INFORMATIKA ELLENŐRZÉSI KÉZIKÖNYV

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "INFORMATIKA ELLENŐRZÉSI KÉZIKÖNYV"

Átírás

1 Kirner Attila (CISA) és Pichler Attila (CISA) INFORMATIKA ELLENŐRZÉSI KÉZIKÖNYV avagy GYAKORLATI TANÁCSOK AZ INFORMATIKAI KONTROLLOK MŰKÖDTETÉSÉHEZ 2007

2 Szerzők: Kirner Attila, Pichler Attila, Lektor: Fésűs Zoltán, Szerkesztette: Pichler Attila, CISA, a PSZÁF Informatika Felügyeleti Főosztályvezetője, az ISACA Hu Vezetőségi tagja CISA, a Raiffeisen Bank Zrt. IT Auditora, az ISACA Hu Vezetőségi tagja CISA, a PSZÁF Informatika Felügyeleti Főosztályának vezető informatikai főfelügyelője, az ISACA tagja CISA, a Raiffeisen Bank Zrt. IT Auditora, az ISACA Hu Vezetőségi tagja Köszönjük a támogatását! Copyright ISACA Hu ISBN: Műszaki szerkesztő: Pichler Attila A borító és a kötés tervezője: Pichler Attila Megjelent 16,5 (A5) ív terjedelemben, 500 példányban Betűtípus: Times New Roman Nyomda: - Tel.: 46/

3 Tartalomjegyzék BEVEZETŐ FÜGGETLEN INFORMATIKAI ELLENŐRZÉS AZ INFORMATIKAI ELLENŐRZÉS TERVEZÉSE AZ INFORMATIKAI ELLENŐRZÉS ELŐKÉSZÍTÉSE AZ INFORMATIKAI ELLENŐRZÉS VÉGREHAJTÁSA AZ IT ELLENŐRZÉSEK NYOMON KÖVETÉSE A KOCKÁZATOK MENEDZSELÉSE KOCKÁZATMENEDZSELÉSI MÓDSZERTAN KOCKÁZATÉRTÉKELÉS A KOCKÁZATÉRTÉKELÉS EREDMÉNYÉNEK HASZNOSÍTÁSA A SZABÁLYOZÁS SZEREPE A VONATKOZÓ SZABÁLYOZÁS ÁTTEKINTÉSE, STRUKTÚRÁJA A SZABÁLYOZÁS TARTALMA A FELADATOK ÉS FELELŐSSÉGEK ELHATÁROLÁSÁNAK ÁTTEKINTÉSE VÁLLALATI KULTÚRA ÖSSZEFÉRHETETLENSÉGEK SZERVEZETI REND SZABÁLYOZÁSA INFORMATIKAI NYILVÁNTARTÁSOK VIZSGÁLATA A NYILVÁNTARTÁSOKKAL KAPCSOLATOS FELADATOK VIZSGÁLATA A NYILVÁNTARTÁSOK TARTALMA A FELHASZNÁLÓI TÁMOGATÁS MŰKÖDÉSÉNEK VIZSGÁLATA DOKUMENTÁLTSÁG VIZSGÁLATA A JOGOSULTSÁGMENEDZSMENT VIZSGÁLATA JOGOSULTSÁGKEZELÉS SZABÁLYOZÁSA AZ IT STRATÉGIA VIZSGÁLATA FEJLESZTÉS TESZTELÉS VIZSGÁLATA A TESZTELÉSEK VIZSGÁLATÁNAK ELŐKÉSZÍTÉSE...49

4 10.2. TESZTELÉSI MÓDSZERTAN, ESETEK TESZTELÉSEK MENEDZSELÉSE TESZTADATOK VIZSGÁLATA A TESZTELÉS MONITOROZÁSA TESZTEREDMÉNYEK ÉRTÉKELÉSE ÉLESBEÁLLÍTÁS VÁLTOZÁSKEZELÉS RENDKÍVÜLI HELYZETEK KEZELÉSE ÜZLETMENET-FOLYTONOSSÁG MENEDZSELÉS VIZSGÁLATA DRP TERVEK ELLENŐRZÉSE BCP/DRP TERVEK TESZTELÉSE A BCP/DRP TERVEK AKTUALIZÁLÁSA A KÜLSŐ SZOLGÁLTATÓK MENEDZSELÉSE SZERZŐDÉSKÖTÉS SZOLGÁLTATÁSI SZINT MÉRÉS A NAPLÓZÁS ELLENŐRZÉSE NAPLÓZÁSI KONCEPCIÓ NAPLÓZÁSI BEÁLLÍTÁSOK NAPLÓÁLLOMÁNY ELEMZÉSEK OKTATÁS ÉS IT BIZTONSÁG-TUDATOSSÁG TOVÁBBI IT BIZTONSÁGI KONTROLLOK ÖSSZEFOGLALÁS MIRE JÓ EZ A KÉZIKÖNYV?...81 MIT ÉRDEMES FELTÉTLENÜL MEGJEGYEZNI?...81 IRODALOMJEGYZÉK MELLÉKLETEK SZ. MELLÉKLET APDCA MODELL SZ. MELLÉKLET A MINŐSÉGIRÁNYÍTÁSI RENDSZER MODELLJE SZ. MELLÉKLET A KOCKÁZAT MENEDZSELÉS ÁLTALÁNOS LÉPÉSEI89 4. SZ. MELLÉKLET AZ IT BIZTONSÁG MENEDZSELÉSE SZ. MELLÉKLET ÖSSZEFÉRHETETLENSÉGI TÁBLÁZAT SZ. MELLÉKLET KONTROLL KÉRDÉSEK A COBIT ALAPJÁN...92

5 Ajánlás A Raiffeisen Bank Zrt. 20 éves folyamatos üzleti és IT fejlődése során egyre nagyobb hangsúlyt helyez a kockázatok meghatározására felismérésére kezelésére monitorozására és elfogadható szintre történő csökkentésére. A Bank termékpalettájának fejlődése, és az azokat támogató informatikai megoldások bonyolultsága évről évre nőtt, újabb kockázat típusok jelentek meg. Ezzel együtt az informatikában található kockázatok vonatkozásában egyre nagyobb mértékben támaszkodtunk a Bank (illetve a Bankcsoport) IT Auditorainak tevékenységére, így velük közösen határoztuk meg az általuk vizsgált területen végrehajtandó legszükségesebb feladatokat, intézkedéseket. Az IT Auditorok segítségével mélyebben ismerhettük meg -többek között- a CobiT BS COSO - ITIL módszertanokat, irányelveket. Ezek fehasználásával az informatikai üzemeltetésen és szervezésen, valamint a bankbiztonsági területeken dolgozó munkatársaim új felfogásban, de legfőképpen a kontroll tudatos szemléletrendszerében végzik napi feladataikat. Nagy öröm számomra, hogy a Raiffeisen Bank Zrt. IT Auditora, a PSZÁF két kitűnő szakemberével közösen egy olyan kézikönyvet készített el, amely elsősorban a tevékenységük gyakorlati tapasztalatait mutatja be, az érintett IT iparági sztenderdek hivatkozásaikra építve azokat. A könyvben feldolgozott témák felölelik napjaink informatikájának legfontosabb területeit, valamint nemcsak az IT Audit, hanem IT kockázat vonatkozásában meghatározzák a kor követelményeit. Kiemelten fontosnak tartom, ezért pár sorban kitérnék a könyvben is többször említett IT Auditor és IT vezetés közötti viszonyra. Rendkívül fontosnak tartom azt, hogy e területek illetve személyek szerepe, feladat- és felelősségi köre egyértelműen szabályozott, egymástól jól elhatárolt legyen. Ugyanakkor az együttműködés tartalma és működési módja jól kidolgozott alapjainak megfelelően végezzék tevékenységüket. Megfelelőnek, de folyamatosan fejlesztendőnek ítélem meg a Raiffeisen Bank Zrt. ebbéli tevékenységét, hiszen nálunk a Bank, valamint az IT vezetés, illetve az IT Auditor között fennálló az audit szakma független, továbbá szakmai alapokon történő tevékenységének maximális tiszteletben tartása és annak biztosítása mellett- a kapcsolat, minden esetben a kockázatok minimalizálására és az egységes kockázatok lehetséges kezelésére irányulnak.

6 A Bank IT szakterületei (informatikai infrastruktúra fejlesztés és üzemeltetés, szervezet- és alkalmazásfejlesztés, projektum portfolió menedzsment és informatikai biztonság ) tevékenységeiket egyre összehangoltabb és az IT Audit szakmai ismeretei illetve az általa megfogalmazott követelmények messzemenő figyelembevételével végzik munkájukat. Mindazonáltal nem tévesztjük szem elől, hogy míg a fejlesztők és üzemeltetők feladata az új rendszerek létrehozása és üzemeltetése, azok ügyfél szempontú megfelelőségi szintjének állandó biztosítása, addig az IT Audit fő feladata az idő és a szolgáltatási követelmények állandó nyomása alatt működő IT szervezetek tevékenységének, működési módjának szinte folyamatos ellenőrzése, ily módon azok támogatása. Ezen gondolatokkal ajánlom e könyvet elsősorban a tárgyban - hozzám hasonlóan - irányítási illetve feladat megvalósítási tevékenységet folytató kollégáimnak, de ajánlom a módszertani továbbfejlesztés céljából a kérdés elméletével foglalkozó valamennyi érdeklődőnek. Verő Péter Raiffeisen Bank Zrt. Vezérigazgató-helyettese

7 Ajánlás Mottó: A termék vagy a szolgáltatás olyan tulajdonságainak és jellemzőinek összessége, amelyek hatással vannak a terméknek vagy a szolgáltatásnak arra a képességére, hogy kifejezett vagy elvárható igényeket kielégítsen (ISO 8402:1986 A minőség definíciója). Kedves Olvasók! Mindennapi életünket átszövik az információs társadalom eszközei, módszerei és ismeretei. Az IT rendszerek tárgyilagos szakmai kontrollja azonban nem valósulhat meg a felkészült auditálás és a biztonsági kockázatok kivédése nélkül. A nemzetközi információ ellenőrök szervezete (ISACA Information Systems Audit and Control Association) már es megalakulása óta a máig is érvényes küldetéssel jött létre. Az ISACA küldetésének lényege, hogy az üzleti vezetők informatikai ellenőrök napi munkájában használható, általánosan elfogadott információ-technológiai irányítási elvek hiteles, naprakész, nemzetközi rendszerének kutatása, fejlesztése, közzététele és terjesztése valósuljon meg. Az ISACA magyarországi tagszervezetének célja, hogy a fenti küldetés szemelőtt tartásával minél szélesebb körben valósuljon meg az informatikai ellenőri szakma professzionális kiterjesztése. Az ISACA HU célja, továbbá, hogy az informatikai menedzserek és ellenőrök munkáját támogató legmagasabb minőséget és tudásbázist biztosító szakmai tömörüléssé, szövetséggé váljon és útmutatásai segítségével világszínvonalú informatikai kultúra honosodjék meg. Az eredményes informatikai irányítás segít annak biztosításában, hogy az informatika támogassa az üzleti célokat, optimalizálja az informatikai beruházásokat és ennek megfelelően menedzselje az informatikával kapcsolatos kockázatokat és lehetőségeket. A jelen kézikönyv megírásának is célja, hogy közelebb kerüljünk az ISACA által kitűzött célokhoz és ezzel is támogassuk a magyarországi vállalkozásokat üzleti céljaik elérésében. Ehhez kívánok sok sikert és kitartást mindenkinek. Üdvözlettel: Dr. Nyíry Géza az ISACA Hu Vezetőségénék Elnöke

8 Bevezető Általánosságban is elmondható, hogy nem szeretjük az ellenőrzést és ennek természetes velejárója az, hogy nem szeretjük az ellenőröket sem. Ez sokszorosan igaz az informatikai szakmára is. A gazdasági élet valamennyi területén az informatika befolyása az elmúlt időszakban jelentős mértékben megnőtt, de ezzel együtt megjelentek új informatikai fenyegetettségek (kockázatok) is, amelyeknek súlya, illetve üzemzavar esetén negatív és pénzben nagyon jól mérhető hatása hihetetlen mértékben megnövekedett. Az üzleti élet szereplői már régen felismerték és sok esetben saját bőrükön meg is tapasztalhatták a bekövetkezett informatika kockázatok negatív hatásait, így egyre többen döntöttek úgy, hogy informatikai kontrollok bevezetésével és informatikai auditorok által megfogalmazott javaslatokkal támogatják a hatékony és kontrollált formában megvalósuló IT működést. Ebből adódóan Mi, IT Auditorok egyre többen lettünk és napról napra bonyolultabb informatikai rendszerek és folyamatok megismerésével, IT iparági sztenderdek, valamint törvényi és Európai Uniós ajánlások implementálásával adunk hozzáadott értéket az adott szervezet számára. Általánosságban elmondhatjuk, hogy az IT auditorokhoz és az általuk végzett tevékenységekhez való IT hozzáállás szintje az elmúlt években javult, de még mindig találkozunk olyan vezetőkkel, beosztottakkal, akik szükséges rossznak tekintik az általunk végzett munkát, így nem minden esetben igénylik az informatikai ellenőrök szakmai tudását, önzetlen segítségét. Nekik, és minden leendő, illetve gyakorló IT Auditornak, informatikai auditot végző személynek, IT vezetőnek és munkatársaiknak, a gazdasági élet közép és felső vezetőinek, tanácsadóknak, IT fejlesztőknek készítettük ezt a könyvet! Elsődleges célunk, hogy csökkentsük az informatika működtetéséért és az informatikai ellenőrzésért felelős munkatársak között fennálló néha kibékíthetetlen ellentétet, valamint gyakorlati tanácsokkal és az irodalomjegyzékben felsorolt hivatkozásokkal hívjuk fel mindkét oldal figyelmét az IT Auditorok által végzett tevékenységek értékeire, hasznosságára. Sok esetben az informatikus számára sem világos, hogy mit értenek az auditorok a kontroll szó alatt. A nemzetközi informatika ellenőri szervezet (az ISACA Information Systems Audit and Control Association) erre is ad egy definíciót (a CobiT Controll objectives for Information and Related Technology legújabb, 4.1. verziójában a kontroll szó 494-szer szerepel), amely szerint: Az üzleti célkitűzések megvalósítása és a nem-kívánatos események megelőzése, felderítése és korrigálása céljából kialakított szabályok, eljárások, normák és szervezeti struktúrák

9 A definícióból következően tehát, minden olyan tevékenység, amely az üzleti célok megvalósítását és a nem kívánt események kiküszöbölését szolgálja, kontrollnak tekintendő. Úgyszintén az ISACA által megfogalmazottakat tekintjük nagyon hangsúlyosnak miszerint: Az informatika értékének biztosítására, az informatikával kapcsolatos kockázatok kezelésére és az információk feletti kontroll, szigorodó követelményeire vonatkozó igény ma már a vállalat irányítás kulcsfontosságú eleme. Az érték, a kockázat és a kontroll az informatikai irányítás lényege. Az informatikai irányítás a felső vezetés és az igazgatótanács felelőssége, az informatikai irányítás lefedi azokat a területeket a vezetést, a szervezeti struktúrát és folyamatokat amelyek biztosítják, hogy a vállalat informatikai szolgáltatásai hozzájáruljanak a szervezet stratégiáinak és célkitűzéseinek fenntartásához, kiterjesztéséhez.. A kontrollok területén biztosan hallott már mindenki a széles körben elfogadott és gyakorlatban is használt a PreDeCo módszerről. Ez a módszertan a védelmet három egymásra épülő és egymást kiegészítő részre: a megelőző (preventív), a felismerő (detektív) és az elhárító (korrektív) kontrollokra bontja. A kontroll kifejezés azt a személetet tükrözi, hogy a rendszer védelménél az adott veszélyek fölötti kontrollra kell helyezni a hangsúlyt és nem feltétlenül a veszélyek bekövetkezésének teljes kizárására (ami általában egyébként sem megoldható). Jelen kézikönyvünk legfőbb célja, hogy felhívjuk a figyelmet: - a napi informatikai menedzselési, üzemeltetési és ellenőrzési gyakorlatban általunk leginkább fontosnak tartott fókuszpontokra, illetve - rávezessük az informatikával foglalkozó szakembereket (vezetőket, beszerzőket, fejlesztőket, ellenőröket) a nemzetközi informatika ellenőri szervezet által kiadott nyílt szabványok és kézikönyvek használatára, részt vállalva ezzel az általunk valóban fontosnak tartott és a CobiT kézikönyvek mindegyikének elején megfogalmazott küldetés megvalósításában: Az üzleti vezetők és az ellenőrök napi munkájában használható általánosan elfogadott információtechnológia irányítási elvek hiteles, naprakész, nemzetközi rendszerének kutatása, fejlesztése, közzététele és terjesztése. A kézikönyv olvasásával az informatikai szakemberek figyelmét arra szeretnénk ráirányítani, amit az ISACA Bázel2 megfelelési kézikönyve (IT control objectives for Bazel2) a következőképpen fogalmaz meg: A jelenlegi legfontosabb üzleti prioritások az Irányítás, a Kockázatmenedzselés és a Jogszabályi megfelelés (GRC Governance, Risk, Compliance)! A fentiek megvalósításához kívánnak sok sikert és jó olvasást a Szerzők! - 2 -

10 1. Független informatikai ellenőrzés Miért kell ellenőrizni? Ha kontrollokról beszélünk, akkor elsőként mindenkinek az ellenőrzés jut az eszébe és ez természetes is, hiszen a jól működő kontroll környezet legfontosabb része a rendszeres ellenőrzés ( Jó a bizalom, de legjobb az ellenőrzés ). A tevékenységet végző személyétől független, rendszeres ellenőrzés a biztosítéka a szabályozásnak megfelelő, folyamatosan magas minőségi kritériumokat teljesítő munkának (lásd a 2. számú mellékletet). Ebből adódóan a belső ellenőrnek mindig függetlennek, objektívnek és szabálykövetőnek kell lennie. A bevezetőben említett kontroll definíciót figyelembe véve természetesen - az ellenőrzés egyedül nem biztosítja a kontrollok folyamatos működését, sőt kifejezetten rossz, ha csak az ellenőrzéstől való félelem közvetlen fenyegetésétől vezérelve végzik el a dolgozók a szükséges dokumentálási, szabályzási, technológiai vagy munkavédelmi kötelezettségeket. A tapasztalatok alapján éppen a jól működő vállalatok sajátja az, ha minden részletében, teljes mértékben áthatja a kontroll tudatos szemléletmód, amely a tervezés fázisától kezdve a fejlesztésen, az üzembe helyezésen és a működtetésen át, egészen az ellenőrzés fázisáig terjed és egyidejűleg a vállalati kultúra részévé válik. Az első fejezetben áttekintésre kerülnek azok az alapvető és az informatikai ellenőrökre nézve szinte kötelezően betartandó feladatok, amelyek elengedhetetlenek a magas színvonalon történő ellenőrzési program elkészítéséhez, az ellenőrzési folyamat menedzseléséhez. A fejezetben tárgyalt témákat, folyamatokat, tevékenységeket az adott Társaság szabályzataiban részletesen ki kell dolgozni. Mit értünk informatikai ellenőrző rendszer alatt? Az informatikai ellenőrző rendszer alatt nem egy adott célalkalmazást kell érteni, hanem az informatikairányítás működését felügyelő kontrollkörnyezet kiépítettségét és működését, amelybe beletartoznak mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok, eszközök, emberi erőforrások és szervezeti struktúrák, amelyek ezt lehetővé teszik. Itt említhetjük meg az informatikai fejlesztési szabályozási üzemeltetési, illetve az informatikai biztonsági területet is. Mely feladatokat célszerű elvégezni, ha jól szeretné kontrollálni az informatikát? Egy adott kontrolltevékenység szintjének meghatározására a mérés szolgál. A vezetésnek mérnie kell (a külső és belső szolgáltatási szint megállapodásokban meghatározott teljesítménymutatók, illetve kritikus sikertényezők alapján) a kulcsalkalmazások terén az informatikai részleg - 3 -

11 által nyújtott szolgáltatásokat és össze kell hasonlítania azokat a tervezett szintekkel, illetve az egyedi megállapodásokban rögzített értékekkel. Az informatikai részleg teljesítményét rendszeres jelleggel és folyamatosan értékelni kell. A vezetésnek rendszeres időközönként meg kell vizsgálnia, hogy a felhasználók milyen mértékben elégedettek az informatikai részleg szolgáltatásaival és azok hatékonyságával. Jelentéseket kell készíteni a vezetés számára a kitűzött szervezeti célok megvalósításának irányában történt előrelépések áttekintéséhez, és a kockázatok csökkentése érdekében végrehajtott lépések megítéléséhez. Figyelemmel kell kísérni azt, hogy a belső ellenőrzési eljárások eredményesen működnek-e a szervezet szokásos eljárásrendjén belül. Az áttekintések alapján meg kell tenni a szükséges vezetői intézkedéseket és lépéseket. A belső ellenőrzési eljárások akkor működnek eredményesen, ha a preventív kontrollok gyorsan felderítik a hibákat és ellentmondásokat, és a szervezet kijavítja azokat, még mielőtt befolyásolnák a rendszer üzemszerű működését, a szolgáltatásnyújtást, illetve konkrét kárt okoznának. A preventív kontrollok működőképessége és a munkatársak proaktivitása kulcsfontossággal bírnak. Gondoskodni kell az üzemeltetési biztonság és a belső ellenőrzés rendszeres felülvizsgálatáról, és ennek kapcsán önértékelés vagy független ellenőrzés formájában meg kell vizsgálni, hogy a biztonsági, valamint belső ellenőrzési eljárások a meghatározott, illetve alkalmazott biztonsági és belső ellenőrzési követelményeknek megfelelően működnek-e, vagy sem. A vezetésnek, saját felelősségi körében, fel kell tárnia a sebezhető pontokat és a biztonsági problémákat. A vezetésnek ki kell dolgoznia egy, az ellenőrzési területre vonatkozó szabályzatot, amelyben fel kell vázolni a feladatait, hatáskörét, beszámolási kötelezettségét és a számonkérhetőség módját. Ezen szabályzatot rendszeres időközönként felül kell vizsgálni és az aktualizáltságát fenn kell tartani. Az ellenőrnek függetlennek kell lennie a vizsgált részlegtől (tényleges és érzékelt függetlenség), hogy objektív ellenőrzést tudjon végezni. A kritikus fontosságú új informatikai szolgáltatások bevezetése előtt célszerű független szakértői értékelést szerezni az érintett rendszerek biztonsági és belső ellenőrzési eljárásaira vonatkozóan. A szolgáltatás bevezetését követően rendszeres időközönként meg kell ismételni a független auditot. Külső szolgáltatók szolgáltatásainak igénybe vétele (kiszervezés) előtt úgyszintén érdemes független szakértői vizsgálatot végezni az adott szolgáltató biztonsági és belső ellenőrzési eljárásaira vonatkozóan

