Jak przeprowadzić Audyt

utworzone przez | lis 19, 2021

()

Wstęp

Ostatnio zaczęliśmy temat audytu, a dziś będziemy go kontynuować. Poruszę parę ciekawych tematów, wiec zapraszam Cię do lektury. Znajdziesz na pewno coś dla siebie. Nawet jeśli nie cały artykuł, to zajrzyj w spis treści, on zaprowadzi Cię tam, gdzie chcesz dotrzeć. Jak przeprowadzić Audyt

A dla wszystkich, którzy chcą się zapoznać z całą treścią. Przygotujcie, proszę, kawkę i ciasteczka, bo znowu będzie trochę tego tekstu do przewertowania ;).

Czym jest ocena środków zaradczych

Zaadresowanie ryzyk, które wykryliśmy podczas analizy ryzyka, jest załatwiane poprzez wprowadzenie jednego bądź wielu środków zaradczych. Środkami zaradczymi mogą być na przykład jakieś małe zmiany w procedurze bądź w procesie.

Może się również zdarzyć, że trzeba będzie wprowadzić jakieś duże środki zaradcze, na przykład trzeba będzie stworzyć całkiem nową procedurę albo wprowadzić jakąś inną kontrolę. Zaraz opiszę Ci typy oraz rodzaje kontroli, dzięki temu będzie Ci łatwiej objąć całość i będziemy mogli przejść jeszcze dalej.

Środki zaradcze to różnej maści kontrole, które musisz wprowadzić (jak opisałem powyżej). Kolejność wprowadzania kontroli do danych procesów będzie zależała od poziomu ryzyka, jakim są obarczone konkretne procesy.

Niektóre kontrole będą mniej znaczące, drugie – bardziej. Musisz też wziąć pod uwagę, że wprowadzenie i wykonanie jakiejś kontroli może wymagać więcej bądź mniej czasu.

Zawsze też należy określić koszt wprowadzenia danego środka zaradczego, by nie przekraczał on zysków z danego przedsięwzięcia. Ale to już opisywałem wiele razy w poprzednich artykułach. Wiec jeśli nie widziałeś, zajrzyj do poprzednich artykułów. Tam zobaczysz, jakiego podejścia do tego zagadnienia potrzebujesz.

Kontrole i ich klasyfikacja

Kontrole to polityki, procedury, systemy, mechanizmy i wszelkie inne. Pozwalają zminimalizować ryzyko jak również osiągnąć zamierzony wynik w stosunku do ryzyka (tzn. na przykład obniżenie ryzyka do akceptowalnego).

Wprowadzane przez firmę kontrole są po to, aby upewnić się, że procesy biznesowe będą funkcjonować prawidłowo, będzie dało się uniknąć problemów bądź je naprawić oraz uda się zminimalizować ryzyko. W firmach kontrole są tworzone w dwojakim celu.

Pierwszy to taki, aby wszystkie zdarzenia odbywały się po kolei. To tak, jak przy tworzeniu produktu: najpierw mamy metal, który później jest wytłaczany, a na koniec obrabiany. Od tego mamy procedury i polityki. A drugim celem jest to, aby jakieś zdarzenie się nie wydarzyło. Na przykład, by ktoś nie wsadził palca do maszyny. Tu mamy procedury typu BHP.

Mamy trzy typy kontroli, które opiszę Ci poniżej.

Typy kontroli

  • Fizyczne — Jak sama nazwa wskazuje, są to wszelkie typy fizycznej kontroli. Takie jak na przykład karty dostępu do biura czy też nagrywanie osób wchodzących do biura.
  • Techniczne — Możesz usłyszeć, jak ktoś nazywa je kontrolami logicznymi. To też prawidłowa ich nazwa. Taką kontrolą może być na przykład logiczne wydzielenie sieci poprzez stworzenie VLAN. Czy też poprzez szyfrowanie lub kontrole dostępu do komputera.
  • Administracyjne — Tutaj mamy polityki i procedury, które nakazują zachowywanie się w konkretny sposób bądź zabraniają jakiegoś zachowania. Dla przykładu może być tu Polityka BYOD, czyli polityka przynoszenia własnego sprzętu do pracy na rzecz pracodawcy. Są tam zawarte informacje, co wolno, a czego nie. Co jest pod kontrolą pracodawcy, a co nie itd.

