1 / 16

Smernic a G 4 Zunanje izvajanje aktivnosti informacijskih sistemov drugim organizacijam

Smernic a G 4 Zunanje izvajanje aktivnosti informacijskih sistemov drugim organizacijam. mag. Stane MOŠKON, CISA, CISM. 1. PODLAGE – povezava s standardi. Povezava s standardi Standard S1 – Revizijska listina, ki opredeljuje namen izvedbe revizije.

ramona-cummings
Download Presentation

Smernic a G 4 Zunanje izvajanje aktivnosti informacijskih sistemov drugim organizacijam

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Smernica G4Zunanje izvajanje aktivnosti informacijskih sistemov drugim organizacijam mag. Stane MOŠKON, CISA, CISM Ljubljana, 2 marec 2010

  2. 1. PODLAGE – povezava s standardi Povezava s standardi Standard S1 – Revizijska listina, ki opredeljuje namen izvedbe revizije. Standard S5 – Načrtovanje, ki zahteva od revizorja IT, da ustrezno načrtuje izvajanje IT revizijskih pregledov Standard S6 – Izvajanje revizijskih opravil, ki zahteva, da mora revizor pri svojem delu pridobiti zadostna, zanesljiva in primerna dokazila, da bi bil cilj revizije izpolnjen, ugotovitve in zaključki pa morajo temeljiti na ustrezni analizi in interpretaciji dokazil.

  3. 1. PODLAGE – povezava s smernicami G16 Vpliv tretjih strank na kontrole IS Smernica G16 opredeljuje kaj mora upoštevati revizor IS za zagotovitev skladnosti z ISACA standardi in COBIT-om, ko ocenjuje vplive tretjih strank na organizacijo kontrol IS in z njimi povezanih kontrolnih ciljev.

  4. 1. PODLAGE – povezava s COBIT-om DS2 Upravljajte storitve tretje stranke Potreba po zagotovitvi, da storitve, ki jih zagotavljajo tretje strani (dobavitelji, prodajalci in partnerji), izpolnjujejo poslovne zahteve, zahteva uspešen proces za upravljanje tretje stranke. Ta proces se doseže z jasno opredelitvijo vlog, zadolžitev in pričakovanj v sporazumih s tretjo stranko ter pregled in spremljanje takšnih sporazumov glede uspešnosti in skladnosti. Uspešno upravljanje storitev tretje stranke zmanjšuje poslovna tveganja, povezana z dobavitelji, ki ne izpolnjujejo svojih nalog. Informacijski kriteriji: Primarni: uspešnost, učinkovitost Sekundarni: zaupnost, razpoložljivost, celovitost in zanesljivost

  5. 1. PODLAGE – potreba po tej smernici Organizacija lahko delno ali v celoti delegira nekatere ali vse IT aktivnosti zunanjim izvajalcem, ki jih lahko izvajajo pri naročniku ali izven organizacije naročnika. Odgovornost za skladnost s pogodbami in predpisi ostaja pri naročniku. Velikokrat so nejasne pravice do revizije in odgovornosti povezane z izvajanjem revizije pri zunanjih izvajalcih. Ta smernica daje usmeritve za uporabo S1, S5 in S6. Revizor IS pa mora oceniti in pretehtati kako doseči zastavljene cilje z upoštevanjem prej omenjenih standardov.

  6. 2. REVIZIJSKA LISTINA Obveznosti, pooblastila in odgovornosti Kjerkoli in iz kakršnegakoli pogleda katerokoli funkcijo IS izvajajo zunanji izvajalci je potrebno pri reviziji IS naročnika izvajanje te funkcije vključiti v revizijsko listino. Revizijska listina mora eksplicitno vključevati pravico revizorja IS, da: izvede revizijski pregled pogodbe med naročnikom in zunanjim izvajalcem; izvede ustrezen revizijski pregled glede na funkcijo, ki jo izvaja zunanji izvajalec; poroča ugotovitve, zaključke in priporočila vodstvu naročnika.