12 A független szakértő lehet a szervezet belső ellenőre is, ha rendelkezik mindazokkal a szakmai, műszaki technikai ismeretekkel képességekkel tapasztalatokkal végzettséggel (CISA Certified Information Systems Auditor), amelyek az ilyen jellegű feladatok hatékony és eredményes ellátásához szükségesek Az informatikai ellenőrzés tervezése Hogyan tervezzünk? Minden alkotó folyamat első lépése a célok meghatározásával kezdődik. Az IT ellenőrzés célja egyértelműen az informatikában található kockázatok felismerése és csökkentése, a kontrollok kiépítésére vonatkozó intézkedések meghatározása, az IT működési és üzemi kockázatok feltérképezése, majd azok csökkentésére irányuló javaslatok meghozatala, valamint a kontrollok tudatos működtetési szemléletmód megteremtésében való közreműködése. A célok eléréséhez szükséges első lépés, a Tervezés. Az IT ellenőrzéseket, a többi ellenőrzéshez hasonlóan legalább egy évre előre ajánlott megtervezni. A legnehezebb feladat meghatározni azt, hogy mit, mikor és hogyan vizsgáljon az IT ellenőr. Mit vizsgáljunk? A vizsgálandó terület kiválasztásához legyen az rendszer, alkalmazás, IT folyamat, vagy egy adott kontroll funkció működése a legnagyobb segítséget az IT biztonsági kockázatelemzés (lásd a 2.1. fejezetet) és annak eredménye nyújt, amelyet legalább kétévente felül kell vizsgálni. Ahol ez nem áll rendelkezésre, ott az IT ellenőr számára nélkülözhetetlen adatok hiánya jelentősen megnehezít(het)i a tervezést. Az IT kockázatelemzés a következő fejezetekben még többször is említésre fog kerülni, de jelen esetben, mint elérhető és magas szintű dokumentum meglétét feltételezzük. A szakszerűen lefolytatott IT kockázatelemzésből megtudható, hogy az adott vizsgált területen (ha még nem volt vizsgálva) léteznek-e kockázatok és kontroll hiányosságok, illetve (ha már előzőleg is volt vizsgálva) milyen pozitív vagy negatív irányú változásokon ment keresztül az elmúlt időszakban, Meg kell tudni, hogy az egyes kockázati szintek hogyan, milyen irányban, illetve mekkora mértékben változtak. Abban az esetben, ha egy adott területen azonosított kockázati érték szemmel láthatóan esetleg különösebb magyarázat nélkül felfelé változott, akkor érdemes kiemelt figyelmet fordítanunk rá, és felvenni azt az éves vizsgálati tervbe

13 Vajon mi indukálta az adott terület kockázati szintjének változását? Milyen kontrollok hiánya vagy hatása befolyásolta ezen változást? A kérdések megválaszolása itt kulcsfontosságú lehet. Figyelemmel kell követni az elfogadott törvényi változásokat. Magyarországnak, az Európai Unióhoz való csatlakozásával törvényi szinten számos EU-s kötelezettségnek, direktívának kell megfelelnie. A pénzintézeti szektorban dolgozó IT ellenőröknek az ágazati törvényekben (Hpt., Tpt., Öpt., MNypt.) leírtaknak történő megfelelés vizsgálata jól megfogalmazható feladatokat határoz meg. Ezek mellett az olyan új szabályok, törvények megjelenése, mint például a Bázel2 (CRD) vagy MIFID az IT ellenőrök számára új kihívásokat és egyben megoldandó feladatokat ad. A tervezési szakaszban jól használhatóak az egyes, üzletileg kritikus rendszerekre vagy folyamatokra vonatkozó előre (nem) tervezett leállások, a BCM és a DRP események számosságát bemutató adatok. Az IT Help Desk-re érkező hívások okainak, a megoldott bejelentések és hibák arányának vizsgálatával szintén rendkívül hasznos információkhoz juthatunk a tervezési szakaszban. Az üzleti, számviteli és az IT témájú vizsgálatok együtt tervezése hasznos, hiszen tudhatjuk: Ma már az IT nélkül nincsen üzlet!. Az üzleti és az IT ellenőrzéseket végző auditorok között szoros és bilaterális kapcsolat kialakítása ajánlott. Mit tartalmazzon egy hosszabb távú IT vizsgálati terv? A koncepcionális elképzelések kialakítása az ellenőrzésben is fontos, ezért szükség van hosszú távú vizsgálati tervre, amelyből látszik, hogy a kevésbé kockázatos, de nem elhanyagolható területek is ellenőrzés alá kerülnek. A belső ellenőri terveket is a legfőbb kockázatokra koncentrálva, egy adott kockázatelemzési módszertan alapján, a főbb kockázatok beazonosításával és kockázati térkép kialakításával érdemes elkészíteni. Kockázati térképet (vagy más néven kockázati ábrát) lehet készíteni és azt követően folyamatosan aktualizálni a részletesen kidolgozott IT Stratégiára is, így ennek mentén készíthető el a hosszú távú vizsgálati terv is. A vizsgálati tervnek tartalmaznia kell minden olyan hosszútávra tervezett és a jövőben használandó IT fejlesztést (legyen az szoftver, hardver, IT folyamat, stb. fejlesztés), amely döntően befolyásolhatja az adott szervezet jövőbeni működését. A tervezés elkészítéséhez nélkülözhetetlen az IT vezetői elképzelések, a felhasználói igények és szokások valamint a lényegesebb informatikai trendek megismerése

14 A hosszú távú tervezés támogatására, belső ellenőröknek (is) ajánlott a COSO ERM Framework ( Vállalati kockázatkezelés keret rendszere ) valamint a 2. A kockázatok menedzselése fejezetben ismertetendő alapelvek figyelembe vétele és alkalmazása. Miért kell minden adott IT vizsgálatot részletesen megtervezni? A rövid időtartamú, de összességében hatékony vizsgálat lefolytatásához szükség van egy részletes vizsgálati terv -re. A vizsgálati tervben a vizsgálat fontosabb lépéseit, jelentősebb területeit, menetét kell szerepeltetni, amelyeknek összhangban kell lenni a vizsgálat tárgyával (audit scope). A részletes tervben szerepeltetni lehet az előre elkészített ellenőrzési kérdéssorokat (checklist) is. A hatékonyság érdekében az adott témára vonatkozóan érdemes a vizsgált terület által kérdőív formájában kitöltött kockázati önbevallást használni, amely az ellenőrzést a hiányos területekre irányítja, és így a későbbiekben a mélységi vizsgálatokat a kontrollhiányos pontokra fókuszálva lehet lefolytatni. Az IT rendszer vizsgálatok során, például a dokumentációs környezet (lásd. 6. fejezet), vagy a jogosultságmenedzsment feladatok (lásd. 7. fejezet) elsődleges vizsgálatára remekül használhatóak ezek a kérdéssorok. Fontos! A kérdéssorok nem helyettesíthetik a helyszíni ellenőrzést, így kizárólag a felkészülésben segítik a vizsgálatot végző személyt. A kérdéssorokra adott válaszok csupán tájékoztató jellegűek, így azokat követniük kell egy vagy több személyes megbeszélésnek is. A részletes terv mindig átláthatóvá teszi a vizsgálatot, támogatja az audit lefolytatását. Mikor vizsgáljunk? Ajánlott figyelembe venni az adott szervezeten belüli, elsősorban IT jellegű vagy IT érintettségű projektek tervezett kezdeti idejét és várható időtartamát. Nem kifizetődő olyan területet, rendszert stb. vizsgálni, amely egy projekt fókuszának markáns része, de egyben egy későbbi vizsgálatunk tárgya is. Előre (nem) tervezett külső vizsgálatot követően rögtön nem ajánlatos ugyanazon terület vizsgálata. A külső audit jelentésének elolvasásával, értelmezésével számos, a későbbiekben hasznos információkhoz juthatunk. Ha a vizsgálandó területen jelentős személyi változások történtek, esetleg a területen végzendő feladatokat újradefiniálták, akkor érdemes az adott területnek adni egy kis időt a feltöltődésre. A vizsgálati tervben a mindenki által elfogadott vizsgálatokat, azok várható időpontját érdemes előzetesen egyeztetni a vizsgált terület vezetőjével. Az audit, ezen ún. pozitív üzenete, amely a közreműködés egyik jele, a későbbiekben még kifizetődő is lehet

15 Hogyan vizsgáljunk? A nemzetközi audit szervezetek (pl. IIA, ISACA) által lefektetett elvek metódusok ajánlásai egyértelműen kategorizálják az ellenőrzések típusait és az auditok lefolytatásának követelményeit. Ezen követelmények megismerését és mélyebb elsajátítását az ISACA Magyarországi Tagszervezete (a továbbiakban ISACA-HU), saját rendezvényein és tanfolyamain keresztül támogatja / oktatja. A vizsgálat során törekedni kell az interjúk alatt elhangzottak maximális dokumentálására. Vitás esetek alkalmával perdöntőek lehetnek a dokumentumban szereplő bejegyzések, így ajánlott az emlékeztetők elfogadtatása a másik féllel is. A fokozatosság elvét követve ajánlatos egyre nehezebb és bonyolultabb vizsgálatokat tervezni, valami az ellenőrzés hatókörének (Audit Scope) meghatározását ezek szerint kialakítani Az informatikai ellenőrzés előkészítése Hogyan kezdjük az ellenőrzést? Egy-egy adott vizsgálatra minden esetben fel kell készülni. A vizsgálatra történő felkészülés más-más módon zajlik, akkor, hogy ha külső, vagy ha belső szakember fogja elvégezni, illetve különböző lehet, ha előre tervezett vagy ad-hoc vizsgálatot szándékozunk végezni. Minden esetben az adatgyűjtéssel kell kezdeni, az elérhető nyilvános, vagy hivatalosan beszerezhető (megküldött, vagy a hosszú távú terv elkészítésének időszakában már beszerzett) dokumentumok, információk feldolgozásával. Belső vizsgálat esetén a felkészülési szakaszban helyzeti előnyhöz juthatunk a belső működési folyamatok (erőviszonyok) ismeretével, amellyel természetszerűleg egy külső auditor nem, vagy nem olyan mértékben rendelkezik. A vizsgálat irányvonalát és kiterjedésének mélységét már itt célszerű legalább elvi szinten meghatározni. Mindenképpen meg kell határozni a vizsgálatra fordított időt és erőforrásokat, a bevonni szándékozott szakemberek számát stb. is. Ezek a döntések határozzák meg a Vizsgálati Program konkrét tartalmi összetevőit. Miért kell megbízólevél, és melyek a leglényegesebb tartalmi elemei? A Megbízó levél tulajdonképpen a vizsgálatra történő felhatalmazás, amelyben a vizsgálatvezető megkapja a szervezet felső vezetésétől és a Felügyelő Bizottságtól (ha van) az elvégzendő auditra vonatkozó megbízást. Tartalmaznia kell az ellenőrzésben résztvevő személyek nevét, beosztását (külső személyek esetén egyéb azonosítókat is), valamint az audit tárgyát és időtartamát. A megbízólevelet mindig meg kell küldeni a vizsgált területek vezetőinek

