23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

1

Proces audytu systemów informatycznych

1.

Zarządzanie złożonością problemu

Prowadzenie audytu systemów informatycznych jest procesem bardzo złożonym.

Poczynając od planowania badania, poprzez zebranie wystarczających dowodów, tworzenie

bieżąco dokumentacji audytowej, a kończąc na przekazaniu rekomendacji w raporcie

końcowym, audytor podejmuje profesjonalne osądy. Aby podejmowane przez niego decyzje

były trafne, konieczne jest zrozumienie kompleksowości badanego systemu, poziomu

istotności z punktu widzenia celów audytowych oraz uwzględnienia odpowiednich typów

ryzyka.

Pierwszym krokiem w zrozumieniu kompleksowości systemu

1

jest jego podział na

podsystemy(moduły). Podsystem należy rozumieć jako logiczny komponent głównego

systemu, który wykonuje określone funkcje na rzecz systemu głównego. Proces

dekompozycji systemu w podsystemy nazywany jest faktoryzacją(ang. factoring).

Faktoryzacja jest procesem, który kończy się w momencie uzyskania podsystemów

wystarczająco szczegółowych tak, aby mogły odrębnie zostać poddane badaniu. Istnieje wiele

metod wykorzystywanych podczas faktoryzacji systemu poddawanego badaniu. W ujęciu

ogólnym podział dokonywany jest w oparciu o strukturę organizacyjną przedsiębiorstwa(ang.

managerial functions). Poszczególne podsystemy uzyskiwane w wyniku dekompozycji,

korespondują z hierarchią organizacji wykorzystywaną podczas zarządzania technologią

informatyczną(tabela 1).

W ujęciu szczegółowym uwzględnia się elementy systemu poddawanego badaniu,

klasyfikując je ze względu na realizowane przez niego funkcje. Można zatem wyróżnić

podsystemy poprzez elementy brzegowe, wejściowe, komunikacyjne, przetwarzające itd.

Charakterystykę poszczególnych podsystemów w ujęciu szczegółowym prezentuje tabela 2.

1

Szczególnie w przypadku zintegrowanych systemów informatycznych.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

2

Tabela 1. Główne rodzaje podsystemów w oparciu o strukturę organizacyjną

Podsystem zarządzania.

Charakterystyka podsystemu.

Zarząd

(ang. Top Management)

Zarząd musi zapewnić, aby systemy informacyjne były poprawnie

zarządzane. Jest on odpowiedzialny przede wszystkim za

długoterminowe decyzje dotyczące tego, jak systemy informacyjne

będą wykorzystane w organizacji.

Zarządzanie systemami

informacyjnymi

(ang. Information systems

management)

Rozumiane jako ogólna odpowiedzialność za planowanie i kontrolę

wszelkich czynności wykonywanych przez system informacyjny. W

praktyce przekłada się na dekompozycję długofalowych planów

zarządu na krótkoterminowe cele do realizacji.

Zarządzanie rozwojem

systemów

(ang. Systems development

management)

Rozumiane jako odpowiedzialność za projektowanie, implementację i

utrzymanie systemów informatycznych.

Zarządzanie programowaniem

(ang. Programming

management)

Rozumiane jako odpowiedzialność za programowanie nowych

systemów, utrzymanie starych oraz ogólne wsparcie programowe.

Administrowanie danymi

(ang. Data administration)

Planowanie i kontrola aspektów związanych z kontrolą danych.

Zarządzanie zapewnieniem

jakości

(ang. Quality assurance

management)

Zapewnienie odpowiednio wysokich standardów w stosunku do

rozwoju, implementacji, przetwarzania i utrzymania systemów.

Zarządzanie bezpieczeństwem

(ang. Security administration)

Kontrola dostępu i fizyczne bezpieczeństwo związane z informacyjną

funkcją systemu.

Zarządzanie operacjami

(ang. Operations management)

Rozumiane jako odpowiedzialność za planowanie i kontrolę

codziennych operacji zachodzących w systemach.

Źródło: Opracowanie własne na podstawie Weber R., Information Systems Control and Audit, Prentice Hall, NJ
1999, s. 39.

W następnej kolejności, audytor zmuszony jest zidentyfikować wszystkie zdarzenia

zachodzące w danym podsystemie. Szczególną uwagę należy zwrócić na zdarzenia

niecelowe, którym podczas badania należy dokładnie się przyjrzeć. W celu identyfikacji tych

zdarzeń, należy w przypadku:



ujęcia ogólnego – podjąć decyzję co do określonych funkcji, jakie powinny być

realizowane w ramach danego podsystemu;



ujęcia szczegółowego – dokładnie zapoznać się z przebiegiem transakcji; często

wykorzystywane są tutaj „walk-through techniques”, które identyfikują elementarne

składniki podsystemu, biorące udział w przetwarzaniu transakcji z jednoczesnym,

dogłębnym zrozumieniem procesów zachodzących w danym elemencie podsystemu.

Po dokonaniu wystarczająco szczegółowej faktoryzacji, audytor musi dokonać oceny

istotności

2

. Sprowadza się to do ustalenia, co z punktu widzenia celów audytowych jest

istotne, a co nie. Ocena istotności umożliwia określenie priorytetów prac i zwiększenie

efektywności audytu. Obejmuje ona rozważenie wywieranego na organizację wpływu

2

Różnica w określania istotności w zależności od rodzaju audytu została zasygnalizowana w rozdziale drugim.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

3

błędów, zaniedbań, nieprawidłowości lub czynów niedozwolonych, które mogą wyniknąć ze

słabości kontroli w audytowanym obszarze

3

.

Tabela 2. Elementy, wedle których identyfikuje się podsystemy w ujęciu szczegółowym

Rodzaj elementu.

Charakterystyka podsystemu.

Elementy brzegowe(ang. Boundary)

Podsystem zawierający komponenty, które stanowią interfejs

pomiędzy użytkownikiem a systemem.

Elementy wejściowe(ang. Input)

Podsystem zawierający komponenty, które biorą udział w

przygotowywaniu, wprowadzaniu komend i danych do systemu.

Elementy komunikacyjne(ang.

Communications)

Podsystem zawierający komponenty, które transmitują dane

pomiędzy podsystemem a systemem głównym.

Elementy przetwarzające(ang.

Processing)

Podsystem zawierający komponenty wykorzystywane do
podejmowania decyzji, obliczeń, klasyfikacji, zamówień,

podsumowań danych w systemie.

Baza danych(ang. Database)

Podsystem zawierający komponenty, które definiują, dodają,

udzielają dostępu, modyfikują i kasują dane z systemu.

Elementy wyjściowe(ang. Output)

Podsystem zawierający komponenty, które odbierają oraz

prezentują dane użytkownikom systemu.

Źródło: Opracowanie własne na podstawie Weber R., Information Systems Control and Audit, Prentice Hall, NJ
1999, s. 39-40.

Podczas oceny istotności należy rozważyć

4

:



możliwy do zaakceptowania przez kierownictwo, audytora i odpowiednie organy

nadzorcze poziom błędów,



zdolność do kumulowania się małych błędów i słabości(tworzenie tzw. efektu

kumulatywnego).

Planując prace audytowe należy określić cele kontrolne i opierając się na istotności

ustalić, które mechanizmy kontrolne powinny być poddane badaniu.

W przypadku audytu informatycznego(choć nie tylko) mamy do czynienia z dwoma

rodzajami ryzyka. Pierwsze z nich(ryzyko w ujęciu ogólnym) skojarzone jest z audytowanym

obszarem i zostało omówione wcześniej. Drugi rodzaj ryzyka skojarzony jest z możliwością

fałszywego wyciągnięcia wniosków na skutek subiektywnego osądu, jakiego w badaniu

dokonuje audytor. Ten drugi rodzaj ryzyka nazywany jest ryzykiem audytu, na który składają

się elementy zaprezentowane na poniższym rysunku.

3

Forystek M., op.cit., s. 192.

4

Forystek M., op.cit., s. 192.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

4

Rysunek 1. Elementy wchodzące w skład modelu ryzyka audytu.

Ryzyko

audytu

(ang.
audit

risk)

=

Ryzyko

nieodłączne(wewnętrzne)

(ang. inherent risk)

Prawdopodobieństwo

wystąpienia strat

materialnych lub oszustw

wewnątrz środowiska

organizacji.

X

Ryzyko kontroli

(ang. control risk)

Prawdopodobieństwo, że

system kontroli

wewnętrznej nie wykryje

na czas błędów.

X

Ryzyko niewykrycia,

(przeoczenia)

(ang. detection risk)

Prawdopodobieństwo, że

zastosowane procedury

audytowe nie ujawnią

błędu, który może mieć

istotny wpływ na

analizowany obszar.

Źródło: Opracowanie własne na podstawie Hunton J.E., Bryant S.M., Bagranoff N.A., Core Concepts of
Information Technology Auditing, Wiley, 2004, s. 49.

M. Forystek

5

przedstawia definicję ryzyka nieodłącznego, stwierdzając, iż jest to podatność

na wystąpienie istotnego błędu, który sam lub w połączeniu z innymi błędami będzie miał

istotny wpływ na analizowany obszar, przy braku mechanizmów kontrolnych. Podczas

rozważania ryzyka nieodłącznego należy wziąć, według autora, pod uwagę następujące

kwestie:



wyniki oraz daty poprzednich audytów w danym obszarze,



poziom skomplikowania systemów,



podatność na utratę lub sprzeniewierzenie aktywów kontrolowanych przez system,



sytuacje, różniące się od codziennych działań, związanych z przetwarzaniem

danych(np. użycie systemów operacyjnych do wprowadzania zmian do danych).

Oceniając ryzyko nieodłączne, audytorzy biorą pod uwagę czynniki widoczne w najbliższym

otoczeniu danej organizacji, tj. branży, rodzaju zarządzania. Dla poszczególnych segmentów

uwzględniane mogą być analizy systemów rachunkowości, systemów strategicznych,

systemów, w których zachodzą krytyczne operacje czy najbardziej zaawansowanych

technologicznie systemów

6

.

Oceniając ryzyko kontroli związane z danym segmentem audytu, poddaje się pod

rozwagę wiarygodność oraz skuteczność mechanizmów kontrolnych występujących zarówno

po stronie systemów zarządzania, jak i programów komputerowych

7

. Dopóki odpowiednie

mechanizmy kontrolne nie zostaną jednoznacznie zidentyfikowane jako efektywne, ryzyko

kontroli należy traktować jako wysokie. Wysoki poziom ryzyka wewnętrznego oraz ryzyka

kontroli narzuca audytorowi konieczność zgromadzenia odpowiedniej ilości dowodów

audytowych.

5

Forystek M., op.cit., s. 194.

6

Porównaj tabela – Weber R., Information Systems Control and Audit, Prentice Hall, NJ 1999, s. 44.

7

Analogia do przeprowadzanej wcześniej faktoryzacji.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

5

Ryzyko niewykrycia jest odwrotnie proporcjonalne do wypadkowej ryzyka

nieodłącznego i ryzyka kontroli. Na przykład, jeżeli poziom ryzyka nieodłącznego i ryzyka

kontroli jest wysoki, to aby ograniczyć ryzyko badania do akceptowalnego, niskiego

poziomu, poziom akceptowalnego ryzyka przeoczenia powinien być niski.

2.

Etapy procesu audytowego

W literaturze przedmiotu można spotkać się z wieloma podejściami dotyczącymi

stricte procesu audytowego. Stowarzyszenie do Spraw Audytu i Kontroli Systemów

Informatycznych ISACA

8

proponuje uwzględnić w procesie audytu informatycznego cztery

główne kroki, w skład których wchodzą między innymi następujące zadania do wykonania:



szacowanie ryzyka i wstępne planowanie audytu,



zapoznanie się z audytowanym obszarem(zrozumienie natury procesów i ryzyka

poprzez wywiady i pozyskanie odpowiednich dokumentów),



szczegółowe planowanie audytu,



przeprowadzenie szczegółowych prac audytowych,



ocena zaplanowanych, przewidzianych mechanizmów kontrolnych pod kątem ich

adekwatności w stosunku do potrzeb,



ocena zgodności zastanej praktyki z planami i przewidywaniami,



przygotowanie i prezentacja raportu.

J.E Hunton, S.M. Bryant, N.A. Bagranoff

9

wymieniają w procesie audytowym takie

kroki, jak: planowanie, szacowanie ryzyka, przygotowanie programu audytowego, zbieranie

dowodów, formułowanie konkluzji oraz dostarczanie opinii poaudytowej. Weber R.

10

analogicznie, traktuje, proces audytowy jako sekwencję konkretnych kroków do

wykonania(patrz schemat blokowy przedstawiony na rysunku 2)

11

.

8

ISACA Audit Guidelines [cit. 2005-12-10], http://www.isaca.org.

9

Hunton J.E, Bryant S.M., Bagranoff N.A., op.cit., s. 209.

10

Weber.R., op.cit., s. 48.

11

Niektóre z elementów dotycząc stricte audytu finansowego, np. ograniczone testy dowodowe.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

6

Rysunek 2. Schemat blokowy reprezentujący proces audytowy według Webera

Źródło: Opracowanie własne na podstawie Weber R., Information Systems Control and Audit, Prentice
Hall, NJ 1999, s. 48.

W ogólnym uproszczeniu audyt można traktować jako proces składający się z poniższych

etapów:



przygotowania do badania, które uwzględnia w sobie m.in. planowanie badania oraz

opracowanie programu audytowego,



przeprowadzanie badania, uwzględniającego m.in. wszelkiego rodzaju testy

mechanizmów kontrolnych,



przedstawienie raportu końcowego z wykonanej pracy.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

7

2.1. Przygotowanie do badania

Standardy audytowania systemów informatycznych ISACA

12

, opisane wcześniej,

stanowią, iż audytor systemów informatycznych ma za zadanie opracować plan pracy audytu

systemów informatycznych w sposób zapewniający realizację celów audytu przy zachowaniu

zgodności z ogólnie panującymi standardami audytowania. W standardzie 050.010.020

dokładnie precyzuje się fazę planowania jako zadanie składające się z :



ustanowienia zakresu i celów badania z punktu widzenia pracy audytora,



wykonania wstępnego oszacowania mechanizmów kontrolnych pod kątem

zastosowania w procesach poddawanych audytowi,



zrozumienia organizacji, tj, zgromadzenia wiedzy na temat środowiska operacyjnego,

w tym finansowego organizacji, wszelkich rodzajów ryzyka wewnętrznego,

specyficznego dla danej branży,



zidentyfikowania zakresu zależności badanej organizacji od usług realizowanych

przez firmy zewnętrzne,



opracowania programu audytowego zawierającego wykaz specyficznych procedur,

które audytor będzie stosował w trakcie przeprowadzania badania,



opracowania i przedstawienia planu audytu wraz z wszelkimi niezbędnymi

materiałami wykorzystywanymi do ich opracowania.

Ze względu na fakt, iż w większości przypadków podczas rozpoczynania audytu

wiedza na temat poddawanego badaniu obszaru jest niepełna, zgromadzenie odpowiednich

informacji o organizacji, procedurach, regulaminach, ustawach, rozporządzeniach, procesach

oraz pracownikach, wykonujących określone zadania, jest niezbędna

13

. Główne źródła

pozyskiwania informacji można podzielić na

14

:



źródła pochodzące z audytowanego obszaru, tj. prezentacje własne jednostek,

schematy procesów, systemy samooceny, przegląd katalogów istniejących

12

ISACA Audit Guidelines, http://www.isaca.org. Standard 050.010„Planowanie Audytu”. Porównaj również

J.E Hunton, S.M. Bryant, N.A. Bagranoff, op.cit., s. 208.

13

Rodzaj oraz ilość zdobywanej wiedzy o organizacji uzależniony jest również od faktu, czy badanie

wykonywane jest przez audytorów zewnętrznych czy wewnętrznych. Różnice opisane są szczegółowo przez
Webera – Weber R., op.cit., s. 47. Porównaj również z National State Auditors Association and the U. S. General
Accounting Office A Joint Initiative, Management Planning Guide for Information Systems Security Auditing,
Grudzień 2001.

14

Nisbet A., Metodologia przeprowadzania audytu Citigroup, Materiały konferencyjne „IIA/ISACA

Konferencja 2000” http://www.isaca.org.pl, Grudzień 2000.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

8

problemów, wskaźniki jakości i wydajności, kluczowe trendy operacyjne i finansowe,

protokoły ze spotkań kierownictwa,



źródła pochodzące z działalności audytowej, tj. wyniki śledzenia procesu, notatki z

monitorowania działalności, problemy znajdujące się pod ścisłą obserwacją członków

zarządu, raporty dotyczące odstępstw od standardów, śledzenie wykonywanych

działań korekcyjnych, materiały robocze z poprzednich audytów, wyniki innych

audytów,



źródła zewnętrzne, tj. sprawozdania władz nadrzędnych, biuletyny informacyjne,

czasopisma.

Rysunek 3 przedstawia sekwencję zdarzeń, jaką ISACA zaleca, określając ogólne podejście

do procesu audytowego(etapu planowania).

Rysunek 3. Sekwencje zdarzeń podczas planowania audytu

Źródło: Opracowanie własne na podstawie ISACA Audit Guidelines, http://www.isaca.org [cit. 2005-10-
20] , s. 219.

Audytor gromadząc potrzebną wiedzę na temat organizacji, w celu opracowania planu

i programu audytu, poza zidentyfikowaniem podstawowego ryzyka oraz mechanizmów

kontrolnych, określa procesy i zasoby informatyczne podlegające audytowi. Kwestia

zdobywanej wiedzy uzależniona jest od charakterystyki badanej organizacji, jednakże przy

założeniu badania ZSI musi ona być bardzo obszerna i szczegółowa. Kompleksowość ZSI

wymaga od audytora zrozumienia wszelkich zdarzeń, operacji, transakcji zachodzących w

systemie i mogących mieć wpływ na przedmiot audytu. Jak widać na rysunku 3, w celu

zaobserwowania ustalonych procedur w organizacji stosuje się między innymi wstępne

wywiady mające na celu ustalenie osób kontaktowych, pomocnych podczas zbierania

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

9

dowodów audytowych. Gromadzenie dowodów może się również odbywać przy

zastosowaniu wszelkiego rodzaju kontrolnych kwestionariuszy, tzw. list kontrolnych

15

.

Dokumentami wyjściowymi, powstałymi w procesie planowania oraz będącymi

odpowiedzią na zlecenie audytu, są

16

:



zawiadomienie o audycie – przed rozpoczęciem audytu należy przygotować stosowne

pismo do osób odpowiedzialnych za obszary, które mają być poddane audytowi;

pismo powinno zawierać powołanie się na regulację umocowującą audyt, cel audytu,

zakres audytu, badany okres czasu, dane o personelu audytowym, daty rozpoczęcia i

zakończenia audytu, szczególne wymagania dotyczące prowadzenia audytu; w ramach

szczegółowych wymagań zawrzeć można prośbę o przesłanie lub wskazanie miejsca

przechowywania aktualnych wersji regulacji obejmujących badany obszar(schemat

organizacyjny, regulaminy, procedury),



szczegółowy plan audytu – w formie papierowej lub elektronicznej, zawiera listę prac

do wykonania, listę osób i innych zasobów wymaganych do wykonania prac,

harmonogram pracy i budżet,



formularze realizacji audytu,



program audytowy – określa krok po kroku zadania do wykonania, niezbędne dla

osiągnięcia celów audytu; powinien posiadać formę, która pozwala na określenie

pracy już wykonanej oraz pozostałej do wykonania(np. arkusz Microsoft Project) i

najczęściej występuje w postaci tabeli zawierającej numer referencyjny, zagrożenia,

cele/mechanizmy kontrolne, sposoby testowania, uwagi; program audytowy należy

modyfikować zgodnie z postępem w wykonywanych pracach audytowych,



wypełnione kwestionariusze,

15

Na podstawie Hunton J.E., Bryant S.M., Bagranoff N.A., op.cit., s. 63 oraz ISACA Audit Guidelines,

http://www.isaca.org [cit.2005-09-12], s. 219. Narzędzie w postaci kwestionariusza umożliwia audytorowi
zadawanie pytań dotyczących wewnętrznych mechanizmów kontrolnych stosownych do eliminowania zagrożeń
w aplikacjach, procesach oraz pytań ułatwiających identyfikację ryzyka związanego z dokonywaniem zmian w
organizacji oraz chociażby, z logicznym dostępem do danych. Przykładami pytań spotykanych w
kwestionariuszach są: 1) Czy, aby dokonać zmiany w organizacji, potrzebna jest odpowiednia autoryzacja? 2)
Kto wykonuje zadania objęte danym celem kontrolnym? 3) Gdzie i kiedy wykonywane są określone operacje? 4)
Na podstawie jakich danych wejściowych wykonywane są zadania? 5) Jakie są rezultaty działań? 6) Czy są
ustalone określone procedury dotyczące wykonywania danej operacji?. Do głównych zalet kwestionariuszy
można zaliczyć:



uwzględnienie konkretnych mechanizmów kontrolnych podczas określania ryzyka,



możliwość uzyskania pełniejszej informacji, poprzez porównanie różnych wersji udzielonych
odpowiedzi.

Kwestionariusze są również często stosowane podczas opracowywania diagramów odzwierciedlających
zachodzące operacje w badanej organizacji.

16

Na podstawie Forystek M., op.cit., s. 200-202, ISACA Audit Guidelines [cit.2005-10-23]

http://www.isaca.org, s. 219-220 oraz Hunton J.E., Bryant S.M., Bagranoff N.A., op.cit., s. 208-210.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

10



dokumentacja badanego obszaru(regulaminy, procedury, schematy przepływów).

W chwili osiągnięcia przez audytora wystarczającej wiedzy związanej z występującym w

organizacji czy w ZSI ryzykiem oraz mechanizmami kontrolnymi, następuje przejście do

drugiej fazy procesu audytowego. Etap ten – przeprowadzanie audytu - przedstawia się jako

ocenę wykrytych podczas planowania regulacji, kryteriów, ich efektywności oraz

skuteczności. Ocenie poddaje się również spójność stosowanej struktury kontrolni

wewnętrznej.

2.2. Przeprowadzanie badania

17

Standardowa procedura przeprowadzania badania składa się z czterech etapów: oceny

mechanizmów kontrolnych, oceny zgodności, dowodzenia ryzyka oraz określania osiągania

celów. Celem pierwszego etapu, tj. oceny mechanizmów kontrolnych, jest oszacowanie

mechanizmów kontrolnych pod kątem ich skuteczności i sprawności

18

. Oceny dokonuje się

poprzez weryfikację i analizę określonych regulaminów oraz procedur skorelowanych z

wymaganiami uznanymi powszechnie za wzorcowe. Ocena mechanizmów kontrolnych

przedstawiona jest na rysunku 46. Oceniając skuteczność mechanizmów kontrolnych należy

przyjąć za kryterium ich adekwatność do potrzeb i warunków, w jakich działa organizacja.

W zależności od skuteczności stosowanych przez organizację procedur kontrolnych,

następnym krokiem podczas przeprowadzania badania jest ocena zgodności(ang. compliance

testing), przedstawiona na rysunku 5, bądź wykonanie wzmocnionych, dodatkowych testów

dowodowych(ang. significant substantive testing).

17

Fragmenty rozdziału opracowano w znacznym stopniu na podstawie: ISACA Audit Guidelines [cit. 2005-11-

04], http://www.isaca.org, s. 219-221 oraz Forystek M. op.cit., s. 202-207.

18

Skuteczne i sprawne mechanizmy kontrolne to takie, które są efektywne kosztowo i dostarczają racjonalnego

zapewnienia, że cele kontrolne będą zrealizowane.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

11

Rysunek 4. Sekwencje zdarzeń podczas oceny mechanizmów kontrolnych

19

Źródło: Opracowanie własne na podstawie ISACA Audit Guidelines [cit. 205-10-25],
http://www.isaca.org, s. 220.

Celem pierwszej z możliwości jest ustalenie, czy zachodzi zgodność pomiędzy

ustalonymi mechanizmami kontrolnymi, a faktycznymi działaniami wynikającymi z procedur

formalnych i nieformalnych. W trakcie ustaleń sprawdza się, czy rzeczywiste procedury i

kompensacyjne mechanizmy kontrolne są skorelowane z procedurami ustalonymi w

pierwszym etapie audytu

20

oraz czy działania w nich określone wykonywane są w

usystematyzowany i ścisły sposób. Testowanie zgodności przedstawiono na rysunku 5.

Rysunek 5. Sekwencje zdarzeń podczas testowania zgodności

Źródło: Opracowanie własne na podstawie ISACA Audit Guidelines [cit. 2006-12-10,]
http://www.isaca.org , s. 220.

19

Przykładem próby dokonania oceny mechanizmów kontrolnych podczas audytu bezpieczeństwa sieci

teleinformatycznej jest weryfikacja, czy istnieje wykaz odpowiednich reguł dotyczących ruchu sieciowego,
uwzględniającego filtrowanie odpowiednich portów, aplikacji, protokołów itd. Przykładem firewall’a
realizującego wszystkie wymienione aspekty jest Microsoft ISA Server 2004. Weryfikacja ta musi określić
również osoby mogące dokonywać modyfikacji w konfiguracji ściany ogniowej.

20

Jest to bardzo istotny element, że badanie przeprowadza się w stosunku do ustanowionych mechanizmów

kontrolnych. Nie uwzględnia się mechanizmów kontrolnych, które powinny istnieć, a nie są stosowane w
organizacji.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

12

Konkluzję testowania zgodności stanowi dokumentacja, ustosunkowująca się do

poprawności i konsekwencji w stosowaniu ustalonych procedur mechanizmów kontrolnych

przez badaną organizację. Bazując na ustalonym poziomie istotności audytor określa poziom

stosownych, dodatkowych testów dowodowych, niezbędnych do uzyskania zapewnienia, że

proces kontroli jest adekwatny do potrzeb organizacji.

Celem wykonywania dodatkowych testów jest dostarczenie ostatecznego zapewnienia,

że mechanizmy kontrolne wspierają lub nie osiąganie celów gospodarczych

21

. Aby uzyskać

potrzebne dowody należy zastosować odpowiednie metody analityczne umożliwiające

między innymi selekcję materiałów źródłowych w poszukiwaniu dowodów wzrostu ryzyka

22

spowodowanego niewłaściwym funkcjonowaniem systemu kontroli

23

. Dodatkowe testy

przeprowadza się, gdy:



wykryto całkowity brak odpowiednich mechanizmów kontrolnych,



istniejące mechanizmy kontrolne uznane zostały za niewystarczające,



testy zgodności pokazują, iż mechanizmy kontrolne nie zostały odpowiednio

wdrożone.

Schemat blokowy przedstawiony na rysunku 6 prezentuje poszczególne kroki podczas

udowadniania ryzyka.

Udowadnianie ryzyka jest ostatnią fazą operacyjną w ramach etapu przeprowadzania

badania. Po jej zakończenia audytor analizuje zebrane dowody w celu przedstawienia

wniosków na temat skuteczności i efektywności istniejącego w organizacji systemu kontroli.

21

Forystek M., op.cit., s. 205. W wielu przypadkach pierwsze etapy audytu wykazują, że badany system kontroli

ma słabości, tzn. że stosowane mechanizmy kontrolne są niewystarczające lub, że ustanowione mechanizmy
kontrolne w praktyce nie działają lub że działają wadliwie. Pierwsza wada systemu kontroli powinna zostać
wykryta w trakcie I etapu badania – oceny mechanizmów kontrolnych, drugi z mankamentów powinien być
wykryty w trakcie II etapu badania – oceny zgodności.

22

Konieczne jest wykazanie relacji pomiędzy słabościami systemu kontroli a nie osiąganiem celów.

23

Faza, w której dokonuje się selekcji materiałów źródłowych w poszukiwaniu dowodów wzrostu ryzyka

spowodowanego niewłaściwym funkcjonowaniem systemu kontroli nosi nazwę fazy udowadniania ryzyka.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

13

Rysunek 6. Sekwencje zdarzeń podczas udowadniania ryzyka

Źródło: Opracowanie własne na podstawie ISACA Audit Guidelines [cit. 2006-12-10]
http://www.isaca.org, s. 221.

W celu określenia prawdopodobieństwa osiągnięcia zaplanowanych celów, audytor

ustosunkowuje się do

24

:



błędów struktury – na ile budowa systemu kontroli jest zgodna z uznanymi za

wzorcowe dobrymi praktykami i zapewnia efektywne i skuteczne działanie,



błędów realizacji – na ile prowadzone działania są niezgodne z wymaganiami

ustanowionego środowiska kontrolnego oraz



dowodów potwierdzających, że istniejące błędy wpływają na osiąganie przez proces

założonych celów.

2.3. Przygotowywanie raportu

25

Uwieńczeniem całego procesu audytowego jest przedstawienie przez audytora raportu

z wykonanej pracy. Podobnie jak w przypadku braku jednoznacznych standardów

określających, jak przygotowywać program audytowy, tak i w stosunku do procesu

raportowania nie ma dokładnych wytycznych określających, jak ma on wyglądać.

Sposób przygotowania raportu uzależniony jest ściśle od badanej jednostki oraz od

rodzaju audytu. W przypadku audytu wewnętrznego sposób ten powinien być jednoznacznie

opisany w regulaminach organizacyjnych dotyczących audytu. W przypadku audytu

zewnętrznego, regulacje dotyczące nie tylko procesu raportowania, ale i całego procesu

audytowego powinny zawierać się w umowie audytowej. Raport jest formalnym dokumentem

24

Forystek M., op.cit., s. 206.

25

Fragmenty rozdziału opracowano w znacznym stopniu na podstawie: ISACA Audit Guidelines

http://www.isaca.org, s. 219-221, Forystek M., op.cit., s. 202-207 oraz Huston J.E, Bryant S.M., Bagranoff N.A.,
op.cit., s. 212.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

14

przedstawiającym cele audytowe, wykonane prace, wnioski oraz rekomendacje. Stanowi on

główny produkt prac audytowych, poprzez który oceniani są audytorzy przeprowadzający

badanie

26

. Rysunek 7 przedstawia propozycje dotyczące struktury procesu raportowania

audytowego.

Rysunek 7. Proces przygotowywania raportu audytowego

Wybranie

spostrzeżeń.

Spotkanie

podsumowujące

Formułowanie

rekomendacji

Formułowanie

oceny

Raport wstępny

Uwarunkowania
Oszustwa
Zdarzenia
późniejsze
Ograniczenia

Spotkanie

końcowe

Opinia

kierownictwa

Raport końcowy

Źródło: Opracowanie własne na podstawie Forystek M, Audyt informatyczny, InfoAudit, Warszawa 2005,
s. 208.

Proces przygotowywania raportu rozpoczyna się od dokonania selekcji informacji,

uzyskanych o badanym obszarze, w celu wybrania spostrzeżeń mających znaleźć się w

raporcie. Wybrane spostrzeżenia powinny

27

:



być istotne z punktu widzenia przedmiotu audytu,



wynikać z wykrytych w czasie badania błędów i ich potencjalnej ważności w stosunku

do zaobserwowanych słabości w istniejących w organizacji mechanizmach

kontrolnych.

Zgodnie z zasadami zachowania jakości audytu

28

wybrane spostrzeżenia audytowe powinny

być bieżąco omawiane z kierownictwem jednostki audytowanej. Spotkanie podsumowujące

na zakończenie prac audytowych pomiędzy przeprowadzającym audyt a zarządzającym

jednostką audytowaną ma na celu

29

:



przekazanie kierownictwu badanego obszaru wyników przeprowadzanego audytu,



poddanie wstępnej dyskusji spostrzeżeń audytowych,



wstępne wyjaśnienie nasuwających się wątpliwości dotyczących badanego obszaru,

26

Konieczne jest zachowanie odpowiedniej formy raportu, sformułowań w nich używanych, tak, aby był on

zrozumiały dla kierownictwa badanej organizacji. Standard 070.010 ISACA (Forma i zawartość raportu)
stwierdza: „Zadaniem Audytora Systemów Informatycznych (Audytora SI) jest dostarczenie określonym
odbiorcom odpowiednio sformułowanego raportu dotyczącego wykonanych prac audytowych. Raport z audytu
ma przedstawiać obszar, cele, okres oraz rodzaj i zakres wykonanej pracy audytorskiej. Ma wskazywać badaną
organizację, odbiorcę raportu oraz wszelkie zastrzeżenia co do jego obiegu. Dodatkowo ma przedstawiać
wyniki, wnioski i rekomendacje oraz wszelkie opinie audytora wobec badanego obszaru.”

27

Forystek M., op.cit., s. 209.

28

Patrz COBIT Audit Guidelines [cit.205-12-10], http://www.isaca.org

29

Forystek M., op.cit., s. 209.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

15



umożliwienie przedstawienia nowych faktów mających wpływ na ustalenia audytu,



uzgodnienie realizacji najpilniejszych rekomendacji,



przyspieszenie procesu tworzenia planu realizacji rekomendacji,



wcześniejsze przygotowanie do realizacji zaleceń,



uniknięcie późniejszych wątpliwości i wadliwej interpretacji wyników audytu.

Na podstawie ustaleń wynikających z rozmów z kierownictwem jednostki badanej, audytor

formułuje rekomendacje, w których sugeruje się korekcyjne rozwiązania w stosunku do źle

działających mechanizmów kontrolnych. Podczas przygotowywania rekomendacji audytorzy

opierają się na analizach kosztów i korzyści zastosowania mechanizmów kontrolnych, ,

analizy SWOT, priorytetach działań oraz ewentualnych harmonogramach prac do wykonania

w ramach rekomendacji. Przypisywanie priorytetów prac uwzględnionych w rekomendacjach

przeprowadzane jest ściśle z uwzględnieniem takich kryteriów, jak oczekiwane korzyści i

łatwość wdrożenia proponowanych rozwiązań. Formułowanie przez audytora określonych

rekomendacji w stosunku do zastanego w badanej organizacji stanu mechanizmów

kontrolnych może mieć znaczący wpływ na wprowadzane przez organizację inicjatywy czy

projekty.

Reasumując, sformułowane rekomendacje muszą spełniać kilka warunków

30

:



muszą być opłacalne – koszt proponowanych mechanizmów kontrolnych w żadnym

wypadku nie może przekraczać wartości ewentualnych strat, co więcej – koszt nie

powinien przekraczać różnicy pomiędzy ryzykiem istniejącym a akceptowanym,



muszą być realizowalne – audytor nie może rozpatrywać badanego obszaru w

oderwaniu od wszelkich powiązań, współzależności itp.,



muszą być skuteczne – zalecenia muszą skutecznie zmniejszać ryzyko, a ich

wdrożenie nie może zmniejszać ryzyka w jednym obszarze, podwyższając go w

innym.

Jednym z elementów prezentowanych zarówno we wstępnym, jak i w końcowym

raporcie jest opinia audytowa. Międzynarodowe standardy przyjmują trzy główne rodzaje

opinii, podczas opracowania których bierze się pod uwagę między innymi takie czynniki, jak:

charakter analizowanych mechanizmów kontrolnych oraz ograniczenia systemu kontroli.

Pierwsza z nich to opinia bez zastrzeżeń(satysfakcjonująca)(ang. unqualified opinion),

występująca w przypadku braku jakichkolwiek zastrzeżeń odnośnie do zgodności

stosowanych mechanizmów kontrolnych z akceptowalnymi praktykami kontrolnymi.

30

Forystek M., op.cit., s. 209.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

16

Oznacza to, że według opinii audytora brak jest istotnych słabości, które mogłyby udaremnić

realizację celów kontrolnych. Kolejnym rodzajem opinii jest opinia z zastrzeżeniem(ang.

qualified opinion). Jak można przypuszczać, w tym wypadku analiza mechanizmów

kontrolnych wykryła pojedyncze luki(słabości) w istniejącym systemie kontroli, które wedle

audytora mogą stanowić zagrożenie, uniemożliwiające realizację celów kontrolnych. Trzecim

rodzajem opinii audytowej jest opinia negatywna, niesatysfakcjonująca(ang. adverse

opinion), wydawana w sytuacji, gdy analiza systemu kontroli wykryła słabości istotne z

punktu widzenia celów kontroli. Rodzą one wysokie prawdopodobieństwo wystąpienia

zagrożeń, które uniemożliwić mogą spełnienie celów kontrolnych. W praktyce spotyka się

również przypadki odmowy wyrażenia opinii(ang. disclaimer of opinion). Możliwe jest to

wtedy, gdy na podstawie przeprowadzonej pracy audytor nie jest w stanie wydać

jakiejkolwiek opinii(na przykład w przypadku braku możliwości zebrania odpowiednich

dowodów audytowych).

Kolejnym etapem procesu przygotowywania raportu audytowego jest przygotowanie

raportu wstępnego. Wytyczne ISACA 070.010.010 określają, co powinien zawierać, w

minimalnym zakresie, raport wstępny. Generalnie, powinien on jasno określać audytowaną

jednostkę, odbiorców raportu oraz wszelkie zastrzeżenia co do jego obiegu(klauzule

zastrzeżone, tajne). Do obowiązkowych elementów zalicza się

31

:

 nazwę badanej organizacji,

 tytuł, podpis oraz datę generowania raportu,

 określenie celów kontrolnych oraz stwierdzenie, że audytor wykonał zadanie, by

wyrazić opinię na temat ich skuteczności,

 stwierdzenie, że audyt nie jest przeznaczony do wykrywania wszystkich słabości w

procedurach kontrolnych w sposób ciągły w danym przedziale czasu, a testy

wykonane na procedurach kontrolnych oparte są na próbach,

 osoby upoważnione do zapoznawania się z raportem oraz zastrzeżenie

odpowiedzialności za wykorzystanie go do jakichkolwiek innych celów lub przez

jakąkolwiek inną osobę,

 zakres audytu z uwzględnieniem badanego obszaru, okresu czasowego, systemów

informatycznych itp.,

 wszelkie standardy użyte przez audytora podczas formułowania opinii,

31

ISACA Guidelines [cit.2005-12-15], http://www.isaca.org oraz Hunton J.E., Bryant S.M., Bagranoff N.A,

op.cit., s. 212 oraz Forystek M., op.cit., s. 211.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

17

 stwierdzenie, że utrzymanie skutecznej kontroli wewnętrznej jest obowiązkiem

kierownictwa,

 wyjaśnienia na temat czynników wpływających na dostarczone zapewnienie oraz, w

razie potrzeby, inne informacje,

 paragraf określający zastrzeżenia do wydanej opinii,

 opinię uwzględniającą wszelkie istotne aspekty, budowę i działania procedur

kontrolnych, ich skuteczność, w odniesieniu do obszaru badanej działalności,

 adnotację mówiącą, że ze względu na wbudowane ograniczenia

32

każdego systemu

kontroli, zawsze mogą wystąpić niewykryte nieprawidłowości.

Forma samego raportu wstępnego i końcowego jest dowolna, jednakże należy pamiętać, iż ma

ona być czytelna dla ostatecznego odbiorcy, którym jest kierownictwo badanej organizacji.

Proces przygotowywania raportu kończy się zaprezentowaniem raportu końcowego,

który posiada identyczną co do elementów treści formę, jak raport wstępny. Różnice

pomiędzy wstępną a końcową wersją polegają jedynie na tym, że:

 raport końcowy nie może ulec zmianie, w przeciwieństwie do raportu wstępnego

wzbogacanego o sugestie ze strony właściwych odbiorców,

 raport końcowy zawiera odpowiedzi kierownictwa jednostki badanej na spostrzeżenia

i rekomendacje audytowe.

Ważnym elementem procesu tworzenia raportów jest zachowanie odpowiednio

wysokiego poziomu bezpieczeństwa uwzględniającego obieg tak newralgicznego z punktu

widzenia organizacji dokumentu, jakim jest raport z przeprowadzonego badania. Szczególny

nacisk należy położyć na zapewnienie odpowiedniego dostępu do raportu jedynie osobom

zainteresowanym problemem. Dostęp powinien uwzględniać przypadki, w których zarówno

audytorzy, jak i reprezentanci jednostki badanej mają wgląd jedynie do elementów raportu im

32

Patrz Forystek M., op.cit., s. 213. Często w trakcie badania mogą wystąpić ograniczenia uniemożliwiające

audytorowi zebranie wystarczających dowodów. Fakt ten, wpływający na wzrost ryzyka, należy koniecznie
odnotować w raporcie. Prezentując informacje związane z ograniczeniami należy uwzględnić takie aspekty, jak:



istotę, harmonogram i przyczyny osłabienia niezależności i obiektywizmu,



kroki podjęte w celu zapewnienia, że obiektywizm nie został istotnie osłabiony w ciągu prac
audytowych i przygotowywania raportu,



fakt, że informacja o potencjalnym osłabieniu niezależności została przekazana komisji rewizyjnej lub
ekwiwalentnemu ciału.

Jeżeli podczas badania okaże się, że prawdopodobnie źle funkcjonują ogólne mechanizmy kontrolne(czyli
szwankuje organizacja podstawowych procesów zarządczych), wówczas audytor powinien przedstawić taką
opinię, nawet, jeśli tego typu zagadnienia nie były wyraźnie określone w uzgodnionym zakresie prac
audytowych.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

18

przeznaczonych

33

. Zabezpieczenie raportu przed niekontrolowanym dostępem oraz

jakimikolwiek zmianami jest szczególnie istotne w początkowej fazie jego tworzenia

34

.

Podczas przeprowadzania badania często mają miejsce zdarzenia, do których audytor

nie ma obowiązku odnosić się w swojej pracy. Forystek

35

zalicza do nich: zdarzenia

późniejsze(wynikłe) oraz oszustwa. Zdarzenia późniejsze to wszelkie zdarzenia mające

poważny wpływ na przedmiot badania, wynikłe później w stosunku do czasu lub okresu

badania, ale powstałe przed datą wydania raportu

36

. Oszustwo w ogólnym rozumieniu

zdefiniować można jako akt bezprawny mający na celu wprowadzanie w błąd

37

, udawanie

kogoś innego, manipulację, zafałszowanie lub zmianę danych lub dokumentów, tworzenie

pozorów bądź aranżowanie fałszywych instytucji, sytuacji. Wytyczne ISACA

38

, ujęte w

standardzie 030.010.010( Nieprawidłowości i akty bezprawne) jasno precyzują:

 co należy rozumieć pod pojęciem nieprawidłowości oraz działań niedozwolonych,

 jak planować badanie, aby wykrywać akty bezprawne,

 odpowiedzialność kierownictwa i audytora SI,

 procedury reagowania na wystąpienie nieprawidłowości lub aktów nielegalnych,

 sposób uwzględniania w raporcie informacji o nieprawidłowościach oraz działaniach

bezprawnych.

Uogólniając, audytor nie ponosi explicite odpowiedzialności za zapobieganie oraz

wykrywanie aktów bezprawnych. Niemniej jednak powinien projektować procedury do ich

wykrywania opierając się na oszacowanym poziomie ryzyka i możliwości ich wystąpienia.

Odkrycie takich działań wymaga szczególnie ostrożnego zachowania i podjęcia stosownych

kroków. Audytor systemów informatycznych powinien zawrzeć w raporcie opis zdarzeń i

okoliczności towarzyszących nieprawidłowości lub aktowi bezprawnemu. Spostrzeżenia

powinny być przedstawione odpowiedniemu kierownictwu, wyższemu niż to, które jest

uwikłane w sytuację uznaną za podejrzaną. Jeżeli uwikłane są wszystkie poziomy

33

Forystek M., op.cit., s. 213. Dostęp do raportu powinna mieć wyłącznie kadra kierownicza, audytorzy, którzy

są za niego odpowiedzialni, oraz wyznaczeni pracownicy.

34

Wykorzystywanie narzędzi elektronicznego przekazu rodzi niebezpieczeństwo niekontrolowanego dostępu.

35

Forystek M., op.cit., s. 212.

36

Tamże. Przed wydaniem raportu audytor powinien zasięgnąć u kierownictwa badanego obszaru informacji,

czy są świadomi jakichkolwiek zdarzeń powstałych po zakończeniu prac audytowych, które mogłyby mieć
poważny wpływ na przedmiot badania. Zgodnie ze standardami audytor nie ma obowiązku wykrywania tych
zdarzeń, niemniej jednak, zawsze powinien rozważyć zawarcie wzmianki o tego typu przypadkach w raporcie.

37

W odróżnieniu od oszustwa błąd oznacza niezamierzoną pomyłkę.

38

Standardy, wytyczne i procedury audytowania i kontrolowania systemów informatycznych [cit.2005-12-20],

http://www.isaca.org.pl , s. 20.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

19

kierownictwa, wówczas spostrzeżenia powinny być przedstawione organizacyjnym ciałom

regulującym, takim jak zarząd czy rada nadzorcza

39

.

Analizując oszustwa należy również uwzględnić ich ewentualne przyczyny, tj.

niezadowolenie pracowników, potencjalne ograniczenia zatrudnienia, outsourcing,

restrukturyzację, istnienie majątku łatwo podatnego na zmianę przeznaczenia, słabą

wydajność finansową/operacyjną organizacji, postawę kierownictwa, nieprawidłowości lub

akty bezprawne charakterystyczne dla konkretnej branży albo pojawiające się w podobnych

organizacjach. Akty bezprawne, masowo występujące w ostatnich czasach spowodowały, iż

temat oszustw, również, a może i przede wszystkim tych z użyciem komputerów stanowi

obiekt zainteresowań audytorów oraz innych instytucji. Zdarzenia mające miejsce w ostatnich

latach wpłynęły na rozszerzenie odpowiedzialności audytora co do detekcji oszustw podczas

badania

40

.

Szczególnym przypadkiem przeprowadzania audytu jest audyt śledczy mający na celu

wykrycie przestępstw związanych z funkcjonowaniem i użytkowaniem systemów

informatycznych. Audytor w tym miejscu występuje jako organ wykonawczy, działający na

zlecenie np. prokuratury.

3.

Komputerowe techniki wspomagania audytu

41

Istnieją dwa podejścia do prowadzenia badania w środowisku informatycznym:

audytowanie obok komputera(ang. auditing around the computer) oraz audyt z użyciem

komputera(ang. auditing with computer). Zarówno pierwsza, jak i druga metoda ma na celu

ciągłe zwiększanie efektywności oraz podnoszenie jakości badań.

Audyt obok komputera(ang. auditing around the computer) dotyczy przypadków, w

których audytor bada informacje wejściowe i wyjściowe systemu informatycznego, ale nie

39

Standardy, wytyczne i procedury audytowania i kontrolowania systemów informatycznych [cit. 2005-12-29],

http://www.isaca.org.pl, s. 23. Audytor powinien używać profesjonalnego osądu, kiedy informuje o zajściu
nieprawidłowości lub aktu bezprawnego. Audytor SI powinien przedyskutować spostrzeżenia oraz naturę, czas i
obszar jakichkolwiek dalszych procedur z kierownictwem odpowiedniego poziomu. Szczególnie ważnym jest,
aby audytor SI zachował niezależność. Określając odpowiednie osoby, którym raportować nieprawidłowość lub
działania bezprawne, audytor SI powinien uwzględnić prawdopodobieństwo uwikłania także najwyższego
kierownictwa. W sytuacjach, gdy od audytora SI jest wymagane ujawnienie potencjalnych lub
zidentyfikowanych nieprawidłowości lub aktów bezprawnych, powinna być najpierw zaciągnięta opinia prawna.

40

Chodzi o afery w takich instytucjach jak Enron, Global Crossing, Adelphia, WorldCom, Tyco(patrz w dalszej

części pracy Ustawa Sarbanes-Oxley). Patrz Champlain J.J., op.cit., s. 268-274. Autor przedstawia metody
detekcji oszustw zaistniałych z użyciem komputerów. Na podstawie przeprowadzonych badań zarówno
praktycznych, jak i literaturowych postuluje on 13 kroków mających na celu wykrycie oszustw
komputerowych(ang. e-crime, cybercrime, etc).

41

ISACA 060.020.070 “Use of Computer assisted Audit Techniques”, [cit. 2006-10-28], http://www.isaca.org

oraz Forystek M., op.cit., s. 214-239, Hunton J.E., Bryant S.M., Bagranoff N.A., op.cit., s. 177-207.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

20

testuje bezpośrednio procesu przetwarzania. Oznacza to, że audytor prowadzi badanie tak,

jakby w badanej jednostce nie były wykorzystywane systemy informatyczne. Jeśli badane

elementy są przechowywane wyłącznie w systemie informatycznym, audytowanie wokół

komputera wymaga, aby były drukowane różnorodne dokumenty, dzienniki, księgi i

sprawozdania. Może to być kosztowne i czasochłonne. Ponadto, audytowanie wokół

komputera można stosować, jeśli audytor ma pewność, że przygotowane wydruki

odzwierciedlają rzeczywiste dokumenty

42

.

Pod pojęciem audytowania z komputerem, które jest często nazywane w praktyce

komputerowymi technikami i narzędziami wspomagania audytu(ang. computer assisted audit

tools and techniques(CAATs)) rozumie się wszelkiego rodzaju programy, techniki bądź

narzędzia komputerowe, które wykorzystywane są przez audytora podczas procedur

audytowych do przetwarzania danych przechowywanych w systemach informatycznych

badanej jednostki. Narzędzia CAATs mogą być wykorzystywane do przeprowadzania wielu

rodzajów procedur audytowych, chociażby

43

:



testowania szczegółów transakcji i sald – dla ponownego przeliczania zysków lub do

wybrania z zapisów komputerowych faktur z określoną wartością,



procedur analitycznych – dla identyfikacji niespójności przetwarzania,



próbkowania,



testowania mechanizmów kontroli ogólnej – dla testowania konfiguracji systemu

operacyjnego lub procedur dostępu do funkcji, kodu lub danych, weryfikacji

poprawności sumowania lub kontroli sensowności danych,



testowania mechanizmów kontroli w systemach informatycznych.

Generalnie, komputerowe narzędzia wspomagania audytu można podzielić na dwa

rodzaje

44

:



narzędzia zwiększające wydajność w codziennych pracach audytorskich, do których

zalicza się wszelkiego rodzaju elektroniczną korespondencję/dokumentację

45

,

narzędzia zarządzania dokumentami

46

, narzędzia pracy grupowej

47

, branżowe

42

Porównaj Weber. R., op.cit., s. 56. Forystek M., op.cit., s. 219. Autor prezentuje przypadki, w których

stosować można audytowanie wokół komputera. Wymienia między innymi niski poziom ryzyka wewnętrznego,
wsadowe przetwarzanie transakcji i inne.

43

Forystek M., op.cit., s. 221 za Międzynarodowymi Standardami Rewizji Finansowej.

44

Załącznik 2 prezentuje przykłady narzędzi wykorzystywanych do zautomatyzowania poszczególnych etapów

prac audytowych.

45

Porównaj możliwości J.E.Hunton, S.M.Bryant, N.A. Bagranoff, op.cit., s. 181-182.

46

Wszelkie oprogramowanie umożliwiające w trybie on-line zarządzanie dokumentami z uwzględnieniem

chociażby kontrolowanego dostępu do tych dokumentów, śledzenia zmian i różnic.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

21

biblioteki danych z informacjami na temat danych branż, technologii, organizacyjnych

procedur etc.,



uniwersalne narzędzia audytowe, jak ACL

48

, systemy eksperckie, narzędzia

statystyczne

49

, oprogramowanie użytkowe.

W przypadku komputerowych technik wspomagania audytu, wyróżnić można również dwa

podzbiory, tj:

 CAATs potwierdzające integralność programów komputerowych – tj. testy

integralności, symulacje równoległe

50

, test decks

51

,

 CATTs weryfikujące integralność danych - wszelkiego rodzaju techniki

umożliwiające ekstrakcję i analizę danych, wykrywanie oszustw komputerowych czy

techniki audytowania ciągłego

52

.

Mówiąc o narzędziach sprawdzających integralność programów komputerowych, audytorzy

weryfikują przede wszystkim poprawność działania funkcji oraz procedur zawartych w

programach komputerowych. Weryfikacja polega na ustaleniu, czy programy umożliwiają

wykonanie nieprawidłowych operacji w sposób zamierzony bądź przypadkowy przez

użytkownika. Najpopularniejsze techniki wykorzystywane w tym zakresie to testowanie

przez

dane

53

oraz

wspomniane

przetwarzanie równoległe. Ważnym rodzajem

47

Patrz narzędzia czołowych firm jak: IBM(http://www.ibm.com), Microsoft(http://www.microsoft.com),

Oracle(http://www.oracle.com), Citrix(http://www.citrix.com).

48

ACL Service LTD, http://www.acl.com, http://www.skg.pl/acl , ACL™ to preferowane narzędzie audytorów i

osób zawodowo związanych z zarządzaniem finansami. Wykorzystywane jest we wszystkich rodzajach
audytów: finansowym, operacyjnym i informatycznym. Oprogramowanie stosowane jest do pobierania danych,
ich analizy, wykrywania oszustw oraz ciągłego monitorowania. W ACL możliwe są: 1. Szybka i wydajna
analiza danych, niezależna od działów IT. 2. Analiza danych transakcyjnych, zapisanych w plikach o dowolnych
rozmiarach, celem zapewnienia kompatybilności danych i wysokiej jakości wyników. 3. Tworzenie
przejrzystych raportów – projektowanie, podgląd i modyfikacja wyników na ekranie z wykorzystaniem
formatowania typu „przeciągnij i upuść”. 4. Identyfikacja trendów, wykrywanie wyjątków i wybór
potencjalnych obszarów zainteresowania. 5. Lokalizacja błędów i możliwych nadużyć poprzez porównanie i
analizę plików zgodnie z zadanymi kryteriami. 6. Identyfikacja obszarów kontroli i zapewnienie zgodności ze
standardami. Programy uniwersalne, jak ACL, umożliwiają stosowanie funkcji ułatwiających wykonanie: testów
kompletności i sensowności, testów luk i dublujących się wartości, analizy regresji, analizy statystyk, kojarzenia
transakcji(patrz załącznik 3).

49

Wszelkiego rodzaju narzędzia typu GASP(ang.Generalised Audit Software Programs), które umożliwiają

wykonywanie statystycznych analiz na danych jednostki badanej. Przykładem najczęściej spotykanych narzędzi
może być Microsoft Excel wchodzący w skład pakietu Microsoft Office, Statistica czy wspominany wcześniej
ACL.

50

Technika stosowana w trakcie wdrażania nowego systemu(modułu), który ma zastąpić dotychczas używane

rozwiązanie. Audytor symuluje we własnym systemie oraz systemie badanym proces przetwarzania pewnego
zbioru danych. Następnie porównuje wyniki obu systemów. Ich identyczność oznacza poprawność
przetwarzania.

51

http://www.indiainfoline.com/bisc/acct.html [cit. 2005-07-20], w kontekście audytowym, zbiór symulowanych

transakcji, które audytor inicjuje w systemie informatycznym w celu sprawdzenia poprawności przetwarzania.

52

Definicja podana w dalszej części pracy.

53

Porównaj tę i inne narzędzia w Forystek M., op.cit., s. 214-239.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

22

oprogramowania wspomagającego audyt są aplikacje do śledzenia i mapowania

54

. Posługując

się oprogramowaniem do śledzenia i mapowania audytor SI powinien uzyskać potwierdzenie,

że oceniany kod źródłowy posłużył do wygenerowania oprogramowania, które w chwili

obecnej jest używane.

Ważną kategorią narzędzi wspomagających audyt informatyczny są narzędzia

wykorzystywane do testowania infrastruktury teleinformatycznej, będącej de facto podstawą

wszystkich rozwiązań teleinformatycznych, w tym ERP. Do narzędzi wykorzystywanych

podczas testowania infrastruktury teleinformatycznej zaliczyć można wszelkiego rodzaju

skanery bezpieczeństwa, analizatory sieci, eksploratory oraz monitory sieci. Skanery

bezpieczeństwa mają na celu wyszukiwanie określonych luk(nieprawidłowości) w badanym

środowisku poprzez porównanie wewnętrznie wbudowanej, wzorcowej polityki z aktualnym

stanem panującym w testowanym środowisku

55

. Spotyka się skanery zewnętrzne oraz

wewnętrzne, gdzie testujący odpowiednio bada daną infrastrukturę z zewnątrz bądź od

wewnątrz. Analizatory sieci służą przede wszystkim do analizowania ruchu w sieci,

szczególnie pod kątem przesyłu poufnych informacji „jawnym tekstem”. Eksploratory sieci

przedstawiają topologię sieci, tj, połączenia pomiędzy wszystkimi, głównymi elementami

sieci teleinformatycznej. Monitory sieci są złożonymi programami komputerowymi, które

obecnie posiadają funkcjonalność zarówno skanera, analizatora, jak i eksploratora.

Wszystkie narzędzia wykorzystywane do testowania infrastruktury sieci

teleinformatycznej podzielić można na narzędzia hackerskie oraz administracyjne. Pierwsze z

nich nie wymagają autoryzowanego dostępu do badanej infrastruktury, a ich użycie musi

zostać zaakceptowane przez najwyższe kierownictwo badanej organizacji. Drugie z kolei,

wykorzystywane są nie tylko przez audytorów, ale i również przez administratorów

infrastruktury. Do ich poprawnego użycia potrzebne są przywileje administratora i najczęściej

wykorzystywane są one do testowania wewnątrz badanej organizacji.

Korzystanie z komputerowego wspomagania audytu powinno być uzależnione od

wielu czynników. Forystek wymienia między innymi

56

:

 biegłość i doświadczenie w zakresie stosowania narzędzi komputerowych,

 dostępność odpowiednich narzędzi informatycznych oraz odpowiednich urządzeń i

danych komputerowych,

54

http://www.isaca.org.pl [cit. 2005-07-25], Standardy, wytyczne i procedury audytowania i kontrolowania

systemów informatycznych, s. 58.

55

Skanowanie może dotyczyć systemów operacyjnych, baz danych, systemów ochrony antywirusowej,

elementów sieciowych.

56

Forystek M., op.cit., s. 235.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

23

 przewagę w skuteczności stosowania ewentualnych CAATs nad technikami

manualnymi,

 ograniczenia czasowe,

 zgodność własnych rozwiązań z badanym środowiskiem komputerowym,

 poziom ryzyka, związanego ze stosowaniem tych narzędzi.

Wykorzystanie narzędzi CAATs podczas badania powinno być realizowane wedle określonej

procedury, analogicznej do wdrożenia innych systemów IT. Rysunek 50 przedstawia dziesięć

kroków, które mogą stanowić jej trzon.

Ponieważ zbiory danych, z których korzysta audytor podczas badania, stanowią w

większości przypadków wewnętrzną tajemnicę jednostki badanej, korzystanie z narzędzi

CAATs wymaga od audytora uzgodnienia z audytowanymi wszelkich szczegółów

dotyczących ich wykorzystania. Ustalenia dotyczyć mogą formatów danych wejściowych,

personelu, zasad dostępu do funkcjonujących w organizacji narzędzi IT, okresu

przechowywania przez audytora danych. Jeżeli korzystanie przez audytora z narzędzi

wspomagających audyt może wpłynąć negatywnie na czynności operacyjne danej organizacji,

należy ten fakt bezwzględnie ustalić z odpowiednim wyprzedzeniem. Ważnym aspektem

korzystania z narzędzi CAATs jest kwestia bezpieczeństwa przetwarzanych w nich danych.

Audytor decydując się na komputerowe wsparcie audytu, zmuszony jest zachować

odpowiednio wysoki poziom bezpieczeństwa, integralności i poufności danych

57

.

57

Powinno się uwzględnić poziom bezpieczeństwa narzucony przez właściciela danych, czyli badaną

organizację, określony w polityce bezpieczeństwa informacji oraz w innych regulacjach prawnych, np. ustawa o
ochronie danych osobowych.

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

24

Rysunek 8. Procedura wykorzystania narzędzi CAATs

Krok 1.

Ustanowienie celów audytowych podczas planowania

audytu oraz szacowania ryzyka.

Krok 2.

Zindetyfikowanie narzędzi CAATs, które mogą być

przydatne w osiągnięciu celów audytowych.

Krok 3.

Określenie zbiorów danych, plików bądź innych

elementów potrzebnych ze strony jednostki badanej.

Krok 10. Dokumentowanie badania (

z uwzględnieniem

wykorzystania narzędzi CAATs).

Krok 9.

Zgromadzenie potrzebnych dowodów audytowych.

Krok 8. Przeprowadzenie zaplanowanych analiz przy pomocy

wybranych narzędzi CAATs

Krok 7.

Sprawdzenie integralności danych po procesie importu

do narzędzia CAATs

Krok 6. Zaimportowanie danych do systemu(

narzędzia)

analizującego typu CAATs.

Krok 5.

Uzyskanie potrzebnych danych w określonym formacie

ze strony jednostki badanej.

Krok 4.

Określenie formatu/ów potrzebnych danych.

Źródło: Opracowanie własne na podstawie Hunton J.E., Bryant S.M., Bagranoff N.A., Core concepts of
information technology auditing, John Wiley & Sons, 2004, s. 185.

Należy mieć świadomość, iż w wyniku korzystania z narzędzi CAATs ilość dowodów

audytowych może być znacząca. Audytor decydujący się na ich wykorzystanie powinien

dokonywać ich przeglądu pod kątem np. realności danych wyjściowych oraz logiki i

parametryzacji związanej z przetwarzaniem. Standard ISACA 060.020.070 stanowi, że opis

zawarty w raporcie końcowym nie powinien być nadmiernie szczegółowy, lecz ma umożliwić

rozpoznanie użytych w badaniu narzędzi CAATs. Opis użytych narzędzi CAATs powinien

być również umieszczony w części raportu dotyczącej konkretnych przypadków ich użycia.

Techniki i narzędzia komputerowego wspomagania audytu dają szerokie możliwości

usystematyzowania i automatyzacji prac audytowych. Efektem tej automatyzacji jest

opracowanie metody, która umożliwia audytorom dostarczanie pisemnej opinii na dany

temat(dotyczący celu audytowego), używając określonego zbioru raportów, dzienników

audytowych tworzonych ad hoc. Literatura przedmiotu nazywa tę metodę audytowaniem

23 listopada
2009

AUDYT SYSTEMÓW INFORMATYCZNYCH

Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl

25

ciągłym(ang. continuous auditing)

58

. Audytowanie ciągłe oznacza w praktyce zbudowanie

określonego systemu monitorowania zdarzeń, opartego o profesjonalne narzędzia CAATs,

reagującego w momencie zajścia zdarzenia dotyczącego danego celu audytowego

59

.

Zanim audytowanie ciągłe stanie się powszechne, konieczne jest sformułowanie

odpowiedzi na następujące pytania

60

:



jak zautomatyzowane procedury audytowe mogą odpowiednio i szybko określić

naturę, terminowość i zakres procedur dowodowych?



czy procedury dowodowe będą wymagane, jeśli ryzyko kontroli będzie oceniane

nisko?



jak natura przedmiotu audytu i potrzeba ciągłego audytowania wpłyną na sposób

ustalania ważności rekomendacji i pożądanego poziomu ryzyka audytowego?



jak audytorzy mogą skutecznie korzystać z narzędzi audytowych i technik, które nie są

używane zbyt często w tradycyjnych audytach sprawozdań finansowych?



czy obiektywizm audytorów zewnętrznych może być znacząco osłabiony, gdy do

systemów audytowanej jednostki będą wbudowane automatyczne narzędzia

audytowe?



jak wiedza, umiejętności i praca audytorów wewnętrznych mogą być bardziej

efektywnie wykorzystywane do automatyzowania procesów audytowych?

58

Patrz Institute of Internal Auditors Research Foundation, Continuous Auditing: Potential for Internal

Auditors, http://www.theiia.org , 2003.

59

W przypadku systemów ERP można często korzystać z wbudowanych mechanizmów stanowiących

poszczególne elementy systemu zintegrowanego w celi ewidencji zdarzeń, automatycznego powiadamiania
audytora i administratora danego systemu.

60

Forystek M., op.cit., s. 239.