COBIT DLA (NIE)OPORNYCH AUDYTORÓW ogólna procedura audytu M.Forystek, ,

Transkrypt

1 COBIT DLA ()OPORNYCH AUDYTORÓW ogólna procedura audytu M.Forystek, , Coraz większa liczba audytorów spotyka się z problemem dokonania oceny systemu informatycznego. W znacznej mierze zakładanym kryterium oceny jest bezpieczeństwo. Rzadziej zgodność z prawem, czy efektywność. Wielu audytorów na początku nie wie jak zabrać się do takiego zadania. Najbardziej oczywistą radą w takich sytuacjach jest zachęcenie do skorzystania z jednego ze standardów audytu środowiska informatycznego. Podejście takie pozwala bowiem efektywnie zbadać nawet skomplikowane systemy informatyczne poprzez przyłożenie określonej w standardzie "siatki" zalecanych mechanizmów kontrolnych. Niemniej ocena dopasowania do takiej siatki zależy w zancznej mierze od wiedzy, doświadczenia, a zwłaszcza kryteriów stosowanych przez audytora. Z istniejących standardów audytu systemów informatycznych wydaje się, że największą rolę odgrywa COBIT (Control Objectives For Information and Related Technology). Dlatego na jego przykładzie zostanie zaprezentowana praktyczna procedura audytowa. Standard COBIT powstał w odpowiedzi na potrzeby szerokiego grona osób poszukujących uniwersalnych narzędzi do budowania właściwego środowiska kontrolnego systemów informatycznych. Został opracowany w ramach projektu prowadzonego przez Fundację - Information Systems Audit And Control Foundation - utworzoną przez stowarzyszenie ISACA Information Systems Audit And Control Association. W projekcie uczestniczyli, i uczestniczą nadal, najbardziej doświadczeni audytorzy IT oraz managerowie IT z całego świata. Na wstępie projektu COBIT dokonano przeglądu istniejących i stosowanych standardów oraz wysłano ankiety do kilku tysięcy firm. Szerokie czerpanie z już istniejących, i co ważniejsze sprawdzonych rozwiązań oraz zaangażowanie do pracy bardzo szerokiego zespołu, reprezentującego wiele znanych firm (w tym cała Wielka Piątka, Unisys, SONY itp.) dały gwarancje produktu o najwyższej jakości. W chwili obecnej COBIT jest jedynym standardem tak szeroko obejmującym zagadnienia IT/IS. Ponadto jest powszechnie dostępny, bowiem większość standardu jest dostępna bezpłatnie (część Audit Guidelines jest dostępna bezpłatnie tylko dla członków ISACA), a za jego stosowanie, w odróżnieniu od np. ITIL (Information Technology Infrastructure Library), nie są pobierane żadne opłaty. Podczas posługiwania się standardem wykorzystuje się typową procedurę audytową, wywodzącą się z audytu finansowegi. Składa się ona z pięciu etapów: I II III Zapoznanie się z procesem audytor przeprowadza wywiady i zbiera dokumentację, która jest niezbędna do zaznajomienia się z procesem, określenia w jakim celu, przez kogo, w jakim czasie i na jakiej podstawie jest realizowany. Ten etap ma przygotować audytora do prowadzenia dalszych działań audytorskich. W jego ramach audytor powinien uzyskać wiedzę na temat mechanizmów kontrolnych, jakie zostały zaprojektowane. Ocena mechanizmów kontrolnych audytor ma za zadanie określić na ile system kontrolny zidentyfikowany w pierwszym etapie jest rzetelny i efektywny. Ocena ta powstaje na skutek analizy regulaminów i procedur oraz analizy obserwacji realizacji procesów poczynionych w pierwszym etapie audytu poprzez zweryfikowanie, czy spełniają one wymagania uznane za wzorcowe. Ocena zgodności celem audytora jest określenie, czy ustanowiony system kontroli jest w praktyce realizowany. Czyli czy działania prowadzi się zgodnie z ustalonymi procedurami. Istotny jest fakt, że badania prowadzi się wyłącznie wobec ustanowionych mechanizmów kontrolnych, nie obejmując nimi tych mechanizmów, które powinny istnieć (na podstawie analizy z etapu pierwszego), ale nie są stosowane. Strona 1 z 8

2 IV V Ocena ryzyka poszukuje się dowodów na to, że luki w systemie kontrolnym (jeżeli takowe istnieją), albo niewłaściwa realizacja założeń systemu kontroli rodzą ryzyko, że cele narzucone przez biznes na IT/IS nie zostaną osiągnięte. "Określenie osiągania celów" - po wykonaniu czterech pierwszych etapów audytor jest już przygotowany do przedstawienia wniosków na temat skuteczności i efektywności systemu kontroli, czyli określenia: błędów struktury - na ile budowa systemu kontroli jest niezgodna z uznanymi za START TOŻSAMOŚĆ, PROCESY, LOKALIZACJE, OSOBY I WYWIADY Z KLIENTAMI AUDYTU DOSTRZEGANE PRZEZ KLIENTÓW USTALONE SPISANE RAZEM DO OCENY Rysunek 1 Diagram pierwszej fazy audytu - Zapoznanie się z procesem wzorcowe dobrymi praktykami i zapewnia efektywne i skuteczne działanie, błędów realizacji na ile prowadzone działania są niezgodne z wymaganiami ustanowionego środowiska kontrolnego, oraz dowodów potwierdzających, że istniejące błędy wpływają na (nie)osiąganie przez proces założonych celów. I Zapoznanie się z procesem (Obtaining An Understanding) Cele etapu: zaznajomienie się z zagadnieniami związanymi z procesem (związanymi z realizacją celów kontrolnych określonych przez kierownictwo), oraz uzyskanie wiedzy na temat wyobrażenia kierownictwa o kontroli procesu, czyli wiedzy na temat ludzi, procesów, miejsca, gdzie zadania są realizowane i ustalonych procedur/działań dla ich kontroli. W większości przypadków podczas rozpoczynania audytu nie są dokładnie znane, ani organizacja, ani reguły rządzące procesem. Nawet w przypadku, gdy audyt jest prowadzony przez pracowników jednostki audytu wewnętrznego konieczne staje się zebranie na wstępnie prac materiałów w postaci polityk, regulaminów, procedur, ustaw i rozporządzeń dotyczących badanego procesu. Niezbędne jest także rozpoznanie jakie jednostki organizacyjne są zaangażowane w realizację procesu oraz którzy pracownicy wykonują określone działania. Na pierwszą fazę audytu Zapoznanie się z procesem (ang. Obtaining An Understanding) - składają się dwa kroki przeprowadzenie wywiadów oraz zebranie materiałów. Mimo, iż zarówno wywiady, jak i zbieranie dokumentów źródłowych są wykonywane przez cały okres prowadzenia audytu, to jednak ze względów chronologicznych stanowią pierwszy krok audytu. Zazwyczaj bowiem audyt rozpoczyna się od wywiadu wstępnego, w trakcie którego ustalane są osoby kontaktowe i podstawowe materiały audytowe. Strona 2 z 8

3 Wywiady (Obtaining An Understanding/Interviewing) W części Audit Guidelines standardu COBIT, w ramach każdego z procesów, w sekcji Obtaining an Understanding Audit Guidelines dostarcza sugestii co do osób z którymi należy przeprowadzać wywiady. Informacje te należy traktować jedynie jako sugestie, bowiem dana organizacja może się poważnie różnić od organizacji ogólnej (wzorcowej), którą rozpatrywali twórcy standardu. Mimo, że COBIT nie daje żadnych wskazówek co do techniki przeprowadzania wywiadów, to należy pamiętać, że powszechnie obowiązującą praktyką jest sporządzanie notatek z wywiadu i ich weryfikowanie przez osobę, której dotyczą. W szczególności należy pamiętać, żeby notatki z wywiadu były opatrzone przynajmniej: datą przeprowadzenia wywiadu, miejscem przeprowadzenia wywiadu, imieniem i nazwiskiem osoby, z którą przeprowadzano wywiad, imieniem i nazwiskiem (imionami i nazwiskami) osób, które przeprowadzały wywiad, spisem pytań i odpowiedzi, podpisami osób, które przeprowadzały wywiad i podpisem osoby, która udzielała odpowiedzi. Pozyskanie (Obtaining An Understanding/Obtaining) COBIT, w ramach każdego z procesów, w sekcji Obtaining an Understanding - Obtaining, Audit Guidelines dostarcza sugestii co do dokumentów, które powinny stanowić podstawę audytu. Ze względu na poważne różnice pomiędzy firmami, listę tę należy traktować jednak jedynie jako sugestię dla audytora. Wszystkie dokumenty muszą być zwrócone właścicielowi przed zakończeniem audytu. Kopie sporządzone przez audytora powinny być opatrzone unikalnym (w ramach danego audytu) numerem dowodu, datą pobrania oraz nazwą prowadzonego audytu. Na zakończenie pierwszej fazy audytu audytor powinien mieć określone, udokumentowane i zweryfikowane: Kto wykonuje zadania objęte celem kontrolnym?. Gdzie zadania są wykonywane?, Kiedy zadania są wykonywane?, Na podstawie jakich informacji wejściowych są wykonywane zadania?, Jakie są oczekiwane rezultaty działań, oraz Jakie są ustalone procedury związane z wykonywaniem zadań? II Ocena mechanizmów kontrolnych (Evaluating The Controls) Cele etapu: dokonanie oceny mechanizmów kontrolnych (na podstawie wiedzy z poprzedniego etapu) i określenia, czy mechanizmy te są skuteczne i sprawne (na razie tylko teoretycznie); skuteczne i sprawne mechanizmy kontrolne to takie, które są efektywne kosztowo i dostarczają racjonalnego uzasadnienia, że zadania są wykonywane, a cele kontrolne są spełniane; Strona 3 z 8

4 Po zapoznaniu się z organizacją procesu w kolejnej fazie audytu należy określić, czy mechanizmy kontrolne wbudowane w proces są właściwe, tzn. czy odpowiadają potrzebom organizacji i są zgodne z właściwymi dobrymi praktykami i standardami przemysłowymi. Oceny mechanizmów kontrolnych dokonuje się poprzez zweryfikowanie, czy organizacja pprocesu wykazuje parametry/właściwości określone w sekcji Evaluating The Controls Audit Guidelines. Dla przykładu podczas audytu procesu DS5 Zapewnienie bezpieczeństwa systemów należy zweryfikować, czy "Istnieje i jest używany schemat klasyfikacji danych, aby wszystkie zasoby systemowe miały przypisanego właściciela odpowiedzialnego za bezpieczeństwo i zawartość.", tzn.: czy organizacja ustaliła ogólne zasady klasyfikacji danych, czy w badanym obszarze została przeprowadzona klasyfikacja danych oraz, czy wszystkie zasoby poddawane audytowi mają przypisanego właściciela. Podany przykład stanowi tylko część wymagań, których działanie w ramach procesu należy zweryfikować w trakcie audytu. Należy zauważyć, że lista wymagań COBIT nie jest ani wyczerpująca, ani ostateczna. W przyszłości z całą pewnością będą zachodziły w niej zmiany, o czym można sądzić na podstawie zmian pomiędzy kolejnymi wersjami COBIT. Na zakończenie drugiej fazy audytu audytor powinien mieć: ocenę praw, regulacji i kryteriów organizacyjnych z punktu widzenia możliwości ich stosowania, ocenę ustalonych procedur w celu określenia, czy są efektywne kosztowo, i czy dostarczają racjonalnego zapewnienia, że zadanie jest wykonywane oraz, że cel kontrolny jest osiągany, ocenę wszystkich kompensacyjnych mechanizmów kontrolnych używanych do wspomagania słabych procedur, określone, czy ustalone procedury i kompensacyjne mechanizmy kontrolne tworzą wspólnie skuteczną strukturę kontrolną, określone, czy byłyby odpowiednie testowanie zgodności. III Ocena zgodności (Assessing Compliance) Cele etapu: SILNE TESTY DOWODOWE INFOR./ DOK. USTALONE OCENA USTALONYCH PROCEDUR S Ą SKUTECZNE? OKRE ŚLIĆ I OCENIĆ KOMPENSACYJNE MECHANIZMY KONTROLNE KMK SĄ SKUTECZNE? PRAWO, REGULACJE I KRYTERIA ORGANIZACJI TESTOWA ZGODNOŚCI Rysunek 2 Diagram drugiej fazy audytu - Ocena mechanizmów kontrolnych Strona 4 z 8