16 Gyakorlatilag ez az a dokumentum, amely felkéri (felszólítja) vizsgált területeket az IT ellenőrökkel történő együttműködésre, a szükséges vizsgálati anyagok átadására. Felhívjuk a figyelmet, hogy a belső ellenőröknek (beosztásukból és munkakörükből adódóan) a vizsgált területen, valamennyi dokumentumba, döntési dokumentációba, üzleti és személyes adatba és naplófájlba korlátlan betekintési joguk van! Mit tartalmazzon egy vizsgálati vagy ellenőrzési program? Ellenőrzési program tartalmazza a vizsgálat tárgyát és hatókörét ez lehet a vizsgálat egyik Achilles sarka, hiszen itt kell rögzíteni a vizsgálat során a vizsgált egységeket folyamatokat a rendszerek csoportosítását a rendszerek konkrét megnevezését stb. A megfelelő szinten kialakított ellenőrzési program mindenki számára egyértelműsíti a vizsgálat kereteit, mozgásterét, láthatóvá teszi annak célját. Fontos! A vizsgálatot végző ellenőrnek lehetősége van a vizsgálat során a hatókört (audit scope) kibővíteni / megváltoztatni, de ezen döntését minden esetben a vizsgálati jelentésben indokolnia kell, és a jelentésben megállapításokkal, adatokkal (dokumentumokkal) alá kell támasztania. Az ellenőrzési programot ajánlott jóváhagyás céljából a belső ellenőrzés vezetőjének és tájékoztatás céljából a vizsgált terület vezetőjének megküldeni Az informatikai ellenőrzés végrehajtása Hogyan vezessük le a vizsgálatot? Mivel az informatikai rendszerek vizsgálata leggyakrabban csak a helyszínen végezhető, ezért az informatikai ellenőrnek ott kell meggyőződnie az informatikai szolgáltatás helyzetéről és annak megfelelőségéről. A vizsgálat témájának megfelelően interjúkkal és a helyszínen beszerzett dokumentumokkal kell alátámasztania a megállapításait. A vizsgálat céljától függően át kell tekinteni a Szervezet releváns szabályzatait, nem elfeledve azt a külső környezetet (törvényi és egyéb szabályok), amelyben az adott Szervezet a tevékenységét végzi. Az informatikai ellenőrnek minden esetben az első lépése a vizsgált infromatikai rendszer megismerése (a lehető legrövidebb idő alatt). Az ehhez szükséges dokumentumokat vagy a vizsgálat előkészítésekor, vagy a vizsgálat kezdetén be kell szerzeni. A leglényegesebb dokumentumok a vizsgálat céljától függően változhatnak, de általában a következőkre mindig szükség van: - 9 -

17 A vizsgálat tárgyát képező IT rendszert alkotó infrastruktúra elemek (kiszolgálók, szerverek, hálózati és biztonsági eszközök, munkaállomások stb.) listája. Az IT architektúra ábra. Amely mutatja a hálózati kapcsolatokat és a felépítést. A rendszerek adatkapcsolati ábrája. Megmutatja, hogy az egyik rendszer hogyan és milyen módon ad át adatot egy másik rendszernek, és azok miként kapcsolódnak egymáshoz. A használt alkalmazások listája, másnéven a szoftver leltár. Itt nem a főkönyvi nyilvántartásról beszélünk, hanem az IT rendszereken futó alkalmazások listájáról. A vizsgált rendszerekről, a vizsgálat céljának eléréséhez szükséges dokumentumok (pl. biztonsági követelmények és beállítások, jogosultsági mátrixok, rendszer és a rendszeradminisztrálás szabályai, a változáskezelés módja és dokumentumai). A rendszer megismerését követően interjúkkal és a vizsgálat tárgyát képező tevékenységek gyakorlati végzése közben történő megfigyeléssel fel kell mérni, hogy az egyes informatikai feladatok elvégzése a gyakorlatban hogyan történik. Ekkor célszerű rákérdezni a szabályozás és a gyakorlati feladatvégzés közötti különbözőségek okaira, akadályaira. Amennyiben ezek a tények (problémák) az ellenőrzés megállapításai között szerepelnek (vagy későbbiekben szerepelni fognak), akkor azok dokumentálásra kiemelt figyelmet kell fordítani. Amennyiben nem tudjuk dokumentálni az adott problémát (a semmit, vagy a nem létező dolgokat valóban nehéz dokumentálni) célszerű egy közösen elkészített és elfogadott emlékeztetőben (nem jegyzőkönyv) rögzíteni a releváns adatokat (állapotot). A dokumentálásra vonatkozó javaslatokról a későbbiekben még részletesen is szó lesz (lásd a 6. fejeztet). Mit tartalmazzon a vizsgálati jelentés tervezet? Az IT vizsgálati jelentés tervezetben legyen egy vezetői összefoglaló, amely a vizsgálat által feltárt leglényegesebb problémákat súlyozottan és kockázatokkal kiegészítve írja le. Ez lehetőleg ne legyen több egy oldalnál, és ne legyen kiemelve 5-7 problémánál több. A jelentés fő része tartalmazza az adott vizsgálat: részletes eredményét, főbb megállapításait, az adott probléma hatását, vagy lehetséges hatását is, és az ellenőrök által javasolt intézkedéseket ezek egyeztetése a vizsgált területtel már a vizsgálat alatt is megtörténhet, függően a Társaságnál alkalmazott eljárástól

18 A jelentés elkészítésekor célszerű megvizsgálni a korábbi jelentések és javító intézkedések nyilvántartását (Follow Up), hogy az éppen megállapítani szándékozott probléma nem szerepel-e már egy korábbi jelentésben, mert akkor arra hivatkozva kell megállapítani azt, hogy az adott probléma kijavítása azóta miért nem történt meg. A jelentés tervezetet a vizsgálatot végző csoportnak el kell elfogadnia és ezt követően meg kell küldeni véleményezés céljából a vizsgált terület vezetőjének. Véleményezés során az érintett területeknek lehetőségük van véleményezni és megjegyzésekkel ellátni az adott jelentést. A véleményezési feladatra jutó időtartam az adott szervezettől függ (általában 8-10 munkanap). A véleményezési folyamat során még lehetőség van pontosítani a jelentésben foglaltakat, a pontatlanságokat és téves megállapításokat a visszajelzések alapján korrigálni kell, de ekkor már jelentős és döntő változtatások nem kerülhetnek a jelentésbe. Léteznek olyan jelentések, amelyek nem tartalmaznak javaslatokat (pl.: megfelelőségi vizsgálatok esetében), ezeknél a javító intézkedéseket külön dokumentumban (intézkedési terv) célszerű rögzíteni. Néhány esetben előfordulhat, hogy nincs olyan megállapítása egy vizsgálatnak, amely további intézkedést igényel, ekkor ezt a megállapításban (comment) ajánlatos rögzíteni. Hogyan zárjuk le és véglegesítsük a jelentést? A vizsgálati jelentés megtárgyalása, és lezárása során az adott Szervezet felső vezetése és / vagy Felügyelő Bizottsága, az érintett területek vezetői, valamint a vizsgálatot végző csoporttal közösen értékelik a vizsgálati jelentésben foglaltakat. Javasolt minden kifogást, pontosítást, ezen a megbeszélésen megtárgyalni. A tárgyalást követően dokumentálni kell a végső döntést, és ezzel a dokumentációval együtt lehet csak lezártnak tekinteni a vizsgálatot. Fontos, hogy minden megállapítás és intézkedés esetében konkrét döntés szülessen (a feladat, felelős, határidő pontos meghatározása, vagy az adott probléma felvállalásával történő további működés). Ha nem lehet konkrét döntést hozni, akkor feladat, felelős, határidő kijelölésével kell gondoskodni a döntéshez szükséges további adatok beszerzéséről. A jelentés lezárási folyamatának lépései az adott szervezet belső hierarchiájától és tulajdonosi felépítésétől függően kissé módosulhat, de jelentős eltérés nem ajánlott. Mit ellenőrizzünk a vizsgálati jelentésben? Mivel az IT ellenőrök sem tévedhetetlenek, érdemes az elkészült vizsgálati jelentés minőségbiztosításáról gondoskodni

19 A kész vizsgálati jelentés minőségbiztosítására érdemes az ellenőrzési szervezet létszámától függően a vizsgálatban nem résztvevő munkatársnak átadni, aki az alábbi szempontokat ellenőrzi le: a jelentés teljesíti-e a belső ellenőri szabályzatban megkövetelt formai szempontokat (fedőlap, aláírások, összefoglaló, megállapítások, javaslatok, határidők, felelősök stb.), az ellenőrzések esetén szükséges dokumentációk csatolva vannak-e (kiértesítő levél, megbízó levél, a megállapításokat alátámasztó dokumentumok stb.) nyelvtanilag megfelelő-e (a szóhasználat egységes, nincs túl sok helyesírási hiba, a nevek helyesek, illetve aktualizáltak-e stb.) vannak-e félreérthető vagy kategórikus megállapítások (nincs, nem létezik stb.) a megállapítások megfelelően csoportosítottak-e (összhangban a vizsgálati programmal), illetve konzisztensek-e (nincsenek egymásnak ellentmondó megállapítások) a prioritások megfelelők-e (a főbb megállapítások kiemelésre kerülteke, helytállóak-e, tartozik-e hozzájuk javaslat, a javaslatok összhangban vannak-e a megállapításokkal stb.) 1.4. Az IT ellenőrzések nyomon követése Milyen feladatok vannak egy ellenőrzés után? Amennyiben a vizsgálatnak nem volt olyan megállapítása, amely valamilyen javító intézkedést írt volna elő, akkor nincs további teendő. Azonban az esetek többségében a megállapításokban rögzített hibák, problémák kijavítására intézkedések kerülnek előírásra, amelyek végrehajtását is a vizsgálatot végzőknek (vagy az adott társaság belső ellenőrzésének) kell ellenőrizni. Mivel általában több vizsgálat történik egy év alatt, főleg egy nagyobb társaságnál és a vizsgálatoknak egyenként is több megállapítása szokott lenni, így a konkrét javító intézkedések fejben történő nyomon követése, végrehajtásuk megítélése nem megoldás. A megállapításokat és az elfogadott javító intézkedéseket célszerű egy informatikai rendszerrel támogatott nyilvántartásban vezetni (ha mást nem egy excel táblában), mert így elkerülhető, hogy egy le nem járt határidejű javító intézkedés miatt fennálló problémát ismételjünk, másrészt nem vész el egy intézkedési előírás, amelyet a Társaság vezetése feladatként előírt. Az intézkedések végrehajtásának ellenőrzésére több módszer használható, ezek között két alapvető különbség van, vagy beszámol az intézkedésre kötelezett az intézkedés elvégzéséről, majd ezt értékelik, vagy helyszíni utóvizsgálat keretében vizsgálják meg az intézkedések megfelelő végrehajtását

20 Az IT ellenőrnek kötelessége az elhangzott információk hitelességét ellenőrizni, majd az eredményeket az eredeti intézkedéssel megfeleltetni. Ezen ellenőrzési tevékenységet minden esetben végre kell hajtani! Abban az esetben, ha az intézkedések a megadott határidőn túl sem teljesülnek úgy azokat össze kell gyűjteni egy utóellenőrzési (Follow Up) jelentésben, és azokat be kell mutatni az adott Társaság felső vezetésének és / vagy Felügyelő Bizottságának. Az utóellenőrzési jelentés formájában és tartalmában különbözik normál jelentésektől, kizárólag a korábbi javaslatok és intézkedések teljesülését vizsgálja. Az ellenőrzések informatikai támogatására használt alkalmazással szemben milyen követelményeket támasszunk? Az IT, de valamennyi vizsgálati jelentés menedzselése során biztosítani kell a teljes ellenőrzési folyamat hitelességét és az utólagos nyomon követhetőséget (a megbízólevél elkészítésétől kezdődően, a vizsgálati jelentés lezárásán keresztül, az intézkedések státusz változásainak időpontjain és megfelelőségük vizsgálatán át a teljes lezárásig). Minden vizsgálat, de különösen az IT vizsgálati jelentés szigorúan bizalmas jellege miatt, az ellenőrzési folyamatokat, ellenőri jelentések életútját és egyeztetési, valamint jóváhagyási lépéseit támogató informatikai alkalmazásnak meg kell felelnie az alábbi feltételeknek: Életciklus követése, amely az adott folyamat, illetve dokumentum létrehozásától az utolsó hozzáférésig rögzíti a legfontosabb lényegi információkat. A döntési és jóváhagyási pontokat minden esetben rögzíteni kell. Hozzáférés kezelés, amely biztosítja, az ellenőri jelentésekhez való hozzáférés kellő részletezettségét, és kizárólag a megfelelő csoportszintű hozzáférések használatát. Sérthetetlenség, amely biztosítja, hogy a lezárt jelentések, a vezetői vélemények, és jóváhagyások tartalmán utólagosan ne lehessen módosítani. A kockázatok menedzselése Miért van szükség kockázatmenedzsmentre? Az emberek alapvető szükséglete a biztonságra való törekvés. Amikor valaki azt mondja az életrajzában vagy a felvételi interjúk során, hogy szeretem a kihívásokat, feltételezhetően akkor sem mérlegelés vagy felkészülés nélkül ugrik neki a feladatoknak. Mindenki minél biztosabban szeretné tudni, hogy mire számíthat egy-egy újabb feladat vagy újabb vállalkozás előtt. Így van ez az élet minden területén

E L Ő T E R J E S Z T É S

E L Ő T E R J E S Z T É S E L Ő T E R J E S Z T É S Zirc Városi Önkormányzat Képviselő-testülete 2005. december 19-i ülésére Tárgy: Zirc Városi Önkormányzat 2006. évi belső ellenőrzési tervének kockázatelemzése Előterjesztés tartalma:

Részletesebben

CÉLOK ÉS ELŐIRÁNYZATOK, KÖRNYEZETKÖZPONTÚ IRÁNYÍTÁSI ÉS MEB PROGRAMOK

CÉLOK ÉS ELŐIRÁNYZATOK, KÖRNYEZETKÖZPONTÚ IRÁNYÍTÁSI ÉS MEB PROGRAMOK 1/6 oldal Tartalomjegyzék: 1/ Célmeghatározás 2/ Területi érvényesség 3/ Fogalom meghatározások 4/ Eljárás 5/ Kapcsolódó dokumentációk jegyzéke 6/ Dokumentálás Készítette: Szigeti Edit Jóváhagyta: Bálint

Részletesebben

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon Szabó Katalin Csilla felügyelő Tőkepiaci felügyeleti főosztály Tőkepiaci és piacfelügyeleti igazgatóság 2015. november 27. 1 A

Részletesebben

Informatikai prevalidációs módszertan

Informatikai prevalidációs módszertan Informatikai prevalidációs módszertan Zsakó Enikő, CISA főosztályvezető PSZÁF IT szakmai nap 2007. január 18. Bankinformatika Ellenőrzési Főosztály Tartalom CRD előírások banki megvalósítása Belső ellenőrzés

Részletesebben

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Biztonsági osztályba és szintbe sorolás, IBF feladatköre Biztonsági osztályba és szintbe sorolás, IBF feladatköre Angyal Adrián vezető szakértő 2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról IBTv. vagy 50-es törvény

Részletesebben

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában Előadó: Ivanyos János Trusted Business Partners Kft. ügyvezetője Magyar Közgazdasági Társaság Felelős Vállalatirányítás szakosztályának

Részletesebben

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA Tartalomjegyzék 1 BEVEZETÉS... 3 1.1 Az Informatikai Biztonsági Politika célja... 3 1.1.1 Az információ biztonság keret rendszere... 3 1.1.2

Részletesebben

2015-2018. Község Önkormányzata

2015-2018. Község Önkormányzata Ikt.szám:../2015 BELSŐ ELLENŐRZÉSI STRATÉGIAI TERV 2015-2018. Község Önkormányzata A belső ellenőrzési feladat végrehajtására különböző szintű előírások vonatkoznak. Törvényi szinten az Államháztartási

Részletesebben

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4.

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. változások célja Előadás tartalma megváltozott fogalmak, filozófia mit jelentenek

Részletesebben

IT üzemeltetés és IT biztonság a Takarékbankban

IT üzemeltetés és IT biztonság a Takarékbankban IT üzemeltetés és IT biztonság a Takarékbankban Előadó: Rabatin József Üzleti stratégia igények Cél? IT és IT biztonsági stratégia Mit? Felmérés, Feladatok, Felelősség Minőségbiztosítás Mennyiért? Hogyan?

Részletesebben

DOMBÓVÁR VÁROS POLGÁRMESTERI HIVATALA

DOMBÓVÁR VÁROS POLGÁRMESTERI HIVATALA DOMBÓVÁR VÁROS POLGÁRMESTERI HIVATALA ME-04 BELSŐ AUDIT Átdolgozta és aktualizálta:... Tigerné Schuller Piroska minőségirányítási vezető Jóváhagyta és a bevezetést elrendelte:... Dr. Gábor Ferenc Jegyző

Részletesebben

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal. Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.hu. 1 Tartalom 1. BEVEZETŐ... 3 1.1 Architektúra (terv) felülvizsgálat...

Részletesebben

8/2011. sz. Szabályzat FOLYAMATBA ÉPÍTETT ELŐZETES ÉS UTÓLAGOS VEZETŐI ELLENŐRZÉS RENDSZERE

8/2011. sz. Szabályzat FOLYAMATBA ÉPÍTETT ELŐZETES ÉS UTÓLAGOS VEZETŐI ELLENŐRZÉS RENDSZERE 8/2011. sz. Szabályzat FOLYAMATBA ÉPÍTETT ELŐZETES ÉS UTÓLAGOS VEZETŐI ELLENŐRZÉS RENDSZERE A Csákvár Nagyközség Polgármesteri Hivatala Folyamatba épített, előzetes és utólagos vezetői ellenőrzés rendszerét

Részletesebben

III. 3. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap)

III. 3. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap) A Balaton-felvidéki Nemzeti Park Igazgatóság 0. évi integritásjelentése III.. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap) Az integritás menedzsment táblázat

Részletesebben

Jogalkotási előzmények

Jogalkotási előzmények Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény jogalkotási tapasztalatai és a tervezett felülvizsgálat főbb irányai Dr. Bodó Attila Pál főosztályvezető-helyettes

Részletesebben

Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének 2014. december 15-én megtartott ülésének jegyzőkönyvéből

Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének 2014. december 15-én megtartott ülésének jegyzőkönyvéből Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének 2014. december 15-én megtartott ülésének jegyzőkönyvéből Bocskaikert Községi Önkormányzat Képviselő-testületének 131/2014. (XII.15.) KT.

Részletesebben

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője 1 Az előadás témái Emlékeztetőül: összefoglaló a változásokról Alkalmazási

Részletesebben

Javaslat a Heves Megyei Önkormányzat és intézményei 2016. évi Ellenőrzési Tervére

Javaslat a Heves Megyei Önkormányzat és intézményei 2016. évi Ellenőrzési Tervére Ikt.sz: 13-14/2015/221 Heves Megyei Közgyűlés Helyben Tisztelt Közgyűlés! Javaslat a Heves Megyei Önkormányzat és intézményei 2016. évi Ellenőrzési Tervére A Heves Megyei Közgyűlés 2015. évi munkatervének

Részletesebben

Belső Ellenőrzési Alapszabály

Belső Ellenőrzési Alapszabály Belső Ellenőrzési Alapszabály Az Ecomore Befektetési és Tanácsadó Kft. ügyvezetőjének utasítása a belső ellenőrzési rendszer szabályozásáról Az Ecomore Kft ellenőrzési funkciói a belső ellenőrzési rendszer

Részletesebben

Kunfehértó Község Polgármesteri Hivatal Címzetes Főjegyzőjétől. a 2016. évi ellenőrzési munkaterv elfogadása tárgyában

Kunfehértó Község Polgármesteri Hivatal Címzetes Főjegyzőjétől. a 2016. évi ellenőrzési munkaterv elfogadása tárgyában Kunfehértó Község Polgármesteri Hivatal Címzetes Főjegyzőjétől E l ő t e r j e s z t é s a 2016. évi ellenőrzési munkaterv elfogadása tárgyában (Képviselő-testület 2015.október 21-i ülésére) A 2016. évre

Részletesebben

Tisztelt Képviselő-testület!

Tisztelt Képviselő-testület! Tisztelt Képviselő-testület! A képviselő testület a 183/2013. (XI.28.) Kt. határozatával hagyta jóvá a 2014. évi belső ellenőrzési tervet. Az ellenőrzési terv elfogadásakor az előterjesztésben jeleztük,

Részletesebben

KOCKÁZATKEZELÉSI SZABÁLYZAT

KOCKÁZATKEZELÉSI SZABÁLYZAT A Bács-Kiskun megyei Önkormányzat Hivatala Szervezeti és Működési Szabályzatának számú melléklete Bács-Kiskun Megyei Önkormányzat Hivatala KOCKÁZATKEZELÉSI SZABÁLYZAT 2013.01.01. TARTALOMJEGYZÉK I. Általános

Részletesebben

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Rendszerszemlélet let az informáci cióbiztonsági rendszer bevezetésekor Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Informáci cióbiztonsági irány nyítási rendszer (IBIR) részeir Információs vagyon fenyegetettségeinek

Részletesebben

ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK DECEMBER 10-I ÜLÉSÉRE

ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK DECEMBER 10-I ÜLÉSÉRE ALSÓZSOLCA VÁROS ÖNKORMÁNYZAT POLGÁRMESTERÉTŐL 3571 Alsózsolca, Kossuth L. út 138. Tel: 46/520-020 ; Fax: 46/520-021 polgarmester@alsozsolca.hu www.alsozsolca.hu ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK

Részletesebben

XXIII. MAGYAR MINŐSÉG HÉT

XXIII. MAGYAR MINŐSÉG HÉT XXIII. MAGYAR MINŐSÉG HÉT MŰHELYMUNKA MINŐSÉGIRÁNYÍTÁSI RENDSZEREK ÁTALAKÍTÁSA AZ ISO 9001:2015 SZERINT GYAKORLATI FOGÁSOK. TOHL ANDRÁS TECHNIKAI VEZETŐ SGS HUNGÁRIA KFT. NAPIREND Bevezetés, problémák,

Részletesebben

E L Ő T E R J E S Z T É S. Lajosmizse Város Önkormányzata Képviselő-testületének 2015. december 17-i ülésére

E L Ő T E R J E S Z T É S. Lajosmizse Város Önkormányzata Képviselő-testületének 2015. december 17-i ülésére 6. E L Ő T E R J E S Z T É S Lajosmizse Város Önkormányzata Képviselő-testületének 2015. december 17-i ülésére Tárgy: Az önkormányzat 2016. évi belső i tervének jóváhagyása Az előterjesztést készítette:

Részletesebben

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet Konfiguráció menedzsment bevezetési tapasztalatok Vinczellér Gábor AAM Technologies Kft. Tartalom 2 Bevezetés Tipikus konfigurációs adatbázis kialakítási projekt Adatbázis szerkezet Adatbázis feltöltés

Részletesebben

Tisztelettel köszöntöm a RITEK Zrt. Regionális Információtechnológiai Központ bemutatóján. www.ritek.hu

Tisztelettel köszöntöm a RITEK Zrt. Regionális Információtechnológiai Központ bemutatóján. www.ritek.hu Tisztelettel köszöntöm a RITEK Zrt. Regionális Információtechnológiai Központ bemutatóján. www.ritek.hu BEVEZETŐ az ASP-szolgáltatásról Az ASP-szolgáltatás (Application Service Providing) előnyei A megrendelő

Részletesebben

Határidő: azonnal Felelős: polgármester

Határidő: azonnal Felelős: polgármester ÚJFEHÉRTÓI POLGÁRMESTERI HIVATAL 4244 Újfehértó, Szent István út 10. Tel.:(42) 290 000 Fax: (42) 290 003 E-mail: polghiv@ujfeherto.hu Web: www.ujfeherto.hu K i v o n a t Újfehértó Város Önkormányzata Képviselő-testületének

Részletesebben

Nemzetközi elvárások a belső ellenőrzés területén IAIS ICP

Nemzetközi elvárások a belső ellenőrzés területén IAIS ICP Nemzetközi elvárások a belső ellenőrzés területén IAIS ICP Butyka Edit Biztosításfelügyeleti főosztály 2005. május 24. IAIS (International Association of Insurance Supervisors) 1994-ben alapították, 180

Részletesebben

E l ő t e r j e s z t é s A Képviselő-testület 2014. július 8-án tartandó ülésére.

E l ő t e r j e s z t é s A Képviselő-testület 2014. július 8-án tartandó ülésére. Izsák Város Címzetes Főjegyzőjétől. E l ő t e r j e s z t é s A Képviselő-testület 2014. július 8-án tartandó ülésére. Tárgy: Az Izsáki Polgármesteri Hivatal Szervezeti és Működési Szabályzatának módosítása.

Részletesebben

A teljeskörű önértékelés célja

A teljeskörű önértékelés célja 1. Számú Általános Iskola 2440 Százhalombatta, Damjanich út 24. Levélcím: 2440 Százhalombatta, Pf.:23. Telefon/fax:23/354-192, 23/359-845 E-mail: egyesisk@freemail.hu TELJESKÖRŰ INTÉZMÉNYI ÖNÉRTÉKELÉS

Részletesebben

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt 2013. május 30.

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt 2013. május 30. A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt 2013. május 30. aegon.com Védelmi vonalak Kockázat 1. védelmi vonal Mindenki (Aktuáriusok) 2. védelmi vonal Kockázatkezelés, Compliance 3.

Részletesebben

Információbiztonság irányítása

Információbiztonság irányítása Információbiztonság irányítása Felső vezetői felelősség MKT szakosztályi előadás 2013.02.22 BGF Horváth Gergely Krisztián, CISA CISM gerhorvath@gmail.com Találós kérdés! Miért van fék az autókon? Biztonság

Részletesebben

Üzletmenet folytonosság menedzsment [BCM]

Üzletmenet folytonosság menedzsment [BCM] Üzletmenet folytonosság menedzsment [BCM] Üzletmenet folytonosság menedzsment Megfelelőség, kényszer? Felügyeleti előírások Belső előírások Külföldi tulajdonos előírásai Szabványok, sztenderdek, stb Tudatos

Részletesebben

2014 ÉV HAJDÚHADHÁZ VÁROS ÖNKORMÁNYZATA ÉS INTÉZMÉNYEI, POLGÁRMESTERI HIVATALA

2014 ÉV HAJDÚHADHÁZ VÁROS ÖNKORMÁNYZATA ÉS INTÉZMÉNYEI, POLGÁRMESTERI HIVATALA 248/2013.(XII.19.)HÖ. sz. határozattal jóváhagyott 2014. ÉVES BELSŐ ELLENŐRZÉSI TERV A 370/2011. (XII. 31.) kormány rendelet 29.-32. -ai szerint előírt éves ellenőrzési tervet a költségvetési szerveknek

Részletesebben

DOROG VÁROS POLGÁRMESTERE 2510 DOROG BÉCSI ÚT 71. 2511 DOROG PF.:43. TF.: 06 33 431 299 FAX.: 06 33 431 377 E-MAIL : PMESTER@DOROG.

DOROG VÁROS POLGÁRMESTERE 2510 DOROG BÉCSI ÚT 71. 2511 DOROG PF.:43. TF.: 06 33 431 299 FAX.: 06 33 431 377 E-MAIL : PMESTER@DOROG. DOROG VÁROS POLGÁRMESTERE 2510 DOROG BÉCSI ÚT 71. 2511 DOROG PF.:43. TF.: 06 33 431 299 FAX.: 06 33 431 377 E-MAIL : PMESTER@DOROG.HU E l ő t e r j e s z t é s a Képviselő-testület 2008. március 28-i ülésére

Részletesebben

Az előadási anyagot összeállította: dr. Váró György

Az előadási anyagot összeállította: dr. Váró György Az előadási anyagot összeállította: dr. Váró György A VCA/SCC biztonsági, egészség- és környezetvédelmi ellenőrző listája a beszállítók és alvállalkozók SHE (safety, health, environment) értékelési és

Részletesebben

Belső ellenőri ütemterv 2014. évre Tervezet

Belső ellenőri ütemterv 2014. évre Tervezet Belső ellenőri ütemterv 014. évre Tervezet 013. november 04. Sába-000 Kft 4031 Debrecen Trombitás utca 11 Ellenőrzési stratégia 014 Az Áht. alapján a belső ellenőrzés a jogszabályoknak és belső szabályoknak

Részletesebben

ELŐTERJESZTÉS. Újhartyán Község Önkormányzata Képviselő-testületének. 2012. november 27-i ülésére. 5. napirendhez. Tóth Antal Pénzügyi biz.

ELŐTERJESZTÉS. Újhartyán Község Önkormányzata Képviselő-testületének. 2012. november 27-i ülésére. 5. napirendhez. Tóth Antal Pénzügyi biz. ELŐTERJESZTÉS Újhartyán Község Önkormányzata Képviselő-testületének 2012. november 27-i ülésére 5. napirendhez Tárgy: Előterjesztő: Előkészítő: Szavazás módja: 2013. évi belső ellenőrzés i terv jóváhagyása

Részletesebben

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?) Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?) Év indító IT szakmai nap - PSZÁF Budapest, 2007.01.18 Honnan indultunk? - Architektúra EBH IT

Részletesebben

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

Kockázatok az új minőségirányítási rendszerszabvány tervezetében Kockázatok az új minőségirányítási rendszerszabvány tervezetében Dr. Horváth Zsolt 2014 A kockázat az új ISO 9001-ben MSZ/T ISO/DIS 9001:2014 (ISO/DIS 9001:2014): Bevezetés 05. Kockázatalapú gondolkodás

Részletesebben

7/2011. sz. Szabályzat CSÁKVÁR NAGYKÖZSÉG POLGÁRMESTERI HIVATAL KOCKÁZATKEZELÉSI SZABÁLYZAT

7/2011. sz. Szabályzat CSÁKVÁR NAGYKÖZSÉG POLGÁRMESTERI HIVATAL KOCKÁZATKEZELÉSI SZABÁLYZAT 7/2011. sz. Szabályzat CSÁKVÁR NAGYKÖZSÉG POLGÁRMESTERI HIVATAL KOCKÁZATKEZELÉSI SZABÁLYZAT Az államháztartás működési rendjéről szóló - többször módosított - 292/2009. (XII. 19.) Korm. rendelet 157..

Részletesebben

A könyvvizsgálat színvonalának növelése a minőségellenőrzésen keresztül

A könyvvizsgálat színvonalának növelése a minőségellenőrzésen keresztül XXIII. Országos Könyvvizsgálói Konferencia Visegrád 2015. Szeptember 4-5. A könyvvizsgálat színvonalának növelése a minőségellenőrzésen keresztül Szabó Zsuzsanna & Mádi-Szabó Zoltán Minőségellenőrzési

Részletesebben

Üzletmenet folytonosság menedzsment (BCM) és vizsgálata. Kövesdi Attila

Üzletmenet folytonosság menedzsment (BCM) és vizsgálata. Kövesdi Attila Üzletmenet folytonosság menedzsment (BCM) és vizsgálata Kövesdi Attila Miről lesz szó? Fogalma Miért van szükség BCM-re, BCP készítésre? Történelem Szerepkörök Szabályozás BCM tevékenység Előkészítés Kidolgozás

Részletesebben

IT biztonsági törvény hatása

IT biztonsági törvény hatása IT biztonsági törvény hatása IT biztonság a modern államigazgatás szolgálatában Tim Zoltán CISA, CISM, CRISC, CCSK, IPMA B Budapest, 2014. Október 16. 1 Informatikai biztonság jogszabályai Today 1 2 3

Részletesebben

A minőségbiztosítás folyamata, szereplők

A minőségbiztosítás folyamata, szereplők 7. A minőségbiztosítás folyamata, szereplők 7.1 A minőségbiztosítás bevezetésének folyamata A bevezetés első lépése és feltétele a vezetők egyöntetű és egyértelmű szándékának és elkötelezettségének kialakítása.

