1 / 57

Revizija (re)organizacije IT

Revizija (re)organizacije IT. Nataša Žabkar Ljubljana, 15.06.2004. Potek. Uvod. Pomen (re)organizacije IT. Revizija (re)organizacije IT. Sklep. Izjava.

ormand
Download Presentation

Revizija (re)organizacije IT

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Revizija (re)organizacije IT Nataša Žabkar Ljubljana, 15.06.2004

  2. Potek Uvod Pomen (re)organizacije IT Revizija (re)organizacije IT Sklep

  3. Izjava Razlage in komentarji, ki so predmet te predstavitve, predstavljajo poglede predavatelja in niso nujno tudi stališča, praksa ali politika podjetja, v katerem je predavatelj zaposlen.

  4. Namen • Predstavitev revizije (re)organizacije IT • A (Assurance): Zagotavljanje • Preizkus COBIT QuickStart • COBIT vs COBIT QuickStart • Poskus oblikovanja sodila • Sodelovanje udeležencev

  5. SNR 2410-1: Sodila za poročanje (opažanje) • SODILA - KAJ NAJ BI OBSTAJALO : • standardi, merila ali pričakovanja, uporabljena pri izdelavi in ovrednotenju in/ali potrjevanju • STANJE - KAJ OBSTAJA : • dejanski dokaz, ki ga je notranji revizor našel pri poteku preiskave • RAZLOG - ZAKAJ OBSTAJA RAZLIKA : • motiv za razliko med pričakovanim in dejanskim stanjem • POSLEDICA - VPLIV RAZLIKE: • tveganje ali izpostavljenost organizacije in/ali drugih ugotovitev, ker položaj ni skladen s sodili

  6. Udeleženci • Izkušnje z revizijo (re)organizacije IT • Uporaba: COBIT, COBIT QuickStart • Sodila: Kaj naj bi obstajalo?

  7. Organizacija (1) Organizacija podjetja je "sestav razmerij med ljudmi - člani podjetja, ki zagotavlja obstoj, družbeno-ekonomske in druge značilnosti podjetja ter smotrno uresničevanjecilja podjetja". Lipovec, 1987, str. 34

  8. Organizacija (2) • 1.Statični del ali formalna organizacijska struktura • Tehnična struktura, • Komunikacijska struktura, • Motivacijska struktura in • Ravnalna ali oblastna struktura. • 2. Dinamični del ali formalni organizacijski proces • Upravljalno-ravnalni proces. Lipovec, 1987

  9. Operativno tveganje • “Tveganje izgube zaradi neustreznih ali neuspešnih notranjih postopkov, ljudi in sistemov ali zaradi zunanjih dogodkov.” • Basel Committee on Banking Supervision: “Sound Practices for the Management and Supervision of Operational Risk”, (February 2003). www.bis.org/publ/bcbs96.pdf

  10. 7-S: Kritični dejavniki pri uresničevanju strategije Vir: Pascale, Athos, 1986, str. 202

  11. Upravljanje z IS Upravljanje in nadzor Na kakšen način (Interna in eksterna komunikacija) Kaj (storitve) Kdo (ljudje) Kako (procesi) Kje (organizacija) Vir: Radi, 2002 (ISACA mesečni sestanek)

  12. Omejitve • SODILA • Kaj naj bi obstajalo • COSO - Internal Control, ERM • COBIT, COBIT-QuickStart • PO4: Opredelitev IT organizacije in odnosov • Organizacija • PO10: Vodenje projektov • Reorganizacija

  13. Potek Uvod Pomen (re)organizacije IT Revizija (re)organizacije IT Sklep

  14. Hierarhija pravil revidiranja (UL RS 96/2002, 14.11.2002) • Prva raven (obvezno) • Predpisi državnih organov • Standardi, načela • Druga raven (poklicna skrb) • Stališča, pojasnila in priporočila rev. sveta SIR • Tretja raven (poklicna skrb) • Metodološka gradiva in priročniki SIR • Četrta raven • Domača in tuja strokovna literatura • Splošno sprejeto delovanje oz. postopki delovanja revizorjev v TUJI PRAKSI, ki jih je potrdil rev. svet SIR

  15. Revizor (RI) (1) • Mednarodni standardi revidiranja (MSR) • 400: Ocenjevanje tveganja innotranje kontroliranje • 8. Ureditev notranjega kontroliranja • a: kontrolno okolje • organizacijski ustroj podjetja ter metode dodeljevanja pooblastil in odgovornosti • b: kontrolni postopki • 9. … samo s tistimi usmeritvami in postopki … ki ustrezajo uradnim trditvam v računovodskih izkazih.

