Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00474 013793 11056520 na godz. na dobę w sumie
Przewodnik audytora systemów informatycznych - książka
Przewodnik audytora systemów informatycznych - książka
Autor: , Liczba stron: 424
Wydawca: Helion Język publikacji: polski
ISBN: 83-246-0622-X Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo systemów
Porównaj ceny (książka, ebook, audiobook).

Dynamiczny rozwój technologii informatycznych znacząco wpłynął na konkurencyjność i efektywność organizacji. Bez odpowiedniego wsparcia ze strony systemów informatycznych współczesne przedsiębiorstwo nie jest w stanie poprawnie funkcjonować. Jednak tak duże uzależnienie od systemów informatycznych oznacza również zagrożenia związane z możliwością utraty bądź wykradzenia kluczowych danych firmy. Wirusy, programy szpiegujące, działania hakerów -- wszystko to może spowodować ogromne straty dla organizacji. Na szczęście zwiększa się również arsenał narzędzi, dzięki którym firmy mogą bronić się przed takimi zagrożeniami. Jak jednak stwierdzić, czy przedsięwzięte środki ochrony są wystarczające?

Czytając książkę 'Przewodnik audytora systemów informatycznych', poznasz procedury i praktyczne zagadnienia związane z badaniem infrastruktury informatycznej pod tym właśnie kątem. Dowiesz się, czym dokładnie zajmuje się audytor systemów informatycznych i jak planuje się korporacyjną politykę bezpieczeństwa danych. Przeczytasz o planowaniu badań oraz narzędziach i metodykach wykorzystywanych w tym procesie. Nauczysz się przeprowadzać analizę systemów informatycznych i dowiesz się, na co zwracać szczególną uwagę.

Audytor systemów informatycznych to zawód przyszłości.
Bądź przygotowany na jej nadejście.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREœCI SPIS TREœCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOœCIACH O NOWOœCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Koœciuszki 1c 44-100 Gliwice tel. 032 230 98 63 e-mail: helion@helion.pl Przewodnik audytora systemów informatycznych Autorzy: Marian Molski, Ma³gorzata £acheta ISBN: 83-246-0622-X Format: A5, stron: 424 Dynamiczny rozwój technologii informatycznych znacz¹co wp³yn¹³ na konkurencyjnoœæ i efektywnoœæ organizacji. Bez odpowiedniego wsparcia ze strony systemów informatycznych wspó³czesne przedsiêbiorstwo nie jest w stanie poprawnie funkcjonowaæ. Jednak tak du¿e uzale¿nienie od systemów informatycznych oznacza równie¿ zagro¿enia zwi¹zane z mo¿liwoœci¹ utraty b¹dŸ wykradzenia kluczowych danych firmy. Wirusy, programy szpieguj¹ce, dzia³ania hakerów — wszystko to mo¿e spowodowaæ ogromne straty dla organizacji. Na szczêœcie zwiêksza siê równie¿ arsena³ narzêdzi, dziêki którym firmy mog¹ broniæ siê przed takimi zagro¿eniami. Jak jednak stwierdziæ, czy przedsiêwziête œrodki ochrony s¹ wystarczaj¹ce? Czytaj¹c ksi¹¿kê „Przewodnik audytora systemów informatycznych”, poznasz procedury i praktyczne zagadnienia zwi¹zane z badaniem infrastruktury informatycznej pod tym w³aœnie k¹tem. Dowiesz siê, czym dok³adnie zajmuje siê audytor systemów informatycznych i jak planuje siê korporacyjn¹ politykê bezpieczeñstwa danych. Przeczytasz o planowaniu badañ oraz narzêdziach i metodykach wykorzystywanych w tym procesie. Nauczysz siê przeprowadzaæ analizê systemów informatycznych i dowiesz siê, na co zwracaæ szczególn¹ uwagê. (cid:129) Elementy polityki bezpieczeñstwa danych (cid:129) Zarz¹dzanie ryzykiem w systemach informatycznych (cid:129) Wdro¿enie systemu zarz¹dzania bezpieczeñstwem informacji (cid:129) Model PDCA (cid:129) Regulacje prawne i standardy zwi¹zane z audytem (cid:129) Metodyki prowadzenia badañ systemów informatycznych (cid:129) Przeprowadzanie procesu audytu Audytor systemów informatycznych to zawód przysz³oœci. B¹dŸ przygotowany na jej nadejœcie O autorach ..........................................................................................................7 Od autorów ..........................................................................................................9 Wstęp — dla kogo, w jakim celu? .....................................................................11 Audyt systemów informatycznych — uwagi wprowadzające ...........................17 Geneza ....................................................................................................................23 Organizacje zawodowe ...........................................................................................25 Certyfikacja ..............................................................................................................29 Rynek usług .............................................................................................................35 Pytania do rozdziału 2. ............................................................................................41 Słownik terminów związanych z audytem systemów informatycznych ............43 Wersja polsko-angielska .........................................................................................44 Wersja angielsko-polska .........................................................................................59 Wprowadzenie do zarządzania bezpieczeństwem systemów informatycznych ..............................................................................75 Elementy bezpieczeństwa .......................................................................................76 Polityka bezpieczeństwa .........................................................................................83 Pytania do rozdziału 4. ............................................................................................85 Procesy zarządzania bezpieczeństwem systemów informatycznych ...............87 Zarządzanie konfiguracją ........................................................................................88 Zarządzanie zmianami .............................................................................................89 Zarządzanie ryzykiem ..............................................................................................90 Pytania do rozdziału 5. ..........................................................................................103 System zarządzania bezpieczeństwem informacji ......................................... 