Részletesebben

Mátészalka Város Polgármesteri Hivatal Szervezetfejlesztése /ÁROP-1.A.2/A-2008-0084. sz./

Mátészalka Város Polgármesteri Hivatal Szervezetfejlesztése /ÁROP-1.A.2/A-2008-0084. sz./ Mátészalka Város Polgármesteri Hivatal Szervezetfejlesztése /ÁROP-1.A.2/A-2008-0084. sz./ Kivonat a Corporate Values Szervezetfejlesztési és Vezetési Tanácsadó Kft. Stratégiai műhelymunkáról szóló visszajelző

Részletesebben

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt Klinikai kockázatelemzésre épülő folyamatfejlesztés Katonai Zsolt A szabvány alapú MIR logikája mérhető célok meghatározása folyamatok azonosítása kölcsönhatások elemzése a kívánt eredmény elérése és kockázatok

Részletesebben

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos 2013. évi L. törvény Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában

Részletesebben

Dr. Zoboky Péter Zöldgazdaság Fejlesztési Főosztály

Dr. Zoboky Péter Zöldgazdaság Fejlesztési Főosztály A nagyvállalatok energetikai audit kötelezettsége Dr. Zoboky Péter Zöldgazdaság Fejlesztési Főosztály Az EU energiahatékonysági szabályozása 1. 2. 3. 2010/30/EU irányelv az energia címkézésről 2010/31/EU

Részletesebben

A 9001:2015 a kockázatközpontú megközelítést követi

A 9001:2015 a kockázatközpontú megközelítést követi A 9001:2015 a kockázatközpontú megközelítést követi Tartalom n Kockázat vs. megelőzés n A kockázat fogalma n Hol található a kockázat az új szabványban? n Kritikus megjegyzések n Körlevél n Megvalósítás

Részletesebben

Munkavédelmi felügyelői útmutató

Munkavédelmi felügyelői útmutató Psychosocial Risk Assessments Munkavédelmi felügyelői útmutató The Committee of Senior Labour Inspectors (SLIC) www.av.se/slic2012 With support from the European Union Az ellenőrzés előtt A következő szektorokban

Részletesebben

AZ ELLENŐRZÉSI NYOMVONAL

AZ ELLENŐRZÉSI NYOMVONAL AZ ELLENŐRZÉSI NYOMVONAL 1. Az ellenőrzési nyomvonal fogalma Az Ámr. rendelkezése szerint az ellenőrzési nyomvonal A Polgármesteri Hivatal tervezési, pénzügyi lebonyolítási folyamatainak, valamint ellenőrzési

Részletesebben

Információ menedzsment

Információ menedzsment Információ menedzsment Szendrői Etelka Rendszer- és Szoftvertechnológiai Tanszék szendroi@witch.pmmf.hu Infrastruktúra-menedzsment Informatikai szolgáltatások menedzsmentje Konfigurációkezelés Gyorssegélyszolgálat

Részletesebben

E L Ő T E R J E S Z T É S. Kerekegyháza Városi Önkormányzat Képviselő-testületének 2015. november 25-i rendes ülésére

E L Ő T E R J E S Z T É S. Kerekegyháza Városi Önkormányzat Képviselő-testületének 2015. november 25-i rendes ülésére Ikt.szám: 5254-12015. E L Ő T E R J E S Z T É S Kerekegyháza Városi Önkormányzat Képviselő-testületének 2015. november 25-i rendes ülésére Tárgy: Belső-ellenőrzési terv elfogadása 2016. évre Előterjesztő:

Részletesebben

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI A Nemzeti Elektronikus Információbiztonsági Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus

Részletesebben

ITIL alapú folyamat optimalizációs tapasztalatok

ITIL alapú folyamat optimalizációs tapasztalatok ITIL alapú folyamat optimalizációs tapasztalatok Berky Szabolcs vezető tanácsadó szabolcs.berky@stratis.hu A Stratisról dióhéjban 1998 2008: 10 éve vagyunk a tanácsadási piacon Független, tisztán magyar

Részletesebben

Minőségtanúsítás a gyártási folyamatban

Minőségtanúsítás a gyártási folyamatban Minőségtanúsítás a gyártási folyamatban Minőség fogalma (ISO 9000:2000 szabvány szerint): A minőség annak mértéke, hogy mennyire teljesíti a saját jellemzők egy csoportja a követelményeket". 1. Fogalom

Részletesebben

MINTA Kereskedelmi és Szolgáltató Kft. FELMÉRÉS EREDMÉNYE

MINTA Kereskedelmi és Szolgáltató Kft. FELMÉRÉS EREDMÉNYE MINTA Kereskedelmi és Szolgáltató Kft. FELMÉRÉS EREDMÉNYE Jelen dokumentációban található bizalmas és szerzői jog által védett információk védelmében az anyag harmadik személy részére történő akár közvetlen

Részletesebben

E L Ő T E R J E S Z T É S

E L Ő T E R J E S Z T É S E L Ő T E R J E S Z T É S Formázott: Portugál (brazíliai) Zirc Városi Önkormányzat Képviselő-testülete 2008. október 27-i ülésére Formázott: Portugál (brazíliai) Tárgy: Zirc Városi Önkormányzat 2009. évi

Részletesebben

KÖRNYEZETVÉDELMI ÉS VÍZÜGYI MINISZTÉRIUM 2010. ÉVI BELSŐ ELLENŐRZÉSI TERVE

KÖRNYEZETVÉDELMI ÉS VÍZÜGYI MINISZTÉRIUM 2010. ÉVI BELSŐ ELLENŐRZÉSI TERVE KÖRNYEZETVÉDELMI ÉS VÍZÜGYI MINISZTÉRIUM ÉVI BELSŐ ELLENŐRZÉSI TERVE A Környezetvédelmi és Vízügyi Minisztérium évi belső i terve a költségvetési szervek belső éről szóló 193/2003. (XI. 26.) Kormányrendelet

Részletesebben

Védelmi Vonalak - Compliance

Védelmi Vonalak - Compliance Dr. Wieland Zsolt igazgató Compliance Igazgatóság Védelmi Vonalak - Compliance 2013. Február 14. Tartalom 1 2 3 4 1 2 3 4 Védelmi vonalak Compliance az mi? Compliance feladatok Gyakorlatban 1 Belső védelmi

Részletesebben

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT 77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő

Részletesebben

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel TÁMOP-6.2.5.A-12/1-2012-0001 Egységes külső felülvizsgálati rendszer kialakítása a járó- és fekvőbeteg szakellátásban, valamint a gyógyszertári ellátásban Az akkreditáció és a klinikai audit kapcsolata

Részletesebben

E L Ő T E R J E S Z T É S

E L Ő T E R J E S Z T É S E L Ő T E R J E S Z T É S Dunavecse Önkormányzat 2009. október 28-i ülésére Tárgy: Az Önkormányzat 2010. évi ellenőrzési terve Az Önkormányzat éves ellenőrzési terv készítési kötelezettségét több jogszabály

Részletesebben

Biztosítók belső ellenőrzése

Biztosítók belső ellenőrzése Biztosítók belső ellenőrzése dr. Juhász Istvánné ügyvezető igazgató dátum 1. A Biztosítási és Pénztári Felügyeleti Igazgatóság tevékenységének elvei A pénztári és biztosítási szektor zavartalan működésének

Részletesebben

A HACCP rendszer bevezetésének célja

A HACCP rendszer bevezetésének célja HACCP 4.tétel HACCP Lényege: - Nemzetközileg elfogadott módszer arra, hogy lehetséges veszélyeket azonosítsunk, értékeljünk, kezeljük a biztonságos élelmiszerek forgalmazása érdekében, - valamint rendszer

Részletesebben

SAJÓ-BÓDVA VÖLGYE ÉS KÖRNYÉKE Hulladékkezelési Önkormányzati Társulás

SAJÓ-BÓDVA VÖLGYE ÉS KÖRNYÉKE Hulladékkezelési Önkormányzati Társulás SAJÓ-BÓDVA VÖLGYE ÉS KÖRNYÉKE Hulladékkezelési Önkormányzati Társulás 2014-2018. ÉVEK IDŐSZAKÁRA SZÓLÓ BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVÉHEZ SZÜKSÉGES KOCKÁZATELEMZÉS A költségvetési szervek belső kontrollrendszeréről

Részletesebben

UL Tanúsítási Kézikönyv - ULKK / MRSZ - Motoros Könnyűrepülő Sport Szövetség

UL Tanúsítási Kézikönyv - ULKK / MRSZ - Motoros Könnyűrepülő Sport Szövetség A.4. Felelősségek az MRSZ - Motoros Könnyű repülő Sport Szövetség MKSSZ Légi alkalmasság Tanúsítás folyamatában: A.4.1. Felelősségek a SES A1 és az UL A2 területek Légi alkalmasság felülvizsgáló folyamatában:

Részletesebben

Települési ÉRtékközpont

Települési ÉRtékközpont TÉR Települési ÉRtékközpont Lajosmizse Város Önkormányzata településüzemeltetési és -fejlesztési program kidolgozása KÉPZÉS Stratégiák szerepe 2009. A közpolitika fogalma Közpolitika: az aktuálpolitika

Részletesebben

Ellenőrzéstechnika: ipari, kereskedelmi, szolgáltató vállalatok belső ellenőrzésének gyakorlata és módszertana

Ellenőrzéstechnika: ipari, kereskedelmi, szolgáltató vállalatok belső ellenőrzésének gyakorlata és módszertana Ellenőrzéstechnika: ipari, kereskedelmi, szolgáltató vállalatok belső ellenőrzésének gyakorlata és módszertana Programvezető: dr. Buxbaum Miklós Kombinált képzés: e-learning tananyag és háromnapos tréning

Részletesebben

Az 50001-es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység

Az 50001-es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység Az 50001-es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység Qualidat Kft. Együttműködésben az ÉMI TÜV SÜD-del Tartalomjegyzék Bevezetés A feladatok Projektmenedzsment

Részletesebben

Az ALTERA VAGYONKEZELŐ Nyrt. kockázatkezelési irányelvei

Az ALTERA VAGYONKEZELŐ Nyrt. kockázatkezelési irányelvei Az ALTERA VAGYONKEZELŐ Nyrt. kockázatkezelési irányelvei I. A dokumentum célja és alkalmazási területe A Kockázatkezelési Irányelvek az ALTERA Vagyonkezelő Nyilvánosan Működő Részvénytársaság (1068 Budapest,

Részletesebben

KOCKÁZATKEZELÉSI SZABÁLYZAT

KOCKÁZATKEZELÉSI SZABÁLYZAT Rudabánya Város Önkormányzata Polgármesteri Hivatala KOCKÁZATKEZELÉSI SZABÁLYZAT Rudabánya Város Önkormányzata Polgármesteri Hivatala 1 TARTALOMJEGYZÉK I.... A KOCKÁZATKEZELÉS CÉLJA, TARTALMA... 2 II....

Részletesebben

EURÓPA BRÓKERHÁZ ZRT. Összeférhetetlenségi politika

EURÓPA BRÓKERHÁZ ZRT. Összeférhetetlenségi politika Összeférhetetlenségi politika Az igazgatói utasítás hatályba léptető határozatának száma: 2012/12/1. 2014/03/31. A hatályba lépés dátuma: Módosítást hatályba léptető határozat száma: Módosítás hatályba

Részletesebben

A könyvvizsgálat módszertana

A könyvvizsgálat módszertana A könyvvizsgálat módszertana Belső ellenőrzés és a könyvvizsgálat 2011 Deloitte Magyarország Tematika A belső ellenőrzési rendszer célja és típusai A belső ellenőrzési rendszer szerepe a könyvvizsgálat

Részletesebben

A BELSŐ ELLENŐRÖKRE VONATKOZÓ ETIKAI KÓDEX

A BELSŐ ELLENŐRÖKRE VONATKOZÓ ETIKAI KÓDEX A BELSŐ ELLENŐRÖKRE VONATKOZÓ ETIKAI KÓDEX 2012. április BEVEZETŐ A költségvetési szervek belső kontrollrendszeréről és belső ellenőrzéséről szóló 370/2011. (XII. 31.) Korm. rendelet 17. -ának (3) bekezdése

Részletesebben

Legjobb gyakorlati alkalmazások

Legjobb gyakorlati alkalmazások Legjobb gyakorlati alkalmazások A belső ellenőrzési munkafolyamatok elektronikus dokumentálása A Ber. 12. j) pontja alapján a belső ellenőrzési vezető köteles az ellenőrzések nyilvántartásáról, valamint

Részletesebben

1.1. HOGYAN HASZNÁLJUK AZ ÖNÉRTÉKELÉSI ESZKÖZT. Az eszköz három fő folyamatot ölel fel három szakaszban:

1.1. HOGYAN HASZNÁLJUK AZ ÖNÉRTÉKELÉSI ESZKÖZT. Az eszköz három fő folyamatot ölel fel három szakaszban: 1.1. HOGYAN HASZNÁLJUK AZ ÖNÉRTÉKELÉSI ESZKÖZT 1. melléklet Az eszköz három fő folyamatot ölel fel három szakaszban: a pályázók kiválasztása (a táblázat 1. munkalapja); a projekt kedvezményezettek általi

Részletesebben

ELŐTERJESZTÉS. - a Képviselő-testülethez. A belső ellenőrzésről

ELŐTERJESZTÉS. - a Képviselő-testülethez. A belső ellenőrzésről Mátészalka Város Önkormányzat J e g y z ő j é t ő l 4700 Mátészalka Hősök tere 9.sz. Tel:(44) 501-364 Fax:(44) 501-367 Száma:./2007. ELŐTERJESZTÉS - a Képviselő-testülethez A belső ellenőrzésről Tisztelt

Részletesebben

Projektkövetés a 148/2002 (VII.1.) Kormány rendelet alapján

Projektkövetés a 148/2002 (VII.1.) Kormány rendelet alapján KORMÁNYZATI INFORMATIKAI EGYEZTETŐ TÁRCAKÖZI BIZOTTSÁG 18. SZÁMÚ AJÁNLÁS Projektkövetés a 148/2002 (VII.1.) Kormány rendelet alapján Verzió: 1.0 Budapest 2003. 1 / 12. oldal Tartalom 1. BEVEZETÉS... 3

Részletesebben

Belső és külső ellenőrzés, kockázatkezelés a közszektorban

Belső és külső ellenőrzés, kockázatkezelés a közszektorban Belső és külső ellenőrzés, kockázatkezelés a közszektorban 2013. 04. 11. 1 Az előadás részei: Bevezetés 1. Összefoglalás a költségvetési gazdálkodásról 2. Összefoglalás az államháztartás külső ellenőrzésének

Részletesebben

ÉVES BELSŐ ELLENŐRZÉSI TERV 2014 ÉV

ÉVES BELSŐ ELLENŐRZÉSI TERV 2014 ÉV ÉVES BELSŐ ELLENŐRZÉSI TERV A 370/2011. (XII. 31.) kormány rendelet 29.-32. -ai szerint előírt éves ellenőrzési tervet a költségvetési szerveknek az alábbi, egységes tartalommal javasolt elkészíteni Az

Részletesebben

Indoklás (a hiányosan teljesülő eredmények megjelölésével) Rangsorolás (N/P/L/F)

Indoklás (a hiányosan teljesülő eredmények megjelölésével) Rangsorolás (N/P/L/F) 1. szint Végrehajtott folyamat PA 1.1 Folyamat-végrehajtás Rangsorolás (N/P/L/F) Indoklás (a hiányosan teljesülő eredmények megjelölésével) Célmeghatározás: A vizsgálati eljárás a felelős vállalkozás irányítási

Részletesebben

Biztonsági kihívások napjainkban avagy általános áttekintés az IT biztonsággal kapcsolatos feladatokról

Biztonsági kihívások napjainkban avagy általános áttekintés az IT biztonsággal kapcsolatos feladatokról Biztonsági kihívások napjainkban avagy általános áttekintés az IT biztonsággal kapcsolatos feladatokról Székesfehérvár, 2012. február 21. Kirner Attila ISACA-HU kirner.attila@gmail.com ISACA IT bizt. felmérés

Részletesebben

PROJEKTAUDIT JELENTÉS - - -

PROJEKTAUDIT JELENTÉS - - - Projektaudit jelentés Hajdúszoboszló Város Önkormányzata 2007-2013 közötti időszak projektterveire vonatkozóan megacity - projektalapú városfejlesztési program wwwazentelepulesemhu PROJEKTAUDIT JELENTÉS

Részletesebben

Információbiztonság fejlesztése önértékeléssel

Információbiztonság fejlesztése önértékeléssel Információbiztonság fejlesztése önértékeléssel Fábián Zoltán Dr. Horváth Zsolt, 2011 Kiindulás SZTE SZAKK információ információ adatvédelmi szabályozás napi gyakorlat információ Milyen az összhang? belső

Részletesebben

Probléma Menedzsment és a mérhetőség. Suba Péter, Service Delivery Consultant

Probléma Menedzsment és a mérhetőség. Suba Péter, Service Delivery Consultant Probléma Menedzsment és a mérhetőség Suba Péter, Service Delivery Consultant Bemutatkozás Getronics - Informatikai outsourcing világcég - 27000 alkalmazott - Számos világcég informatikai infrastruktúrájának

Részletesebben

SLA RÉSZLETESEN. 14. óra

SLA RÉSZLETESEN. 14. óra 14. óra SLA RÉSZLETESEN Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés: Vizsga, (félévi 1db ZH)

Részletesebben

Kérdőív. 1. Milyen szolgáltatásokat nyújt a vállalat, ahol dolgozik? ... ... 4. Jelenleg milyen feladatokat lát el az intézményben? ...

Kérdőív. 1. Milyen szolgáltatásokat nyújt a vállalat, ahol dolgozik? ... ... 4. Jelenleg milyen feladatokat lát el az intézményben? ... KÉRDŐÍV SZÁMA... Kérdőív A nemzetközi gyakorlathoz hasonlóan Romániában is általánossá vált, hogy egyes üzleti problémával a vállalatok Önökhöz fordulnak. A tanácsadás a professzionális szolgáltató piac

Részletesebben

Mindezek figyelembevételével Tengelic Község Önkormányzatának 2015. évi belsı ellenırzési terve a következıket tartalmazza.

Mindezek figyelembevételével Tengelic Község Önkormányzatának 2015. évi belsı ellenırzési terve a következıket tartalmazza. Melléklet a. /2014. (XII. 16.) kt. határozathoz Tengelic Község Önkormányzatának 2015. évi belsı ellenırzési terve A Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. Törvény, az államháztartásról

Részletesebben

Magyar Könyvvizsgálói Kamara. XX. Országos Könyvvizsgálói Konferencia. Kihívások az elkövetkező 5 évben

Magyar Könyvvizsgálói Kamara. XX. Országos Könyvvizsgálói Konferencia. Kihívások az elkövetkező 5 évben Kihívások az elkövetkező 5 évben (hogyan kell módosítani a könyvvizsgálati módszertant a várható új IFRS-ek követelményeinek figyelembevételével) Új IFRS standardok - Összefoglaló Standard Mikortól hatályos?

Részletesebben

KOCKÁZATFELMÉRÉSI ÉS -KEZELÉSI SZABÁLYZAT

KOCKÁZATFELMÉRÉSI ÉS -KEZELÉSI SZABÁLYZAT NYUGAT-MAGYARORSZÁGI EGYETEM NYUGAT-MAGYARORSZÁGI EGYETEM KOCKÁZAT FELMÉRÉSI ÉS KEZELÉSI SZABÁLYZAT KOCKÁZATFELMÉRÉSI ÉS -KEZELÉSI SZABÁLYZAT SOPRON 2013 Jogszabályi háttér, fogalom és célmeghatározás

Részletesebben

A BorsodChem Csoport Etikai Vonal Szabályzata. 2009. június

A BorsodChem Csoport Etikai Vonal Szabályzata. 2009. június A BorsodChem Csoport Etikai Vonal Szabályzata 2009. június 1. A SZABÁLYZAT CÉLJA Az Etikai Vonal működésének részletes leírása, a felelősség és hatáskörök egyértelmű rögzítése, a bejelentett panaszok

Részletesebben

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság

Részletesebben

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia 2015. Szeptember 17.

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia 2015. Szeptember 17. AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE 2015. Szeptember 17. SGS BEMUTATÁSA Alapítás: 1878 Központ: Genf, Svájc Tevékenység: Ellenőrzés, vizsgálat és tanúsítás Szervezet: 80.000

Részletesebben

Az összehangolási kötelezettség az építőipari kivitelezés során

Az összehangolási kötelezettség az építőipari kivitelezés során Az összehangolási kötelezettség az építőipari kivitelezés során Előadó: dr. H. Nagy Judit főosztályvezető Nemzeti Munkaügyi Hivatal Munkavédelmi és Munkaügyi Igazgatóság Munkavédelmi Főosztály E-mail cím:

Részletesebben

Tervezői válaszok a településfejlesztési dokumentumok Belügyminisztériumi jóváhagyásához

Tervezői válaszok a településfejlesztési dokumentumok Belügyminisztériumi jóváhagyásához Tervezői válaszok a településfejlesztési dokumentumok Belügyminisztériumi jóváhagyásához DAOP-6.2.1/13/K-2014-0002 Dél-Alföldi Operatív Program Fenntartható településfejlesztés a kis- és középvárosokban

Részletesebben

A Magyar Államkincstár ellenőrzési feladata és a könyvvizsgálattal történő együttműködés lehetőségei

A Magyar Államkincstár ellenőrzési feladata és a könyvvizsgálattal történő együttműködés lehetőségei könyvvizsgálattal történő együttműködés lehetőségei Sebestyén Gabriella osztályvezető, Államháztartási Összefoglaló és Adatszolgáltatási Főosztály 2015. szeptember 3. A Magyar Államkincstár ellenőrzési

Részletesebben