Vysoká škola ekonomická v Praze. Audit informačního systému společnosti Terms a.s.

Podobné dokumenty
ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Management informační bezpečnosti

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Co je to COBIT? metodika

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

Vnitřní kontrolní systém a jeho audit

ČESKÁ TECHNICKÁ NORMA

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Vazba na Cobit 5

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Bezpečnostní politika společnosti synlab czech s.r.o.

Návod k požadavkům ISO 9001:2015 na dokumentované informace

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Jak auditovat systémy managementu bez příruček a směrnic Ing. Milan Trčka

Jak na jakost v podnikovém IT Evropský týden kvality Praha

SMĚRNICE DĚKANA Č. 4/2013

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX

WS PŘÍKLADY DOBRÉ PRAXE

Cobit 5: Struktura dokumentů

Představení normy ČSN ISO/IEC Management služeb

Aplikace modelu CAF 2006 za podpory procesního řízení. Ing. Vlastimil Pecka Ing. Zdeněk Havelka, PhD.

Úvodní přednáška. Význam a historie PIS

Předmluva 11. Poděkování 11 O autorech 12 Úvodem 12 Komu je tato kniha určena 13 Jak byste měli tuto knihu číst 13 Web 14

Nástroje IT manažera

Bezpečnostní normy a standardy KS - 6

Výtisk č. : Platnost od: Schválil: Podpis:

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Přehled legislativy. Přehled legislativy týkající se farmakovigilančního (FV) auditu a inspekce. 30. listopadu

ZPRÁVA. o ověření roční účetní závěrky Evropského úřadu pro bezpečnost potravin za rozpočtový rok 2015, spolu s odpovědí úřadu (2016/C 449/18)

Návrh softwarových systémů - softwarové metriky

BI-TIS Případová studie

ISA 610 POSUZOVÁNÍ PRÁCE INTERNÍHO AUDITU. (Platí pro audity účetních závěrek sestavených za období počínající 15.prosince 2004 nebo po tomto datu)

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Zdravotnické laboratoře. MUDr. Marcela Šimečková

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK

METODIKA PROVÁDĚNÍ AUDITU COBIT

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Outsourcing v podmínkách Statutárního města Ostravy

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

ZPRÁVA. o ověření roční účetní závěrky Agentury Evropské unie pro základní práva za rozpočtový rok 2015, spolu s odpovědí agentury (2016/C 449/38)

Obsah. ÚVOD 1 Poděkování 3

SPECIFIKA CERTIFIKACE PODLE ČSN EN ISO 9001:2001 V ORGANIZACÍCH, KTERÉ SE ZABÝVAJÍ VÝVOJEM SOFTWARE

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Kvalita SW produktů. Jiří Sochor, Jaroslav Ráček 1

Nástroje IT manažera

Šachy interního auditu ve víru legislativních změn Workshop pro veřejnou správu. Novinky v IPPF

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Zkouška ITIL Foundation

Jan Hřídel Regional Sales Manager - Public Administration

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Přínosy spolupráce interního a externího auditu

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

ISO 9001 : Certifikační praxe po velké revizi

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

ZPRÁVA. o ověření roční účetní závěrky Evropského úřadu pro bezpečnost potravin za rozpočtový rok 2016 spolu s odpovědí úřadu (2017/C 417/18)

Audit? Audit! RNDr. Hana Žufanová

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ

ČESKÁ TECHNICKÁ NORMA

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ZPRÁVA. o ověření roční účetní závěrky Evropského orgánu pro cenné papíry a trhy za rozpočtový rok 2016 spolu s odpovědí orgánu (2017/C 417/28)

1. VYMEZENÍ ODBORNÉ STÁŽE

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

ZPRÁVA. o ověření roční účetní závěrky Agentury pro spolupráci energetických regulačních orgánů za rozpočtový rok 2015, spolu s odpovědí agentury

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Role zákona č. 219/ 2000 Sb. o majetku ČR a zákona č. 218/2000 Sb. o rozpočtových pravidlech v procesu zadávání veřejných zakázek

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

Problémové domény a jejich charakteristiky

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Zpráva o ověření roční účetní závěrky Agentury Evropské unie pro základní práva za rozpočtový rok 2015

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Zpráva o ověření roční účetní závěrky Evropské agentury pro námořní bezpečnost za rozpočtový rok 2015

MANAGEMENT Procesní přístup k řízení organizace. Ing. Jaromír Pitaš, Ph.D.

Aplikační doložka KA ČR Požadavky na zprávu auditora definované zákonem o auditorech

ZPRÁVA. o ověření roční účetní závěrky Evropské nadace odborného vzdělávání za rozpočtový rok 2015, spolu s odpovědí nadace (2016/C 449/31)

ÚVOD DO PROBLEMATIKY PROJEKTŮ, KATEGORIE

EKONOMIKA BEZPEČNOSTNÍ FIRMY

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

Úvod. Projektový záměr

ZPRÁVA. o ověření roční účetní závěrky Evropské agentury pro kontrolu rybolovu za rozpočtový rok 2016, spolu s odpovědí agentury (2017/C 417/17)

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Faktory ovlivňující řízení podnikové informatiky

ZPRÁVA. o ověření roční účetní závěrky Evropské agentury pro chemické látky za rozpočtový rok 2015, spolu s odpověďmi agentury (2016/C 449/15)

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

ZPRÁVA. o ověření roční účetní závěrky Evropského policejního úřadu za rozpočtový rok 2016, spolu s odpovědí úřadu (2017/C 417/36)

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Jak vytvořit správné Zadání IS

EnCor Wealth Management s.r.o.

ZPRÁVA (2016/C 449/09)

ZPRÁVA. o ověření roční účetní závěrky Evropského monitorovacího centra pro drogy a drogovou závislost za rozpočtový rok 2015, spolu s odpovědí centra

II. VNITŘNÍ KONTROLNÍ SYSTÉM

Transkript:

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra systémové analýzy Hlavní specializace: Informační management Audit informačního systému společnosti Terms a.s. (diplomová práce) Diplomant: Vedoucí diplomové práce: Bc. Karel Eremiáš Doc. Ing. Vlasta Svatá, CSc. 1

2

Prohlášení: Prohlašuji, že svou diplomovou práci na téma Audit informačního systému společnosti Terms a.s. jsem vypracoval samostatně. Použitou literaturu a podkladové materiály uvádím v přiloženém seznamu literatury. České Budějovice, 20.6.2008.. Podpis 3

Poděkování: Na tomto místě bych rád poděkoval ing. Schwarzovi a ing. Maulemu ze společnosti Terms a.s., bez jejichž pomoci by tato diplomová práce nemohla vzniknout. Zároveň bych chtěl poděkovat všem pracovníkům společnosti Terms a.s., kteří se mnou v průběhu mé práce spolupracovali. Dále bych rád poděkoval doc. ing. Vlastě Svaté, CSc. za vedení, konzultace a cenné připomínky při zpracování této diplomové práce. 4

Obsah OBSAH... 5 SEZNAM TABULEK... 7 SEZNAM OBRÁZKŮ... 8 1 ÚVOD... 9 2 OBECNÁ TEORIE AUDITU... 10 2.1 Definice auditu... 10 2.2 Význam, účel a výstup auditu... 10 2.3 Požadavky na audit... 11 2.4 Typy auditu... 12 2.5 Osoba auditora... 14 2.6 Shrnutí... 14 3 AUDIT IS... 15 3.1 Definice auditu IS... 15 3.2 Obsah auditu IS... 15 3.3 Problematika auditu IS... 16 3.3.1 Postavení auditu v ČR... 17 3.3.2 Problém komplexnosti... 17 3.3.3 Problém kritérií... 18 3.4 Typy auditu IS... 19 3.5 Auditorská zpráva... 19 3.6 Obecný postup auditu IS... 20 3.7 Standardy auditu IS... 22 3.8 Metodiky auditu IS... 23 3.8.1 ITIL... 23 3.8.2 INTOSAI... 27 3.8.3 COBIT... 29 3.9 Shrnutí... 36 5

4 AUDIT IS SPOLEČNOSTI TERMS A.S.... 37 4.1 Definice zadání auditu... 38 4.1.1 Cíle auditu... 38 4.1.2 Metodika auditu... 40 4.2 Seznámení s organizací... 40 4.2.1 Organizační struktura... 40 4.3 Plán auditu... 44 4.3.1 Aplikační software... 44 4.3.2 Integrita databází... 48 4.3.3 Správa hesel... 49 4.4 Průběh testů... 51 4.4.1 Aplikační software... 52 4.4.2 Integrita databází... 67 4.4.3 Správa hesel a přístupových práv... 68 4.5 Auditorská zpráva... 68 4.5.1 Aplikační software... 70 4.5.2 Integrita databází... 73 4.5.3 Správa hesel a přístupových práv... 73 4.5.4 Doporučení... 74 5 ZÁVĚR... 75 SEZNAM POUŽITÉ LITERATURY... 76 PŘÍLOHY... 78 6

Seznam tabulek Tabulka č. 1: Druhy auditu...13 Tabulka č. 2: Domény auditu IS...16 Tabulka č. 3: Typy auditu IS...19 Tabulka č. 4: Postup auditu...22 Tabulka č. 5: Standardy auditu...23 Tabulka č. 6: Porovnání COBIT x ITIL...26 Tabulka č. 7: Porovnání metodiky COBIT a INTOSAI-IS...29 Tabulka č. 8: Úrovně auditu...32 Tabulka č. 9: Požadavky na proces auditu...33 Tabulka č. 10: Aplikace ve společnosti Terms, a.s. - vzor...39 Tabulka č. 11: Seznam interview pro audit aplikací...45 Tabulka č. 12: Přiřazení IT cílů k IT procesům...46 Tabulka č. 13: Seznam interview pro audit integrity databází...48 Tabulka č. 14: Přiřazení procesů ke kritériím...50 Tabulka č. 15: Seznam interview pro audit správy hesel...51 Tabulka č. 16: Shrnutí CMM...70 Tabulka č. 17: Seznam aplikací...72 7

Seznam obrázků Obrázek č. 1: Typy auditu...13 Obrázek č.2: Problém komplexnosti...18 Obrázek č. 3: Knihy ITIL...24 Obrázek č. 4: Podpora služeb...24 Obrázek č. 5: Dodávka služeb...25 Obrázek č. 6: Porovnání COBIT x ITIL...26 Obrázek č. 7: Sada dokumentů COBIT v3...30 Obrázek č. 8: Kostka COBIT...31 Obrázek č. 9: Návaznost dokumentů Audit guidelines...34 Obrázek č. 10: Organizační struktura společnosti Terms, a.s...38 Obrázek č. 11: Vzorové schéma aplikací...39 Obrázek č. 12: Organizační struktura na nejnižší úrovni...41 Obrázek č. 13: Schéma aplikací společnost Terms, a.s...54 Obrázek č. 14: Schéma aplikací divize 10...55 Obrázek č. 15: Schéma aplikací divize 20...57 Obrázek č. 16: Schéma aplikací divize 40...59 Obrázek č. 17: Schéma aplikací divize 50...61 Obrázek č. 18: Schéma aplikací divize 60...62 Obrázek č. 19: Schéma aplikací divize 70...64 Obrázek č. 20: Schéma aplikací divize 90...66 8

1 Úvod Cílem mé práce je provést audit informačního systému ve společnosti Terms, a.s., s využitím zvolené metodiky COBIT a s přihlédnutím k požadavkům, které předloží zástupci společnosti Terms. Mou diplomovou práci chápu jako příležitost uplatnit v praxi teoretické znalosti problematiky auditu IS, které jsem získal v rámci studia VŠE. V průběhu studia auditu jsem dospěl k závěru, že veškeré normy a standardy jsou tvořeny pro využití ve velkých společnostech, proto mě zajímá: lze aplikovat zvolenou metodiku při řešení auditu ve společnosti malé, případně střední? Tuto otázku chápu jako zajímavou výzvu, proto základním cílem mé práce je provést audit ve firmě střední velikosti a to tak, aby má práce poskytla společnosti odpovědi na otázky, které je zajímají a které pro můj audit stanoví. Má práce nemá proto za cíl obsáhnout a do nejmenších podrobností rozebrat teorii auditu, případně auditu IS, teoretická část pouze tvoří určitý teoretický rámec, do kterého zasazuji část praktickou, tj. vlastní provedení auditu. Mou prací nebude vyjmenování veškerých kladů a záporů stávající teorie auditu (případně auditu IS) a snaha nalézt nové cesty, kterými je možné zvýšit přínosy či snížit náklady či obtížnost auditu. Přestože ve své práci uvádím několik vybraných metodik auditu, není cílem mé práce detailní popis žádné z metodik. Metodiky jsou popisovány pouze zevrubně, a to z důvodu, že podle metodiky COBIT postupuje praktická část mé diplomové práce, a porovnáním se snažím ukázat jejich výhody či nevýhody právě oproti zvolené metodice COBIT. 9

2 Obecná teorie auditu 2.1 Definice auditu Audit ve své nejjednodušší podobě lze chápat jako hloubkovou kontrolu či kritickou analýzu. (Lit_7) Pojem audit má své kořeny již v období starověkého Říma, historie auditorské činnosti je však ještě delší a stejně jako má dlouhou historii má i mnoho různých definicí. Příkladem může být definice: je objektivní ověření stavu, jevu, záměru, skutečnosti se stavem nebo jevem žádoucím, tj. modelem, normou, standardem apod. (Lit_15) Musím zde však uvést, že historie zná pouze audit, který dnes označujeme jako finanční či účetní. Problematika ostatních typů auditů je mnohem novější a jejich historie sahá pouze do 20. století. Při určitém shrnutí tedy mohu říci, že audit je systematický, nezávislý a dokumentovaný proces, který se snaží prokázat, že provádíme správné činnosti správným způsobem. 2.2 Význam, účel a výstup auditu Význam auditu spočívá v jak říká definice porovnání skutečného/reálného stavu a stavu předpokládaného či požadovaného. Je velice podobný kontrole, někdy zaměnitelný, ale kvalitní audit by měl jít dál než jen kontrola. Kontrola se spokojí se sledováním účinnosti, audit by měl být zaměřen nejen na účinnost, ale i na účelnost. Účel zpracování auditu je v základu vždy zjištění současného stavu, ve kterém se auditovaná část společnosti nachází. Tento prvotní účel však může být rozšířen dle sledovaných cílů, neboť v určitých situacích děláme audit pouze pro zjištění aktuálního stavu, někdy kvůli možnosti optimalizovat auditem popsané skutečnosti. Základní kámen každé optimalizace je přesně popsaný současný stav a to je jeden z hlavních úkolů auditu. Cíle auditu mohou být různé, například (dle Lit_15): informovat management, zdůraznit dodržování vnitřních standardů, informovat management o rozsahu a omezeních závěrů, mechanismus pro auditované prosadit své cíle, motivace pro odstranění nedostatků. Kvalitní audit je vždy velice nákladná záležitost a to jak z pohledu finančního, tak i časového a materiálního. Proto je k němu obvykle přistupováno v mimořádných situacích (výjimkou je audit účetní, který je za určitých stanovených okolností prováděn v pravidelně se opakujících intervalech dle zákona č. 563/1991 Sb., o účetnictví). Často se tedy audit provádí v okamžiku, kdy organizace si již uvědomuje existenci svých problémů a tyto problémy jsou natolik závažné, že ohrožují její další činnost. Dalšími příklady mohou být např. audit před provedením fúze, před pořízením velké investice a podobně. Výstupem auditu je auditorská zpráva. Auditorská zpráva je (dle Lit_15) formální písemná komunikace mezi auditorem, auditovaným a managementem. Existují standardy pro auditorskou zprávu, avšak ty mohou ošetřit pouze obecné náležitosti zprávy, vlastní věcný obsah se liší dle auditovaného objektu. Standardy ISACA o auditorské zprávě říkají: Závěrečná zpráva musí obsahovat aktuální a objektivní obraz situace, umožňuje managementu uskutečnit potřebná opatření. Management používá tuto zprávu jako základ přesných, spolehlivých a vhodných informací, na jejichž základě lze učinit informované rozhodnutí. Management si také 10

uvědomuje, že jeho efektivnost je měřena externími pozorovateli, kteří mohou použít auditorskou zprávu jako východisko (gauge) pro investiční či regulační rozhodnutí, pokud bude zpráva zveřejněna, či je její zveřejnění požadováno zákonem. (Lit_12). Jako příklad z praxe zde uvádím definici a popis auditorské zprávy společnosti Secunet (Lit_9). Společnost se zabývá především audity bezpečnosti IS, proto je tomu uzpůsoben i tento popis. Základní idea je však shodná u všech typů auditu: Výsledkem bezpečnostního auditu organizace je zpráva o aktuální úrovni bezpečnosti informací, míře a efektivnosti dodržování bezpečnostních mechanismů zavedených za účelem ochrany informačních aktiv organizace. Závěrečná zpráva bezpečnostního auditu je vyhotovena v písemné podobě a jejím obsahem je: analýza aktuálního a skutečného stavu ochrany informací v jednotlivých analyzovaných oblastech (popis aktuálního stavu), míra souladu skutečného stavu bezpečnosti informací v organizaci s požadavky definovanými zvolenou metrikou, doporučení vhodných bezpečnostních opatření, které zvýší úroveň bezpečnosti v dané oblasti, včetně jejich kategorizace. 2.3 Požadavky na audit Aby byl audit smysluplný, je nutno na něj klást jisté požadavky, které musí být vždy splněny. Stejně tak je nutno klást požadavky i na informace, které jsou předmětem auditu. Při nesplnění těchto stanovených požadavků se audit stává nevěrohodným a vložené investiční prostředky můžeme považovat za ztracené, navíc osoba auditora ztrácí svou důvěryhodnost. Požadavky kladené na audit jsou (dle Lit_15): objektivita metody a postupy auditu musí být známy a kritéria pro jejich výběr, užívání a interpretaci jasné, zřejmé a předem odsouhlasené, formalizovanost proces auditu musí být řízen na základě metodik a standardů (podporuje objektivitu auditu), nezávislost neexistuje konflikt zájmů mezi auditorem a auditovaným subjektem či objektem, komplexnost audit musí obsáhnout nejen jednotlivé prvky auditovaného objektu, ale i jejich vzájemné vazby, pružnost cíle auditu musí být možné upravovat dle požadavků prostředí a zákazníka, systémovost schopnost prosazovat zájmy vlastníka. Požadavky na informace jsou (dle Lit_14): efektivnost (effectiveness) poskytovat patřičné relevantní informace ve správný čas, na správném místě a vhodnou formou, efektivita (efficiency) poskytovat informace při optimálním (nejproduktivnější a ekonomické) využití zdrojů, důvěrnost (confidentiality) zajistit ochranu citlivých informací, integrita (integrity) vztahovat přesnost, úplnost a důvěryhodnost informací k jejich hodnotě pro podnik, dostupnost (availability) informace musí být k dispozici vždy, kdy jsou zapotřebí, shoda s legislativou (compliance) oblast musí splňovat zákonné požadavky, které jsou na ni kladeny, spolehlivost (reliability) managementu jsou poskytovány přesné informace, na základě kterých může řídit organizaci a dostát svým finančním a ohlašovacím povinnostem. 11

2.4 Typy auditu Prvním základním hlediskem členění auditů je oblast auditu. Zde rozlišujeme mezi audity účetními (případně finančními, respektive statutárními); audity personálními, tepelnými, informačními či audity informačních systémů. Typů auditů z tohoto pohledu je velké množství a každý má svá vlastní specifika realizace. Ve všech případech se však jedná o audit a proto obsah první kapitoly mé práce platí u každého daného typu. Jako příklad uvádím audit informační, jehož definice je (dle Lit_4): Disciplína na pomezí informační vědy, znalostního a informačního managementu nástroj, který dokáže objektivně odpovídat na otázky týkající se vnitřních i vnějších informačních toků organizace, například: Je komunikace mezi pracovníky a pracovními týmy optimální? Jsou dostupné informační zdroje optimálně využity? Je image (prezentace směrem navenek i dovnitř) v souladu s identitou organizace (zejména požadavky na prezentaci)? Je internetová prezentace optimální vzhledem k jejímu očekávanému přínosu? A oproti tomu audit účetní, jehož definice dle (Lit_10) zni: Systematický proces objektivního získávání a vyhodnocování důkazů, týkajících se informací o ekonomických činnostech a událostech, s cílem zjistit míru souladu mezi těmito informacemi a stanovenými kriterii a sdělit výsledky zainteresovaným zájemcům. Některé typy auditu jsou velice odlišné, takže je lze odlišit na první pohled (např. účetní audit a audit personální), jiné audity jsou si naopak velice podobné a rozdíly mezi nimi jsou někdy přecházeny. Z toho důvodu lze narazit na materiály, kde je zaměňován audit informační s auditem informačního systému. Rozdíl mezi těmito typy auditů spočívá v tom, že informační audit zkoumá využívání, sdílení a komunikování informačních zdrojů a informačních služeb, které organizace využívá, zjednodušeně jej lze tedy označit za nástroj znalostního managementu, který se zaměřuje na sledování informací. Oproti tomu audit IS se zabývá posuzováním a poradenstvím objektů v prostředí, kde se používají informační technologie (Lit_15). Zabývá se tedy nejen informacemi, ale i dalšími oblastmi v organizaci jako např. hardwarové a softwarové vybavení, procesy organizace, které souvisejí s informačními technologiemi apod. S určitým zjednodušením bych mohl uvést, že informační audit je podmnožinou auditu informačních systémů. V rámci jednoho typu auditu však můžeme ještě dále rozlišovat dle různých další hledisek. Vybraná hlediska jsou uvedena v následující tabulce. Hledisko: úrovně aplikace auditu Typ auditu: technický ověřuje soulad mezi objektivní realitou a systémem řízení (zda subjekty řízení mají k dispozici kvalitní informace), profesionální ověřuje soulad mezi výstupy ze systému řízení dané organizace a společností ( zda organizace plní svůj společenský účel v rámci daných společenských standardů), vykonavatele auditu interní - prováděn organizační jednotkou / zaměstnancem organizace, externí prováděný externí organizační jednotkou / pracovníkem, 12

ekonomické a časové jednorázový rychlý audit zaměřený na konkrétní aspekt systému v daném časovém rozpětí průběžný preventivní nepřetržitý audit monitorující hlavní charakteristiky provozu metodologické substantivní předmětem jsou transakce, audit založený na kontrolách a riziku předmětem je vnitřní kontrolní systém organizací a rizika s ním spojená, procesně orientovaný předmětem jsou procesy, vazby na právní systém forenzní (soudní) audit prováděný za pomoci metod a prostředků vycházejících z forenzních věd, zaměřen na získání objektivních a prokazatelných důkazů, due dilligence předinvestiční prověrka, poskytnout investorovi informace o situaci uvnitř podniku a o vhodnosti jeho koupě, ostatní nejsou součástí soudní pře, kriminálního aktu či investičního rozhodování. Tabulka č. 1: Druhy auditu (Zdroj: Lit_15) Kromě těchto typů však můžeme rozeznat ještě další např. audit plánovaný / neplánovaný; retrospektivní / souběžný apod. Vztahy mezi vybranými typy auditů zobrazuje následující obrázek. Obrázek č. 1: Typy auditu (Zdroj: Lit_15) 13

2.5 Osoba auditora Vzhledem k šíři odlišností mezi jednotlivými základními typy auditů je prakticky nemožné, aby jedna osoba odpovědně a v plné šíři ovládla více než jednu oblast. Proto vznikají specialisté na jednotlivá odvětví. Základem pro každého auditora je výjimečná znalost oblasti, na kterou se specializuje, dále musí znát a sledovat trendy vývoje svého odvětví a k němu příslušející legislativy. Výjimečnou pozici mají auditoři účetní, neboť na ně jsou kladeny speciální požadavky zákony ČR a Komorou auditorů ČR. Auditor dále kromě profesionálních schopností musí mít i schopnosti a dovednosti lidské. Musí umět hovořit s lidmi, musí umět lidem naslouchat. Je obtížné přijít na pracoviště, kde vás vidí poprvé v životě, a začít s lidmi hovořit tak, aby vám odpověděli. Hlavní devizou každého auditora je však jeho důvěryhodnost. 2.6 Shrnutí Cílem auditu obecně, je určit, zda ve zvolené oblasti organizace dělá správné věci správným způsobem. Z toho důvodu audit doporučuji provést v každé situaci, kdy je zapotřebí zjistit skutečný stav organizace. Kromě situace, která každého napadne jako první, tj. organizace se dostává do potíží, je to však i situace, kdy např. organizaci se chystá někdo koupit, organizace se připravuj na fúzi apod. Protože organizace vykonává široké spektrum různých činností, u kterých nelze sjednotit postupy auditu, proto vznikají jednotlivé typy auditů, které se specializují na jednotlivé činnosti a tvoří pro ně standardy a normy. Přesto však existují určité požadavky, které lze klást na všechny typy auditů. Přestože pro všechny typy auditů již existují platné a praxí ověřené standardy a normy, kvalitní provedení auditu je zcela závislé na dovednostech, zkušenostech a osobnosti osoby auditora, který tento audit provádí. 14

3 Audit IS 3.1 Definice auditu IS Obecně mohu říci, že audit IS je každý audit, který zkoumá informatiku podniku. Tak jako se vyvíjí chápání auditu IS a předmětu auditu IS, mění se i definice. Jako příklad uvádím tři definice od jednoho autora, jak se vyvíjejí v čase. První definice byla publikována v roce 2000. Audit IS je nástroj, který: umožňuje působit preventivně na řízení IT a snižovat tak rizika z jejich využívání, se orientuje na průběžné a nepřetržité monitorování procesů probíhajících v IS, umožňuje hodnocení a zvyšování efektivnosti IT včetně navazujících aktivit (např. business process reengineering), v podmínkách integrovaných IS a rychle se měnících IT poskytuje pružnější možnost stanovování standardů a norem a prověřování jejich dodržování ve srovnání s klasickými kontrolními systémy jakým je např. právní systém, vytváří důležitý informační filtr mezi organizacemi a moderními sociálními systémy. (Lit_16). Druhá definice, kterou zde uvádím byla publikována v roce 2002. Audit IS je proces, jehož úkolem je vytváření a prověřování komplexního systému kontrol z hlediska toho, zda stanovené standardy jsou vyhovující, zda procesy v organizaci jsou efektivní a produktivní. (Lit_20). Třetí a poslední definice, která byla publikována v roce 2005 uvádí, že: Audit IS je proces, který se zabývá posuzováním a poradenstvím objektů v prostředí, kde se používají informační technologie. Jeho cílem je kvalitativně a / nebo kvantitativně přispět ke správné organizaci informačního sytému tak, aby byly splněny požadavky uživatelů. Objekty mohou být organizace a řízení IS, základní i aplikační software, technické vybavení, telekomunikační systémy, procesy tvorby a údržby systémů, ochrana a bezpečnost systému, data (databáze) apod. (Lit_15). V současné době se v literatuře objevuje pojem assurance. Objevují se různé tvary slova jako information assurance, quality assurance či software assurance. Vše je však založeno na jednom přístupu. Tento přístup je v mnoha ohledech srovnatelný s risk managementem řízení rizik. Jde tedy o způsob řízení rizik, snahy o jejich předvídání a odstranění (případně využití). Rozdíl, který vidím oproti auditu spočívá v tom, že obecným cílem auditu je popsat stávající situaci, kdežto cílem assurance je působit do budoucna, vytvářet nějakou hodnotu v budoucnu (snižováním možných rizik a jejich důsledků). Jiná definice auditu IS zní: Audit IS spočívá v ověření správnosti finančních výkazů a provedení operačního auditu aby byla zajištěna účinnost a účelnost počítačových informačních systémů. (Lit_24) Podle společnosti ISACA je audit IS jakýkoli audit, který zahrnuje prověření a hodnocení všech, nebo jen některých aspektů systémů automatizovaného zpracování dat, včetně navazujících neautomatizovaných procesů a rozhraní (interface) mezi nimi. 3.2 Obsah auditu IS Obsah auditu prošel a stále prochází vývojem. Tento vývoj lze rozčlenit do tří období. 15

První období se zaměřuje na ověření výsledků automatizovaného zpracování dat obsahem auditu jsou vstupy, průběh zpracování a výstupy IS. Druhé období se zaměřuje na rizika, jejich hodnocení a plánování. Kromě samotného zpracování dat se tedy uvažují již fáze předcházející (např. pořízení dat) i fáze následující (odhady budoucích rizik a jejich minimalizace). Třetí období, které trvá do současnosti, je zaměřeno na hodnocení IT procesů, jejich optimalizaci. Při auditu IS již nemůžeme brát v úvahu pouze ryzí procesy IT, ale i procesy navazující tedy procesy, které nám data poskytují a které naše data využívají. Vývoj obsahu je názorně předveden v tabulce č. 2 Domény CISA. Tyto domény byly stanoveny společností ISACA. Zároveň zde stanovila důležitost a to procentním podílem otázek v testu pro zájemce o certifikaci CISA (tento procentní podíl je uveden ve sloupci označeném %). Domény CISA (1997) % Domény CISA (2000) % Domény CISA (2007) % Integrita, důvěrnost 29 Ochrana informačních aktiv 25 Ochrana informačních aktiv 31 a bezpečnost IS Obnova systému a podnikatelských 10 Obnova systému a podnikatel. 14 aktivit po katastrofách aktivit po katastrofách Tvorba, pořízení a 26 Tvorba, pořízení, implementace a 16 Dodávka a podpora IT služeb 14 údržba programového údržba aplikačních systémů vybavení Rozvoj podnikatelských procesů a 15 řízení rizika Provoz IS 22 Technická infrastruktura a provoz 13 Řízení životního cyklu systémů 16 a infrastruktury Organizace a řízení IS 15 Řízení plánování a organizace IS 11 IT Governance 15 Standardy a postupy 8 Postupy auditu 10 Postupy auditu 10 auditu Tabulka č. 2: Domény auditu IS (Zdroj: Lit_12) 3.3 Problematika auditu IS Audit IS je poměrně mladá záležitost (jeho historie sahá jen do druhé poloviny 20. století) a jako vše mladé má určité specifické problémy, které je třeba odstranit a na jejichž eliminaci se stále pracuje. 16

(Lit_15) člení problémy auditu do tří skupin: postavení auditu v ČR, problém komplexnosti a dynamického vývoje objektu auditu, problém kritérií potřebných pro objektivní hodnocení a závěry auditu. 3.3.1 Postavení auditu v ČR Aby audit mohl efektivně plnit svoji funkci, musí existovat soulad mezi aspekty: aspekt ekonomický zdůrazňuje ekonomické přínosy auditu projevující se ve zvyšování hodnoty úspěšně auditovaného objektu, aspekt informační zdůrazňuje význam auditu jako nástroje pro řízení kvality zveřejňovaných informací o auditovaném objektu, aspekt motivační vycházející z předpokladu, že vědomí existence auditu zvyšuje motivaci lidí pro kvalitní odvádění práce, aspekt právní založený na předpokladu, že kvalita a význam auditu je do značné míry určen existujícími právními předpisy, procesní aspekt zdůrazňuje potřebu konceptuálního modelu auditu, nejčastěji ve formě metodiky nebo pravidel postupu auditu. (Lit_15) Situace v ČR je v tomto ohledu značně nevhodná pro efektivní funkci auditu. Některé aspekty (především aspekt ekonomický a informační) jsou hluboce podceněny a bohužel, některé aspekty neexistují vůbec či jen minimálně. Tím mám na mysli aspekt právní, neboť právní podporu má audit účetní, který je v právním systému ČR značně rozpracován, zatímco všechny ostatní typy auditů jsou opomíjeny. Stávající situace tedy zvětšuje riziko, že provedený audit (i když kvalitní), nesplní očekávání a požadavky zadavatele auditu. 3.3.2 Problém komplexnosti Problematika komplexnosti má dvě stránky. Prvním problémem, který je celosvětový, je stále se zrychlující vývoj informačních technologií. Organizace vyvíjející informační technologie se soustřeďují na další možnosti uspokojení potřeb uživatelů a často přitom opomíjí problematiku systémových rizik. Proto je nezbytné, aby se auditor neustále vzdělával v nových technologiích, zároveň mu tento problém pomáhají zmírnit konference, školení a podobné služby, které poskytují organizace jako ISACA, na kterých si auditoři mohou vzájemně vyměňovat své zkušenosti. Druhý problém komplexnosti je otázkou dekompozice a úrovně detailnosti v průběhu času tj. během auditu. Problém je schematicky znázorněn na obrázku č. 2. 17

Obrázek č.2: Problém komplexnosti (Zdroj: Lit_15) První část problému (na obrázku znázorněné jako problém č. 1) je, jakým způsobem budeme provádět dekompozici IS pro potřeby auditu. Dnešní IS jsou natolik rozsáhlé, že není možné, aby audit byl proveden v rámci celého IS najednou, proto musí být provedena dekompozice celku na části, které je možno auditovat. Firmy však obvykle pro své potřeby IS mají rozčleněn nějakým způsobem a pokud auditor zvolí způsob jiný, způsobí to problémy s dokumentací apod. Druhá část tohoto problému (na obrázku označeno jako problém č. 2) spočívá neustálém běhu času. Každý audit má určitý životní cyklus řadu na sebe navazujících kroků. Podobně má životní cyklus i IS a je třeba určitým způsobem obojí sladit. Má například audit databázového systému zahrnovat jeho pořízení a instalaci nebo se zaměří na hodnocení jeho provozu? (Lit_15) 3.3.3 Problém kritérií Zde je situace tak dobrá, až je špatná. Množina existujících standardů, které auditor může vzít jako kriteria pro hodnocení IS je tak široká, že je zcela vyloučeno, aby byl jeden člověk odborník na všechny standardy. To se nemusí zdát špatné, avšak rozdíly mezi existujícími standardy jsou natolik značné (někde se překrývají, nebo jsou rozdíly v úrovni detailnosti, či řeší identickou problematiku z různých pohledů), že by to mohlo vyvolat určité komplikace. Zároveň však stále existují oblasti, kterých se stávající standardy dotýkají pouze okrajově či vůbec, takže auditor zde musí vycházet ze svých zkušeností, případně ve spolupráci s organizací vytvořit standardy pro tento konkrétní audit a těch se poté držet. 18

3.4 Typy auditu IS Kromě členění, která jsou uvedena v kapitole 1.4 lze na audit IS aplikovat další hlediska. Výběr dalších hledisek, která jsou specifická pro audit IS je uveden v následující tabulce: Hledisko: Věcné zaměření auditu Typ auditu: legálnosti programového vybavení, bezpečnosti, kontrolního systému, operační audit (audit efektivnosti provozu), audit projektu nového sytému, a další, Úroveň auditu programového vybavení, systémového SW, databázového SW, a další. Tabulka č. 3: Typy auditu IS (Zdroj: Lit_15) 3.5 Auditorská zpráva Specifikem pro auditorskou zprávu při provádění auditu IS je neexistence výroku auditora. Místo výroku je uvedeno dosažení cílů auditu. Obsah auditorských zpráv se liší dle použitého auditu. Pro porovnání uvádím obecné vlastnosti auditorských zpráv dle INTOSAI a dle ISACA. 19

INTOSAI Obsah zprávy musí být srozumitelný, bez nejasností a dvojznačností. Obsažené informace musí být podložené relevantní dokumentací a musí být nezávislé, objektivní, spravedlivé a konstruktivní. Odhalí-li auditor podvodné akce, rozhodování o dalším postupu je v kompetenci SAI (Supreme Audit Institution), ke které auditor patří. Náležitosti zpráv jsou: o titulek jasně odlišující zprávu od ostatních písemností, o podpis a datum (ke kterému jsou závěry zprávy relevantní), o předmět a rozsah auditu ustanovuje hranice auditu, o úplnost auditu upřesňuje, zda měl auditor k dispozici veškeré potřebné informace o adresát zprávy výčet všech, kterým je zpráva určena, o definice standardů, podle kterých audit postupoval, o identifikaci předmětu auditu o uvedení relevantních právních standardů k danému předmětu. Není potřeba vzhledem ke komplexnosti auditu formulovat výrok auditora. Prezentace auditorské zprávy musí být pozitivní (i při negativních výsledcích), aby adresáty neodradila od přijetí nápravných opatření. Při negativních nálezech by se auditor měl řídit principem významnosti (u auditů IS často obtížné) ISACA předpokládaní příjemci zprávy, určení cíle zprávy, zda byl cíl splněn, pokud ne uvést důvody, rozsah, podstata, čas a hloubka auditu, omezení v distribuci zprávy a způsob distribuce (důležité především u auditů bezpečnostních), významná poznání a nálezy každý nález doložen příčinou, rizikem a standardem, který jej podpořil, závěry mohou být obecné či specifické dle objektu a hloubky auditu, doporučení na opravné akce, výhrady nebo schválení zprávy po předběžné prezentaci, včasná formální prezentace zprávy pro její správné pochopení a realizaci nápravných opatření před vydáním závěrečné zprávy se přesvědčit, zda nenastaly významné změny, které ovlivňují závěry auditu forma zprávy se liší dle předmětu auditu je-li v zadání přímý požadavek, do hodnocení musí auditor uvést výsledky, pokud negativní pak uvést zjištěné nedostatky a jejich dopady na organizaci jde-li o předběžný audit a bylo vypracováno více zpráv, musí být vytvořena závěrečná zpráva s odkazy na zprávy dílčí auditor musí rozhodnout, zda nálezy a nedostatky menšího významu probere s odpovědnými pracovníky pokud ano, měl by o tom informovat odpovědné autority auditor by si měl vyžádat předchozí auditorské zprávy a prověřit dodržování doporučených opatření (Zdroj: Lit_15) 3.6 Obecný postup auditu IS Před provedením každého auditu IS by si auditor měl připravit plán auditu. Zde uvádím základní postup obecný postup kterého by se auditor měl držet. Tento postup rozděluji do čtyř kroků. Prvním krokem je porozumění auditované organizaci, jejím procesům, jejímu IS. Tato část je jedna z časově nejnáročnějších operací při provádění auditu. Auditor zde musí pochopit jak organizace a její IS fungují. K tomu mu pomáhá studium dokumentace a rozhovory s odpovědnými pracovníky. Další použitelnou technikou je sledování běžného provozu organizace. Druhý krok spočívá v sestavení plánu auditu. Plán auditu je dokument, který přesně stanovuje, jaké testy a kolik jich bude auditor dělat, kdy budou tyto testy prováděny, kolik pracovníků, a které k tomu auditor 20

potřebuje. Tato část není časově tolik náročná, klade však velké požadavky na zkušenosti auditora. V této fázi se auditor opírá především o své zkušenosti, na některé činnosti lze použít např. statistické metody apod. Třetím krokem je provádění kontrol dle plánu auditu a analýza výsledků testů. Fáze končí vydáním předběžné auditorské zprávy. Posledním, čtvrtým krokem je vydání finální auditorské zprávy. Zajímavý pohled do této problematiky ukazuje následující tabulka, kde jsou uvedeny další dvě fáze a to fáze předcházející auditu a navazující na audit. Fáze předcházející však dle mého nemá s auditem mnoho společného, vytváří však rámec auditu a proto je vhodné i o této fázi uvažovat. Fáze navazující je zase realizovatelná pouze jedná-li se o audit interní, u auditů externích se jedná o záležitost téměř nemožnou. Etapa Činnost Výstup 0. Etapa: Uzavření smlouvy na audit Specifikace: o předmětu auditu, o cílů auditu, o rozsahu auditu o organizace auditu o časového úseku o odměny o výstupů o obecných standardů Podepsaná smlouva o auditu 1. Etapa: Předběžné plánování Porozumění podnikatelským procesům Porozumění architektuře IS/IT Porozumění systému vnitřních kontrol Potvrzení správnosti porozumění Dokumentace audity Dokumentace systému Program auditu 2. Etapa: Vytvoření plánu auditu Hodnocení kontrol Plán testů Určení potřebných zdrojů pro audit a jejich rozvrh Technická infrastruktura a provoz 3. Etapa: Realizace auditu Realizace testů kontrol (výběr vzorků) Realizace podrobných testů Analýza a vyhodnocování výsledků Řízení plánování a organizace IS 4. Etapa: Závěr a vydání auditorské zprávy Rozhovor s managementem Zpracování auditorské zprávy Postupy auditu 21

5. Etapa: Sledování plnění závěrů auditorské zprávy Vytvoření plánu sledování Průběžná hlášení managementu Tabulka č. 4: Postup auditu (Zdroj: Lit_15) 3.7 Standardy auditu IS Standardy představují velmi důležitou součást auditorské činnosti, protože zajišťují jeden ze základních požadavků na audit, kterým je objektivita. Bez kriteria hodnocení tj. standardu, proti kterému porovnáváme skutečnost, není možné realizovat objektivní hodnocení. (Lit_15) Standardů auditu a standardů důležitých pro řízení IS/IT je značné množství. Přes jejich důležitost není cílem mé práce podat ucelené pojednání o všech relevantních standardech, proto je zde uveden pouze určitý výčet důležitých standardů v tabulce č. 5. Tabulka zobrazuje jak standardy, které se týkají auditorské profese, tak i standardy, které se týkají konkrétních předmětů auditu a jejím smyslem je alespoň ukázkově předvést, co všechno se auditu IS týká a co by měl auditor alespoň minimálně znát. Označení standardu IT Governance Stručná charakteristika Projekt zastřešující všechny soudobé standardy. Nově definuje postavení a odpovědnost útvarů IT a vlastníků a exekutivy podniků. Základní rámec IT Governance viz obrázek č. 3. ISACA Information Systems Audit and Control Association. Vydává metodiku COBIT. Standardy člení na: o Standards povinné požadavky pro audit, o Guidelines návody pro aplikaci Standards, o Procedures příklady postupů auditu IS. INTOSAI International Organization of Supreme Audit Institutions. Vydává metodiku INTOSAI IS. Standardy člení na: o Basic principles nutno vždy dodržovat např. hodnocení aktů materiální povahy, o General standards doporučené politiky a postupy např. pro přijímání zaměstnanců, o Field standards vytvořit rámcový postup, který by měl auditor dodržet o Reporting standards zaměřeny na principy a postupy zhotovování písemných výstupů auditu. 22

ISO/IEC 21827 Systems Security Engineering Capability Maturity model. Definuje CMM pro oblast informační bezpečnosti. ISO/IEC 15408 Evaluation Criteria for IT Security. Také znám jako Common Criteria. Zabývá se problematikou bezpečnosti IT produktů. ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management Standard pro řízení informační bezpečnosti 3.8 Metodiky auditu IS Tabulka č. 5: Standardy auditu (Zdroj: Autor) Metodik auditů IS nebo doporučených postupů pro audit apod. je velké množství, proto do své práce uvedu tři, které považuji za nejvíce podstatné. V druhé části práce budu provádět audit společnosti na základě metodiky COBIT, z toho důvodu ji i zde v textu věnuji největší pozornost a ostatní metodiky s ní vždy porovnávám. 3.8.1 ITIL Metodika ITIL The Information Technology Infrastructure Library je podobně jako metodika COBIT standardem de facto. Jedná se tedy o souhrn tzv. best practice pro řízení IT služeb, které jsou integrované, a procesně orientované. V současné době je ITIL jedinou veřejně dostupnou metodikou pro řízení služeb v oblasti IT. Začátkem 80. let 20. století přišla britská vládní agentura OGC (Office of Government Commerce) s koncepcí řízení a správy provozu IT, kterou označila jako ITIL. Cílem této koncepce bylo zlepšení IT služeb v centrálních britských úřadech. Poté k tomuto základu přidávaly další organizace nové knihy a tímto způsobem byla vytvořena metodika ITIL v dnešní podobě. Díky způsobu vzniku nemají knihy ITIL soukromý charakter a odpovídají například normám ISO. Jak jsem již v textu zmínil, metodika ITIL se skládá z knih. Základ metodiky tvoří 7 knih, které se označují: podpora služeb (Service Support), dodávka služeb (Service Delivery), obchodní pohled (The Business Perspective), správa aplikace (Application Management), řízení komunikační infrastruktury (ICT Infrastructure Management), plánování zavedení řízení služeb (Planning to implement Service Management), řízení bezpečnosti (Security Management). 23

Toto členění je názorně zobrazeno obrázkem č. 3: Nejčastěji jsou však používány knihy čtyři: podpora služeb (Service Support), dodávka služeb (Service Delivery), řízení komunikační infrastruktury (ICT Infrastructure Management), plánování zavedení řízení služeb (Planning to implement Service Management). Podpora služeb Obrázek č. 3: Knihy ITIL (Zdroj: Lit_10) Kniha Podpora služeb se zabývá každodenními provozními aktivitami, kterými se zabývají pracovníci IT, je směřována jako podpora funkce IT uživatelům, řeší funkci Service Desku jako kontaktního centra vůči zákazníkům. Rozlišuje pět procesů, které jsou zobrazeny na obrázku č. 4. Obrázek č. 4: Podpora služeb (Zdroj: Lit_10) 24

Change management řízení změn změny jsou zpracovávány dle předem daných standardů a postupů, což omezuje negativní dopad změn na kvalitu služeb. Incident management řízení incidentů cílem je nejrychlejší možná obnova normální kvality služeb po incidentech; zároveň snaha o dodržování nejlepší možné úrovně kvality služeb; řešení probíhá při dodržování zásady quick and dirty nejrychlejší řešení bez ohledu na příčiny. Release Management řízení nasazení plánování a řízení zdrojů pro postoupení a distribuci nových služeb (či softwarových balíků) zákazníkovi; zajišťuje, aby byly posuzovány technické i netechnické aspekty nasazení. Configuration Management řízení konfigurace pomocí konfiguračních položek řídí infrastrukturu a služby. Problem Management řízení problémů na rozdíl od řízení incidentů je zde snaha nalézt původní příčinu vzniklého problému a provedení nutných oprav; usiluje o maximální stabilitu poskytovaných služeb. Dodávka služeb Kniha se zabývá procesy potřebnými pro dodávku kvalitních a efektivních IT služeb. Je rozčleněna do pěti procesů, které jsou znázorněny na obrázku č. 5. Obrázek č. 5: Dodávka služeb (Zdroj: Lit_10) Service level Management řízení úrovně služeb snaha udržovat a zlepšovat kvalitu IT služeb, což je řešeno pomocí stálého dohadování, monitorování a hlášení kvality služeb; stanovuje způsob definování špatných služeb, což vyjasňuje vztahy mezi uživateli a IT pracovníky. Availability Management řízení dostupnosti cílem je optimalizovat schopnosti infrastruktury IT, která by měla zajistit dostupnost dodávky efektivních služeb tak, aby se podporovaly cíle organizace za splnění podmínek jako spolehlivost, udržovatelnost, provozuschopnost či bezpečnost. 25

Financial Management řízení financí stanovuje vazby mezi čerpáním IT zdrojů a zdrojů finančních; základ tvoří IT účetnictví, rozpočtování a uživatelské platební systémy. IT Service Continuity Management řízení kontinuity IT služeb snaha poskytovat IT služby i v případě přerušení podnikání způsobeného jakoukoliv příčinou od chyby systému až po ztrátu základních předpokladů pro podnikání. Capacity Management řízení kapacit řízení zdrojů v době krize, umožňuje predikovat potřebu dodatečných zdrojů; zahrnuje popis postupů pro plánování, zavedení a provoz procesu. Řízení komunikační infrastruktury Kniha je primárně zaměřena na ICT technologie. Zabývá se otázkami: řízení síťových služeb, řízení provozu, řízení lokálních procesorů, instalace počítače a přejímka, řízení systémů. Plánování zavedení řízení služeb Zabývá se problémy při implementaci řízení služeb. Doporučuje strategii implementace a diskutuje výhody plynoucí z nasazení metodiky ITIL. Doporučuje i životní cyklus realizace vize (strategie). Od studie proveditelnosti až po revize implementovaných procesů ITIL s důrazem na: časové milníky, kritické faktory úspěchu, klíčové indikátory výkonnosti. Obsahuje i doporučení jak implementované procesy průběžně zlepšovat. Doporučení, co by měla obsahovat specifikace procesu představuje kontrolní seznam procesní dokumentace. Nepokrývá žádné procesy, ale pouze radí. (Lit_23) Porovnání metodik COBIT a ITIL je zobrazeno v následujícím obrázku č. 6 a tabulce č. 6. Zde bych pouze uvedl shrnutí, že ITIL je metodika mnohem podrobnější než COBIT, věnuje se však podstatně užší oblasti IT/IS než právě COBIT. COBIT domény PO AI DS ME ITIL (řeší x neřeší) Částečně Podrobněji Podrobněji Neřeší Obrázek č. 6: Porovnání COBIT x ITIL (zdroj: Lit_23) Tabulka č. 6: Porovnání COBIT x ITIL (Zdroj: Lit_23) 26

ITIL REFRESH ITIL Refresh (také označovaný jako ITIL v3) je novou verzí metodiky ITIL, která vyšla v průběhu roku 2007. Je položen na stejných základech (best practice, standard de facto ). Oproti předchozím verzím se však jádrem metodiky stává IT služba a její životní cyklus (vývoj, implementace, změna, dodání ) Knihovna je rozdělena do čtyř oddílů či bloků (v originále tranches). První blok obsahuje převážně tzv. web-based products, které mají za úkol podporovat jádro metodiky. Tento první blok obsahuje zejména procesní mapy a základní ITIL definice, ale i např. popisy rolí, případové studie, příklady formulářů nebo osnovy některých agend (např. CAB meetings). Druhý blok představuje jádro knihovny, tzv. set of core books, které obsahují základní zásady, principy a best practices, které se nebudou měnit, takže tyto knihy jsou tenčí než v předcházejících verzích a není nutno je tak často aktualizovat. Jádro je tvořené následujícími 5 knihami, které sledují model životního cyklu služby: Service Strategie strategie služeb, Service Design návrh služby, Service Introduction představení služby, Service Operation provádění služby, Continual Service Improvement neustálé zlepšování služby. Třetí a čtvrtý blok obsahují publikace, které odrážejí aktuální vývoj, dílčí aspekty a jednotlivé potřeby odvětví, jako jsou například: studijní pomůcky pro všechny stupně kvalifikačního schématu, novou publikaci pro business manažery (strategic introduction book for managers), brožuru pro top management (brochure for the board), doplňkové tituly věnující se dílčím aspektům, jako je např. revize původní knihy z první verze knihovny ITIL ITIL Practices in small IT units, a další tituly A co by měla verze 3 přinést za výhody oproti předcházejícím verzím? Metodika ITIL by měla být těsněji spjata s ISO/IEC 20000 (viz např. vznik samostatné knihy Continual Service Improvement neustálé zlepšování služby. Taktéž by měla být metodika těsněji provázána s metodikou COBIT. Základní procesy předcházející verze, které jsou představovány obsahem knih Service support a Service delivery (podpora služeb a dodání služeb) zůstávají nezměněny. Způsob a organizace práce, jakým se vyvíjela verze tři je odlišná od způsobu vývoje předcházející verze, což by mělo zajistit konzistenci výsledného produktu (vzájemná koncepční nekonzistence jednotlivých částí knihovny je jednou z nejvíce vytýkaných vad verze 2). Spolu s vydáním nové verze došlo i ke změnám v kvalifikačním schématu a v obsahu akreditovaných kurzů zejména na úrovni Practitioner a Manager s, dříve vydané certifikáty však zůstávají v platnosti. 3.8.2 INTOSAI INTOSAI International Organization of Supreme Audit Institutions organizace vzniklá v roce 1953 pod záštitou Organizace spojených národů. Tato organizace si za cíl stanovila sjednocování metodik auditů hospodaření s prostředky, které procházejí státním rozpočtem. Organizace, které provádějí tyto externí audity a obvykle podléhají přímo parlamentu jsou označovány jako SAI Supreme Audit Institutions. 27

Dle metodiky INTOSAI se prováděné audity člení do tří skupin: finanční audit jeho cílem je ověřit úplnost a správnost vykazování transakcí, audit provozní cílem je ověřit efektivnost vynakládání prostředků, audit souladu s existujícími standardy cílem je ověřit dodržování platných zákonů a relevantních norem. Standardy vydané organizací se člení na: Basic principles nutno vždy dodržovat např. hodnocení aktů materiální povahy, General standards doporučené politiky a postupy např. pro přijímání zaměstnanců, Field standards standardy týkající se dílčích oblastí auditu Reporting standards zaměřen na principy a postupy zhotovování písemných výstupů auditu. Roku 1998 rozhodla EU, že své standardy zabývající se audity postaví na standardech INTOSAI. Základním kamenem pro audit IS je návod č. 22 Audit informačního systému, který upravuje postupy a předmět auditu IS. Dle metodiky INTOSAI-IS je tento audit povinný při provádění auditů informatiky, které podporují financování z prostředků EU. Návod INTOSAI má tyto základní vlastnosti: umožňuje oddělení auditu všeobecné kontroly od bezproblémových aplikací, nezahrnuje nástroje pro řízení a kontrolu informatiky v organizacích, nebere v úvahu strategie organizací a tím i pomíjí hodnocení přidané hodnoty IT k podnikatelským procesům, je doporučená EU, protože má vazbu na její standardy. (Lit_15) Při provádění auditu podle metodiky INTOSAI-IS nejprve musí auditor provést tzv. audit platformy. Tento audit zahrnuje obecné kontroly, tj. kontroly společné pro všechny aplikace (například oblast bezpečnostní politiky, kontinuity a obnovy po katastrofě, řízení aktiv a využívání outsourcingu a podobně). Druhou částí je tzv. audit aplikací. Tím se rozumí kontroly pro jednotlivé aplikace či funkční oblasti IS (kontroly zabývající se vstupy, výstupy, zpracováním, přenosem údajů ). Návody na samotný postup auditu, dokumentaci a požadavky na výstupy nejsou součástí metodiky INTOSAI- IS a auditor proto pro úspěšnou realizaci auditu musí znát i jiné metodiky, aby svůj postup v těchto oblastech mohl zdůvodnit. Porovnání metodik INTOSAI-IS a COBIT je vzhledem k odlišnosti cílů, které sledují a rozdílům v terminologii a filosofii, na kterých jsou postaveny, obtížné a říci, že ta či ona metodika je lepší (či horší) je zcela nemožné. Jediné co lze říci s absolutní jistotou je, že aplikace metodiky INTOSAI-IS je oproti metodice COBIT jednodušší, neboť zde není vyžadována definice podnikatelské strategie. Na audit IS je pohlíženo očima finančních auditorů, na informatiku je pohlíženo jako na službu zpracování informací, takže je možné oddělit technologicky orientované audity od auditů aplikací. Proto si ohledně porovnání musí každý udělat vlastní názor. K tomu já mohu pomoci tabulkou č. 7, která vedle sebe staví obě metodiky a jasně ukazuje rozdíly mezi nimi. 28

Kriterium INTOSAI-IS COBIT Komu je primárně určena Pro finanční auditory Pro management a auditory IS Co je jejím cílem Obecné prověření interních kontrol administrativních a finančních aplikací Obecné a detailní prověření interních kontrol informačních systémů a informačních technologií Rozsah 26 stran COBIT audit guidelines více než 200 stran Forma dokumentu Auditorský návod (guideline) Auditorská metodika Rozsah definovaných kontrol Druhy kontrol, které rozlišuje 2 oblasti / druhy auditu 10 procesů 16 kontrolních cílů Obecné vztahují se k prostředí, ve kterém jsou aplikace vyvíjeny, udržovány a provozovány, jsou společné všem aplikacím Aplikační zaměřují se na transakci a data zpracovávaná určitou aplikací, jsou specifické pro danou oblast 4 domény 34 procesů 318 kontrolních cílů Pervasivní obecné kontroly, které jsou navrženy v rámci řízení a monitorování prostředí IS a které ovlivňují účinnost všech aktivit spojených s IS Detailní kontroly pořízení, implementace, dodávky a podpory systémů a služeb; tvoří je aplikační kontroly a část obecných kontrol, která není zahrnuta do pervasivních Komplexita metodiky Malá, nezahrnuje vazby na podnikatelské cíle, nebere v úvahu specifika informačních technologií, neobsahuje model vyspělosti, kritické faktory úspěchu, metriky Velká, hodnocení se snaží provázat s podnikatelskými cíli, bere v úvahu technologickou infrastrukturu, zahrnuje model vyspělosti, kritické faktory úspěchu, metriky Tabulka č. 7: Porovnání metodiky COBIT a INTOSAI-IS (Zdroj: Lit_15) 3.8.3 COBIT COBIT The Control Objectives for Information and related Technology byl vytvořen jako obecný standard umožňující zvýšení kvality a bezpečnosti IS/IT definováním nezbytných kontrolních cílů podle jednotlivých domén a procesů typických pro IS/IT. COBIT je určen jak pro uživatele IS, manažery, auditory IS a pracovníky odpovědné za systémy vnitřních kontrol organizací. (Lit_15) První verze metodiky COBIT vyšla v roce 1996, tato verze byla vydána sdružením ISACA. Následné verze, které vyšly v letech 1998 respektive 2000 již vydává organizace ITGI (IT Governance institute). Poslední 29

verze, verze 4.1 vyšla v průběhu roku 2007. Vzhledem k tomu, že metodika COBIT je vlastnictvím ITGI, není volně stažitelná. Z toho důvodu zde popisuji strukturu starší verze (verze 3), neboť tu zařadila organizace ITGI mezi volně šiřitelné dokumenty. V závěru kapitoly popisuji rozdíly verze 4.1 oproti verzi 3. Metodika je členěna do sady dokumentů, které jsou navzájem propojeny, ale zároveň je lze využívat samostatně dle potřeb a účelů uživatele (auditor, IS specialista, manager). Na obrázku č. 7 je zobrazena celá tzv. Family of Products (sada dokumentů) a zároveň je zde schematicky naznačena jejich souvztažnost. Obrázek č. 7: Sada dokumentů COBIT v3 (Zdroj: Lit_14) Executive summary exekutivní shrnutí souhrn určený pro management, vysvětluje základní koncept a hlavní principy metodiky COBIT. Implementation tool set sada nástrojů pro implementaci praktické návody pro diagnostiku kritických oblastí řízení IT, obsahuje případové studie organizací, které metodiku COBIT aplikovaly. Cílem je pomoci managementu při volbě formy implementace. Framework rámec metodiky definuje vazby mezi podnikovými a IT procesy, pro řízení a hodnocení těchto vazeb definuje obecné kontrolní cíle (high-level control objectives). Definuje, že IT procesy mají za úkol podporovat procesy organizace, splnit požadavky organizace při dodržení stanovených zdrojů. To znázorňuje obrázek č. 8. 30

Obrázek č. 8: Kostka COBIT (Zdroj: Lit_13) Management Guidelines směrnice pro řízení definuje kritické faktory úspěchu (CFS), výkonnostní (KPI) a výsledkové (KGI) metriky a modely zralosti pro každý z obecných kontrolních cílů. Detailed Control Objective detailní kontrolní cíle stanovuje požadované výsledky, jichž lze aplikací detailních kontrolních cílů dosáhnout. Detailních kontrolních cílů je 318, vycházejí z 34 obecných kontrolních cílů, které odpovídají procesům a jsou rozčleněny do 4 domén: PO plánování a organizace, AI pořízení a implementace, DS dodávka a podpora, ME monitorování a hodnocení. Audit Guidelines směrnice pro audit definuje postupy a činnosti auditu odpovídající 34 obecným kontrolním cílům (u každého z nich jsou uvedeny vždy i příslušné detailní kontrolní cíle). Uvádí také jaká rizika hrozí při nedosažení kontrolního cíle. Pro samotný audit jsou nejdůležitějším dokumentem směrnice pro audit (audit guidelines). Obecné cíle dle COBITu jsou: ujištění managementu, že cíle kontrol jsou plněny, mají-li kontroly nedostatky, určit rizika spojená s těmito nedostatky, doporučit managementu nápravné kroky k odstranění nedostaků. Všeobecně přijatý postup auditu má následující kroky: identifikace a dokumentace, hodnocení, testování shody, substantivní testování. 31

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář