Maciej Szmit
jedynie w szczególnych przypadkach69. Poza nimi firma przeprowadzająca audyt może, ale nie musi, uznawać standardy dotyczące audytu (np. stosunkowo najbardziej znane standardy ISACA70czy IRC A71). Biorąc pod uwagę, że zarówno sama nomenklatura72, jak i idące za nią rozwiązania biznesowe i techniczne są obecnie w fazie
UWAGA 2: Audity zewnętrze obejmują audity strony drugiej i audity strony trzeciej. Audity strony drugiej są przeprowadzane przez strony zainteresowane organizacją, takie jak klienci lub przez inne osoby występujące w ich imieniu. Audity strony trzeciej są przeprowadzane przez niezależne organizacje audytujące, takie jak instytucje regulacyjne lub jednostki certyfikujące,
UWAGA 3: Jeżeli co najmniej dwa systemy zarządzania z różnych dziedzin (np. jakości, środowiska, bezpieczeństwa i higieny pracy) są audytowane razem, to audit taki nazywa się audytem połączonym,
U WAGA 4: leżeli co najmniej dwie organizacje audytujące współpracują w celu przeprowadzenia auditu jednego auditowanego (3.7), to audit taki nazywa się auditem wspólnym,
UWAGA 5: Zaadaptowano z ISO 9000:2005, definicja 3.9.1." [PN-EN ISO 19011:2012-3.1);
z „audyt zarzadzania ryzykiem systematyczny, niezależny i udokumentowany proces pozyskiwania dowodów i obiektywnej ich oceny w celu określenia zakresu adekwatności i skuteczności struktury ramowej zarzadzania ryzykiem (2.1.1), lub jakiejkolwiek wybranej części tejże struktury" [PKN-ISO Guide 73:2012 - 3.8.2.6J.
69 Certyfikaty audytorów zostały wymienione w dwóch dokumentach: art. 286 ust. 1 pkt 5 ustawy o finansach publicznych (dalej UOFP) oraz w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych (dalej RWCKPIST).
70 Ang. Information Systems Audit & Control Association. Według definicji ISACA „Audyt systemów informatycznych, to proces zbierania i oceniania dowodów w celu określenia, czy systemy informatyczne i związane z nimi zasoby właściwie chronią majątek, utrzymują integralność danych i systemu, dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej tak, aby dostarczyć rozsądnego zapewnienia, że są osiągane cele operacyjne i kontrolne oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane, a ich skutki korygowane" (za: M. Forystek: Audyt informatyczny, InforAudit, Warszawa 2005).
71 Ang. International Register ofCertificated Auditors.
72 Zob. np.: K. Liderman: Czy „audyt bezpieczeństwa teleinformatycznego" jest tym samym co „audyt informatyczny"?, „Biuletyn Instytutu Automatyki i Robotyki" Nr 21/2004, WAT, Warszawa 2004; M. Forystek: Audyt..., op. cit., s. 25.
34