Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
Przewodnik audytora
systemw informatycznych
Autorzy: Marian Molski, Magorzata acheta
ISBN: 83-246-0622-X
Format: A5, stron: 424
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Kociuszki 1c
44-100 Gliwice
tel. 032 230 98 63
e-mail: helion@helion.pl
O autorach ..........................................................................................................7
Od autorw ..........................................................................................................9
Wstp dla kogo, w jakim celu? .....................................................................11
Audyt systemw informatycznych uwagi wprowadzajce ...........................17
Geneza ....................................................................................................................23
Organizacje zawodowe ...........................................................................................25
Certyfikacja ..............................................................................................................29
Rynek usug .............................................................................................................35
Pytania do rozdziau 2. ............................................................................................41
Sownik terminw zwizanych z audytem systemw informatycznych ............43
Wersja polsko-angielska .........................................................................................44
Wersja angielsko-polska .........................................................................................59
Wprowadzenie do zarzdzania bezpieczestwem
systemw informatycznych ..............................................................................75
Elementy bezpieczestwa .......................................................................................76
Polityka bezpieczestwa .........................................................................................83
Pytania do rozdziau 4. ............................................................................................85
Procesy zarzdzania bezpieczestwem systemw informatycznych ...............87
Zarzdzanie konfiguracj ........................................................................................88
Zarzdzanie zmianami .............................................................................................89
4 SPIS TRECI
OSSTM ..................................................................................................................252
TISM ......................................................................................................................261
Pytania do rozdziau 10. ........................................................................................272
SPIS TRECI
Wykonanie audytu
W celu poprawnego przeprowadzenia audytu wane jest, by zastosowa waciw metodyk (rozdzia 10.) oraz odpowiednio wskaza
zakres i obiekty badania. cisa integracja systemw informatycznych
i procesw biznesowych przy cigym wzrocie zoonoci tych systemw oraz szybkim tempie zmian biznesowych sprawia, e niemal
kady element rodowiska informatycznego jednostki moe sta si
obiektem audytu. Technik przydatn do poprawnego wykonania
przegldu jest podejcie wykorzystujce analiz ryzyka (rozdzia 5.).
Dziki zastosowaniu tego rozwizania audytor ma pewno, e bada
obszary obarczone najwyszym ryzykiem materializacji zagroenia.
Odmiennym sposobem prowadzenia audytu jest ocena caego rodowiska i systemw operacyjnych jednostki. Rozwizanie to nazywane jest czsto starym modelem audytowania (tabela 11.1).
Audytor powinien zdefiniowa zbir procesw, by wyznaczy obiekty kontroli, zebra i przeanalizowa dowody oraz opracowa wnioski
oraz rekomendacje w ramach raportowania.
W celu poprawnej realizacji audytu naley wykona nastpujce czynnoci:
1. zaplanowa spotkanie audytowe;
2. stworzy procedury audytu z uwzgldnieniem oszacowanego po-
Audyt nowoczesny
Audyt tradycyjny
Rodzaje
audytw
Obszar audytu
W pierwszej kolejnoci
aydytowana jest dziaalno
operacyjna i zgodno z prawem
Cele audytu
Planowanie
Zaangaowanie
pracownikw
jednostki
Zaangaowanie niewielkie,
zwykle dotyczy tylko zapoznania
z programem audytowym,
wstpnej oceny raportu,
potwierdzenia zawartych
w raporcie kocowym wnioskw
i rekomendacji
Realizacja
audytw
Moliwo rwnoczesnego
wykonywania kilku zada
audytowych
Cele testowania
Znalezienie bdw
funkcjonowania systemu
kontroli oraz wykorzystanie
analizy ryzyka do okrelenia,
ktre nieprawidowoci
s najwaniejsze
i wymagaj oceny
Znalezienie bdw
funkcjonowania systemu kontroli
bez uwzgldniania ich istotnoci
Raportowanie
Zapewnienie podmiotu
zlecajcego audyt, e wszystkie
rodzaje ryzyka znajduj si
na akceptowalnym poziomie,
oraz wskazanie tych rodzajw
ryzyka, ktre naley ograniczy
Potwierdzenie poprawnoci
funkcjonowania systemu kontroli
wewntrznej oraz wskazanie
jego ewentualnych saboci
wntrznej;
5. rozszerzy procedury audytu, by wskaza prawdopodobiestwo
W praktyce audyt dla celw bezpieczestwa teleinformatycznego przeprowadza si, aby [67]:
277
wykaza, e informacja i system teleinformatyczny zosta zabezpieczony zgodnie z ustaleniami pomidzy zleceniodawc a zespoem
budujcym system bezpieczestwa;
oceni jako systemu zabezpiecze i przedstawi opini zleceniodawcy (modernizujemy lub zostawiamy bez zmian).
weryfikacja zgodnoci dziaania systemw informatycznych z wymogami prawa (ustawa o rachunkowoci, o ochronie danych
osobowych itp. por. rozdzia 9.);
Przytoczone wnioski pozwalaj zatem wskaza, co nie jest celem audytu systemw informatycznych:
l
Wskazwka!
