[alkman]

@IWOKIE
Obowiązku nie ma, ale trzeba zapewnić warunki umożliwiające zapewnienie okresowego audytu.
Dokładnie, to trzeba zapewnić warunki umożliwiające realizację i egzekwowanie działań polegających na zapewnieniu okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Rozpatrując powyższe należy mieć na względzie, że nie chodzi o audyt wewnętrzny w rozumieniu ustawy o finansach publicznych, oraz że organy nie wydały jeszcze stosownych interpretacji, co do rozumienia słów „zapewnić”.

@mk
Załóżmy, że moim zadaniem jest, identyfikacja systemów informatycznych funkcjonujących w jednostce.
[QUOTE BY= mk] Jak nie ma dokumentacji to nie ma systemu.[/QUOTE]
Dokumentacja jest warunkiem koniecznym prawidłowego wdrożenia systemu, co nie oznacza, że jest niemożliwe wdrożenie systemu bez dokumentacji. Uważam, że nie można ignorować istnienia systemów, tylko dlatego, że nie ma ich dokumentacji.
[QUOTE BY= mk] jeżeli w Excelu przetwarzasz dane osobowe to już jest jak najbardziej system[/QUOTE]
W arkuszu kalkulacyjnym mogę przetwarzać dane osobowe, księgowe (i inne), ale nie mogę powiedzieć, że z tej okazji, na komputerze mam informatyczny system finansowy albo system kadrowy (albo jakiś inny). System informatyczny to coś więcej. Tylko co więcej? Jakie cechy powodują, że jeden zestaw programów (a nawet jeden program) jest systemem informatycznym, a drugi nie?

[alkman]

Nawet gdyby ktoś mógł się wszystkiego zaprzeć i wszystko usunąć. A na to czego się zapiera i usunął brak było i jest dokumentacji, to nie możemy wykluczyć, że został usunięty system informatyczny. Stąd moje pytanie: jakie cechy powodują, że to co zostało usunięte i na co nie mamy dowodów, było systemem informatycznym, a nie zbiorem programów i danych niegodnych miana systemu informatycznego?

[alkman]

Mi się wydaje, że system nic nie musi. System powinien być opisany, co oznacza, że nie można wykluczyć, że system nie jest opisany.
„TO ZALEŻY OD…” – właśnie się pytam: od czego zależy?

[alkman]

Dowolne dwa komputery z podłączoną drukarką, zainstalowanym arkuszem kalkulacyjnym i dostępem do internetu, zapewnia wysyłanie i odbieranie danych oraz ich przechowywanie i przetwarzanie. Działania te wypełniają cytowaną definicją, ale systemem informatycznym nie są. Z kolei jeden komputer z podłączoną drukarką, bez dostępu do internetu z zainstalowanym programem Finansowo Księgowym jest już uznawany za system informatyczny. W jednym i drugim przypadku mamy doczynienia z softem i siecią. Jakie cechy powodują że jedno rozwiązanie uznajemy za system a inne nie?

[alkman]

Czy moglibyście zaproponować „cechy” dzięki którym można dokonać rozróżnienia pomiędzy oprogramowaniem a systemem informatycznym.

[alkman]

Cywilizowane zakłady pracy, w tym urzędy, rozstrzygnięcie dylematów, czy coś jest podróżą służbową czy też nie, zaczynają od studiowania umowy o pracę, w zakresie obowiązku wynikającego z przepisów art. 29, § 1, pkt 2 ustawy Kodeks pracy. Następnie w oparciu o przepisy art 77 przypis 5, § 1 ustalają czy pracownik wykonuje na polecenie pracodawcy zadanie służbowe poza poza stałym miejscem pracy. Jeżeli tak, stosują przepisy związane z podróżą służbową.
Z niedopowiedzianych opisów, wnioskuję, że kontrolerzy, mający wskazane miejsce pracy w siedzibie urzędu, idąc do jednostki na kontrolę nie mają wystawionej delegacji. To błąd, którym pracodawca naraża się nie tylko na konsekwencje wynikające z prawa pracy.
Zakładając, że są podstawy prawne (a nie widzimisiokrólikowe) do nie wystawiania delegacji, to nie ma podstaw do zwrotu za bilety – czyli przychód.
Ps.
Stawiam tezę, że jeżeli coś, co jest teoretycznie podróżą służbową, nie jest praktycznie tą podróżą, to w rzeczywistości jest albo naruszeniem kodeksu pracy albo nieodpłatnym świadczeniem, które powinno być opodatkowane.

