1 / 11

IS Auditing Guideline Post – Implementation Review Pregled po uvedbi

IS Auditing Guideline Post – Implementation Review Pregled po uvedbi Boža Javornik, CISA, namestnica CIO Nova Ljubljanska banka d.d .,. Referenčni model COBIT. P02 – definirana IT arhitektura P04 – opredeljena organizacija IT in organizacijska umestitev P05 – obvladovanje IT investicij

ginata
Télécharger la présentation

IS Auditing Guideline Post – Implementation Review Pregled po uvedbi

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IS Auditing Guideline • Post – Implementation Review • Pregled po uvedbi • Boža Javornik, CISA, namestnica CIO • Nova Ljubljanska banka d.d.,

  2. Referenčni model COBIT • P02 – definirana IT arhitektura • P04 – opredeljena organizacija IT in organizacijska umestitev • P05 – obvladovanje IT investicij • P08 – zagotoviti skladnost z predpisi • P010 – vodenje projektov • P011 – vodenje kakovosti • AI1 – identifciranje IT rešitev • AI2 – pridobivanje in vzdrževanje aplikacij • AI3 – pridobitev in vzdrževanje IT tehnološke infrastrukture • AI5 – instalacija in zagon sistemov • AI6 – obvladovanje sprememb • DS7 - izobraževanje in uvajanje uporabnikov • DS11- obvladovanje podatkov • M1 – nadzor procesov • M2 – ocenitev notranjih kontrol • M3 – pridobitev neodvisnega mnenja • M4 izvedba neodvisen revizije

  3. Cilji smernice / pregleda • Opredeliti najboljšo prakso izvedbe pregledov po uvedbi • Preveriti, če so IT rešitve / spremembe dosegle poslovne cilje, če je bila zagotovljena pričakovana uspešnost in učinkovitost z ciljem učenja za prihodnost • Napotke iz smernice je mogoče uporabiti tudi za “neuspešne projekte”, da se identificirajo elementi, ki pomenijo podlago za zaustavitev / opustitev projekta • Orodje za revizorja za pripravo profesionalne presoje

  4. Obseg in cilji pregleda po uvedbi • Namen pregleda takoj po uvedbi rešitve je ovrednotiti: • Ali so bili cilji uvedbe rešitve doseženi • Ali so stroškovni učinki rešitve enaki tistim iz finančnega plana • Ali je učinkovitost procesa primerna • Identificirati vzroke za zamude, preseganje stroškov, odstopanje od kvalitete, nivoja uspešnosti in učinkovitosti rešitve • Performančne značilnosti nove rešitve in vpliv rešitve na učinkovitejše poslovne procese • Ali je poslovni proces učinkovit in nivo notranjih kontrol ustrezen • Ali so načela varnosti vključno s pristopnimi pravicami ustrezno implementirana • Ali so uporabniki ustrezno usposobljeni • Ali so rešitve obvladljive za vzdrževanje in nadaljnje dopolnjevanje in je obvladovanje sprememb lahko učinkovito in uspešno • Ali so rešitve skladne z zakonodajo in notranjimi predpisi in standardi • Ali je delovanje rešitve skladno s kontrolnimi cilji po COBIT-u – najboljšo prakso • Kake so priložnosti za izboljšanje rešitev v procesu uvajanja in uporabe

  5. Dopolnilni cilji pregleda pri uvedbi • Preveriti je mogoče / potrebno • Ali je uvedena rešitev ustrezno sledila / sledi poslovne aktualne cilje • Ali so procesi ustrezni in so vgrajene kontrole take da od vnosa, preko procesiranja in izhoda zagotavljajo, da so podatki popolni, točni, informacije zanesljive in pravočasne • Ali so kontrole vodstvenega nadzora vzpostavljene tako, da so sledljive • Ali se rešitev ustrezno vpenja v MIS in računovodske rešitve in poročanje • Ali so varnostne nastavitve ustrezne in predvidene pristopne kontrole uvedene • Ali so rešitve izvedene tako, da je zagotovljena razpoložljivost in so tveganja prekinitev obvladovana tako, da ni tveganj izgube integritete • Ali je zagotovljen skrbniški sistem, ki zagotavlja vzdrževanje brez tveganja odvisnosti od kritičnih posameznikov • Ali obstaja pomanjkljivost v procesih, kontrolah, ki pomeni tveganje

  6. Ocena učinkov uvedbe rešitev / izpolnitev “poslovnega primera” • To je lahko samostojen pregled • Smiselnost odvisna od kakovosti poslovnega primera / opredelitve merljivosti učinkov in od sposobnosti ugotavljanja stroškov delovanja in obvladovanja IT rešitve • V primeru izvedbe je potrebno upoštevati: • Naravo IT rešitve • Obseg in namen uporabe • Kritičnosti IT rešitve za doseganje poslovnih ciljev • Opredelitve pomembnosti doseganja posameznih ciljev s strani poslovnega vodstva • Kakšni so bili zaključki / odločitve ob vmesnih fazah razvoja in uvedbe

  7. Revizorjeva profesionalna skrbnost • Upoštevati: • Predhodne revizije • Ustrezen izbor / vključenost revidirancev (projektnega vodenja, uporabnikov, IT arhitektov in strokovnjakov za operativo, …) • Potrebna znanja, morebitno potrebo po uporabi specialistov • Obseg in cilje pregleda po uvedbi (zagotovitev objektivnosti in neodvisnosti) • Natančen dogovor o standardih / primerljivi praksi izvedbe ocene

  8. Izvedba pregleda / doseganje ciljev • Predpogoji: • Projekt ne sme biti v fazi začetne uvedbe / odprave “porodnih težav” • Razpoložljivost dokumentacije & informacij kot elementov “revizijskih sledi” projektnega vodenja in izvedbe projekta • Dokumentiranost odločitev v zvezi z obsegom, cilji, dinamiko razvoja in uvajanja, identificiranimi tveganji • Zadosten in kompetenten tim in ustrezen časovni okvir za pregled

  9. Izvedba pregleda / doseganje ciljev • Aktivnosti: • Študij dokumentacije • Analiza ustreznosti metrik za doseganje ciljev / rezultatov (poslovni primeri) • Uporaba po-uvedbenih analiz doseganja ciljev pri uporabnikih iz izvajalcih na projektu in projektnem vodstvu • Uporaba CAATs za hitro preverjanje delovanja kontrol • Priprava predlogov za izboljšave kontrol, učinkovitosti rešitve • Priporočila za primer “na napakah se učimo” in “uspehe posnemamo”

  10. Koristi iz pregleda • Ugotovitev (preveritev) stroškov načrtovani / dejanski • Ovrednotene koristi po uvedbi v primerjavi z pričakovanimi učinki • Izračun možnosti poplačila investicije • Ovrednotenje dejanskih prihrankov v primerjavi z načrtovanimi • Izvedba projekta v časovnih okvirih plana in ovrednotenje odstopanj ter vzrokov zanje • Doseganje objektnih ciljev • Doseganja QA na projektnem delu in sicer • Analiza učinkovitosti izrabe kapacitet: planirane / dejanske • Doseganje uporabniških pričakovanj • Indentifikacija potencialnih novih priložnosti za izboljšave informacijskega sistema, odziva na tržne potrebe • “Lesson learend”

  11. Vsebina poročila • Obseg, cilji, metodologija uporabljena za “merilo” • Ocena doseganja poslovnih ciljev : doseženo, ….. • Ocena procesa razvoja in uvajanja v smislu skladnosti, uspešnosti, učinkovitosti, morebitne slabosti in pomanjkljivosti • Priporočila za odpravo pomanjkljivosti, za izboljšave • Priporočila za obvladovanje identificiranih tveganj • Ocena zrelosti procesa – merila COBIT • Priporočila za projektno, razvojno delo in način uvedbe - “lesson learned”

More Related