Tento článok bol vytlačený zo stránky https://referaty.centrum.sk

 

Elektronické obchodovanie

Štandardy asociácie ISACA a zabezpečenie kvality Informačných systémov

ISACA je celosvetová asociácia združujúca profesionálov z oblasti bezpečnosti, auditu a kontroly informačných systémov.
Medzi primárne aktivity ISACA patrí certifikácia audítorov informačných systémov (IS), vzdelávanie a organizovanie podujatí spojených s bezpečnosťou a auditom IS ako aj štandardizačné práce pre oblasť auditu IS. ISACA Slovakia je slovenská pobočka reprezentujúca celosvetové aktivity asociácie ISACA. Jej cieľom je zvyšovať profesionálnu a odbornú úroveň všetkých jeho členov prostredníctvom vzdelávania a šírenia informácií v oblasti auditu a kontroly informačných systémov, vytvoriť jednotnú platformu v tejto oblasti v Slovenskej republike, rozširovať povedomie manažmentu spoločností a verejnosti o princípoch a potrebách auditu a kontroly informačných systémov. ISACA Slovakia úzko spolupracuje s medzinárodnou asociáciou ISACA pre zabezpečenie potrebnej úrovne podpory svojim členom, a konzistentného prístupu v oblasti auditu a kontroly informačných systémov v celosvetovom meradle.


Audit IS má špecifickú povahu ,preto si vyžaduje vytvorenie globálne aplikovateľných štandardov na tento účel, čo je jedným z cieľov organizácie ISACA.


Štruktúra štandardov pre audit IS poskytuje viaceré úrovne štandardov:

Štandardy definujú požiadavky povinné pre audit IS a pre výkazníctvo.
Cieľom ISACA štandardov pre audit IS je informovať

  •  audítorov IS o minimálnej úrovni akceptovateľnej činnosti vyžadovanej na splnenie profesionálnych záväzkov vytýčených ISACA Kódexom profesionálnej etiky pre IS audítorov.

  •  manažment a iné zainteresované strany o očakávaniach v súvislosti s profesionalitou týkajúcou sa práce vykonávanej audítormi



Smernice poskytujú návody na aplikovanie štandardov pre audit IS. Audítor IS by ich mal brať do úvahy pri určovaní spôsobu implementácie štandardov, mal by použiť profesionálny úsudok pri ich aplikovaní a mal by byť pripravený odôvodniť akékoľvek odchýlky.
Cieľom smerníc pre IS audit je poskytnúť ďalšie informácie o tom, ako najlepšie vyhovieť Štandardom pre IS audit.


Pracovné postupy poskytujú príklady postupov, ktorými by sa audítor IS mohol riadiť pri výkone auditu.

Dokumentácia postupov poskytuje informácie ako vyhovieť štandardom pri audite IS, ale nestanovuje požiadavky.



Audit IS a zabezpečenie kvality IS spolu súvisia práve v tom , že Audit IS je jedným z prostriedkov na dosiahnutie kvality IS
V podstate samotný Audit IS je overením (resp. previerkou) kvality IS. Jeho výsledkom by mala byť správa o aktuálnom stave IS obsahujúca aj nápravné opatrenia smerujúce k zabezpečeniu kvality IS podľa platných štandardov. Kvalitne prevedený audit je zárukou efektných nápravných opatrení, ktoré zabezpečia kvalitu IS. Návody na vykonanie auditu poskytujú smernice.


Štruktúra smerníc
010 Poverenie na vykonanie auditu
.010 Povinnosť, oprávnenie, zodpovednosť
.010 Poverenie na vykonanie auditu
.020 Využitie vonkajších služieb (outsourcing)


020 Nezávislosť
.010 Profesionálna nezávislosť
.010 Vplyv angažovanosti v procese vývoja, akvizície, implementácie alebo údržby IS na nezávislosť audítora.
.020 Organizačné vzťahy
.010 Organizačné vzťahy a nezávislosť
030 Profesionálna etika a štandardy
.010 Kódex profesionálnej etiky
.020 Profesionálna starostlivosť
.010 Pozornosť auditu na iregularity
.020 Profesionálna starostlivosť
040 Opravnenia
.010 Schopnosti a znalosti
.020 Kontinuálne vzdelávanie profesionálov


