2. setkání interních auditorů ze zdravotních pojišťoven

Podobné dokumenty
10. setkání interních auditorů v oblasti průmyslu

Personální řízení: aktuální výzvy pro interní audit

Trendy a východiska Příležitosti v roce 2013 v oblasti projektů volnočasových aktivit, cestovního ruchu a sportu

Novela zákona o účetnictví a prováděcích právních

Budoucnost exportního financování. Stavební fórum 26. září 2012

Potřebuje česká fiskální politika pevná pravidla?

Cestovní ruch v České republice

Nové soukromé právo a jeho dopad na procesy a řízení společností

12. Setkání IA z oblasti průmyslu, obchodu a služeb Dva pohledy na audit nákupu

Trendy v interním auditu v České republice

veřejném sektoru a jejich zavádění do praxe

Metodika analýzy návštěvnosti horských středisek v České republice. Ondřej Špaček 11. listopadu 2015

Zimní stadiony a multifunkční haly s ledovou plochou v ČR. Srovnávací analýza. Květen 2012

Benchmark městě v České republice. srpen 2012

Vedení účetnictví a mzdové agendy kpmg.cz

Využití sociálních sítí v náboru zaměstnanců

Banking Executive Survey 2014 Výsledky za Českou republiku

Solvency II: Pilíř 2. Aby se nic špatného nestalo. kpmg.cz

Sportovní infrastruktura v České republice

Svět kolem nás se mění. Změní se i pojišťovnictví?

Řetězové transakce. 12. listopadu Erika Gorčíková

Zkušenosti se zaváděním a řízením EA ve veřejné správě Slovenska. září 2015

OBCHOD A NEKALÉ PRAKTIKY Ztratné v maloobchodě

ERM Enterprise Risk Management

Trestní odpovědnost právnických osob. Její vliv na práci správního orgánu 10/3/2012. Zvyšující se požadavky na corporate governance ve světě

Společenská odpovědnost v KPMG Česká republika kpmg.cz

Výrobní firmy po krizi

Horská střediska v ČR

Podnikatelské prostředí v cestovním ruchu

Nové Top Level Domény

Základní legislativní rámec

Daňové novinky Jana Morávková. 28. února 2017

VELKÁ DATA A JEJICH PRAKTICKÉ VYUŽITÍ

Cestovní ruch v Královehradeckém a Pardubickém kraji. vybrané výstupy z analýz KPMG. Ondřej Špaček

Posouzení činností zajišťovaných externě

Strategie rozvoje města Ústí nad Labem

Jak se vyhnout sporům s finančním úřadem

Prevence nemocí vyvolaných nadváhou a obezitou prostřednictvím sportu

Finanční audit projektů 7RP

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Služby pro potravinářství a nápojářství kpmg.cz

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Průzkum zaměřený na krádeže dat v regionu střední a východní Evropy 2012

Trestní odpovědnost právnických osob

2. setkání IA ze zdravotních pojišťoven. Rizikové oblasti zdravotních pojišťoven z pohledu externího auditora

Maloobchod a odbyt. Kde hledat jistotu? kpmg.cz

Postavení a význam cestovního ruchu v České republice

Služby pro sektor dopravy

Security. v českých firmách

Status vysoce účinné KVET malého výkonu v České republice Manažerské shrnutí Cogen Czech. 21. červen 2012

František Beckert ČIIA On-line anketa nejen o interním auditu ve veřejné správě

Zahraniční inspirace pro český ehealth. KPMG Česká republika, s.r.o.

Daňové novinky od 1. ledna 2014 Setkání interních auditorů z oblasti průmyslu

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Security. v českých firmách

Řešení a důsledky nesplácených pohledávek pro věřitele

Jak zlepšit řízení rizik podvodného jednání ve střední a východní Evropě. Zjištění vycházející z posouzení německých a rakouských společností regionu

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

General Data Protection Regulation

Protikorupční školení v kontextu veřejné správy

Řízení privilegovaný účtů

Strategie rozvoje města Ústí nad Labem

Bezpečností politiky a pravidla

Strategie rozvoje města Ústí nad Labem

VOIPEX Pavel Píštěk, strategie a nové Sdílet projek ts y práv, I né PEX inf a.s orm. ace se správnými lidmi ve správný čas

Postavení a význam cestovního ruchu v České republice

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

STÁTNÍ SPRÁVA A ČESKÉ LYŽAŘSKÉ AREÁLY. Celostátní konference horských středisek ČR Špindlerův Mlýn,

Vnitřní kontrolní systém a jeho audit

Analýza podpory sportu v hl. m. Praze, pozitivní efekty sportu

Cloud Slovník pojmů. J. Vrzal, verze 0.9

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Výsledky úvodního benchmarkingu činnosti interního auditu ve veřejné správě

Bezpečnostní politika společnosti synlab czech s.r.o.