Rodzaje kontroli

Typy kontroli dzielą się dalej na różne rodzaje kontroli. Poniżej dostaniesz ich listę jak na tacy 😉

  • Zapobiegawcze — Jak sama nazwa wskazuje, te kontrole mają za zadanie działać przed wydarzeniem i jeszcze przed ich wystąpieniem im zapobiec. Najprostszym przykładem, który można przedstawić jest ten, który każdy zna. Czyli blokada na ekranie logowania, gdzie musisz podać login i hasło bądź inaczej potwierdzić tożsamość, by dostać się do systemu.
  • Wykrywające — Ten rodzaj kontroli odpowiada za zapisanie wszelkiej maści zdarzeń – tych pozytywnych i tych negatywnych. Nie może ona w żaden sposób wpływać na zdarzenia. Ma za zadanie jedynie ich zarejestrowanie.
  • Powstrzymujące — Te kontrole mają przekonać napastnika, że jednak nie warto atakować tej organizacji, że jednak tutaj dobrze pilnują. Tu przykładem może być ochroniarz na dole w portierni, który będzie sprawdzał osoby wchodzące do biur. I osoba chcąca się dostać do biura będzie musiała pokazać na przykład dowód i będzie musiała się wpisać na listę.
  • Poprawiające — Ten rodzaj występuje wtedy, gdy po zaistniałym zdarzeniu wprowadzamy jakieś środki zapobiegawcze automatyczne lub ręczne. Mają one za zadanie poprawić proces i nie dopuścić do tego, by zdarzenie miało ponownie miejsce.
  • Rekompensujące — Jest to rodzaj kontroli, w którym nie może być zastosowana jakaś inna kontrola, która normalnie powinna mieć tu miejsce. Załóżmy, że nie możemy z jakiegoś powodu zamontować kontroli dostępu do biura za pomocą karty. W tym momencie kontrolą rekompensującą tę kontrolę będzie osoba siedząca za biurkiem sprawdzająca osoby wchodząca do biura oraz kamera, która będzie rejestrować twarze osób wchodzących. Nie mówię, że któraś z nich jest lepsza lub gorsza, ale może się zdarzyć, że z przyczyn technicznych, biznesowych bądź ekonomicznych nie będzie można danego rodzaju kontroli wprowadzić.
  • Odzyskujące — Jest to rodzaj kontroli, który pozwala przywrócić system do stanu sprzed wystąpienia incydentu. Na przykład wykorzystanie jakiegoś narzędzia do pozbycia się wirusa z systemu. Czy też polityka DRP.

Kontrole również można podzielić jeszcze na dwie kategorie: automatyczne i ręczne.

Przeprowadzanie audytu

Troszkę wstępu już było i sporo się dowiedziałeś o audycie, ale w sumie jeszcze nie było o tym, jak się go przeprowadza. Więc teraz tym się pomalutku zajmiemy. Nie martw się, będzie co czytać. A ja będę miał o co pytać, bo to nie taki prosty temat, jak się wydaje. Ale mam nadzieje, że przejdziesz go wraz ze mną i będziesz dalej rozwijał siebie i swoją wiedzę.

Audyt to powtarzalny proces, w którym to specjalista czy inna osoba przeprowadza kontrole, przesłuchuje personel (śmiesznie to brzmi, ale audytor jest jak śledczy, więc i przesłuchuje). Taki specjalista musi też uzyskać dowody na potwierdzenie zaimplementowanych kontroli oraz musi te dowody przeanalizować. Na koniec musi napisać opinię na temat tego, czy dana kontrola spełnia wymagania, czy jednak nie.

