Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1
Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy kontrolowania ryzyka Miejsce audytu w zarządzaniu ryzykiem, czyli model ładu i nadzoru (IT Governance) w oparciu o COBIT Pojęcie audytu Kodeks Etyki Zawodowej audytora systemów informatycznych Standardy, wytyczne i procedury audytowania systemów informatycznych Standardy audytowania systemów informatycznych Standard S2 -Niezależność Standard S5 - Planowanie Standard S6 - Wykonanie prac audytowych Standard S7 - Raportowanie Wytyczna G20 Raportowanie (Rodzaje audytów) Podsumowanie 2
Ryzyko i strategia postępowania z ryzykiem Cel Ryzyko Procesy Ludzie Systemy Mechanizmy kontrolne Kontrolowane warunki zarządzania Strategie postępowania z ryzykiem Akceptacja ryzyka Unikanie ryzyka Kontrolowanie / ograniczanie ryzyka Transfer / dzielenie się ryzykiem 3
Mechanizmy kontrolowania ryzyka Identyfikacja aktywów Wycena aktywów Aktywa i ich wartość Identyfikacja podatności Identyfikacja zagrożeń Ryzyko Mechanizmy kontrolne Metody zapobiegania - Mechanizmy prewencyjne - Mechanizmy detekcyjne Ryzyko szczątkowe - Mechanizmy korekcyjne 4
Miejsce audytu w zarządzaniu ryzykiem Model ładu i nadzoru (IT governance) w oparciu o COBIT Cele biznesowe wymagania dla informatyki Cele IT Procesy IT informacja działanie kontrola pomiar audyt Kluczowe działania Rezultaty testów kontroli Cele kontroli wykonywane przez wydajność wynik dojrzałość audytowane poprzez wdrażane z użyciem Struktura odpowiedzialności Wskaźniki wydajności Mierniki wyników Modele dojrzałości Ocena kontroli wewnętrznej Praktyki kontroli wewnętrznej 5
Pojęcie audytu Audyt to zadanie polegające na analizie i ocenie określonego zagadnienia, przeprowadzane w celu dostarczenia wszystkim zainteresowanym stronom racjonalnego zapewnienia, o braku istotnych nieprawidłowości lub niezgodności z wymaganiami Zapewnienie w świetle norm i standardów: Pozytywne (np. potwierdzenie zgodności) Negatywne (np. zapewnienie o braku niezgodności) W praktyce celem audytu jest wskazanie ryzyk związanych z badanym obszarem oraz ocena skuteczności kontrolowania tych ryzyk Ocena konstrukcji mechanizmów kontrolnych Ocena skuteczności operacyjnej mechanizmów kontrolnych 6
Kodeks Etyki Zawodowej audytora systemów informatycznych 1. Wspierać wdrażanie i zachęcać do przestrzegania standardów, procedur i kontroli systemów informatycznych. 2. Wykonywać obowiązki audytora w sposób obiektywny i profesjonalny, zgodnie ze standardami audytu i najlepszymi praktykami. 3. Działać w interesie wszystkich zainteresowanych stron, w uczciwy i zgodny z prawem sposób, jednocześnie utrzymując najwyższe standardy zachowania i charakteru i nie angażować się w działania mogące zdyskredytować profesję audytora. 4. Zachowywać poufność informacji uzyskanej w trakcie wykonywania obowiązków chyba, że konieczność ich ujawnienia stanowi wymóg prawa.takie informacje nie mogą być wykorzystywane dla korzyści osobistych ani ujawniane nieuprawnionym osobom. 5. Utrzymywać kompetencje i podejmować się wyłącznie zadań, które mogą zostać zrealizowane w sposób kompetentny, wymagany od profesjonalisty. 6. Informować właściwe osoby o wynikach wykonanej pracy, ujawniając przy tym wszystkie znane istotne fakty. 7. Wspierać podnoszenie wiedzy interesariuszy oraz zrozumienie systemu kontroli wewnętrznej i bezpieczeństwa systemów informatycznych. Naruszenie Kodeksu Etyki Zawodowej może prowadzić do przeprowadzenia postępowania wyjaśniającego w sprawie postępowania audytora, a ostatecznie do zastosowania środków dyscyplinarnych. 7
Standardy, wytyczne i procedury audytowania systemów informatycznych Standardy, wytyczne i procedury 16 standardów 42 wytyczne 11 procedur Standardy audytowania są obowiązkowedla certyfikowanych audytorów systemów informatycznych CISA (Certified Information systems Auditor) Wytyczne i procedury audytowania to rekomendowana praktyka zawodowa 8