Zadanie audytowe odpowiedni podzia procesw zidentyfikowanych w ramach danej jednostki. Wyodrbnia si tu:
cel audytu,
zakres przedmiotowy bada obiekty audytu,
zakres podmiotowy przegldu jednostki audytowane.
279
Czynnoci kontrolne
Procedury audytowe
Kierownictwo ustala
harmonogram okresowych
niezalenych przegldw
operacji informatycznych,
a take formalne procedury
dotyczce dziaa
naprawczych po wykryciu
nieprawidowoci
Oceni zaimplementowane
polityki i procedury oraz
harmonogram niezalenych
wewntrznych przegldw,
by sprawdzi, czy zapewniaj
one niezalene przegldy
operacji informatycznych
i waciwe dziaania
naprawcze zidentyfikowanych
saboci systemu
Kierownictwo zapewnia
odpowiedni rozdzia
obowizkw i okrela
zakres odpowiedzialnoci
w dziale informatycznym,
by unikn popeniania
i ukrywania bdw
Oceni struktur
organizacyjn jednostki
w celu sprawdzenia,
czy dzia informatyczny
funkcjonuje
na wystarczajco
wysokim poziomie
w hierarchii subowej,
by jego dziaania byo
niezalene
Organizacja
Obowizki
i odpowiedzialno
powinny by rozdzielone
w taki sposb, by adna
osoba nie moga popeni
ani ukry istotnych
bdw
Tabela 11.2. Przykadowa macierz kontrolna (opracowanie wasne [56]) cig dalszy
Obiekty kontroli
Czynnoci kontrolne
Procedury audytowe
Kierownictwo ustanawia
i utrzymuje standardow
metodyk zawierajc
nastpujce elementy
kontrolne:
l
wykaz pisemnych
wymaga zaakceptowany
przez kierownictwo i
uytkownikw aplikacji
udzia odpowiednich
czonkw personelu
(kierownictwo i uytkownicy)
we wszystkich fazach
nabywania, utrzymywania
i modyfikowania
oprogramowania
odpowiednia
dokumentacja wszystkich
wykorzystywanych
programw
zatwierdzanie,
weryfikacja oraz
testowanie
oprogramowania przez
kierownictwo i
odpowiednich czonkw
personelu dziau
informatycznego, by
potwierdzi, e dziaa ono
zgodnie ze specyfikacjami
i wymaganiami klientw
ostateczne pisemne
zatwierdzenie aplikacji
(przed implementacj
oprogramowania) przez
kierownictwo, personel
dziau informatycznego
i uytkownikw
pisemne wymagania
zostay zatwierdzone przez
kierownictwo i wskazanych
uytkownikw,,
odpowiedni przedstawiciele
kierownictwa i dziau
informatycznego uczestnicz
we wszystkich fazach
uzyskiwania, rozwijania
i modyfikacji oprogramowania
wszystkie programy
s odpowiednio
udokumentowane
kierownictwo i odpowiedni
czonkowie personelu dziau
informatycznego zatwierdzili,
zweryfikowali oraz
przetestowali oprogramowanie
pod ktem zgodnoci
ze specyfikacjami
i wymaganiami klientw
przed wdroeniem
oprogramowania
zostao wydane pisemne
zatwierdzenie aplikacji
przez kierownictwo, personel
dziau informatycznego
i uytkownikw
281
Fazy audytu
W rozdziale 10. przedstawiono rne metodyki prowadzenia audytu.
W ramach przypomnienia metodyka to zbir udokumentowanych
procedur audytowych majcych zapewni, e audytor osignie zamierzone cele audytu. Przyjta metodyka obejmuje wszystkie fazy
przegldu (tabela 11.3) i umoliwia wypracowanie powtarzalnego, staego podejcia do audytu w jednostce. Metodyka powinna by udokumentowana oraz zatwierdzona przez dyrektora zespou audytowego.
Naley zapozna wszystkich czonkw zespou z przyjt strategi
dziaa.
Wykorzystanie metodyki audytu pozwala opracowa zakres audytu,
zapewnia stao oraz powtarzalno procesw, wskazuje szczegowe dziaania, niezbdne do prawidowej realizacji przegldu. Dodatkowo, dziki takiemu schematycznemu podejciu dziaania audytowe
pozostawiaj udokumentowany lad tego, co zostao objte badaniem oraz tego, z kim przeprowadzono wywiady, jakie zebrano dowody i w jaki sposb wykonano testy mechanizmw kontrolnych.
Wszystko to sprawia, e raport z badania jest kompletny, nie dochodzi do przekroczenia zakresu audytu oraz e osignite zostaj zamierzone cele przegldu.
Zawarto dokumentacji
Dokumentacja audytu systemw informatycznych jest zapisem przeprowadzonych przez audytora czynnoci oraz dowodem potwierdzajcym sformuowane wnioski i rekomendacje.
Dokumentacja audytu powinna zawiera informacje dotyczce:
l
programu audytu,
zgromadzonych dowodw,
Cele audytu
Zakres audytu
Faza I: Planowanie
Faza V:
Opracowanie raportu
opracowanych raportw,
Bardzo wane jest, by dokumentacja bya kompletna, czytelna i zrozumiaa dla osb, do ktrych jest adresowana.
ZAWARTO DOKUMENTACJI
283
Nie naley rwnie zapomina o odpowiednim zabezpieczeniu i przechowywaniu dokumentacji. W tym celu powinna zosta opracowana
oraz wdroona polityka i procedury waciwego zarzdzania (zabezpieczania, przechowywania, odzyskiwania) dokumentacj.
Dokumenty robocze
Wszelkie wnioski sformuowane na podstawie dziaa audytowych
musz by poparte odpowiednimi dowodami. Najlepszym potwierdzeniem prawdziwoci ustale jest powoanie si na dokumenty robocze (cross check). Nie istnieje obowizek powoywania si w treci
raportu na wszystkie dokumenty robocze audytu.
Dokumenty robocze tworzy si w celu:
l
KKW to dokument zawierajcy pytania dotyczce systemu kontroli wewntrznej, ktre maj pomc w jego ocenie. Uzyskane
w ten sposb informacje powinny by dodatkowo potwierdzone
dowodami pochodzcymi z innych rde. Audytor moe kierowa do kierownictwa i personelu jednostki audytowanej pytania
otwarte i zamknite.
Pytania zamknite posiadaj tylko dwa warianty odpowiedzi:
TAK lub NIE. Pomimo e przygotowanie tego rodzaju pyta jest
pracochonne, daje jednak moliwo szybkiej analizy otrzymanych odpowiedzi i zdobycia informacji na temat systemu kontroli wewntrznej oraz wiarygodnoci audytowanych.
Pytania otwarte w aden sposb nie ograniczaj audytowanych,
pozwalaj na swobodny sposb przedstawienia zdarze i relatywnie
atwo mona je opracowa. Niestety, wiedza zdobyta w ten sposb daje jedynie obraz zasad funkcjonowania badanego systemu
kontroli.
Naley pamita, e KKW powinien by stosowany w pocztkowej fazie audytu, by istniaa moliwo potwierdzenia zgromadzonych przy jego uyciu informacji w trakcie dalszych dziaa
audytowych. Przykadowy kwestionariusz kontroli wewntrznej
przedstawiony zosta w tabeli 11.4.
Tabela 11.4. Przykadowy kwestionariusz kontroli wewntrznej dla audytu planowania cigoci
dziaania
Kwestionariusz kontroli wewntrznej
Nazwa zadania audytowego: Audyt planowania cigoci dziaania
Numer zadania
audytowego:.
Wykona:
Data:.
Sprawdzi: ..
Data:
Lp.
Pytanie
TAK
1.
1.1
1.2
1.3
NIE
ZAWARTO DOKUMENTACJI
ND
285
Tabela 11.4. Przykadowy kwestionariusz kontroli wewntrznej dla audytu planowania cigoci
dziaania cig dalszy
Lp.
Pytanie
1.4
1.5
2.
2.1
2.2
2.3
2.4
2.5
2.6
2.7
3.
4.
5.
5.1
5.2
5.3
5.4
Odpowiedzi udzieli:
Audytowany:
Audytorzy:
TAK
NIE
ND
Dokument ten ma wszechstronne zastosowanie i moe by wykorzystywany na kadym etapie realizacji procesu audytowego. Lista
kontrolna pomaga w ujednoliceniu zdobytych informacji, umoliwia standardowe podejcie do przeprowadzanego badania i zapobiega pominiciu istotnych kontroli. Listy kontrolne mog by stosowane przez audytora i audytowanych. Z punktu widzenia audytu
istotny jest sposb wykonywania i rejestrowania czynnoci nadzorczych. Listy kontrolne powinny zawiera rubryki wypeniane
przez pracownika jednostki oraz przez kierownika nadzorujcego
dan czynno. Zadaniem audytora jest ustalenie, czy nadzr jest
rzeczywicie realizowany, czy te jest to tylko kwestia formalna.
3. Kwestionariusz samooceny
Plan kontroli suy do oceny systemu kontroli wewntrznej i stanowi swoist map pokazujc wszystkie kontrole zastosowane
w danym systemie. Dokument ten okrela zalenoci pomidzy procedurami, wymaganiami standardw, ustaw i norm branowych
w odniesieniu do zastosowanych mechanizmw kontrolnych.
Ponadto, plan kontroli wskazuje osoby odpowiedzialne za poszczeglne kontrole, a take okrela rdo ich opisu.
Projektujc systemy zarzdzania, naley pamita, e wprowadzenie
okrelonych wymaga narzuca konieczno wdroenia mechanizmw kontrolnych ich realizacji. Plany kontroli s niezwykle przydatne przy planowaniu i dokumentowaniu testw zgodnoci. Przykadowy plan kontroli przedstawiony zosta w tabeli 11.5.
5. cieka audytu
ZAWARTO DOKUMENTACJI
287
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Dokument zwizany
Opis kontroli
Pracownik
odpowiedzialny
Wymagania
Przepis
Lp.
Jednostka
odpowiedzialna
Plan kontroli
ograniczonym do okrelonego przedziau czasu lub istniejcym tylko w czasie rzeczywistym zapisem operacji.
rejestry transakcji,
rejestry bdw,
rejestry bezpieczestwa.
administratorw systemw,
Za brak waciwie opracowanej cieki audytu odpowiada kierownik organizacji. Stworzenie cieki audytowej wymaga zwykle
przeprowadzenia prac audytowych, gdy jest to jedyne narzdzie
ZAWARTO DOKUMENTACJI
289
Techniki dokumentowania
Pierwszym etapem waciwego dokumentowania jest zrozumienie funkcji i charakteru badanego systemu oraz przetwarzanych w nim procesw. Przydatne do tego celu mog okaza si nastpujce materiay:
l
pisemne procedury,
przepisy,
regulaminy,
Nazwa dokumentu
Opis
1.
Zawiadomienie organizacji
o rozpoczciu prac audytowych
2.
3.
4.
5.
Plan audytu
6.
Macierz ryzyka
7.
Program audytu
8.
Plany kontroli
9.
Kwestionariusze kontroli
wewntrznej
10.
Zapisy testw
11.
Kwestionariusze samooceny
12.
Lista kontrolna
13.
cieka audytu
14.
15.
Dokumenty przedstawiajce
realizacj rekomendacji
ZAWARTO DOKUMENTACJI
291
Dowody audytowe
Standardy ISACA (060.020 Dowody) nakadaj na audytora obowizek uzyskania wystarczajcych, wiarygodnych, relewantnych (powizanych) i uytecznych dowodw, by efektywnie zrealizowa cele audytu. Wnioski i rekomendacje, wynikajce z przegldu, maj by
poparte odpowiedni analiz i interpretacj tych dowodw.
Rodzaje
Mona wyrni wiele rodzajw dowodw audytowych w zalenoci
od przyjtej klasyfikacji (stopnia wiarygodnoci, rda, formy). Generalnie przyjmuje si, e dowody pochodzce od strony trzeciej
(z zewntrz) s bardziej wiarygodne ni te uzyskane od strony zainteresowanej. Dowody materialne maj wiksz warto ni informacje
zgromadzone w trakcie wywiadu.
Mona wyrni nastpujce rodzaje dowodw:
1. zaobserwowane procesy i istnienie przedmiotw materialnych
i papierowej z badanego systemu oraz rejestrw dokumentw (dokumentacja systemu, wycigi z rejestrw kontrolnych lub dziennika
operacji uytkownika, faktury, zapisy transakcji);
3. wiadectwa reprezentujce reprezentacje jednostek audyto-
informacji za pomoc techniki porwna, kalkulacji, symulacji (porwnanie kosztw eksploatacji systemu informatycznego w odniesieniu do podobnych jednostek i zblionych cen rynkowych).
Forma
Zgromadzone dowody powinny zawiera:
l
identyfikator audytu,
identyfikator audytora.
Sposoby gromadzenia
Gromadzenie dowodw audytowych jest niezwykle istotnym i pracochonnym elementem zadania audytowego. Nie wystarczy wyda
opini, trzeba umie udowodni jej prawdziwo.
W zalenoci od rodzaju systemu informatycznego, objtego badaniem,
audytor powinien wykorzysta odpowiednie techniki gromadzenia
dowodw audytu. W trakcie przegldu mona wykorzysta nastpujce metody:
DOWODY AUDYTOWE
293
wywiad,
obserwacje,
inspekcje,
monitorowanie.
Prbkowanie audytowe
Ze wzgldu na zoono systemw i mnogo przetwarzanych transakcji zwykle audytor systemw informatycznych nie bada wszystkich
dostpnych informacji. Poprawne wnioski mog by wycignite
z wykorzystaniem prbkowania audytowego. Polega to na zastosowaniu procedur audytowych do mniej ni 100% populacji, co pozwala oceni dowody audytowe w sposb szybszy i mniej pracochonny
oraz sformuowa wnioski dotyczce caej populacji.
Zgodnie z wytyczn 060.020.040 Prbkowanie audytowe [50]:
Uywajc zarwno statystycznych, jak i niestatystycznych metod prbkowania,
audytor systemw informatycznych powinien zaprojektowa i wybra prb
audytow, wykona procedury audytowe i oceni wyniki prby, by uzyska
rzetelne, waciwe i uyteczne dowody audytowe.
prbkowanie losowe wszystkie kombinacje jednostek wybranych z danej populacji maj rwne prawdopodobiestwo
wyboru;
prbkowanie osdowe (judgmental sampling) selekcja jednostek z wykorzystaniem uprzedzenia do prby (np. wszystkie
jednostki o okrelonej wartoci, wszyscy nowi uytkownicy).
Prbkowanie statystyczne, dziki zastosowaniu odpowiednich technik matematycznych, pozwala wycign wnioski na temat caej populacji. Metody prbkowania niestatystycznego nie umoliwiaj ekstrapolacji otrzymanych wynikw na 100% populacji, gdy w tym
przypadku wykorzystana prba nie jest reprezentatywna dla wszystkich transakcji.
Wskazwka!
Jednostka prbkowana w zalenoci od celu prbkowania moe to by zdarzenie, transakcja (np. dla potrzeb badania zgodnoci mechanizmw kontrolnych compliance testing of controls)
lub jednostka monetarna (np. do celw testowania dowodowego
substantive testing).
Prba reprezentatywna wszystkie prbkowane jednostki w populacji maj takie samo lub znane prawdopodobiestwo bycia
wybranym.
Populacja zbir danych, z ktrego audytor systemw informatycznych dokonuje wyboru prby.
Stratyfikacja technika przydatna przy skutecznym projektowaniu prby; polega na dzieleniu populacji na subpopulacje o podobnych cechach w taki sposb, by kada jednostka moga nalee tylko do jednego stratum.
Wielko prby zaley od poziomu ryzyka audytowego (ryzyko
wrodzone + ryzyko kontroli + ryzyko detekcji), ktre audytor ma
zamiar zaakceptowa.
Ryzyko prbkowania okrela prawdopodobiestwo, e wnioski
audytora, sformuowane na podstawie wybranej prby, bd
DOWODY AUDYTOWE
295
rne od opinii wydanej w przypadku przebadania caej populacji. Mona wyrni tu ryzyko niewaciwego przyjcia (nieprawidowoci, ktrymi obarczona jest populacja, zostay uznane za
nieprawdopodobne) oraz ryzyko niewaciwego odrzucenia
(bd jest uznany za prawdopodobny, cho populacja nie jest
znaczco obarczona nieprawidowociami). Ryzyko prbkowania
powinno by rozwaane w relacji do modelu ryzyka audytowego.
Dopuszczalny bd (tolerable error) maksymalny bd, jaki audytor zamierza zaakceptowa, by potwierdzi osignicie celw
audytowych. W przypadku testw zgodnoci jest to maksymalny
wspczynnik odchylenia od przyjtej procedury kontrolnej, natomiast dla testw dowodowych bd ten wynika z profesjonalnego osdu audytora na temat istotnoci.
Oczekiwany bd podczas okrelania oczekiwanego poziomu
bdw w populacji audytor powinien wzi pod uwag poziom
bdw wskazany w trakcie wczeniejszych audytw, zmiany
w procedurach organizacji oraz dowody pozyskane z oceny systemu kontroli wewntrznej. Wikszy oczekiwany bd wymaga
przebadania wikszej prby ni w przypadku gdy audytor nie
spodziewa si bdw, by stwierdzi, e rzeczywiste bdy istniejce w populacji s na poziomie nie wyszym ni zaplanowany dopuszczalny bd.