Az Informatikai Audit Min ségbiztosítási módszertana 1. Bevezetés 2. Az Informatikai Audit Min ségbiztosítása



Hasonló dokumentumok
SZOLGÁLATI TITOK! KORLÁTOZOTT TERJESZTÉSŰ!

A CRD prevalidáció informatika felügyelési vonatkozásai

Projektek minőségbiztosítása: Hogyan előzhetők meg / fedezhetők fel időben a garanciális problémák? Nyiri Szabolcs Szakértői Iroda vezető

ME/42-01 Minőségirányítási eljárás készítése

DOMBÓVÁR VÁROS POLGÁRMESTERI HIVATALA

A klinikai auditrendszer bevezetése és működtetése

Minőség-ellenőrzés 2016

Dr. Kántor Béla

NYÍREGYHÁZI FŐISKOLA A BELSŐ ELLENŐRZÉSI IRODA ÜGYRENDJE. Elfogadva: március 22. Módosítva: január 22., hatályba lép: 2013.

Község Önkormányzata

BELSŐ AUDIT 2. ELJÁRÁS LEÍRÁSA

A minőségirányítási rendszer auditálása laboratóriumunkban. Nagy Erzsébet Budai Irgalmasrendi Kórház Központi Laboratórium

Számviteli szabályozás

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

MKVK PTT Tagozatának december 9-i rendezvényén. elhangzott előadás

Gyöngy István MS osztályvezető

Legjobb gyakorlati alkalmazások

Számviteli szabályozás

A közfelügyelet és a minőségellenőrzés aktuális kérdései

A BELSŐ ELLENŐRÖKRE VONATKOZÓ ETIKAI KÓDEX

2013 L. - tapasztalatok Antidotum 2015

ÁTLÁTHATÓSÁGI JELENTÉS 2013.

Minőségtanúsítás a gyártási folyamatban

Minőségügyi Eljárásleírás Belső Audit

(HL L 384., , 75. o.)

A könyvvizsgálat módszertana

ISO 9001:2015 ÉS ISO 14001:2015 FELKÉSZÜLT A VÁLTOZÁSOKRA? Move Forward with Confidence

A DOKUMENTÁCIÓS RENDSZER

Fekete Imréné Pénz és Tőkepiaci Tagozat rendezvénye

Pécsi Tudományegyetem Klinikai Központ ELJÁRÁS

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Minőségbiztosítási auditor Ellenőrzési és minőségbiztosítási munkatárs

NYF-MMFK Műszaki Alapozó és Gépgyártástechnológiai Tanszék mezőgazdasági gépészmérnöki szak III. évfolyam

A minőségbiztosítás folyamata, szereplők

MŰKÖDÉSI SZABÁLYZATA (Tanúsítási Kézikönyv)

Klinikai gyógyszervizsgálatok minőségbiztosítása

Betekintés a Könyvvizsgálati munkába. Könyvvizsgálói munka szakaszai, Könyvvizsgálói jelentés változás

A minőségügyi munka múltja, jelene, jövője a MOHE CÉGCSOPORT tagjai között

A szabványos minőségi rendszer elemei. Termelési folyamatok

IPC Validation Services

Minőségellenőrzési tanulságok. Munkácsi Márta Mádi-Szabó Zoltán Minőség-ellenőrzési Bizottság

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

2011. ÉVI ÖSSZEVONT (KONSZOLIDÁLT) ÉVES BESZÁMOLÓJÁRÓL. Korlátolt Felelősségű Társaság 1148 Budapest, Fogarasi út 58. (Nysz.

A vállalkozás működési környezete és a kockázatok dilemmái

Klinikai audit standard. NEVES Fórum október 20.


4. Napirend ELŐ TERJESZTÉS évi belső ellenőrzési terv

SZOLGÁLATI TITOK! KORLÁTOZOTT TERJESZTÉSŰ!

Kunfehértó Község Polgármesteri Hivatal Címzetes Főjegyzőjétől. a évi ellenőrzési munkaterv elfogadása tárgyában

Cibakháza Nagyközség Önkormányzata 144/2015.(XII.15.) KT határozata Cibakháza Nagyközség Önkormányzatának évi belső ellenőrzési tervéről

FMEA tréning OKTATÁSI SEGÉDLET

Ellenőrzéstechnika: ipari, kereskedelmi, szolgáltató vállalatok belső ellenőrzésének gyakorlata és módszertana

I. TÉNYÁLLÁS. 2.3 A Batv. alapján továbbra is kötelező-e a befektetési alap éves beszámolójának könyvvizsgálata? A JOGKÉRDÉSEK

III. 3. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap)

A könyvvizsgálat számítógépes támogatása

Minőségbiztosítás gyógyszer és növényvédő szer vizsgáló laboratóriumokban

NYOMONKÖVETÉSI RENDSZEREK TANÚSÍTÁSA

XXIII. MAGYAR MINŐSÉG HÉT

A HADFELSZERELÉSEK GYÁRTÁS UTÁNI VÉGELLENŐRZÉSÉNEK NATO MINŐSÉGBIZTOSÍTÁSI ELŐÍRÁSAI

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

A Kar FEUVE rendszere

SZEGED ÉS TÉRSÉGE EÖTVÖS JÓZSEF GIMNÁZIUM, ÁLTALÁNOS ISKOLA INTÉZMÉNYI ÖNÉRTÉKELÉSI PROGRAM


A Pénzügyi Szervezetek Állami Felügyelete Elnökének 1/2010. számú ajánlása a javadalmazási politika alkalmazásáról. I. Az ajánlás célja és hatálya

SZOLGÁLATI TITOK! KORLÁTOZOTT TERJESZTÉSŰ!

Bodorkós Ferenc polgármester évi belső ellenőrzési terv

A Bankok Bázel II megfelelésének informatikai validációja

Javaslat a Heves Megyei Önkormányzat és intézményei évi Ellenőrzési Tervére

Szabványok, ajánlások

A könyvvizsgálat kihívásai a változó világgazdasági helyzetben

ÉMI TÜV SÜD. ISO feldolgozása, elvárások. Kakas István KIR-MIR-MEBIR vezető auditor

IATF - International Automotive Task Force IATF 16949:2016 Hivatalos értelmezés

Informatikai prevalidációs módszertan

The Leader for Exceptional Client Service. szolgáltatások

A MAGYAR TELEKOM TáVKÖZLÉSI NYILVáNOSAN MŰKÖDŐ RÉSZVÉNYTáRSASáG AUDIT BIZOTTSáGáNAK ÜGYRENDJE

Munkavédelmi felügyelői útmutató

A tőzsdén jegyzett gazdálkodók könyvvizsgálatának specialitásai

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

MINŐSÉGÜGYI ELJÁRÁSOK

Az adatok értékelése és jelentéskészítés: Az (átfogó) vizsgálati összefoglalás benyújtása

Gyakornoki szabályzat

A Nemzeti Agrárgazdasági Kamara és a NAK Nonprofit Kft Energetikai audit szolgáltatása. Budapest, június 30.


Minőségügyi Eljárásleírás Vezetőségi átvizsgálás

Jogosultság-monitorozó rendszer kialakítása

Mellékletek. 1.számú melléklet: Belső nyilvántartás az adatkezelésekről és adattovábbításokról Budapest, Király utca 51. fszt. 1.

Dr. Piskóti István Marketing Intézet. Marketing 2.

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

BIZTONSÁGI AUDIT. 13. óra

Belső Ellenőrzési Alapszabály

ELŐTERJESZTÉS. Újhartyán Község Önkormányzata Képviselő-testületének november 27-i ülésére. 5. napirendhez. Tóth Antal Pénzügyi biz.

A Bázeli Bizottság és a banki belső ellenőrzés

Minőség és minőségirányítás. 3. ISO 9000:2015 és ISO 9001:2015

BESZERZÉS, BESZÁLLÍTÓK MINŐSÍTÉSE

Big Data az ellenőrzésben: Kihívás vagy lehetőség?

Projektkövetés a 148/2002 (VII.1.) Kormány rendelet alapján

Átláthatósági jelentés

Miskolci Egyetem Kémiai Intézet. Kockázatbecslés TANTÁRGYI KOMMUNIKÁCIÓS DOSSZIÉ

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

Átírás:

Az Informatikai Audit Minőségbiztosítási módszertana Készítette: Erdősi Péter Máté, CISA ISACA Budapest Chapter Informatikai Audit Minőségbiztosítás Munkacsoport 2012. január 2. Verzió: 2 1. Bevezetés Az elmúlt években a kialakult gazdasági világválság, a terrorizmus megjelenése, és az információs hadviselés módszereinek megjelenése a privát szférában a szervezeteket, vállalatokat egyre növekvő mértékben késztette a küldetésük teljesítése érdekében speciális biztonsági intézkedésekre. Ezen intézkedések között kiemeljük az ellenőrzés előtérbe kerülését, és annak megbízhatósága, hitelessége érdekében tett intézkedéseket. Ilyen intézkedés a magas minőségű (High Quality) audit kérdése. Ma már e követelmény kielégítésének egyik fontos eszköze az informatikai audit minőségbiztosítása, ami igazolt, módszeres tevékenység, és amely megfelelő bizalmat hivatott kelteni arra, hogy a termék teljesíti a minőségi követelményeket, továbbá rendszerezett és független vizsgálat annak meghatározásra, hogy az audit minőségével kapcsolatos tevékenységek és eredmények megfelelnek és hatékonyan valósítják meg a követelményeket, illetve alkalmasak ezen célok elérésére. 1. A szervezetek, vállalatok elemi érdeke, hogy a végrehajtott informatikai auditokat külső független auditor rendszeresen minőségbiztosítsa. Ezért az ISACA Budapest Chapter javasolja, és támogatja az ilyen irányú tevékenységeket. 2. Az auditornak megfelelő kompetenciával kell rendelkeznie a minőségbiztosítás elvégzéséhez, ami azt igényli, hogy az auditor megfelelő szaktudással, gyakorlattal (referenciával), a teljesítmény eléréséhez szükséges magatartással, képesítéssel, továbbá ISACA tagsággal, és CISA vagy CISM minősítéssel rendelkezzen. Az audit minőségének biztosítására számos módszer és ajánlás létezik ma már szerte a világban, ezek feldolgozásával készült el ez a módszertani ajánlás, a magyarországon végrehajtott informatikai auditok minőségének megőrzése és magasabb szintre emelése érdekében. 2. Az Informatikai Audit Minőségbiztosítása Az Informatikai Audit Minőségbiztosítása az audit megfelelőségének garanciális követelménye. Ennek érdekében a minőségbiztosító alapfeladata kettős lehet: a) az auditor tevékenységének vizsgálata b) az audit dokumentációs környezetének vizsgálata. Az első a) tevékenységet a minőségbiztosító kizárólag az audit folyamat végzésével párhuzamosan folytathatja, míg a b) tevékenység végezhető az auditot követően bármikor amennyiben az audit dokumentációs környezete a rendelkezésre áll, de ekkor a minőségbiztosítónak figyelemmel kell lennie arra, hogy az audit dokumentáció teljessége eltér a folyamat megfigyelésekor szerezhető teljességtől. Felhívjuk itt a figyelmet arra, hogy a minőségbiztosítónak nem feladata az auditori megállapítások 1/5. oldal

vitatása vagy javítása, de lehetőséget kell a minőségbiztosító számára biztosítani, hogy az auditot érintő szakmai észrevételeket az auditor felé megtehesse ez azonban nem bír semmilyen kötelező érvénnyel. A minőségbiztosítás nem párhuzamos auditot jelent, hanem az audit-folyamat megfelelőségének tényszerű és vizsgálaton alapuló ellenőrzését foglalja magában. Más szavakkal a minőségbiztosítás független, professzionális és etikus minőségi szakvélemény szolgáltatásának a biztosítása (a minőségbiztosítás tárgyáról), amelyet professzionális és etikus audit folyamatok, bizonyítékok, és objektív megítélések támasztanak alá mondja ki a Basel Committee of Banking Supervision anyaga. 2.1. A megbízás átvétele A minőségbiztosító a tevékenységét a megbízólevél átvétele után kezdheti meg. A megbízólevélben szabályozni kell a megbízás célját, vizsgálati kereteit (megfelelőségi elvárások), határidejét, címzettjét. A megbízólevél keletkezhet papír alapon és elektronikus formában is, mindkét esetben a megbízónak (legfelső szintű szükséges mértékű kompetenciával rendelkező vezetőjének) hiteles aláírásával kell ellátnia azt. 2.2. A minőségbiztosítás előkészítése A minőségbiztosítási tevékenység előkészítése két lépést foglal magában: a tevékenység megtervezése, a tevékenység kockázatainak feltárása és értékelése. 2.2.1. Tervezés A tervezés során a minőségbiztosítónak Minőségbiztosítási Tervet kell készítenie, melyben ki kell térnie az alábbiak részletes leírására: minőségbiztosítás tárgya, minőségbiztosítás értelmezése, minőségellenőrzési listák felsorolása, audit minőségi követelmények, megvizsgálni kívánt dokumentumok, evidenciák listája, interjú-terv, szemle-terv, megbízólevél. A tervet a megbízóval jóvá kell hagyatni, valamint az auditorral is ismertetni javasolt. 2/5. oldal

2.2.2. Kockázatok elemzése A minőségbiztosítónak kockázat-elemzésen alapuló intézkedéseket kell tennie az alábbi kockázatok csökkentése érdekében: 1. auditálási tevékenységek kockázatai, 2. minőségbiztosítási tevékenységek kockázatai. Mindkét területen fel kell mérnie a releváns kockázatokat, értékelnie kell azt kvantitatív vagy kvalitatív módon, majd intézkedéseket kell megfogalmaznia azok csökkentése érdekében. Itt fel kell hívnunk arra a figyelmet, hogy az auditor tevékenységeinek bizonyos kockázatait maga a minőségbiztosítási tevénység végzése is csökkenti, de ennek kimondása nem elegendő, szükséges a minőségbiztosítónak azokat a fókusz-pontokat is meghatároznia, melyek figyelembe vételével az adott auditálás kockázatait, mint minőségbiztosító, csökkenteni tudja. A kockázatok bekövetkezésére és a bekövetkezés mértékének elemzésére a minőségbiztosítási záradékban ki kell térnie a minőségbiztosítónak. 2.3. Helyzetfeltárás A helyzetfeltárás során a minőségbiztosító a tervben kijelölt evidenciákat begyűjti, dokumentálja és értékeli addig, amíg a szükséges evidencia-halmaz nem áll a rendelkezésre. 2.3.1. Evidenciák gyűjtése, dokumentálása A minőségbiztosítónak elegendő, megbízható, érdemi és hasznos evidenciát kell feltárniuk és rögzíteniük a megbízás célkitűzéseinek megvalósításához. Az elégséges információnak olyan tényszerűnek, megfelelőnek és meggyőzőnek kell lennie, hogy az alapján egy szakmailag jól tájékozott szakember ugyanazokat a következtetéseket vonja le, mint a minőségbiztosító. Megbízható információnak nevezzük a rögzített vizsgálati módszerekkel elérhető legpontosabb információt. Az érdemi információ alátámasztja a vizsgálat megállapításait és intézkedési javaslatait, és összhangban van a vizsgálat célkitűzéseivel. A hasznos informácó segíti a szervezetet céljainak elérésében. Jól alkalmazható itt is a célkitűzések-evidenciák párba állítása, és ellenőrzési listába szervezése annak a kérdésnek a megválaszolására, hogy létezik-e minden kérdéshez evidencia, valamint elegendő evidenciát tárt-e fel a minőségbiztosító. Az evidenciák rögzítését olyan módon kell megtenni, mely minden későbbi jogosulatlan módosítást kizár vagy észlelhetővé tesz. Az előre meghatározott archiválási időtartamtól függően a minőségbiztosítónak az evidenciák olvashatóságának hosszú távú fenntarthatóságáról is javasolt gondoskodnia. 2.3.2. Evidenciák értékelése A begyűjtött evidenciákat a minőségbiztosítónak értékelnie kell az alábbi dimenzók mentén, jól definiált skálák használatával: 1. elegendő (igen-nem vagy 0, 1, 2, 3, 4, 5) 2. megbízható (igen-nem vagy 0, 1, 2, 3, 4, 5) 3. érdemi (igen-nem vagy 0, 1, 2, 3, 4, 5) 3/5. oldal

4. hasznos (igen-nem vagy 0, 1, 2, 3, 4, 5) A fókuszpontok és az evidenciák összerendelésével a minőségbiztosító meggyőződhet arról, hogy vajon minden vizsgálati területhez lett-e begyűjtve evidencia, és azok minősége megfelelő-e. Amennyiben az értékelés során nem megfelelő egy evidencia értékelése, haladéktalanul kiegészítő evidenciákat kell a minőségbiztosítónak beszereznie. Ezt követően az értékelést újra el kell végeznie, mindaddig, amíg a szükséges evidencia-halmazt össze nem gyűjtötte a minőségbiztosító. 3. Minőségbiztosítási Riport / Záradék készítése A megfelelő evidenciák rendelkezésre állását követően a minőségbiztosító megteszi megállapításait. A megállapítások mindegyikéhez evidenciákkal kell rendelkeznie. A megállapítások strukturált felépítést kell követniük, amit a Minőségbiztosítási Tervnek már tartalmaznia kell. A Tervben foglaltaktól a helyzet megismerése után el lehet térni, de csak a szükséges mértékig. A Minőségbiztosítási Riportnak mindenképpen ki kell térnie az alábbiakra: 1. Az auditor által végzett ellenőrzés, vizsgálat szabályozottsága 2. Az auditor kellő szakmai gondossága 3. Az auditor kockázatbecslése 4. Vizsgálati bizonyítás 5. A vizsgálati anyag és módszer 6. Az audit jelentés tartalma és formája 7. Az auditor megállapításainak értékelése 8. Az auditor javaslatainak értékelése 9. Az auditori megbízás teljesítésének értékelése 10. Az audit minőségének összefoglaló értékelése A Minőségbiztosítási Jelentést a Minőségbiztosító a Megbízóval és az Auditorral is véleményezteti, véleményeiket elfogadás után átvezeti a Jelentésen és véglegesíti azt. A Minőségbiztosítási Jelentés véglegesítését olyan módon kell megtennie, hogy minden későbbi jogosulatlan módosítás felismerhető legyen a Jelentésen. Lehetséges, hogy a Minőségbiztosító egy egyoldalas összefoglaló záradékot is készít a Minőségbiztosítási Jelentésről, amit az Auditor és a Megbízó is nyilvánosságra hozhat a saját honlapjukon, ily módon is növelve az audit és a minőségbiztosításba vetett bizalmat. 4. Mellékletek 4.1. Megbízólevél tervezet az informatikai audit minőségbiztosítója számára A Megbízó megbízza a Minőségbiztosítót (száma: 1234567), hogy az Auditor által az alábbi azonosítókkal készített Audit Jelentést különösen a következő ISACA szabványoknak való megfelelőség tekintetében minőségbiztosítsa: Magyar nyelvű szabványok esetében használható: Ellenőrzési alapszabályzat 010.010.010. A jelentés tartalma és formája 070.010.010. 4/5. oldal

A vizsgálat bizonyítási követelménye 060.020.030. Kellő szakmai gondosság 030.020.020. Kockázatbecslés alkalmazása az ellenőrzés tervezésben 050.010.030. Vizsgálati anyag 060.020.010. Vizsgálati mintavétel 060.020.040. Angol nyelvű szabványok esetében használható: Ellenőrzési alapszabályzat S1 Audit Charter A jelentés tartalma és formája S7 Reporting Tervezés S5 Planning A vizsgálat bizonyítási követelménye S6 Performance of Audit Work Kellő szakmai gondosság G7 Due Professional Care Kockázatbecslés alkalmazása a tervezésben S11 Use of Risk Assessment in Audit Planning Vizsgálati anyag S14 Audit Evidence Vizsgálati mintavétel G10 Audit Sampling A minőségbiztosítandó anyag megnevezése: Audit Riport a Megbízó részére, készítette: Auditor, Dátum: xxxx.xx.xx, Verzió: zz.yy (OID: 1.2.3.4.5.6.7.8.9.10.11.12) Megbízó kijelenti, hogy a Minőségbiztosító díjazása nem függ a megállapításaitól. Kérjük, hogy megállapításait különálló minőségbiztosítási záradékban rögzítse, és a megfelelő személyek (itt felsorolva) számára juttassa el év.hó.nap.óra.perc-ig. Helység, Dátum Megbízó 5/5. oldal

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés