Slovník pojmů použitých v programu Audit MV
administrátor systému Administrátor systému resp. správce systému, oba názvy popisují osobu nebo osoby se stejnou pravomocí. Administrátoři systému mají udělena nejvyšší práva k informačnímu systému. alternativní pevný text Výběr textu z nabízených možností, které nelze upravovat (editovat). auditovaná osoba automatizovaný autor dokumentu bezpečnost dat bezpečnostní projekty Útvar ministerstva, útvar policie nebo jejich nižší organizační článek, u něhož je připravován, vykonáván nebo byl vykonán interní audit. Stav, kdy je proces řízený počítačovým programem bez zásahu uživatele. Osoba, která v rámci informačního systému vytvořila a uložila dokument pod svým autorizačním kódem (login). Souhrn opatření zamezujících neoprávněnému použití elektronicky vedených informací (např. hesla, šifrování). dílčí proces dokument dokumenty office dopad (významnost) důležitost (IMP) Co se očekává od zabezpečení informačního systému, jaká aktivita (vše, co má hodnotu pro organizaci), co se chce chránit a jaké hrozby ohrožují tato aktiva přicházející v úvahu. Definuje opatření, jejichž cílem je předejít, odhalit nebo zareagovat na možná ohrožení. Řeší také implementaci opatření. Část vykonávaného procesu (tj. postupu uloženého právní normou) s relativně samostatnou posloupností navazujících kroků, v činnostech organizace (proces = interní audit, dílčí proces = zpráva o činnosti). V aplikaci audit MV je za dokument považován záznam informací složený ze souhrnu polí (položek). Soubory vytvořené v kancelářském balíku (např. textový soubor textového editoru, tabulka tabulkového procesoru). Rozsah následků pro auditovanou osobu (v konkrétních činnostech) uvedený v rozmezí hodnot 1 10 (zanedbatelný až katastrofální). U katastrofálního dopadu hrozí zastavení chodu organizace jako celku, včetně obrovské finanční ztráty. Stupeň priority doporučení na auditovanou osobu daný auditorem v rozsahu hodnot 1 10 (zanedbatelná až nejvyšší).
editor dokumentu editovatelné pole epidemie formulář funkce gestor globalizace hesla do rejstříku hierarchický pohled check box IP adresa jedinečné údaje jméno přihlášeného uživatele katalog procesů katalog rizik klientelismus koeficient splnitelnosti (FC) korupce Osoba, která provedla změnu informace v již vytvořeném dokumentu a po té jej uložila. Místo v dokumentu, do kterého lze volně vpisovat text, vybírat z přednastavené nabídky nebo vymazat již existující informace (text, číslo, datum). Největší nahromadění výskytu onemocnění v časových a místních souvislostech. Šablona (formátování textu, rozložení informací na obrazovce nebo v rámci dokumentu, umístění grafiky), podle které je vytvářený dokument sestaven. Systémem nabízené relevantní činnosti formou tlačítek pro uživatele (např. vytvoření nového dokumentu, tisk dokumentu, editace, uložení). Osoba pověřená výkonem určité činnosti, gescí za organizaci. Popis změn ve společnosti a světové ekonomice, které jsou důsledkem dramatického vzrůstu mezinárodního obchodu a sbližování kultur. Popisné fráze, podle kterých bude v registrech vyhledáván text. Souhrn dokumentů zobrazený podle jednotlivých, na sebe navazujících, úrovní (dokument, odpověď na dokument, odpověď na odpověď). Zaškrtávací pole (vyjádření dvou možností: ano x ne). Jedinečný parametr, podle kterého lze identifikovat konkrétní počítač zapojený v počítačové síti. Údaje vybrané z nabídky možností bez práva změny této nabídky. Identifikace osoby pro přihlášení do aplikace audit MV (příjmení osoby a hierarchicky vyjádřený název útvaru). Hierarchicky (do 4 úrovní) uspořádaný výčet procesů podle jednotlivých oblastí činností vykonávaných organizací (např. výkon interního auditu v rámci účetní jednotky organizační složky státu Ministerstvo vnitra). Hierarchicky (do 4 úrovní) uspořádaný výčet rizik podle jednotlivých oblastí činností vykonávaných organizací (např. nepostupování při výkonu interního auditu v souladu s mezinárodními standardy). Lze chápat jako vztah, kde veřejné