10. setkání interních auditorů v oblasti průmyslu

Podobné dokumenty
2. setkání interních auditorů ze zdravotních pojišťoven

Personální řízení: aktuální výzvy pro interní audit

Trendy a východiska Příležitosti v roce 2013 v oblasti projektů volnočasových aktivit, cestovního ruchu a sportu

Novela zákona o účetnictví a prováděcích právních

veřejném sektoru a jejich zavádění do praxe

Budoucnost exportního financování. Stavební fórum 26. září 2012

Trendy v interním auditu v České republice

12. Setkání IA z oblasti průmyslu, obchodu a služeb Dva pohledy na audit nákupu

Potřebuje česká fiskální politika pevná pravidla?

Cestovní ruch v České republice

Nové soukromé právo a jeho dopad na procesy a řízení společností

Zimní stadiony a multifunkční haly s ledovou plochou v ČR. Srovnávací analýza. Květen 2012

Využití sociálních sítí v náboru zaměstnanců

Benchmark městě v České republice. srpen 2012

Vedení účetnictví a mzdové agendy kpmg.cz

Metodika analýzy návštěvnosti horských středisek v České republice. Ondřej Špaček 11. listopadu 2015

Banking Executive Survey 2014 Výsledky za Českou republiku

Solvency II: Pilíř 2. Aby se nic špatného nestalo. kpmg.cz

Sportovní infrastruktura v České republice

ERM Enterprise Risk Management

Finanční audit projektů 7RP

Trestní odpovědnost právnických osob. Její vliv na práci správního orgánu 10/3/2012. Zvyšující se požadavky na corporate governance ve světě

Řetězové transakce. 12. listopadu Erika Gorčíková

Svět kolem nás se mění. Změní se i pojišťovnictví?

Zkušenosti se zaváděním a řízením EA ve veřejné správě Slovenska. září 2015

OBCHOD A NEKALÉ PRAKTIKY Ztratné v maloobchodě

Společenská odpovědnost v KPMG Česká republika kpmg.cz

Horská střediska v ČR

Cestovní ruch v Královehradeckém a Pardubickém kraji. vybrané výstupy z analýz KPMG. Ondřej Špaček

Nové Top Level Domény

Základní legislativní rámec

Daňové novinky Jana Morávková. 28. února 2017

Podnikatelské prostředí v cestovním ruchu

Výrobní firmy po krizi

VELKÁ DATA A JEJICH PRAKTICKÉ VYUŽITÍ

Informační bezpečnost. Dana Pochmanová, Boris Šimák

General Data Protection Regulation

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Maloobchod a odbyt. Kde hledat jistotu? kpmg.cz

Vnitřní kontrolní systém a jeho audit

Status vysoce účinné KVET malého výkonu v České republice Manažerské shrnutí Cogen Czech. 21. červen 2012

Prevence nemocí vyvolaných nadváhou a obezitou prostřednictvím sportu

Postavení a význam cestovního ruchu v České republice

Strategie rozvoje města Ústí nad Labem

Jak se vyhnout sporům s finančním úřadem

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Služby pro potravinářství a nápojářství kpmg.cz

Trestní odpovědnost právnických osob

Služby pro sektor dopravy

Průzkum zaměřený na krádeže dat v regionu střední a východní Evropy 2012

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

VOIPEX Pavel Píštěk, strategie a nové Sdílet projek ts y práv, I né PEX inf a.s orm. ace se správnými lidmi ve správný čas

Postavení a význam cestovního ruchu v České republice

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Platná od Bezpečnostní politika. Deklarace

2. setkání IA ze zdravotních pojišťoven. Rizikové oblasti zdravotních pojišťoven z pohledu externího auditora

Řízení privilegovaný účtů

Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Management Consulting. Zvyšování podnikatelské výkonnosti Informační technologie. kpmg.cz. KPMG v České republice

Bezpečnost dat v prostředí SAP. Leoš Černý KPMG Česká republika

Protikorupční školení v kontextu veřejné správy

Zpráva o činnosti a výstupech interního auditu ČT

Posouzení činností zajišťovaných externě

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zahraniční inspirace pro český ehealth. KPMG Česká republika, s.r.o.

Daňové novinky od 1. ledna 2014 Setkání interních auditorů z oblasti průmyslu

STÁTNÍ SPRÁVA A ČESKÉ LYŽAŘSKÉ AREÁLY. Celostátní konference horských středisek ČR Špindlerův Mlýn,

Jak zlepšit řízení rizik podvodného jednání ve střední a východní Evropě. Zjištění vycházející z posouzení německých a rakouských společností regionu

DMS - řízená dokumentace, archiv a co dále? ICT ve zdravotnictví 2014

Výsledky úvodního benchmarkingu činnosti interního auditu ve veřejné správě

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Strategie rozvoje města Ústí nad Labem

Strategie rozvoje města Ústí nad Labem

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Závěrečná zpráva 4. etapy

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Trendy v interním auditu v České republice

Aby vaše data dorazila kam mají. Bezpečně a včas.

Bezpečností politiky a pravidla

Řešení a důsledky nesplácených pohledávek pro věřitele

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Specifika bankovního prostředí při monitoringu a analýze bezpečnostních incidentů. RNDr. Ondřej Zýka Profinit

Analýza podpory sportu v hl. m. Praze, pozitivní efekty sportu

Zvýšení kvality IA s využitím nových technologií: Představení řešení IDEA - SymSure pro CCM

František Beckert ČIIA On-line anketa nejen o interním auditu ve veřejné správě

Vývoj britského G-Cloudu

Security. v českých firmách

Metodický pokyn pro řízení kvality ve služebních úřadech: Kritéria zlepšování

Katalog služeb a podmínky poskytování provozu

Systémová analýza a opatření v rámci GDPR

Sdílení výukových materiálů. Inovativní podpora výuky a provozu. Ochrana dat. Moderní interaktivní výuka. Příprava vyučujících

Technická opatření pro plnění požadavků GDPR

Vazba na Cobit 5

Bezpečnostní politika společnosti synlab czech s.r.o.

Security. v českých firmách

Transkript:

10. setkání interních auditorů v oblasti průmyslu Současné výzvy IT interního auditu 7. Března 2014

Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu IT 3 KPMG metodika interního auditu 5 Michal Čup Manager KPMG Česká republika, s.r.o. tel. +420 222 123 331 mob. +420 724 981 320 e-mail: mcup@kpmg.cz Typické oblasti IT interního auditu 6 Typická zjištění 9 1

KPMG průzkum stavu interního auditu IT Průzkum se konal v roce 2013 v zemích regionu EMA (Evropa, Blízký východ, Afrika) Zúčastnilo se celkem 400 společností z 21 zemí Hlavními respondendz byli vedoucí oddělení auditu IT nebo vedoucí oddělení řízení rizik V ČR se zúčastnilo celkem 21 společností napříč několika sektory (především finanční instituce a nadnárodní společnosti) 2

Klíčové výzvy IT IA (1/2) Rozsah interního auditu není přizpůsoben rizikům a potřebám společnosti, ale je ovlivněn současným znalostmi a zkušenostmi IT interních auditorů Tři čtvrtiny společností uvádí nedostatek znalostí a dovedností jako hlavní důvod nespokojenosti s interním auditem, přesto pouze třetina společností využívá služeb externích poskytovatel Nutnost reagovat na nově vznikající rizika (SaaS, kybernetická bezpečnost, Big Data, cloud, mobilní technologie, sociální média) a zajistit jejich pokrytí z interních nebo externích zdrojů Plány IT interního auditu by měly podléhat důslednější kontrole ze strany vedení společnosti. Činnost interního auditu IT je potřeba lépe sladit s ostatními aktivitami v oblasti správy a řízení společnosti. 3

Klíčové výzvy IT IA (2/2) Potřeba dosáhnout vyšší kvality prováděním kontroly kvality činností a používáním rámce pro provádění auditů (v ČR cca polovina respondentů neprovádí kontrolu kvality IA) Ve společnostech, kde nepůsobí specializovaní IT auditoři je pokrytí oblastí nižší zaměření především na tradiční oblasti obecné IT kontroly, technické zabezpečení IT, klíčové IT projekty Chybí formální cyklus plánování (nebo plánování dle nákladovosti či dostupných dovedností a nikoliv podle hrozícího rizika) Čtvrtina respondentů v ČR nevyžaduje od IT interních auditorů žádnou profesní certifikaci (na rozdíl od EMA regionu). Pouze 30 procent společností poskytuje svým IT interním auditorům technická školení. 4

KPMG metodika interního auditu Zná naše společnost svůj aktuální rizikový profil? Jsou identifikovaná hlavní rizika? Jsou auditní postupy zacíleny na tyto rizika? Máme stanoveny auditní procedury, alokovány nutné kapacity? Hlavní fáze našeho přístupu Plánování: příprava detailního auditního plánu pro oblasti identifikované interní rizikovou analýzou Realizace auditu realizace jednotlivých IT auditů (oblastí) prezentace výsledků auditu Hlavní benefity našeho přístupu: Flexibilní přístup Porovnání s best practice v průmyslovém sektoru (benchmarking) Jasná a strukturovaná prezentace auditních zjištění Transparentní komunikace Žádná překvapení všechna zjištění jsou včas komunikována a vysvětlena s odpovědnými zaměstnanci Průběžné sledování nápravy zjištění Máme nástroj monitorující stav zjištění a nápravných opatření? Jsou pravidelně sledována a vyhodnocována? Jaká by měla být forma našich výstupů, kdo jsou jejich příjemci? Máme připravený detailní audit program? Mají naši IT auditoři odpovídající znalosti? 5