105 Ustanowienie ISMS ...............................................................................................106 Wdrożenie i eksploatacja .......................................................................................108 Monitorowanie i przegląd .......................................................................................108 Utrzymanie i doskonalenie .....................................................................................109 Wymagania dotyczące dokumentacji ....................................................................109 Przegląd realizowany przez kierownictwo .............................................................110 Pytania do rozdziału 6. ..........................................................................................112 Model PDCA w procesach ISMS ..................................................................... 113 Faza planowania ....................................................................................................114 Faza wykonania .....................................................................................................115 Faza sprawdzania ..................................................................................................116 Faza działania ........................................................................................................118 Pytania do rozdziału 7. ..........................................................................................119 Wprowadzenie do audytowania ...................................................................... 121 Statut audytu — prawa i powinności audytora ......................................................126 Kodeks Etyki Zawodowej .......................................................................................127 Klasyfikacja audytów .............................................................................................128 Porównanie kontroli, audytu i controllingu .............................................................155 Pytania do rozdziału 8. ..........................................................................................158 Standaryzacja w audycie i bezpieczeństwie systemów informatycznych ...... 159 Regulacje prawne ..................................................................................................161 Standardy typu best practice .................................................................................169 Standardy umożliwiające certyfikację ....................................................................193 Pytania do rozdziału 9. ..........................................................................................210 Przegląd znanych metodyk prowadzenia audytu systemów informatycznych ............................................................................ 213 COBIT ....................................................................................................................214 LP-A .......................................................................................................................239 MARION .................................................................................................................251 4 Ÿ S P I S T R E Ś C I OSSTM ..................................................................................................................252 TISM ......................................................................................................................261 Pytania do rozdziału 10. ........................................................................................272 Wykonanie audytu ...........................................................................................275 Obiekty, zakres i cel ..............................................................................................277 Fazy audytu ...........................................................................................................282 Zawartość dokumentacji .......................................................................................282 Dowody audytowe .................................................................................................292 Proces audytowy ...................................................................................................297 Pytania do rozdziału 11. ........................................................................................315 Planowanie długoterminowe ...........................................................................319 Ocena potrzeb audytu ...........................................................................................320 Roczny plan audytu ...............................................................................................322 Plan strategiczny ...................................................................................................324 Pytania do rozdziału 12. ........................................................................................325 Planowanie ciągłości działania .......................................................................327 Rola audytu w planowaniu ciągłości działania ......................................................328 Metodyka audytowania planu ciągłości działania .....................................................330 Pytania do rozdziału 13. ........................................................................................337 Wykorzystanie oprogramowania narzędziowego w audycie ..........................339 Komputerowe techniki wspomagania audytu .......................................................340 Wymagania standardów ........................................................................................351 Klasyfikacja programów wspomagających audyt .................................................355 Pytania do rozdziału 14. ........................................................................................357 Podsumowanie ................................................................................................359 Literatura .........................................................................................................361 Źródła internetowe ..........................................................................................375 Odpowiedzi do pytań testowych .....................................................................405 Skorowidz .......................................................................................................407 S P I S T R E Ś C I 5 l Wykonanie audytu W celu poprawnego przeprowadzenia audytu ważne jest, by zasto- sować właściwą metodykę (rozdział 10.) oraz odpowiednio wskazać zakres i obiekty badania. Ścisła integracja systemów informatycznych i procesów biznesowych przy ciągłym wzroście złożoności tych sys- temów oraz szybkim tempie zmian biznesowych sprawia, że niemal każdy element środowiska informatycznego jednostki może stać się obiektem audytu. Techniką przydatną do poprawnego wykonania przeglądu jest podejście wykorzystujące analizę ryzyka (rozdział 5.). Dzięki zastosowaniu tego rozwiązania audytor ma pewność, że bada obszary obarczone najwyższym ryzykiem materializacji zagrożenia. Odmiennym sposobem prowadzenia audytu jest ocena całego śro- dowiska i systemów operacyjnych jednostki. Rozwiązanie to nazy- wane jest często starym modelem audytowania (tabela 11.1). Audytor powinien zdefiniować zbiór procesów, by wyznaczyć obiek- ty kontroli, zebrać i przeanalizować dowody oraz opracować wnioski oraz rekomendacje w ramach raportowania. W celu poprawnej realizacji audytu należy wykonać następujące czyn- ności: 1. zaplanować spotkanie audytowe; 2. stworzyć procedury audytu z uwzględnieniem oszacowanego po- ziomu ryzyka nieregularnych i nielegalnych zdarzeń; 3. założyć, że zdarzenia te nie są odosobnione; Tabela 11.1. Porównanie starego (tradycyjnego) modelu audytowania i nowoczesnego podejścia wykorzystującego analizę ryzyka Proces audytu Rodzaje audytów Audyt nowoczesny Podział na audyt projektów i ciągły proces audytowy Obszar audytu Cele audytu Planowanie Wszystkie systemy, za pomocą których realizowane są cele biznesowe, zidentyfikowane są w badanej jednostce Określenie, czy ryzyko zostało ograniczone do dopuszczalnego poziomu Wybór zadań audytowych z wykorzystaniem analizy ryzyka Zaangażowanie pracowników jednostki Wysoki stopień zaangażowania pracowników jednostki audytowanej we wszystkich fazach audytu Realizacja audytów Cele testowania Raportowanie Możliwość równoczesnego wykonywania kilku zadań audytowych Znalezienie błędów funkcjonowania systemu kontroli oraz wykorzystanie analizy ryzyka do określenia, które nieprawidłowości są najważniejsze i wymagają oceny Zapewnienie podmiotu zlecającego audyt, że wszystkie rodzaje ryzyka znajdują się na akceptowalnym poziomie, oraz wskazanie tych rodzajów ryzyka, które należy ograniczyć Audyt tradycyjny Wyróżnia się audyt finansowy, operacyjny, informatyczny i zgodności W pierwszej kolejności aydytowana jest działalność operacyjna i zgodność z prawem Ocena systemu kontroli wewnętrznej pod kątem jego efektywności i wydajności Plany audytów niekoniecznie muszą być powiązane z analizą ryzyka Zaangażowanie niewielkie, zwykle dotyczy tylko zapoznania z programem audytowym, wstępnej oceny raportu, potwierdzenia zawartych w raporcie końcowym wniosków i rekomendacji Audytor realizuje zadania audytowe kolejno jedno po drugim Znalezienie błędów funkcjonowania systemu kontroli bez uwzględniania ich istotności Potwierdzenie poprawności funkcjonowania systemu kontroli wewnętrznej oraz wskazanie jego ewentualnych słabości 2 7 6 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U 4. określić, w jaki sposób zdarzenia te omijają system kontroli we- wnętrznej; 5. rozszerzyć procedury audytu, by wskazać prawdopodobieństwo wystąpienia innych tego typu zdarzeń; 6. opracować dodatkowe procedury audytowe; 7. ocenić wyniki rozszerzonych procedur audytowych; 8. skonsultować z zarządem znalezione defekty oraz oszacować po- tencjalny wpływ nielegalnych i nieregularnych zjawisk na orga- nizację; 9. opracować raport obejmujący wszystkie zgromadzone fakty i oko- liczności wystąpienia nieprawidłowości; 10. przekazać wyniki raportu właściwym przedstawicielom jednostki audytowanej (zarządowi, kierownikom zajmującym stanowiska przynajmniej o poziom wyższe w hierarchii zawodowej organiza- cji niż personel poddawany badaniu). Obiekty, zakres i cel Audytor może poprawnie wykonywać czynności zawodowe tylko wte- dy, gdy w pełni rozumie funkcje i cele biznesowe jednostki audytowa- nej. Bardzo istotną umiejętnością jest poprawne wskazanie obiektów, celów i zakresu badania zgodnie ze strategią działania organizacji. Uniwersalnym celem audytu jest zapewnienie, że w badanym obszarze zadania wykonywane są efektywnie, wydajnie i zgodnie z prawem, a wszelkie odstępstwa podlegają raportowaniu. Na cele audytu sys- temów informatycznych mogą mieć wpływ: potrzeby zainteresowanych stron; l planowany zakres rozpowszechnienia raportu; l uregulowania prawne i standardy branżowe. l W praktyce audyt dla celów bezpieczeństwa teleinformatycznego prze- prowadza się, aby [67]: O B I E K T Y , Z A K R E S I C E L l 2 7 7 l wykazać, że informacja i system teleinformatyczny został zabez- pieczony zgodnie z ustaleniami pomiędzy zleceniodawcą a zespołem budującym system bezpieczeństwa; wykazać, że system bezpieczeństwa spełnia wymagania norm l i standardów w tym zakresie; l wystawić ocenianemu systemowi tzw. certyfikat bezpieczeństwa (coraz częstsza praktyka ze względu na ustawę o ochronie infor- macji niejawnych, członkostwo Polski w NATO oraz wejście do Unii Europejskiej); ocenić jakość systemu zabezpieczeń i przedstawić opinię zlecenio- l dawcy (modernizujemy lub zostawiamy bez zmian). Cele wykonania audytu informatycznego to przede wszystkim [67]: l weryfikacja zgodności działania systemów informatycznych z wy- mogami prawa (ustawa o rachunkowości, o ochronie danych osobowych itp. — por. rozdział 9.); l weryfikacja stanu bezpieczeństwa systemów informatycznych oraz pojedynczych aplikacji z perspektywy występującego ryzyka (swo- bodna interpretacja terminów: ryzyko i analiza ryzyka może pro- wadzić do nieporozumień), a także zaimplementowanych procedur kontrolnych i ich efektywności; analiza ryzyka związanego z prowadzeniem projektu informa- l tycznego. Przytoczone wnioski pozwalają zatem wskazać, co nie jest celem au- dytu systemów informatycznych: sprawdzanie zapisów w dziennikach systemowych, l sprawdzanie konfiguracji stacji roboczych. l Obiekty audytu to fragmenty zadania audytowego (np. podsystemy badanego systemu). Powinny one zostać zidentyfikowane przez au- dytora w taki sposób, by możliwe było opisanie ich w raporcie. Waż- ne jest wskazanie obiektów istotnych dla realizacji celów audytu. 