činitele a zájemce o státní zakázky spojuje společný osobní prospěch, takže se navzájem chrání nebo z nabízené a přijímané ochrany mají (finanční) prospěch. Jedná se o formu korupce. Vyjádření rozsahu splnění opatření přijatých na základě doporučení. Koeficient splnitelnosti (FC) je součet součinů hodnot důležitosti (IMP) a rozsahu splnění (EXT) vydělená součtem hodnot důležitosti. Koeficient splnitelnosti je v rozsahu hodnot 0 až 1 s přesností na 2 desetinná místa. Na základě koeficientu splnitelnosti lze procentuálně vyjádřit celkový rozsah splnění doporučení. { FC = Σ (IMP. EXT) / Σ IMP } Jednání, kterým osoba v určitém kvalifikovaném postavení (volený zástupce, úředník zaměstnaný ve veřejné správě, zaměstnanec veřejného sektoru, ale i osoba na určité pozici v soukromém sektoru) zneužívá svého postavení k osobnímu obohacení nebo obohacení třetích osob, přičemž z tohoto jednání mohou mít přímý užitek osoby, které korupční jednání vyvolají, a vždy vzniká škoda do různé míry určitelné skupině fyzických i
kvóta MAC adresa mapa rizik ministr/statutár mrtvá evidence nepotismus oblast největšího rizika oblast přijatelného rizika oblast zanedbatelného rizika obohacený text oceněná závažnost oceňovací matice rizik odpovědná osoba právnických osob. Stanovený počet (předepsané množství), poměrný díl. Jedinečné číslo v hexadecimálním útvaru (šestnáctková soustava), které informuje o výrobci a výrobním čísle (např. síťové karty PC). Grafické vyjádření vybraných hodnot z katalogu rizik formou bublinkového grafu. Osoba oprávněná jednat v plném rozsahu pravomocí za organizaci. Souhrn dokumentů nesoucích informace, které pozbyly platnost a byly přesunuty systémem nebo uživatelem do archivační části systému. V aplikaci audit MV nelze dokumenty mazat, lze je pouze přesunout do mrtvé evidence z důvodu dokladování činnosti auditora. Způsob obsazování funkcí, v němž jsou preferováni příbuzní proti ostatním. Část mapy rizik, ve které mají rizika katastrofální dopad na chod organizace. Část mapy rizik, ohraničená risk apetitem a risk kapacitou. Rizika nacházející se v této oblasti jsou pro chod organizace akceptovatelná. Je nezbytné těmto rizikům věnovat zvýšenou pozornost. Část mapy rizik, ohraničená risk apetitem. Rizika uvedená v této oblasti jsou nevýznamná a jejich působení může ovlivnit vnitřní chod organizace nevýznamným způsobem. Text umožňující číslování odstavců, změnu fontu písma, vkládání objektů atd. Průměr součtu závažností (tj. jednotlivých součinů četností a významností) uvedených v jednotlivých 8 váhách u konkrétního zjištění (uvádí se v dílčí zprávě z auditu a zprávě z auditu u jedné auditované osoby). Její hodnota je v rozsahu 1-10. Souhrn informací uvedený v rizikových faktorech váhách po jednotlivých rizicích uvedených v katalogu rizik. Pro 1., 2. a 3. úroveň katalogu rizik jsou automatizovaně vypočteny rizikové faktory váhy ze sumy hodnot 4. úrovně katalogu. Používá se pro mapu rizik uváděnou v rámci jednotlivých auditů a roční zprávu o činnosti auditu. Zpravidla se jedná o osobu přímo podřízenou statutárovi organizace (druhý stupeň řídící úrovně). Odpovědná osoba řídí jednotlivé auditované osoby nebo odpovídá za auditovanou činnost. odpovědní dokument Druhá úroveň v hierarchii dokumentů. Jedná se o typ dokumentu odpověď na dokument mající vazbu k hlavnímu dokumentu (např. vyjádření se auditované osoby k dílčí zprávě z auditu). oprávněný uživatel pohled pole položka Fyzická osoba nebo skupina osob, které je umožněn přístup k vybranému rozsahu informací aplikace audit MV. Souhrn dokumentů tříděný podle indexu, tj. pravidel a podmínek pro výběr (např. abecední seznam auditorů). Prvek formuláře, který obsahuje určitý typ dat. Může např. obsahovat text nebo grafiku. Lze jej umístit na libovolné místo formuláře. Vlastnosti textu, např. tučné písmo nebo barva, nastavené pro pole, ovlivňují způsob zobrazení údajů ve výsledném dokumentu. Informace uvedená v poli, může se jednat např. o jeden údaj vybraný z nabízeného seznamu.
