← Atpakaļ uz Izglītošanos
EDUCATION · AUDIT · ASSURANCE

📋 Audita ceļvedis - starptautiskā prakse

Seši pamatjautājumi par auditu - kā tas notiek, kas par ko atbild un pēc kādiem standartiem strādā (ISO 19011, IIA, COBIT, SOC, NIST). Piemēri ir izdomāti, paredzēti mācībām.

Audita dzīves cikls

ISO 19011:2018 - audita aktivitātes ar nepārtrauktas uzlabošanas cilpu

Audita process Pieci audita posmi: plānošana, sagatavošana, veikšana, ziņojums, sekošana - ar atgriezenisko cilpu. Audita process - ISO 19011:2018 Riskā balstīta programma ar PDCA nepārtrauktas uzlabošanas cilpu 1 · Plānošana audita programma (riskā balstīta) mērķi · apjoms 2 · Sagatavošana dokumentu pārskats audita plāns kontrolsaraksti 3 · Veikšana atklāšanas sanāksme pierādījumi · intervijas atradumi 4 · Ziņojums secinājumi atzinums noslēguma sanāksme 5 · Sekošana korektīvās darbības verifikācija slēgšana ⇢ nepārtraukta uzlabošana (PDCA) ISO 19011:2018 (5. nod. programma · 6. nod. audita aktivitātes) · IIA Global Internal Audit Standards 2024. Riskā balstīta pieeja: audita programmu un izlasi plāno pēc riska novērtējuma, ne nejauši. NIS2 subjektiem atbilstības audits ir periodisks, ne vienreizējs notikums.

Pielietojums

Der jebkuram auditam - gan ISO 27001, gan kvalitātes, gan NIS2 atbilstības pārbaudei. Soļi paliek tie paši.

Atsauce

ISO 19011:2018 (Guidelines for auditing management systems) · IIA Global Internal Audit Standards 2024.

Drošības piezīme

Vispirms pārbauda tur, kur risks ir lielākais. Katram atradumam jābūt pierādījumam - ne tikai sarunai.

Pārvaldības un pārliecības lomas

IIA Three Lines Model (2020)

Three Lines Model Pārvaldes institūcija, vadība (1. un 2. līnija), iekšējais audits (3. līnija) un ārējā pārliecība. Three Lines Model - IIA (2020) Iepriekš “Three Lines of Defense” · lomu sadalījums riska pārvaldībā un pārliecībā «organizācija» Pārvaldes institūcija / padome pārraudzība · atbildība ieinteresētajām pusēm 1. līnija operatīvās lomas pārvalda risku ikdienā produkti · pakalpojumi · IT operācijas 2. līnija risku · atbilstības · drošības funkcijas (ekspertīze) CISO · DPO · compliance · QA 3. līnija · Iekšējais audits neatkarīga un objektīva pārliecība + konsultācijas Ārējā pārliecība «ārpus organizācijas» · ārējais audits · sertifikācijas iestāde · regulators (NKDC) paļaujas uz 3. līnijas darbu, kur iespējams VADĪBA ↑ neatkarīga ziņošana padomei

Pielietojums

Parāda, kas par ko atbild: 1. līnija dara darbu, 2. līnija uzrauga, 3. līnija (audits) neatkarīgi pārbauda.

Atsauce

IIA Three Lines Model (2020, iepriekš “Three Lines of Defense”) · COSO ERM ietvars.

Drošības piezīme

Iekšējais audits nedrīkst pārbaudīt pats savu darbu. Tāpēc tas ziņo tieši padomei, nevis vadībai - citādi vērtējums nav objektīvs.

Audita pušu klasifikācija

Audita veidi - 1., 2. un 3. puse

Audita veidi Pirmās, otrās un trešās puses audits ar auditora neatkarības pakāpi. Audita veidi - auditora neatkarība pieaug → 1. PUSE · iekšējais Organizācija audita pati savas vienības auditors vienība (viena org.) Mērķis: iekšējā uzlabošana, vadības pārskats piem.: iekšējais ISMS audits 2. PUSE · piegādātāju Klients / pasūtītājs audita piegādātāju klients piegādāt. (līgumattiecības) Mērķis: piegādes ķēdes risku novērtējums piem.: NIS2 21.2.d piegādātāji 3. PUSE · neatkarīgs Akreditēta neatkarīga iestāde audita org. sertif. iestāde org. (akreditācija) Mērķis: sertifikācija, regulatīvā atbilstība piem.: ISO 27001 sertifikāts ISO 19011:2018 (3.1) · ISO/IEC 17021-1 (sertifikācijas iestādes) · ISO/IEC 27006 (ISMS sertifikācija)

Pielietojums

Palīdz saprast, cik neatkarīgs ir auditors un kāpēc audits notiek - savai uzlabošanai, piegādātāja pārbaudei vai sertifikātam.

Atsauce

ISO 19011:2018 (3.1 audita puses) · ISO/IEC 17021-1 · ISO/IEC 27006.

Drošības piezīme

ISO 27001 sertifikātu var dot tikai neatkarīga (3. puses) iestāde. Savus piegādātājus pārbauda pats klients - tas ir 2. puses audits (svarīgi NIS2 piegādes ķēdei).

Starptautisko audita standartu karte

Standartu ainava pēc audita mērķa

Audita standartu ainava Astoņas audita standartu grupas pēc domēna: metodika, ISMS, IT pārvaldība, servisa organizācijas, kontroles, iekšējais audits, finanšu, ES regulējums. Audita standartu ainava Izvēlies standartu pēc audita mērķa - tie bieži pārklājas Metodika ISO 19011:2018 vadības sistēmu audits ISO/IEC 17021-1 sertifikācijas iestādes ISMS sertifikācija ISO/IEC 27001:2022 prasības (Annex A) ISO/IEC 27006 · 27007 audita vadlīnijas IT pārvaldība COBIT 2019 ISACA · IT governance ITIL 4 pakalpojumu pārvaldība Servisa organizācijas SOC 1 / 2 / 3 AICPA Trust Services ISAE 3402 starptautiskā assurance Kontroļu novērtēšana NIST SP 800-53A kontroļu novērtēšana NIST CSF 2.0 riska ietvars Iekšējais audits IIA Global Standards 2024 (iepr. IPPF) Three Lines Model lomu sadalījums Finanšu / assurance ISA (IAASB) starpt. audita standarti PCAOB ASV publiskās komp. ES regulējums NIS2 · DORA kiberdrošība · finanses GDPR datu aizsardzības audits SOC 2 (Trust Services) un ISO 27001 abi pārbauda informācijas drošības kontroles, bet atšķiras formātā un atzinumā

Pielietojums

Palīdz izvēlēties pareizo standartu pēc tā, ko gribi sasniegt - sertifikātu, labāku IT pārvaldību vai atbilstību likumam.

Atsauce

ISO · ISACA (COBIT) · AICPA (SOC) · IAASB (ISA) · IIA · NIST · ES regulas (NIS2, GDPR, DORA).

Drošības piezīme

Standarti pārklājas. Viens labs ISO 27001 bieži sedz arī lielu daļu no SOC 2 un NIS2. Saliec kontroles vienkopus, lai vienu darbu nedarītu divreiz.

Audita pierādījumi un izlase

Pietiekami + atbilstoši pierādījumi · ticamības hierarhija

Audita pierādījumi un izlase Pierādījumu ticamības piramīda un iegūšanas tehnikas (examine, interview, test). Audita pierādījumi Pietiekami (daudzums) + atbilstoši (relevance + ticamība) Ticamības hierarhija ↑ re-performance ārējie avoti iekšējie dokumenti · logi mutiski apgalvojumi augšā = ticamāks · apakšā = vājāks Iegūšanas tehnikas (NIST SP 800-53A) Examine politikas · konfigurācijas · žurnāli Interview personāls · procesu īpašnieki Test kontroles darbībā · re-performance Izlase (sampling) statistiskā vs vērtējuma (judgmental) apjoms pēc riska un populācijas ISO 19011:2018 (6.4.7) · NIST SP 800-53A · ISA 500 (pierādījumi) · ISA 530 (izlase) Logu / konfigurāciju eksports un re-performance ir ticamāki par vārdisku apgalvojumu

Pielietojums

Secinājumi jābalsta pierādījumos, ne minējumos. Ar izlasi pārbauda daļu un izdara secinājumu par visu kopumu.

Atsauce

ISO 19011:2018 (6.4.7 izlase) · NIST SP 800-53A (Examine / Interview / Test) · ISA 500 · ISA 530.

Drošības piezīme

Sistēmas eksporti un atkārtota pārbaude ir ticamāki nekā cilvēka stāsts. Prasi pierādījumu, ko auditējamais nevar viegli pielāgot.

Atradumu klasifikācija un atzinums

Neatbilstības (ISO) un audita atzinumi (ISA / SOC)

Atradumi un atzinums ISO neatbilstību klasifikācija un assurance atzinumu veidi. Atradumi un audita atzinums ISO atradumu klasifikācija ✓ Atbilstība (Conformity) kontrole atbilst prasībai un darbojas △ Minor NC (nebūtiska) atsevišķa novirze → korektīvo darbību plāns ✗ Major NC (būtiska) sistēmiska atteice → sertifikāts bloķēts i Novērojums / OFI uzlabošanas iespēja (nav neatbilstība) ISO/IEC 17021-1 · ISO 19011 Assurance atzinuma veidi Unqualified / Unmodified „tīrs" atzinums - kontroles efektīvas Qualified (“except for”) atsevišķa būtiska atruna, pārējais kārtībā Adverse (negatīvs) būtiskas un izplatītas neatbilstības Disclaimer (atteikšanās) nepietiekami pierādījumi → nav atzinuma ISA 700–705 (IAASB) · AICPA SOC Major NC = sistēmiska kontroles atteice → sertifikātu nevar izsniegt/uzturēt, līdz novērsts un verificēts. Sertifikācijas audits dod atbilstības lēmumu; assurance audits (SOC, ISA) dod atzinumu par kontroļu efektivitāti. NIS2 neatbilstība: kompetentā iestāde var piemērot administratīvus sodus (līdz 10 M EUR vai 2% apgrozījuma).

Pielietojums

Sašķiro atradumus pēc nopietnības un formulē atzinumu. No tā atkarīgs, vai izsniedz sertifikātu un cik lielu pārliecību audits dod.

Atsauce

ISO/IEC 17021-1 (NC klasifikācija) · ISA 700–705 (audita atzinumi) · AICPA SOC ziņojumi.

Drošības piezīme

Būtiska neatbilstība (Major NC) nozīmē, ka kontrole nopietni nestrādā. Sertifikātu nedod, kamēr tas nav izlabots un pārbaudīts.