2 7 8 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U Wskazówka! Zadanie audytowe — odpowiedni podział procesów zidentyfiko- wanych w ramach danej jednostki. Wyodrębnia się tu: cel audytu, · zakres przedmiotowy badań — obiekty audytu, · zakres podmiotowy przeglądu — jednostki audytowane. · Przykładowe obiekty audytu systemów informatycznych: 1. Bezpieczeństwo i integralność danych 2. Plany ciągłości działania 3. Procedury zakupu sprzętu i oprogramowania 4. Utrzymanie oraz serwis sprzętu i oprogramowania 5. Zarządzanie zmianami 6. Zarządzanie jakością 7. Ocena systemu kontroli 8. Zgodność z uregulowaniami prawnymi i normatywnymi 9. Zarządzanie personelem działu informatycznego 10. Zarządzanie projektami informatycznymi Zakres audytu powinien obejmować system kontroli użytkowania i ochrony zasobów informatycznych, a także procesy dotyczące pla- nowania, organizowania i monitorowania środowiska informatycz- nego jednostki. Ważne jest, by uwzględnić zależność pomiędzy na- kładem pracy a istotnością obiektów audytu. W celu właściwego ustalenia zakresu badania audytor powinien wykorzystać profesjo- nalny osąd. Zadaniem audytora jest również ustalenie obiektów kontroli. W od- różnieniu od obiektów audytu, które są samodzielnie opracowywane przez audytora, obiekty kontroli powinny zostać wcześniej zdefiniowa- ne przez kierownictwo. Ocena obiektów kontroli polega na spraw- dzeniu, czy zastosowane kontrole zapewniają realizacje celów bada- nego systemu. Audytor powinien rozumieć różnicę między obiektami audytu a kontrolą. Obiekty audytu to obszary objęte przeglądem; O B I E K T Y , Z A K R E S I C E L l 2 7 9 obiekty kontroli dotyczą badanego systemu i wskazują cele działań kontrolnych. W tabeli 11.2 przedstawiono przykładową macierz kontrolną, czyli obiekty kontroli, związane z nimi czynności kontrolne i procedury audytowe. Tabela 11.2. Przykładowa macierz kontrolna (opracowanie własne [56]) Obiekty kontroli Czynności kontrolne Procedury audytowe Niezależne przeglądy prowadzone przez kierownictwo Kierownictwo powinno przeprowadzać okresowe niezależne przeglądy (w tym audyty wewnętrzne i zewnętrzne) operacji informatycznych, by zapewnić, że odpowiednie polityki oraz procedury zostały właściwie wdrożone i działają efektywnie Kierownictwo ustala harmonogram okresowych niezależnych przeglądów operacji informatycznych, a także formalne procedury dotyczące działań naprawczych po wykryciu nieprawidłowości Organizacja Obowiązki i odpowiedzialność powinny być rozdzielone w taki sposób, by żadna osoba nie mogła popełnić ani ukryć istotnych błędów Kierownictwo zapewnia odpowiedni rozdział obowiązków i określa zakres odpowiedzialności w dziale informatycznym, by uniknąć popełniania i ukrywania błędów Ocenić zaimplementowane polityki i procedury oraz harmonogram niezależnych wewnętrznych przeglądów, by sprawdzić, czy zapewniają one niezależne przeglądy operacji informatycznych i właściwe działania naprawcze zidentyfikowanych słabości systemu Ocenić strukturę organizacyjną jednostki w celu sprawdzenia, czy dział informatyczny funkcjonuje na wystarczająco wysokim poziomie w hierarchii służbowej, by jego działania było niezależne Sprawdzić, czy obowiązki i odpowiedzialność są właściwie rozdzielone pomiędzy pracowników działu informatycznego 2 8 0 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U Tabela 11.2. Przykładowa macierz kontrolna (opracowanie własne [56]) — ciąg dalszy Obiekty kontroli Czynności kontrolne Procedury audytowe l Kierownictwo ustanawia i utrzymuje standardową metodykę zawierającą następujące elementy kontrolne: wykaz pisemnych Nabywanie, rozwijanie i modyfikowanie oprogramowania Kierownictwo powinno zwracać szczególną uwagę na właściwe zarządzanie oprogramowaniem. Wykorzystywane oprogramowanie musi być zgodne ze specyfikacjami i niewrażliwe na nieuprawnioną modyfikację, a przed wdrożeniem musi być poddane odpowiednim testom udział odpowiednich członków personelu (kierownictwo i użytkownicy) we wszystkich fazach nabywania, utrzymywania i modyfikowania oprogramowania wymagań zaakceptowany przez kierownictwo i użytkowników aplikacji l Jeśli z oceny ryzyka wynika, że konieczne są w tym obszarze dalsze działania audytowe, należy przeprowadzić ocenę przynajmniej jednego projektu zakupu, rozwijania i modernizacji oprogramowania, by wskazać, czy: pisemne wymagania l zostały zatwierdzone przez kierownictwo i wskazanych użytkowników,, odpowiednia l dokumentacja wszystkich wykorzystywanych programów zatwierdzanie, l weryfikacja oraz testowanie oprogramowania przez kierownictwo i odpowiednich członków personelu działu informatycznego, by potwierdzić, że działa ono zgodnie ze specyfikacjami i wymaganiami klientów ostateczne pisemne l zatwierdzenie aplikacji (przed implementacją oprogramowania) przez kierownictwo, personel działu informatycznego i użytkowników odpowiedni przedstawiciele l kierownictwa i działu informatycznego uczestniczą we wszystkich fazach uzyskiwania, rozwijania i modyfikacji oprogramowania wszystkie programy l są odpowiednio udokumentowane kierownictwo i odpowiedni l członkowie personelu działu informatycznego zatwierdzili, zweryfikowali oraz przetestowali oprogramowanie pod kątem zgodności ze specyfikacjami i wymaganiami klientów l przed wdrożeniem oprogramowania zostało wydane pisemne zatwierdzenie aplikacji przez kierownictwo, personel działu informatycznego i użytkowników O B I E K T Y , Z A K R E S I C E L l 2 8 1 Fazy audytu W rozdziale 10. przedstawiono różne metodyki prowadzenia audytu. W ramach przypomnienia — metodyka to zbiór udokumentowanych procedur audytowych mających zapewnić, że audytor osiągnie za- mierzone cele