Standardy audytowania systemów informatycznych S1 Karta audytu (Audit Charter) S2 Niezależność(Independence) S3 Etyka zawodowa i standardy(professional Ethics and Standards) S4 Kompetencje (Competence) S5 Planowanie(Planning) S6 Wykonanie prac audytowych(performance of Audit Work) S7 Raportowanie (Reporting) S8 Powtórny audyt (Follow-Up Activities) S9 Nieprawidłowości i czyny nielegalne (Irregularities and Illegal Acts) S10 Ład informatyczny (IT Governance) S11 Ocena ryzyka w planowaniu audytu (Use of Risk Assessment in Audit Planning) S12 Poziom istotności (Audit Materiality) S13 Korzystanie z pracy innych ekspertów (Using the Work of Other Experts) S14 Dowody audytowe(audit Evidence) S15 Kontrola IT(IT Controls) S16 Handel elektroniczny (E-commerce) 9
Standard S2 - Niezależność Niezależność zawodowa We wszelkich kwestiach związanych z audytem, audytor systemów informatycznych powinien być niezależny od audytowanego w postawie i sposobie prezentacji. Niezależność organizacyjna Funkcja audytu systemów informatycznych powinna być niezależna od audytowanego obszaru lub czynności, w celu zapewnienia obiektywnego przeprowadzenia prac audytowych 10
Standard S5 - Planowanie Audytor systemów informatycznych powinien zaplanować audyt systemów informatycznych w celu odniesienia się do celów audytu i zapewnienia zgodności z przepisami prawa i standardów audytowania. Audytor systemów informatycznych powinien opracować i udokumentować podejście do audytu w oparciu o ryzyko. Audytor systemów informatycznych powinien opracować i udokumentować plan audytu, uwzględniający naturę i cele audytu, harmonogram i zakres oraz wymagane zasoby. Audytor systemów informatycznych powinien opracować program audytu, uwzględniający naturę, harmonogram i zakres czynności audytowych wymaganych do przeprowadzenia audytu. 11
Standard S6 - Wykonanie prac audytowych Nadzór Audytorzy systemów informatycznych powinni być nadzorowani, tak aby zapewnić realizację celów audytu i zgodność ze standardami audytowania. Dowody W trakcie audytu, audytor systemów informatycznych powinien uzyskać dowody wystarczające, wiarygodne i odpowiednie do realizacji celów audytu. Wyniki audytu i wnioskipowinny być potwierdzone odpowiednią analizą i interpretacją tych dowodów. Dokumentacja Proces audytu powinien być udokumentowany. Wykonane czynności oraz dowody audytowe powinny zostać opisane, potwierdzając wyniki i wnioski audytora systemów informatycznych. 12
Standard S7 - Raportowanie Po zakończeniu prac audytowych, audytor systemów informatycznych powinien opracować Raport z audytu, który powinien wskazywać organizację, adresatów raportu oraz ograniczenia w jego udostępnianiu. Raport z audytu powinien określać cel, zakres, audytowany okres, naturę, czas trwania prac audytowych. Raport powinien zawierać wyniki audytu, wnioski i rekomendacje oraz wszelkie zastrzeżenia, uwagi i ograniczenia w zakresie, związane z przeprowadzonym audytem. Audytor systemów informatycznych powinien posiadać wystarczające dowody audytowepotwierdzające raportowane wyniki audytu Po opracowaniu, Raport powinien zostać podpisany, oznaczony datą oraz przekazany adresatom zgodnie z Kartą Audytu lub umową 13
Wytyczna G20 Raportowanie Rodzaje audytów / zadań audytowych Audyt Wysoki poziom zapewnienia co do skuteczności systemu kontroli wewnętrznej Pozytywne zapewnienie Szeroki zakres prac audytowych, w tym ocena konstrukcji mechanizmów kontrolnych i ich skuteczności operacyjnej Przegląd Umiarkowany poziom zapewnienia co do skuteczności systemu kontroli wewnętrznej Negatywne zapewnienie Umiarkowany zakres prac audytowych, w tym ocena konstrukcji mechanizmów kontrolnych i ich skuteczności operacyjnej Wykonanie uzgodnionych procedur Brak zapewnienia Zakres prac uzgodniony ze zleceniodawcą Niezależne wykonanie uzgodnionych czynności Raport nie zawiera wniosków audytora Raport adresowany tylko do zlecającego wykonanie czynności 14
Podsumowanie Audyt to ocena procesów zarządzania i systemu kontroli wewnętrznej, jako sposobu kontrolowania ryzyka, a nie metoda na znalezienie winnych i wyciągnięcie konsekwencji Nie każdy audyt to audyt w świetle Standardów Raport z audytu niezgodny ze Standardami ma nikłą wartość ze względu na brak gwarancji, co do obiektywizmu, niezależności i sposobu przeprowadzenia audytu Jedynie certyfikowani audytorzy są zobowiązani do przestrzegania Kodeksu Etyki Zawodowej i Standardów, pozostali pozostają poza nadzorem i kontrolą jakości 15
IMMUSEC Sp. z o.o. Knowledge Village ul. Wiertnicza 141 02-952 Warszawa-Wilanów Tel. +48 22 3797470 Fax. +48 22 3797479 email: biuro@immusec.com 16