotu 1-10, o jsou pouţity v dokumentu Roční plán v přehledu rizikových oblastí a následně v mapě rizikových oblastí. Do výstupního dokumentu (v MS Wordu) jsou kromě zmíněných informací zahrnuty do přílohy: o odborná příprava interních auditorů, o metodická a konzultační činnost, Audit Typ auditu systému, výkonu, finanční, následný, shody, forensní, je zadáván z číselníku typu auditu (s moţností zadání vícenásobné poloţky), uloţen v auditu a v ročním plánu, je parametr auditu, tedy platí pro všechny auditované osoby auditu. Audit můţe být plánovaný nebo operativně zařazený (tj. mimořádný audit). Mimořádný (operativně zařazený ) audit je doplněn do zdroje dat seznam (roční plán) interního auditu během roku, schválený dokument Plán interního auditu na rok se jiţ nemění. Kdo poţadoval mimořádný audit (zadáno jako volný text) je uloţeno v dokumentu předmětného auditu. Tato informace je pak pouţita v několika výstupních dokumentech Office. Audit můţe být zadán: - kopií z předchozího plánu auditů, - kopií z námětů pro audit, - ručně. Jeden audit má jednoho vedoucího auditorského týmu, několik auditorů a desítky dokumentů. Program auditu Lze jej vytvořit před auditním prověřováním na místě (tj. ve stavech naplánováno a předběţné zjišťování) a můţe být v průběhu auditu doplněn dalším dokumentem Program auditu. V doplňujícím programu auditu mohou být změněny poloţky: - auditované osoby, - cíl auditu, - členové auditorského týmu, - kritéria hodnocení, - kontrolní metody. Zjištění, rizika, doporučení, opatření Skutečný a ţádoucí stav Zjištění (skutečný stav) můţe být zapsáno v rámci auditu nebo i bez vazby na konkrétní audit. Při auditu konkrétní auditované osoby mohou být pouţita: - zjištění pořízená v rámci předmětného auditu, - zjištění u stejné auditované osoby zapsané do zdroje dat Zjištění v rámci předmětného auditu a nebude pouţito (tzn. nemá souvislost s předmětným auditem). O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

24 - zjištění u stejné auditované osoby zapsané do zdroje dat Zjištění v rámci jiného auditu, u kterého nebylo pouţito, nebo bylo pouţito jako vedlejší zjištění, a má souvislost s předmětným auditem. V rámci jednoho auditu můţe být několik auditovaných osob. Zjištění se zapisuje pro kaţdou auditovanou osobu zvlášť. Poloţka skutečný stav obsahuje konkrétní zjištění u auditované osoby. Můţe obsahovat text i tabulky. Žádoucí stav je volný textový popis poţadovaného stavu. Auditor jej můţe popsat přímo nebo můţe přenést texty ze zdrojů dat Lexdata či Interní akty řízení. Rizika Kaţdá odchylka od poţadovaného stavu přináší jistá rizika. Jeden skutečný stav můţe mít i několik rizik. Rizika jsou vybírána z katalogu rizik (tj. 1 aţ 3 úroveň). Čtvrtá úroveň katalogu rizik lze vytvořit z vybraného rizika z katalogu rizik (výběrem, nebo změnou existujícího). V případě, ţe vhodné riziko není nalezeno, lze jej zapsat do pole riziko ve zdroji dat Zjištění ručně. Všechna rizika pouţitá ve Zprávě z auditu jsou automatizovaně přenesena do Katalogu rizik včetně svých oceněných závažností (tj. tabulka četností a významností). Riziko má jednoznačné umístění v katalogu rizik (tj. 1., 2., 3. a 4. úroveň katalogu rizik). Toto je nutné pro automatizovaný zpětný zápis rizik do katalogu procesů po skončení auditu. Po ukončení auditu je katalogu rizik je uloţena i oceňovací matice rizik. Kaţdé riziko je ohodnoceno osmi rizikovými faktory - váhami vycházejícími z ročního plánu. Kaţdému riziku přidělí auditor četnost a významnost výskytu faktoru. Četnost rizika pravděpodobnost výskytu Stupeň četnosti Popis Příklad 10 Téměř jistá Vyskytuje se téměř vţdy (91%-100%) 9 Velmi pravděpodobná Vyskytuje se často (81%-90%) 8 Pravděpodobná Vyskytuje se v rozsahu 3/4 (71%-80%) 7 Téměř Vyskytuje se (61%-70%) pravděpodobná 6 Moţná Vyskytuje se ve větší části (51%-60%) 5 Téměř moţná Vyskytuje se občas (41%-50%) 4 Řídká Vyskytuje se občas (31%-40%) 3 Neobyčejně řídká Vyskytuje se maximálně v rozsahu 1/3 (21%-30%) 2 Nepatrná Vyskytuje se za výjimečných okolností (11%-20%) 1 Zanedbatelná Vyskytuje se v zanedbatelném rozsahu (0%-10%) 24 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

25 Dopad rizika význam vlivu (významnost) Stupeň závaţnosti Popis Následky 10 Katastrofální Zastavení chodu organizace jako celku, obrovské finanční ztráty 9 Rozsáhlý Ohroţení chodu organizace, neplnění zákonných povinností 8 Velký Výpadek chodu rozhodující činnosti, velké finanční ztráty 7 Závaţný Ohroţení plnění zákonných povinností, finanční ztráty 6 Značný Poruchy mají dopad na veřejnost, finanční ztráty 5 Střední Periodicky se opakující výpadky v činnostech, riziko finančních ztrát, velké mnoţství pochybení musí řešit soudy a nadřízené orgány 4 Okrajový Poruchy mají dopad na veřejnost bez finančních ztrát 3 Malý Občasné výpadky v činnostech, nutné zásahy do reţimu organizace, poruchy narušující vnitřní chod 2 Nepatrný Výpadky v činnostech nemající vliv na chod organizace, nápravná opatření vyţadují spolupráci několika subjektů 1 Zanedbatelný Výpadky v činnostech nemající vliv na chod organizace, běţná nápravná opatření Doporučení Poloţky doporučení obsahují volný text doporučení auditorů k nápravě zjištěného stavu. Kaţdé riziko můţe mít více doporučení auditorů, několik rizik můţe mít jedno doporučení. Doporučení auditorů jsou automatizovaně přenesena do Registru doporučení. 3.2 Použití v auditním procesu Sestavení střednědobého plánu 1. Tento plán vytváří vedoucí auditorského útvaru nebo oddělení tlačítkem z pohledu Střednědobý plán. Dokument Střednědobý plán je nejvyšší v hierarchii dokumentů v systému. Všechny ostatní dokumenty se vytváří tlačítkem v dokumentu kaţdého auditu, k němuţ budou zařazeny jako podřízené. 2. Povinné poloţky k vyplnění: - Spisová značka útvaru - tato se přenáší do všech dalších podřízených dokumentů a slouţí pro odlišení dokumentů z různých útvarů v jedné databázi - Interval roků (zpravidla 4) O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

26 - 10 rizikových oblastí (slouţí jen pro výstupní dokument střednědobého plánu graf v MS Excelu) 3. vytvoří tlačítkem dokument Roční plán (4 x). V kaţdém vyplní: - Rok (z intervalu střednědobého plánu) - Priority pro rok - text je uţ zde potřeba zformátovat tak, jak se bude přenášet do výstupního dokumentu (tak je tomu u všech RT 2 polí v systému). - Ostatní pole se vyplní později aţ při zpracování ročního plánu. 4. Ke střednědobému plánu lze vytvořit tlačítkem Dokument Výstupní dokumenty "Střednědobý plán auditu" a "Rizikové oblasti střednědobého plánu". Podrobnosti viz odstavec o výstupních dokumentech. Sestavení ročního plánu 1. Tento plán upraví vedoucí auditorského útvaru nebo oddělení tlačítkem v dokumentu zaloţeném při zpracování střednědobého plánu. 2. Povinné poloţky k vyplnění: o Priority pro rok vychází ze střednědobého plánu a pro daný rok jsou upraveny o Odborná příprava interních auditorů a Metodická a konzultační činnost o 8 rizikových oblasti: - Zadají se názvy oblastí a z číselníků zpracovatel přiřadí četnost a významnosti - Systém automatizovaně dopočte váhy oblastí a dále jsou pouţívány k ohodnocení rizik v auditech. Rizikové oblasti jsou pro konkrétní rok neměnné. - Z rizikových oblastí lze vygenerovat výstupní dokument ročního plánu mapu rizik (graf v MS Excel). 3. Vedoucí auditorského útvaru nebo oddělení tlačítkem Audit v ročním plánu zaloţí dokument pro kaţdý plánovaný audit. - Vyplní povinná pole potřebná pro výstupní dokument Roční plán : Název, Typ, Předběžný cíl, Termín výkonu auditu, Auditovaná osoba (Auditované období nepovinná poloţka) - Vzniklé dokumenty auditu nemohou auditoři zpracovávat, dokud v nich vedoucí nestanoví alespoň vedoucího auditorského týmu a nepřevede do stavu Naplánováno. Hromadně pro celý roční plán lze tlačítkem Odsouhlasit převést do stavu Naplánováno všechny audity daného ročního plánu. U jednotlivých auditů lze stav Naplánováno nastavit i před schválením plánu. 4. K ročnímu plánu lze vytvořit tlačítkem Dokument výstupní dokumenty Roční plán auditu" a Rizikové oblasti ročního plánu". Podrobnosti viz odstavec o výstupních dokumentech. Zpracování auditu 1. Audit musí být zaloţen vedoucím auditorského útvaru nebo oddělení v ročním plánu. Pokud je zaloţen během roku (mimořádný audit) po schválení ročního plánu, zaloţí se stejně. Do dokumentu Audit - pole Načasování vybere 2 RT pole umoţňuje vkládat vlastnosti textu barva, typ písma, tabulky, vkládat přílohy, atd. 26 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

27 zpracovatel z nabídky mimořádný audit a v poli Na základě požadavku vyplní jméno toho kdo výkon auditu poţadoval. 2. Audit musí být převeden do stavu Naplánováno (viz odstavec Sestavení ročního plánu). 3. Vedoucí auditorského útvaru nebo oddělení vybere tlačítkem vedoucího auditorského týmu. Nabídka zobrazuje LN uţivatele z databáze Audit MV uživatelé. Pokud zde poţadovaná osoba není nebo se zobrazí neaktuální údaje, poţádá správce software o doplnění. 4. Obdobně lze vyplnit ostatní členy auditorského týmu (mimo vedoucího). Většinu dalších operací s auditem nadále můţe provádět aktuální auditorský tým, tj. vedoucí a členové (členové nemají oprávnění přiřazovat číslo jednací a pořadové číslo sběrného archu. 5. Vyplnění dalších povinných polí: - Auditované osoby - Odpovědné osoby - Kritéria hodnocení, - Kontrolní metody, K auditu lze vytvořit tlačítkem Dokument cca 25 typů výstupních dokumentů. Nabídka dokumentů je závislá na stavu auditu - nabízí se jen ty výstupní dokumenty, které mají smysl v daném stavu tvořit (viz tabulka níţe). Pokud je potřeba vytvořit dokument takového typu, který v nabídce v aktuálním stavu není, jsou dvě moţnosti: - Poţadovaný typ dokumentu je k dispozici v některém z dalších stavů auditu. Audit do tohoto stavu přepneme tlačítkem Další stav... (pozn.: zpětný posun do předchozího stavu je oprávněn provést pouze správce software) 7. Pokud v daném auditu dosud neexistují výstupní dokumenty zvoleného typu, zaloţí uţivatel nový dokument. Pokud existují, zobrazí se jejich seznam a uţivatel má na výběr zda otevře existující (ke čtení či úpravám) nebo zaloţí nový. 8. Další moţnosti práce s výstupními dokumenty jsou popsány v samostatném odstavci. 9. Další dokumenty auditu: - Zjištění - zde je zejména zapotřebí zvolit jednu auditovanou osobu a odpovědné osoby (tj. nadřízená auditované osoby nebo odpovědná za auditovanou problematiku). Tyto atributy pak platí i pro všechny podřízené dokumenty (viz schéma výše). Povinná poloţka Hesla do rejstříku. - Rizika - zde se tlačítkem Výběr z katalogu rizik volí zařazení rizika, postupným výběrem 1., 2. a 3. úrovně katalogu a následně auditor popíše konkrétní riziko pro 4. úroveň nebo zvolí jiţ existující riziko 4. úrovně a pak se popis pro 4. úroveň zkopíruje. Pokaţdé však bude zaloţen v Katalogu rizik nový dokument 4. úrovně a očíslován pořadovým číslem. - Doporučení povinná poloţka Hesla do rejstříku. - Opatření se zakládají ve webových aplikacích,² 耀 ovinná poloţka Hesla do rejstříku. - Závěry zpráv 10. V průběhu procesu auditu uţivatelé aktivují 4 typy přenosů sad dokumentů do Webových aplikací. 2 typy se provádějí pro celý audit v jednom kroku a aktivují se tlačítkem z LN dokumentu auditu (tj. rizika do Katalogu procesů a činnosti O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

28 do Katalogu rizik ), 2 další typy jsou svázané s konkrétní auditovanou nebo odpovědnou osobou. Pro kaţdou auditovanou / odpovědnou osobu se aktivují přenosy zvlášť tlačítkem ve výstupním dokumentu určitého typu nastaveném pro danou auditovanou / odpovědnou osobu. 11. Pro vyjádření auditovaných osob se vytváří dokument "Žádost o stanovisko auditované osoby ke zjištěním z auditu" pro konkrétní auditovanou osobu. Lhůta pro vyjádření je stanovena výpočtem podle konstanty z profilu databáze. 12. Pro vyjádření odpovědných osob se vytváří dokument "Zaslání zprávy zdvořilostní dopis". 13. Pro vyjádření a opatření auditovaných osob se přenáší sada dokumentů (tj. zjištění, rizika, doporučení, závěr zprávy) identických s dokumenty "Dílčí zpráva z auditu" nebo "Zpráva z auditu u jedné osoby". 14. Pro přenos dokumentů do registrů (tj. zjištění, doporučení, opatření) po ukončení auditu se aktivuje z LN dokumentu auditu. Výstupní dokumenty 1. K střednědobým plánům, ročním plánům a auditům lze vytvořit pouţitím tlačítka Dokument a následným vybráním z nabídky příslušný LN dokument a z něho vygenerovat výstupní dokument MS Office nebo OpenOffice. Nabídka dokumentů je závislá na stavu auditu - nabízí se jen ty výstupní dokumenty, které mají smysl v daném stavu tvořit. Společné údaje ročního plánu Audit Dílčí zpráva 1 Dílčí zpráva 2 Office Roční plán Office Dílčí zpráva 1 Office Dílčí zpráva 2 Zpráva z auditu Office Zpráva z auditu 2. V hierarchii dokumentů (v pohledu Všechny dokumenty) jsou výstupní dokumenty zařazeny pod LN dokument, ke kterému byly vytvořeny. Zobrazeny jsou ve vloţeném pohledu Dokumenty (u plánů) resp. Sběrný arch (u auditů). 3. Výstupním dokumentům auditu je přidělováno pořadové číslo. ˇPořadové číslo je automaticky přiděleno (jako maximum + 1 z existujících) při první editaci výstupního dokumentu vedoucím auditorského týmu. Pokud tedy výstupní 28 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

29 dokument vytvoří jen člen týmu, zůstane neočíslován do té doby, neţ ho upraví vedoucí týmu. 4. Podle typu dokumentu je auditor povinen vyplnit editovatelná pole. U některých dokumentů se vybírá auditované osoby nebo odpovědné osoby, další osoby ze zdroje dat EKIS II, oslovení atd. 5. Ve výstupních dokumentech jsou připraveny OLE 3 objekty Office dokumentů a lze přepínat mezi zobrazením LN dokumentu a OLE objektu. 6. Aplikace umoţňuje vytvářet výstupní dokumenty s OLE objekty aplikace MS Office (dále jen MS ) nebo OpenOffice.org 4 (dále jen OOo ). Podle nainstalované aplikace Office u konkrétního počítače je nezbytné jednorázově nastavit pomocí Akce - Správa... - Zvolit aplikaci Office pouţívanou aplikaci Office. Pro aktivaci existujících OLE objektů se vţdy pouţije taková aplikace, kterou byl objekt vytvořen (OLE objekty nejsou kompatibilní a nelze nad nimi střídavě pouţívat různé aplikace). V kaţdé aplikaci (MS resp. OOo) se pouţívají textové dokumenty (Word resp. Writer) nebo tabulky (Excel resp. Calc). 7. OLE objekt se vytvoří aţ po prvním přepnutí do reţimu Office (tlačítkem MS Office resp. OOo Office dle nastavení). Při dalším otevření je uţ v názvu tlačítka konkrétní typ dokumentu (např. MS Word). 8. V reţimu zobrazení OLE objektu pro úpravy v aplikaci MS je OLE objekt zobrazen "na místě" přímo v Lotus Notes přes celou plochu původního formuláře. Menu Lotus Notes je obohaceno o menu MS Office a jsou zobrazeny panely nástrojů MS Office. Aplikace OOo tento reţim ve spolupráci s Lotus Notes nepodporuje a objekt je zobrazen v samostatném okně. Je pak zapotřebí přepínat se mezi aplikacemi. 9. V Lotus Notes je v tomto reţimu k dispozici je tlačítko Tisk, které rovnou vytiskne aktuální OLE objekt (Office) na výchozí tiskárně a tlačítko Tisk..., které zobrazí tiskový dialog aplikace Office (s moţností volby tiskárny, počtu kopií, rozsahu tisku atd.) 10. Dále je k dispozici tlačítko Uložit RTF..., které aktuální stav OLE objektu uloţí do Lotus Notes dokumentu jako běţnou přílohu ve formátu RTF s názvem sloţeným z čísla jednacího a data a času uloţení. V jednom výstupním dokumentu lze toto uloţení provést vícekrát v různých fázích zpracování. V reţimu čtení se pak zobrazí tlačítko Zobrazit RTF, které umoţňuje tyto přílohy zobrazit. Nelze je aktualizovat v Lotus Notes dokumentu. Narozdíl od OLE objektů lze stejnou přílohu zobrazit pomocí MS či OOo, podle toho, jaká aplikace je v daném systému nastavena pro otevírání RTF souborů. 11. Nelze se přepnout zpět z reţimu zobrazení OLE objektu pro úpravy do reţimu editace Lotus Notes formulářem. Pouze je moţno dokument zavřít. V případě potřeby je moţné otevřít ho znovu. 12. Pokud je výstupní dokument Lotus Notes zobrazen pouze pro čtení, je tlačítko pro přepnutí do reţimu Office dostupné pouze u dokumentů, u kterých uţ byl OLE objekt vytvořen. OLE objekt se otevírá ve všech aplikacích do samostatného okna. Nelze v něm provádět úpravy a uloţit je do Lotus Notes. K zavření postačí tlačítko Zavřít v Lotus Notes dokumentu. 3 Způsob přenosu a sdílení informací mezi aplikacemi, a to vloţením informací vytvořených v jedné aplikaci do dokumentu vytvořeného v další aplikaci, například do LN dokumentu vloţen dokument Office. 4 Aplikace z kancelářského balíku distribuovaného mimo jiné od firmy SW602 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

30 Výstupní dokument auditu Určení auditorského týmu 100 Stav Doplnění opatření k následnému auditu Oznámení o předběžném šetření Dotazník Záznam interního auditora Požadavek na znalecký posudek (odborné vyjádření, laboratorní analýzu) Přizvání specialisty (zdvořilostní dopis) Pověření k výkonu interního auditu Program auditu Žádost o předložení dokladu Žádost o podání informace Výběr vzorků Potvrzení o převzetí originálních dokladů Oznámení o závažném porušení právních předpisů Zpráva z auditu u jedné osoby Dílčí zpráva z auditu Zpráva z auditu u více osob Oceňovací matice rizik Záznam z jednání Žádost o stanovisko odborného útvaru ke zjištěním z auditu Žádost o stanovisko auditované osoby ke zjištěním z auditu Zaslání zprávy (NMV, PP - zdvořilostní dopis) Informace vedoucímu zaměstnanci o schválení doporučení 700 Procentuální vyjádření rozsahu splnění doporučení Došlá písemnost Seznam uložených písemností NÁMĚTY PRO PLÁN Databáze Náměty pro plán je pro zaloţení dokumentu dostupná jak LN uţivatelům, tak i web uţivatelům. Vyplní se zde základní údaje o auditu. Období a termín auditu je moţno zadat volným textem. Oprávněný uţivatel, který zakládá nový audit (tj. do ročního plánu), můţe pouţít tlačítko. Vybere z nabídky námětů a vzniklý dokument 30 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

31 auditu bude předvyplněn hodnotami z námětu (tj. Textové nebo datumové poloţky z námětů budou převedeny, pokud je to moţné). Dojde k oboustrannému propojení - v námětu bude zapsáno v jakém auditu byl pouţit a v auditu bude pomocí tlačítka Odkazy" zobrazen pouţitý námět. Jeden námět lze pouţít i vícekrát. 5. KATALOG RIZIK Databáze Katalog rizik je kartotékou rizik, jeţ je postupně doplňována ze záznamů Riziko, které se vytvářejí v databázi auditů. V Katalogu rizik jsou rizika začleněna do čtyřúrovňové hierarchie. Kategorie všech úrovní jsou reprezentovány stejnými formuláři jako vlastní katalogizovaná rizika. Formuláře Databáze obsahuje jediný uţivatelský formulář Kategorie rizika. Pole v editaci jsou určena pro zápis čísla poloţky katalogu a jejího popisu. Formulář dále obsahuje čísla a popisy nadřazených kategorií. Pohledy Pohled Kategorie rizik je určen pro přehled i pro úpravy stávajících a tvorbu nových dokumentů Kategorie rizika. Obsahuje tyto dokumenty všechny. Je kategorizován podle čtyřúrovňové hierarchie. Tlačítka akční lišty: Nové nezařazené riziko - otevře okno s novým dokumentem Kategorie rizika, v němţ nejsou předvyplněny nadřazené kategorie. Nové podřízené riziko - otevře okno s novým dokumentem Kategorie rizika, v němţ jsou předvyplněny nadřazené kategorie, jeţ byly přeneseny z dokumentu vybraného v pohledu před stisknutím tlačítka. Práce s Katalogem rizik Vytvoření nového dokumentu nejvyšší hierarchické úrovně V databázi vybereme pohled Kategorie rizika. 1. Stiskneme tlačítko Nové nezařazené riziko. Otevře se okno s formulářem Kategorie rizika. 2. Vyplníme pole v editaci. Do levého pole zapíšeme číslo a do pravého popis, 3. Tlačítkem Uložit uloţíme zapsaná data a tlačítkem Zavřít okno s formulářem zavřeme. Vytvoření nového dokumentu druhé, třetí nebo čtvrté hierarchické úrovně V databázi vybereme pohled Kategorie rizika. 1. V pohledu vybereme dokument, který má být novému dokumentu nejbliţší nadřízený. 2. Stiskneme tlačítko Nové podřízené riziko. Otevře se okno s formulářem Kategorie rizika. 3. Vyplníme pole v editaci. Do levého pole zapíšeme číslo a do pravého popis, 4. Tlačítkem Uložit uloţíme zapsaná data a tlačítkem Zavřít okno s formulářem zavřeme. O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

32 1 Vnitřní zdroje Jednotlivá rizika z konkrétních auditorských zjištění U ž i v a t e l s k á p ř í r u č k a k s o f t w a r e A u d i t M V Úroveň1 Úroveň 2 Úroveň 3 Úroveň Řídící systémy - procesy 1.1 Oblast řízení a organizace 1.2 Pracovní právo a personalistika Vnitřní kontrolní systém Pravomoci a odpovědnosti Organizační struktura Lidské zdroje Pracovně právní vztahy a úkony Pracovní podmínky Vzdělávací systém Péče o zaměstnance Bezpečnost práce 1.3 Legislativa a právo Právní předpisy - tvorba Interní akty řízení Právní posudky, právní pomoc Soudní a mimosoudní řízení Správní řízení Ochrana utajovaných informací a osobních údajů Státní hranice Státní symboly 1.4 Správa státu Územní členění státu Vnitřní bezpečnost a pořádek Volby Krizové řízení a IZS Koordinace správního řízení, správního trestání 1.5 Oblast koordinace a spolupráce Koordinace výkonu veřejné správy svěřené orgánům územní samosprávy Koordinace v oblasti sluţebního poměru příslušníků bezpečnostních sborů Zajišťování komunikační sítě pro Policii České republiky, sloţky IZS a územní orgány státní správy Spolupráce v rámci mezinárodní organizace Interpol Evidence obyvatel Sdruţování občanů 1.6. Veřejná správa Veřejné sbírky Archivnictví a spisová sluţba Zbraně a střelivo Poţární ochrana 32 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

33 2 Vnější zdroje U ž i v a t e l s k á p ř í r u č k a k s o f t w a r e A u d i t M V Úroveň1 Úroveň 2 Úroveň 3 Úroveň Finance, rozpočet a účetnictví 1.8 Majetek 1.9 Informační technologie a systémy 1.10 Provoz a ekologie 1.11 Korupce a trestněprávní jednání 2.1 Politika 2.2 Legislativa 2.3 Regulace Cestovní doklady, cizinci a uprchlíci Prevence kriminality Zdravotnictví Sociální zabezpečení Výzkum a vývoj Finanční řízení Finanční kontrola Vnitřní rozpočet Mimorozpočtové prostředky Prostředky ze zahraničí Programové financování Zálohy, finanční hotovost, pokladna Inventarizace Manka, škody a pohledávky Cestovní náhrady Odměňování za práci FKSP Účetní operace Veřejné zakázky Ochrana majetku Nakládání s hmotným majetkem Nakládání s nehmotným majetkem Informační technologie Informační systémy Bezpečnost dat Bezpečnostní projekty projektové záměry a projekty Provozní Ekologická Korupce Trestněprávní jednání Dopad na plnění schválených záměrů a cílů Ekonomické důsledky Absence právních předpisů Nesprávná implementace norem EU Nesoulad právních předpisů Regulace činností a kvóty z EU Opatření vnějších kontrolních a inspekčních orgánů O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

34 Úroveň1 Úroveň 2 Úroveň 3 Úroveň Finance, rozpočet a účetnictví 2.5 Kultura a sociální oblast 2.6. Demografie a globalizace 2.7 Vojenská oblast a terorismus 2.8 Korupce a trestněprávní jednání 2.9 Krizové situace Vnější rozpočet Kurzy Úvěry Opatření Ministerstva financí a ČNB Opatření EU Kulturní Sociální Demografická Globalizační Vojenská Terorismus Klientelismus a nepotismus Korupce Trestněprávní jednání Ţivelné pohromy Epidemie Havárie 6. KATALOG PROCESŮ Katalog procesů slouţí k evidenci procesů v resortu a jejich vazeb na právní předpisy. U procesů můţe být dále popsána gesce či spolugesce odborů, oddělení či jiných organizačních součástí 5 a rovněţ i odpovídající činnosti. Typy dokumentů (tj. formuláře) v databázi a jejich hierarchie: Právní předpis moţné propojení na LexData či IAŘ Podřízený právní předpis Podřízený právní předpis... Proces propojení na (podřízené) právní předpisy, ze kterých vychází nebo se kterými souvisí Gesce/Spolugesce zadána organizační součást Činnost Gesce/Spolugesce zadána podřízená organizační součást Činnost Počet dokumentů v kaţdé úrovni není omezen (aţ na technická omezení). 5 organizační součást můţe být konkrétní pracoviště, skupina zaměstnanců vykonávající činnosti konkrétního procesu, atd. 34 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

35 Právní předpisy Nejprve je zapotřebí zaevidovat právní předpisy. K tomu slouţí tlačítko Nový právní předpis v pohledu Právní předpisy. Pokud jde o předpis ze Sbírky zákonů či IAŘ, pouţijte následující postup: 1. V editovaném dokumentu Právní předpis zvolte vpravo nahoře a vyberte poţadovaný zdroj dat. 2. Vyplňte vyhledávací formulář a přes případný přehled nalezených dokumentů pokračujte dále aţ k poţadovanému právnímu předpisu. 3. Klikněte na tlačítko (instalace viz (1)), tím se uzavře aktuální okno a do formuláře Právní předpis se zkopíruje citace, titul a data účinnosti (a další pole pro propojení). Kopírování se zde provede obdobně jako při operaci "Zkopírovat žádoucí stav" ve zjištěních, neprovede se však automatické vloţení. Uţivatel tedy předem můţe vybrat např. odstavec textu a po akci ho můţe pomocí Ctrl+V vloţit do pole poznámka. Pokud nic nevybere, zkopíruje se celý text propojeného dokumentu. Za koncové datum účinnosti se povaţuje dřívější datum z polí účinnost do nebo zrušeno. Po propojení je moţno tlačítkem Odpojit propojení zrušit a tlačítkem s názvem cílové databáze zobrazit propojený dokument. Do propojených dokumentů nelze zadávat datumy účinnosti, jsou převzaty z propojeného dokumentu a kaţdou noc programovým agentem synchronizovány. Citace a titul se pouze převezmou jednorázově a nadále se nesynchronizují. V databázi je noční programový agent na synchronizaci datumů účinnosti propojených předpisů a aktualizaci obarvení řádků dle těchto datumů. Zeleným pozadím jsou v pohledech označeny dokumenty před účinností a červeným po účinnosti k aktuálnímu datu (tj. dnes). K právním předpisům je moţno zadávat podřízené právní předpisy, např. paragrafy či odstavce. Do pole citace zde zadávejte jen označení části předpisu (při pouţití bude spojen s citací nadřazeného předpisu). Do podřízených předpisů se dědí datumy účinnosti z nadřízených. Pokud však je datum zapsáno, má přednost před zděděným. Podřízené právní předpisy je moţno vytvářet tlačítkem Podřízený právní předpis z formuláře, tak i z pohledu. V obou případech se vytvoří podřízený předpis k aktuálnímu dokumentu. Počet úrovní podřízení právních předpisů není omezen, ale nepředpokládá se větší neţ 3. Propojení s procesy se upravuje ze zdroje dat procesy. Ve formuláři právních předpisů jsou pouze propojené procesy zobrazeny ve vloţených pohledech. V dalším vloţeném pohledu jsou zobrazeny podřízené právní předpisy. O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

36 Procesy, Gesce / Spolugesce a Činnosti Procesy se zakládají tlačítkem Nový proces z několika pohledů na procesy. V procesu se vyplní stručný textový popis, kategorizace z nabídky v poli Souvisí s a příp. datumy účinnosti. Tlačítky + Právní předpisy výchozí a + Právní předpisy související lze vybrat existující právní předpisy (nebo podřízené právní předpisy) z téţe databáze k propojení s procesem. Tlačítky - se provede odpojení právního předpisu od procesu. Jeden právní předpis můţe být propojen s několika procesy a naopak i jeden proces můţe být propojen s několika právními předpisy. Přitom se rozlišují dva typy propojení: "Vychází z" a "Související s". Ve vloţených pohledech jsou zobrazeny propojené právních předpisy. V dalším vloţeném pohledu jsou zobrazeny podřízené gesce / spolugesce a činnosti. Tlačítkem Gesce / Spolugesce v procesu se vytvoří dokument dílčí proces. Zda jde o gesci či spolugesci lze zvolit z nabídky. Zapsat nebo vybrat z databáze EKIS II lze odpovědnou organizační součást. Popis (RT pole), pro pohledy se z něj automaticky vytváří i textová verze. Stejným tlačítkem Gesce / Spolugesce jako v procesu lze vytvořit dokument Gesce / Spolugesce podřízené úrovně. Zda jde o gesci či spolugesci se pak uţ nevolí, ale je to zděděno a v pohledech se nezobrazuje. Kaţdý dokument Gesce / Spolugesce můţe mít jednu úroveň podřízených dokumentů Činnost. Ty obsahují RT pole Popis a sloţí k zapsání dílčích činností tak, aby mohly být zobrazeny v pohledech. Kromě standardního tlačítka Odkazy lze nadřazené dokumenty zobrazit kliknutím na jejich podtrţený needitovatelný popis. Všechny formuláře v této databázi obsahují RT pole Poznámka, kam je moţno zapsat formátovaný text či vloţit přílohy. Toto pole se dále nezpracovává. Datumová pole obsahují Účinnost od, do právního předpisu, prázdné pole znamená bez omezení. Zeleným pozadím jsou v pohledech označeny dokumenty před nabytím účinností, dokumenty v účinnosti nejsou podbarveny a červeným pozadím jsou označeny dokumenty po ukončení jejich účinnosti. 7. DENNÍ ZÁZNAMY Členové i vedoucí auditorských týmů mohou zakládat dokumenty s v samostatné databázi Denní záznamy. Při zaloţení dokumentu se objeví nabídka auditů, v nichţ je aktuální uţivatel vedoucím nebo členem týmu. Ten kdo není členem auditorského týmu nemůţe zde dokumenty zakládat. Klíčem dokumentu je audit, auditor a datum. Datum je moţno upravit - je tak moţno zapsat záznam dodatečně. V hlavním poli Činnosti a zjištění je moţno pouţít obohacený text (RT). Zrušením příznaku Pro tisk je moţno vyloučit tento dokument z pouţití ve výstupním dokumentu. Pořízené denní záznamy je moţno automatizovaně přenášet generováním do výstupního dokumentu Záznam interního auditora v hlavní databázi Audit MV. Tyto výstupní dokumenty jsou určeny k tisku aplikací Office. Název auditu je dán aktuálním dokumentem, ve kterém se výstupní dokument tvoří. Výběr dokumentů z databáze denních záznamů je dále omezen: 36 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

37 Výběrem auditorů v LN poli výstupního dokumentu Příznaky v dokumentech denních záznamů: Pro tisk - aby byl zahrnut, musí být zvoleno. Bylo použito - aby byl zahrnut, nesmí být zvoleno. Všechny zahrnuté denní záznamy jsou označeny příznakem "Bylo použito" a při generování dalšího výstupního dokumentu uţ nebudou zahrnuty. Správce software však můţe tento příznak upravit a zajistit tak zahrnutí stejného denního záznamu do dalšího výstupního dokumentu. Při dalším pouţití tlačítka Generovat ve výstupním dokumentu v reţimu Office se uţ nemění výběr zahrnutých denních záznamů, jen se zaktualizuje jejich text ve výstupním dokumentu. 8. VYJÁDŘENÍ Data vyjádření jsou umístěna v samostatné databázi (pro kaţdý auditní útvar je vytvořena samostatná databáze viz zákon o finanční kontrole), do které mají přístup auditoři z prostředí LN klienta a auditované / odpovědné osoby z prostřední tenkého klienta (viz WEBové prostředí). V tomto zdroji dat má auditor k dispozici pole Poznámky auditora. Toto pole není viditelné z prostředí tenkého klienta, tj. pro auditované / odpovědné osoby, a slouţí pro průběţné vyhodnocování vyjádření auditovaných / odpovědných osob. Relevantní argumenty auditovaných / odpovědných osob zapracuje auditor do hlavní databáze Audit MV (nelze zde přenášet dokumenty automatizovaně). Souhrnná nápověda k webovým aplikacím systému je dostupná po přihlášení registrovaného web uţivatele pod odkazem Nápověda v pravé části úvodní stránky (a většiny dalších stránek). 9. REGISTRY Tato databáze je pro všechny auditní útvary společná a obsahuje pouze dokumenty z jiţ ukončených auditních akcí (tj. zjištění, doporučení, opatření). Pro autorizovaného uţivatele jsou k dispozici další informace identifikující auditované osoby a negativní odchylky od ţádoucího stavu. Do tohoto zdroje dat zapisují vedoucí auditovaných / odpovědných osob opatření přijatá po ukončení auditu, a to pouze do dokumentů, ke kterým mají oprávnění. Do registrů nemají auditoři přístup z prostředí LN. Souhrnná nápověda k webovým aplikacím systému je dostupná po přihlášení registrovaného web uţivatele pod odkazem Nápověda v pravé části úvodní stránky (a většiny dalších stránek). 10. CESTOVNÍ NÁHRADY Databáze Cestovních náhrad je určena pro evidenci cestovních příkazů. Právo editovat cestovní příkaz a vyúčtování má pouze autor dokumentu. cestovní příkazy - obsahují informace o aktuální výši náhrad při pracovních cestách. Cestovnímu příkazu je formou podřízeného dokumentu přiřazeno vyúčtování pracovní cesty (druhá strana příkazu), které je řešeno automatizovaným výpočtem: z hodnot uvedených v cestovním příkazu, platných částek stravného, ručním doplněním oprávněných náhrad do vyúčtování. O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