audytu. Przyjęta metodyka obejmuje wszystkie fazy przeglądu (tabela 11.3) i umożliwia wypracowanie powtarzalnego, sta- łego podejścia do audytu w jednostce. Metodyka powinna być udo- kumentowana oraz zatwierdzona przez dyrektora zespołu audytowego. Należy zapoznać wszystkich członków zespołu z przyjętą strategią działań. Wykorzystanie metodyki audytu pozwala opracować zakres audytu, zapewnia stałość oraz powtarzalność procesów, wskazuje szczegóło- we działania, niezbędne do prawidłowej realizacji przeglądu. Dodat- kowo, dzięki takiemu schematycznemu podejściu działania audytowe pozostawiają udokumentowany ślad tego, co zostało objęte bada- niem oraz tego, z kim przeprowadzono wywiady, jakie zebrano do- wody i w jaki sposób wykonano testy mechanizmów kontrolnych. Wszystko to sprawia, że raport z badania jest kompletny, nie docho- dzi do przekroczenia zakresu audytu oraz że osiągnięte zostają zamie- rzone cele przeglądu. Zawartość dokumentacji Dokumentacja audytu systemów informatycznych jest zapisem prze- prowadzonych przez audytora czynności oraz dowodem potwier- dzającym sformułowane wnioski i rekomendacje. Dokumentacja audytu powinna zawierać informacje dotyczące: zakresu i celów audytu, l programu audytu, l kolejno wykonywanych działań w ramach przeglądu, l zgromadzonych dowodów, l wniosków i rekomendacji będących produktem audytu, l 2 8 2 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U Tabela 11.3. Fazy typowego audytu (opracowanie własne na podstawie [56]) Temat audytu Cele audytu Zakres audytu Faza I: Planowanie Faza II: Procedury audytowe i etapy gromadzenia informacji Faza III: Procedury do oceny wyników testów lub przeglądu Faza IV: Procedury prowadzenia rozmów z kierownictwem Faza V: Opracowanie raportu Identyfikacja obszaru (obszarów) audytu Wskazanie powodów, dla których przeprowadza się audyt. Przykładowo, celem audytu może być zapewnienie, że dostęp do własności intelektualnych jest właściwie kontrolowany Identyfikacja objętych przeglądem systemów lub funkcji organizacji Określenie potrzebnych zasobów ludzkich (w tym osób z wiedzą specjalistyczną) i materialnych (laptopy, oprogramowanie wspomagające audyt) Identyfikacja źródeł informacyjnych — polityki, procedur, planów projektowych, logów Wskazanie lokalizacji lub obiektów objętych audytem Identyfikacja i wybór procesu do weryfikacji oraz przeprowadzanie testów mechanizmów kontrolnych Wskazanie osób do przeprowadzenia wywiadów Identyfikacja i zdobycie potrzebnych polityk oraz standardów Opracowanie procedur audytowych do przeprowadzenia weryfikacji i testów kontrolnych Identyfikacja procesu objętego przeglądem i ocena wyników audytu Określenie procedur dotyczących sposobu przedstawienia raportu z audytu kierownictwu jednostki audytowanej Opracowanie procedur dotyczących komunikowania się w trakcie działań audytowych Identyfikacja działań poaudytowych Wskazanie procedur służących do oceny efektywności i wydajności operacyjnej Identyfikacja procedur dotyczących testów mechanizmów kontrolnych Przegląd i ocena znaczących dokumentów, polityk i procedur opracowanych raportów, l przeglądu działań audytora dokonywanych przez kierownictwo. l Bardzo ważne jest, by dokumentacja była kompletna, czytelna i zro- zumiała dla osób, do których jest adresowana. Z A W A R T O Ś Ć D O K U M E N T A C J I l 2 8 3 Nie należy również zapominać o odpowiednim zabezpieczeniu i prze- chowywaniu dokumentacji. W tym celu powinna zostać opracowana oraz wdrożona polityka i procedury właściwego zarządzania (zabez- pieczania, przechowywania, odzyskiwania) dokumentacją. Dokumenty robocze Wszelkie wnioski sformułowane na podstawie działań audytowych muszą być poparte odpowiednimi dowodami. Najlepszym potwier- dzeniem prawdziwości ustaleń jest powołanie się na dokumenty ro- bocze (cross check). Nie istnieje obowiązek powoływania się w treści raportu na wszystkie dokumenty robocze audytu. Dokumenty robocze tworzy się w celu: udokumentowania zrealizowanych działań, l potwierdzenia prawdziwości sformułowanych wniosków, l umożliwienia przeprowadzenia kontroli realizacji działań audy- l towych, usprawnienia wykonywanych czynności. l Każdy dokument roboczy opatrzony jest nagłówkiem z nazwą jednostki audytowanej, tytułem, celem i datą sporządzenia. Ponadto, powinien posiadać on swój unikatowy (w ramach danego audytu) numer refe- rencyjny i być podpisany przez audytora (np. poprzez umieszczenie ini- cjałów osoby prowadzącej przegląd). Należy również pamiętać o odpo- wiednim wyjaśnieniu skrótów i symboli, zastosowanych w ramach danego dokumentu roboczego, oraz o precyzyjnym wskazaniu źródeł informacji. Za prawidłowość zgromadzonej dokumentacji roboczej odpowie- dzialny jest dyrektor zespołu audytowego i koordynator zadania au- dytowego. Najczęściej stosowane dokumenty robocze to: 1. Kwestionariusz kontroli wewnętrznej (KKW) KKW to dokument zawierający pytania dotyczące systemu kon- troli wewnętrznej, które mają pomóc w jego ocenie. Uzyskane w ten sposób informacje powinny być dodatkowo potwierdzone 2 8 4 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U dowodami pochodzącymi z innych źródeł. Audytor może kiero- wać do kierownictwa i personelu jednostki audytowanej pytania otwarte i zamknięte. Pytania zamknięte posiadają tylko dwa warianty odpowiedzi: TAK lub NIE. Pomimo że przygotowanie tego rodzaju pytań jest pracochłonne, daje jednak możliwość szybkiej analizy otrzyma- nych odpowiedzi i zdobycia informacji na temat systemu kon- troli wewnętrznej oraz wiarygodności audytowanych. Pytania otwarte w żaden sposób nie ograniczają audytowanych, pozwalają na swobodny sposób przedstawienia zdarzeń i relatywnie łatwo można je opracować. Niestety, wiedza zdobyta w ten spo- sób daje jedynie obraz zasad funkcjonowania badanego systemu kontroli. Należy pamiętać, że KKW powinien być stosowany w początko- wej fazie audytu, by istniała możliwość potwierdzenia zgroma- dzonych przy jego użyciu informacji w trakcie dalszych działań audytowych. Przykładowy kwestionariusz kontroli wewnętrznej przedstawiony został w tabeli 11.4. Tabela 11.4. Przykładowy kwestionariusz kontroli wewnętrznej dla audytu planowania ciągłości działania Kwestionariusz kontroli wewnętrznej Nazwa zadania audytowego: Audyt planowania ciągłości działania Numer zadania audytowego:………………………………………………………………………………………. Wykonał:………………………………………………………… Data:………………………………………. Sprawdził: ……………………………………………………….. Data:……………………………………… TAK NIE ND Lp. 1. 1.1 1.2 1.3 Pytanie Czy zdefiniowano politykę jednostki w zakresie planowania ciągłości działania? Czy określono odpowiedzialność za planowanie ciągłości działania i zarządzanie kryzysowe? Czy wskazano warunki uznania sytuacji za kryzysową? Czy określono ogólne zasady postępowania w sytuacji kryzysowej? Z A W A R T O Ś Ć D O K U M E N T A C J I l 2 8 5 Tabela 11.4. Przykładowy kwestionariusz kontroli wewnętrznej dla audytu planowania ciągłości działania — ciąg dalszy TAK NIE ND Lp. 1.4 1.5 2. 2.1 2.2 2.3 2.4 2.5 2.6 2.7 3. 4. 5. 5.1 5.2 5.3 5.4 Pytanie Czy określono sposób zarządzania jednostką w sytuacji kryzysowej? Czy zostały określone krytyczne zasoby dla funkcjonowania jednostki? Czy zostały opracowane plany ciągłości działania? Czy plany ciągłości działania szczegółowo określają zadania, które muszą być zrealizowane w sytuacji kryzysowej? Czy określono zespoły realizujące plany ciągłości działania? Czy plan ciągłości działania obejmuje fazę początkową (powiadomienie i aktywację)? Czy plan ciągłości działania obejmuje fazę odtworzenia krytycznych funkcji biznesowych? Czy plan ciągłości działania obejmuje fazę przywrócenia normalnego funkcjonowania jednostki? Czy zdefiniowano zasady ochrony poufności planów ciągłości działania? Czy wdrożono strategię przeprowadzania testów planów ciągłości działania? Czy została opracowana strategia utrzymania dostępności zasobów w sytuacji kryzysowej? Czy określono i wdrożono politykę informacyjną w przypadku wystąpienia sytuacji kryzysowej? Czy wdrożono proces weryfikacji zasad związanych z zapewnieniem ciągłości działania? Czy weryfikacja przeprowadzana jest okresowo? Czy weryfikacja przeprowadzana jest po wystąpieniu istotnych zmian w jednostce? Czy podstawą do weryfikacji są wyniki analizy ryzyka? Czy weryfikacja przeprowadzana jest z udziałem zewnętrznych ekspertów? Odpowiedzi udzielił:…………………………………… Audytowany:…………………………………………… Audytorzy:……………………………………………… 2 8 6 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U 2. Lista kontrolna (check list) Dokument ten ma wszechstronne zastosowanie i może być wyko- rzystywany na każdym etapie realizacji procesu audytowego. Lista kontrolna pomaga w ujednoliceniu zdobytych informacji, umoż- liwia standardowe podejście do przeprowadzanego badania i zapo- biega pominięciu istotnych kontroli. Listy kontrolne mogą być sto- sowane przez audytora i audytowanych. Z punktu widzenia audytu istotny jest sposób wykonywania i rejestrowania czynności nadzor- czych. Listy kontrolne powinny zawierać rubryki wypełniane przez pracownika jednostki oraz przez kierownika nadzorującego daną czynność. Zadaniem audytora jest ustalenie, czy nadzór jest rzeczywiście realizowany, czy też jest to tylko kwestia formalna. 3. Kwestionariusz samooceny Kwestionariusz samooceny ma podobny układ jak KKW. W tym przypadku dokument wypełniany jest samodzielnie przez kierow- nictwo jednostki audytowanej, a pytania dotyczą rodzajów ryzy- ka związanych z działalnością organizacji. Narzędzie to powinno być stosowane w początkowej fazie audytu, gdyż wymaga po- twierdzenia zgromadzonych danych przez inne źródła informacji. 4. Plan kontroli Plan kontroli służy do oceny systemu kontroli wewnętrznej i sta- nowi swoistą mapę pokazującą wszystkie kontrole zastosowane w danym systemie. Dokument ten określa zależności pomiędzy pro- cedurami, wymaganiami standardów, ustaw i norm branżowych w odniesieniu do zastosowanych mechanizmów kontrolnych. Ponadto, plan kontroli wskazuje osoby odpowiedzialne za po- szczególne kontrole, a także określa źródło ich opisu. Projektując systemy zarządzania, należy pamiętać, że wprowadzenie określonych wymagań narzuca konieczność wdrożenia mechani- zmów kontrolnych ich realizacji. Plany kontroli są niezwykle przy- datne przy planowaniu i dokumentowaniu testów zgodności. Przy- kładowy plan kontroli przedstawiony został w tabeli 11.5. 5. Ścieżka audytu Konieczność tworzenia ścieżki audytu dla środowiska informa- tycznego jest wywołana: Z A W A R T O Ś Ć D O K U M E N T A C J I l 2 8 7 i y n a z ą w z t n e m u k o D i l o r t n o k s p O i l y n a i z d e w o p d o i Tabela 11.5. Przykładowy plan kontroli wewnętrznej — ochrona stanowiska pracy l a n a i z d e w o p d o i i k n w o c a r P a k t s o n d e J i s p e z r P Plan kontroli Lp. Wymagania 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. W jednostce została wdrożona zasada czystego biurka (nośniki informacji przechowywane są w zamkniętych szafach) W jednostce została wdrożona zasada czystego ekranu (otwarte są tylko te programy, z których użytkownik aktualnie korzysta) Stacje robocze są zabezpieczone hasłami przed nieuprawnionym dostępem Wskazano osoby, które mają dostęp do BIOS-u stacji roboczych Zdefiniowano zasady przechowywania i użytkowania haseł do BIOS-u Stacje robocze są wyposażone w wygaszasz ekranu Odblokowanie wygaszacza ekranu wymaga wprowadzenia hasła Wdrożono procedury blokowania przez użytkowników stacji roboczych przed odejściem od stanowiska pracy Procedury regulują ograniczenia w dostępie do danych w zależności od stażu pracy użytkownika Stacje robocze zostały pozbawione urządzeń umożliwiających nagranie informacji (napędu dyskietek, nagrywarki CD, nagrywarki DVD) Wprowadzono wydzielone (niepodłączone do sieci teleinformatycznej lub podłączone do sieci wydzielonej) stacje robocze wykorzystywane do przetwarzania informacji szczególnie wrażliwych Stacje robocze, o których mowa w punkcie 11., znajdują się w pomieszczeniach zabezpieczonych przed dostępem osób nieupoważnionych 2 8 8 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U dużą liczbą transakcji przetwarzanych w systemach informa- l tycznych, ograniczonym do określonego przedziału czasu lub istnieją- l cym tylko w czasie rzeczywistym zapisem operacji. W skład ścieżki audytu wchodzą: l system rejestrów (logów), w których zapisywane są wszystkie czynności użytkowników systemu, procedury i osoby odpowiedzialne za sprawdzenie informacji l zapisanych w dziennikach, procedury kopiowania, przechowywania i zabezpieczania da- l nych zawartych w dziennikach, narzędzia systemowe gwarantujące bezpieczeństwo i integral- l ność danych. Można wyróżnić kilka rodzajów rejestrów: l l l l rejestry transakcji, rejestry awarii i przestojów, rejestry błędów, rejestry bezpieczeństwa. Wykorzystanie dzienników jest techniką skuteczną jedynie wtedy, gdy administrator regularnie tworzy kopie zapasowe. Rejestry mają bowiem ograniczoną pojemność i szybko się zapełniają, co prowa- dzi do utraty wcześniej zapisanych danych. Wszelkie zawarte w dziennikach informacje muszą być regularnie sprawdzane przez administratora systemu lub inną upoważnioną osobę. Ścieżka audytu jest dokumentem szczególnie przydatnym dla: audytorów systemów informatycznych, l administratorów systemów, l administratorów bezpieczeństwa informacji. l Za brak właściwie opracowanej ścieżki audytu odpowiada kie- rownik organizacji. Stworzenie ścieżki audytowej wymaga zwykle przeprowadzenia prac audytowych, gdyż jest to jedyne narzędzie Z A W A R T O Ś Ć D O K U M E N T A C J I l 2 8 9 umożliwiające zgromadzenie danych, niezbędnych do opracowa- nia tego dokumentu. W ramach podsumowania dokonano przeglądu najczęściej wyko- rzystywanych dokumentów roboczych (tabela 11.6). Techniki dokumentowania Pierwszym etapem właściwego dokumentowania jest zrozumienie funk- cji i charakteru badanego systemu oraz przetwarzanych w nim proce- sów. Przydatne do tego celu mogą okazać się następujące materiały: pisemne procedury, l wyjaśnienia personelu obsługującego badany system, l dokumenty z poprzednich audytów, l przepisy, l regulaminy, l dokumenty opracowywane w trakcie przebiegu procesu. l Kolejny etap działań to wykorzystanie zgromadzonych materiałów do uzyskania określonych informacji. W tym momencie audytor po- winien ustalić: 1. Jakie działania wchodzą w skład procesu? 2. Jaka jest kolejność tych czynności? 3. Kto wykonuje poszczególne działania budujące proces? 4. Jakie dokumenty są wykorzystywane w trakcie działania? 5. Jakie decyzje podejmowane są w trakcie wykonywania procesu? 6. Czy w realizacji procesu wykorzystywany jest system informatycz- ny, a jeśli tak, to jaki i w jakim zakresie? Wszystkie wymienione informacje można zgromadzić, wykorzystując pisemne procedury. Badanie oparte wyłącznie na tych dokumentach jest jednak niewystarczające. W celu wyjaśnienia wszelkich wątpli- wości dotyczących procesu wymagana jest współpraca z pracowni- kami, którzy go realizują. 2 9 0 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U Tabela 11.6. Przegląd dokumentów roboczych Lp. 1. Nazwa dokumentu Zawiadomienie organizacji o rozpoczęciu prac audytowych 2. 3. 4. 5. 6. 7. 8. 9. 10. Protokół ze spotkania wstępnego Opis ustaleń z fazy wstępnej audytu Opis operacji wykonywanych przez organizację Plan audytu Macierz ryzyka Program audytu Plany kontroli Kwestionariusze kontroli wewnętrznej Zapisy testów 11. Kwestionariusze samooceny 12. 13. 14. 15. Lista kontrolna Ścieżka audytu Odpowiedź jednostki audytowanej na raport i rekomendacje Dokumenty przedstawiające realizację rekomendacji Opis Dokument skierowany do kierownika organizacji, dotyczący terminu i zakresu badania Dokumenty opracowywane w ramach zapoznania się z jednostką Dokument opracowany we wstępnej fazie audytu; ma charakter ogólny Narzędzie używane w analizie ryzyka Dokument zawiera szczegółowy opis planowanych testów; przedstawione są w nim kolejne działania podejmowane w trakcie badania Dokumenty identyfikujące wszystkie mechanizmy kontrolne zawarte w badanym systemie Dokument zawierający pytania dotyczące istniejącego systemu kontroli wewnętrznej Protokoły z wywiadów, wydruki komputerowe, kopie dokumentów, listy z potwierdzeniem pozytywnym Dokument wypełniany samodzielnie przez kierownictwo, mający zidentyfikować rodzaje ryzyka związanego z funkcjonowaniem jednostki audytowanej Dokument pozwalający na jednolite podejście realizacji działań audytowych Dokument zawierający zestaw rejestrów z zapisanymi danymi na temat wykonywanych w systemie działań oraz odpowiednie procedury zarządzania informacjami zapisanymi w dziennikach Załącznik dołączony do raportu z audytu Plany wdrożenia, poczynione zmiany w procedurach Z A W A R T O Ś Ć D O K U M E N T A C J I l 2 9 1 Przykładowe pytania kierowane do pracowników [24]: 1. Jakie procedury są stosowane? 2. Gdzie i jakie dokumenty i inne dane lub zapisy są przechowywane? 3. Jakie dokumenty są przetwarzane? 4. Od kogo pracownicy otrzymują dokumenty? 5. Jakie informacje są wprowadzane do dokumentów i skąd pochodzą? 6. Do kogo pracownicy wysyłają dokumenty? 7. Jakie metody stosują, aby wykryć błędy? 8. Co robią po wykryciu błędu? 9. Kiedy i jaki błąd pracownicy wykryli ostatnio? Dowody audytowe Standardy ISACA (060.020 Dowody) nakładają na audytora obowią- zek uzyskania wystarczających, wiarygodnych, relewantnych (powią- zanych) i użytecznych dowodów, by efektywnie zrealizować cele au- dytu. Wnioski i rekomendacje, wynikające z przeglądu, mają być poparte odpowiednią analizą i interpretacją tych dowodów. Rodzaje Można wyróżnić wiele rodzajów dowodów audytowych w zależności od przyjętej klasyfikacji (stopnia wiarygodności, źródła, formy). Ge- neralnie przyjmuje się, że dowody pochodzące od strony trzeciej (z zewnątrz) są bardziej wiarygodne niż te uzyskane od strony zainte- resowanej. Dowody materialne mają większą wartość niż informacje zgromadzone w trakcie wywiadu. Można wyróżnić następujące rodzaje dowodów: 1. zaobserwowane procesy i istnienie przedmiotów materialnych — informacje zebrane w wyniku obserwacji określonych procesów oraz inwentaryzacji zasobów będących w posiadaniu jednostki; 2 9 2 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U 2. dowody dokumentacyjne — dokumenty w formie elektronicznej i papierowej z badanego systemu oraz rejestrów dokumentów (do- kumentacja systemu, wyciągi z rejestrów kontrolnych lub dziennika operacji użytkownika, faktury, zapisy transakcji); 3. świadectwa reprezentujące — reprezentacje jednostek audyto- wanych (spisane polityki i procedury, schematy systemowe, oświadczenia w formie pisemnej lub ustnej); 