Audyt systemów informatycznych w świetle standardów
Transkrypt
Audyt systemów informatycznych w świetle standardów
Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy kontrolowania ryzyka Miejsce audytu w zarządzaniu ryzykiem, czyli model ładu i nadzoru (IT Governance) w oparciu o COBIT® Pojęcie audytu Kodeks Etyki Zawodowej audytora systemów informatycznych Standardy, wytyczne i procedury audytowania systemów informatycznych Standardy audytowania systemów informatycznych Standard S2 - Niezależność Standard S5 - Planowanie Standard S6 - Wykonanie prac audytowych Standard S7 - Raportowanie Wytyczna G20 – Raportowanie (Rodzaje audytów) Podsumowanie © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 2 Ryzyko i strategia postępowania z ryzykiem Cel Ryzyko Kontrolowane warunki zarządzania Procesy Ludzie Systemy Mechanizmy kontrolne Strategie postępowania z ryzykiem Akceptacja ryzyka Unikanie ryzyka Kontrolowanie / ograniczanie ryzyka Transfer / dzielenie się ryzykiem © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 3 Mechanizmy kontrolowania ryzyka Identyfikacja aktywów Wycena aktywów Aktywa i ich wartość Identyfikacja podatności Identyfikacja zagrożeń Ryzyko Mechanizmy kontrolne Metody zapobiegania - Mechanizmy prewencyjne - Mechanizmy detekcyjne - Mechanizmy korekcyjne Ryzyko szczątkowe © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 4 Miejsce audytu w zarządzaniu ryzykiem Model ładu i nadzoru (IT governance) w oparciu o COBIT® Cele biznesowe informacja wymagania dla informatyki Cele IT Procesy IT kontrola działanie pomiar audyt Rezultaty testów kontroli Kluczowe działania wykonywane przez Struktura odpowiedzialności wydajność Wskaźniki wydajności wynik Mierniki wyników dojrzałość Modele dojrzałości © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego Cele kontroli audytowane poprzez Ocena kontroli wewnętrznej wdrażane z użyciem Praktyki kontroli wewnętrznej 5 Pojęcie audytu • Audyt to zadanie polegające na analizie i ocenie określonego zagadnienia, przeprowadzane w celu dostarczenia wszystkim zainteresowanym stronom racjonalnego zapewnienia, o braku istotnych nieprawidłowości lub niezgodności z wymaganiami • „Zapewnienie” w świetle norm i standardów: – Pozytywne (np. potwierdzenie zgodności) – Negatywne (np. zapewnienie o braku niezgodności) • W praktyce celem audytu jest wskazanie ryzyk związanych z badanym obszarem oraz ocena skuteczności kontrolowania tych ryzyk – Ocena konstrukcji mechanizmów kontrolnych – Ocena skuteczności operacyjnej mechanizmów kontrolnych © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 6 Kodeks Etyki Zawodowej audytora systemów informatycznych 1. 2. 3. 4. 5. 6. 7. Wspierać wdrażanie i zachęcać do przestrzegania standardów, procedur i kontroli systemów informatycznych. Wykonywać obowiązki audytora w sposób obiektywny i profesjonalny, zgodnie ze standardami audytu i najlepszymi praktykami. Działać w interesie wszystkich zainteresowanych stron, w uczciwy i zgodny z prawem sposób, jednocześnie utrzymując najwyższe standardy zachowania i charakteru i nie angażować się w działania mogące zdyskredytować profesję audytora. Zachowywać poufność informacji uzyskanej w trakcie wykonywania obowiązków chyba, że konieczność ich ujawnienia stanowi wymóg prawa. Takie informacje nie mogą być wykorzystywane dla korzyści osobistych ani ujawniane nieuprawnionym osobom. Utrzymywać kompetencje i podejmować się wyłącznie zadań, które mogą zostać zrealizowane w sposób kompetentny, wymagany od profesjonalisty. Informować właściwe osoby o wynikach wykonanej pracy, ujawniając przy tym wszystkie znane istotne fakty. Wspierać podnoszenie wiedzy interesariuszy oraz zrozumienie systemu kontroli wewnętrznej i bezpieczeństwa systemów informatycznych. Naruszenie Kodeksu Etyki Zawodowej może prowadzić do przeprowadzenia postępowania wyjaśniającego w sprawie postępowania audytora, a ostatecznie do zastosowania środków dyscyplinarnych. © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 7 Standardy, wytyczne i procedury audytowania systemów informatycznych • Standardy, wytyczne i procedury – 16 standardów – 42 wytyczne – 11 procedur • Standardy audytowania są obowiązkowe dla certyfikowanych audytorów systemów informatycznych CISA (Certified Information systems Auditor) • Wytyczne i procedury audytowania to rekomendowana praktyka zawodowa © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 8 Standardy audytowania systemów informatycznych – – – – – – – – – – – – – – – – S1 Karta audytu (Audit Charter) S2 Niezależność (Independence) S3 Etyka zawodowa i standardy (Professional Ethics and Standards) S4 Kompetencje (Competence) S5 Planowanie(Planning) S6 Wykonanie prac audytowych (Performance of Audit Work) S7 Raportowanie (Reporting) S8 Powtórny audyt (Follow-Up