[alkman]

Można też plan ukryć przed audytorem, wtedy należy stosować (w gminie) następujące kategorie:
0630 – Planowanie na poziomie całej gminy – A
0631 – Planowanie na poziomie każdego urzędu lub jednostki organizacyjnej – A
0632 – Planowanie w komórkach organizacyjnych – BE5

[alkman]

Plany łowieckie w gminie mają kategorię BE5, a w urzędzie marszałkowskim kategorię A. Pozdrawiam

[alkman]

[QUOTE BY= Gapa] Zastanawia mnie dlaczego … proponuje się ustrojstwo, które „ … nie dopuszcza wyliczania prawdopodobieństwa …[/QUOTE]
Nie wiem dlaczego, pewnie z podobnych pobudek do twoich, kiedy użyłeś procentu dla określenia prawdopodobieństwa – „P = 50%”.Procent to też takie ustrojstwo dające bezsensowne wyniki przy podnoszeniu do kwadratu jak hektar, kilowatogodzina, dzień, godzina i minuta. Świat jest pełen ustrojstwa: godzina do kwadratu daje godzinę, a 60 minut do kwadratu daje 2,5 dnia; 50% z godziny (0,5h) do kwadratu daje kwadrans.

Dlatego dziwię się, że składasz propozycje MEN a nie MF, żeby czas pracy audytorów rozliczać w sekundach zamiast jakiegoś ustrojstwa o nazwie osobodzień.
[QUOTE BY= Gapa] co zrobiłeś z przedziałem od 1.000 do 10.000[/QUOTE]
Z bezmyślności oraz z braku krytycznej oceny publikacji uwierzyłem, że przykładowe tabelki zaprezentowano w oparciu o najlepszą praktykę i przyjąłem, że autorzy świadomie pominęli ten przedział i ja też uznaje, że przedział ten nie istnieje. Kwestię, że tabelki mają charakter przykładowy sprytnie przemilczam.

[QUOTE BY= Gapa] nie za bardzo rozumiem na czym polega to moje „ trwanie w błędzie [/QUOTE]
Ja też nie rozumiem.
Rozumiem natomiast dlaczego ja uważam, że ty tkwisz w błędzie. Uważanie to bierze się z tego, że z twoich wypisywań (całokształtu twórczości, a nie konkretnego wpisu) wywnioskowałem, że odrzucasz możliwość określenia prawdopodobieństwa na podstawie opinii uzależnionej od celowo bardzo ograniczonej ilości danych (czynników ryzyka) i postulujesz ślęczenie nad poszukiwaniem przestrzeni (zbioru) zdarzeń elementarnych w określaniu prawdopodobieństwa dla ryzyka realizacji zadania.

B.T.W dobrze, że tu zbiór jest przestrzenią, bo gdybym miał poszukiwać we wszechświecie zdarzeń elementarnych…

[QUOTE BY= Gapa] wisi to na stronie od kilku lat i nikt nie poprawia[/QUOTE]

I niech sobie wisi, szkoda że COBITy przestały wisieć. Najwidoczniej ma tu zastosowanie prawo Kopernika-Greshama.