38 přehled sazeb - sazby v určitém časovém období dle platného nařízení statutára zaměstnanec - přednastavené informace o zaměstnanci do cestovního příkazu 11. ČÍSELNÍKY Databáze, ve které správce software nastavuje výčtové typy textů pouţité v některých nabídkách. Obsahuje číselníky: sluţební hodnosti, hodnostní označení, tituly, typ auditu, časování auditu, forma auditu, kritéria hodnocení, kontrolní metody, oslovení, potvrzení, audit oblasti, četnosti rizik, významnosti rizik, rejstřík hesel, důleţitost opatření, splnění opatření. 12. UŢIVATELÉ Adresář dvou typů uţivatelů (tj. LN uţivatelé auditoři a WEB uţivatelé statutárové, auditované a odpovědné osoby). LN uţivatelé jsou ti, kteří se systémem pracují prostřednictvím klienta Lotus Notes. Zejména auditoři, jejich nadřízení a správci. Kromě popisných atributů se jim zde přiřazují pomocí zašrtávacích polí role, které pak fungují jako skupiny Lotus Notes. Pro prohlíţení těchto rolí / skupin jsou v databázi další pohledy. Uţivatelské jméno se stanovuje jako název organizační jednotky. Správce software zde můţe uţivateli změnit heslo pro webový přístup. WEBové prostředí Webová aplikace Interního auditu MV umoţňuje prohlíţet audity a dokumenty na ně navazující a vyjadřovat se k nim. Data se snadno a rychle přenášejí přímo do databází Lotus Notes. aktuální dokumenty - jsou přístupné pouze vymezený časový úsek a můţe na ně reagovat pouze konkrétní osoba, všechny dokumenty - tuto mnoţinu dokumentů mohou prohlíţet všichni přihlášení, kterým jsou dokumenty určeny. Jednotlivé dokumenty můţe upravovat pouze autor daného dokumentu. Nad jednotlivými databázemi obsahujícími dokumenty funguje fulltextové vyhledávání. Do formuláře vpravo nahoře zadejte hledaný výraz a klikněte na tlačítko "Hledat" nebo stiskněte Enter. Fulltext Vám vrátí seznam dokumentů obsahující hledaný slovní výraz. Chcete-li vyhledat dokumenty obsahující více hledaných výrazů, pouţijte logický operátor AND, chcete-li vyhledat alespoň jeden z hledaných výrazů, pouţijte logický operátor OR. Vyjádření Tato databáze zpřístupňuje vybraným uţivatelům audity, zjištění, rizika, doporučení, opatření a vyjádření. Obsahuje dvě oddělené části: Vyjádření auditované osoby - Auditovaná osoba má moţnost editovat své vyjádření ke kaţdému zjištění, k Závěru z auditu a opatření, a výstupní dokument auditované osoby, který vytiskne a podepsaný předá vedoucímu auditorského týmu (do doby zavedení elektronického podpisu), 38 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

39 - Auditovaná osoba má moţnost i následně zapsat opatření do doby ukončení auditu (po ukončení auditu zapisuje přijatá opatření do Registru opatření ) a výstupní dokument auditované osoby. Vyjádření odpovědné osoby Odpovědná osoba má moţnost editovat výstupní dokument Vyjádření odpovědné osoby a opatření. Výstupní dokument vytiskne a podepsaný předá řediteli auditního útvaru (u OSS a SPO auditorovi). Pohledy: o Aktuální dokumenty Auditované osoby o Všechny dokumenty Auditované osoby o Aktuální dokumenty Odpovědné osoby o Všechny dokumenty Odpovědné osoby Opatření V pohledu Opatření databáze Vyjádření jsou oprávněným web uţivatelům zpřístupněna příslušná zjištění, rizika, doporučení, opatření. Tento uţivatel zapíše přijatá opatření a vytvoří výstupní dokument Opatření auditované osoby. Pohledy: o Aktuální dokumenty Auditované osoby o Všechny dokumenty Auditované osoby Registry Uţivatelům zpřístupňují zjištění, opatření a doporučení se statutárem schválených auditů. Lze nahlíţet do dokumentů z pohledu auditované osoby, odpovědné osoby a dokumenty seřazené dle rejstříku. Pohledy: o dokumenty Auditované osoby o dokumenty Odpovědné osoby o Všechny dokumenty Katalog rizik Číselník 4 úrovní rizik. Obsahuje pohled: o Všechny dokumenty Katalog procesů Seznam procesů pro kvalifikaci rizik. Obsahuje pohled: o Všechny dokumenty Náměty pro plán Uţivatel má moţnost vytvářet, upravovat a prohlíţet náměty pro plán. V námětu vyplňuje základní údaje o auditu. Období a termín auditu je moţno zadat volným textem. Obsahuje pohledy: o Náměty pro plán o Podle autora O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

40 Příklady obrazovek v aplikacích tenkého klienta 40 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

41 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V

42 42 O d b o r i n t e r n í h o a u d i t u a s u p e r v i z e M V