Audyt systemów informatycznych w świetle standardów

Audyt systemów informatycznych w
świetle standardów ISACA
Radosław Kaczorek, CISSP, CISA, CIA
Warszawa, 7 września 2010 r.
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
1
Zawartość prezentacji
Wstęp
Ryzyko i strategia postępowania z ryzykiem
Mechanizmy kontrolowania ryzyka
Miejsce audytu w zarządzaniu ryzykiem,
czyli model ładu i nadzoru (IT Governance) w oparciu o COBIT®
Pojęcie audytu
Kodeks Etyki Zawodowej audytora systemów informatycznych
Standardy, wytyczne i procedury audytowania systemów informatycznych
Standardy audytowania systemów informatycznych
Standard S2 - Niezależność
Standard S5 - Planowanie
Standard S6 - Wykonanie prac audytowych
Standard S7 - Raportowanie
Wytyczna G20 – Raportowanie (Rodzaje audytów)
Podsumowanie
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
2
Ryzyko i strategia postępowania z ryzykiem
Cel
Ryzyko
Kontrolowane
warunki zarządzania
Procesy
Ludzie
Systemy
Mechanizmy
kontrolne
Strategie postępowania z ryzykiem
Akceptacja ryzyka
Unikanie ryzyka
Kontrolowanie / ograniczanie ryzyka
Transfer / dzielenie się ryzykiem
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
3
Mechanizmy kontrolowania ryzyka
Identyfikacja
aktywów
Wycena
aktywów
Aktywa i ich wartość
Identyfikacja
podatności
Identyfikacja
zagrożeń
Ryzyko
Mechanizmy kontrolne
Metody zapobiegania
- Mechanizmy prewencyjne
- Mechanizmy detekcyjne
- Mechanizmy korekcyjne
Ryzyko
szczątkowe
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
4
Miejsce audytu w zarządzaniu ryzykiem
Model ładu i nadzoru (IT governance) w oparciu o COBIT®
Cele
biznesowe
informacja
wymagania dla
informatyki
Cele IT
Procesy IT
kontrola
działanie
pomiar
audyt
Rezultaty
testów
kontroli
Kluczowe
działania
wykonywane
przez
Struktura
odpowiedzialności
wydajność
Wskaźniki
wydajności
wynik
Mierniki
wyników
dojrzałość
Modele
dojrzałości
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
Cele
kontroli
audytowane
poprzez
Ocena
kontroli wewnętrznej
wdrażane z
użyciem
Praktyki
kontroli wewnętrznej
5
Pojęcie audytu
• Audyt to zadanie polegające na analizie i ocenie określonego
zagadnienia, przeprowadzane w celu dostarczenia wszystkim
zainteresowanym stronom racjonalnego zapewnienia, o
braku istotnych nieprawidłowości lub niezgodności z
wymaganiami
• „Zapewnienie” w świetle norm i standardów:
– Pozytywne (np. potwierdzenie zgodności)
– Negatywne (np. zapewnienie o braku niezgodności)
• W praktyce celem audytu jest wskazanie ryzyk związanych z
badanym obszarem oraz ocena skuteczności kontrolowania
tych ryzyk
– Ocena konstrukcji mechanizmów kontrolnych
– Ocena skuteczności operacyjnej mechanizmów kontrolnych
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
6
Kodeks Etyki Zawodowej
audytora systemów informatycznych
1.
2.
3.
4.
5.
6.
7.
Wspierać wdrażanie i zachęcać do przestrzegania standardów, procedur i kontroli systemów
informatycznych.
Wykonywać obowiązki audytora w sposób obiektywny i profesjonalny, zgodnie ze standardami
audytu i najlepszymi praktykami.
Działać w interesie wszystkich zainteresowanych stron, w uczciwy i zgodny z prawem sposób,
jednocześnie utrzymując najwyższe standardy zachowania i charakteru i nie angażować się w
działania mogące zdyskredytować profesję audytora.
Zachowywać poufność informacji uzyskanej w trakcie wykonywania obowiązków chyba, że
konieczność ich ujawnienia stanowi wymóg prawa. Takie informacje nie mogą być wykorzystywane
dla korzyści osobistych ani ujawniane nieuprawnionym osobom.
Utrzymywać kompetencje i podejmować się wyłącznie zadań, które mogą zostać zrealizowane w
sposób kompetentny, wymagany od profesjonalisty.
Informować właściwe osoby o wynikach wykonanej pracy, ujawniając przy tym wszystkie znane
istotne fakty.
Wspierać podnoszenie wiedzy interesariuszy oraz zrozumienie systemu kontroli wewnętrznej i
bezpieczeństwa systemów informatycznych.
Naruszenie Kodeksu Etyki Zawodowej może prowadzić do przeprowadzenia postępowania wyjaśniającego
w sprawie postępowania audytora, a ostatecznie do zastosowania środków dyscyplinarnych.