[alkman]

Gapa. Użyłem „kombinacji” a i tak z kontekstu zrozumiałeś, że chodzi o „iloczyn”.
Co do kuglarstwa, to arytmetyka tabelkowo punktowa nie dopuszcza wyliczania prawdopodobieństwa na podstawie przyjętej skali. O skalach i działaniach na nich, dzieciaki z III klasy doczytają kiedyś w jakiejś książce o statystyce; może nawet we wspomnianej przez ciebie „Statystyce w zarządzaniu”.
O co chodzi?
1. Chodzi o to, że nie odrzucam twierdzeń (a ciebie podejrzewam wręcz o coś przeciwnego), że można uporządkować każde zdarzenie z punktu widzenia kierownika jednostki wg wpływu tego zdarzenia na finanse, funkcjonowanie jednostki, zdrowia i bezpieczeństwo osób, których zdarzenia dotyczą; oraz reputacji jednostki. Skoro można uporządkować, to można przypisać wartości, przeliczać i znowu uporządkować. Dokonując analizy możliwości i skutków napadu na kasę jednostki (aby martinez miał możliwość kontynuacji uczestnictwa w dyskusji), oprócz możliwości wyniesienia kasy z kasy (straty finansowej), można wziąć pod uwagę, ile osób znajduje się maksymalnie na sali kasowej bo, nie należy odrzucać możliwości napadu i użycia broni oraz skutków jej użycia (liczba osób możliwych do zastrzelenia, wysadzenia czy zranienia). Interesujące jest też, w jakim czasie od napadu poszczególne komórki jednostki podejmą normalne funkcjonowanie, bo ewentualna ewakuacja, brak dostępu do pomieszczeń, odłączony prąd, będą miały wpływ na funkcjonowanie jednostki (czas jest jednostką mierzalną). Z reputacją trochę trudniej, ale też można.
2. Chodzi o to, że uważam, iż tkwisz (i podejrzewam, że jest was więcej) w błędzie utożsamiając „możliwość wystąpienia zdarzenia” z „prawdopodobieństwem wystąpienia zdarzenia”.
Ps
Osobiście też czekam na info ze spotkania, bo choć z wielkim krytycyzmem podchodzę do wszelkich teorii, w tym prezentowanych przez MF i jedynie słuszne stowarzyszenie reprezentujące pewną amerykańską instytucję, co może przejawiać się traktowaniem ich publikacji jak beletrystyki (ze szczególnym uwzględnieniem ostatniego zwrotu pierwszego zdania pewnej znanej wolnej encyklopedii, która także jest z ameryki i podobno nie jest wolna od błędów), to jednak jakoś tę literaturę, po analizie niemalże literackiej i po nieautoryzowanych poprawkach wykorzystuję w mej codziennej pracy, np.: staram się orientować w przestrzeni, jak zresztą sam zaproponowałeś, a wszechświat sobie odpuściłem.
Ps.2
Pisząc o możliwości miałem na myśli prawdopodobieństwo subiektywne, a o prawdopodobieństwie – prawdopodobieństwo obiektywne.

[alkman]

Cytaty wyciągnięte z kontekstu niczego nie dowodzą.
Ja postuluję przywiązywać wagę do każdej miary pomocnej w podejmowaniu decyzji.
Bełkot to moje naturalne środowisko.

[alkman]

Załóżmy że masz rację i kierownik powinien opierać się tylko na wartości tolerowanego ryzyka określonego miarami finansowymi.
Max wartość ryzyka będzie równa max wpływowi na finanse jednostki, czyli max ryzyko = max prawdopodobieństwo x max wpływ, gdzie max prawdopodobieństwo=1.
Jeżeli kierownik wskaże jakąś wartość ryzyka (max ryzyko – x), powyżej której chce sam decydować o sposobie załatwiania sprawy, a resztę będzie załatwiać jego zastępca możemy przyjąć, że jest to jego granica tolerancji ryzyka.
Dla przykładu jeżeli wartość max ryzyka = 100 a x=10, to kierownik jednostki będzie podejmował decyzje o wszystkich sprawach mieszczących się w granicach ryzyka 90-100. Do spraw tych należy każda kombinacja prawdopodobieństwa i wpływu wynosząca co najmniej 90.
To oznacza, że w pozostałym zakresie zastępca ma nieograniczoną władzę nad finansami. Rozsądny kierownik nie wyrazi na taki stan zgody i wprowadzi dodatkowe obostrzenia. Zazwyczaj pozostawiając sobie decyzje jeżeli prawdopodobieństwo przekroczy pewną wartość (max prawdopodobieństwo – z) albo wpływ przekroczy pewien poziom (max wpływ – y)
Znowu przykład. Dla z=0,1 kierownik będzie podejmował decyzje o wszystkich sprawach mieszczących się w granicach ryzyka 0,9 – 100.
To może być ponad jego możliwości, więc przyjmie, że będzie zajmował się tylko sprawami, dla których prawdopodobieństwo jest większe, równe: max prawdopodobieństwo – z, a ryzyko jest większe od: max ryzyko – x – c.
Przykład. Dla c=10 kierownik jednostki będzie podejmował decyzje o wszystkich sprawach mieszczących się w granicach ryzyka 90-100, oraz tych gdzie prawdopodobieństwo jest większe od 0,9 i ryzyko jest większe od 80=100-10-10
Co oznacza, że ryzyko wynoszące 80,75 nie spełniające powyższego warunku jest przez kierownika tolerowane (np. 0,85*95), a spełniające powyższy warunek (0,91 *88,74) nie jest tolerowane.
Dla wpływu można pokombinować stosując analogię.
Można powyższe pooglądać niezbyt precyzyjnie wpatrując się w rysunek na str. 42, gdzie miejsce pomiędzy kolorem żółtym a czerwonym jest granicą tolerancji ryzyka i nie ma potrzeby wydawania „Szczegółowych wytycznych w zakresie większości i mniejszości liczb w JSFP”
Ps.
Reagowanie na ryzyko jest związane z kosztami, ale stosowanie jedynie miar finansowych jest niewystarczające do podejmowania decyzji o podjęciu reakcji.

[alkman]

Jak będziesz miał pecha, to w przybliżeniu to coś za 99 tys będzie bezużyteczne raz na pięć dni (tu też założenie, równie dobrze może być 19/100 lat świetlnych), a to coś za 11 tys będzie bezużyteczne 4 razy na pięć dni. Gdyby zdarzenia bezużytecznienia tych cosiów zachowały systematykę: pierwsze cztery dni odparowuje coś za 11 tys, a piątego za 99 tys, to dziewiątego dnia różnica strat wynosiłaby zaledwie 12% (88/99). Dzięki zastosowaniu magicznych tabelek, ze strony 41 i 42, pierwszego dnia przy czymś za 11tys postawisz strażnika i będziesz miał jeszcze 3 dni na zastanowienie się jak ochronić coś za 99 tys przed ubezużytecznieniem.
To było po pierwsze, mocno naciągane i pomijające prawdopodobieństwo wystąpienia opisywanego przypadku.

19% lub 1 jest dla niektórych, żabą do przełknięcia, ale 81% lub 5 jest nieprzyswajalne. Zdarzają się też przedmioty o wartość 11 tys i 99 tys stojące w tym samym garażu nr 3. Dlatego słusznie z magicznych tabelek ze strony 41 i 42 wychodzi że najpierw należy się zająć gratem psującym się 4/5 (tu może chodzić o próby odpalenia), niż tym droższym psującym się 1/5 (tu znowu mam problem z jednostką, może jednak chodzi o19 razy/ wiek).
To było po drugie, czyli o punktowej ocenie ryzyka, bo co do wyliczenia wartości ryzyka to oczywiście masz rację 81×11 jest mniejsze od 19×99 (w zdarzeniach, w dniach, tygodniach i latach)

[alkman]

Jaki jest związek pomiędzy graficzną metodą wizualizacji i prezentacji danych a brakiem możliwości doskonalenie modeli, których te dane są elementem?

[alkman]

[QUOTE BY= Gapa]Właśnie ta możliwość doskonalenia modelu ryzyka jest najważniejszym argumentem za użyciem rachunku prawdopodobieństwa, statystyki i w ogóle – liczenia, dla celów zarządzania.

Kolorowanki nie dają takich możliwości.

Na tęczę, to się można tylko gapić ….[/QUOTE]
W jaki sposób graficzne metody wizualizacji i prezentacji danych uniemożliwiają doskonalenie przedstawianych modeli?

[Autor]

Wpisy