Typické oblasti IT interního auditu (1/3) Area Proces Popis IT bezpečnost Řízení informačních rizik Řízení a administrace přístupových práv Autentizace (nastavení hesel) Metodický rámec pro řízení bezpečnosti Bezpečnost koncových zařízení Síťová topologie a bezpečnost Antivirus Business continuity and disaster recovery 6

Typické oblasti IT interního auditu (2/3) Area Proces Popis IT bezpečnost Organizace IT bezpečnosti Fyzická bezpečnost Řízení bezpečnostních incidentů Řízení IT IT strategie IT Organizace IT provoz Zálohování Datové přenosy a interface mezi systémy Kontrola migrace dat (z původního systému na nový) Řízení incidentů Řízení změn Proces řízení změn Oddělené testovací prostředí 7

Typické oblasti IT interního auditu (3/3) Area Proces Popis Specifické testy systému SAP Obecné IT kontroly Segregation of Duties 3-way match Kontrola dvojí fakturace 8

Typická zjištění (1/3) Oblast Zjištění Detail zjištění 1 Řízení přístupů Sdílený uživatelský účet v systému XY Systém, který je používán pro administraci klientů má sdílený účet. Přihlašovací údaje k tomuto účtu jsou sdíleny třemi zaměstnanci útvaru podpory uživatelů. Přidělování přístupových práv Přístupová práva nejsou žadatelem řádně specifikována Konfliktní matice rolí na pracovní pozice není zavedena Nedostatečná kontrola přístupových práv Není prováděna kontrola aktivních účtů na odchozí zaměstnance Není prováděna kontrola rozsahu uživatelských práv na žádosti nebo na konfliktní matici Kontrola není prováděna pravidelně a pro všechny systémy Kontrola není formálně dokumentována 2 Segregation of Duties Nedostatečně nastavené kontroly konfliktních rolí v systému SAP Systém pro kontrolu konfliktních rolí/transakcí není správně nastaven/nakonfigurován 9

Typická zjištění (2/3) Oblast Zjištění Detail zjištění 3 Účty třetích stran Přístupy třetích stran do produkčního prostředí Nepřetržitý přístup třetích stran do produkčního prostředí společnosti Přístup třetích stran do produkčního prostředí není monitorován 4 Řízení změn Neformální proces řízení změn Proces řízení změn není formálně definovaný Není používán žádný nástroj na řízení změn, který by v sobě měl implementované odpovídající workflow Klíčové know-how týkající se systému je soustředěno u jednoho člověka Změny nejsou odpovídajícím způsobem dokumentovány 5 Oddělené testovací prostředí 6 Klasifikace informačních aktiv Absence odděleného testovacího prostředí Absence samostatného testovacího prostředí Nedostatečný rozsah testování (pouze UAT) Nejsou vytvořena testovací data Nejsou zpracované testovací scénáře Vlastnictví a klasifikace informačních aktiv Není zaveden registr informačních aktiv (společnost nemá jasně definované, co jsou její nejdůležitější aktiva) Nejsou určeni vlastnící dat Není definováno jak s jednotlivými informacemi bezpečně nakládat 10

Typická zjištění (3/3) Oblast Zjištění Detail zjištění 7 Analýza informačních rizik 8 Mobilní zařízení 9 Datový přenos Chybějící analýza informačních rizik Analýza rizik nebyla zatím provedena Pro analýzu rizik nebyla použita žádná metodika Analýza rizik není periodicky opakována Rizika identifikovaná analýzou rizik nejsou odpovídajícím způsobem řízena Zabezpečení mobilních zařízení Služební notebooky nejsou šifrovány Firemní telefony nejsou dostatečně chráněny Datový přenos mezi produkčním a účetním systémem Manuální zásahy v procesu datového přenosu 10 Schvalovací workflow v systému Workflow pro schvalování faktur není v systému implementováno Faktury se schvalují mimo systém a poté manuálně zadávají do systému Absence kompenzačních kontrol 11

BACKUP

Příklady auditních reportů 13

2014 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. Printed in the Czech Republic. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář