Audyt bezpieczeństwa IT

Tekst otwarty nr 24/2020

Każda organizacja chcąca przetrwać i konkurować z innymi firmami, musi inwestować w technologię informatyczną, która zapewnia dostępność, integralność i poufność danych. Epidemia COVID-19 i jej konsekwencje, udowadniają nam, że technologia jest nam potrzebna do życia niczym woda czy tlen. Liderzy odpowiedzialni za organizację muszą stawić czoła bardzo złożonym procesom, w tym informatycznym. Wraz ze wzrostem zagrożeń system informatyczny firmy może być narażony na potencjalne ryzyko. Jest to jeden z głównych powodów, dla których firmy coraz częściej inwestują w usługi audytu IT.

Audyt bezpieczeństwa IT

Czym jest audyt IT?

Audyt IT można zdefiniować podobnie jak każdy inny audyt, czyli jako „przegląd i ocenę systemów zautomatyzowanego przetwarzania informacji, powiązanych niezautomatyzowanych procesów oraz interfejsów między nimi”. Planowanie audytu IT obejmuje dwa główne etapy. Pierwszym krokiem jest zebranie informacji (scoping) na temat środowiska kontrolnego i zaplanowanie działań (design audit). Drugim krokiem jest zrozumienie istniejącej struktury kontroli wewnętrznej (walkthrough).

Coraz więcej organizacji przechodzi na podejście kontrol­ne, które oparte jest na ryzyku. Polega ono na stosownej ocenie ryzyka i pomaga audytorowi IT podjąć decyzję, czy podstawą jego działań będą prowadzone testy zgodności, czy wiarygodności, które są bardziej czasochłonne. W podejściu opartym na ryzyku audytorzy IT polegają na wewnętrznych i operacyjnych kontrolach, czyli na tzw. środowisku kontrolnym. Ten rodzaj decyzji dotyczącej oceny ryzyka może pomóc w powiązaniu analizy kosztów i korzyści kontroli ze znanym ryzykiem.

Na etapie zbierania informacji audytor IT powinien rozważyć następujące kwestie:

  • Znajomość badanej jednostki pod kątem środowiska kontroli. Do zadań audytora IT należy sprawdzenie, czy środowisko jest kontrolowalne, a wdrożone procedury kontrolne przestrzegane. Często w organizacjach brakuje spisanych procedur, a kontrola funkcjonuje intuicyjnie. Nie oznacza to jednak, że nie ma środowiska kontrolnego. Z taką sytuacją mamy często do czynienia w firmach rodzinnych, które rosną w szybkim tempie i krótkim czasie, a procedury za tym rozwojem nie nadążają. To do audytora należy ocenić, czy istnieje ryzyko przy badaniu kontroli.

Gdy audytor IT zgromadzi informacje i zrozumie istotę kontroli, jest gotowy do rozpoczęcia planowania lub wyboru obszarów do audytu. Kluczową informacją, która będzie potrzebna na początkowych etapach, jest bieżąca analiza wpływu luk w systemie IT na biznes, która pomoże wybrać aplikację o najbardziej krytycznej funkcji biznesowej. Ocena środowiska informatycznego wynika ze zrozumienia wewnętrznych procedur IT. Bez tego podstawowego zrozumienia prawdopodobne jest, że prace kontrolne zostaną źle ukierunkowane, co zwiększy ryzyko wyciągnięcia błędnych wniosków. Obszarami weryfikacji objętymi na tym etapie prac są najczęściej: zarządzanie zmianami, bezpieczeństwo oraz ciągłość działania i odzyskiwanie danych po awarii.

  • Analiza raportów z poprzednich audytów oraz informacji zwrotnej z wprowadzonych rekomendacji po poprzednim audycie. Do audytora należy ocena, czy wszystkie kwestie zidentyfikowane jako wysokie ryzyko zostały pokryte przez odbiorców obszaru audytowanego. Niektóre organizacje cedują te działania na działy operacyjne, które muszą odpowiadać przed komórką nadzorczą z tego, jak wywiązały się z ustaleń poaudytowych.
  • Ważne też, by audytor w swojej pracy uwzględniał nowe regulacje prawne i wytyczne. Obecnie jesteśmy świeżo po wprowadzeniu w polskim prawodawstwie regulacji Urzędu Ochrony Danych Osobowych, ale należy pamiętać, że nawet Komisja Nadzoru Finansowego publikuje wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Co prawda, są to wytyczne przeznaczone głównie dla instytucji finansowych, ale należy rozważać je także przez pryzmat własnej działalności.
  • Ocena ryzyka nieodłącznego. Każdy audytor musi też przyjąć założenie, że istnieje błąd, który może być istotny lub znaczący w połączeniu z innymi błędami napotkanymi podczas audytu, przy założeniu, że nie ma powiązanych kontroli kompensujących. Ryzyko nieodłączne, to ryzyko, które istnieje niezależnie od audytu i może wystąpić ze względu na charakter działalności.
  • Wymagane zasoby. Ostatnim ważnym elementem planowania audytu jest ocena nakładu pracy. Ponieważ termin i dostępność odpowiednich zasobów ludzkich do audytu IT zwykle stanowią wyzwanie, wykonanie tego kroku powinno przynieść lepszą jakość i niższe koszty audytu. Należy pamiętać, że audytor IT nie zawsze musi mieć pełną wiedzę na temat procesu. Często będzie musiał wspierać się wiedzą i doświadczeniem pracowników operacyjnych, którzy te procesy znają. Oczywiście każdy audytor musi zachować sceptycyzm, a ten dobrze wesprzeć profesjonalnym osądem.

Cele audytu IT

Najczęściej cele audytu IT koncentrują się na udowodnieniu, że kontrole wewnętrzne istnieją i działają zgodnie z oczekiwaniami, i rzeczywiście minimalizują ryzyko biznesowe. Te cele audytu obejmują zapewnienie zgodności z wymogami prawnymi i regulacyjnymi, a także poufność, integralność i dostępność systemów informatycznych i danych. Ale poza książkowymi ramami audytu IT jest jeszcze cel nadrzędny audytu. Ma dawać pewność, że działalność operacyjna oraz decyzje podejmowane przez zarząd są wolne od ryzyka wadliwego działania systemów informatycznych. Audyt IT nie polega jedynie na stwierdzeniu, czy wszystkie komputery oraz nośniki danych mają hasła i zainstalowane programy antywirusowe. Jest to skomplikowany proces kontrolny, który musi zagwarantować, że biznes będzie działał w niezmienionej postaci nawet wtedy, gdy gospodarka napotyka tzw. czarne łabędzie. Jesteśmy w chwili rewolucji myślenia o prowadzeniu własnej działalności. Najlepszym przykładem może być „wyjście” znanych marek z centrów handlowych i przeniesienie swojej działalności do e-commerce. Jeżeli taki kierunek biznesu się utrzyma, to audyt IT stanie się nie tylko niegdysiejszym „cichym klientem”, ale jednostką wsparcia, która będzie regulowała funkcjonowanie jednostki, od kontroli kart wejścia pracowników do pracy po kontrolowanie złożonych procesów wyjętych z długiego ciągu łańcucha dostaw.

Strategie i zakres audytu IT

Każdy audytor na początku powinien zadać sobie pytanie o to, w jaki sposób może uzyskać dowody, które pozwolą mu skontrolować aplikację i przekazać raport zarządowi. Określenie właściwej strategii to moment wyboru między testami zgodności1 a testami wiarygodności2.

Po wybraniu, w jaki sposób audytor IT będzie wykonywał testy mające ocenić ryzyko w jednostce, powinien skupić się strukturze jednostki. Jak usytuowany w strukturze jest dział IT oraz czy jest to jednostka przynależna do organizacji, czy też wsparcie IT jest outsourcowane. Kolejnym niezbędnym krokiem jest przejrzenie zasad i procedur informatycznych oraz standardów nakreślonych przez jednostkę. Niestety, w tym zakresie często występują niedociągnięcia. Procedury bywają przestarzałe lub niedostosowane do obecnej działalności. Często już na tym etapie wyłania się obraz środowiska IT, które bywa – lekko mówiąc – zaniedbane. Wynika to często z faktu, że firmy działają w dynamicznej przestrzeni, a działy IT nie traktują tych działań priorytetowo. W związku z tym bardzo ważne jest, by przeprowadzić wywiad z odpowiednim personelem, który udzieli nam wyczerpujących wyjaśnień. Niezbędna na tym etapie prac jest obserwacja procesu oraz ich wydajność. Należy określić, czy personel jest wystarczający, czy działa sprawnie i na czas oraz czy ma niezbędne kompetencje, by wspierać procesy informatyczne.

Sam zakres prac może być bardzo szeroki, ale dla kompleksowego systemu IT przykładowymi obszarami zainteresowań audytorów IT mogą być:

  • kontrola zmian, gdy występują działania związane z programowaniem;
  • logiczne bezpieczeństwo na poziomie systemu operacyjnego, gdy wdrożono pojedyncze logowanie;
  • logiczne bezpieczeństwo na poziomie bazy danych, gdy konieczne jest zachowanie integralności danych;
  • planowanie zadań, gdy istnieje scentralizowana kontrola i administracja, zestawem reguł przetwarzania partii w poszczególnych sekwencjach wykonywanych przez dział IT;
  • interfejsy, gdy różne systemy informacyjne są zintegrowane w sposób zautomatyzowany;
  • konwersje danych, gdy konwersja miała miejsce w ciągu roku.

Kontrola aplikacji a kontrola ogólna

Ogólne kontrole dotyczą wszystkich obszarów organizacji, w tym infrastruktury IT i usług wsparcia, jak wewnętrzne kontrole księgowe czy kontrole operacyjne. Kontrola aplikacji odnosi się do transakcji i danych związanych z każdym komputerowym systemem aplikacji, dlatego są specyficzne dla każdej aplikacji. Celem kontroli aplikacji jest zapewnienie kompletności i dokładności zapisów oraz ważności wprowadzanych do nich wpisów. Kontrole aplikacji to kontrole funkcji (wejścia, przetwarzania, wyjścia) i obejmują metody zapewniające, że tylko kompletne, dokładne i prawidłowe dane są wprowadzane i aktualizowane w systemie aplikacji.

Do zadań audytora IT podczas audytu kontroli aplikacji powinno należeć:

  • identyfikacja istotnych komponentów aplikacji; przepływ transakcji przez aplikację (system) w celu szczegółowego zrozumienia aplikacji, przegląd całej dostępnej dokumentacji i wywiady z odpowiednim personelem, takim jak właściciel systemu, właściciel danych, powiernik danych i administrator systemu;
  • zidentyfikowanie mocnych stron kontroli aplikacji i ocena ewentualnego wpływu słabości, które można znaleźć w kontrolkach aplikacji;
  • opracowanie strategii testowania;
  • testowanie elementów sterujących w celu zapewnienia ich funkcjonalności i skuteczności;
  • ocena wyników testu i wszelkich innych dowodów kontroli w celu ustalenia, czy cele kontroli zostały osiągnięte;
  • ocena aplikacji pod kątem celów zarządzania systemem, aby zapewnić wydajność i skuteczność.

Testowanie kontroli automatycznych

Pisząc o audycie IT, nie sposób nie poruszyć jednej bardzo ważnej kwestii, która często jest błędnie odbierana również przez audytorów finansowych lub wewnętrznych. Chodzi o pojęcia testów automatycznych. Nie każdy test, który dzieje się automatycznie w procesie musi być z zasady przypisany jako obszar do testowania przez audytora IT. Na przykład w zakładzie ubezpieczeń migracja danych między programem sprzedażowym a systemem finansowo-księgowym (SFK) oraz wyciągów bankowych z interfejsu bankowego do SFK przebiega automatycznie i określana jest jako proces dopasowywania (matching) składek z płatnościami. System wyrzuca raport, który pokazuje nieprzyporządkowane dane, które podlegają następnie ręcznemu uzgodnieniu. Mamy tu do czynienia z kontrolą tak automatyczną (matching), jak i manualną (manual reconciliation). W pierwszym przypadku intuicyjnie praca powinna być wykonana przez audytora IT, ale niekoniecznie. Równie dobrze kontrola może być wykonana substantywnie na próbie przez sprawdzenie przeciwstawnych dokumentów źródłowych. Kontrola automatyczna zlecona audytorowi IT to najczęściej taka kontrola, która jest zaszyta w systemie, np. automatyczna kalkulacja różnic kursowych lub schemat księgowania FIFO/LIFO na zapasach.

Dokumentowanie prac

Każde prace kontrolne powinny być właściwie udokumentowane. Audytor powinien określić w swoim raporcie, jakie aplikacje były testowane oraz kto udzielał wyjaśnień. Dla ułatwienia dokumentowania najlepiej stworzyć matrycę kontrolną, która pozwoli nam w sposób przejrzysty i zrozumiały dla odbiorcy raportu stwierdzić:

  • ryzyko, jakie było rozważane podczas badania (określa audytor) – np. nieautoryzowany dostęp do transakcji gospodarczych;
  • cel kontrolny (określa audytor) – czy modyfikacje uprawnień dostępu użytkownika są autoryzowane i monitorowane;
  • spodziewany przebieg kontroli (określa audytor);
  • istniejąca kontrola – opis kontroli, która faktycznie zachodzi w jednostce. Powinien być opisany stan faktyczny według procedur spisanych bądź nie w organizacji;
  • opis, kto jest właścicielem kontroli – osoba, zespół osób, który odpowiada za kontrolę w zakresie procesu testowanego;
  • konkluzje – stwierdzenie audytora, czy kontrola jest efektywna bądź nie oraz określenie, czy proces wymaga naprawy, zmiany lub rozwinięcia.

Po zebraniu wszystkich dowodów audytor IT powinien sprawdzić i ustalić, czy sprawdzone operacje są dobrze kontrolowane i skuteczne. Ważna jest subiektywna ocena i doświadczenie audytora. Na przykład audytor może znaleźć słabość w jednym obszarze, która jest kompensowana przez bardzo silną kontrolę w innym sąsiednim obszarze. To audytor IT jest odpowiedzialny za zgłoszenie obu tych ustaleń w raporcie z audytu.

Wyniki audytu

Przekazanie wyników kontroli audytu zazwyczaj będzie miało miejsce podczas rozmowy, w trakcie której audytor powinien mieć możliwość przedyskutowania z kierownictwem wszelkich ustaleń i zaleceń. Jest to moment, w którym audytor musi być absolutnie pewien, że fakty przedstawione w raporcie są zgodnie ze stanem faktycznym, a zalecenia są realistyczne i opłacalne. W wyniku tych ustaleń powinny powstać zalecane daty wdrożenia, które zostaną uzgodnione w raporcie. Raport z audytu powinien zawierać:

  • wprowadzenie (streszczenie);
  • ustalenia znajdujące się w osobnej sekcji i pogrupowane według ich odbiorców;
  • ogólny wniosek i opinia na temat adekwatności zbadanych kontroli i wszelkich zidentyfikowanych potencjalnych zagrożeń;
  • szczegółowe ustalenia i rekomendacje.

Korzyści z audytu IT

Zmniejsza ryzyko związane z IT

Jedną z głównych zalet audytu IT jest to, że może on pomóc w wyeliminowaniu ryzyka związanego z dostępnością, integralnością i poufnością procesów i infrastruktury technologii informatycznych. Mogą również poprawić niezawodność, efektywność i wydajność systemów informatycznych, obejmując szeroki zakres zagrożeń poprzez regularną identyfikację i ocenę ryzyka w organizacji. Przeprowadzenie audytu IT pomoże firmom dowiedzieć się, czy inwestują w odpowiednie systemy. Zapewni to prawidłowe funkcjonowanie systemu i osiągnięcie wszystkich zamierzonych celów. Przeprowadzenie audytu IT umożliwia firmom sprawdzenie, czy ich systemy działają skutecznie i osiągają cele swojej organizacji.

Poprawia bezpieczeństwo danych

Kontrola przeprowadzona przez audyt IT daje organizacjom możliwość przeprojektowania lub wzmocnienia źle zaprojektowanych mechanizmów kontroli, prowadząc w ten sposób do poprawy bezpieczeństwa danych IT. Na rynku są dostępne bardzo zaawansowane zestawy technologii i narzędzi, które pozwalają organizacjom natychmiast wykrywać wewnętrzne i zewnętrzne zagrożenia i automatycznie podejmować działania.

Wykrywanie i zapobieganie oszustwom

Audyty informatyczne pomagają w zapobieganiu oszustwom wewnętrznym i zewnętrznym. Cykliczna analiza działalności firmy i wdrażanie systemów kontroli wewnętrznej może zapobiegać oszustwom i innym działaniom niezgodnym z prawem. Specjaliści zajmujący się audytem pomagają w projektowaniu i modyfikacji systemów kontroli wewnętrznej, których celem jest zapobieganie oszustwom. Odstraszanie może być istotnym elementem zapobiegania.

Sprawdza podatność na zagrożenie

Obecnie większość procesów przetwarzania danych, czy to księgowych, czy sprzedażowych lub zakupowych odbywa się za pośrednictwem kont w chmurze lub innych systemów online. Jest to także czas, w którym dane przechowywane elektronicznie mają kluczowe znaczenie. Wszystkie informacje, od szczegółów transakcji finansowych po poufne dane klientów i pracowników, są narażone na atak za pośrednictwem systemu komputerowego. Ryzyko to może być mitygowane przez audyt IT. Dzięki ich działaniu firmy mogą mieć pewność, że operacja odbywa się przy możliwie najniższym ryzyku.

Przypisy / Źródła / Podstawa prawna
  1. Badania zgodności – testy przeprowadzone w celu uzyskania dowodów badania dotyczących efektywności działania kontroli służącej zapobieganiu, wykrywaniu i korygowaniu istotnych nieprawidłowości na poziomie stwierdzeń. Źródło: https://www.ifac.org/.
  2. Badania wiarygodności – procedury badania przeprowadzane w celu wykrycia istotnych nieprawidłowości na poziomie stwierdzeń, takie jak: a) szczegółowe badanie grup transakcji, sald kont i ujawnień oraz b) analityczne procedury wiarygodności. Źródło: https://www.ifac.org/.

Zobacz również

Tekst otwarty nr 25/2020

Wpływ big data na rozwój systemów pomiaru efektywności przedsiębiorstw

Wpływ big data na rozwój systemów pomiaru efektywności przedsiębiorstw

Systemy pomiaru efektywności (ang. Performance Measurement Systems, PMS) powstały, aby ułatwić wdrożenie strategii biznesowych, monitorować i poprawiać alokację zasobów, umożliwić lepszą komunikację, zapewnić spójność między działaniami jej poszczególnych komórek organizacyjnych, a w konsekwencji wspomóc kierownictwo w poprawie efektywności całej organizacji. Cel ten miał być zrealizowany poprzez zbudowanie systemu mierników efektywności, zdolnego do dostarczenia kierownictwu kluczowych informacji dzięki usystematyzowanemu gromadzeniu, przetwarzaniu oraz analizie danych operacyjnych i strategicznych. Z tego też względu przez wiele dekad zastanawiano się, w jaki sposób zdefiniować mierniki efektywności i jakie ustalić dla nich wartości referencyjne, aby zapewnić ich zgodność z celami strategicznymi firmy, a także wskazać, w jaki sposób dzisiejsze decyzje wpłyną na przyszłą efektywność firmy. W rezultacie zbudowano różne systemy mierników efektywności, dashboardów oraz kart wyników wraz z powiązanymi celami do osiągnięcia i opartymi na nich systemami wynagradzania. Były one rozwijane centralnie, a następnie kaskadowane w dół organizacji.

Czytaj więcej
Tylko on-line nr 25/2020

Controlling wartości przedsiębiorstwa ‑ perspektywa włascicieli Cz. 1

Controlling wartości przedsiębiorstwa - perspektywa włascicieli Cz. 1

Opracowanie i realizacja strategii zapewniającej wzrost wartości przedsiębiorstwa jest coraz częściej jednym z głównych zadań zarządów firm. Właściciele oczekują, że wszystkie działania zarządu będą podporządkowane maksymalizacji wartości przedsiębiorstwa, jako inwestycji właścicieli i będą pozwalały właścicielom uzyskiwać szybki i oczekiwany zwrot z zainwestowanego kapitału. Mimo powszechnej akceptacji takiego zadania zarządu, wciąż brakuje jednoznacznych wytycznych, jakie działania i w jaki sposób ma konkretnie realizować zarząd, by rosła wartość przedsiębiorstwa i docelowo zwrot z inwestycji właścicieli.

Czytaj więcej

Przejdź do

Partnerzy

Reklama