Závěrečná zpráva 4. etapy

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Specifika bankovního prostředí při monitoringu a analýze bezpečnostních incidentů. RNDr. Ondřej Zýka Profinit

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Tomáš Chytil 27. Května 2014 Svatá Kateřina. AutoCont řešení s využitím MS platformy

Platná od Bezpečnostní politika. Deklarace

Úskalí implementace IFRS 9 a jeho dopad interní audit

Řízení informační bezpečnosti a veřejná správa

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

GORDIC + CA = vaše cesta ke zvýšení kvality a efektivity služeb

Technická opatření pro plnění požadavků GDPR

Zkušební otázka. Podle zákona o územním členění státu (36/1960 Sb.), se území České republiky dělí na: A. 14 krajů B. 13 krajů C.

Systémová analýza a opatření v rámci GDPR

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Společenská odpovědnost firem nedílná součást vůdcovství

Bezpečnost na internetu. přednáška

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Management Consulting. Zvyšování podnikatelské výkonnosti Informační technologie. kpmg.cz. KPMG v České republice

Trendy v interním auditu v České republice

Vliv cloudu na agendu finančního ředitele (průzkum KPMG Nizozemí 2010)

Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Transkript:

2. setkání interních auditorů ze zdravotních pojišťoven Současné výzvy IT interního auditu 20. června 2014

Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu IT 3 Typické oblasti IT interního auditu 6 Michal Čup Manager KPMG Česká republika, s.r.o. tel. +420 222 123 331 mob. +420 724 981 320 e-mail: mcup@kpmg.cz Typická zjištění 8 1

KPMG průzkum stavu interního auditu IT Průzkum se konal v roce 2013 v zemích regionu EMA (Evropa, Blízký východ, Afrika) Zúčastnilo se celkem 400 společností z 21 zemí Hlavními respondenty byli vedoucí oddělení auditu IT nebo vedoucí oddělení řízení rizik V ČR se zúčastnilo celkem 21 společností napříč několika sektory (především finanční instituce a nadnárodní společnosti), z toho 4 zdravotní pojišťovny 2

KPMG průzkum stavu interního auditu IT Klíčové výzvy IT IA (1/2) Rozsah interního auditu není přizpůsoben rizikům a potřebám společnosti, ale je ovlivněn současným znalostmi a zkušenostmi IT interních auditorů Tři čtvrtiny společností uvádí nedostatek znalostí a dovedností jako hlavní důvod nespokojenosti s interním auditem, přesto pouze třetina společností využívá služeb externích poskytovatelů Nutnost reagovat na nově vznikající rizika (SaaS, kybernetická bezpečnost, Big Data, cloud, mobilní technologie, sociální média) a zajistit jejich pokrytí z interních nebo externích zdrojů Plány IT interního auditu by měly podléhat důslednější kontrole ze strany vedení společnosti. Činnost interního auditu IT je potřeba lépe sladit s ostatními aktivitami v oblasti správy a řízení společnosti. 3

KPMG průzkum stavu interního auditu IT Klíčové výzvy IT IA (2/2) Potřeba dosáhnout vyšší kvality prováděním kontroly kvality činností a používáním rámce pro provádění auditů (v ČR cca polovina respondentů neprovádí kontrolu kvality IA) Ve společnostech, kde nepůsobí specializovaní IT auditoři je pokrytí oblastí nižší zaměření především na tradiční oblasti obecné IT kontroly, technické zabezpečení IT, klíčové IT projekty Chybí formální cyklus plánování (nebo plánování dle nákladovosti či dostupných dovedností a nikoliv podle hrozícího rizika) Čtvrtina respondentů v ČR nevyžaduje od IT interních auditorů žádnou profesní certifikaci (na rozdíl od EMA regionu). Pouze 30 procent společností poskytuje svým IT interním auditorům technická školení. 4

KPMG průzkum stavu interního auditu IT Zdravotní pojišťovny vybrané oblasti Interní auditoři jsou funkčně podřízeni a reportují přímo Řediteli ZP Školení je věnováno zpravidla 40-60 hodin v souladu s celkovými výsledky Na IT audity jsou zpravidla využívání externí zdroje (outsourcing/co-sourcing) Zaměření především na tradiční oblasti obecné IT kontroly, technické zabezpečení IT, klíčové IT projekty Auditní plán je zpravidla připraven na základě kombinace rizikového a cyklického přístupu Analýza rizik je prováděna s roční periodicitou Pro auditní práci nejsou zpravidla využívány systémové nástroje (datová analýza, auditní software) 5

Typické oblasti IT interního auditu (1/2) Area Proces Popis IT bezpečnost Řízení informačních rizik Řízení a administrace přístupových práv Autentizace (nastavení hesel) Metodický rámec pro řízení bezpečnosti Bezpečnost koncových zařízení Síťová topologie a bezpečnost Antivirus Business continuity and disaster recovery 6

Typické oblasti IT interního auditu (2/2) Area Proces Popis IT bezpečnost Organizace IT bezpečnosti Fyzická bezpečnost Řízení bezpečnostních incidentů Řízení IT IT strategie IT Organizace IT provoz Zálohování Datové přenosy a interface mezi systémy Kontrola migrace dat (z původního systému na nový) Řízení incidentů Řízení změn Proces řízení změn Oddělené testovací prostředí 7

Typická zjištění (1/3) Oblast Zjištění Detail zjištění 1 Řízení přístupů Sdílený uživatelský účet v systému XY Systém, který je používán pro administraci klientů má sdílený účet myname. Přihlašovací údaje k tomuto účtu jsou sdíleny třemi zaměstnanci útvaru podpory uživatelů. Přidělování přístupových práv Přístupová práva nejsou žadatelem řádně specifikována Konfliktní matice rolí na pracovní pozice není zavedena Nedostatečná kontrola přístupových práv Není prováděna kontrola aktivních účtů na odchozí zaměstnance Není prováděna kontrola rozsahu uživatelských práv na žádosti nebo na konfliktní matici Kontrola není prováděna pravidelně a pro všechny systémy Kontrola není formálně dokumentována 2 Segregation of Duties Nedostatečně nastavené kontroly konfliktních rolí v systému Systém pro kontrolu konfliktních rolí/transakcí není správně nastaven/nakonfigurován 8

Typická zjištění (2/3) Oblast Zjištění Detail zjištění 3 Účty třetích stran Přístupy třetích stran do produkčního prostředí Nepřetržitý přístup třetích stran do produkčního prostředí společnosti Přístup třetích stran do produkčního prostředí není monitorován 4 Řízení změn Neformální proces řízení změn Proces řízení změn není formálně definovaný Není používán žádný nástroj na řízení změn, který by v sobě měl implementované odpovídající workflow Klíčové know-how týkající se systému je soustředěno u jednoho člověka Změny nejsou odpovídajícím způsobem dokumentovány 5 Oddělené testovací prostředí 6 Klasifikace informačních aktiv Absence odděleného testovacího prostředí Absence samostatného testovacího prostředí Nedostatečný rozsah testování (pouze UAT) Nejsou vytvořena testovací data Nejsou zpracované testovací scénáře Vlastnictví a klasifikace informačních aktiv Není zaveden registr informačních aktiv (společnost nemá jasně definované, co jsou její nejdůležitější aktiva) Nejsou určeni vlastnící dat Není definováno jak s jednotlivými informacemi bezpečně nakládat 9

Typická zjištění (3/3) Oblast Zjištění Detail zjištění 7 Analýza informačních rizik 8 Mobilní zařízení Chybějící analýza informačních rizik Analýza rizik nebyla zatím provedena Pro analýzu rizik nebyla použita žádná metodika Analýza rizik není periodicky opakována Rizika identifikovaná analýzou rizik nejsou odpovídajícím způsobem řízena Zabezpečení mobilních zařízení Služební notebooky nejsou šifrovány Firemní telefony nejsou dostatečně chráněny 9 Datový přenos Datový přenos mezi produkčním a účetním systémem Manuální zásahy v procesu datového přenosu 10 Schvalovací workflow v systému Workflow pro schvalování faktur není v systému implementováno Faktury se schvalují mimo systém a poté manuálně zadávají do systému Absence kompenzačních kontrol 10

2014 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. Printed in the Czech Republic. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář