Role auditora
H Audit Audit podle norem ISO Role auditora Institut auditu z pohledu poskytovatele služby auditu Audit a jeho fáze podle ISO 19011 Řízení programu auditu Provádění auditu Závěr z auditu a auditorská zpráva Audit podle vyhlášky o kybernetické bezpečnosti
Auditor musí splňovat vlastnosti, schopnosti, dovednosti a používat koherentní myšlení. Tyto vlastnosti jsou nezbytné pro provádění auditů. Pro provádění auditů se jedná o specifika, která jsou pro audit managementu bezpečnosti informací skutečně významná, aby závěry z auditu byly správné a přínosné. Jedná se o znalosti týkající se norem ISO (řada 27000, 19011, 17021, 9000 a další), zákonů a vyhlášek týkající se nejen bezpečnosti informací, ale i ochrany osobních údajů a dalších souvisejících zákonů, znalosti postupů, procesů a metod posuzování, řízení, monitorování a měření bezpečnosti informací (ISO 19011, 2011), specifik a typických rizik daného odvětví, ale také osobnostních a povahových rysů, jako jsou vlastnosti podle (ISO 17021-1, 2016):
▪ dodržování etických principů. tj. férovost, pravdivost upřímnost, poctivost a diskrétnost,
▪ otevřenost jiným názorům, tj. ochota zvážit alternativní myšlenky nebo jiné pohledy na věc,
▪ diplomacie, tj. takt při jednání s lidmi, ▪ ochota spolupracovat, tj. efektivně spolupracovat s dalšími,
▪ pozornost, tj. aktivně st uvědomovat fyzické okolí a okolní činnosti,
▪ vnímavost, tj. instinktivní povědomí o různých situacích a schopnost je pochopit,
▪ flexibilita, tj. rychlé přizpůsobení se různým situacím,
▪ vytrvalost, ti. vytrvalé soustředění se na splnění cílů,
▪ rozhodnost, ti. dosahováni včasných závěru založených na logickém zdůvodnění a analýzách,
▪ soběstačnost, tj. schopnost jednat a pracovat samostatně,
▪ profesionalita, tj. zdvořilé, svědomité a všeobecně vstřícné chování na pracovišti,
▪ morální kredit, tj. ochota jednat nezávisle a eticky i ve chvíli, kdy toto jednaní nemusí být vždy populární muže vest ke sporům nebo konfrontacím,
▪ organizace, tj. realizování efektivního řízeni času stanovovaní priorit, plánování a účinnost jednání.
Nežádoucí chování může mít vliv na audit a projevy závisí na konkrétní situaci. Během auditu se lidé s auditory střetávají při konzultacích, interview a při různých profesně společenských setkáních. Napětí nebo jisté nesympatie pak mohou narušit důvěru k auditorům, a tím i k samotnému auditu. Budování pozitivních vztahů mezi auditory a zaměstnanci organizace je pro průběh auditu minimálně prospěšný.
Kvalifikační požadavky, které musí auditor splňovat, uvádí ve svých přílohách novelizovaná vyhláška kybernetické bezpečnosti. Doložením odborné kvalifikace může být uznávaná certifikace auditora označovaná jako CISA (Certified Information Security Auditor), kterou nabízí organizace Isaca stejně jako certifikace CRISC (Certified in Risc and Information Systém Controls). Kromě těchto certifikací vyhláška považuje za relevantní certifikace auditora také CIA (Certified Internal Auditor) a Lead Auditor ISMS (Lead Auditor Information Security Management System), která má velmi blízko k ISO normě 27001. Přesněji se jedná o certifikaci způsobilosti vést audit bezpečnosti informací právě podle normy ISO 27001.
Role auditora je také spjata s přístupem k auditu. Z pohledu průběhu auditu a působení auditora v organizaci norma (ISO 19011, 2011) dělí audit na:
▪ interní audit a
▪ externí audit, tj.
▪ dodavatelský audit nebo
▪ audit třetí stranou.
Interní audit (audit první stranou) je zajišťován vlastními silami v rámci organizace. Podle vyhlášky o kybernetické bezpečnosti je v rámci plnění povinností stanovení bezpečnostních rolí. V rámci těchto rolí musí být stanovena také role auditora kybernetické bezpečnosti8 . Není zde jasně vymezeno, že osobou v roli auditora musí být interní zaměstnanec. Pokud je auditorem interní zaměstnanec, není zákonem ani vyhláškou stanovena nutnost jeho nezávislého postavení v rámci organizace, jako je tomu v zákonu 320/2001 Sb. o finanční kontrole9 . V případech externího auditu se jedná o audity prováděné zákazníky u jejich dodavatelů (audit druhou stranou) a v rámci auditu mohou využít (stejně tak i pro audit první stranou) normu ISO 19011. Další formou externího auditu je audit třetí stranou. Ten může být prováděn pro účely auditu souladu se zákony nebo pro účely certifikace. Dokumenty s požadavky na orgány poskytující službu auditu mohou vycházet z normy ISO 27006 a ISO 17021-1, nebo i ISO 27021-6 a jiné.
S rolí auditora je také spjato jeho hodnocení, a podle (ISO 19011, 2011) je součástí auditu resp. fáze programu auditu. Důvěryhodnost procesu auditu a schopnost dosahovat jeho cílů závisí na kompetencích jednotlivců zapojených do plánování a provádění auditu včetně auditorů a vedoucích týmu auditorů (ISO 19011, 2011, s. 41). Hodnocení auditora zahrnuje prvky zpětné vazby. Hodnocení se týká od rozvoje znalostí až k přezkoumávání výsledků auditora a jím vyhotovených dokumentů a výsledků.