Nowa wersja 
Opublikowana została nowa wersja Intaco, a w niej archiwizacja Matrycy Funkcji Kontroli oraz generowanie
raportów w tle
BIBLIOTEKA
TYP
NAZWA DOKUMENTU
DATA
SALA KINOWA
FAQ
Administrowanie
Lista kodów błędów jakie mogą pojawić się przy logowaniu dostępna jest pod poniższym linkiem
Kody błędów logowania.
Do pracy aplikacji Intaco niezbędne są zasoby i usługi dostępne pod następujacymi adresami:
Adresy usługi logowania do AAD.
- System wymusi zmianę hasła przy pierwszym logowaniu do portalu Azure https://portal.azure.com lub do aplikacji: https://app.intaco.com.pl
- Proponuję na początku zalogować się do portalu Azure w celu dodania użytkowników, a następnie zalogować się do aplikacji.
- Przy tworzeniu użytkowników proszę pamiętać o wypełnieniu pól w zakładce profil, wprowadzone tam dane (Imię, Nazwisko) są używane do identyfikacji użytkowników w aplikacji. W przypadku osób o identycznym imieniu i nazwisku, konieczne będzie wprowadzenie wyróżnika np. dodatkowego inicjału.
- Przy pierwszym logowaniu do aplikacji administrator domeny zostanie poproszony o autoryzację aplikacji w domenie, aby korzystać z aplikacji należy udzielić autoryzacji.
- Użytkownik jakiego utworzyłem ma nadane w aplikacji uprawnienia Administratora lokalnego.
- Po zalogowaniu do aplikacji proponuję przejść do modułu Słowniki i wybrać słownik Użytkownicy, następnie zaimportować użytkowników z katalogu Azure AD i odświeżyć ekran.
- Po zaimportowaniu użytkowników administrator lokalny musi autoryzować dostęp do aplikacji dla użytkowników domeny Azure AD, służy do tego specjalny przycisk na ekranie słownika Użytkownicy. Jest to akcja jednorazowa, po jej wykonaniu także użytkownicy, którzy zostaną dodani później do katalogu Azure AD uzyskają dostęp do aplikacji. Ze względów bezpieczeństwa procedura autoryzacji jest dwustopniowa i wymaga autoryzacji w obydwu serwisach, aplikacji oraz Azure AD.
- Ostatnia czynnością jest nadanie użytkownikom w aplikacji odpowiednich ról.
- W katalogu AD znajdzie Pan użytkownika tenant.admin01@intaco.com.pl to jest użytkownik, za pomocą którego został utworzony Państwa katalog Azure AD. Może Pan usunąć tego użytkownika w dowolnym momencie, z tą chwilą stracimy dostęp do Państwa katalogu.
Słowniki
Funkcja Kierownika komórki może być przyporządkowana jednemu pracownikowi. To funkcja, która jako jedyna ma uprawnienia do tworzenia planów kontroli i akceptowania programów badań tworzonych pod te plany kontroli. Jeżeli w Banku za te czynności będzie odpowiedzialna tylko jedna osoba to właśnie ona powinna mieć taką rolę. Jeżeli natomiast planujemy, aby możliwość tworzenia planów kontroli (czy to tych wynikających z kontroli wewnętrznej, czy też kontroli zgodności lub audytu wewnętrznego) taką rolę powinny mieć przypisane wszystkie osoby, które będą w Banku tworzyć plany i zatwierdzać pod te plany programy badania.
Tak. W każdym momencie można dokonać zmiany funkcji i roli użytkowników. Jednak należy mieć na uwadze konsekwencje takiej zmiany. Np. cofnięcie roli audytora spowoduje brak uprawnień wynikających z tej roli również na archiwalnych planach i programach badań.
W słowniku DOKUMENTY dobrze by było, aby były wprowadzone wszystkie dokumenty, z których korzysta Audytor. Te wymagane regulacjami są wprowadzone jako „Nazwy rekomendowane" i należy wprowadzić dla nich nazewnictwo stosowane w Banku (jeżeli jest inne) jako „Nazwa własna". Przy wprowadzaniu nazw własnych należy pamiętać, żeby nazwy te odpowiadały zawartości, bo w systemie są zdefiniowane powiązania pomiędzy obszarami a dokumentami, tak, aby domyślnie były zaznaczone wymagane podczas badania dokumenty.
Funkcja Kierownika komórki może być przyporządkowana jednemu pracownikowi. To funkcja, która jako jedyna ma uprawnienia do tworzenia planów kontroli i akceptowania programów badań tworzonych pod te plany kontroli. Jeżeli w Banku za te czynności będzie odpowiedzialna tylko jedna osoba to właśnie ona powinna mieć taką rolę. Jeżeli natomiast planujemy, aby możliwość tworzenia planów kontroli (czy to tych wynikających z kontroli wewnętrznej, czy też kontroli zgodności lub audytu wewnętrznego) taką rolę powinny mieć przypisane wszystkie osoby, które będą w Banku tworzyć plany i zatwierdzać pod te plany programy badania.
Przyczyną błędu jest przekroczenie dopuszczalnej ilości znaków. Dopuszczalna ilość znaków dla nazwy procesu i nazwy dokumentu wynosi 100 znaków. Proszę zatem o wprowadzanie nazwy (np. z użyciem skrótów) tak, aby nie przekroczyć tej wartości.
Plan kontroli
Plany kontroli nie muszą pokrywać całej matrycy, ponieważ w matrycy funkcji kontroli mogą się znaleźć procesy, w których mechanizmy kontrolne podlegają tylko weryfikacji bieżącej, a nie są objęte testowaniem.
Plany kontroli powinny tak naprawdę obejmować wszystkie te obszary, dla których w matrycy zostało zdefiniowane testowanie.
Mogą Państwo na wzorcowej matrycy dokonywać zmian, tak aby matryca odpowiadała Państwa potrzebom. Można edytować poszczególne elementy matrycy i np. usunąć z nich „testowanie" – jeżeli uważacie Państwo, że dla danego procesu, nie będą Państwo przeprowadzać testowania.
Dodatkowo oczywiście plany kontroli mogą dotyczyć innych planowanych w banku kontroli, nie tylko tych wynikających z matrycy. Np. samoocena, badanie zgodności regulacji wewnętrznych z wymogami zewnętrznymi itp.
Tworzenie planów przez kierowników oddziałów, to rozwiązania są dwa: Pierwszy polega na tym, że kierownik oddziału otrzymuje w aplikacji rolę kierownika komórki i tworzy samodzielnie plany kontroli, a drugi polega na tym, że kierownik komórki tworzy jeden plan kontroli dla każdego oddziału wyznaczając jako audytora wiodącego - kierownika oddziału, który to dowolnie tworzy w ramach własnych kompetencji programy badań i sam planuje terminy, obszary, zakresy, dobór próby itp.
Właśnie taką funkcjonalność ma pełnić Program Badania. To znaczy, w Planie Kontroli określamy szeroki zakres dotyczący kontroli np. dany kwartał (01.01.2018 - 31.03.2018), dane półrocze (01.01.2018 - 30.06.2018) lub nawet cały rok (01.01.2018 - 31.12.2018), natomiast w Programie Badania rolą Audytora Wiodącego czyli np. dyrektora jest zaplanowanie kontroli określając jego dokładne terminy. Wstępnie określone w Planie kontroli przedziały czasu jak najbardziej powinny być modyfikowane w Programie Badania przez Audytora Wiodącego na bardziej konkretne z tym zastrzeżeniem, że muszą się mieścić w terminach wynikających z Planu Kontroli, czyli można zawężać, ale nie można rozszerzać tych terminów.
Dla celów testowych można założyć jeden plan kontroli zaznaczając w nim wszystkie obszary, a programem badania dokonać ograniczenia zakresu, który chcemy przetestować. Aby wyniki w żaden sposób nie wpływały na statystyki, należy plan kontroli założyć dla "Testowej" jednostki, którą należy założyć w słowniku Jednostek. Dodatkowo, jeżeli badanie przeprowadzone na bazie testowego Planu kontroli nie zostanie ostatecznie zatwierdzone, wyniki takiego badania nie są brane pod uwagę. Zaleca się zatem, aby testowe badania na potrzeby np. zapoznania się z listą pytań dla danego obszaru były przeprowadzane ale ostateczne wyniki badania nie były akceptowane przez Audytora Wiodącego wpisanego w Planie kontroli.
Zatwierdzony Plan Kontroli może usunąć osoba, która zakładała dany plan kontroli. W następujący sposób: Logujemy się do systemu jako Kierownik Komórki, Wybieramy Plan kontroli, który chcemy usunąć klikając na niego, a następnie trzymając włączony lewy klawisz Alt i klawisz Shift dwukrotnie klikamy myszką na czerwoną belkę z opcjami. Pojawi się komunikat o tym, czy chcemy usunąć dany plan kontroli i postępujemy zgodnie z naszymi zamiarami.
Należy pamiętać, że usunięcie planu kontroli usuwa wszystkie programy badań, które zostały utworzone dla tego planu jak również wszystkie badania i zalecenia wynikające z tego planu.
Raporty
Jako takiego wydruku harmonogramu w aplikacji nie ma, natomiast jeżeli chodzi o ewidencję przeprowadzonych kontroli przez audytora, można skorzystać z raportu „Raport z działalności komórki kontroli" i tam będzie informacja na temat przeprowadzonych i zaplanowanych kontroli w zadanym okresie czasu wraz ze wskazaniem Audytora odpowiedzialnego za daną kontrolę.
Badanie
Aby obejrzeć listę pytań dla danego obszaru można założyć i zatwierdzić testowy plan kontroli, a następnie program badania dla tego obszaru. W opcji „Badanie" pojawią się wówczas poszczególne zagadnienia z tego obszaru, gdzie można zapoznać się z pytaniami. Dodatkowo po przejściu takiego badania można wygenerować w tej samej opcji dokument *.pdf, gdzie będą wyszczególnione te pytania wraz z odpowiedziami.
Funkcjonalność dotycząca ograniczenia listy badań do kontroli, które są przypisane do zalogowanego audytora została wprowadzona w wersji 18.2.2.
Zalecenia
Nie przewidujemy wprowadzenia kilku osób jako realizujących z tego względu, że uważamy, że kilkuosobowa odpowiedzialność za realizację zalecenia może skutkować mało efektywnym zarządzaniem tymi zaleceniami. W większości nowo wprowadzanych rekomendacji bankowych nadzorca dużą rolę przypisuje jednoosobowej, wskazanej odpowiedzialności i takie też standardu chcemy utrzymać w aplikacji.
Jeżeli chcą Państwo, aby dane zalecenie realizował zespół, to proponuję wskazać jako osobę realizującą kierownika takiego zespołu – czyli np. dyrektora jednostki, który będzie odpowiedzialny za terminową realizację zadania.
Nadmienię tylko, że sposób realizacji zalecenia wpisywany jest do aplikacji i akceptowany przez audytora. Zasadnym jest zatem, aby użytkownicy logowali się na swoje imienne identyfikatory i wprowadzali wszelkie informacje do systemu na imiennych identyfikatorach, tak jak to nakazują wszelkie zasady bezpieczeństwa przetwarzania danych.
- Osobie, która została wprowadzona w polu „Osoba nadzorująca" przypisujemy na chwilę rolę Pracownika.
- Osoba ta, po zalogowaniu jako Pracownik odrzuca dane zalecenie;
- Możemy wówczas usunąć już rolę Pracownika
- To zalecenie wraca wtedy do osoby, która je tworzyła i ta osoba może ponownie dokonać edycji zalecenia i zmienić „Osobę nadzorującą" na osobę z Zarządu, która ma zatwierdzić to zalecenie do realizacji.
- Osobie tej należy nadać rolę Pracownik tak, aby mogła zatwierdzać zalecenie i mieć podgląd co się z nimi na bieżąco dzieje.
- Ponownie do zmianie „Osoby nadzorującej" wysłać zalecenie do zatwierdzenia.
- Oczywiście można ostatecznie usunąć takie zalecenie i założyć je ręcznie, ale nie będzie ono wówczas przypisane do danego programu badania a jedynie do wskazanego obszaru, w związku z tym nie rekomenduję takiego rozwiązania.
Matryca
Rozwiązaniem jest dodanie przez administratora użytkownika o nazwie „Pracownik na drugą rękę"
W polu Jednostka można wybrać tylko jedną jednostkę. Jeżeli danych mechanizm kontrolny jest stosowany równiez przez inne jednostki, należy skopiować element matrycy za pomocą opcji "Kopiuj" i dokonać zmiany jednostki na kolejną stosującą mechanizm.
Oczywiście jest taka możliwość z jednym zastrzeżeniem. Aby wyniki poszczególnych kontroli wpisywały się automatycznie do matrycy i tym samym była automatycznie prowadzona ewidencja przeprowadzanych kontroli mechanizmów kontrolnych - jednostka w planie kontroli i jednostka w matrycy musi być ta sama.
Program badania
Zatwierdzony program badania może usunąć osoba, która zakładała dany program. W następujący sposób: Logujemy się do systemu jako Audytor, Wybieramy Program Badania, który chcemy usunąć klikając na niego, a następnie trzymając włączony lewy klawisz Alt i klawisz Shift dwukrotnie klikamy myszką na czerwoną belkę z opcjami. Pojawi się komunikat o tym, czy chcemy usunąć dany program badania i postępujemy zgodnie z naszymi zamiarami.
Należy pamiętać, że usunięcie Programu Badania usuwa wszystkie badania i zalecenia wynikające z tego programu.