Dlaczego audyt zdalny nie jest dobrym audytem?
W obecnych czasach można zaobserwować rosnący trend audytu zdalnego. Czym jest i czy jest on uznawany za pełnoprawnie przeprowadzony audyt? Dlaczego mimo wykonywania audytów zdalnych zaleca się również wykonywanie audytów stacjonarnych? Więcej informacji na ten temat przeczytasz w poniższym artykule.
Audyt zdalny – co to jest?
Audyt zdalny polega na wykonywaniu go za pomocą usług zdalnego dostępu. Nie ma potrzeby osobistej wizyty ze strony zespołu audytorskiego, a wszystkie dokumenty są przesyłane drogą elektroniczną. Rozmowa odbywa się telefonicznie lub za pomocą narzędzi do wirtualnej komunikacji, takich jak Teams, Zoom, Google Meet lub Webex. Dodatkowo, podczas takiego audytu zdalnego wykorzystuje się narzędzia do pracy zdalnej, takie jak AnyDesk lub TeamViewer. Wszystko opiera się na zdalnym dostępie do dokumentów i zasobów Jednostki, które są niezbędne podczas przeprowadzania audytu. Każdy audyt różni się pod względem dokumentów, które są poddawane weryfikacji przez zespół audytorski. Na przykład, podczas audytu bezpieczeństwa informacji brane są pod uwagę dokumenty dotyczące bezpieczeństwa informacji, kopii zapasowych oraz informacji dotyczących posiadanych zabezpieczeń w sieci IT i ICT.
Czy audyt zdalny ma tą samą wartość, co audyt stacjonarny?
Obie formy audytu różnią się od siebie pod wieloma względami. Wśród najważniejszych i najczęściej spotykanych różnic podczas wykonywania obu audytów można wyróżnić:
- Podczas audytu zdalnego ograniczona jest możliwość osobistej wizyty w Urzędzie i w miejscach, które standardowo są oceniane przez zespół audytorski, np. serwerownia.
- Audyt stacjonarny umożliwia łatwiejszą interakcję pomiędzy zespołem audytorskim a zespołem audytowanego oraz pracownikami Jednostki.
- Podczas audytu stacjonarnego można na miejscu zweryfikować posiadane dokumenty i udokumentować znalezione dowody na zgodności lub niezgodności.
- Audyt zdalny umożliwia przeprowadzenie audytu z dowolnego miejsca, niezależnie od lokalizacji audytowanej Jednostki.
Atutem przemawiającym za wykonywanie audytu zdalnego mogą być czynniki ekonomiczne, gdyż nie trzeba wtedy ponosić kosztów dojazdów i ewentualnych noclegów. Tak samo jak w przypadku audytu stacjonarnego, należy sobie dobrze rozplanować, w jaki sposób będzie przebiegał audyt i ile może potencjalnie zabrać czasu na przeprowadzenie zdalnych rozmów z poszczególnymi osobami.
Tylko czy aby na pewno audyt zdalny będzie w stanie zweryfikować dobrze te obszary, które są weryfikowane podczas audytu stacjonarnego?
Ważne jest podkreślenie faktu, że podczas audytu stacjonarnego, mamy okazję przyjrzeć się z bliska, jak funkcjonuje dana Organizacja. Można przyjrzeć się dokładnie serwerowni, omówić na miejscu spostrzeżenia, jak również jest opcja ewentualnych konsultacji związanych z potrzebną do przeaudytowania dokumentacją. Audytor podczas audytu zdalnego w głównej mierze opiera się na krótkiej przeprowadzonej rozmowie, analizie przedstawionych dokumentów i ewentualnie na dostępnych materiałach uzyskanych podczas przeprowadzonych rozmów. Można to nazywać audytem, lecz zdecydowanie nie jest tak mocno wartościowy, jak ten wykonany przez zespół audytorski w trybie stacjonarnym. Audytor ma za zadanie zweryfikować posiadaną dokumentację, polityki, procedury i wskazać słabości, które w niej spostrzegł.
Najważniejsze atuty audytu stacjonarnego
- Audytor jest w stanie rzeczywistym zauważyć dodatkowe spostrzeżenia, które może zalecić do poprawy.
- Podczas audytu można liczyć na komunikację między jednostką audytowaną, a jednostką audytującą.
- W przypadku audytu stacjonarnego nie trzeba martwić się o dostępność połączenia internetowego, czy połączenia ze zdalnym dostępem pomiędzy jednostką audytowaną, a jednostką audytującą.
W jakich przypadkach można wykonać audyt stacjonarny jednostki?
Nie ma ograniczeń dotyczących wykonywania audytów stacjonarnych. Można w ten sposób przeprowadzić audyty pod kątem bezpieczeństwa informacji, czy także np. pod kątem finansowym, energetycznym. Czy to będzie audyt zgodnie z UoKSC, KRI, czy nawet zgodnie z normami ISO – we wszystkich przypadkach można wykonywać audyty w sposób stacjonarny.
Bezpieczeństwo informacji – Doering & Partnerzy
Zastanawiasz się, kto może pomóc w przygotowaniu dokumentów i dostosowaniu procedur zgodnie z obowiązującymi przepisami? Nie miałeś/aś wcześniej możliwości przeprowadzenia audytu bezpieczeństwa informacji przez zewnętrznego specjalistę? Zastanawiasz się, w jaki sposób możesz poprawić bezpieczeństwo informacji, jak i poziom cyberbezpieczeństwa w swojej firmie? Nie wiesz, czy pracownicy są odpowiednio wyszkoleni z zakresu cyberbezpieczeństwa?
Jeśli na któreś z tych pytań odpowiedziałeś/aś tak, to wiedz, że możesz liczyć na naszą pomoc. Skontaktuj się z nami, a chętnie Ci pomożemy.
Zobacz nasze usługi:
Audyt bezpieczeństwa informacji
Szkolenie z zakresu cyberbezpieczeństwa
Inspektor Ochrony Danych – RODO/IOD
Zobacz więcej:
Bezpieczeństwo informacji w JST
Cyberslashing – czym jest i jak się przed tym chronić
Jak zapewnić bezpieczeństwo informacji? Krok po kroku.
Szkolenie w zakresie ochrony danych na przykładzie szpitala
Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.
Cyberbezpieczny Samorząd. Jak zrealizować grant?