050 Plánovanie
.010 Plánovanie auditu
.010 Koncepcie významnosti pre audit IS
.020 Plánovanie
.030 Využitie odhadu rizika pri plánovaní auditu
.040 Vplyv tretej strany na riadenie IT organizácie


060 Vykonanie auditu
.010 Inšpekcia
.020 Dôkazy
.010 Dokumentácia auditu
.020 Prieskum aplikačných systémov
.030 Požiadavky na dôkazy auditu
.040 Výber vzoriek pre audit
.050 Hromadné spravovanie informačných systémov
.060 Vplyv hlbkového riadenia
.070 Použitie počítačovej asistencie auditovacích techník(CAAT)
.080 Použitie práce iných audítorov a expertov


070 Podávanie správ
.010 Štýl a obsah správy
.010 Štýl a obsah správy


080 Následné aktivity
.010 Doplňujúca správa


Každá z týchto smerníc ma samozrejme podrobnejšie vypracovanie opierajúce sa o štandardy. Čo sa týka smerníc pre Audit IS, z odporučených zdrojov som sa,po ich preštudovaní snažil vyextrahovať časti týkajúce sa priamo kvality IS a dospel som k nasledujúcim záverom:


1. Aby sme mohli hovoriť o kvalitnom IS, musí byť jeho kvalita potvrdená auditom, teda IS musí mať certifikát kvality. Audit IS musí byť taktiež prevedený kvalitne, preto okrem štandardov, ktoré definujú minimálne kritéria na IS pre splnenie požiadaviek auditu, sú vypracované aj smernice a pracovné postupy pre audit IS. Smernice sú návody na aplikovanie štandardov. Smernice okrem samotných požiadaviek na IS definujú aj požiadavky na samotných audítorov a na výkon ich práce.

Pre zabezpečenie kvality IS je potrebné dbať na všetky faktory zúčastňujúce sa na jeho návrhu, vývoji, výrobe, implementácií a údržbe.
2. Dokumentácia IS v každej etape jeho životného cyklu je dôležitá pre vykonanie auditu ako dôkazový materiál, rovnako ako dokumenty z predchádzajúcich auditov. Dokumentácia by mala obsahovať aj popis použitých politík resp. stratégií (bezpečnostná, riadenia ľudských zdrojov, uchovávania dát, vlastníctva dát, konečného užívateľa, autorstva, implementácie, vonkajších zdrojov)
Organizácia COBIT , ktorá problematiku riadenia rozpracovala podrobnejšie definuje
riadenie (control) ako spôsoby, procedúry, praktiky a organizačné štruktúry vytvorené za účelom zabezpečenia dosiahnutia určených cieľov alebo na prevenciu resp. opravu neželaných udalostí.
(COBIT) poskytuje rámec pomáhajúci audítorovi rozlíšiť medzi

  •  detailnými riadiacimi prvkami , ktoré sú podstatné pre audit IS

  •  možnosťami manažovania a monitorovnia IS , ktoré sa podieľajú
na zabezpečení, a ktoré môže audítor získať vo vzťahu k týmto detailným riadiacim prvkom IS
Hĺbkové riadenie – univerzálne riadiace prvky na manažovanie a monitorovanie prostredia IS a tým majúce vplyv na všetky aktivity v IS.
Hĺbkové riadenie má vplyv aj na spoľahlivosť detailných riadiacich prvkov IS nad:

  •  Vývojom programov

  •  Implementáciou systému

  •  Administráciou bezpečnosti

  •  Zálohovacími procedúrami


Z toho vyplýva, že aj týmto častiam IS treba pri ich návrhu a implementácii venovať dostatočnú pozornosť.

Linky:
http://www.isaca.org/ - www.isaca.org/

Koniec vytlačenej stránky z https://referaty.centrum.sk