5 ustalenie, czy zachodzi zgodność pomiędzy ustalonymi mechanizmami kontrolnymi, a faktycznie działającymi; rzeczywiście stosowane procedury i kompensacyjne mechanizmy kontrolne powinny być porównane z ustalonymi procedurami (tymi, które zostały zebrane w pierwszym etapie audytu) W momencie, kiedy audytor zna już ustanowiony system kontrolny to musi się podjąć oceny, czy i jak on funkcjonuje w praktyce. Ocena ta jest przedmiotem trzeciego etapu audytu. Ocenę przeprowadza się poprzez prześledzenie, czy działania założone w procedurach (formalnych i nieformalnych) są faktycznie realizowane w sposób ścisły i powtarzalny. Należy mieć na uwadze, że badania prowadzi się wyłącznie wobec ustanowionych mechanizmów kontrolnych. Także w przypadku badania zgodności COBIT dostarcza wskazówek, co należy zweryfikować. Wykorzystując przykład procesu DS5 Zapewnienie bezpieczeństwa systemów należy np. "Sprawdzić, czy istnieje spis urządzeń dostępu dla utrzymywania ich w komplecie." Niemniej wskazówki COBIT mają (powinny mieć) charakter wyłącznie pomocniczy. Podstawowym źródłem audytora powinny być ustanowione procedury i to tylko te, które w drugim etapie audytu zostały uznane za efektywne. Na zakończenie trzeciego etapu audytor powinien mieć udokumentowane stosowanie się organizacji do procedur zidentyfikowanych w dwóch pierwszych etapach audytu i mieć określony wniosek, czy ustalone procedury i kompensacyjne mechanizmy kontrolne są właściwie i konsekwentnie stosowane przez organizację. Na podstawie poziomu zgodności, audytor powinien określić poziom testów dowodowych potrzebnych do dostarczenia zapewnienia, że stosowane mechanizmy kontrolne są sprawne i skuteczne. IV Udowadnianie ryzyka (Substantiating The Risk) Cele etapu: przeprowadzeni testów dostarczających jednoznacznych dowodów na to, że mechanizmy kontrolne nie wspierają osiągania celów biznesowych W wielu przypadkach pierwsze etapy audytu wykazują, że badany system kontroli ma słabości, tzn., że stosowane mechanizmy kontrolne są niewystarczające lub, że ustanowione mechanizmy kontrolne w praktyce nie działają lub działają wadliwie. Pierwsza wada systemu kontroli ustalone procedury odpowiednie procedury kontrolne są właściwie i konsekwentnie stosowane ograniczone testowanie dowodowe ocena przegląd próbek wyników zadań dla okre ślenia zgodności z ustalonymi procedurami zgodne? próbki wyników zadań określ faktyczne procedury faktyczne procedury są adekwatne? odpowiednie procedury kontrolne nie są aktualne lub konsekwentnie stosowane silne testowanie dowodowe Rysunek 3 Diagram trzeciej fazy audytu - Szacowanie zgodności powinna zostać wykryta w trakcie II etapu audytu oceny mechanizmów kontrolnych, drugi z mankamentów powinien być wykryty w trakcie III etapu audytu ocena zgodności. Strona 5 z 8

6 Nie wszystkie zaobserwowane słabości systemu kontroli mają istotne znaczenie dla organizacji, dlatego konieczne wydaje się odpowiedzenie na pytanie Na ile zaobserwowane słabości badanego systemu kontroli wpływają na wzrost ryzyka tego, że wymagane cele kontrolne nie są osiągane?. Inaczej rzecz ujmując, konieczne jest wykazanie relacji pomiędzy słabościami systemu kontroli, a nieosiąganiem celów biznesowych. Aby odpowiedzieć na to pytanie należy udokumentować przypadki, w których zidentyfikowane słabości systemu kontroli przyczyniają się nieosiągania celów biznesowych, a w konsekwencji do wymiernych strat finansowych. Zebranie dowodów powinno odbywać się w ramach ścisłej procedury analitycznej. Faza, w której dokonuje się selekcji materiałów źródłowych w poszukiwaniu dowodów wzrostu ryzyka spowodowanego niewłaściwym funkcjonowaniem systemu kontroli nosi nazwę fazy udowadniania ryzyka. Wykonanie (Substantiating The Risk/Performing) W celu znalezienia dowodów audytowych potwierdzających tezę o wzroście ryzyka w wyniku niewłaściwego funkcjonowania systemu kontroli konieczne jest dokonanie selekcji dokumentów źródłowych. W przypadku dokumentów o charakterze masowym powinno to być wykonane poprzez zastosowanie właściwych procedur statystycznych. Informacji o tym jakiej selekcji należy dokonać dostarcza punkt Wykonanie (ang. Performing) sekcji Udowadnianie ryzyka (Substantiating The Risk) Audit Guidelines. Dla każdego akapitu w tym punkcie należy określić, o ile ma to zastosowanie, informacje o tym jakie zastosowano metody selekcji materiałów dowodowych, jakich użyto wzorców do porównań itp. Przykładowo dla procesu AI6 zarządzanie zmianami, dla akapitu (Wykonanie) porównania zarządzania kontrolą zmian z podobnymi organizacjami lub odpowiednimi międzynarodowymi standardami/uznanymi, najlepszymi praktykami przemysłowymi. należy określić jakie standardy/praktyki zostaną wykorzystane. Akapit ten uzmysławia jak wielką pojemność mogą mieć dość lakoniczne wyglądające sformułowania COBIT. Pod tym stosunkowo krótkim zdaniem kryje się np. wykonanie porównania badanego systemu kontroli zmian z wymaganiami procesu Change Management standardu ITIL (Information Technology Infrastructure Library) lub z wymaganiami norm ISO z serii 9000, albo wymaganiami standardu CMM (Capability Maturity Model). Przytoczony akapit udowadnia jednocześnie, że twórcy COBIT nie stawiają go w roli jedynego, pełnego i właściwego zbioru wytycznych do zarządzania i kontroli IT. Zachęcają wręcz do korzystania z innych rozwiązań, a zwłaszcza do korzystania z norm i wytycznych przemysłowych dla danej branży, ale w ujęciu w schemat COBIT. Strona 6 z 8

7 ZAPEW OKREŚL TECHNIKI TESTOWANIA WYMAGANE SILNE TESTY DOWODOWE? WYKONAJ TESTY LOSOWE LUB STATYSTYCZNE OKREŚL, CZY DLA PRÓBKI ZOSTAŁ OSIĄGNIĘTY CEL KONTROLNY CEL OSIĄGNIĘTY? WYKONAJ OGRANICZONE PRÓBKOWA LOSOWE LUB OSĄDOWE BRAK ZAPEWNIA Rysunek 4 Diagram czwartej fazy audytu - Zidentyfikowanie ryzyka Zidentyfikowanie (Substantiating The Risk/Identifying) Po dokonaniu selekcji materiałów dowodowych konieczne jest określenie, czy mogą one stanowić materiał, na bazie którego można wykazać związek pomiędzy wadami systemu kontroli, a nieosiąganiem założonych celów. Wskazówek jak tego dokonać dostarcza punkt Zidentyfikowanie (ang. Identifying) sekcji Udowadnianie ryzyka (Substantiating The Risk) Wytycznych Audytu. Dla każdego akapitu tego punktu należy określić, czy klauzule w nim zawarte są realizowane. Jeżeli nie, to stanowi to dowód na związek pomiędzy niewłaściwym funkcjonowaniem systemu kontroli, a wzrostem ryzyka tego, że cele biznesowe nie zostaną osiągnięte. Faza udowadnianie ryzyka stanowi jednocześnie ostatnią fazę operacyjną. Po jej zakończeniu audytor przystępuje do przeglądu analitycznego zebranych materiałów i informacji i na jego podstawie do wydania osądu o badanym systemie kontrolnym oraz do przygotowania wniosków i rekomendacji audytowych. Tę ostatnią fazę można nazwać fazą Określenia osiągania celów kontrolnych. V Określenie osiągania celów Po wykonaniu czterech etapów audytor jest przygotowany do przedstawienia wniosków na temat skuteczności i efektywności systemu kontroli, czyli określenia: błędów struktury - na ile budowa systemu kontroli jest zgodna z uznanymi za wzorcowe dobrymi praktykami i zapewnia efektywne i skuteczne działanie, błędów realizacji na ile prowadzone działania są niezgodne z wymaganiami ustanowionego środowiska kontrolnego, oraz dowodów potwierdzających, że istniejące błędy wpływają na osiąganie przez proces założonych celów. Jest to chyba najtrudniejszy z etapów audytu. Całość działań audytora ma charakter analityczny. Główna trudność polega na właściwym dobraniu informacji zebranych w czasie audytu do poszczególnych celów kontrolnych. W standardzie COBIT nie ma kaskadowego zestawienia wymagań kontrolnych w stosunku do celów kontrolnych. Autorzy standardu wyszli z założenia, że sztywne przyporządkowanie ograniczyłoby uniwersalność standardu i jednocześnie zbytnio ograniczyło rolę audytora. Dlatego polegając na własnym profesjonalnym osądzie audytor musi dokonać oceny każdego z celów kontrolnych poprzez wykorzystanie właściwych informacji zebranych w czasie audytu. Wyniki tej analizy stanowią ostateczną postać raportu pokontrolnego. Strona 7 z 8

8 Prowadzenie audytu systemów informatycznych z metodycznego punktu widzenia nie różni się od innych rodzajów audytu. Inna jest materia badana. Często audytor ma do czynienia z sytuacjami niematerialności przedmiotu audytu. Wykorzystuje się inne narzędzia w postępowaniu dowodowym. Niemniej utarte już schematy ogólnej procedury audytowej pozostają niezmienne. Wydaje się, że w wielu przypadkach nawet audytor nie będący specjalistą od systemów informatycznych, ale potrafiący umiejętnie korzystać ze standardu COBIT może w sposób znaczący przyczynić się do obniżenia ryzyk związanych z takimi systemami do ustalonego poziomu. Strona 8 z 8