PRZYKŁAD AUDYTU SYSTEMU INFORMATYCZNEGO

PRZYKŁAD AUDYTU SYSTEMU INFORMATYCZNEGO

Założenia

Na wykonanie zadań z zakresu audytu systemów informatycznych zarezerwowano w planie rocznym audytu 60 dni roboczych. Stanowi to 480 godzin, z których 40 godzin jest przeznaczonych na prace przygotowawcze, a 40 godzin - na sporządzenie raportu końcowego. Przyjęto, że w zarezerwowanym limicie czasu można przeprowadzić cztery audyty. Wybrane przez audytora obiekty audytu, dla których zostanie ocenione ryzyko, są ukazane w tabeli.

Obiekty audytu informatycznego

NUMER OBIEKTU TEMAT ZADANIA AUDYTOWEGO
Obiekt 1 Ocena procedur zakupu sprzętu i oprogramowania
Obiekt 2 Ocena zgodności działania systemów informatycznych z przepisami prawa
Obiekt 3 Ocena bezpieczeństwa danych w systemach informatycznych
Obiekt 4 Ocena zarządzania projektami informatycznymi
Obiekt 5 Ocena technik dokumentowania systemów informatycznych
Obiekt 6 Ocena zarządzania kadrą obsługującą systemy informatyczne
Obiekt 7 Ocena funkcjonowania infrastruktury informatycznej
Obiekt 8 Ocena zarządzania ryzykiem informatycznym
Obiekt 9 Ocena funkcjonowania systemów operacyjnych i sieci
Obiekt 10 Ocena zarządzania kosztami przedsięwzięć informatycznych

Rozwiązanie

W celu wyboru obiektu audytu została wykorzystana macierz ryzyka, w której:

a) określono wagi dla najistotniejszych kategorii ryzyka,

b) przyznano poszczególnym kryteriom według osądu audytora punkty w skali od 1 do 5,

c) wytypowano obiekty audytu o największym ryzyku w wyniku przemnożenia poszczególnych wag przez liczbę punktów dla każdej kategorii i dla każdego rodzaju decyzji; przy czym dla uśrednienia wartość tę podzielono przez 15 (3 rodzaje decyzji x 5-stopniowa skala punktów).

Z przeprowadzonych obliczeń wynika, że audytor przeprowadzi badanie dla czterech obiektów audytu o największym ryzyku, co jest wykazane w macierzy ryzyka przedstawionej w tabeli . Do obiektów tych należą:

• obiekt 10 „Ocena zarządzania kosztami przedsięwzięć informatycznych",

• obiekt 2 „Ocena zgodności działania systemów informatycznych z przepisami prawa",

• obiekt 1 „Ocena zakupu sprzętu i oprogramowania",

• obiekt 3 „Ocena bezpieczeństwa danych w systemach informatycznych".

Tabela Macierz ryzyka służąca do wyboru obiektów audytu

Obiekty

audytu

Kategorie ryzyka
Krótkoterminowe Średnioterminowe

Finansowe

Operacyjne

Wagi 0,5 0,3
10 5 5
2 5 4
1 4 4
3 4 3
4 4 3
8 3 2
6 3 2
7 2 1
5 1 1
9 1 1

Poziom ryzyka w 5-stopniowej skali: 1 - niski, 2 - średni, 3 - ponadśredni, 4 - wysoki, 5 – bardzo wysoki

Źródło: Opracowanie własne.

Aby prawidłowo funkcjonować, przykładowa jednostka powinna opracować jednoznaczną politykę w zakresie analizy ryzyka. Wymaga to wyznaczenia:

• celów organizacji dotyczących zarządzania ryzykiem systemów informatycznych,

• akceptowanego poziomu ryzyka w zakresie systemów informatycznych,

• zasad i metodyki oceny ryzyka,

• osób odpowiedzialnych za zarządzanie ryzykiem,

• mechanizmów eliminowania ryzyka.

Po zakończeniu etapu wstępnego audytor przeprowadza badanie właściwe systemów informatycznych według faz, takich jak:

• ocena skuteczności mechanizmów kontrolnych w odniesieniu do systemów informatycznych,

• określenie zgodności faktycznych działań z ustalonymi mechanizmami kontrolnymi,

• przeprowadzenie testów oceny efektywności mechanizmów kontroli,

• sformułowanie wniosków o skuteczności i efektywności systemu kontroli.

Rozpoczynając badanie, należy przeprowadzić analizę problemów związanych z projektowaniem, wdrażaniem i użytkowaniem systemów informatycznych. Czynności audytorskie w tym zakresie powinny sprowadzać się do zebrania informacji na temat strategii i planów w zakresie technologii informacyjnej, polityki i procedur bezpieczeństwa systemów, przechowywania danych, zasad nabywania i wdrażania systemów, praw autorskich oraz zasad zarządzania zasobami. Następnie audytor powinien ustalić obowiązki właścicieli poszczególnych zasobów informatycznych i ocenić sposób ich wykorzystania w aspekcie zgodności z przepisami państwowymi lub branżowymi. Do zadań audytora należy również ocena wykorzystania umiejętności informatyków zatrudnionych w jednostce. Wszelkie oceny stanu rzeczywistego są dokonywane za pomocą testów przeglądowych i testów zgodności, które stwarzają podstawy do sformułowania pozytywnej lub negatywnej oceny efektywności zarządzania systemami informatycznymi oraz stosowanych dla nich procedur kontrolnych. Jak już wspomniano w rozdziale 5, przy przeprowadzaniu testów zgodności stosuje się określone techniki, takie jak: obserwacja, rozmowa, analiza, weryfikacja, powtórzenie czynności czy badanie dokumentów. Typowe dokumenty wykorzystywane w audycie systemów informatycznych są przedstawione w tabeli.

Tabela Dokumenty stosowane w audycie informatycznym

Grupy dokumentów Rodzaje dokumentów

Obserwacja procesów i

inwentaryzacja zasobów

materialnych

* Spis zewnętrznych nośników danych i sposób ich przechowywania

* Działania podejmowane przez ochronę budynku

* Obserwacja ruchu osobowego

* System bezpieczeństwa pomieszczeń komputerowych podczas działania

Dowody

dokumentacyjne

* Protokoły usunięcia danych

* Zapisy transakcji

* Wydruki treści programów

* Dokumenty magazynowe, przewozowe, faktury

* Wyciągi z rejestrów kontrolnych, dziennika operacji użytkownika

* Dokumentacja systemu

Świadectwa

reprezentujące

* Opisy stosowanych polityk i procedur informacyjnych

* Schematy systemu informatycznego

* Pisemne lub ustne oświadczenia dotyczące funkcjonowania systemu informatycznego

Analizy

* Analizy porównawcze kosztów działania struktur informatycznych w stosunku do podobnych rozwiązań stosowanych w innych organizacjach

* Porównanie wskaźników błędów między aplikacjami czy transakcjami

*Analiza trendów wydajności systemów informatycznych

Zródlo: Opracowanie na podstawie: M. Forystek, Audyt informatyczny, InfoAudit, Warszawa 2005, s. 196.

Po przeprowadzeniu testów wszelkie informacje o nieskutecznych lub nie-wydajnych strukturach lub mechanizmach kontrolnych wraz z rekomendacjami usprawnień powinny znaleźć się w końcowym raporcie z audytu.

Przykład realizacji zadania audytowego w zakresie bezpieczeństwa systemów informatycznych

Założenia

W szkole wyższej audytor wewnętrzny w celu wyboru zadania audytowego przeprowadził analizę ryzyka w zakresie systemów informatycznych. W wyniku przeprowadzonej oceny stwierdził, iż największym zagrożeniem dla prawidłowego funkcjonowania tych systemów jest nieprzestrzeganie zasad utrzymania ich bezpieczeństwa. Świadczą o tym głównie braki w zakresie:

• pisemnych procedur dotyczących fizycznego i logicznego dostępu do danych,

• planów awaryjnych na wypadek wystąpienia zagrożeń.

Rozwiązanie przykładu

Dla realizowanego zadania audytor opracował program, którego struktura została zaprezentowana w tabeli .

W programie audytu został wyznaczony termin narady otwierającej, której zadaniem jest przedstawienie pracownikom jednostki celu audytu oraz założeń organizacyjnych w zakresie jego realizacji. Po odbyciu narady otwierającej został opracowany protokół, którego zawartość w zakresie zadania audytowego jest przedstawiona w tabeli.

Tabela Program zadania audytowego

„Ocena bezpieczeństwa systemów informatycznych"


Wyszukiwarka

Podobne podstrony:
5 Systemy informatyczne przyklady ppt
System informatyczny lasów państwowych zagadnienia i przykładowe pytania, TABELA DO SQL, ID_OB
przykład audytu, audyt systemów zarządzania
System informatyczny lasów państwowych zagadnienia i przykładowe pytania, Kol SILP 18.09.2009, 1
Projektowanie systemów informatycznych,Informacje ogólne i przykłady, Diagramy przypadków użycia Ro
Problem implementacji zintegrowanego systemu informatycznego na przykładzie sieci franczyzowej
Wykorzystanie modelu procesow w projektowaniu systemow informatycznych
OK W2 System informacyjny i informatyczny
SYSTEMY INFORMATYCZNE ORGANIZACJI WIRTUALNEJ1
Metodyka punktow wezlowych w realizacji systemu informatycznego
ZINTEGROWANE SYSTEMY INFORMATYCZNE ZARZĄDZANIA
SYSTEMY INFORMATYCZNE MIS
4 Systemy informatyczne 2 ppt
Wykład VII, politechnika infa 2 st, Projektowanie Systemów Informatycznych
Systemy informatyczne

więcej podobnych podstron