PRZYKŁAD AUDYTU SYSTEMU INFORMATYCZNEGO
Założenia
Na wykonanie zadań z zakresu audytu systemów informatycznych zarezerwowano w planie rocznym audytu 60 dni roboczych. Stanowi to 480 godzin, z których 40 godzin jest przeznaczonych na prace przygotowawcze, a 40 godzin - na sporządzenie raportu końcowego. Przyjęto, że w zarezerwowanym limicie czasu można przeprowadzić cztery audyty. Wybrane przez audytora obiekty audytu, dla których zostanie ocenione ryzyko, są ukazane w tabeli.
Obiekty audytu informatycznego
| NUMER OBIEKTU | TEMAT ZADANIA AUDYTOWEGO |
|---|---|
| Obiekt 1 | Ocena procedur zakupu sprzętu i oprogramowania |
| Obiekt 2 | Ocena zgodności działania systemów informatycznych z przepisami prawa |
| Obiekt 3 | Ocena bezpieczeństwa danych w systemach informatycznych |
| Obiekt 4 | Ocena zarządzania projektami informatycznymi |
| Obiekt 5 | Ocena technik dokumentowania systemów informatycznych |
| Obiekt 6 | Ocena zarządzania kadrą obsługującą systemy informatyczne |
| Obiekt 7 | Ocena funkcjonowania infrastruktury informatycznej |
| Obiekt 8 | Ocena zarządzania ryzykiem informatycznym |
| Obiekt 9 | Ocena funkcjonowania systemów operacyjnych i sieci |
| Obiekt 10 | Ocena zarządzania kosztami przedsięwzięć informatycznych |
Rozwiązanie
W celu wyboru obiektu audytu została wykorzystana macierz ryzyka, w której:
a) określono wagi dla najistotniejszych kategorii ryzyka,
b) przyznano poszczególnym kryteriom według osądu audytora punkty w skali od 1 do 5,
c) wytypowano obiekty audytu o największym ryzyku w wyniku przemnożenia poszczególnych wag przez liczbę punktów dla każdej kategorii i dla każdego rodzaju decyzji; przy czym dla uśrednienia wartość tę podzielono przez 15 (3 rodzaje decyzji x 5-stopniowa skala punktów).
Z przeprowadzonych obliczeń wynika, że audytor przeprowadzi badanie dla czterech obiektów audytu o największym ryzyku, co jest wykazane w macierzy ryzyka przedstawionej w tabeli . Do obiektów tych należą:
• obiekt 10 „Ocena zarządzania kosztami przedsięwzięć informatycznych",
• obiekt 2 „Ocena zgodności działania systemów informatycznych z przepisami prawa",
• obiekt 1 „Ocena zakupu sprzętu i oprogramowania",
• obiekt 3 „Ocena bezpieczeństwa danych w systemach informatycznych".
Tabela Macierz ryzyka służąca do wyboru obiektów audytu
Obiekty audytu |
Kategorie ryzyka | |
|---|---|---|
| Krótkoterminowe | Średnioterminowe | |
|
|
|
| Wagi | 0,5 | 0,3 |
| 10 | 5 | 5 |
| 2 | 5 | 4 |
| 1 | 4 | 4 |
| 3 | 4 | 3 |
| 4 | 4 | 3 |
| 8 | 3 | 2 |
| 6 | 3 | 2 |
| 7 | 2 | 1 |
| 5 | 1 | 1 |
| 9 | 1 | 1 |
Poziom ryzyka w 5-stopniowej skali: 1 - niski, 2 - średni, 3 - ponadśredni, 4 - wysoki, 5 – bardzo wysoki
Źródło: Opracowanie własne.
Aby prawidłowo funkcjonować, przykładowa jednostka powinna opracować jednoznaczną politykę w zakresie analizy ryzyka. Wymaga to wyznaczenia:
• celów organizacji dotyczących zarządzania ryzykiem systemów informatycznych,
• akceptowanego poziomu ryzyka w zakresie systemów informatycznych,
• zasad i metodyki oceny ryzyka,
• osób odpowiedzialnych za zarządzanie ryzykiem,
• mechanizmów eliminowania ryzyka.
Po zakończeniu etapu wstępnego audytor przeprowadza badanie właściwe systemów informatycznych według faz, takich jak:
• ocena skuteczności mechanizmów kontrolnych w odniesieniu do systemów informatycznych,
• określenie zgodności faktycznych działań z ustalonymi mechanizmami kontrolnymi,
• przeprowadzenie testów oceny efektywności mechanizmów kontroli,
• sformułowanie wniosków o skuteczności i efektywności systemu kontroli.
Rozpoczynając badanie, należy przeprowadzić analizę problemów związanych z projektowaniem, wdrażaniem i użytkowaniem systemów informatycznych. Czynności audytorskie w tym zakresie powinny sprowadzać się do zebrania informacji na temat strategii i planów w zakresie technologii informacyjnej, polityki i procedur bezpieczeństwa systemów, przechowywania danych, zasad nabywania i wdrażania systemów, praw autorskich oraz zasad zarządzania zasobami. Następnie audytor powinien ustalić obowiązki właścicieli poszczególnych zasobów informatycznych i ocenić sposób ich wykorzystania w aspekcie zgodności z przepisami państwowymi lub branżowymi. Do zadań audytora należy również ocena wykorzystania umiejętności informatyków zatrudnionych w jednostce. Wszelkie oceny stanu rzeczywistego są dokonywane za pomocą testów przeglądowych i testów zgodności, które stwarzają podstawy do sformułowania pozytywnej lub negatywnej oceny efektywności zarządzania systemami informatycznymi oraz stosowanych dla nich procedur kontrolnych. Jak już wspomniano w rozdziale 5, przy przeprowadzaniu testów zgodności stosuje się określone techniki, takie jak: obserwacja, rozmowa, analiza, weryfikacja, powtórzenie czynności czy badanie dokumentów. Typowe dokumenty wykorzystywane w audycie systemów informatycznych są przedstawione w tabeli.
Tabela Dokumenty stosowane w audycie informatycznym
| Grupy dokumentów | Rodzaje dokumentów |
|---|---|
Obserwacja procesów i inwentaryzacja zasobów materialnych |
* Spis zewnętrznych nośników danych i sposób ich przechowywania * Działania podejmowane przez ochronę budynku * Obserwacja ruchu osobowego * System bezpieczeństwa pomieszczeń komputerowych podczas działania |
Dowody dokumentacyjne |
* Protokoły usunięcia danych * Zapisy transakcji * Wydruki treści programów * Dokumenty magazynowe, przewozowe, faktury * Wyciągi z rejestrów kontrolnych, dziennika operacji użytkownika * Dokumentacja systemu |
Świadectwa reprezentujące |
* Opisy stosowanych polityk i procedur informacyjnych * Schematy systemu informatycznego * Pisemne lub ustne oświadczenia dotyczące funkcjonowania systemu informatycznego |
| Analizy | * Analizy porównawcze kosztów działania struktur informatycznych w stosunku do podobnych rozwiązań stosowanych w innych organizacjach * Porównanie wskaźników błędów między aplikacjami czy transakcjami *Analiza trendów wydajności systemów informatycznych |
Zródlo: Opracowanie na podstawie: M. Forystek, Audyt informatyczny, InfoAudit, Warszawa 2005, s. 196.
Po przeprowadzeniu testów wszelkie informacje o nieskutecznych lub nie-wydajnych strukturach lub mechanizmach kontrolnych wraz z rekomendacjami usprawnień powinny znaleźć się w końcowym raporcie z audytu.
Przykład realizacji zadania audytowego w zakresie bezpieczeństwa systemów informatycznych
Założenia
W szkole wyższej audytor wewnętrzny w celu wyboru zadania audytowego przeprowadził analizę ryzyka w zakresie systemów informatycznych. W wyniku przeprowadzonej oceny stwierdził, iż największym zagrożeniem dla prawidłowego funkcjonowania tych systemów jest nieprzestrzeganie zasad utrzymania ich bezpieczeństwa. Świadczą o tym głównie braki w zakresie:
• pisemnych procedur dotyczących fizycznego i logicznego dostępu do danych,
• planów awaryjnych na wypadek wystąpienia zagrożeń.
Rozwiązanie przykładu
Dla realizowanego zadania audytor opracował program, którego struktura została zaprezentowana w tabeli .
W programie audytu został wyznaczony termin narady otwierającej, której zadaniem jest przedstawienie pracownikom jednostki celu audytu oraz założeń organizacyjnych w zakresie jego realizacji. Po odbyciu narady otwierającej został opracowany protokół, którego zawartość w zakresie zadania audytowego jest przedstawiona w tabeli.
Tabela Program zadania audytowego
„Ocena bezpieczeństwa systemów informatycznych"