Business vs. IT Governance propojení byznysu a IT

Podobné dokumenty
ehealth a bezpečnost dat

Výkon závislé práce mimo pracovněprávní vztah Červen 2012

Právní nástroje exportního financování zahraničních zakázek

Daňové souvislosti švarcsystému

Změny zákona o účetnictví a vyhlášky 500/ listopadu 2016

Daňové souvislosti švarcsystému

Praktické aspekty ochrany majetku

Jak se stát přívětivým úřadem aneb práce s open daty ve státní správě. Open Data Expo

Zvýhodněné úvěry v OPPK Finanční nástroj JESSICA v regionu Praha

Zkušenosti se zaváděním a řízením EA ve veřejné správě Slovenska. září 2015

Vnitřní kontrolní systém a jeho audit

Katalog služeb start-upům

12. Setkání IA z oblasti průmyslu, obchodu a služeb Dva pohledy na audit nákupu

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Trendy v interním auditu v České republice

OBCHOD A NEKALÉ PRAKTIKY Ztratné v maloobchodě

EY Procurement Survey Procurement Forum 2014

veřejném sektoru a jejich zavádění do praxe

Finanční audit projektů 7RP

Šachy interního auditu ve víru legislativních změn Workshop pro veřejnou správu. Novinky v IPPF

Jak auditovat etické chování v organizaci?

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Základní legislativní rámec

PROVEN PERFORMER PROVĚŘENÝ BUSINESS

Vazba na Cobit 5

Personální řízení: aktuální výzvy pro interní audit

Dnešní program. Jak síť využít. Přínosy sítě. Nasazení sítě. Proč síť

Jak postupovat při řízení kontinuity činností. Risk Analysis Consultans

Jak se vyhnout sporům s finančním úřadem

Jak dobře vám to myslí?

Řešení a důsledky nesplácených pohledávek pro věřitele

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Řetězové transakce. 12. listopadu Erika Gorčíková

GDPR compliance v Cloudu. Jiří Černý CELA

10. setkání interních auditorů v oblasti průmyslu

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Solvency II: Pilíř 2. Aby se nic špatného nestalo. kpmg.cz

Bezpečnostní politika společnosti synlab czech s.r.o.

Podnikatelské prostředí v cestovním ruchu

ERM Enterprise Risk Management

Metriky v informatice

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Metodika pro zadání veřejné zakázky formou DESIGN & BUILD pro dopravní stavby v ČR

MANAGEMENT Procesní přístup k řízení organizace. Ing. Jaromír Pitaš, Ph.D.

ČESKÁ TECHNICKÁ NORMA

Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví

Daňové novinky Jana Morávková. 28. února 2017

Jak ovlivní IDD vývoj POJISTNÝCH produktů? (inspirace z praxe)

Přínosy spolupráce interního a externího auditu

2. Podnik a jeho řízení

Závěrečná zpráva 4. etapy

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Projekty EU Ing. Hana Kanisová Ing. Hynek Orság

Ako PwC pomáha svojim klientom naplniť požiadavky GDPR a prvé praktické skúsenosti z týchto projektov

O2 a jeho komplexní řešení pro nařízení GDPR

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Trendy a příčiny odchodů do důchodu v České republice

Návod k požadavkům ISO 9001:2015 na dokumentované informace

Příloha č.3 Otázka pro hodnocení manažera

Role NKÚ v systému kontrolní činnosti ve veřejné správě. Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012

Udržitelnost a reporting. Workshop v rámci Fóra pro udržitelné podnikání

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

Audit kódovaných dat. HRID, ESRI, Dublin, 07/2008

MORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC

SeminářFontes Rerum Liberalizace poštovního sektoru* Květen *connectedthinking

Státní pokladna. Centrum sdílených služeb

GLOSÁŘ POJMŮ 1. Glosář pojmů_2.část Příručky

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3

2. setkání interních auditorů ze zdravotních pojišťoven

Strategie rozvoje města Ústí nad Labem

Management. Kontrola. Ing. Jiří Holický Ing. Vladimír Foltánek Ústav lesnické a dřevařské ekonomiky a politiky

IPPF PRŮVODCE PRAXÍ INTERNÍ AUDIT A PODVOD

Dohledové sdělení č. 1/2017. K poskytování úvěrů domácnostem úvěrovými institucemi

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

REGULÁTORY PRO DOMÁCTNOSTI TYP B NG

DVPP. Další vzdělávání pedagogických pracovníků. ATTEST, s.r.o. Lukáš Ducháček

Úvod. Projektový záměr

Cobit 5: Struktura dokumentů

Hodnocení kvality IA. Národní konference ČIIA Jak na kvalitu v IA říjen Josef Medek, CIA, CISA

Projekt výměny zdravotní dokumentace na regionální úrovni

Doporučení dobré praxe o vnitřní kontrole, etických zásadách a compliance

Sdílíme, a co vy? Ing. Eliška Pečenková Plzeňský kraj. Ing. Václav Koudele Microsoft

Personální audit. a personální strategie na úřadech. územních samosprávných celků

Úvod a teoretický vstup do procesního řízení. Procesy Jičín, Bloky B2 B4 / B5 B7

Risk management a Interní audit

Eva Urbanová. Akvizice společností: Základní principy a proces Due diligence

Dopad legislativních změn v informační bezpečnosti na interní audit Tomáš Pluhařík

Přidaná hodnota HR očima HR manažerů a CEO

Jak na podporu koncových uživatelů SAP Workforce Performance Builder. Roman Bláha Head of Education (Czech Republic) Customer

PŘÍLOHA NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) /...

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

UPLATNĚNÍ IT NÁSTROJŮ PŘI PODPOŘE MODERNÍCH SLUŽEB ZDRAVOTNICTVÍ

Statut interního auditu. Město Vodňany

SMĚRNICE DĚKANA Č. 4/2013

Využití principů Case Managementu v agendách státní správy

Interní audit a jeho úloha

Ekonomika IT PRE od A do Z

Transkript:

www.pwc.com

Definice IT Governance Proč je IT Governance používána Business vs. IT Governance propojení byznysu a IT Jak IT Governance auditovat Příklady Slide 2

PwC Slide 3

Institut IT Governance " vedení, organizační struktury a procesy zajišťující, že IT v organizaci udržuje a rozšiřuje své strategie a cíle." ISA 315 Hodnoceni rizika materiální chyby na základě pochopení auditované entity a jejího prostředí Slide 4

čas čas čas čas čas Slide 5

Patří Interní audit mezi aktivity, které zahrnují IT Governance? Odpověď: Slide 6

Činnosti a funkce IT v organizaci jsou v souladu, což umožňuje podporovat cíle a priority organizace. IT přináší přínosy v souladu se strategií podniku, optimalizuje náklady, začleňuje již osvědčené postupy a maximalizuje hodnoty vytvořené investicemi do IT. Investice učiněné v oblasti IT jsou optimální a kritické IT zdroje jsou spravovány a užívány odpovědně a efektivně. Požadavky na dodržování předpisů jsou srozumitelné, existuje povědomí o riziku a chuť organizace s tímto rizikem pracovat a tato rizika jsou efektivně řízena. Výkon je optimálně sledovaný a měřený a přepokládané benefity jsou realizovány, včetně uplatňování strategických iniciativ, využívání zdrojů a poskytování služeb IT. Existuje synergie mezi iniciativami v oblasti IT a rozhodnutími mimo IT je v nejlepším zájmu organizace jako celku. Panuje vzájemné porozumění mezi všemi zúčastněnými stranami o tom, jak může IT zajistit přidanou hodnotu organizaci. Slide 7

PwC Slide 8

IT Governance IT organizace se potýká s dramatickými změnami v důsledku fúze/akvizice. Byznys se přeměňuje a IT se musí rychle přizpůsobit. Byznys není přesvědčen o hodnotách IT a cítí, že IT není schopno vykazovat odpovídající výkon. Outsourcing byl zadán bez náležitého odůvodnění nebo aniž by řešil hlubší problémy, což má za následek neadekvátní služby. IT plní pouze podpůrnou funkci a není schopno inovace a poskytnutí konkurenční výhody. Přínosy IT nejsou měřeny nebo je nelze jednoznačně prokázat. Neexistuje dostatečná kontrola nad výdaji IT a náklady na IT jsou považovány za příliš vysoké. Neexistuje přehled či přístup k právním a smluvním podmínkám, které se mají dodržovat. Současná architektura IT omezuje potenciální inovační možnosti a není agilní. Neexistuje dostatečná znalost rizik souvisejících s IT a tato rizika nejsou řízena. Byznys nerozumí procesům IT a nevidí možný přínos v časovém horizontu. IT nemá potřebné dovednosti nebo dostatečné množství zdrojů, aby naplnilo očekávání organizace. Slide 9

IT Governance - Setting the scene Slide 10

PwC Slide 11

Byznys strategie Průmysl & trhy Regulatorní prostředí Velikost & struktura org. Závislost na & stěžejnost IT Podniková governance Interní & externí prostředí organizace Rámec IT Governance Rozhraní s operativou IT Slide 12

Slide 13

Jak lze IT Governance auditovat a lze to vůbec? Odpověď: Slide 14

PwC Slide 15

Slide 16

Monitoring Posouzení výkonnosti kontrolního systému v průběhu času. Kombinace průběžného a samostatného hodnocení. Řízení a kontrolní činnost. Aktivity interního auditu. Kontrolní aktivity Jsou prováděny politiky či procedury zajišťované vnitřními směrnicemi organizace. Rozsah činností, zahrnující schvalování, autorizaci, ověřování, doporučení, vyhodnocení výkonu, zabezpečení IT aktiv, rozdělení odpovědností. Informace a komunikace Identifikace a zpracování relevantních informací a jejich včasná komunikace. Přístup jak k interně, tak i externě generovaným informacím. Informace, na jejichž základě provádí organizace patřičné kontroly, jsou důležitými podklady pro manažerská rozhodnutí. Kontrolní prostředí Stanoví směr organizace a ovlivňuje povědomí jejích zaměstnanců o kontrolním prostředí. Faktory zahrnující integritu, etické hodnoty, kompetence, autority, odpovědnosti. Základní kámen pro ostatní komponenty kontrol. Posouzení rizik Identifikace a analýza relevantních rizik pro dosažení cílů, které tvoří jednotky. Je základem pro stanovení kontrolní činnosti. Slide 17

Celofiremní kontroly (ELC) fungují v celé organizaci. Jsou to všechny komponenty kromě samotných Kontrolních aktivit Tyto komponenty mohou mít méně hmatatelné prvky dle konkrétní firemní kultury Tone at the top V důsledku toho jsou tyto složky méně hmatatelné a měřitelné pro svou povahu. Jsou však neméně důležité, protože jsou přítomny v celé organizaci. PwC Slide 18

Musíme vždy zvažovat kontroly a opatření, která používá management při řízení podniku Tyto kontroly nad oblastí IT mohou odrážet přístup managementu k potřebám jednotlivých entit v oblasti IT Průběžně podporovat efektivitu ITGC, která podporuje klíčové kontroly a/nebo data Kontroly zavedené vedle ostatních součástí interních kontrol jsou často označovány jako nepřímé kontroly na úrovni entity. Často o nich hovoříme ve smyslu Entity Level Controls (ELCs) nad IT. Slide 19

Patří mezi ELC tyto kontroly a proč? Existují Pravidla etického chování, která jsou šířeny mezi zaměstnance. IT ředitel hlásí na pravidelných měsíčních poradách vedení stav klíčových projektů. IT monitoruje celopodnikovou síť a chrání ji před útoky. Ředitel vývoje pravidelně monitoruje činnost svého oddělení. Odpověď: Slide 20

Plánování rozsahu a obsahu auditu Začínáme mapováním a testem IT Governance, například otestujeme přímé i nepřímé ELC. Závěry auditu IT governance slouží k upřesnění plánu auditu: - Vytipování rizikových oblastí v IT - Slabá místa při řízení IT jsou rizikovější a budou vyžadovat detailnější testování dílčích kontrol(např. použití širších vzorků) - Silné kontroly v IT governance znamenají celkově nižší riziko, to umožní např. výběr menších vzorků nebo použití méně náročných testů, například formou dot Problémy zjištěné při prověrce IT governance jsou standardně uvedeny v závěrečné zprávě a následně řešeny. Díky jejich charakteru může jít o dlouhodobý proces (např. zlepšení proaktivity zaměstnanců IT) Slide 21

Jsou role a odpovědnosti IT definovány a pochopeny tak, aby byly určeny odpovědné osoby a příslušná evidence pro vnitřní kontrolu? Je prováděno náležité rozdělení odpovědností klíčových funkcí IT? Jaká je povaha stylu operativního řízení IT vedení a jaký je postoj k vnitřním kontrolám? Jak oddělení IT a jeho vedení prosazuje silné kontrolní prostředí? Jak jsou řízeny lidské zdroje a podporují metody řízení lidských zdrojů v IT jejich integritu, motivaci a schopnosti? Jaký je způsob řízení a dohledu nad funkcí IT, včetně úrovně interakce s výkonným vedením, představenstvem a auditovou komisí? Slide 22

Jak mezi sebou komunikují a spolupracují IT a finance v záležitostech týkajících se vnitřní kontroly nad účetními výkazy? Jsou politiky a postupy k zachování integrity klíčových finančních aplikací a dat, a to jak v rámci IT i mimo něj? Jak jsou sledovány a řešeny změny v procesech, systémech, aplikacích, lidských zdrojích a obchodních podmínkách z pohledu IT kontrol? Jak vedení sleduje problémy, reaguje na ně a zajišťuje vhodné řešení incidentů, které ukazují na případné problémy kontrolního prostředí, jako je významné narušení bezpečnosti nebo problémy s poškozením dat? Slide 23

PwC Slide 24

Jak vyhodnocujeme a ověřujeme kontroly na úrovni entit v IT? Příklad: IT role a odpovědnosti jsou jasně definovány v organizační struktuře IT a jsou k dispozici pro všechen IT personál prostřednictvím intranetu. Vlastnictví a zaznamenání vnitřních kontrol je jasně definováno v odpovědnostních profilech. Hodnocení & ověřování Slide 25

Kontrola: Nedostatky vnitřní kontroly IT jsou čtvrtletně hlášeny výboru pro audit. Hodnocení & ověřování Slide 26

Závěr o ELC Tým musí učinit závěr o ELC velmi klíčový Vyhodnocení ELC bude mít vliv na povahu, časovou náročnost a rozsah provedených prací na kontrolních činnostech. Slabý ELC v rámci IT Silný Vyšší Velikosti vzorků pro testování kontrolních aktivit Nižší Slide 27

Kontrola: Došlo v IT k oddělení neslučitelných pravomocí Hodnocení & ověřování Slide 28

This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Česká republika, s.r.o., its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. 2012 PricewaterhouseCoopers Česká republika, s.r.o. All rights reserved. PwC is the brand under which member firms of PricewaterhouseCoopers International Limited (PwCIL) operate and provide services. Together, these firms form the PwC network. Each firm in the network is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář