Adresacja w sieciach komputerowych

Transkrypt

Rodzaje audytu
Artur Sierszeń
[email protected]
http://bzyczek.kis.p.lodz.pl
Rodzaje audytu









audyt finansowy
audyt operacyjny
audyt wynagrodzeń
audyt personalny
audyt menedżerski
audyt komunikacyjny
audyt marketingowy
audyt logistyczny
audyt informatyczny 
2
Audyt finansowy
 Głównym celem jest sprawdzenie, czy
sprawozdania finansowe danej organizacji
lub przedsiębiorstwa są poprawne i
kompletne.
 Audytor powinien zgodność i rzetelność
wszystkich
informacji
zawartych
w
sprawozdaniu finansowym.
 Powinien przy tym zwrócić uwagę na
wszelkie błędy spowodowane celowo pod
dyktando
kierownictwa
audytowanej
jednostki.
3
Audyt operacyjny
 Głównym
zadaniem
jest
badanie
wydajności,
a
także
skuteczności
systemów i jednostek organizacyjnych.
 Zajmuje się również oceną efektywności
zarządzania
- oceną skuteczności
działania kierownictwa (planowania i
kontroli realizacji zadań).
 Głównym kryterium oceny jest w tym
wypadku oszczędność i wydajność działań.
4
Audyt wynagrodzeń
 polega on na odniesieniu poziomów
wynagrodzeń
do
bezpośredniej
konkurencji na rynku pracy.
 Dzięki niemu można:
 zracjonalizować budżet wynagrodzeń;
 dokonać oceny efektywności budżetu wynagrodzeń
firmy na tle rynkowych stawek płac;
 ocenić konkurencyjność oferty wynagrodzeń dla całej
organizacji oraz poszczególnych działów, jak i
pojedynczych stanowisk;
 dokonać
weryfikacji
sposobów
wykorzystania
dostępnych mechanizmów motywacyjnych pod kątem
zapotrzebowań pracowników.
5
Audyt personalny
 Polega na dokonaniu oceny adekwatności
kwalifikacji pracowników do zadań im
powierzonych.
6
Audyt menedżerski
 Służy określeniu potrzeb szkoleniowych
kierowników, planowaniu ich rozwoju
kompetencyjnego.
 Dobraniu odpowiednich instrumentów
pomagających w budowaniu potencjału
kadrowego firmy.
 Przygotowaniu planów sukcesyjnych na
stanowiskach kierowniczych.
7
Audyt komunikacyjny
 Jest oceną procesów komunikacji
wewnątrz firmy oraz komunikacji z
otoczeniem (klientami, kooperantami,
dostawcami itp.).
 Dane zebranie podczas audytu
komunikacyjnemu pozwalają na
podejmowanie decyzji w sprawie
przyszłych celów komunikacji
przedsiębiorstwa (organizacji).
8
Audyt marketingowy
 Celem jest ocena skuteczności działań
marketingowych przedsiębiorstwa.
 Ocenia trafność strategii marketingowych,
efektywność działań marketingowych.
 Jest podstawowym narzędziem do oceny
stanu funkcjonowania przedsiębiorstwa.
9
Audyt logistyczny
 Polega przede wszystkim na dokonaniu
oceny
efektywności
i
rentowności
procesów logistycznych.
 W wyniku postępowania audytowego
można wskazać przyczyny ewentualnych
nieprawidłowości
oraz
zaproponować
zmiany
poprawiające
funkcjonowanie
systemu logistycznego organizacji.
10
Audyt informatyczny
 Związany
z
oceną
sprzętu
komputerowego,
jego
użytkowania,
oprogramowania, konfiguracji usług oraz
procedur
postępowania
z
nimi
związanych.
11
Audyt informatyczny
ISACA (ang. Information Systems Audit and Control Association).
 Międzynarodową organizacją zrzeszającą
profesjonalistów w dziedzinie audytu, kontroli
i bezpieczeństwa systemów informatycznych.
 Działalność edukacyjna
 Zrzesza obecnie około 86000 członków z 160
krajów.
 W Polsce jej przedstawicielstwem jest
„ISACA - stowarzyszenie do spraw audytu i
kontroli
systemów
informatycznych”
działająca od 1997 roku, z siedzibą w
Warszawie.
13
ISACA - Certyfikaty
 Certified Information Systems Auditor (CISA) program prowadzony od 1978 roku
 Certified Information Security Manager
(CISM) - program prowadzony od 2003 roku
 Certified in the Governance of Enterprise IT
(CGEIT) - program prowadzony od 2008 roku.
14
CISA - Certified Information Systems Auditor
 został przygotowany przez ISACA aby:
 rozwijać i utrzymywać narzędzie testowania, które
może być używane do oceny indywidualnych
kompetencji w zakresie audytu systemów
informatycznych,
 dostarczyć mechanizmu motywującego audytorów
systemów informatycznych do utrzymywania
swoich kompetencji i monitorowania efektów
programów szkoleniowych,
 pomagać kierownictwu w rozwijaniu funkcji kontroli
systemów informatycznych, dostarczając kryteria
dla doboru i szkolenia personelu.
15
 Egzamin odbywa się dwa razy do roku, w
pierwszą sobotę czerwca i grudnia, w ponad
100 ośrodkach w ok. 60 państwach świata.
 W Polsce egzamin odbywa się w Warszawie.
Egzamin jest prowadzony w językach:
duńskim, angielskim, francuskim, niemieckim,
hebrajskim, włoskim, japońskim, koreańskim i
hiszpańskim.
 Zapisy na egzamin odbywają się poprzez
stronę http://www.isaca.org/cisa
16
 Trwający 4 godziny egzamin składa się z 200
pytań wielokrotnego wyboru (jeden z czterech,
bez punktów ujemnych).
 Aby zdać egzamin należy uzyskać 450
punktów w ważonej skali od 200 do 800
punktów.
 Można to porównać z koniecznością
odpowiedzi na ponad 75% pytań, jednak
uczestnicy nie są informowani o wadze
poszczególnych z nich.
17
 Celem egzaminu jest przetestowanie kandydatów
w zakresie zrozumienia, oceny i stosowania
 powszechnie akceptowanych standardów, wymogów i praktyk
audytu systemów informatycznych oraz praktyk bezpieczeństwa i
kontroli,
 strategii, polityk i procedur, praktyk zarządzania i struktur
organizacyjnych,
 procesów systemów informatycznych, włączając w to platformy
sprzętowe i programowe, infrastrukturę sieciową i
telekomunikacyjną, praktyki administrowania, wykorzystanie
zasobów systemów informatycznych,
 logicznych, fizycznych i środowiskowych zabezpieczeń, kontroli
poprawności danych, planowania ciągłości działania oraz procesów
testowania,
 rozwoju, nabywania i utrzymywania systemów informatycznych.
18
 Egzamin zawiera pytania z następujących
dziedzin:
 The IS Audit Process - około 10% pytań
 IT Governance - około 15% pytań
 Systems and Infrastucture Life Cycle Management około 16% pytań
 IT Service Delivery and Support - około 14% pytań
 Protection of Information Assets - około 31% pytań
 Business Continuity and Disaster Recovery - około
14% pytań
19
CISM - Certified Information Security Manager
 Został przygotowany przez ISACA w 2003
roku specjalnie na potrzeby doświadczonej
kadry zarządzającej bezpieczeństwem
systemów informacji.
 Jest nakierowany na osoby, które
zarządzają, projektują i oceniają systemy
bezpieczeństwa
informacji
w
przedsiębiorstwach.
20
 Egzamin odbywa się dwa razy do roku, w
pierwszą sobotę czerwca i grudnia, w
ponad 100 ośrodkach w ok. 60 państwach
świata.
 W Polsce egzamin odbywa się w
Warszawie.
 Egzamin jest prowadzony w językach:
angielskim, japońskim i hiszpańskim.
21
pytań wielokrotnego wyboru (jeden z czterech,
bez punktów ujemnych).
 Aby zdać egzamin należy uzyskać 450
punktów w ważonej skali od 200 do 800
punktów. Można to porównać z koniecznością
odpowiedzi na ponad 75% pytań, jednak
uczestnicy nie są informowani o wadze
poszczególnych z nich.
 Zapisy na egzamin odbywają się poprzez
stronę
http://www.isaca.org/cism
22
 Na egzaminie weryfikowana jest wiedza
kandydatów z następujących obszarów:
 Information Security Governence - około 21%
pytań
 Risk Management - około 21% pytań
 Information Security Program(me) Mgt. - około
21% pytań
 Information Security Management - około 24%
 Response Management - około 13% pytań
23
 Pomyślne zdanie egzaminów nie jest jednak tożsame z
uzyskaniem certyfikatu. Często przyszli CISM czekają
jeszcze kilka lat na zdobycie wymaganego doświadczenia.
Utrzymanie certyfikatu również wymaga pewnego wysiłku.
 CISM muszą:
 przestrzegać postanowień Kodeksu Etyki Zawodowej,
 regularnie opłacać należne składki do ISACA Int
(niezależne od składek członkowskich)
 wykazać się nieustannym poszerzaniem swojej wiedzy
zgodnie z Polityką Ustawicznego Kształcenia.
W przeciwnym wypadku certyfikat zostanie odebrany.
24
CGEIT™ - Certified in the Governance of Enterprise IT™
 Certyfikat CGEIT jest skierowany do osób,
które są odpowiedzialne za zarządzanie i
nadzór nad informatyką. Jest to najnowszy
certyfikat ISACA, związany z zagadnieniami
IT Governance. Certyfikat CGEIT
przyznawany jest od 2008 roku.
25
 Certyfikat CGEIT można zdobyć w dwojaki
sposób: Do 31 grudnia 2008 roku można
skorzystać z możliwości certyfikacji bez
potrzeby zdawania egzaminu (tzw.
grandfathering program).
 Aby uzyskać certyfikat należy wykazać
minimum 8-letnie doświadczenie w obszarze
IT Governance.
 Uzyskać pozytywny wynik na egzaminie
CGEIT oraz spełnić wymagania dla
certyfikacji CGEIT.
26
 Egzamin CGEIT obejmuje następujące
zagadnienia: Ramy nadzoru i ładu
informatycznego (IT governance frameworks)
 Ujednolicenie strategiczne (Strategic
alignment)
 Zarządzanie zasobami (Resource
management)
 Zarządzanie ryzykiem (Risk management)
 Pomiar sprawności (Performance
measurement)
 Dostarczanie wartości (Value delivery)
27
pytań wielokrotnego wyboru.
 Aby uzyskać pozytywny wynik egzaminu
kandydat musi uzyskać 450 punktów w
ważonej skali od 200 do 800 punktów.
 Można to porównać z koniecznością
odpowiedzi na ponad 75% pytań.
28
 Wymagania dla certyfikacji CGEIT Minimum
5 lat doświadczenia zawodowego w obszarze
IT Governance
 Zobowiązanie do przestrzegania postanowień
Kodeksu Etyki Zawodowej
 Uregulowanie opłaty za certyfikat CGEIT
 Nieustanne poszerzanie wiedzy zgodnie z
Polityką Ustawicznego Kształcenia
29
ISACA - definicja audytu informatycznego
 audyt informatyczny to „ [...] proces zbierania i
oceniania dowodów w celu określenia czy system
informatyczny i związane z nim zasoby właściwie
chronią majątek, utrzymują integralność danych i
dostarczają odpowiednich i rzetelnych informacji,
osiągają efektywnie cele organizacji, oszczędnie
wykorzystują zasoby i stosują mechanizmy
kontroli wewnętrznej tak aby dostarczyć
rozsądnego zapewnienia, że osiągane są cele
operacyjne i kontrolne oraz że chroni się przed
niepożądanymi zdarzeniami lub są one na czas
wykrywane a ich skutki na czas korygowane.”
30
Audyt informatyczny obejmuje następujące dziedziny
 Zebranie i uporządkowanie informacji o
posiadanej infrastruktury sprzętowej –
dokładna inwentaryzacja posiadanych
przez organizację zasobów sprzętowych,
co przyczynia się do zwiększenia
efektywności wykorzystania i zarządzania
dostępnym sprzętem. Jest to wymagane
przy opracowywaniu strategii inwestycyjnej
przedsiębiorstwa lub organizacji.
31
 Identyfikacja najczęściej występujących
problemów – audyt pozwala na określenie
najczęściej występujących problemów na
poszczególnych stanowiskach, dzięki
czemu można przewidzieć ich wystąpienie
na podstawie symptomów oraz zapobiegać
ich ponownemu wystąpieniu. Można
również na tej podstawie określić stopień
zapotrzebowania przedsiębiorstwa na
obsługę informatyczną swojej
infrastruktury.
32
 Weryfikacja oprogramowania – dokonywana
przez określenie poprawności wykonanych
instalacji oprogramowania a także weryfikacja
jego legalności. Pozwala na zmniejszenie
awaryjności i zwiększenie produktywności
poszczególnych stanowisk komputerowych.
Ponadto weryfikacja legalności
oprogramowania oszczędza przedsiębiorstwu
przykrych konsekwencji prawnych związanych
z nielegalnym wykorzystywaniem
licencjonowanego oprogramowania.
33
 Określenie stanu infrastruktury –
przeprowadzenie audytu w tej dziedzinie
pozwala na określenie potrzeb
przedsiębiorstwa w dziedzinie informatyki.
Taka kontrola pozwala na zgromadzenie
informacji na temat konserwacji
poszczególnych elementów infrastruktury
informatycznej. Na tej podstawie można podjąć
decyzje dotyczące modernizacji istniejącej
infrastruktury lub wprowadzenia do niej
nowych technologii, czyli zaplanowania polityki
informatycznej w firmie.
34
 Zwiększenie efektywności pracy – poprzez
opracowanie szczegółowych raportów
można określić stopień efektywnego
wykorzystania zasobów firmy, dzięki czemu
można zastosować działania pozwalające
na bardziej efektywne wykorzystanie
dostępnych zasobów.
35
Rodzaje audytu
K O N I E C

Adresacja w sieciach komputerowych

Transkrypt

Podobne dokumenty

AUDYT WEWNĘTRZNY I KONTROLA WEWNĘTRZNA

Załącznik nr 3

AUDYT I KONTROLA WEWNĘTRZNA

Audyt informatyczny dla małych i średnich przedsiębiorstw.

Kodeks etyki zawodowej

dr Iwona Cieślak Doktor nauk ekonomicznych w zakresie nauk o

„Sekretem biznesu jest wiedzieć to, czego nie

Szk_audyt wewnętrzny

Rodzaje audytu strony internetowej