4. analizy — dokumenty będące zapisem wyników analizowania informacji za pomocą techniki porównań, kalkulacji, symulacji (po- równanie kosztów eksploatacji systemu informatycznego w od- niesieniu do podobnych jednostek i zbliżonych cen rynkowych). Forma Zgromadzone dowody powinny zawierać: informację identyfikacyjną jednostki audytora, l identyfikator audytu, l datę pozyskania dowodu, l identyfikator audytora. l Sporządzone przez audytora kopie muszą być oznaczone unikalnym (w ramach danego audytu) numerem dowodu, datą pobrania i nazwą prowadzonego przeglądu. Sposoby gromadzenia Gromadzenie dowodów audytowych jest niezwykle istotnym i pra- cochłonnym elementem zadania audytowego. Nie wystarczy wydać opinię, trzeba umieć udowodnić jej prawdziwość. W zależności od rodzaju systemu informatycznego, objętego badaniem, audytor powinien wykorzystać odpowiednie techniki gromadzenia dowodów audytu. W trakcie przeglądu można wykorzystać następu- jące metody: D O W O D Y A U D Y T O W E l 2 9 3 wywiad, l obserwacje, l inspekcje, l poświadczenie (potwierdzenie) pozytywne i negatywne, l powtórne wykonanie operacji, l monitorowanie. l Próbkowanie audytowe Ze względu na złożoność systemów i mnogość przetwarzanych trans- akcji zwykle audytor systemów informatycznych nie bada wszystkich dostępnych informacji. Poprawne wnioski mogą być wyciągnięte z wykorzystaniem próbkowania audytowego. Polega to na zastoso- waniu procedur audytowych do mniej niż 100 populacji, co po- zwala ocenić dowody audytowe w sposób szybszy i mniej pracochłonny oraz sformułować wnioski dotyczące całej populacji. Zgodnie z wytyczną 060.020.040 Próbkowanie audytowe [50]: Używając zarówno statystycznych, jak i niestatystycznych metod próbkowania, audytor systemów informatycznych powinien zaprojektować i wybrać próbę audytową, wykonać procedury audytowe i ocenić wyniki próby, by uzyskać rzetelne, właściwe i użyteczne dowody audytowe. Istnieją cztery metody próbkowania: 1. Próbkowanie statystyczne: l próbkowanie losowe — wszystkie kombinacje jednostek wy- branych z danej populacji mają równe prawdopodobieństwo wyboru; l próbkowanie systematyczne — zastosowanie stałego interwału pomiędzy wyborami, przy pierwszej jednostce wybranej losowo. 2 9 4 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U 2. Próbkowanie niestatystyczne (szacunkowe): l próbkowanie na chybił trafił (haphazard sampling) — wybór jednostek bez użycia technik strukturalnych i bez świadomego przewidywania lub uprzedzenia; l próbkowanie osądowe (judgmental sampling) — selekcja jed- nostek z wykorzystaniem uprzedzenia do próby (np. wszystkie jednostki o określonej wartości, wszyscy nowi użytkownicy). Próbkowanie statystyczne, dzięki zastosowaniu odpowiednich tech- nik matematycznych, pozwala wyciągnąć wnioski na temat całej po- pulacji. Metody próbkowania niestatystycznego nie umożliwiają eks- trapolacji otrzymanych wyników na 100 populacji, gdyż w tym przypadku wykorzystana próba nie jest reprezentatywna dla wszyst- kich transakcji. Wskazówka! Jednostka próbkowana — w zależności od celu próbkowania mo- że to być zdarzenie, transakcja (np. dla potrzeb badania zgodno- ści mechanizmów kontrolnych — compliance testing of controls) lub jednostka monetarna (np. do celów testowania dowodowego — substantive testing). Próba reprezentatywna — wszystkie próbkowane jednostki w po- pulacji mają takie samo lub znane prawdopodobieństwo bycia wybranym. Populacja — zbiór danych, z którego audytor systemów informa- tycznych dokonuje wyboru próby. Stratyfikacja — technika przydatna przy skutecznym projektowa- niu próby; polega na dzieleniu populacji na subpopulacje o po- dobnych cechach w taki sposób, by każda jednostka mogła na- leżeć tylko do jednego stratum. Wielkość próby — zależy od poziomu ryzyka audytowego (ryzyko wrodzone + ryzyko kontroli + ryzyko detekcji), które audytor ma zamiar zaakceptować. Ryzyko próbkowania — określa prawdopodobieństwo, że wnioski audytora, sformułowane na podstawie wybranej próby, będą D O W O D Y A U D Y T O W E l 2 9 5 różne od opinii wydanej w przypadku przebadania całej popula- cji. Można wyróżnić tu ryzyko niewłaściwego przyjęcia (niepra- widłowości, którymi obarczona jest populacja, zostały uznane za nieprawdopodobne) oraz ryzyko niewłaściwego odrzucenia (błąd jest uznany za prawdopodobny, choć populacja nie jest znacząco obarczona nieprawidłowościami). Ryzyko próbkowania powinno być rozważane w relacji do modelu ryzyka audytowego. Dopuszczalny błąd (tolerable error) — maksymalny błąd, jaki au- dytor zamierza zaakceptować, by potwierdzić osiągnięcie celów audytowych. W przypadku testów zgodności jest to maksymalny współczynnik odchylenia od przyjętej procedury kontrolnej, na- tomiast dla testów dowodowych błąd ten wynika z profesjonal- nego osądu audytora na temat istotności. Oczekiwany błąd — podczas określania oczekiwanego poziomu błędów w populacji audytor powinien wziąć pod uwagę poziom błędów wskazany w trakcie wcześniejszych audytów, zmiany w procedurach organizacji oraz dowody pozyskane z oceny sys- temu kontroli wewnętrznej. Większy oczekiwany błąd wymaga przebadania większej próby niż w przypadku gdy audytor nie spodziewa się błędów, by stwierdzić, że rzeczywiste błędy ist- niejące w populacji są na poziomie nie wyższym niż zaplanowa- ny dopuszczalny błąd. Jeżeli w trakcie próbkowania zostaną stwierdzone nieprawidłowości, należy je zbadać. Jeśli otrzymane wyniki wskazują taką potrzebę, można rozszerzyć wielkość próby aż do zbadania całej populacji. W przy- padku gdy nie wykryto błędów, nie należy rozszerzać próby. Audytor powinien znać techniki próbkowania statystycznego, lecz stosować je tylko, kiedy są dostosowane do obiektów i celów audytu (np. gdy chce wydać niepodważalną opinię na temat systemu, musi poprzeć ją odpowiednimi dowodami, wynikającymi z badania próby reprezen- tatywnej). Więcej informacji na temat metod próbkowania wykorzystywanych w procesie audytu można znaleźć w publikacji [24]. 2 9 6 Ÿ R O Z D Z I A Ł 1 1 . W Y K O N A N I E A U D Y T U
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Przewodnik audytora systemów informatycznych
Autor:
,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: