Provádění auditu
H Audit Audit podle norem ISO Role auditora Institut auditu z pohledu poskytovatele služby auditu Audit a jeho fáze podle ISO 19011 Řízení programu auditu Provádění auditu Závěr z auditu a auditorská zpráva Audit podle vyhlášky o kybernetické bezpečnosti
Průběh auditu a jeho návaznosti je naznačen na Obrázku č. 23. Zahájení auditu zahrnuje úvodní kontakt s auditovanou organizací. Během komunikace jsou diskutovány cíle a předmět auditu, způsoby komunikace, poskytování informací a podrobnější seznámení se všemi okolnostmi a náležitostmi auditu. V úvodní fázi mohou být vyžádány relevantní dokumenty pro jejich prozkoumání. Dokumentace systému je nedílnou součástí vybudování kompletního systému řízení bezpečnosti informačního systému a informačních a komunikačních technologií (IS/ICT) v organizaci je vytvoření dokumentace celého systému (Doucek, 2005, s. 81). Zkoumáním dokumentů lze získat nezbytný přehled o rozsahu dokumentace, seznámit se s výsledky předchozích auditů a shromáždit potřebné informace pro přípravu dalších kroků auditu.
V rámci přípravy plánu auditu by měly být pokryty tyto oblasti (ISO 19011, 2011):
▪ cíle auditu,
▪ předmět auditu, včetně identifikace auditovaných organizačních a funkčních jednotek i procesů,
▪ kritéria auditu a jakékoliv referenční dokumenty,
▪ místa, termíny, časy a očekávané trvání činností při auditu, včetně jednání s vedením auditované organizace,
▪ použité metody auditu, včetně rozsahu vzorkování, které je nezbytné pro získávání dostatečných důkazů z auditu, a návrhu plánu vzorkování,
▪ role a odpovědnosti členů týmu auditorů a také průvodců11 a pozorovatelů12 ,
▪ přidělení vhodných zdrojů kritickým oblastem auditu,
▪ přípravy pracovních dokumentů (checklisty, plány vzorkování, formuláře pro záznamy informací a zjištění z auditu, které mohou být použity jako důkazy z auditu).
Samotné provádění auditu zahrnuje tyto činnosti (ISO 19011, 2011):
▪ představení účastníků, včetně průvodců, a naznačení jejich rolí,
▪ potvrzení cílů, předmětu a kritérií auditu,
▪ potvrzení plánu auditu a všech dalších ujednání řešených s auditovanou organizací, jako je například datum a čas konání závěrečného jednání, jakýchkoli dalších porad týmu auditorů a managementu auditované organizace a všechny pozdější změny,
▪ představení metod, které budou využity k provádění auditu včetně upozornění, že důkazy z auditu budou založeny na vzorku dostupných informací,
▪ představení metod řízení rizik organizace, která mohou vzniknout následkem přítomnosti členů týmu auditorů,
▪ potvrzení formálních komunikačních kanálů mezi týmem auditorů a auditovanou organizací,
▪ potvrzení jazyka, který bude v průběhu auditu používán,
▪ potvrzení, že auditovaná organizace bude o průběhu auditu průběžně informována,
▪ potvrzení dostupnosti zdrojů a zařízení nezbytných pro tým auditorů,
▪ potvrzení záležitostí týkajících se důvěrnosti a bezpečnosti informací,
▪ potvrzení příslušných zdravotních, nouzových a bezpečnostních postupů platných pro tým auditorů,
▪ informace o metodách podávání zpráv, zjištěních z auditu, včetně jakéhokoli existujícího třídění,
▪ informace o podmínkách, za kterých smí být audit ukončen,
▪ informace o závěrečném jednání; informace o tom, jak v průběhu auditu nakládat s možnými zjištěními,
▪ informace o jakýchkoliv systémech pro zpětnou vazbu od auditované organizace ohledně zjištění nebo závěrů z auditu, včetně stížností nebo odvolání se.
Během fáze shromažďování a ověřování informací se vhodnou vzorkovací metodou (která je v souladu s cíli, rozsahem a kritérii auditu) získávají potřebné a reprezentativní informace, a ty jsou hodnoceny vůči kritériím. Důkazy, které mají být akceptovány mohou být pouze ověřené informace. Ověřené důkazy pak slouží jako zjištění z auditu. Zároveň jsou zaznamenávány neshody včetně důkazů, které neshodu prokazují. Neshody by měly být ve spolupráci s auditovanou organizací přezkoumány a jednání a závěry obou stran mají být dokumentovány. Proces shromažďování a ověřování je zobrazen na Obrázku č. 24.