«Powrót

Notatka z XXXVI całodziennego spotkania audytorów wewnętrznych jednostek sektora finansów publicznych z dnia 22 maja 2013 r.

Notatka z XXXVI całodziennego spotkania audytorów wewnętrznych jednostek sektora finansów publicznych z dnia 22 maja 2013 r.

Notatka z XXXVI całodziennego spotkania audytorów wewnętrznych jednostek sektora finansów publicznych z dnia 22 maja 2013 r.

W ramach kontynuacji wspólnej inicjatywy Departamentu Audytu Sektora Finansów Publicznych (dalej Departament DA) oraz Stowarzyszenia Audytorów Wewnętrznych IIA Polska (dalej SAW IIA) w dniu 22 maja 2013 r. w Ministerstwie Finansów odbyło się całodzienne spotkanie audytorów wewnętrznych jednostek sektora finansów publicznych.

Spotkanie zostało poświęcone zagadnieniom dotyczącym standardów zarządzania usługami i bezpieczeństwem teleinformatycznym w kontekście obowiązków wynikających z Krajowych Ram Interoperacyjności[1] (dalej KRI) i kontroli zarządczej.

Na wstępie głos zabrała Pani Izabela Leszczyna, Sekretarz Stanu w Ministerstwie Finansów. Pani Minister powitała uczestników spotkania i podkreśliła, że audytorzy wewnętrzni są ważnymi partnerami nie tylko dla kierowników swoich jednostek, ale także dla Ministra Finansów, ponieważ ich działania w decydującym stopniu przyczyniają się do poprawiania jakości funkcjonowania sektora publicznego. W przekonaniu Pani Minister spotkanie wzbogaci wiedzę uczestników i pomoże znaleźć najlepsze rozwiązania w celu wdrożenia zapisów rozporządzenia w sprawie KRI. Pani Minister także podziękowała Prelegentom i SAW IIA za wsparcie przy organizacji spotkania.

Spotkanie poprowadziła Pani Agnieszka Giebel, Dyrektor Departamentu DA. Pani Dyrektor poinformowała, że tematyka spotkania obejmować będzie zarządzanie usługami IT, bezpieczeństwo IT, wymogi KRI i związki tego obszaru z audytem wewnętrznym i kontrolą zarządczą.

SAW IIA Polska reprezentował Pan Sebastian Burgemejster, Kierownik Zespołu Audytów Polskiej Agencji Żeglugi Powietrznej, CISA, CCSA, CGAP, CRMA, który wyjaśniając powód wyboru zagadnień dotyczących norm ISO, jako tematyki omawianej podczas spotkania, wskazał na ich aktualność związaną z wprowadzeniem do obowiązujących przepisów prawa regulacji w zakresie KRI.

Spotkanie składało się z dwóch paneli, z czego pierwszy został poświęcony zagadnieniom dotyczącym wymogom norm ISO serii 27000, normy ISO 22301 - bezpieczeństwo informacji i ciągłość działania oraz normy ISO 20000 - zarządzanie usługami IT. Natomiast drugi panel dotyczył wyjaśnienia kwestii powiązania norm ISO z KRI i kontrolą zarządczą oraz roli audytu wewnętrznego we wdrażaniu wymogów KRI. Na zakończenie spotkania miała miejsce dyskusja, której przebieg ilustruje załącznik do niniejszej notatki.

Pierwszy panel rozpoczął Pan dr Piotr Dzwonkowski, Dyrektor ds. Rozwoju e-Learning ISSA Polska, wystąpieniem pt. „Wymogi norm ISO serii 27000". Prelegent wskazał na różnice pomiędzy wdrożeniem normy ISO 27001 (wypełnianiem wymogów normy), a certyfikacją w tym zakresie (stwierdzeniem niezależnych audytorów o wypełnianiu warunków normy) oraz korzyści wynikające z obydwu tych rozwiązań. Norma ISO 27001  jest standardem systemu zarządzania bezpieczeństwem informacji, który jest rozpoznawalny na całym świecie. Norma ta nie zakłada uzyskania doskonałości już na wstępie, lecz określa, w jaki sposób proces zarządzania bezpieczeństwem informacji można doskonalić i zapewniać lepszą ochronę aktywów informacyjnych. Ważną kwestią jest dostarczanie przez normę ISO 27001 kompletnej listy celów kontrolnych i zabezpieczeń dla bezpieczeństwa informacji. Według Prelegenta KRI zawiera 14 punktów określających typy zabezpieczeń, które są jedynie skrótem z normy ISO 27001, a więc nie można ich określić jako kompletne.

Zdaniem Pana Dzwonkowskiego, wdrożenie normy ISO 27001 daje pewność, że wszystkie aspekty zabezpieczenia zostały wzięte pod uwagę, zaś system bazuje na wynikach procesu zarządzania ryzykiem. Przyjęcie takiego rozwiązania ułatwia, w razie potrzeby, zmianę firmy doradczej ponieważ działając według przyjętych schematów następny wykonawca podejmie pracę w punkcie, w którym zakończył poprzednik. Niewątpliwą zaletą wdrożenia normy jest także łatwość wymiany informacji pomiędzy organizacjami, które ją stosują.

Najważniejszymi korzyściami z certyfikacji są: wyznaczenie celu dla organizacji, niezależna ocena wdrożenia normy, wzmocnienie wizerunku organizacji, wzmocnienie zaufania do organizacji i ograniczenie sporów sądowych (w przypadku sporu zawsze można użyć argumentu, że organizacja dołożyła wszelkich starań, tj. certyfikowała się i postępowała zgodnie z wymogami normy ISO 27001). Pan Dzwonkowski przypomniał, że norma ISO 27001 wymaga wprowadzenia miar sukcesów wprowadzenia zabezpieczeń. Jako źródło takich miar wskazał system COBIT.

Następnie Prelegent omówił inne normy z grupy ISO 27000. Szczególną uwagę zwrócił na normę ISO 27005, która dotyczy zarządzania ryzykiem w bezpieczeństwie informacji oraz normę ISO 27006, zawierającą wymagania dla jednostek prowadzących audyt i certyfikację systemu zarządzania bezpieczeństwem informacji (ta norma określa, w jaki sposób będzie przebiegała certyfikacja).

Prelegent podkreślił, że KRI wskazują, że należy wdrożyć taki system zarządzania bezpieczeństwem informacji, który zapewni informacji będącej w dyspozycji jednostki prawidłowe funkcjonowanie w 3 aspektach: poufności (tylko osoby uprawnione mogą mieć dostęp do danej informacji), integralności (inaczej: poprawności – informacja ma być zgodna z oczekiwaniami i kompletna) oraz dostępności (ma być dostępna dla odbiorców w uzgodnionym czasie). Inną ważną cechą informacji jest rozliczalność (odpowiedzialność administratora wynikająca z tzw. „dziennika zdarzeń", w którym muszą być rejestrowane wszystkie czynności dokonane wobec informacji oraz kto ich dokonał – odtworzenie tych danych powinno być możliwe na dwa lata wstecz).

Następnie Prelegent omówił podstawowy dokument związany z normą ISO 27005 - tzw. „deklarację stosowania". Na dokument składa się wyliczenie ryzyk razem ze sposobami ich eliminacji. Jest to podstawowy dokument, który trzeba stworzyć i zgodnie z nim postępować.

Pan Dzwonkowski zwrócił też uwagę, że nazwa „system" według ISO oznacza najlepszy sposób. Zgodnie z ISO nie istnieje najlepszy sposób zarządzania ryzykiem, z tego powodu np. w normie ISO 27005 – Zarządzanie ryzykiem w bezpieczeństwie informacji nie ma użytego określenia „system".

Uczestnicy spotkania mieli również możliwość zapoznania się z procesem tworzenia systemów. Wszystkie systemy są oparte na pętli Deminga PDCA, który składa się z następujących etapów: ustanawianie, wdrażanie, monitorowanie, a następnie doskonalenie systemu. Na uwagę zasługuje stwierdzenie, że aby móc dokonać porównania w następnej pętli, najpierw muszą zostać ustanowione stabilne kryteria.

Prezentacja zawierała też interesujące porównanie wymagań dotyczących bezpieczeństwa informacji wynikające z KRI i normy ISO 27001.

Kolejna prezentacja, przedstawiona przez Panią Sylwię Wystub, Prezes Zarządu Stowarzyszenia ISACA Katowice, dotyczyła  „Wymogów  normy  ISO 22301", która odnosi się do ciągłości działania. Zdaniem Prelegentki ciągłość działania to minimalizacja zakłóceń i maksymalizacja efektywności odzyskiwania sprawności.

Standard ISO 22301 został opublikowany w maju 2012 r. jako pierwsza międzynarodowa norma, zawierająca ramy dla identyfikacji kluczowych czynników ryzyka mających wpływ na organizację oraz na utrzymanie jej działań w najtrudniejszych warunkach – dotyczy systemu zarządzania ciągłością działania (Business Continuity Management - BCM). Norma została opracowana w celu zminimalizowania ryzyka zakłóceń. Powstała na bazie brytyjskiego standardu BS 25999 (pierwszej na świecie normy z zakresu BCM). Nowy międzynarodowy standard ISO w większości kluczowych obszarów jest z nią zbieżny, jednak kładzie większy nacisk m.in. na zrozumienie idei BCM oraz wyznaczanie jego celów.

Prelegentka wskazała, że norma ISO 22301 ma na celu zagwarantowanie działania jednostek w najbardziej wymagających i niespodziewanych sytuacjach - w ten sposób ma chronić personel i reputację jednostki oraz podtrzymywać zdolność do dalszego działania. Wg Prelegentki nieprzerwane działanie w przypadku zakłóceń (wielkiej katastrofy, czy też małego incydentu) jest fundamentalnym wymogiem dla każdej jednostki.

System zarządzania ciągłością działania ISO 22301 może być wdrożony przez każdą organizację, która chce ustanowić, wdrożyć, utrzymać i doskonalić system zarządzania ciągłością działania, zapewnić zgodność z ustanowioną polityką ciągłości biznesu, samodzielnie zadeklarować zgodność z międzynarodowym standardem ISO 22301.

Korzyści wynikające z wdrożenia wymagań normy ISO 22301:

  • redukowanie do minimum wystąpienia zakłóceń w organizacji,
  • zapewnienie możliwości odtworzenia zdolności organizacji do ponownego działania w określonym czasie i na ustalonym poziomie, w obliczu nieplanowanych zdarzeń,
  • podniesienie wiarygodności firmy w oczach klientów,
  •  zabezpieczenie przewagi konkurencyjnej poprzez zapewnienie zdolności do funkcjonowania niezależnie od niekorzystnych czynników,
  • zapewnienie skutecznego reagowania na sytuacje kryzysowe dzięki odpowiednim procedurom,
  • zapewnienie wizerunku jednostki jako przygotowanej na nieprzewidziane zdarzenia i tym samym chroniącej swoich pracowników, klientów przed nieprzewidzianymi zdarzeniami.

Pan dr inż. Bolesław Szomański reprezentujący Politechnikę Warszawską, Wiceprzewodniczący Sekcji Bezpieczeństwa Informacji PTI, Członek komisji rewizyjnej ISACA Katowice i CSA Polska, LA 27001przedstawił prezentację na temat„Wymogi normy ISO 20000". Norma ISO 20000 jest międzynarodowym standardem dla zarządzania usługami IT, która wywodzi się z brytyjskiego standardu BS 15000 i zawiera opis zintegrowanego pakietu procesów zarządzania usługami IT. Określa ona wymagania i wskazuje wytyczne w zakresie ustanowienia, wdrożenia, eksploatacji, monitorowania i doskonalenia systemu zarządzania usługami IT w organizacji.

Należy ją traktować jako zbiór celów dla informatyki, podczas gdy Information Technology Infrastructure Library (ITIL) pozostaje zbiorem odpowiedzi, jakie działania są konieczne do realizacji tych celów (co należy zrobić, aby sprostać przedstawionym wymaganiom).

Norma ISO 20000 składa się z dwóch części:

  • ISO 20000-1:2005– to zestaw powiązanych ze sobą procesów zarządzania usługami IT oraz definicja wymagań dla organizacji IT,
  • ISO 20000-2:2005- zestaw dobrych praktyk dla organizacji zarządzających usługami IT oraz wskazówki dla audytorów.

ISO 20000 pogrupowało procesy ITIL w pięć obszarów i trzynaście procesów. Fundamentem standardu jest pojęcie usługi IT, z której korzysta organizacja, a której dostarczeniem zajmuje się dział informatyki. Dostarczanie usług podlega zarządzaniu poprzez wymienione w normie procesy. Zidentyfikowane i opisane w standardzie procesy w kompleksowy sposób obejmują działania, które należy realizować w celu zapewnienia sprawnego funkcjonowania organizacji IT w otoczeniu biznesowym.

Z prezentacji Pana Szomańskiego wynika, że norma ISO 20000 pozwoli jednostkom wykazać się przed klientami i inwestorami działaniem zgodnym z zasadami rzetelności i bezpieczeństwa biznesu oraz dbaniem o ciągłe podnoszenie jakości zarządzania usługami IT. Jest to jedyny system zarządzania, w którym są zdefiniowane procesy.

Z wypowiedzi Prelegenta wynika, że norma ISO 20000 jest dostępna dla każdej organizacji, dużej i małej, z dowolnej branży, która korzysta z rozwiązań informatycznych, we wszystkich częściach świata. Norma ta dotyczy przede wszystkim wewnętrznych dostawców usługi IT, takich jak działy informatyczne, ale i zewnętrznych dostawców usług, takich jak organizacje świadczące usługi IT w ramach outsourcingu. Pozytywne oddziaływanie tej normy już daje się odczuć w najważniejszych branżach zależnych od usług IT, takich jak outsourcing procesów biznesowych, telekomunikacja, finanse czy sektor publiczny.

W dalszej części sesji miał miejsce panel dyskusyjny pomiędzy Prelegentami na temat wymogów omawianych norm oraz wytycznych do wdrożenia i utrzymywania systemów zarządzania. Dyskusję w trakcie panelu moderował Pan Sebastian Burgemejster.

Druga sesja spotkania dotyczyła wyjaśnienia kwestii powiązania norm ISO z KRI i kontrolą zarządczą oraz roli audytu wewnętrznego we wdrażaniu wymogów KRI.

Prezentację, dotyczącą realizacji obowiązków wynikających z KRI w kontekście kontroli zarządczej i audytu wewnętrznego przedstawiła Pani Agnieszka Boboli, Doradca Ministra Administracji i Cyfryzacji, CISA.

Prelegentka wielokrotnie podkreśliła rolę kierownika jednostki, który jest odpowiedzialny za całość gospodarki finansowej, w tym wykonywanie obowiązków w zakresie kontroli zarządczej. Przepisy dają kierownikowi jednostki dużą autonomię w wykorzystaniu różnych środków zapewniania kontroli zarządczej, np. do kierownika należy decyzja dotycząca możliwości zakupu norm, o których była mowa we wcześniejszej części spotkania. Prelegentka wskazała również, że istotnym narzędziem pomocniczym w realizacji zadań kierownika są standardy kontroli zarządczej dla jednostek sektora finansów publicznych wydane przez Ministra Finansów[2]. Przykładowo kierownictwo Centrum Projektów Informatycznych wykorzystało standardy kontroli zarządczej do opracowania tzw. planu naprawczego, w sytuacji zablokowania przez Komisję Europejską finansowania projektów. Standardy okazały się tak przydatnym narzędziem, ujmującym wszystkie obszary działania jednostki, że opracowany według nich plan naprawczy okazał się wzorcowym, a jego wdrożenie spowodowało odblokowanie źródeł finansowania projektów UE.

Omawiając rolę kierownika jednostki, Pani Boboli podkreśliła, że kwestia przywództwa pojawia się również we wszystkich omawianych wcześniej normach. Bez wsparcia kierownika jednostki nie da się zatem prowadzić w jednostce efektywnej polityki bezpieczeństwa. Uregulowanie kwestii audytu wewnętrznego, dotyczącego bezpieczeństwa teleinformatycznego, jest również rolą kierownika jednostki. Dokonując wyboru wykonawcy tego audytu, kierownik powinien wziąć pod uwagę takie kryteria jak kwalifikacje, doświadczenie, znajomość metodyk audytu w zakresie bezpieczeństwa informacji oraz niezależność.

W dalszej części sesji odbyła się dyskusja pomiędzy Prelegentami a uczestnikami spotkania na temat praktycznego stosowania wytycznych wynikających z KRI oraz problemów związanych z wyjaśnieniem kwestii obowiązków audytorów wewnętrznych w zakresie audytu wewnętrznego systemu bezpieczeństwa informacji. Do Prelegentów dołączył Pan Krzysztof Politowski z Departamentu Informatyzacji Ministerstwa Administracji i Cyfryzacji.

Na zakończenie spotkania Pani Dyrektor Agnieszka Giebel podziękowała Prelegentom oraz uczestnikom spotkania za aktywny udział oraz interesujące dyskusje, wyrażając nadzieję, że przedstawione zagadnienia będą pomocne przy wdrażaniu przepisów dotyczących bezpieczeństwa informacji w jednostkach sektora publicznego.  

Uszczegółowienie dyskusji (plik pdf, 71,5 KB)

Przedstawione podczas spotkania prezentacje:

Wymogi norm ISO seria 27000 (plik pdf, 1,16 MB) / dr Piotr Dzwonkowski

Wymogi normy ISO 22301 (plik pdf, 1,18 MB) / Sylwia Wystub

Wymogi normy ISO 2000 (plik pdf, 247 KB) / dr Bolesław Szomański

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą (plik pdf, 889 KB) / Agnieszka Boboli 



[1]
rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, Dz. U. poz. 526.

[2] komunikat Nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. MF Nr 15, poz. 84)

bip

Informacje o publikacji dokumentu

 
Data utworzenia: 18.06.2013 Data publikacji: 18.06.2013 09:31 Data ostatniej modyfikacji: 11.05.2020 15:49
Autor: Departament Audytu Sektora Finansów Publicznych Osoba publikująca: Elżbieta Książkiewicz Osoba modyfikująca: Paulina Pawlik
Rejestr zmian
«Powrót