  7. 3. PLANIRANJE - dejstva Revizor IS mora razumeti naravo, čas in obseg storitev zunanjega izvajanja. Revizor IS mora ugotoviti in oceniti tveganja povezana z zunanjim izvajanjem. Revizor IS mora oceniti ustreznost kontrol, ki jih mora izvajati naročnik za zagotovitev poslovnih ciljev in za preprečitev, ugotovitev in korekcijo neželenih dogodkov pri izvajanju aktivnosti zunanjih izvajalcev. Revizor IS mora pridobiti in razumeti razmejitev kontrol za katere je odgovoren naročnik in za katere zunanji izvajalec. Revizor IS mora ugotoviti ali pogodba z zunanjim izvajalcem omogoča ustrezno izvedbo revizije.

  8. 3. PLANIRANJE Revizor IS mora pregledati in oceniti morebitno prejšnje revizijsko poročilo. Revizor IS mora oceniti vrsto zunanjega izvajanja: • delo, • delo in oprema. Namen in cilje revizijskega pregleda mora odobriti vodstvo naročnika preden se posredujejo zunanjemu izvajalcu. Revizor IS mora preučiti ali je za potrebe storitve zunanjega izvajanja potrebno upoštevati mednarodno veljavne certifikate in standarde. Revizor IS mora ustrezno planirati izvedbo revizijskega pregleda tudi na lokaciji zunanjega izvajalca.

  9. 4. IZVEDBA REVIZIJE - izhodišče Revizijski pregled zunanjega izvajanja je potrebno izvesti enako, kot da bi storitev izvajal naročnik sam v okviru svojega informacijskega sistema.

  10. 4. IZVEDBA REVIZIJE – pogodba z zunanjim izvajalcem Revizor IS mora ugotoviti: Ali obstoja pogodba med naročnikom in zunanjim izvajalcem? Ali v pogodbi obstoja določilo, da mora zunanji izvajalec zagotavljati skladnost z zakonodajo in predpisi? Ali obstoja določilo, da im naročnik pravico izvajati kontrole in revizijski pregled pri zunanjem izvajalcu? Ali je eksplicitno dogovorjen nivo storitve (SLA)? Ali obstoja določilo, da mora zunanji izvajalec spremljati in nadzorovati izvajanje skladno z dogovorjenim nivojem storitve (SLA)? Zaveza zunanjega izvajalca za spoštovanje naročnikove varnostne politike? Zaveza o varovanju poslovnih skrivnosti? Zaveza o spoštovanju ostalih politik in postopkov vezanih na delo zunanjega izvajalca? Zaveza o zagotavljanju neprekinjenega poslovanja?

  11. 4. IZVEDBA REVIZIJE – upravljanje zunanjega izvajanja Revizor IS mora ugotoviti: Ali so določeni postopki za nadzor nad izvajanjem storitev zunanjega izvajalca skladno z določili SLA? Ali je določilo o postopkih za primer, da zunanji izvajalec ne dosega dogovorjenega nivoja storitve? Ali zagotavlja naročnik kompetenčne vire za spremljanje storitev zunanjih izvajalcev?

  12. 4. IZVEDBA REVIZIJE – omejitve V primeru, da zunanji izvajalec ne pristane na sodelovanje z revizorjem IS, mora revizor IS to poročati vodstvu naročnika. To velja tudi v primeru, da zunanji izvajalec angažira podizvajalca in nima v pogodbi določila o pravici do revizije pri podizvajalcu.

  13. 5. POROČANJE Revizor IS mora po zaključku revizijskega pregleda izdelati poročilo v ustrezni obliki in ga posredovati predvidenim osebam naročnika revizije. Revizor IS mora pretehtati možnost predstavitve in diskusije preliminarnega revizijskega poročila z zunanjim izvajalcem, ni pa odgovoren za predajo končnega poročila zunanjem izvajalcu. Revizijsko poročilo mora vsebovati omejitve pri njegovi distribuciji tako zunanjim izvajalcem, kot katerikoli tretji stranki. V revizijskem poročilu morajo biti jasno zapisane omejitve obsega v primeru, da so bile kršene pravice revizorja pri izvajanju revizijskega pregleda.

  14. 5. Po revizijske aktivnosti Revizor IS mora zahtevati ustrezne informacije tako od naročnika kot zunanjega izvajalca za ugotovitve, zaključke in priporočila, ki se nanašajo na aktivnosti zunanjega izvajalca. Prav tako mora določiti, če je potrebno, da zunanji izvajalec v sprejemljivem času izvede korektivne akcije.

  15. VELJAVNOST Od 1. maja 2008.

  16. Vprašanja in odgovori

More Related