Activities) S9 Nieprawidłowości i czyny nielegalne (Irregularities and Illegal Acts) S10 Ład informatyczny (IT Governance) S11 Ocena ryzyka w planowaniu audytu (Use of Risk Assessment in Audit Planning) S12 Poziom istotności (Audit Materiality) S13 Korzystanie z pracy innych ekspertów (Using the Work of Other Experts) S14 Dowody audytowe (Audit Evidence) S15 Kontrola IT (IT Controls) S16 Handel elektroniczny (E-commerce) © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 9 Standard S2 - Niezależność • Niezależność zawodowa – We wszelkich kwestiach związanych z audytem, audytor systemów informatycznych powinien być niezależny od audytowanego w postawie i sposobie prezentacji. • Niezależność organizacyjna – Funkcja audytu systemów informatycznych powinna być niezależna od audytowanego obszaru lub czynności, w celu zapewnienia obiektywnego przeprowadzenia prac audytowych © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 10 Standard S5 - Planowanie • Audytor systemów informatycznych powinien zaplanować audyt systemów informatycznych w celu odniesienia się do celów audytu i zapewnienia zgodności z przepisami prawa i standardów audytowania. • Audytor systemów informatycznych powinien opracować i udokumentować podejście do audytu w oparciu o ryzyko. • Audytor systemów informatycznych powinien opracować i udokumentować plan audytu, uwzględniający naturę i cele audytu, harmonogram i zakres oraz wymagane zasoby. • Audytor systemów informatycznych powinien opracować program audytu, uwzględniający naturę, harmonogram i zakres czynności audytowych wymaganych do przeprowadzenia audytu. © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 11 Standard S6 - Wykonanie prac audytowych • Nadzór – Audytorzy systemów informatycznych powinni być nadzorowani, tak aby zapewnić realizację celów audytu i zgodność ze standardami audytowania. • Dowody – W trakcie audytu, audytor systemów informatycznych powinien uzyskać dowody wystarczające, wiarygodne i odpowiednie do realizacji celów audytu. Wyniki audytu i wnioski powinny być potwierdzone odpowiednią analizą i interpretacją tych dowodów. • Dokumentacja – Proces audytu powinien być udokumentowany. Wykonane czynności oraz dowody audytowe powinny zostać opisane, potwierdzając wyniki i wnioski audytora systemów informatycznych. © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 12 Standard S7 - Raportowanie • Po zakończeniu prac audytowych, audytor systemów informatycznych powinien opracować Raport z audytu, który powinien wskazywać organizację, adresatów raportu oraz ograniczenia w jego udostępnianiu. • Raport z audytu powinien określać cel, zakres, audytowany okres, naturę, czas trwania prac audytowych. • Raport powinien zawierać wyniki audytu, wnioski i rekomendacje oraz wszelkie zastrzeżenia, uwagi i ograniczenia w zakresie, związane z przeprowadzonym audytem. • Audytor systemów informatycznych powinien posiadać wystarczające dowody audytowe potwierdzające raportowane wyniki audytu • Po opracowaniu, Raport powinien zostać podpisany, oznaczony datą oraz przekazany adresatom zgodnie z Kartą Audytu lub umową © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 13 Wytyczna G20 – Raportowanie Rodzaje audytów / zadań audytowych • Audyt – Wysoki poziom zapewnienia co do skuteczności systemu kontroli wewnętrznej – Pozytywne zapewnienie – Szeroki zakres prac audytowych, w tym ocena konstrukcji mechanizmów kontrolnych i ich skuteczności operacyjnej • Przegląd – Umiarkowany poziom zapewnienia co do skuteczności systemu kontroli wewnętrznej – Negatywne zapewnienie – Umiarkowany zakres prac audytowych, w tym ocena konstrukcji mechanizmów kontrolnych i ich skuteczności operacyjnej • Wykonanie uzgodnionych procedur – – – – – Brak zapewnienia Zakres prac uzgodniony ze zleceniodawcą Niezależne wykonanie uzgodnionych czynności Raport nie zawiera wniosków audytora Raport adresowany tylko do zlecającego wykonanie czynności © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 14 Podsumowanie • Audyt to ocena procesów zarządzania i systemu kontroli wewnętrznej, jako sposobu kontrolowania ryzyka, a nie metoda na znalezienie winnych i wyciągnięcie konsekwencji • Nie każdy „audyt” to audyt w świetle Standardów • Raport z audytu niezgodny ze Standardami ma nikłą wartość ze względu na brak gwarancji, co do obiektywizmu, niezależności i sposobu przeprowadzenia audytu • Jedynie certyfikowani audytorzy są zobowiązani do przestrzegania Kodeksu Etyki Zawodowej i Standardów, pozostali pozostają poza nadzorem i kontrolą jakości © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 15 IMMUSEC Sp. z o.o. Knowledge Village ul. Wiertnicza 141 02-952 Warszawa-Wilanów Tel. +48 22 3797470 Fax. +48 22 3797479 email: [email protected] © 2010 IMMUSEC Sp. z o.o. Do użytku zewnętrznego 16