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
7
Standardy, wytyczne i procedury audytowania
systemów informatycznych
• Standardy, wytyczne i procedury
– 16 standardów
– 42 wytyczne
– 11 procedur
• Standardy audytowania są obowiązkowe dla
certyfikowanych audytorów systemów
informatycznych CISA (Certified Information
systems Auditor)
• Wytyczne i procedury audytowania to
rekomendowana praktyka zawodowa
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
8
Standardy audytowania
systemów informatycznych
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
S1 Karta audytu (Audit Charter)
S2 Niezależność (Independence)
S3 Etyka zawodowa i standardy (Professional Ethics and Standards)
S4 Kompetencje (Competence)
S5 Planowanie(Planning)
S6 Wykonanie prac audytowych (Performance of Audit Work)
S7 Raportowanie (Reporting)
S8 Powtórny audyt (Follow-Up Activities)
S9 Nieprawidłowości i czyny nielegalne (Irregularities and Illegal Acts)
S10 Ład informatyczny (IT Governance)
S11 Ocena ryzyka w planowaniu audytu (Use of Risk Assessment in Audit Planning)
S12 Poziom istotności (Audit Materiality)
S13 Korzystanie z pracy innych ekspertów (Using the Work of Other Experts)
S14 Dowody audytowe (Audit Evidence)
S15 Kontrola IT (IT Controls)
S16 Handel elektroniczny (E-commerce)
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
9
Standard S2 - Niezależność
• Niezależność zawodowa
– We wszelkich kwestiach związanych z audytem, audytor
systemów informatycznych powinien być niezależny od
audytowanego w postawie i sposobie prezentacji.
• Niezależność organizacyjna
– Funkcja audytu systemów informatycznych powinna być
niezależna od audytowanego obszaru lub czynności, w celu
zapewnienia obiektywnego przeprowadzenia prac audytowych
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
10
Standard S5 - Planowanie
• Audytor systemów informatycznych powinien zaplanować audyt
systemów informatycznych w celu odniesienia się do celów audytu i
zapewnienia zgodności z przepisami prawa i standardów
audytowania.
• Audytor systemów informatycznych powinien opracować i
udokumentować podejście do audytu w oparciu o ryzyko.
• Audytor systemów informatycznych powinien opracować i
udokumentować plan audytu, uwzględniający naturę i cele audytu,
harmonogram i zakres oraz wymagane zasoby.
• Audytor systemów informatycznych powinien opracować program
audytu, uwzględniający naturę, harmonogram i zakres czynności
audytowych wymaganych do przeprowadzenia audytu.
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
11
Standard S6 - Wykonanie prac audytowych
• Nadzór
– Audytorzy systemów informatycznych powinni być nadzorowani, tak aby
zapewnić realizację celów audytu i zgodność ze standardami audytowania.
• Dowody
– W trakcie audytu, audytor systemów informatycznych powinien uzyskać
dowody wystarczające, wiarygodne i odpowiednie do realizacji celów audytu.
Wyniki audytu i wnioski powinny być potwierdzone odpowiednią analizą i
interpretacją tych dowodów.
• Dokumentacja
– Proces audytu powinien być udokumentowany. Wykonane czynności oraz
dowody audytowe powinny zostać opisane, potwierdzając wyniki i wnioski
audytora systemów informatycznych.
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
12
Standard S7 - Raportowanie
• Po zakończeniu prac audytowych, audytor systemów
informatycznych powinien opracować Raport z audytu, który
powinien wskazywać organizację, adresatów raportu oraz
ograniczenia w jego udostępnianiu.
• Raport z audytu powinien określać cel, zakres, audytowany okres,
naturę, czas trwania prac audytowych.
• Raport powinien zawierać wyniki audytu, wnioski i rekomendacje
oraz wszelkie zastrzeżenia, uwagi i ograniczenia w zakresie,
związane z przeprowadzonym audytem.
• Audytor systemów informatycznych powinien posiadać
wystarczające dowody audytowe potwierdzające raportowane
wyniki audytu
• Po opracowaniu, Raport powinien zostać podpisany, oznaczony
datą oraz przekazany adresatom zgodnie z Kartą Audytu lub umową
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
13
Wytyczna G20 – Raportowanie
Rodzaje audytów / zadań audytowych
• Audyt
– Wysoki poziom zapewnienia co do skuteczności systemu kontroli wewnętrznej
– Pozytywne zapewnienie
– Szeroki zakres prac audytowych, w tym ocena konstrukcji mechanizmów
kontrolnych i ich skuteczności operacyjnej
• Przegląd
– Umiarkowany poziom zapewnienia co do skuteczności systemu kontroli
wewnętrznej
– Negatywne zapewnienie
– Umiarkowany zakres prac audytowych, w tym ocena konstrukcji mechanizmów
kontrolnych i ich skuteczności operacyjnej
• Wykonanie uzgodnionych procedur
–
–
–
–
–
Brak zapewnienia
Zakres prac uzgodniony ze zleceniodawcą
Niezależne wykonanie uzgodnionych czynności
Raport nie zawiera wniosków audytora
Raport adresowany tylko do zlecającego wykonanie czynności
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
14
Podsumowanie
• Audyt to ocena procesów zarządzania i systemu kontroli
wewnętrznej, jako sposobu kontrolowania ryzyka, a nie
metoda na znalezienie winnych i wyciągnięcie
konsekwencji
• Nie każdy „audyt” to audyt w świetle Standardów
• Raport z audytu niezgodny ze Standardami ma nikłą
wartość ze względu na brak gwarancji, co do
obiektywizmu, niezależności i sposobu przeprowadzenia
audytu
• Jedynie certyfikowani audytorzy są zobowiązani do
przestrzegania Kodeksu Etyki Zawodowej i Standardów,
pozostali pozostają poza nadzorem i kontrolą jakości
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
15
IMMUSEC Sp. z o.o.
Knowledge Village
ul. Wiertnicza 141
02-952 Warszawa-Wilanów
Tel. +48 22 3797470
Fax. +48 22 3797479
email: [email protected]
© 2010 IMMUSEC Sp. z o.o.
Do użytku zewnętrznego
16