  16. Revizor (RI) (2) • Mednarodna stališča o revidiranju (MSR) • 1008: Ocenjevanje tveganja innotranje kontroliranje - značilnosti in upoštevanje računalniškega informacijskega sestava (RIS) oz. z računalniško informacijsko ureditvijo (RIU) • 6. Splošne kontrole RIS vključujejo: • a: organizacijske in ravnateljske kontrole, namenjene za ustvarjanje organizacijskega okvirja delovanja RIS: • pravila in postopke v zvezi s kontrolnimi funkcijami • ustrezno ločevanje nezdružljivih funkcij

  17. Notranji revizor (1) • Standardi strokovnega ravnanja pri notranjem revidiranju (SNR) • 2100-1: Narava dela • 8. Vsa ureditev poslovanja, procesi, področje dela in dejavnosti organizacije so predmet ovrednotenj pri notranjem revidiranju. • Pojmovnik • Obvladovalno okolje (Control Environment) • organizacijski ustroj • dodeljevanje pooblastil in odgovornosti

  18. Notranji revizor (2) • CIA-III, str. 40 • Organizacija • Odobreno namerno • strukturiranje vlog dodeljenih zaposlenim • z namenom, da podjetje doseže cilje • učinkovito in • uspešno.

  19. CIA-III, str. 40 Organiziranje je začetek kontrole.

  20. Revizor IS (1) • Kodeks poklicne etike revizorja IS (Revizor 1/01) • 2.2 Revizor upošteva standarde in smernice revidiranja IS, ki jih je izdal Inštitut oziroma ISACA. • Revizor mora upoštevati smernice in uporabiti strokovno presojo glede uporabe ter mora biti pripravljen pojasniti odstopanja.

  21. Revizor IS (2) • ISACA - smernice: Učinek (effect) prodornih IS kontrol (01.03.2000) • ISACA - standard 060.020 (Dokaz) • Prodorne kontrole: • Splošne kontrole iz domen PO in M • 1.2.6: Pri revidiranju podrobnih kontrol naj bi revizor pregledal tudi prodorne kontrole, tudi če niso v obsegu revizije. • 2.2.3: Če so prodorne kontrole slabe, obstaja velika verjetnost, da so podrobne kontrole neuspešne. • 5.2.1: … opozoriti poslovodstvo ...

  22. COBIT Organizacijska struktura je sestavni del kontrole in upravljanja IT.

  23. Potek Uvod Pomen (re)organizacije IT Revizija (re)organizacije IT Sklep

  24. COSO - Enterprise Risk Framework

  25. COSO - Internal Control Framework

  26. COBIT Framework

  27. Organizacijska struktura • Upravljanje IT(Board Briefing on IT Governance, ISACA, 2003) • Vodenje, organizacijske strukture in procesi, ki zagotavljajo, da IT podjetja podpira in razvija strategijo in cilje podjetja. • Kontrola (COBIT, 2000) • Politike, postopki, prakse in organizacijske strukture, katerih namen je dati razumno zagotovilo, da bodo poslovni cilji doseženi in da bodo neželjeni dogodki preprečeni ali odkriti in odpravljeni.

  28. Vodstvene kontrole (CIPFA, 1998) • 01: Odgovornosti za ravnanje z IT so dobro opredeljene. • 02: Opisi delovnih nalog jasno opisujejo obseg dolžnosti. • 03: Standardi in navodila za vse vidike IT1 obstajajo, se nadzirajo in redno ažurirajo. • 04: Razmejitev dolžnosti zagotavlja varno uporabo IT.

  29. COSO - Organizacijska struktura • Vir: COSO - IC Evaluation Tools • 1. USTREZNOST organizacijske strukture, zmožnost omogočiti tok informacij potreben za poslovanje podjetja • 1.1 Ustreznost (de)centralizacije • 1.2 Struktura omogoča tok informacij

  30. COBIT - Organizacijska struktura • Vir: IT Governance Implementation Guide • PO4.2 Položaj IT v organizaciji (Organisational Placement of the IT Function) • PO4.15 Odnosi • QS8. Opredeliti kje se lahko uporabijo storitve zunanjega izvajalca in način kontrole

  31. COBIT - Organizacijske enote • PO4.1 Odbor za planiranje IT (IT Planning or Steering Committee) • DS7.2 Organizacija usposabljanja (Training organization) • ISO17799 5.2.1: 6.2.1 Information security education and training • DS8.1 Center za pomoč uporabnikom (Help Desk) • ITIL: Service Desk

  32. Likertov vedenjski model organizacije Vir: Pučko, 1996, str. 265

  33. COBIT - Delovna mesta • PO4.12 Opisi delovnih mest (Job or Position Descriptions for Staff) • PO4.4, PO7.3 Vloge in odgovornosti (Roles and responsibilities) • QS 5. Dodeliti IT vloge in odgovornosti jasno, z ustreznimi pristojnostmi in razumnimi pričakovanji ter seznaniti zaposlene z njimi. • ISO17799 2.1.3: 4.1.3 Allocation of information security responsibilities • ISO17799 5.1.1: 6.1.1 Including security in job responsibilities

  34. COBIT - Matrika odgovornosti • COBIT-AG: Zrelostni model • Nivo 3 (Opredeljen proces): • Opredeljene vloge in odgovornosti • IT organizacija je skladna s poslovno

  35. COSO - Odgovornosti • 2. USTREZNOST dodelitve odgovornosti ključnega poslovodstva in njihovo razumevanje teh odgovornosti • 2.1 Odgovornosti in pričakovanja glede poslovnih aktivnosti so jasno komunicirane poslovodstvu, ki je zadolženo za te aktivnosti.

  36. COBIT - Odgovornosti (1) • PO4.5 Odgovornost za zagotavljanje kakovosti (Responsibility for Quality Assurance) • ISO 9001:2000 • PO4.6 Odgovornost za logično in fizično varnost (Responsibility for Logical and Physical Security) • ISO17799 2.1.1: 4.1.1 Management information security forum • ISO17799 2.1.2: 4.1.2 Information security co-ordination • QS 6. Upoštevati potrebo za dodelitev specifičnih odgovornosti na področju zagotavljanja kakovosti in varnosti IT.

  37. COBIT - Odgovornosti (2) • PO4.8 Lastništvo podatkov in sistemov (Data and System Ownership) • ISO17799 4.1.1: 5.1.1 Inventory of assets

  38. COBIT - Razmejitev dolžnosti • PO4.9 Nadzor (Supervision) • PO4.10 Razmejitev dolžnosti (Segregation of Duties) • ISO17799 8.1.4: 8.1.4 Segregation of duties • QS 7. Periodično pregledati, ali se IT vloge in odgovornosti pravilno razumejo in izvajajo. • Oceniti, ali imajo zaposleni vire za uresničitev teh odgovornosti. Zavedati se, da se lahko koncentrirane vloge in odgovornosti zlorabijo.

  39. COBIT - Quick Start: PO4 • QS 5. Dodeliti IT vloge in odgovornosti jasno, z ustreznimi pristojnostmi in razumnimi pričakovanji ter seznaniti zaposlene z njimi. (4.4) • QS 6. Upoštevati potrebo za dodelitev specifičnih odgovornosti na področju zagotavljanja kakovosti in varnosti IT. (4.5, 4.6) • QS 7. Periodično pregledati, ali se IT vloge in odgovornosti pravilno razumejo in izvajajo. • Oceniti, ali imajo zaposleni vire za uresničitev teh odgovornosti. Zavedati se, da se lahko koncentrirane vloge in odgovornosti zlorabijo. (4.9, 4.10) • QS 8. Opredeliti kje se lahko uporabijo storitve zunanjega izvajalca in način kontrole (4.14, 4.15)

  40. COBIT - Quick Start: PO4 • Upravljanje IT • Skladnost IT strategije in poslovne strategije • Doseganje vrednosti • Upravljanje IT virov • Obvladovanje performans • Tehnologija • Arhitektura podjetja

  41. Udeleženci • Sodilo • COBIT • Kaj naj bi obstajalo (?)

  42. Prirejeno po Internal Auditing (Sawyer, 2003) • 1. Kaj so cilji predlagane organizacije? • 2. Kako so ti cilji usklajeni s cilji podjetja? • 3. Katere kontrole obstajajo, ali bi morale obstajati, da bi cilji bili uresničeni?

  43. COSO - Enterprise Risk Framework

  44. Sodilo Opredelitev podsistemov DR/BCP Upravljanje z IS Arhitektura podsistemov Skrbništvo Investicije in stroški Analiza tveganj Upravljanje s kadri Vir: Prirejeno po Radi, 2002 (ISACA mesečni sestanek)

  45. Revizija reorganizacije IT

  46. Revizija reorganizacije IT • 1. Sedanja organizacija • PO4: Opredeliti IT organizacijo in odnose • 2. Željena organizacija • PO4: Opredeliti IT organizacijo in odnose • 3. Prehod iz sedanje v željeno organizacijo • PO10: Vodenje projektov

  47. Model poslovodenja sprememb Vir: Nadler, 1992, str. 64

  48. IT Service Management (itSMF, 2001) • 1. Kje bi radi bili? • Vizija in poslovni cilji • 2. Kje smo? • Ocena • 3. Kako bomo prišli v 1? • Izboljšanje procesov • 4. Kako bomo vedeli, da smo prišli v 1? • Merjenje

  49. Poslovodenje kompleksnih sprememb Vir: Aaker, 1995, str. 745

  50. COBIT - Quick Start: PO10: Vodenje projektov • QS 19. Jasno opredeliti kaj mora biti doseženo, kdo bo to dosegel, kdaj in ob kakšnih stroških(10.1, 10.5, 10.7) • QS 20. Biti pozoren na težave, preprečiti jih kjer je to možno in prenesti tveganja s pogodbo, če je to koristno. (10.10) • QS 21. Stalno nadzirati rezultate projekta, stroške, čas in tveganja. (10.1, 10.7, 10.10) • QS 22. Biti jasen in ekspliciten glede prevzema končnega izdelka. (10.4, 10.2) • www.pmi-slo.org: PMBok3 (257 strani)

More Related