pravděpodobnost (četnost) prázdná položka priority projektové záměry a projekty (IT) předdefinovaný text předvyplněné pole registr relativní závažnost risk apetit risk kapacita riziko riziková oblast rizikové faktory váhy Možnost výskytu rizika v konkrétní činnosti organizace. Uvádí se v hodnotách 1 10 (vyskytuje se za výjimečných okolností vyskytuje se téměř vždy). Nulový řetězec textu. Oblasti činností, ve kterých je předpokládána značná četnost rizik nebo jejich negativní dopad na organizaci. Jsou definovány ve střednědobém plánu po jednotlivých letech a v ročním plánu (např. účinnost vnitřního kontrolního systému organizační složky státu MV). (Viz NMV č. 65/1994, čl. 3 Projekt a projektový záměr) /1/ Útvary mohou zřizovat informační systémy a počítačové sítě a provádět změny charakteru jejich provozu pouze na základě evidovaného projektu, jehož realizace byla povolena prvním náměstkem ministra vnitra a pod odborným dozorem věcně příslušného útvaru bezpečnostního úseku Ministerstva vnitra (dále jen "věcně příslušný útvar"). /2/ Podkladem pro evidenci projektu je projektový záměr; jeho sestavení zabezpečuje útvar, který bude vykonávat funkce provozovatele informačního systému nebo počítačové sítě, pokud organizační řád Ministerstva vnitra tuto činnost nesvěřuje jinému útvaru. Projektový záměr obsahuje zejména analýzu současného stavu, popis jeho nedostatků, shrnutí cílů, stanovení postupu pro dosažení cílového stavu a stanovení prostředků k dosažení cílového stavu Text, uvedený v poli již při založení nového dokumentu, který lze uživatelem upravovat. Část formuláře nabízející předpřipravenou informaci při založení nového dokumentu. Zpravidla se jedná o výběr z nabízených možností. Souhrn informací v aplikaci audit MV majících vztah k výkonu auditu, poskytovaných auditovaným a odpovědným osobám (např. registr zjištění, registr doporučení, registr opatření). Procentuální vyjádření závažnosti. Celková významnost rizika, kterou je vedení organizace ochotno přijmout k dosažení stanovených cílů. Je hranicí mezi oblastí zanedbatelného rizika a akceptovatelného rizika. Významnost rizika, nad kterou je ohrožen chod organizace. Jedná se o maximální míru rizika, kterou je organizace schopna ještě unést. Je hranicí mezi oblastí akceptovatelného rizika a oblastí nejvyšší rizikovosti. Pravděpodobnost, že nastane určitá událost, jednání nebo stav, které by mohly mít negativní vliv na plnění požadovaných cílů. Plocha v mapě rizik ohraničená dopadem (významností), četností (pravděpodobností) a risk apetitem nebo risk kapacitou. Porovnatelné nebo měřitelné parametry pro hodnocení stupně významnosti rizik, které jsou kombinací subjektivního posuzování možných nežádoucích dopadů na řádnou správu a řízení orgánů veřejné správy a pravděpodobnosti výskytu těchto rizik prostřednictvím objektivních nebo historických údajů. Pro daný kalendářní rok jsou uvedeny v ročním plánu auditu. Jedná se o 8 vah vztažených k jednotlivým rizikovým oblastem ohodnocených číselnou hodnotou. Součet všech osmi vah musí být roven 1. (např. prostředky EU = 0,20; sankce = 0,05; převod listinných agend do elektronických = 0,15; organizační změny = 0,15; veřejné prostředky = 0,20; veřejné zakázky = 0,15; četnost a výsledky kontrol a auditů = 0,05; složitost a změny předpisů = 0,05).
rozsah splnění (EXT) Posouzení splněnosti opatření přijatých na základě doporučení v hodnotách 0 až 1 (nesplněno až splněno na 100%). RT pole řízený přístup skutečný stav spolugestor správce katalogu správce zdroje dat SSL protokol tenký klient text z nabídky váha rizika vícenásobná položka volný text vygenerovat dokument vypočítávané datum vypočítávané pole výstupní dokumenty závažnost zdroj dat žádoucí stav Viz obohacený text Programem vypočítaný přístup k informacím poskytovaným oprávněnému uživateli. Informace popisující zjištění u auditované osoby zadokumentovaná auditorem. Útvar spoluodpovídající za konkrétní činnost organizace vycházející z právních předpisů. Fyzická osoba s nejvyššími právy k souhrnu informací zdroje dat používaných pro vytváření dokumentů (např. katalog rizik). Fyzická osoba s nejvyššími právy ke zdroji dat včetně možnosti jejich změny. Zkratka z anglického Securet Sockets Layer. Poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran. Nejčastěji se využívá pro bezpečnou komunikaci v internetových technologiích. Jedná se o prostředí podporované internetovými prohlížeči (např. Internet Explorer) poskytující informace uživateli po jednotlivých stránkách včetně Interface (např. z telefonního seznamu prvních 20 osob, pro dalších 20 osob musí uživatel odeslat požadavek na zobrazení další stránky). Výběr textu z programově nabízených možností. Ohodnocení váhy jednotlivého rizika relativního významu v porovnání se všemi ostatními posouzenými rizikovými faktory podle stupnice ve zvolené číselné řadě 0 1, celková suma 8 vah je rovna 1 (např. prostředky EU = 0,20; sankce = 0,05; převod listinných agend do elektronických = 0,15; organizační změny = 0,15; veřejné prostředky = 0,20; veřejné zakázky = 0,15; četnost a výsledky kontrol a auditů = 0,05; složitost a změny předpisů = 0,05). Informace skládající se z více údajů jednoho typu z nabízeného seznamu (např. auditované osoby). Libovolný text zapsaný uživatelem. Programové vytvoření výstupního dokumentu aplikací office z prostředí Lotus Notes. Datum vypočítávané programem na základě předem daných podmínek. Část formuláře, která obsahuje vypočítávanou informaci dle předem daných podmínek. Dokumenty využívané k vytváření tiskových výstupů souvisejících s činností auditora. Součin významností (dopadu) a pravděpodobnosti výskytu (četnosti). Závažnost je v mapě rizik vyjádřena velikostí bublinky. Část aplikace audit MV, tedy souhrn dokumentů obsahujících informace jednoho druhu (např. vyjádření auditovaných a odpovědných osob, denní záznam auditora, katalog rizik). Citace právních norem vztahujících se ke konkrétním zjištěním v auditované oblasti (např. ze správních předpisů, interních aktů řízení, organizačních
řádů a statutů, správních aktů a smluv, příp. i z usnesení vlády, zřizovacích listin). Stupeň četnosti Četnost rizika pravděpodobnost výskytu Popis Příklad 10 Téměř jistá Vyskytuje se téměř vždy (91%-100%) 9 Velmi pravděpodobná Vyskytuje se často (81%-90%) 8 Pravděpodobná Vyskytuje se v rozsahu 3/4 (71%-80%) 7 Téměř pravděpodobná Vyskytuje se (61%-70%) 6 Možná Vyskytuje se ve větší části (51%-60%) 5 Téměř možná Vyskytuje se občas (41%-50%) 4 Řídká Vyskytuje se občas (31%-40%) 3 Neobyčejně řídká Vyskytuje se maximálně v rozsahu 1/3 (21%-30%) 2 Nepatrná Vyskytuje se za výjimečných okolností (11%-20%) 1 Zanedbatelná Vyskytuje se v zanedbatelném rozsahu (0%-10%) Stupeň závažnosti Dopad rizika význam vlivu (významnost) Popis Následky 10 Katastrofální Zastavení chodu organizace jako celku, obrovské finanční ztráty 9 Rozsáhlý Ohrožení chodu organizace, neplnění zákonných povinností 8 Velký Výpadek chodu rozhodující činnosti, velké finanční ztráty 7 Závažný Ohrožení plnění zákonných povinností, finanční ztráty 6 Značný Poruchy mají dopad na veřejnost, finanční ztráty 5 Střední Periodicky se opakující výpadky v činnostech, riziko finančních ztrát, velké množství pochybení musí řešit soudy a nadřízené orgány 4 Okrajový Poruchy mají dopad na veřejnost bez finančních ztrát
3 Malý Občasné výpadky v činnostech, nutné zásahy do režimu organizace, poruchy narušující vnitřní chod 2 Nepatrný Výpadky v činnostech nemající vliv na chod organizace, nápravná opatření vyžadují spolupráci několika subjektů 1 Zanedbatelný Výpadky v činnostech nemající vliv na chod organizace, běžná nápravná opatření Rizikové oblasti váhy pro rok 2007 1. Prostředky Evropské unie 0,20 2. Převod listinných agend do elektronických 0,15 3. Organizační změny 0,15 4. Sankce 0,05 5. Veřejné prostředky 0,20 6. Veřejné zakázky 0,15 7. Četnost a výsledky kontrol a auditů 0,05 8. Složitost a změny předpisů 0,05 1,00