Audytor nie może sobie ot, tak zacząć audytu i go prowadzić po omacku. Musi go odpowiednio zaplanować. Tak jak generałowie przygotowują się do wojny, tak i audytor musi stworzyć plan, aby audyt przebiegł poprawnie. Poniżej dostaniesz listę tego, co powinno zawrzeć się w takich przygotowaniach.

Sam ostatnio coraz częściej tworze pisemne plany i coraz lepiej wygląda moja wydajność, do tej pory wykonywałem swoje plany sprawnie i przed czasem. Ale od kiedy zacząłem te plany spisywać i odhaczać sobie, co już mam zrobione, zaczęło to iść jeszcze szybciej.

Zawsze wątpiłem w checklisty i plany, bo byłem sobie w stanie takie plany robić w głowie, ale odkąd zacząłem je zapisywać, widzę znaczący postęp i głowa też jest swobodniejsza. Więc polecam ten sposób wszystkim niedowiarkom.

Lista planu audytu

Tak jak wspomniałem wyżej, zaraz opiszę Ci, co powinien zawierać taki plan audytu.

  • Cel — Audytor wraz z organizacją, która jest audytowana, musi ustalić, po co ten audyt jest w ogóle potrzebny. Najczęściej będzie to z powodu wymagań prawnych bądź regulacyjnych. Jak już wielokrotnie powtarzałem, mało kto, a wręcz prawie nikt nie poddaje się audytowi, jeśli to nie jest konieczne. Ale trzeba wspomnieć, że audyt może być też przeprowadzony po to, by sprawdzić, czy po poprzednim audycie zostały poprzez audyt wewnętrzny zaadresowane i zaaplikowane wszystkie znajdźki. I czy przy kolejnym audycie wszystko będzie ok.
  • Zakres — Jak powyżej. Audytor z organizacją, która jest audytowana, musi ustalić, co wchodzi w zakres audytu. Może się to różnić znacząco od poprzedniego razu, więc za każdym razem trzeba to ustalić. Bardzo często cel audytu będzie określał też jego zakres, ale nie jest tak w każdym wypadku. Zakres można np. ograniczyć do danej technologii, miejsca geograficznego czy też tylko do jednego procesu biznesowego. Tak więc, jak wspomniałem, za każdym razem należy ustalić zakres audytu.
  • Analizę ryzyka — By przeznaczyć odpowiednią ilość zasobów i uwagi w odpowiednich miejscach, audytor musi zapoznać się z poziomem ryzyka w zakresie, którym będzie zajmował się podczas audytu. Audytor powinien mieć wgląd na ryzyko z dwóch perspektyw. Pierwszą jest pogląd na ryzyka z całego zakresu, który będzie audytowany, by zaaplikować odpowiednie zasoby. A drugą – audytor powinien znać relatywne ryzyka dotyczących poszczególnych aspektów z zakresu. Czyli powinien mieć zarówno ogólną analizę względem wszystkich ryzyk w danym zakresie, jak i konkretną listę dla każdego podpunktu z zakresu. (Mam nadzieje, że napisałem zrozumiale – jeśli nie, napisz mi w komentarzu)
  • Procedurę audytu — Zarówno cel, jak i zakres pozwolą określić procedurę, jaka będzie potrzebna, by przebrnąć przez audyt. Na przykład przy zdobywaniu dowodów może być potrzebna konkretna technika bądź też może być wymagany konkretny rozmiar próbki (o nich będzie poniżej albo w kolejnym artykule, jeśli się nie zmieszczę to wstawię tu link do kolejnego artykułu). Może też być tak, że potrzebny jest audytor ze specyficznymi umiejętnościami i to będzie się też zawierać w procedurze audytu – że do tego zadania potrzebujemy specjalnego gościa.
  • Zasoby — Audytor – gdy ma już wszystkie powyższe dane – musi określić następnie, jakie zasoby będą mu potrzebne, by wykonać takowy audyt. Na przykład w wypadku zewnętrznego audytu firma, która jest audytowana, może mieć przeznaczone środki na wykonanie tego audytu i nie może ich przekroczyć. Audytor musi policzyć, ile godzin zajmie mu taki audyt i jakiego rodzaju umiejętności będzie on wymagał. Może też się zdarzyć, że będą potrzebne specjalistyczne narzędzia do zebrania czy też przeanalizowania informacji, które również mogą powodować zwiększenie kosztów. Je również trzeba wliczyć.
  • Harmonogram — Równie ważny punkt, jak wszystkie powyższe. Audytor musi stworzyć sobie harmonogram, w którym to określi, jak długo zajmie mu wykonanie danego audytu. Musi pamiętać, że będzie musiał zebrać dane, przeprowadzić wywiad, przeanalizować to wszystko i zdać raport. Może być też ustalona konkretna data, do której audytor musi wykonać audyt. W wypadku, gdy ta data jest zbyt krótka, trzeba iść i wynegocjować dłuższą – tak, by nie było sytuacji, w której coś nie przeszło audytu, bo limit czasowy był tak krótki, że 25% danych nie dało się przeanalizować.

Typy audytu

Jak wspomniałem już wielokrotnie, celem audytu zazwyczaj jest zapewnienie regulacji bądź zgodności z prawem. Dlatego też mamy różne typy audytów. Za pomocą celu i zakresu możemy określić, który z poniższych typów audytów będzie przeprowadzany.

Lista typów audytów

  • Operacyjny — Ten rodzaj audytu jest sprawdzeniem, czy kontrole do systemów informacji, kontrole bezpieczeństwa i kontrole biznesowe są wdrożone i efektywne. W tym audycie będziesz skupiał się na sprawdzeniu kontrolek znajdujących się w zakresie twojego audytu.
  • Finansowy — Tutaj przeprowadzamy audyt poprzez sprawdzenie księgowości firmy, ich procesów oraz procedur.
  • Zintegrowany — Ten audyt polega na połączeniu obu powyższych tak, aby dać pogląd audytorowi na całość. Ten audyt, tak samo jak finansowy, sprawdzi procesy i procedury, ale również zajmie się aplikacjami do obsługi tych procesów. Każda organizacja ma księgowość, która ma bazy danych, systemy operacyjne, komputery itp. I to wszystko zostanie sprawdzone.
  • Systemów informacyjnych — Audyt ten będzie sprawdzał wszystkie działy zajmujące się systemami informacyjnymi. Będzie sprawdzał, czy IT spełnia zadania biznesowe organizacji. Sprawdza wszystkie procesy zajmujące się systemami informacji, jak jest dostarczana usługa. Będzie też sprawdzał zarządzanie zmianą, konfiguracje, zarządzanie bezpieczeństwem, DLC (Development lifecycle) czy też relacje biznesowe i zarządzanie dostawcami. Będzie to pełen aspekt zarządzania systemami informacji, ich kontrole i czy są efektywne, oraz czy spełniają wymagania. A i zapomniałem wspomnieć o zarządzaniu incydentami. Sam teraz pracuje nad pakietem, który ma pomagać firmie w zarządzaniu incydentami bezpieczeństwa, ale to się pojawi za jakiś czas, tak że ciiicho sza 😉
  • Administracyjny — Ten rodzaj audytu sprawdza efektywność operacyjną firmy.
  • Zgodności — Audyt ten ma za zadanie sprawdzić zgodność z danym prawem, regulacją bądź standardem czy z jakąś wewnętrzną kontrolą. Na przykład, gdy chcemy uzyskać certyfikację z rodziny ISO, musimy wziąć autoryzowanego zewnętrznego audytora, by sprawdził, czy jesteśmy zgodni z zakresem wybranej certyfikacji.
  • Kryminalistyczny — Ten rodzaj audytu jest wykonywany w wypadku potrzeb prawnych. Zazwyczaj takim audytem zajmuje się specjalista od kryminalistyki i przeprowadza go w odpowiedni sposób. Myślę, że kiedyś poruszę ten temat, bo jest to skomplikowana rzecz, wszystko musi być wykonane w specyficzny sposób, ponieważ może być dowodem w sądzie. Przez co musi być zapewniona niezaprzeczalność co do tego, jak został zdobyty dowód, jak i przez kogo został zrobiony audyt itd. Ale, tak jak wspomniałem, jest to gruby temat i zapewne poruszę go w innym artykule.
  • Sprzeniewierzenia/Kradzieży — Ten polega na znalezieniu sprzeniewierzenia, kradzieży czy też innych niezgodności biznesowych.
  • Dostawcy Usług — Tutaj mamy jego audyt dostawcy zewnętrznego w przypadku, gdy korzystamy z outsourcingu. Opis zagadnień związanych z outsourcingiem masz w dwóch poprzednich artykułach i tam Cię odsyłam art1, art2
  • Wstępny — Ostatnim na liście, ale nie wiem, czy nie powinien być na początku, jest audyt wstępny. Ma on za zadanie sprawdzić procesy biznesowe, systemy informacji itd. Ma sprawdzić wszystko przed audytem, który nastąpi, by znaleźć przynajmniej część tematów, które trzeba będzie poprawić. By już przed audytem głównym się nimi zając. Dodatkowo pomoże to przewidzieć, czy przejdzie się główny audyt, czy jednak jest sporo do nadrobienia. Należy zrobić najpierw audyt wstępny, zanim podejdzie się do audytu głównego. To może pomóc na przykład przy certyfikacji do ISO. I oszczędzić na audycie, jeśli we wstępnym zauważono, że i tak nie dałoby się przejść głównego pozytywnie.

Możemy wydzielić tutaj również w powyższych typach dwie kategorie, czyli audyt wewnętrzny i zewnętrzny. Wszystkie z powyższych mogą być wykonane jako audyty wewnętrzne, czyli wykonane przez personel w firmie. W wypadku zewnętrznego zostanie on wykonany przez osoby z zewnątrz.

Metodologia audytu

Metodologia audytu to lista procedur, którą należy wykonać, by osiągnąć cel audytu. Organizacje, które przechodzą audyty często bądź będą przechodzić audyty często, powinny stworzyć metodologię takiego audytu.

Poniżej wylistuję Ci fazy takiej przykładowej metodologii:

  • Temat audytu — Określ procesy biznesowe, systemy informacji i zakres audytu.
  • Cel audytu — Określ cel audytu, na przykład zgodność ze standardem.
  • Typ audytu — Określ typ audytu – powyżej masz listę 🙂
  • Wstępny plan audytu — Ustal lokalizacje, listę aplikacji, personelu do wywiadu, technologie każdej z aplikacji, jakie są polityki, standardy , wymagania oraz informacje o procesach biznesowych wspieranych przez aplikacje.
  • Deklaracja — Opis celu, zakresu, czasu, jak i kosztu audytu
  • Procedury audytu — Za pomocą zebranych informacji zrób procedurę określającą listę osób do przepytania, listę dokumentacji, listę narzędzi niezbędnych do audytu, próbkowanie i metodologię próbkowania. Określ, gdzie i jak będziesz przechowywać dowody. Oraz jak zaraportujesz znajdźki.
  • Plan komunikacji — Należy stworzyć plan, jak będziesz informował współ-audytora oraz firmę audytujacą podczas audytu.
  • Przygotowanie raportu — Musisz zrobić plan, jak zostanie przygotowany raport. Jaki będzie jego format, co będzie zawierał oraz jak będzie wyglądała lista znalezisk, które uda się odkryć podczas audytu.
  • Podsumowanie — Musisz zaplanować, jak zostanie dostarczony raport. Musisz zaplanować spotkanie, by omówić raport, który zostanie przedstawiony oraz by uzyskać feedback odnośnie audytu od organizacji audytowanej. Wysłać fakturkę, jeśli to był audyt zewnętrzny. Upewnić się, że całość dokumentacji jest zarchiwizowana, by móc do niej wrócić w razie potrzeby i pozbyć się jej, gdy to będzie konieczne lub przyjdzie na to czas.
  • Kontakt w sprawie naprawy podatności — Po jakimś czasie powinieneś skontaktować się z audytowaną organizacją, by dowiedzieć się, czy podatności zostały zaadresowane bądź jaki wygląda postęp w tej kwestii.

Dowody w audycie

Bardzo ważną kwestią w audycie są dowody, czyli informacje zebrane podczas przeprowadzania audytu. Audytor musi też wiedzieć, jakiego rodzaju dowody pomogą mu znaleźć jakieś podatności w firmie oraz jak będą one mogły pomóc we wprowadzeniu środków zaradczych.

Audytor podczas audytu będzie musiał zebrać różnej maści dowody, między innymi swoje obserwacje, notatki, jakie robił, wszelką korespondencję. Poza tym jeszcze będzie musiał zebrać potwierdzenia od innych audytorów, pełną dokumentację procedur oraz procesów.

Podczas zbierania dowodów audytor musi zwrócić uwagę na charakterystykę danego dowodu – będzie ona nadawać mu wagę i niezawodność.

Poniżej wymienię Ci, co będzie wpływać na wagę danego dowodu.

  • Uzyskanie dowodu od niezależnej grupy — Waga danego dowodu na pewno będzie zależała od tego, czy został on przedstawiony przez audytowaną jednostkę, czy też przez jakąś grupę zewnętrzną. Zawsze w wypadku, gdy będzie to jakaś grupa zewnętrzna, będzie to miało wartość. Dla przykładu wyniki finansowe przedsiębiorstwa mają większą wartość wtedy, gdy są przekazane przez bank niż gdy są przekazane przez samo przedsiębiorstwo.
  • Wykwalifikowanie osoby, która dostarcza dowód — Waga dowodu będzie też miała większe znaczenie wtedy, gdy zostanie on dostarczony przez osobę wykwalifikowaną w danej dziedzinie. Zwłaszcza widać to przy aspektach technicznych. Dla przykładu – jasne będzie, że dowody od osoby pracującej na stanowisku sieciowca będą miały większą wagę, niż dowody od osoby nietechnicznej – zakładając, że dowody dotyczą połączeń sieciowych.
  • Obiektywność — obiektywność dowodu również wpływa na jego wagę. Dla przykładu dużo większą wartość będą miały logi niż opis czy opinia osób z firmy audytowanej.
  • Odpowiedni czas — Trzeba też wziąć pod uwagę okres, za który chcemy uzyskać dany dowód. Niektóre logi nie są przechowywowane zbyt długo – dla przykładu mogą posłużyć logi z DHCP.

Wszystko z listy powyżej to oczywista oczywistość, ale należy je wymienić, bo jednak komuś mogły nie przyjść do głowy.

Podsumowanie

Dziś poruszyłem kwestie kontrolek, powiedziałem coś o audycie, pokazałem Ci plan audytu oraz jego metodologię. Poznałeś też typy audytu. Myślę, by kolejny artykuł był trochę mniej techniczny z mniejszą ilością mięsa. Ale później wrócimy do tematu i dowiesz się jeszcze co nieco więcej o dowodach, o próbkowaniu, o ocenie personelu, analizie danych i o samym raportowaniu. Tak więc czekaj na kolejny artykuł, a za ten daj 5 gwiazdek, jeśli Ci się podobało.

Pozdrawiam – Pusz

The form you have selected does not exist.

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić

468

Funkcja trackback/Funkcja pingback

  1. Dowody w audycie - PushSec - […] danych pomaga audytorowi wybrać większą próbkę danych, by przeanalizować, czy wprowadzone kontrole są odpowiednie i działają efektywnie. Dane takie…

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *