Audit
H Audit Audit podle norem ISO Role auditora Institut auditu z pohledu poskytovatele služby auditu Audit a jeho fáze podle ISO 19011 Řízení programu auditu Provádění auditu Závěr z auditu a auditorská zpráva Audit podle vyhlášky o kybernetické bezpečnosti
Audit je pojem, který je stále více používán, ale jeho význam nemusí být vždy správně pochopen. Slovo audit má původ v latině. Latinské sloveso auditus (sluch) je spojováno s historickým obdobím, kdy lidé neuměli číst ani psát, ale bylo zapotřebí správcům majetku sdělovat výsledky a stavy hospodaření. Později se v Řecku a Římě audit využíval jako způsob kontroly stavu veřejných účtů, tedy jakousi původní a výchozí podobou dnešních forem auditů, jako je finanční audit. Právě finanční audit je chápán jako základní druh auditu a z něj vycházející další formy auditů (Svatá, 2012). Definic auditu existuje více. Například (Slámečka, 2012) uvádí jako jedno z možných vysvětlení, že hlavní vlastností auditu je kritický pohled na systém, objektivní získávání a vyhodnocování důkazů, zjišťování souladu mezi zjištěným stavem a stanovenými kritérii a ujištění druhé strany o kvalitě. Výkladový slovník kybernetické bezpečnosti audit definuje jako systematický, nezávislý a dokumentovaný proces k získání důkazů z auditu a jejich objektivní ohodnocení, aby se určil rozsah, v jakém jsou auditní kritéria splněna (Jirásek, Novák, Požár, 2015, s. 20). V rámci významu auditu pro organizaci představuje nezastupitelný nástroj zpětné vazby mezi vlastníky různých aktiv, okolím organizace, managementem a zaměstnanci, na které management deleguje svoje pravomoce (Svatá, 2016, s. 13). Jak bylo zmíněno, finanční audit je považován za základní formu auditu. Smyslem a posláním auditu je podle (Poslání a smysl auditu, 2018) vyjádření názoru nezávislého, kvalifikovaného odborníka, který podává věrný a poctivý obraz skutečnosti s dostatečnou vypovídající schopností v rámci kontextu auditu a jeho zjištění. Přínosy auditu (dále už jen v kontextu bezpečnosti informací) spočívají podle (Lidinslý, a kol., 2008) v poskytnutí skutečného obrazu o fungování ve srovnání s obvyklým standardem a výstupy jsou průkazné, správné a obsahují doporučení pro rozvoj bezpečnosti informací systémů a akční plán jejich implementací, včetně popisu, požadavků, časové a finanční náročnosti a očekávaných přínosů. Výstupy z auditu pak mohou být pro management východiskem pro změny v systému. Kontrola a audit IS/ICT představují organickou součást procesu zajištění bezpečnosti IS/ICT v organizaci. Jejich procesy přímo navazují na zavedení určité úrovně – standardů – bezpečnosti IS/ICT v organizaci a v delším časovém horizontu zaručují, že požadovaná (nastavená) úroveň bezpečnosti také dodržována (Doucek, 2004, s. 16).
Jak uvádí (Svatá, 2016) audit musí splňovat základní vlastnosti, jako je:
▪ komplexnost – musí postihnout všechny relevantní aspekty,
▪ objektivnost – musí se opírat o existující standardy, případně zkušenosti, pokud standardy neexistují,
▪ nezávislost – auditor nemá s objektem auditu ani se zadavatelem auditu žádné spojení, které by představovalo konflikt zájmů,
▪ formalizovanost – proces auditu se musí řídit metodikou a existujícími standardy