IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE

Przewodnik audytora
systemw informatycznych
Autorzy: Marian Molski, Magorzata acheta
ISBN: 83-246-0622-X
Format: A5, stron: 424

ZAMW DRUKOWANY KATALOG

TWJ KOSZYK
DODAJ DO KOSZYKA

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

Dynamiczny rozwj technologii informatycznych znaczco wpyn na konkurencyjno

i efektywno organizacji. Bez odpowiedniego wsparcia ze strony systemw
informatycznych wspczesne przedsibiorstwo nie jest w stanie poprawnie
funkcjonowa. Jednak tak due uzalenienie od systemw informatycznych oznacza
rwnie zagroenia zwizane z moliwoci utraty bd wykradzenia kluczowych
danych firmy. Wirusy, programy szpiegujce, dziaania hakerw wszystko to moe
spowodowa ogromne straty dla organizacji. Na szczcie zwiksza si rwnie arsena
narzdzi, dziki ktrym firmy mog broni si przed takimi zagroeniami. Jak jednak
stwierdzi, czy przedsiwzite rodki ochrony s wystarczajce?
Czytajc ksik Przewodnik audytora systemw informatycznych, poznasz
procedury i praktyczne zagadnienia zwizane z badaniem infrastruktury informatycznej
pod tym wanie ktem. Dowiesz si, czym dokadnie zajmuje si audytor systemw
informatycznych i jak planuje si korporacyjn polityk bezpieczestwa danych.
Przeczytasz o planowaniu bada oraz narzdziach i metodykach wykorzystywanych
w tym procesie. Nauczysz si przeprowadza analiz systemw informatycznych
i dowiesz si, na co zwraca szczegln uwag.
Elementy polityki bezpieczestwa danych
Zarzdzanie ryzykiem w systemach informatycznych
Wdroenie systemu zarzdzania bezpieczestwem informacji
Model PDCA
Regulacje prawne i standardy zwizane z audytem
Metodyki prowadzenia bada systemw informatycznych
Przeprowadzanie procesu audytu

Wydawnictwo Helion
ul. Kociuszki 1c
44-100 Gliwice
tel. 032 230 98 63
e-mail: helion@helion.pl

Audytor systemw informatycznych to zawd przyszoci.

Bd przygotowany na jej nadejcie

O autorach ..........................................................................................................7
Od autorw ..........................................................................................................9
Wstp dla kogo, w jakim celu? .....................................................................11
Audyt systemw informatycznych uwagi wprowadzajce ...........................17
Geneza ....................................................................................................................23
Organizacje zawodowe ...........................................................................................25
Certyfikacja ..............................................................................................................29
Rynek usug .............................................................................................................35
Pytania do rozdziau 2. ............................................................................................41
Sownik terminw zwizanych z audytem systemw informatycznych ............43
Wersja polsko-angielska .........................................................................................44
Wersja angielsko-polska .........................................................................................59
Wprowadzenie do zarzdzania bezpieczestwem
systemw informatycznych ..............................................................................75
Elementy bezpieczestwa .......................................................................................76
Polityka bezpieczestwa .........................................................................................83
Pytania do rozdziau 4. ............................................................................................85
Procesy zarzdzania bezpieczestwem systemw informatycznych ...............87
Zarzdzanie konfiguracj ........................................................................................88
Zarzdzanie zmianami .............................................................................................89

Zarzdzanie ryzykiem ..............................................................................................90

Pytania do rozdziau 5. ..........................................................................................103

System zarzdzania bezpieczestwem informacji ......................................... 105

Ustanowienie ISMS ...............................................................................................106
Wdroenie i eksploatacja .......................................................................................108
Monitorowanie i przegld .......................................................................................108
Utrzymanie i doskonalenie .....................................................................................109
Wymagania dotyczce dokumentacji ....................................................................109
Przegld realizowany przez kierownictwo .............................................................110
Pytania do rozdziau 6. ..........................................................................................112
Model PDCA w procesach ISMS ..................................................................... 113
Faza planowania ....................................................................................................114
Faza wykonania .....................................................................................................115
Faza sprawdzania ..................................................................................................116
Faza dziaania ........................................................................................................118
Pytania do rozdziau 7. ..........................................................................................119
Wprowadzenie do audytowania ...................................................................... 121
Statut audytu prawa i powinnoci audytora ......................................................126
Kodeks Etyki Zawodowej .......................................................................................127
Klasyfikacja audytw .............................................................................................128
Porwnanie kontroli, audytu i controllingu .............................................................155
Pytania do rozdziau 8. ..........................................................................................158
Standaryzacja w audycie i bezpieczestwie systemw informatycznych ...... 159
Regulacje prawne ..................................................................................................161
Standardy typu best practice .................................................................................169
Standardy umoliwiajce certyfikacj ....................................................................193
Pytania do rozdziau 9. ..........................................................................................210
Przegld znanych metodyk prowadzenia audytu
systemw informatycznych ............................................................................ 213
COBIT ....................................................................................................................214
LP-A .......................................................................................................................239
MARION .................................................................................................................251

4 SPIS TRECI

OSSTM ..................................................................................................................252
TISM ......................................................................................................................261
Pytania do rozdziau 10. ........................................................................................272

Wykonanie audytu ...........................................................................................275

Obiekty, zakres i cel ..............................................................................................277
Fazy audytu ...........................................................................................................282
Zawarto dokumentacji .......................................................................................282
Dowody audytowe .................................................................................................292
Proces audytowy ...................................................................................................297
Pytania do rozdziau 11. ........................................................................................315
Planowanie dugoterminowe ...........................................................................319
Ocena potrzeb audytu ...........................................................................................320
Roczny plan audytu ...............................................................................................322
Plan strategiczny ...................................................................................................324
Pytania do rozdziau 12. ........................................................................................325
Planowanie cigoci dziaania .......................................................................327
Rola audytu w planowaniu cigoci dziaania ......................................................328
Metodyka audytowania planu cigoci dziaania .....................................................330
Pytania do rozdziau 13. ........................................................................................337
Wykorzystanie oprogramowania narzdziowego w audycie ..........................339
Komputerowe techniki wspomagania audytu .......................................................340
Wymagania standardw ........................................................................................351
Klasyfikacja programw wspomagajcych audyt .................................................355
Pytania do rozdziau 14. ........................................................................................357
Podsumowanie ................................................................................................359
Literatura .........................................................................................................361
rda internetowe ..........................................................................................375
Odpowiedzi do pyta testowych .....................................................................405
Skorowidz .......................................................................................................407

SPIS TRECI

Wykonanie audytu

W celu poprawnego przeprowadzenia audytu wane jest, by zastosowa waciw metodyk (rozdzia 10.) oraz odpowiednio wskaza
zakres i obiekty badania. cisa integracja systemw informatycznych
i procesw biznesowych przy cigym wzrocie zoonoci tych systemw oraz szybkim tempie zmian biznesowych sprawia, e niemal
kady element rodowiska informatycznego jednostki moe sta si
obiektem audytu. Technik przydatn do poprawnego wykonania
przegldu jest podejcie wykorzystujce analiz ryzyka (rozdzia 5.).
Dziki zastosowaniu tego rozwizania audytor ma pewno, e bada
obszary obarczone najwyszym ryzykiem materializacji zagroenia.
Odmiennym sposobem prowadzenia audytu jest ocena caego rodowiska i systemw operacyjnych jednostki. Rozwizanie to nazywane jest czsto starym modelem audytowania (tabela 11.1).
Audytor powinien zdefiniowa zbir procesw, by wyznaczy obiekty kontroli, zebra i przeanalizowa dowody oraz opracowa wnioski
oraz rekomendacje w ramach raportowania.
W celu poprawnej realizacji audytu naley wykona nastpujce czynnoci:
1. zaplanowa spotkanie audytowe;
2. stworzy procedury audytu z uwzgldnieniem oszacowanego po-

ziomu ryzyka nieregularnych i nielegalnych zdarze;

3. zaoy, e zdarzenia te nie s odosobnione;

Tabela 11.1. Porwnanie starego (tradycyjnego) modelu audytowania i nowoczesnego

podejcia wykorzystujcego analiz ryzyka
Proces audytu

Audyt nowoczesny

Audyt tradycyjny

Rodzaje
audytw

Podzia na audyt projektw

i cigy proces audytowy

Wyrnia si audyt finansowy,

operacyjny, informatyczny
i zgodnoci

Obszar audytu

Wszystkie systemy, za pomoc

ktrych realizowane s cele
biznesowe, zidentyfikowane s
w badanej jednostce

W pierwszej kolejnoci
aydytowana jest dziaalno
operacyjna i zgodno z prawem

Cele audytu

Okrelenie, czy ryzyko zostao

ograniczone do dopuszczalnego
poziomu

Ocena systemu kontroli

wewntrznej pod ktem jego
efektywnoci i wydajnoci

Planowanie

Wybr zada audytowych

z wykorzystaniem analizy ryzyka

Plany audytw niekoniecznie

musz by powizane z analiz
ryzyka

Zaangaowanie
pracownikw
jednostki

Wysoki stopie zaangaowania

pracownikw jednostki
audytowanej we wszystkich
fazach audytu

Zaangaowanie niewielkie,
zwykle dotyczy tylko zapoznania
z programem audytowym,
wstpnej oceny raportu,
potwierdzenia zawartych
w raporcie kocowym wnioskw
i rekomendacji

Realizacja
audytw

Moliwo rwnoczesnego
wykonywania kilku zada
audytowych

Audytor realizuje zadania

audytowe kolejno jedno
po drugim

Cele testowania

Znalezienie bdw
funkcjonowania systemu
kontroli oraz wykorzystanie
analizy ryzyka do okrelenia,
ktre nieprawidowoci
s najwaniejsze
i wymagaj oceny

Znalezienie bdw
funkcjonowania systemu kontroli
bez uwzgldniania ich istotnoci

Raportowanie

Zapewnienie podmiotu
zlecajcego audyt, e wszystkie
rodzaje ryzyka znajduj si
na akceptowalnym poziomie,
oraz wskazanie tych rodzajw
ryzyka, ktre naley ograniczy

Potwierdzenie poprawnoci
funkcjonowania systemu kontroli
wewntrznej oraz wskazanie
jego ewentualnych saboci

276 ROZDZIA 11. WYKONANIE AUDYTU

4. okreli, w jaki sposb zdarzenia te omijaj system kontroli we-

wntrznej;
5. rozszerzy procedury audytu, by wskaza prawdopodobiestwo

wystpienia innych tego typu zdarze;

6. opracowa dodatkowe procedury audytowe;
7. oceni wyniki rozszerzonych procedur audytowych;
8. skonsultowa z zarzdem znalezione defekty oraz oszacowa po-

tencjalny wpyw nielegalnych i nieregularnych zjawisk na organizacj;

9. opracowa raport obejmujcy wszystkie zgromadzone fakty i oko-

licznoci wystpienia nieprawidowoci;

10. przekaza wyniki raportu waciwym przedstawicielom jednostki

audytowanej (zarzdowi, kierownikom zajmujcym stanowiska

przynajmniej o poziom wysze w hierarchii zawodowej organizacji ni personel poddawany badaniu).

Obiekty, zakres i cel

Audytor moe poprawnie wykonywa czynnoci zawodowe tylko wtedy, gdy w peni rozumie funkcje i cele biznesowe jednostki audytowanej. Bardzo istotn umiejtnoci jest poprawne wskazanie obiektw,
celw i zakresu badania zgodnie ze strategi dziaania organizacji.
Uniwersalnym celem audytu jest zapewnienie, e w badanym obszarze
zadania wykonywane s efektywnie, wydajnie i zgodnie z prawem,
a wszelkie odstpstwa podlegaj raportowaniu. Na cele audytu systemw informatycznych mog mie wpyw:
l

potrzeby zainteresowanych stron;

planowany zakres rozpowszechnienia raportu;

uregulowania prawne i standardy branowe.

W praktyce audyt dla celw bezpieczestwa teleinformatycznego przeprowadza si, aby [67]:

OBIEKTY, ZAKRES I CEL

277

wykaza, e informacja i system teleinformatyczny zosta zabezpieczony zgodnie z ustaleniami pomidzy zleceniodawc a zespoem
budujcym system bezpieczestwa;

wykaza, e system bezpieczestwa spenia wymagania norm

i standardw w tym zakresie;

wystawi ocenianemu systemowi tzw. certyfikat bezpieczestwa

(coraz czstsza praktyka ze wzgldu na ustaw o ochronie informacji niejawnych, czonkostwo Polski w NATO oraz wejcie do
Unii Europejskiej);

oceni jako systemu zabezpiecze i przedstawi opini zleceniodawcy (modernizujemy lub zostawiamy bez zmian).

Cele wykonania audytu informatycznego to przede wszystkim [67]:

l

weryfikacja zgodnoci dziaania systemw informatycznych z wymogami prawa (ustawa o rachunkowoci, o ochronie danych
osobowych itp. por. rozdzia 9.);

weryfikacja stanu bezpieczestwa systemw informatycznych oraz

pojedynczych aplikacji z perspektywy wystpujcego ryzyka (swobodna interpretacja terminw: ryzyko i analiza ryzyka moe prowadzi do nieporozumie), a take zaimplementowanych procedur
kontrolnych i ich efektywnoci;

analiza ryzyka zwizanego z prowadzeniem projektu informatycznego.

Przytoczone wnioski pozwalaj zatem wskaza, co nie jest celem audytu systemw informatycznych:
l

sprawdzanie zapisw w dziennikach systemowych,

sprawdzanie konfiguracji stacji roboczych.

Obiekty audytu to fragmenty zadania audytowego (np. podsystemy

badanego systemu). Powinny one zosta zidentyfikowane przez audytora w taki sposb, by moliwe byo opisanie ich w raporcie. Wane jest wskazanie obiektw istotnych dla realizacji celw audytu.

278 ROZDZIA 11. WYKONANIE AUDYTU

Wskazwka!
Zadanie audytowe odpowiedni podzia procesw zidentyfikowanych w ramach danej jednostki. Wyodrbnia si tu:
cel audytu,
zakres przedmiotowy bada obiekty audytu,
zakres podmiotowy przegldu jednostki audytowane.

Przykadowe obiekty audytu systemw informatycznych:

1. Bezpieczestwo i integralno danych
2. Plany cigoci dziaania
3. Procedury zakupu sprztu i oprogramowania
4. Utrzymanie oraz serwis sprztu i oprogramowania
5. Zarzdzanie zmianami
6. Zarzdzanie jakoci
7. Ocena systemu kontroli
8. Zgodno z uregulowaniami prawnymi i normatywnymi
9. Zarzdzanie personelem dziau informatycznego
10. Zarzdzanie projektami informatycznymi

Zakres audytu powinien obejmowa system kontroli uytkowania

i ochrony zasobw informatycznych, a take procesy dotyczce planowania, organizowania i monitorowania rodowiska informatycznego jednostki. Wane jest, by uwzgldni zaleno pomidzy nakadem pracy a istotnoci obiektw audytu. W celu waciwego
ustalenia zakresu badania audytor powinien wykorzysta profesjonalny osd.
Zadaniem audytora jest rwnie ustalenie obiektw kontroli. W odrnieniu od obiektw audytu, ktre s samodzielnie opracowywane
przez audytora, obiekty kontroli powinny zosta wczeniej zdefiniowane przez kierownictwo. Ocena obiektw kontroli polega na sprawdzeniu, czy zastosowane kontrole zapewniaj realizacje celw badanego systemu. Audytor powinien rozumie rnic midzy obiektami
audytu a kontrol. Obiekty audytu to obszary objte przegldem;

OBIEKTY, ZAKRES I CEL

279

obiekty kontroli dotycz badanego systemu i wskazuj cele dziaa

kontrolnych.
W tabeli 11.2 przedstawiono przykadow macierz kontroln, czyli
obiekty kontroli, zwizane z nimi czynnoci kontrolne i procedury
audytowe.
Tabela 11.2. Przykadowa macierz kontrolna (opracowanie wasne [56])
Obiekty kontroli

Czynnoci kontrolne

Procedury audytowe

Niezalene przegldy prowadzone przez kierownictwo

Kierownictwo powinno
przeprowadza okresowe
niezalene przegldy
(w tym audyty wewntrzne
i zewntrzne) operacji
informatycznych,
by zapewni,
e odpowiednie polityki
oraz procedury zostay
waciwie wdroone
i dziaaj efektywnie

Kierownictwo ustala
harmonogram okresowych
niezalenych przegldw
operacji informatycznych,
a take formalne procedury
dotyczce dziaa
naprawczych po wykryciu
nieprawidowoci

Oceni zaimplementowane
polityki i procedury oraz
harmonogram niezalenych
wewntrznych przegldw,
by sprawdzi, czy zapewniaj
one niezalene przegldy
operacji informatycznych
i waciwe dziaania
naprawcze zidentyfikowanych
saboci systemu

Kierownictwo zapewnia
odpowiedni rozdzia
obowizkw i okrela
zakres odpowiedzialnoci
w dziale informatycznym,
by unikn popeniania
i ukrywania bdw

Oceni struktur
organizacyjn jednostki
w celu sprawdzenia,
czy dzia informatyczny
funkcjonuje
na wystarczajco
wysokim poziomie
w hierarchii subowej,
by jego dziaania byo
niezalene

Organizacja
Obowizki
i odpowiedzialno
powinny by rozdzielone
w taki sposb, by adna
osoba nie moga popeni
ani ukry istotnych
bdw

Sprawdzi, czy obowizki

i odpowiedzialno s
waciwie rozdzielone
pomidzy pracownikw
dziau informatycznego

280 ROZDZIA 11. WYKONANIE AUDYTU

Tabela 11.2. Przykadowa macierz kontrolna (opracowanie wasne [56]) cig dalszy
Obiekty kontroli

Czynnoci kontrolne

Procedury audytowe

Nabywanie, rozwijanie i modyfikowanie oprogramowania

Kierownictwo
powinno zwraca
szczegln uwag
na waciwe
zarzdzanie
oprogramowaniem.
Wykorzystywane
oprogramowanie
musi by zgodne
ze specyfikacjami
i niewraliwe
na nieuprawnion
modyfikacj,
a przed
wdroeniem musi
by poddane
odpowiednim
testom

Kierownictwo ustanawia
i utrzymuje standardow
metodyk zawierajc
nastpujce elementy
kontrolne:
l

wykaz pisemnych
wymaga zaakceptowany
przez kierownictwo i
uytkownikw aplikacji
udzia odpowiednich
czonkw personelu
(kierownictwo i uytkownicy)
we wszystkich fazach
nabywania, utrzymywania
i modyfikowania
oprogramowania
odpowiednia
dokumentacja wszystkich
wykorzystywanych
programw
zatwierdzanie,
weryfikacja oraz
testowanie
oprogramowania przez
kierownictwo i
odpowiednich czonkw
personelu dziau
informatycznego, by
potwierdzi, e dziaa ono
zgodnie ze specyfikacjami
i wymaganiami klientw
ostateczne pisemne
zatwierdzenie aplikacji
(przed implementacj
oprogramowania) przez
kierownictwo, personel
dziau informatycznego
i uytkownikw

Jeli z oceny ryzyka wynika,

e konieczne s w tym obszarze
dalsze dziaania audytowe,
naley przeprowadzi ocen
przynajmniej jednego projektu
zakupu, rozwijania
i modernizacji oprogramowania,
by wskaza, czy:
l

pisemne wymagania
zostay zatwierdzone przez
kierownictwo i wskazanych
uytkownikw,,

odpowiedni przedstawiciele
kierownictwa i dziau
informatycznego uczestnicz
we wszystkich fazach
uzyskiwania, rozwijania
i modyfikacji oprogramowania

wszystkie programy
s odpowiednio
udokumentowane

kierownictwo i odpowiedni
czonkowie personelu dziau
informatycznego zatwierdzili,
zweryfikowali oraz
przetestowali oprogramowanie
pod ktem zgodnoci
ze specyfikacjami
i wymaganiami klientw

przed wdroeniem
oprogramowania
zostao wydane pisemne
zatwierdzenie aplikacji
przez kierownictwo, personel
dziau informatycznego
i uytkownikw

OBIEKTY, ZAKRES I CEL

281

Fazy audytu
W rozdziale 10. przedstawiono rne metodyki prowadzenia audytu.
W ramach przypomnienia metodyka to zbir udokumentowanych
procedur audytowych majcych zapewni, e audytor osignie zamierzone cele audytu. Przyjta metodyka obejmuje wszystkie fazy
przegldu (tabela 11.3) i umoliwia wypracowanie powtarzalnego, staego podejcia do audytu w jednostce. Metodyka powinna by udokumentowana oraz zatwierdzona przez dyrektora zespou audytowego.
Naley zapozna wszystkich czonkw zespou z przyjt strategi
dziaa.
Wykorzystanie metodyki audytu pozwala opracowa zakres audytu,
zapewnia stao oraz powtarzalno procesw, wskazuje szczegowe dziaania, niezbdne do prawidowej realizacji przegldu. Dodatkowo, dziki takiemu schematycznemu podejciu dziaania audytowe
pozostawiaj udokumentowany lad tego, co zostao objte badaniem oraz tego, z kim przeprowadzono wywiady, jakie zebrano dowody i w jaki sposb wykonano testy mechanizmw kontrolnych.
Wszystko to sprawia, e raport z badania jest kompletny, nie dochodzi do przekroczenia zakresu audytu oraz e osignite zostaj zamierzone cele przegldu.

Zawarto dokumentacji
Dokumentacja audytu systemw informatycznych jest zapisem przeprowadzonych przez audytora czynnoci oraz dowodem potwierdzajcym sformuowane wnioski i rekomendacje.
Dokumentacja audytu powinna zawiera informacje dotyczce:
l

zakresu i celw audytu,

programu audytu,

kolejno wykonywanych dziaa w ramach przegldu,

zgromadzonych dowodw,

wnioskw i rekomendacji bdcych produktem audytu,

282 ROZDZIA 11. WYKONANIE AUDYTU

Tabela 11.3. Fazy typowego audytu (opracowanie wasne na podstawie [56])

Temat audytu

Identyfikacja obszaru (obszarw) audytu

Cele audytu

Wskazanie powodw, dla ktrych przeprowadza si audyt.

Przykadowo, celem audytu moe by zapewnienie, e dostp
do wasnoci intelektualnych jest waciwie kontrolowany

Zakres audytu

Identyfikacja objtych przegldem systemw lub funkcji organizacji

Faza I: Planowanie

Okrelenie potrzebnych zasobw ludzkich (w tym osb z wiedz

specjalistyczn) i materialnych (laptopy, oprogramowanie
wspomagajce audyt)
Identyfikacja rde informacyjnych polityki, procedur, planw
projektowych, logw
Wskazanie lokalizacji lub obiektw objtych audytem

Faza II: Procedury

audytowe i etapy
gromadzenia
informacji

Identyfikacja i wybr procesu do weryfikacji oraz

przeprowadzanie testw mechanizmw kontrolnych
Wskazanie osb do przeprowadzenia wywiadw
Identyfikacja i zdobycie potrzebnych polityk oraz standardw
Opracowanie procedur audytowych do przeprowadzenia
weryfikacji i testw kontrolnych

Faza III: Procedury

do oceny wynikw
testw lub przegldu

Identyfikacja procesu objtego przegldem i ocena wynikw audytu

Faza IV: Procedury

prowadzenia rozmw
z kierownictwem

Okrelenie procedur dotyczcych sposobu przedstawienia

raportu z audytu kierownictwu jednostki audytowanej

Faza V:
Opracowanie raportu

Identyfikacja dziaa poaudytowych

Opracowanie procedur dotyczcych komunikowania si

w trakcie dziaa audytowych
Wskazanie procedur sucych do oceny efektywnoci
i wydajnoci operacyjnej
Identyfikacja procedur dotyczcych testw mechanizmw kontrolnych
Przegld i ocena znaczcych dokumentw, polityk i procedur

opracowanych raportw,

przegldu dziaa audytora dokonywanych przez kierownictwo.

Bardzo wane jest, by dokumentacja bya kompletna, czytelna i zrozumiaa dla osb, do ktrych jest adresowana.

ZAWARTO DOKUMENTACJI

283

Nie naley rwnie zapomina o odpowiednim zabezpieczeniu i przechowywaniu dokumentacji. W tym celu powinna zosta opracowana
oraz wdroona polityka i procedury waciwego zarzdzania (zabezpieczania, przechowywania, odzyskiwania) dokumentacj.

Dokumenty robocze
Wszelkie wnioski sformuowane na podstawie dziaa audytowych
musz by poparte odpowiednimi dowodami. Najlepszym potwierdzeniem prawdziwoci ustale jest powoanie si na dokumenty robocze (cross check). Nie istnieje obowizek powoywania si w treci
raportu na wszystkie dokumenty robocze audytu.
Dokumenty robocze tworzy si w celu:
l

udokumentowania zrealizowanych dziaa,

potwierdzenia prawdziwoci sformuowanych wnioskw,

umoliwienia przeprowadzenia kontroli realizacji dziaa audytowych,

usprawnienia wykonywanych czynnoci.

Kady dokument roboczy opatrzony jest nagwkiem z nazw jednostki

audytowanej, tytuem, celem i dat sporzdzenia. Ponadto, powinien
posiada on swj unikatowy (w ramach danego audytu) numer referencyjny i by podpisany przez audytora (np. poprzez umieszczenie inicjaw osoby prowadzcej przegld). Naley rwnie pamita o odpowiednim wyjanieniu skrtw i symboli, zastosowanych w ramach
danego dokumentu roboczego, oraz o precyzyjnym wskazaniu rde
informacji.
Za prawidowo zgromadzonej dokumentacji roboczej odpowiedzialny jest dyrektor zespou audytowego i koordynator zadania audytowego.
Najczciej stosowane dokumenty robocze to:
1. Kwestionariusz kontroli wewntrznej (KKW)

KKW to dokument zawierajcy pytania dotyczce systemu kontroli wewntrznej, ktre maj pomc w jego ocenie. Uzyskane
w ten sposb informacje powinny by dodatkowo potwierdzone

284 ROZDZIA 11. WYKONANIE AUDYTU

dowodami pochodzcymi z innych rde. Audytor moe kierowa do kierownictwa i personelu jednostki audytowanej pytania
otwarte i zamknite.
Pytania zamknite posiadaj tylko dwa warianty odpowiedzi:
TAK lub NIE. Pomimo e przygotowanie tego rodzaju pyta jest
pracochonne, daje jednak moliwo szybkiej analizy otrzymanych odpowiedzi i zdobycia informacji na temat systemu kontroli wewntrznej oraz wiarygodnoci audytowanych.
Pytania otwarte w aden sposb nie ograniczaj audytowanych,
pozwalaj na swobodny sposb przedstawienia zdarze i relatywnie
atwo mona je opracowa. Niestety, wiedza zdobyta w ten sposb daje jedynie obraz zasad funkcjonowania badanego systemu
kontroli.
Naley pamita, e KKW powinien by stosowany w pocztkowej fazie audytu, by istniaa moliwo potwierdzenia zgromadzonych przy jego uyciu informacji w trakcie dalszych dziaa
audytowych. Przykadowy kwestionariusz kontroli wewntrznej
przedstawiony zosta w tabeli 11.4.
Tabela 11.4. Przykadowy kwestionariusz kontroli wewntrznej dla audytu planowania cigoci
dziaania
Kwestionariusz kontroli wewntrznej
Nazwa zadania audytowego: Audyt planowania cigoci dziaania
Numer zadania
audytowego:.
Wykona:
Data:.
Sprawdzi: ..
Data:
Lp.

Pytanie

TAK

1.

Czy zdefiniowano polityk jednostki w zakresie planowania

cigoci dziaania?

1.1

Czy okrelono odpowiedzialno za planowanie cigoci

dziaania i zarzdzanie kryzysowe?

1.2

Czy wskazano warunki uznania sytuacji za kryzysow?

1.3

Czy okrelono oglne zasady postpowania w sytuacji

kryzysowej?

NIE

ZAWARTO DOKUMENTACJI

ND

285

Tabela 11.4. Przykadowy kwestionariusz kontroli wewntrznej dla audytu planowania cigoci
dziaania cig dalszy
Lp.

Pytanie

1.4

Czy okrelono sposb zarzdzania jednostk w sytuacji

kryzysowej?

1.5

Czy zostay okrelone krytyczne zasoby dla funkcjonowania

jednostki?

2.

Czy zostay opracowane plany cigoci dziaania?

2.1

Czy plany cigoci dziaania szczegowo okrelaj zadania,

ktre musz by zrealizowane w sytuacji kryzysowej?

2.2

Czy okrelono zespoy realizujce plany cigoci dziaania?

2.3

Czy plan cigoci dziaania obejmuje faz pocztkow

(powiadomienie i aktywacj)?

2.4

Czy plan cigoci dziaania obejmuje faz odtworzenia

krytycznych funkcji biznesowych?

2.5

Czy plan cigoci dziaania obejmuje faz przywrcenia

normalnego funkcjonowania jednostki?

2.6

Czy zdefiniowano zasady ochrony poufnoci planw cigoci

dziaania?

2.7

Czy wdroono strategi przeprowadzania testw planw

cigoci dziaania?

3.

Czy zostaa opracowana strategia utrzymania dostpnoci

zasobw w sytuacji kryzysowej?

4.

Czy okrelono i wdroono polityk informacyjn w przypadku

wystpienia sytuacji kryzysowej?

5.

Czy wdroono proces weryfikacji zasad zwizanych

z zapewnieniem cigoci dziaania?

5.1

Czy weryfikacja przeprowadzana jest okresowo?

5.2

Czy weryfikacja przeprowadzana jest po wystpieniu

istotnych zmian w jednostce?

5.3

Czy podstaw do weryfikacji s wyniki analizy ryzyka?

5.4

Czy weryfikacja przeprowadzana jest z udziaem

zewntrznych ekspertw?

Odpowiedzi udzieli:
Audytowany:
Audytorzy:

286 ROZDZIA 11. WYKONANIE AUDYTU

TAK

NIE

ND

2. Lista kontrolna (check list)

Dokument ten ma wszechstronne zastosowanie i moe by wykorzystywany na kadym etapie realizacji procesu audytowego. Lista
kontrolna pomaga w ujednoliceniu zdobytych informacji, umoliwia standardowe podejcie do przeprowadzanego badania i zapobiega pominiciu istotnych kontroli. Listy kontrolne mog by stosowane przez audytora i audytowanych. Z punktu widzenia audytu
istotny jest sposb wykonywania i rejestrowania czynnoci nadzorczych. Listy kontrolne powinny zawiera rubryki wypeniane
przez pracownika jednostki oraz przez kierownika nadzorujcego
dan czynno. Zadaniem audytora jest ustalenie, czy nadzr jest
rzeczywicie realizowany, czy te jest to tylko kwestia formalna.
3. Kwestionariusz samooceny

Kwestionariusz samooceny ma podobny ukad jak KKW. W tym

przypadku dokument wypeniany jest samodzielnie przez kierownictwo jednostki audytowanej, a pytania dotycz rodzajw ryzyka zwizanych z dziaalnoci organizacji. Narzdzie to powinno
by stosowane w pocztkowej fazie audytu, gdy wymaga potwierdzenia zgromadzonych danych przez inne rda informacji.
4. Plan kontroli

Plan kontroli suy do oceny systemu kontroli wewntrznej i stanowi swoist map pokazujc wszystkie kontrole zastosowane
w danym systemie. Dokument ten okrela zalenoci pomidzy procedurami, wymaganiami standardw, ustaw i norm branowych
w odniesieniu do zastosowanych mechanizmw kontrolnych.
Ponadto, plan kontroli wskazuje osoby odpowiedzialne za poszczeglne kontrole, a take okrela rdo ich opisu.
Projektujc systemy zarzdzania, naley pamita, e wprowadzenie
okrelonych wymaga narzuca konieczno wdroenia mechanizmw kontrolnych ich realizacji. Plany kontroli s niezwykle przydatne przy planowaniu i dokumentowaniu testw zgodnoci. Przykadowy plan kontroli przedstawiony zosta w tabeli 11.5.
5. cieka audytu

Konieczno tworzenia cieki audytu dla rodowiska informatycznego jest wywoana:

ZAWARTO DOKUMENTACJI

287

Tabela 11.5. Przykadowy plan kontroli wewntrznej ochrona stanowiska pracy

1.

W jednostce zostaa wdroona zasada czystego

biurka (noniki informacji przechowywane s
w zamknitych szafach)

2.

W jednostce zostaa wdroona zasada czystego

ekranu (otwarte s tylko te programy, z ktrych
uytkownik aktualnie korzysta)

3.

Stacje robocze s zabezpieczone hasami

przed nieuprawnionym dostpem

4.

Wskazano osoby, ktre maj dostp do BIOS-u

stacji roboczych

5.

Zdefiniowano zasady przechowywania i uytkowania

hase do BIOS-u

6.

Stacje robocze s wyposaone w wygaszasz ekranu

7.

Odblokowanie wygaszacza ekranu wymaga

wprowadzenia hasa

8.

Wdroono procedury blokowania przez

uytkownikw stacji roboczych przed odejciem
od stanowiska pracy

9.

Procedury reguluj ograniczenia w dostpie

do danych w zalenoci od stau pracy uytkownika

10.

Stacje robocze zostay pozbawione urzdze

umoliwiajcych nagranie informacji (napdu
dyskietek, nagrywarki CD, nagrywarki DVD)

11.

Wprowadzono wydzielone (niepodczone

do sieci teleinformatycznej lub podczone do sieci
wydzielonej) stacje robocze wykorzystywane
do przetwarzania informacji szczeglnie wraliwych

12.

Stacje robocze, o ktrych mowa w punkcie 11.,

znajduj si w pomieszczeniach zabezpieczonych
przed dostpem osb nieupowanionych

288 ROZDZIA 11. WYKONANIE AUDYTU

Dokument zwizany

Opis kontroli

Pracownik
odpowiedzialny

Wymagania
Przepis

Lp.

Jednostka
odpowiedzialna

Plan kontroli

du liczb transakcji przetwarzanych w systemach informatycznych,

ograniczonym do okrelonego przedziau czasu lub istniejcym tylko w czasie rzeczywistym zapisem operacji.

W skad cieki audytu wchodz:

l

system rejestrw (logw), w ktrych zapisywane s wszystkie

czynnoci uytkownikw systemu,

procedury i osoby odpowiedzialne za sprawdzenie informacji

zapisanych w dziennikach,

procedury kopiowania, przechowywania i zabezpieczania danych zawartych w dziennikach,

narzdzia systemowe gwarantujce bezpieczestwo i integralno danych.

Mona wyrni kilka rodzajw rejestrw:

l

rejestry transakcji,

rejestry awarii i przestojw,

rejestry bdw,

rejestry bezpieczestwa.

Wykorzystanie dziennikw jest technik skuteczn jedynie wtedy,

gdy administrator regularnie tworzy kopie zapasowe. Rejestry maj
bowiem ograniczon pojemno i szybko si zapeniaj, co prowadzi do utraty wczeniej zapisanych danych. Wszelkie zawarte
w dziennikach informacje musz by regularnie sprawdzane przez
administratora systemu lub inn upowanion osob.
cieka audytu jest dokumentem szczeglnie przydatnym dla:
l

audytorw systemw informatycznych,

administratorw systemw,

administratorw bezpieczestwa informacji.

Za brak waciwie opracowanej cieki audytu odpowiada kierownik organizacji. Stworzenie cieki audytowej wymaga zwykle
przeprowadzenia prac audytowych, gdy jest to jedyne narzdzie

ZAWARTO DOKUMENTACJI

289

umoliwiajce zgromadzenie danych, niezbdnych do opracowania tego dokumentu.

W ramach podsumowania dokonano przegldu najczciej wykorzystywanych dokumentw roboczych (tabela 11.6).

Techniki dokumentowania
Pierwszym etapem waciwego dokumentowania jest zrozumienie funkcji i charakteru badanego systemu oraz przetwarzanych w nim procesw. Przydatne do tego celu mog okaza si nastpujce materiay:
l

pisemne procedury,

wyjanienia personelu obsugujcego badany system,

dokumenty z poprzednich audytw,

przepisy,

regulaminy,

dokumenty opracowywane w trakcie przebiegu procesu.

Kolejny etap dziaa to wykorzystanie zgromadzonych materiaw

do uzyskania okrelonych informacji. W tym momencie audytor powinien ustali:
1. Jakie dziaania wchodz w skad procesu?
2. Jaka jest kolejno tych czynnoci?
3. Kto wykonuje poszczeglne dziaania budujce proces?
4. Jakie dokumenty s wykorzystywane w trakcie dziaania?
5. Jakie decyzje podejmowane s w trakcie wykonywania procesu?
6. Czy w realizacji procesu wykorzystywany jest system informatycz-

ny, a jeli tak, to jaki i w jakim zakresie?

Wszystkie wymienione informacje mona zgromadzi, wykorzystujc
pisemne procedury. Badanie oparte wycznie na tych dokumentach
jest jednak niewystarczajce. W celu wyjanienia wszelkich wtpliwoci dotyczcych procesu wymagana jest wsppraca z pracownikami, ktrzy go realizuj.

290 ROZDZIA 11. WYKONANIE AUDYTU

Tabela 11.6. Przegld dokumentw roboczych

Lp.

Nazwa dokumentu

Opis

1.

Zawiadomienie organizacji
o rozpoczciu prac audytowych

Dokument skierowany do kierownika

organizacji, dotyczcy terminu i zakresu
badania

2.

Protok ze spotkania wstpnego

3.

Opis ustale z fazy wstpnej

audytu

4.

Opis operacji wykonywanych

przez organizacj

5.

Plan audytu

Dokument opracowany we wstpnej fazie

audytu; ma charakter oglny

6.

Macierz ryzyka

Narzdzie uywane w analizie ryzyka

7.

Program audytu

Dokument zawiera szczegowy opis

planowanych testw; przedstawione s
w nim kolejne dziaania podejmowane
w trakcie badania

8.

Plany kontroli

Dokumenty identyfikujce wszystkie

mechanizmy kontrolne zawarte w badanym
systemie

9.

Kwestionariusze kontroli
wewntrznej

Dokument zawierajcy pytania dotyczce

istniejcego systemu kontroli wewntrznej

10.

Zapisy testw

Protokoy z wywiadw, wydruki

komputerowe, kopie dokumentw,
listy z potwierdzeniem pozytywnym

11.

Kwestionariusze samooceny

Dokument wypeniany samodzielnie

przez kierownictwo, majcy
zidentyfikowa rodzaje ryzyka zwizanego
z funkcjonowaniem jednostki audytowanej

12.

Lista kontrolna

Dokument pozwalajcy na jednolite

podejcie realizacji dziaa audytowych

13.

cieka audytu

Dokument zawierajcy zestaw rejestrw

z zapisanymi danymi na temat
wykonywanych w systemie dziaa oraz
odpowiednie procedury zarzdzania
informacjami zapisanymi w dziennikach

14.

Odpowied jednostki audytowanej

na raport i rekomendacje

Zacznik doczony do raportu z audytu

15.

Dokumenty przedstawiajce
realizacj rekomendacji

Plany wdroenia, poczynione zmiany

w procedurach

Dokumenty opracowywane w ramach

zapoznania si z jednostk

ZAWARTO DOKUMENTACJI

291

Przykadowe pytania kierowane do pracownikw [24]:

1. Jakie procedury s stosowane?
2. Gdzie i jakie dokumenty i inne dane lub zapisy s przechowywane?
3. Jakie dokumenty s przetwarzane?
4. Od kogo pracownicy otrzymuj dokumenty?
5. Jakie informacje s wprowadzane do dokumentw i skd pochodz?
6. Do kogo pracownicy wysyaj dokumenty?
7. Jakie metody stosuj, aby wykry bdy?
8. Co robi po wykryciu bdu?
9. Kiedy i jaki bd pracownicy wykryli ostatnio?

Dowody audytowe
Standardy ISACA (060.020 Dowody) nakadaj na audytora obowizek uzyskania wystarczajcych, wiarygodnych, relewantnych (powizanych) i uytecznych dowodw, by efektywnie zrealizowa cele audytu. Wnioski i rekomendacje, wynikajce z przegldu, maj by
poparte odpowiedni analiz i interpretacj tych dowodw.

Rodzaje
Mona wyrni wiele rodzajw dowodw audytowych w zalenoci
od przyjtej klasyfikacji (stopnia wiarygodnoci, rda, formy). Generalnie przyjmuje si, e dowody pochodzce od strony trzeciej
(z zewntrz) s bardziej wiarygodne ni te uzyskane od strony zainteresowanej. Dowody materialne maj wiksz warto ni informacje
zgromadzone w trakcie wywiadu.
Mona wyrni nastpujce rodzaje dowodw:
1. zaobserwowane procesy i istnienie przedmiotw materialnych

informacje zebrane w wyniku obserwacji okrelonych procesw

oraz inwentaryzacji zasobw bdcych w posiadaniu jednostki;

292 ROZDZIA 11. WYKONANIE AUDYTU

2. dowody dokumentacyjne dokumenty w formie elektronicznej

i papierowej z badanego systemu oraz rejestrw dokumentw (dokumentacja systemu, wycigi z rejestrw kontrolnych lub dziennika
operacji uytkownika, faktury, zapisy transakcji);
3. wiadectwa reprezentujce reprezentacje jednostek audyto-

wanych (spisane polityki i procedury, schematy systemowe,

owiadczenia w formie pisemnej lub ustnej);
4. analizy dokumenty bdce zapisem wynikw analizowania

informacji za pomoc techniki porwna, kalkulacji, symulacji (porwnanie kosztw eksploatacji systemu informatycznego w odniesieniu do podobnych jednostek i zblionych cen rynkowych).

Forma
Zgromadzone dowody powinny zawiera:
l

informacj identyfikacyjn jednostki audytora,

identyfikator audytu,

dat pozyskania dowodu,

identyfikator audytora.

Sporzdzone przez audytora kopie musz by oznaczone unikalnym

(w ramach danego audytu) numerem dowodu, dat pobrania i nazw
prowadzonego przegldu.

Sposoby gromadzenia
Gromadzenie dowodw audytowych jest niezwykle istotnym i pracochonnym elementem zadania audytowego. Nie wystarczy wyda
opini, trzeba umie udowodni jej prawdziwo.
W zalenoci od rodzaju systemu informatycznego, objtego badaniem,
audytor powinien wykorzysta odpowiednie techniki gromadzenia
dowodw audytu. W trakcie przegldu mona wykorzysta nastpujce metody:

DOWODY AUDYTOWE

293

wywiad,

obserwacje,

inspekcje,

powiadczenie (potwierdzenie) pozytywne i negatywne,

powtrne wykonanie operacji,

monitorowanie.

Prbkowanie audytowe
Ze wzgldu na zoono systemw i mnogo przetwarzanych transakcji zwykle audytor systemw informatycznych nie bada wszystkich
dostpnych informacji. Poprawne wnioski mog by wycignite
z wykorzystaniem prbkowania audytowego. Polega to na zastosowaniu procedur audytowych do mniej ni 100% populacji, co pozwala oceni dowody audytowe w sposb szybszy i mniej pracochonny
oraz sformuowa wnioski dotyczce caej populacji.
Zgodnie z wytyczn 060.020.040 Prbkowanie audytowe [50]:
Uywajc zarwno statystycznych, jak i niestatystycznych metod prbkowania,
audytor systemw informatycznych powinien zaprojektowa i wybra prb
audytow, wykona procedury audytowe i oceni wyniki prby, by uzyska
rzetelne, waciwe i uyteczne dowody audytowe.

Istniej cztery metody prbkowania:

1. Prbkowanie statystyczne:
l

prbkowanie losowe wszystkie kombinacje jednostek wybranych z danej populacji maj rwne prawdopodobiestwo
wyboru;

prbkowanie systematyczne zastosowanie staego interwau

pomidzy wyborami, przy pierwszej jednostce wybranej losowo.

294 ROZDZIA 11. WYKONANIE AUDYTU

2. Prbkowanie niestatystyczne (szacunkowe):

l

prbkowanie na chybi trafi (haphazard sampling) wybr

jednostek bez uycia technik strukturalnych i bez wiadomego
przewidywania lub uprzedzenia;

prbkowanie osdowe (judgmental sampling) selekcja jednostek z wykorzystaniem uprzedzenia do prby (np. wszystkie
jednostki o okrelonej wartoci, wszyscy nowi uytkownicy).

Prbkowanie statystyczne, dziki zastosowaniu odpowiednich technik matematycznych, pozwala wycign wnioski na temat caej populacji. Metody prbkowania niestatystycznego nie umoliwiaj ekstrapolacji otrzymanych wynikw na 100% populacji, gdy w tym
przypadku wykorzystana prba nie jest reprezentatywna dla wszystkich transakcji.
Wskazwka!
Jednostka prbkowana w zalenoci od celu prbkowania moe to by zdarzenie, transakcja (np. dla potrzeb badania zgodnoci mechanizmw kontrolnych compliance testing of controls)
lub jednostka monetarna (np. do celw testowania dowodowego
substantive testing).
Prba reprezentatywna wszystkie prbkowane jednostki w populacji maj takie samo lub znane prawdopodobiestwo bycia
wybranym.
Populacja zbir danych, z ktrego audytor systemw informatycznych dokonuje wyboru prby.
Stratyfikacja technika przydatna przy skutecznym projektowaniu prby; polega na dzieleniu populacji na subpopulacje o podobnych cechach w taki sposb, by kada jednostka moga nalee tylko do jednego stratum.
Wielko prby zaley od poziomu ryzyka audytowego (ryzyko
wrodzone + ryzyko kontroli + ryzyko detekcji), ktre audytor ma
zamiar zaakceptowa.
Ryzyko prbkowania okrela prawdopodobiestwo, e wnioski
audytora, sformuowane na podstawie wybranej prby, bd

DOWODY AUDYTOWE

295

rne od opinii wydanej w przypadku przebadania caej populacji. Mona wyrni tu ryzyko niewaciwego przyjcia (nieprawidowoci, ktrymi obarczona jest populacja, zostay uznane za
nieprawdopodobne) oraz ryzyko niewaciwego odrzucenia
(bd jest uznany za prawdopodobny, cho populacja nie jest
znaczco obarczona nieprawidowociami). Ryzyko prbkowania
powinno by rozwaane w relacji do modelu ryzyka audytowego.
Dopuszczalny bd (tolerable error) maksymalny bd, jaki audytor zamierza zaakceptowa, by potwierdzi osignicie celw
audytowych. W przypadku testw zgodnoci jest to maksymalny
wspczynnik odchylenia od przyjtej procedury kontrolnej, natomiast dla testw dowodowych bd ten wynika z profesjonalnego osdu audytora na temat istotnoci.
Oczekiwany bd podczas okrelania oczekiwanego poziomu
bdw w populacji audytor powinien wzi pod uwag poziom
bdw wskazany w trakcie wczeniejszych audytw, zmiany
w procedurach organizacji oraz dowody pozyskane z oceny systemu kontroli wewntrznej. Wikszy oczekiwany bd wymaga
przebadania wikszej prby ni w przypadku gdy audytor nie
spodziewa si bdw, by stwierdzi, e rzeczywiste bdy istniejce w populacji s na poziomie nie wyszym ni zaplanowany dopuszczalny bd.

Jeeli w trakcie prbkowania zostan stwierdzone nieprawidowoci,

naley je zbada. Jeli otrzymane wyniki wskazuj tak potrzeb, mona
rozszerzy wielko prby a do zbadania caej populacji. W przypadku gdy nie wykryto bdw, nie naley rozszerza prby. Audytor
powinien zna techniki prbkowania statystycznego, lecz stosowa je
tylko, kiedy s dostosowane do obiektw i celw audytu (np. gdy
chce wyda niepodwaaln opini na temat systemu, musi poprze j
odpowiednimi dowodami, wynikajcymi z badania prby reprezentatywnej).
Wicej informacji na temat metod prbkowania wykorzystywanych
w procesie audytu mona znale w publikacji [24].

296 ROZDZIA 11. WYKONANIE AUDYTU