Audyt systemów informatycznych w świetle standardów ISACA



Podobne dokumenty
Bezpieczeństwo dziś i jutro Security InsideOut

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Robert Meller, Nowoczesny audyt wewnętrzny

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Opis systemu kontroli wewnętrznej Banku Spółdzielczego w Połańcu. 1. Cele i organizacja systemu kontroli wewnętrznej

1. Postanowienia ogólne

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

SPIS TREŚCI Audyt wewnętrzny wydanie II

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

KARTA AUDYTU WEWNĘTRZNEGO

SZCZEGÓŁOWY HARMONOGRAM KURSU

Regulamin audytu wewnętrznego

Warszawa, dnia 12 maja 2016 r. Poz. 20

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

KARTA AUDYTU WEWNĘTRZNEGO SGH

Załącznik Nr 1 do Zarządzenia Nr 439/09 Prezydenta Miasta Szczecin z dnia 8 września 2009 r. STATUT AUDYTU WEWNĘTRZNEGO W GMINIE MIASTO SZCZECIN

POLITYKA W ZAKRESIE STOSOWANIA ZASAD ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH W KURPIOWSKIM BANKU SPÓŁDZIELCZYM W MYSZYŃCU

KARTA AUDYTU WEWNĘTRZNEGO

Zasady systemu kontroli wewnętrznej w Banku Polskiej Spółdzielczości S.A.

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r.

Zarządzenie nr 3055 /2017 Prezydenta Miasta Płocka z dnia 01 marca 2017 r.

I. Ogólne cele i zasady audytu wewnętrznego

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

Opis systemu kontroli wewnętrznej w mbanku S.A.

Komunikat nr 115 z dnia r.

KARTA AUDYTU WEWNĘTRZNEGO

ZARZĄDZENIE NR 19/2019 STAROSTY SIEDLECKIEGO. z dnia 4 kwietnia 2019 r.

Zarządzenie Nr 157 Prezydenta Miasta Olsztyn z dnia 13 czerwca 2011r.

RAPORT Z AUDYTU WEWNĘTRZNEGO URZĘDU GMINY TRĄBKI WIELKIE

Normalizacja dla bezpieczeństwa informacyjnego

Karta Audytu Wewnętrznego

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

BANK SPÓŁDZIELCZY W SKAWINIE. Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Skawinie. SKAWINA, 2018 r.

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

Załącznik do uchwały Zarządu Powiatu Pabianickiego nr z dnia listopada 2007 roku KODEKS ETYKI AUDYTORA WEWNĘTRZNEGO

Załącznik nr 3 do Zarządzenia III/118/2009 Starosty Wadowickiego z dnia r.

ZASADY NADZORU NAD STOSOWANIEM ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W ZATORZE

Regulamin audytu wewnętrznego

KARTA AUDYTU WEWNĘTRZNEGO

ZARZĄDZENIE NR 15/2017 BURMISTRZA KARCZEWA z dnia 25 stycznia 2017 r.

ZARZĄDZENIE Nr 118/2006 Rektora Uniwersytetu Wrocławskiego z dnia 15 września 2006 r.

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Zarządzenie Nr 167/2017 Prezydenta Miasta Kalisza z dnia 20 marca 2017 r.

Kontrola i audyt wewnętrzny w przedsiębiorstwach i w administracji publicznej

Zarządzenie Nr BO Burmistrza Ozimka z dnia r.

Komunikowanie wyników audytu

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ZASADY (INSTRUKCJA) NADZORU NAD STOSOWANIEM ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W KOŃSKICH

System Kontroli Wewnętrznej w Banku Spółdzielczym w Andrespolu ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPOŁDZIELCZYM W ANDRESPOLU

Zarządzenie Nr 5/2009 Starosty Bocheńskiego z dnia 2 lutego 2009 roku

Rozdział 1. Postanowienia ogólne

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Warszawa, dnia 21 lutego 2013 r. Poz. 5 DECYZJA NR 4 KOMENDANTA GŁÓWNEGO PAŃSTWOWEJ STRAŻY POŻARNEJ. z dnia 21 lutego 2013 r.

Co to znaczy być liderem?

KODEKS ETYKI AUDYTORA WEWNĘTRZNEGO

Bezpieczeństwo informacji. jak i co chronimy

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

Szczegółowe wytyczne w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych

Szkolenie Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania AW-01

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki Bielsk Podlaski, Kopernika 1

ZAPROSZENIE DO SKŁADANIA OFERT

Karta audytu wewnętrznego

System kontroli wewnętrznej w Limes Banku Spółdzielczym

ZASADY (INSTRUKCJA) NADZORU NAD STOSOWANIEM ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W KOŃSKICH

KOMUNIKAT Nr 6/KF/2004 MINISTRA FINANSÓW. z dnia 28 kwietnia 2004 r.

Rodzaje audytu. Artur Sierszeń

Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym

reguł postępowania stanowiących normy zachowania oczekiwanego od audytora wewnętrznego;

Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 14 października 2010 roku

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

System Kontroli Wewnętrznej w Banku BPH S.A.

Ministerstwo Finansów Departament Ochrony Interesów Finansowych Unii Europejskiej - Instytucja Audytowa -

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

Akademia Audytora II AUDYTY SPECJALISTYCZNE agenda szkolenia

System kontroli wewnętrznej w Banku Millennium S.A.

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

SZKOLENIA SYNERGIAgroup

ZASADY WEWNĘTRZNEJ KONTROLI JAKOŚCI PODMIOTU UPRAWNIONEGO DO BADANIA SPRAWOZDAŃ FINANSOWYCH. Postanowienia ogólne

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

Przedszkole Nr 30 - Śródmieście

POLITYKA W ZAKRESIE STOSOWANIA ZASAD ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH W BANKU SPÓŁDZIELCZYM W PRZASNYSZU

Raport z wykonania niezależnej usługi atestacyjnej dającej ograniczoną pewność

POLITYKA W ZAKRESIE STOSOWANIA ZASAD ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH W SPÓŁDZIELCZEJ KASIE OSZCZĘDNOŚCIOWO KREDYTOWEJ WISŁA

Instrukcja Audytu Wewnętrznego

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

SYSTEM KONTROLI WEWNĘTRZNEJ W RAIFFEISEN BANK POLSKA S.A.

Wartość audytu wewnętrznego dla organizacji. Warszawa,

KODEKS ETYKI AUDYTORA WEWNĘTRZNEGO W URZĘDZIE MIEJSKIM W NOWYM DWORZE GDAŃSKIM

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Karta audytu wewnętrznego w Uniwersytecie Mikołaja Kopernika w Toruniu

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Transkrypt:

Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1

Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy kontrolowania ryzyka Miejsce audytu w zarządzaniu ryzykiem, czyli model ładu i nadzoru (IT Governance) w oparciu o COBIT Pojęcie audytu Kodeks Etyki Zawodowej audytora systemów informatycznych Standardy, wytyczne i procedury audytowania systemów informatycznych Standardy audytowania systemów informatycznych Standard S2 -Niezależność Standard S5 - Planowanie Standard S6 - Wykonanie prac audytowych Standard S7 - Raportowanie Wytyczna G20 Raportowanie (Rodzaje audytów) Podsumowanie 2

Ryzyko i strategia postępowania z ryzykiem Cel Ryzyko Procesy Ludzie Systemy Mechanizmy kontrolne Kontrolowane warunki zarządzania Strategie postępowania z ryzykiem Akceptacja ryzyka Unikanie ryzyka Kontrolowanie / ograniczanie ryzyka Transfer / dzielenie się ryzykiem 3

Mechanizmy kontrolowania ryzyka Identyfikacja aktywów Wycena aktywów Aktywa i ich wartość Identyfikacja podatności Identyfikacja zagrożeń Ryzyko Mechanizmy kontrolne Metody zapobiegania - Mechanizmy prewencyjne - Mechanizmy detekcyjne Ryzyko szczątkowe - Mechanizmy korekcyjne 4

Miejsce audytu w zarządzaniu ryzykiem Model ładu i nadzoru (IT governance) w oparciu o COBIT Cele biznesowe wymagania dla informatyki Cele IT Procesy IT informacja działanie kontrola pomiar audyt Kluczowe działania Rezultaty testów kontroli Cele kontroli wykonywane przez wydajność wynik dojrzałość audytowane poprzez wdrażane z użyciem Struktura odpowiedzialności Wskaźniki wydajności Mierniki wyników Modele dojrzałości Ocena kontroli wewnętrznej Praktyki kontroli wewnętrznej 5

Pojęcie audytu Audyt to zadanie polegające na analizie i ocenie określonego zagadnienia, przeprowadzane w celu dostarczenia wszystkim zainteresowanym stronom racjonalnego zapewnienia, o braku istotnych nieprawidłowości lub niezgodności z wymaganiami Zapewnienie w świetle norm i standardów: Pozytywne (np. potwierdzenie zgodności) Negatywne (np. zapewnienie o braku niezgodności) W praktyce celem audytu jest wskazanie ryzyk związanych z badanym obszarem oraz ocena skuteczności kontrolowania tych ryzyk Ocena konstrukcji mechanizmów kontrolnych Ocena skuteczności operacyjnej mechanizmów kontrolnych 6

Kodeks Etyki Zawodowej audytora systemów informatycznych 1. Wspierać wdrażanie i zachęcać do przestrzegania standardów, procedur i kontroli systemów informatycznych. 2. Wykonywać obowiązki audytora w sposób obiektywny i profesjonalny, zgodnie ze standardami audytu i najlepszymi praktykami. 3. Działać w interesie wszystkich zainteresowanych stron, w uczciwy i zgodny z prawem sposób, jednocześnie utrzymując najwyższe standardy zachowania i charakteru i nie angażować się w działania mogące zdyskredytować profesję audytora. 4. Zachowywać poufność informacji uzyskanej w trakcie wykonywania obowiązków chyba, że konieczność ich ujawnienia stanowi wymóg prawa.takie informacje nie mogą być wykorzystywane dla korzyści osobistych ani ujawniane nieuprawnionym osobom. 5. Utrzymywać kompetencje i podejmować się wyłącznie zadań, które mogą zostać zrealizowane w sposób kompetentny, wymagany od profesjonalisty. 6. Informować właściwe osoby o wynikach wykonanej pracy, ujawniając przy tym wszystkie znane istotne fakty. 7. Wspierać podnoszenie wiedzy interesariuszy oraz zrozumienie systemu kontroli wewnętrznej i bezpieczeństwa systemów informatycznych. Naruszenie Kodeksu Etyki Zawodowej może prowadzić do przeprowadzenia postępowania wyjaśniającego w sprawie postępowania audytora, a ostatecznie do zastosowania środków dyscyplinarnych. 7

Standardy, wytyczne i procedury audytowania systemów informatycznych Standardy, wytyczne i procedury 16 standardów 42 wytyczne 11 procedur Standardy audytowania są obowiązkowedla certyfikowanych audytorów systemów informatycznych CISA (Certified Information systems Auditor) Wytyczne i procedury audytowania to rekomendowana praktyka zawodowa 8

Standardy audytowania systemów informatycznych S1 Karta audytu (Audit Charter) S2 Niezależność(Independence) S3 Etyka zawodowa i standardy(professional Ethics and Standards) S4 Kompetencje (Competence) S5 Planowanie(Planning) S6 Wykonanie prac audytowych(performance of Audit Work) S7 Raportowanie (Reporting) S8 Powtórny audyt (Follow-Up Activities) S9 Nieprawidłowości i czyny nielegalne (Irregularities and Illegal Acts) S10 Ład informatyczny (IT Governance) S11 Ocena ryzyka w planowaniu audytu (Use of Risk Assessment in Audit Planning) S12 Poziom istotności (Audit Materiality) S13 Korzystanie z pracy innych ekspertów (Using the Work of Other Experts) S14 Dowody audytowe(audit Evidence) S15 Kontrola IT(IT Controls) S16 Handel elektroniczny (E-commerce) 9

Standard S2 - Niezależność Niezależność zawodowa We wszelkich kwestiach związanych z audytem, audytor systemów informatycznych powinien być niezależny od audytowanego w postawie i sposobie prezentacji. Niezależność organizacyjna Funkcja audytu systemów informatycznych powinna być niezależna od audytowanego obszaru lub czynności, w celu zapewnienia obiektywnego przeprowadzenia prac audytowych 10

Standard S5 - Planowanie Audytor systemów informatycznych powinien zaplanować audyt systemów informatycznych w celu odniesienia się do celów audytu i zapewnienia zgodności z przepisami prawa i standardów audytowania. Audytor systemów informatycznych powinien opracować i udokumentować podejście do audytu w oparciu o ryzyko. Audytor systemów informatycznych powinien opracować i udokumentować plan audytu, uwzględniający naturę i cele audytu, harmonogram i zakres oraz wymagane zasoby. Audytor systemów informatycznych powinien opracować program audytu, uwzględniający naturę, harmonogram i zakres czynności audytowych wymaganych do przeprowadzenia audytu. 11

Standard S6 - Wykonanie prac audytowych Nadzór Audytorzy systemów informatycznych powinni być nadzorowani, tak aby zapewnić realizację celów audytu i zgodność ze standardami audytowania. Dowody W trakcie audytu, audytor systemów informatycznych powinien uzyskać dowody wystarczające, wiarygodne i odpowiednie do realizacji celów audytu. Wyniki audytu i wnioskipowinny być potwierdzone odpowiednią analizą i interpretacją tych dowodów. Dokumentacja Proces audytu powinien być udokumentowany. Wykonane czynności oraz dowody audytowe powinny zostać opisane, potwierdzając wyniki i wnioski audytora systemów informatycznych. 12

Standard S7 - Raportowanie Po zakończeniu prac audytowych, audytor systemów informatycznych powinien opracować Raport z audytu, który powinien wskazywać organizację, adresatów raportu oraz ograniczenia w jego udostępnianiu. Raport z audytu powinien określać cel, zakres, audytowany okres, naturę, czas trwania prac audytowych. Raport powinien zawierać wyniki audytu, wnioski i rekomendacje oraz wszelkie zastrzeżenia, uwagi i ograniczenia w zakresie, związane z przeprowadzonym audytem. Audytor systemów informatycznych powinien posiadać wystarczające dowody audytowepotwierdzające raportowane wyniki audytu Po opracowaniu, Raport powinien zostać podpisany, oznaczony datą oraz przekazany adresatom zgodnie z Kartą Audytu lub umową 13

Wytyczna G20 Raportowanie Rodzaje audytów / zadań audytowych Audyt Wysoki poziom zapewnienia co do skuteczności systemu kontroli wewnętrznej Pozytywne zapewnienie Szeroki zakres prac audytowych, w tym ocena konstrukcji mechanizmów kontrolnych i ich skuteczności operacyjnej Przegląd Umiarkowany poziom zapewnienia co do skuteczności systemu kontroli wewnętrznej Negatywne zapewnienie Umiarkowany zakres prac audytowych, w tym ocena konstrukcji mechanizmów kontrolnych i ich skuteczności operacyjnej Wykonanie uzgodnionych procedur Brak zapewnienia Zakres prac uzgodniony ze zleceniodawcą Niezależne wykonanie uzgodnionych czynności Raport nie zawiera wniosków audytora Raport adresowany tylko do zlecającego wykonanie czynności 14

Podsumowanie Audyt to ocena procesów zarządzania i systemu kontroli wewnętrznej, jako sposobu kontrolowania ryzyka, a nie metoda na znalezienie winnych i wyciągnięcie konsekwencji Nie każdy audyt to audyt w świetle Standardów Raport z audytu niezgodny ze Standardami ma nikłą wartość ze względu na brak gwarancji, co do obiektywizmu, niezależności i sposobu przeprowadzenia audytu Jedynie certyfikowani audytorzy są zobowiązani do przestrzegania Kodeksu Etyki Zawodowej i Standardów, pozostali pozostają poza nadzorem i kontrolą jakości 15

IMMUSEC Sp. z o.o. Knowledge Village ul. Wiertnicza 141 02-952 Warszawa-Wilanów Tel. +48 22 3797470 Fax. +48 22 3797479 email: biuro@immusec.com 16

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres