()

Wstęp

Tak jak wspomniałem ostatnio, dziś wracamy do tematu audytu. Dziś powiem trochę o zbieraniu dowodów i obserwacji personelu. Troszkę też będzie o próbkowaniu i analizie danych audytowych, a na koniec, jak to zwykle, będzie raportowanie.Dowody w audycie

Zbieranie dowodów

Audytor musi wiedzieć, jakie techniki i metody wykorzystać, by zebrać dane do audytu. Poniżej przedstawię Ci listę takich metod i technik.

  • Struktura organizacyjna — audytor musi poznać strukturę organizacji wraz z opisem stanowiska w wypadku kluczowych pracowników. To pomoże mu zrozumieć, kto zarządza i do kogo się raportuje.
  • Przegląd departamentów i ich projektów — dokumenty te przedstawiają role i odpowiedzialności w poszczególnych działach w firmie: kto jakie ma przypisane role i jakie są do nich przypisane odpowiedzialności. Dotyczy to zarówno samego miejsca w dziale, ale też odpowiedzialności oraz roli w projekcie, który jest prowadzony.
  • Przegląd kontraktów i SLA — zewnętrzne kontrakty i SLA mogą dać pogląd na kulturę pracy w organizacji. Czy np. wszystko jest spięte tak, by nie było w razie problemu itd. Audytor musi jak najlepiej poznać organizację.
  • Przegląd polityk i procedur – audytor musi przejrzeć wszystkie polityki, procedury i dokumenty dotyczące procesów, które w jakikolwiek dotyczą danego audytu.
  • Analiza ryzykaprzegląd – tu chyba nie trzeba opisywać 🙂
  • Przegląd logów z incydentów — audytor powinien dostać wgląd do archiwum, w którym przetrzymywane są informacje dotyczące incydentów bezpieczeństwa, jakie miały miejsce w firmie.
  • Przegląd dokumentacji systemowej — Jeśli audyt dotyczy po części lub w całości jakiejś aplikacji, audytor musi otrzymać dokumentację tej aplikacji.
  • Odpytanie pracowników — Audytor powinien być w tym wypadku jak nauczyciel – chodzić po sali i wyłapywać kluczowych pracowników i ich odpytywać. Lecz nie konkretnymi pytaniami, a pytaniami otwartymi, by sprawdzić, jak w rzeczywistości wygląda praca. Jak to mówią, papier przyjmie wszystko, więc trzeba sprawdzić, czy wszystko wykonywane jest według tego papieru.
  • Pasywna obserwacja – w sytuacji, gdy spotkasz nieznajomego, zwykle podnosisz tarczę i nie zachowujesz się tak swobodnie, jakbyś to robił co dzień. Tak samo jest w wypadku audytu i audytora. Jest to obca osoba w organizacji i z początku się denerwujesz i stresujesz jej obecnością. I tak samo jak w życiu, tak samo z audytorem z czasem się oswajasz i opuszczasz gardę. Wtedy właśnie audytor może zobaczyć, jak naprawdę to wszystko wygląda w organizacji.

Obserwacja personelu

Zebranie i przeczytanie dokumentacji to nie wszystko. Musisz też sprawdzić użytkowników. Już wiele razy spotkałem się z podejściem, że procedura swoje, a użytkownik swoje, bo po swojemu coś można zrobić szybciej, sprawniej, lepiej etc.

Ale to jest zazwyczaj problemem, gdy nie ma kultury błędu w organizacji, ponieważ mimo że pracownik wie jak coś zrobić szybciej, lepiej, sprawniej to nie robi. Często omija polityki i chce to szybciej etc. a nie powie, że zna szybszy sposób i można by poprawić te polityki czy procedury

Zgodzę się, że czasem nie da się, ale w wielu przypadkach da się to zrobić i poprawić procesy, za czym idzie lepsza wydajność i mniej problemów. Ale wracając – poniżej lista tematów, na które trzeba zwrócić uwagę:

Lista

  • Doświadczenie — jako audytor powinieneś wypytać pracowników o ich doświadczenie zawodowe oraz poziom umiejętności w danej dziedzinie. Najlepiej byłoby, gdybyś miał CV, które by potwierdzało umiejętności oraz możliwość przetestowania tych umiejętności w jakiś sposób (lub odpytanie pracodawcy tego pracownika, czy na podstawie zadań, jakie wykonywał, można rzeczywiście stwierdzić, że ma on te umiejętności i doświadczenie). Ponieważ są ludzie, którzy mogą powiedzieć, że coś potrafią – a tak nie jest. Jest takie podejście “fake it till you make it”. Rozumiem je jak najbardziej, ale korzysta się z niego po to, by nabyć daną wiedzę. A nie w wypadku, gdy ktoś wykonuje jakiś zadanie od roku, ale go nie rozumie i do końca nie wie jak je wykonywać. Albo trzeba go przeszkolić raz jeszcze, albo zmienić mu pracę na coś innego.
  • Zadania — audytor powinien zobaczyć na żywo, jak wygląda wykonanie danego procesu. Musi porównać dokumentację z realiami. Czy to dokumentacja nie jest prawidłowo napisana, czy pracownik jej nie przestrzega i jaki jest tego powód.
  • Podział obowiązków — audytor musi sprawdzić, czy podział obowiązków jest odpowiedni, czy należy go zmienić i inaczej dostosować. Na przykład może nie być konta admina do wykonywania zadań administracyjnych i musi zostać ono utworzone. Lub też mamy nadpisywanie uprawnień bez wcześniejszego ticketa i tym podobne.
  • Edukacja bezpieczeństwa — i tu “najważniejsze” 🙂 Audytor musi sprawdzić, czy użytkownicy postępują zgodnie z procedurami bezpieczeństwa. Najlepiej będzie, gdy w losowych sytuacjach audytor będzie podpytywał jak wygląda procedura bezpieczeństwa w tym wypadku. Tak najłatwiej będzie sprawdzić, czy i w jaki sposób użytkownicy poznali procedury bezpieczeństwa w organizacji.

Próbkowanie

Nie wiem dlaczego, ale bardzo lubię to słowo 🙂 Próbkowanie trzeba zastosować wtedy, gdy nie możemy wziąć całości danego obszaru dla testów. Polega ono na wzięciu małego wycinka, z którego będzie można wywnioskować, jak działa całość. Poniżej opisze Ci parę przykładów metod próbkowania – tak, byś wiedział jak sobie z tym radzić 😉

Metody próbkowania

  • Próbkowanie statystyczne — jest to wybór losowej części całości, która da pogląd,ja k to wygląda w całości. Audytor również określa wielkość losowej próbki. Jest to wybierane zazwyczaj jako jakiś procent całości, dlatego jest równa szansa, że każde zdarzenie może trafić do próbki.
  • Niestatystyczne próbkowanie — audytor w tym wypadku wybiera próbkę na podstawie ryzyka.
  • Próbkowanie atrybutów — ta technika ma za zadanie określić, jak dużo z danej próbki ma określoną cechę, a jak dużo – nie. Dla przykładu, ile kont w ciągu ostatniego dnia miało incydent bezpieczeństwa, a ile nie.
  • Próbkowanie zmiennych — ta technika ma za zadanie statystycznie określić charakterystyczne punkty z danej populacji i również ma za zadanie odpowiedzieć, jak dużo z nich ma daną cechę.
  • Warstwowe próbkowanie — jeśli populacja jest podzielona na jakieś grupy względem ich wartości, wtedy próbki są brane z każdej takiej grupy i wyniki są przedstawiane albo dla całości, albo dla każdej grupy z osobna.
  • Próbkowanie wykrywające — jeśli audytor audytuje populację, w której jeden błąd stwarza wielkie ryzyko, korzysta właśnie z tej techniki. Technika ta ma za zadanie wykrycie choć jednego wyjątku spośród populacji.

Analiza danych audytowych

Analiza danych pomaga audytorowi wybrać większą próbkę danych, by przeanalizować, czy wprowadzone kontrole są odpowiednie i działają efektywnie. Dane takie mogą być wybrane przez oprogramowanie od Tkomp (podkreślę, że daję to jako przykład, najlepiej znaleźć oprogramowanie offline i takie, które nie łączy się z serwerami dostawcy, oraz przeczytać warunki korzystania z oprogramowania i te licencyjne. Dobrze przeanalizuj temat, zanim coś wybierzesz).

Pamiętaj, aby zabezpieczyć dobrze komputer, na którym będziesz analizował te dane, ponieważ są to dane wrażliwe. Zastosuj kontrole typu access control, kopia zapasowa, szyfrowanie i tak dalej.

Raportowanie wyników audytu

No i doszliśmy do kolejnego punktu, jakim jest raport. Raport z audytu to dokument, który zawiera wszystkie informacje na temat przeprowadzonego audytu. Co było w zakresie audytu, jakie kontrolki zostały przetestowane, opinia na temat efektowności kontroli, które zostały przetestowane oraz wszelkie rekomendacje, co można by poprawić.

Formaty raportów z audytu będą często podobne do siebie, ponieważ prawa czy standardy dotyczące danego standardu wymagają, by wyglądał on tak a nie inaczej. I tak jako audytor zostaniesz poproszony, by na spotkaniu o audycie powiedzieć o swoich znaleziskach 😉 Są różne metody przedstawiania audytu, ale poniżej chciałbym Ci przedstawić listę, co powinno się znaleźć w takim raporcie.

Lista

  • Zakres i cel
  • Kontekst
  • Podsumowanie
  • Opis
  • Lista systemów i procesów
  • Przesłuchania
  • Lista zebranych dowodów
  • Wyjaśnienie wybranej techniki próbkowania
  • Znajdźki i rekomendacje

Tu przykład raportu.

Podczas tworzenia takiego raportu audytor musi upewnić się, że bedzie on sprawiedliwy oraz rozsądny. Nie może być to tylko lista tego, co nie działało lub co było nieefektywne. Powinno się tam również znaleźć to, co się w danej organizacji dobrze sprawdza. Podczas pisania rekomendacji musisz też wziąć pod uwagę czas, jaki trzeba spędzić, by dane rozwiązanie wprowadzić.

Pamiętaj, że audyt jest często w cyklach rocznych, wiec mogą zdarzyć się sytuacje, w których nie będzie możliwe wprowadzenie danego rozwiązania tak szybko. Więc należy rozważyć, które spośród rekomendacji są w tym momencie na górze listy i które braki należy załatać w pierwszej kolejności.

Podsumowanie

Dziś dowiedziałeś się, na czym polega zbieranie dowodów do audytu. Na czym polega próbkowanie oraz jak należy obserwować personel pokładowy 😉 Podczas audytu na sto procent Ci się to przyda, niezależnie czy będziesz przeprowadzał audyt, czy też będziesz stroną odpytywaną 😉

Dziś również poznałeś metody próbkowania oraz czym jest samo próbkowanie. Dodatkowo wrzuciłem co nieco o analizie danych audytowych, a wisienką na torcie był raport z audytu. Na dziś zakończyliśmy temat audytu – wiem, że to niezbyt chodliwy temat, ale trzeba go poruszyć. Nie chciałbym, byś został bez wiedzy tylko dlatego, że temat jest niepopularny.

Pozdrawiam – Pusz

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Brak głosu. Kliknij proszę doceń moją prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić