Rodzaje audytu Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl
Rodzaje audytu audyt finansowy audyt operacyjny audyt wynagrodzeń audyt personalny audyt menedżerski audyt komunikacyjny audyt marketingowy audyt logistyczny audyt informatyczny 2
Audyt finansowy Głównym celem jest sprawdzenie, czy sprawozdania finansowe danej organizacji lub przedsiębiorstwa są poprawne i kompletne. Audytor powinien zgodność i rzetelność wszystkich informacji zawartych w sprawozdaniu finansowym. Powinien przy tym zwrócić uwagę na wszelkie błędy spowodowane celowo pod dyktando kierownictwa audytowanej jednostki. 3
Audyt operacyjny Głównym zadaniem jest badanie wydajności, a także skuteczności systemów i jednostek organizacyjnych. Zajmuje się również oceną efektywności zarządzania - oceną skuteczności działania kierownictwa (planowania i kontroli realizacji zadań). Głównym kryterium oceny jest w tym wypadku oszczędność i wydajność działań. 4
Audyt wynagrodzeń polega on na odniesieniu poziomów wynagrodzeń do bezpośredniej konkurencji na rynku pracy. Dzięki niemu można: zracjonalizować budżet wynagrodzeń; dokonać oceny efektywności budżetu wynagrodzeń firmy na tle rynkowych stawek płac; ocenić konkurencyjność oferty wynagrodzeń dla całej organizacji oraz poszczególnych działów, jak i pojedynczych stanowisk; dokonać weryfikacji sposobów wykorzystania dostępnych mechanizmów motywacyjnych pod kątem zapotrzebowań pracowników. 5
Audyt personalny Polega na dokonaniu oceny adekwatności kwalifikacji pracowników do zadań im powierzonych. 6
Audyt menedżerski Służy określeniu potrzeb szkoleniowych kierowników, planowaniu ich rozwoju kompetencyjnego. Dobraniu odpowiednich instrumentów pomagających w budowaniu potencjału kadrowego firmy. Przygotowaniu planów sukcesyjnych na stanowiskach kierowniczych. 7
Audyt komunikacyjny Jest oceną procesów komunikacji wewnątrz firmy oraz komunikacji z otoczeniem (klientami, kooperantami, dostawcami itp.). Dane zebranie podczas audytu komunikacyjnemu pozwalają na podejmowanie decyzji w sprawie przyszłych celów komunikacji przedsiębiorstwa (organizacji). 8
Audyt marketingowy Celem jest ocena skuteczności działań marketingowych przedsiębiorstwa. Ocenia trafność strategii marketingowych, efektywność działań marketingowych. Jest podstawowym narzędziem do oceny stanu funkcjonowania przedsiębiorstwa. 9
Audyt logistyczny Polega przede wszystkim na dokonaniu oceny efektywności i rentowności procesów logistycznych. W wyniku postępowania audytowego można wskazać przyczyny ewentualnych nieprawidłowości oraz zaproponować zmiany poprawiające funkcjonowanie systemu logistycznego organizacji. 10
Audyt informatyczny Związany z oceną sprzętu komputerowego, jego użytkowania, oprogramowania, konfiguracji usług oraz procedur postępowania z nimi związanych. 11
Audyt informatyczny
ISACA (ang. Information Systems Audit and Control Association). Międzynarodową organizacją zrzeszającą profesjonalistów w dziedzinie audytu, kontroli i bezpieczeństwa systemów informatycznych. Działalność edukacyjna Zrzesza obecnie około 86000 członków z 160 krajów. W Polsce jej przedstawicielstwem jest ISACA - stowarzyszenie do spraw audytu i kontroli systemów informatycznych działająca od 1997 roku, z siedzibą w Warszawie. 13
ISACA - Certyfikaty Certified Information Systems Auditor (CISA) - program prowadzony od 1978 roku Certified Information Security Manager (CISM) - program prowadzony od 2003 roku Certified in the Governance of Enterprise IT (CGEIT) - program prowadzony od 2008 roku. 14
CISA - Certified Information Systems Auditor został przygotowany przez ISACA aby: rozwijać i utrzymywać narzędzie testowania, które może być używane do oceny indywidualnych kompetencji w zakresie audytu systemów informatycznych, dostarczyć mechanizmu motywującego audytorów systemów informatycznych do utrzymywania swoich kompetencji i monitorowania efektów programów szkoleniowych, pomagać kierownictwu w rozwijaniu funkcji kontroli systemów informatycznych, dostarczając kryteria dla doboru i szkolenia personelu. 15
CISA - Certified Information Systems Auditor Egzamin odbywa się dwa razy do roku, w pierwszą sobotę czerwca i grudnia, w ponad 100 ośrodkach w ok. 60 państwach świata. W Polsce egzamin odbywa się w Warszawie. Egzamin jest prowadzony w językach: duńskim, angielskim, francuskim, niemieckim, hebrajskim, włoskim, japońskim, koreańskim i hiszpańskim. Zapisy na egzamin odbywają się poprzez stronę http://www.isaca.org/cisa 16
CISA - Certified Information Systems Auditor Trwający 4 godziny egzamin składa się z 200 pytań wielokrotnego wyboru (jeden z czterech, bez punktów ujemnych). Aby zdać egzamin należy uzyskać 450 punktów w ważonej skali od 200 do 800 punktów. Można to porównać z koniecznością odpowiedzi na ponad 75% pytań, jednak uczestnicy nie są informowani o wadze poszczególnych z nich. 17
CISA - Certified Information Systems Auditor Celem egzaminu jest przetestowanie kandydatów w zakresie zrozumienia, oceny i stosowania powszechnie akceptowanych standardów, wymogów i praktyk audytu systemów informatycznych oraz praktyk bezpieczeństwa i kontroli, strategii, polityk i procedur, praktyk zarządzania i struktur organizacyjnych, procesów systemów informatycznych, włączając w to platformy sprzętowe i programowe, infrastrukturę sieciową i telekomunikacyjną, praktyki administrowania, wykorzystanie zasobów systemów informatycznych, logicznych, fizycznych i środowiskowych zabezpieczeń, kontroli poprawności danych, planowania ciągłości działania oraz procesów testowania, rozwoju, nabywania i utrzymywania systemów informatycznych. 18
CISA - Certified Information Systems Auditor Egzamin zawiera pytania z następujących dziedzin: The IS Audit Process - około 10% pytań IT Governance - około 15% pytań Systems and Infrastucture Life Cycle Management - około 16% pytań IT Service Delivery and Support - około 14% pytań Protection of Information Assets - około 31% pytań Business Continuity and Disaster Recovery - około 14% pytań 19
CISM - Certified Information Security Manager Został przygotowany przez ISACA w 2003 roku specjalnie na potrzeby doświadczonej kadry zarządzającej bezpieczeństwem systemów informacji. Jest nakierowany na osoby, które zarządzają, projektują i oceniają systemy bezpieczeństwa informacji w przedsiębiorstwach. 20
CISM - Certified Information Security Manager Egzamin odbywa się dwa razy do roku, w pierwszą sobotę czerwca i grudnia, w ponad 100 ośrodkach w ok. 60 państwach świata. W Polsce egzamin odbywa się w Warszawie. Egzamin jest prowadzony w językach: angielskim, japońskim i hiszpańskim. 21
CISM - Certified Information Security Manager Trwający 4 godziny egzamin składa się z 200 pytań wielokrotnego wyboru (jeden z czterech, bez punktów ujemnych). Aby zdać egzamin należy uzyskać 450 punktów w ważonej skali od 200 do 800 punktów. Można to porównać z koniecznością odpowiedzi na ponad 75% pytań, jednak uczestnicy nie są informowani o wadze poszczególnych z nich. Zapisy na egzamin odbywają się poprzez stronę http://www.isaca.org/cism 22
CISM - Certified Information Security Manager Na egzaminie weryfikowana jest wiedza kandydatów z następujących obszarów: Information Security Governence - około 21% pytań Risk Management - około 21% pytań Information Security Program(me) Mgt. - około 21% pytań Information Security Management - około 24% Response Management - około 13% pytań 23
CISM - Certified Information Security Manager Pomyślne zdanie egzaminów nie jest jednak tożsame z uzyskaniem certyfikatu. Często przyszli CISM czekają jeszcze kilka lat na zdobycie wymaganego doświadczenia. Utrzymanie certyfikatu również wymaga pewnego wysiłku. CISM muszą: przestrzegać postanowień Kodeksu Etyki Zawodowej, regularnie opłacać należne składki do ISACA Int (niezależne od składek członkowskich) wykazać się nieustannym poszerzaniem swojej wiedzy zgodnie z Polityką Ustawicznego Kształcenia. W przeciwnym wypadku certyfikat zostanie odebrany. 24
CGEIT - Certified in the Governance of Enterprise IT Certyfikat CGEIT jest skierowany do osób, które są odpowiedzialne za zarządzanie i nadzór nad informatyką. Jest to najnowszy certyfikat ISACA, związany z zagadnieniami IT Governance. Certyfikat CGEIT przyznawany jest od 2008 roku. 25
CGEIT - Certified in the Governance of Enterprise IT Certyfikat CGEIT można zdobyć w dwojaki sposób: Do 31 grudnia 2008 roku można skorzystać z możliwości certyfikacji bez potrzeby zdawania egzaminu (tzw. grandfathering program). Aby uzyskać certyfikat należy wykazać minimum 8-letnie doświadczenie w obszarze IT Governance. Uzyskać pozytywny wynik na egzaminie CGEIT oraz spełnić wymagania dla certyfikacji CGEIT. 26
CGEIT - Certified in the Governance of Enterprise IT Egzamin CGEIT obejmuje następujące zagadnienia: Ramy nadzoru i ładu informatycznego (IT governance frameworks) Ujednolicenie strategiczne (Strategic alignment) Zarządzanie zasobami (Resource management) Zarządzanie ryzykiem (Risk management) Pomiar sprawności (Performance measurement) Dostarczanie wartości (Value delivery) 27
CGEIT - Certified in the Governance of Enterprise IT Trwający 4 godziny egzamin składa się z 200 pytań wielokrotnego wyboru. Aby uzyskać pozytywny wynik egzaminu kandydat musi uzyskać 450 punktów w ważonej skali od 200 do 800 punktów. Można to porównać z koniecznością odpowiedzi na ponad 75% pytań. 28
CGEIT - Certified in the Governance of Enterprise IT Wymagania dla certyfikacji CGEIT Minimum 5 lat doświadczenia zawodowego w obszarze IT Governance Zobowiązanie do przestrzegania postanowień Kodeksu Etyki Zawodowej Uregulowanie opłaty za certyfikat CGEIT Nieustanne poszerzanie wiedzy zgodnie z Polityką Ustawicznego Kształcenia 29
ISACA - definicja audytu informatycznego audyt informatyczny to [...] proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane. 30
Audyt informatyczny obejmuje następujące dziedziny Zebranie i uporządkowanie informacji o posiadanej infrastruktury sprzętowej dokładna inwentaryzacja posiadanych przez organizację zasobów sprzętowych, co przyczynia się do zwiększenia efektywności wykorzystania i zarządzania dostępnym sprzętem. Jest to wymagane przy opracowywaniu strategii inwestycyjnej przedsiębiorstwa lub organizacji. 31
Audyt informatyczny obejmuje następujące dziedziny Identyfikacja najczęściej występujących problemów audyt pozwala na określenie najczęściej występujących problemów na poszczególnych stanowiskach, dzięki czemu można przewidzieć ich wystąpienie na podstawie symptomów oraz zapobiegać ich ponownemu wystąpieniu. Można również na tej podstawie określić stopień zapotrzebowania przedsiębiorstwa na obsługę informatyczną swojej infrastruktury. 32
Audyt informatyczny obejmuje następujące dziedziny Weryfikacja oprogramowania dokonywana przez określenie poprawności wykonanych instalacji oprogramowania a także weryfikacja jego legalności. Pozwala na zmniejszenie awaryjności i zwiększenie produktywności poszczególnych stanowisk komputerowych. Ponadto weryfikacja legalności oprogramowania oszczędza przedsiębiorstwu przykrych konsekwencji prawnych związanych z nielegalnym wykorzystywaniem licencjonowanego oprogramowania. 33
Audyt informatyczny obejmuje następujące dziedziny Określenie stanu infrastruktury przeprowadzenie audytu w tej dziedzinie pozwala na określenie potrzeb przedsiębiorstwa w dziedzinie informatyki. Taka kontrola pozwala na zgromadzenie informacji na temat konserwacji poszczególnych elementów infrastruktury informatycznej. Na tej podstawie można podjąć decyzje dotyczące modernizacji istniejącej infrastruktury lub wprowadzenia do niej nowych technologii, czyli zaplanowania polityki informatycznej w firmie. 34
Audyt informatyczny obejmuje następujące dziedziny Zwiększenie efektywności pracy poprzez opracowanie szczegółowych raportów można określić stopień efektywnego wykorzystania zasobów firmy, dzięki czemu można zastosować działania pozwalające na bardziej efektywne wykorzystanie dostępnych zasobów. 35
Rodzaje audytu K O N I E C