jegyzet (V.02. / 2016-03-12) Készítette: Dr. Horváth Zsolt László
Tartalomjegyzék Tartalomjegyzék...2 0 Bevezetés...4 0.1 A tárgy keretei...4 0.2 Miről lesz szó ebben a tárgyban?...4 1 Áttekintés az auditokról...5 1.1 Az auditok rendszerezése...5 1.2 Auditálásra vonatkozó szabvány-követelmények...6 1.2.1 MSZ EN ISO 19011:2012 szabvány...6 1.2.2 MSZ EN ISO/IEC 17021-1:2016 szabvány...6 1.3 Tanúsító auditok...6 1.3.1 Az irányítási rendszerek tanúsítása...6 1.3.2 Tanúsítási folyamata szakaszai...8 1.4 Vevői / beszállítói audit...10 1.5 Tanúsító / vevői / belső auditok összehasonlítása...11 1.6 Auditok együtt...12 1.6.1 A kombinált audit...12 1.6.2 Az integrált audit...13 1.6.3 Közös vagy joint auditok...14 1.6.4 Csoportos audit...15 1.7 Ellenőrző kérdések...15 2 MSZ EN ISO 19011:2012 szabvány követelményei...16 2.1 Általános bemutatás...16 2.2 Fogalmak magyarázata...16 2.3 Az audit alapelvei...17 2.4 Az auditprogram végrehajtásának irányítása...18 2.5 Egy audit végrehajtása...21 2.6 Az auditorok felkészültsége és értékelése...22 2.7 Ellenőrző kérdések...23 3 A belső auditálás folyamata...24 3.1 A belső audit célja és csoportosítása...24 3.2 Szereplők - szerepek...25 3.3 A belső auditálás folyamata (életciklusa)...25 3.3.1 Megbízás a belső auditra...26 3.3.2 A belső audit megtervezése...26 3.3.3 A belső audit végrehajtása...26 3.3.4 Helyesbítő intézkedések...27 3.3.5 A belső audit lezárása...27 3.4 A belső audit auditori tevékenységei a gyakorlatban...27 3.4.1 Auditterv elkészítése...27 3.4.2 Dokumentáció értékelése...28 3.4.3 Felkészülés a helyszíni szemlére...29 3.4.4 Nyitó értekezlet a helyszíni szemlén...29 3.4.5 Felülvizsgálatok lefolytatása a helyszíni szemlén...30 3.4.6 Záró értekezlet lefolytatása a helyszíni szemlén...32 3.5 A belső audit dokumentumai...32 3.5.1 Az éves auditprogram...33 Dr. Horváth Zsolt László 2
3.5.2 Az auditori megbízás...33 3.5.3 Az auditterv...33 3.5.4 Az audit kérdéslista...33 3.5.5 Az audit kézi feljegyzései...33 3.5.6 Az auditjelentés...34 3.5.7 Az eltéréslap...34 3.5.8 Az intézkedési terv...35 3.5.9 A céges összefoglaló auditjelentés...35 3.6 Ellenőrző kérdések...35 4 Az MSZ ISO/IEC 27001:2014 szabvány áttekintése...37 4.1 A szabvány struktúrája...37 4.1.1 Új, egységes szabványstruktúra a menedzsmentrendszerekre...37 4.1.2 Az MSZ ISO/IEC 27001:2014 felépítése...37 4.2 A szabvány követelményei...38 4.2.1 4. fejezet: A szervezet és környezete...38 4.2.2 5. fejezet: Vezetés...38 4.2.3 6. fejezet: Tervezés...39 4.2.4 7. fejezet: Támogatás...40 4.2.5 8. fejezet: Működés...41 4.2.6 9. fejezet: Teljesítményértékelés...42 4.2.7 10. fejezet: Fejlesztés...42 4.2.8 Az A melléklet: Információbiztonsági célok és intézkedések...43 4.3 Az információvédelmi eljárások szakmai területei...43 4.4 Ellenőrző kérdések...46 5 Az információbiztonsági követelmények auditálása...48 5.1 Az IBIR menedzsmentrendszer auditálása...48 5.2 Az információbiztonság nem-informatikai intézkedéseinek auditálása...51 5.2.1 Terület- és objektumvédelem auditálása...51 5.2.2 Hagyományos (papír alapú) adatvédelem auditálása...52 5.2.3 Személyvédelem auditálása...53 5.3 Az információbiztonság informatikai intézkedéseinek auditálása...54 5.3.1 Az IT üzemeltetés fizikai biztonsági auditálása...55 5.3.2 Az IT üzemeltetés logikai biztonsági auditálása...56 5.3.3 További informatikai biztonsági területek auditálása...57 5.4 Ellenőrző kérdések...59 6 Az auditori viselkedés és kommunikáció alapjai...61 6.1 Az auditori viselkedés...61 6.2 Kérdezéstechnika...62 6.3 Tranzakció-analízis...64 6.4 Ellenőrző kérdések...67 1. Melléklet. Az MSZ ISO/IEC 27001:2015 szabvány A mellékletének szabályozási céljai és intézkedései...68 Dr. Horváth Zsolt László 3
0 Bevezetés 0.1 A tárgy keretei - Szabadon választható, évközi jegyes tárgy, elméleti előadások, előfeltétel: Információbiztonsági Irányítási Rendszer alapjai c. tárgy - Előadásokon elméleti anyag és gyakorlat elsősorban a vállalatoknál az információbiztonság és az ISO/IEC 27001 szabvány követelményei, értelmezése és auditálása témában, példákkal és szituációkkal - A félévben: 12 előadás - Megszerezhető (opcionális): MSZT oklevél. - Vizsga írásbeli dolgozat a szorgalmi időszakban (egyszer ismételhető) o 6 db kifejtős kérdés (kérdésenként 5 5 pont, max. 30 pont) o 60 %-tól megfelelt (2: 60%, 3: 70 %, 4: 80 %, 5: 90 %) - Vizsgán való részvétel feltétele: előadások során 3 tesztdolgozaton (10 10 kérdés) való megfelelés, külön-külön min. 60 %-os eredmény (ebből 2 pótolható) - Előadások törzsanyaga elérhető jegyzetben! Előadásokon további példák, magyarázatok. - Jegyzet: www.uni-obuda.hu/users/horvath.zsolt.laszlo ftp site-on. - Előadó érhetőségei: o Név: Dr. Horváth Zsolt László, ÓE KVK MAI o E-Mail: horvath.zsoltlaszlo@kvk.uni-obuda.hu o Tel: +36 70 4198599 o Munkahely: KVK Tavaszmező u. C épület, 410-es szoba 0.2 Miről lesz szó ebben a tárgyban? A tantárgy célja: Az irányítási rendszerek ISO 19011 szabvány szerinti auditálási követelményeinek megismerése és elsajátítása, valamint annak alkalmazása az ISO/IEC 27001 szerinti információbiztonsági irányítási rendszer auditjaira. A hallgató a tantárgy befejeztével képes legyen önállóan ISO/IEC 27001 szerinti IBIR belső auditjának illetve beszállítói auditjának megtervezésére és lefolytatására. A tananyag és tematika mintegy folytatásként ráépül az Információbiztonsági Irányítási Rendszer alapjai c. szabadon választható tárgy anyagára, és így azzal együtt megfelel a Magyar Szabványügyi Testület Oktatási Központja általi Információbiztonsági belső auditori képzésnek. A sikeres vizsgát tett hallgatók igény szerint, az MSZT általi külön vizsgadíj ellenében, - ottani szóbeli gyakorlati vizsgát tehetnek, és megszerezhetik az MSZT i képzettséget igazoló oklevelét. Az előadások a következő témaköröket tárgyalják: az auditálás fogalma, célja; az auditok csoportosítás, fajtái, jellemzésük; a belső auditálás folyamatának követelményei az ISO 19011 követelményei alapján; a belső auditálás folyamata, lebonyolítása, dokumentumai; az ISO/IEC 27001 szabvány struktúrája, követelményei; az egyes információbiztonsági követelmények és auditálási szempontjaik az auditori viselkedés és kommunikáció technikái; példák és (szituációs) gyakorlatok Dr. Horváth Zsolt László 4
1 Áttekintés az auditokról 1.1 Az auditok rendszerezése Az audit meghatározása: Az audit módszeres és független, dokumentált vizsgálat annak megállapítására, hogy az audit tárgyával kapcsolatos tevékenységek és az ezekkel összefüggő eredmények megfelelnek-e az előírásoknak, teljesülnek-e az összes auditkritériumok. Ezek az auditok ilyenformán mind ún. megfelelési auditok, mert az audit tárgyának a meghatározott auditkritérium(ok)hoz való megfelelését vizsgálják. Auditok Rendszerauditok Termékauditok Folyamatauditok Belső audit (1. Fél általi) Vevői audit (2. fél általi) Tanúsító audit (3. fél általi) Az auditok tárgya szerint megkülönböztetünk: - rendszerauditokat az audit tárgya valamilyen irányítási rendszer (menedzsmentrendszer, pl. minőségirányítási rendszer, környezetközpontú irányítási rendszer, információbiztonsági irányítási rendszer, stb.), ahol az audit az adott irányítási rendszer meghatározott követelményhez (pl. az irányítási rendszer nemzetközi rendszerszabványa) való megfelelését vizsgálja; - folyamatauditokat az audit tárgya az auditált szervezet egy (vagy több) kiválasztott folyamata, ahol az audit annak a folyamatnak az elvárásokhoz illetve meghatározott követelményekhez viszonyított megfelelését vizsgálja; - termékauditokat az audit tárgya valamilyen kiválasztott termék, ahol az audit annak a terméknek adott követelményhez viszonyított megfelelését vizsgálja; A továbbiakban csak a rendszerauditokkal foglalkozunk. Az auditok végrehajtója szerint megkülönböztetünk: - első fél által végrehajtott auditokat: ez az ún. belső audit (a szervezet saját belső felülvizsgálata) - második fél által végrehajtott auditokat: ez az ún. vevői audit vagy beszállítói audit (a szervezet vevője végzi) Dr. Horváth Zsolt László 5
- harmadik fél által végrehajtott auditokat: független külső felülvizsgálat (ilyen az ún. tanúsító audit) 1.2 Auditálásra vonatkozó szabvány-követelmények 1.2.1 MSZ EN ISO 19011:2012 szabvány Címe: Útmutató irányítási rendszerek auditálásához Útmutatás - irányítási rendszerek auditálása esetén - belső és külső auditokhoz egyaránt használható - irányítási rendszert üzemeltető vállalatok, tanúsító testületek, illetve akkreditáló testületek számára - követelményeket határoz meg a következőkkel kapcsolatban: o az audit alapelvei o az auditprogram tervezése, végrehajtása és irányítása o az auditok lefolytatása o az auditorok képzettsége és felkészülése 1.2.2 MSZ EN ISO/IEC 17021-1:2016 szabvány Címe: Megfelelőség-értékelés. Irányítási rendszerek auditját és tanúsítását végző testületekre vonatkozó követelmények. 1. rész: Követelmények szabvány Az irányítási rendszereket tanúsító szervezetek további követelményeit tartalmazza az akkreditáció alapja. Elveket és követelményeket fogalmaz meg - tanúsító testületek számára. - tanúsítási auditok végrehajtásához - irányítási rendszerek auditálása esetén o minőségirányítási rendszer auditjához (ISO/IEC TS 17021-3) o környezetközpontú irányítási rendszer auditjához (ISO/IEC TS 17021-2) o egyéb, más irányítási rendszer auditjához (kiegészítések lehetségesek) - az adott irányítási rendszer auditjának és tanúsításának felkészült, következetes és pártatlan végzésére. 1.3 Tanúsító auditok 1.3.1 Az irányítási rendszerek tanúsítása Az irányítási rendszerek tanúsítását független tanúsító szervezetek végzik. Ez a tanúsítás a tanúsított szervezetek számára az irányítási rendszereik működésének felülvizsgálatát, és a vonatkozó nemzetközi irányítási rendszerszabványnak való megfelelést igazolják. A tanúsító testületeknek a tevékenységeiket saját dokumentáltan szabályozott eljárásrendjük szigorú betartásával kell végezniük. Ennek a megfelelését a tanúsító szervezetek akkreditációja biztosítja. A rendszertanúsító szervezetek működésének követelményeit nemzetközi szabványok írják elő, amelyek a következők: - MSZ EN ISO/IEC 17021-1:2016 - MSZ EN ISO 19011:2012 Dr. Horváth Zsolt László 6
A tanúsító szervezetek működését felülvizsgáló, ún. akkreditáló szervek felülvizsgálatának az alapját az ezen szabványok követelményei képezik. A rendszertanúsítások alapelvei: A folyamatot a tanúsító szervezet maga határozza meg és szabályozza, megfelelve az akkreditációs követelményeknek. Az egyes tanúsító szervezeteknél ezek az eljárásrendek hasonló elveken épülnek fel, azonban részleteiben, alkalmazott sablonokban eltérhetnek egymástól. Egy tanúsítási ciklus mindig 3 éves időtartamra szól, ennek megfelelően a kiállított tanúsítványok 3 évig érvényesek. A három éves tanúsítási ciklus érvényességének az alapja a ciklus elején egy teljes körű felülvizsgálat (először tanúsítási audit, majd 3 évente megújító vagy okirat-megújító auditok), közben évente egy kisebb fenntartó vizsgálat, felügyeleti audit. Ennek megfelelően a tanúsítási életciklus auditjainak elnevezése: 0. évben (induláskor): tanúsító audit 1. év után: 1. felügyeleti audit 2. év után: 2. felügyeleti audit 3. év után (a 3 éves ciklus újraindul): (okirat) megújító audit 4. év után: 1. felügyeleti audit 5. év után: 2. felügyeleti audit 6. év után (a 3 éves ciklus újraindul): (okirat) megújító audit 7. év után: 1. felügyeleti audit stb A tanúsítás szakmai lebonyolítása a következő részekből áll: - auditprogram tervezése (teljes 3 éves tanúsítási ciklusra vonatkozó auditok kereteinek megtervezése általában az auditvezető végzi) - auditok tervezése, végrehajtása és dokumentálása (a konkrét auditok életciklusának végrehajtása a kijelölt auditcsoport végzi az auditvezető / vezető auditor irányításával és vezetésével) - tanúsított szervezet megfelelésének értékelése (az auditok, mint felülvizsgálatok eredményei alapján, annak az auditkritériumokkal vonatkozó irányítási rendszerszabvány követelményeivel való összevetéssel a szervezetek követelményeknek való megfelelésének értékelése a tanúsító testület személyzete végzi, függetlenség az auditon részt vevő auditcsoporttól) - döntés a tanúsítványról (megfelelés esetén döntés a tanúsítvány odaítéléséről, fenntartásáról vagy meghosszabbításáról, nem-megfelelés esetén a tanúsítvány felfüggesztéséről vagy visszavonásáról; változások esetén lehetséges a tanúsítvány érvényességének bővítése vagy szűkítése a tanúsító testület személyzete végzi, függetlenség az auditon részt vevő auditcsoporttól) Dr. Horváth Zsolt László 7
Az egyes auditok tartalma - tanúsítási audit Ez a tanúsító általi első audit az adott ügyfélnél az adott irányítási rendszer felülvizsgálatára vonatkozóan. A tanúsítási audit jellemzően 2 szakaszból áll: 1. szakasz célja megállapítani, hogy az adott irányítási rendszer keretei rendben vannak-e, és a lényegről szólnak-e! Fő feladatok: dokumentáció elolvasása, nyitott kérdéseinek tisztázása! Alapvetően szükséges a helyszínen végezni, különösen nagy szervezetnél, sok részre bontott szervezetnél, sok telephelynél, kritikus területeken (pl. mezőgazdaság, élelmiszer, atomenergia, radiológia, stb ), vagy egyéb jelentős kockázatok esetén. Utána dokumentációértékeléssel összevont jelentés MINDIG KELL! 2. szakasz célja a folyamatok működése megfelelőségének bizonyítása. Ez a szakasz lényegében a működést ellenőrző, részletes helyszíni felülvizsgálat, audit. Utána részletes auditjelentés MINDIG KELL! - (okirat) megújító audit Ez a tanúsító általi, második vagy további 3-éves auditciklus esetén az auditciklusra vonatkozó első audit az adott ügyfélnél az adott irányítási rendszer felülvizsgálatára vonatkozóan. Ennek célja az audit során a következő 3 évre a tanúsítvány odaítéléséhez szükséges működési felülvizsgálat és megfelelés igazolása. Az okirat-megújító audit mindig teljes körű, és mindig csak egy (helyszíni) szakaszból áll. Első lépése az adott irányítási rendszerre vonatkozó szabályozó dokumentáció áttekintése és értékelése, majd az audit helyszíni szemléjének a megtervezése, lefolytatása és dokumentálása. - felügyeleti audit A tanúsítvány érvényességi ideje alatt kisebb, éves felülvizsgálat. Főbb jellemzői: Nem szükséges írott dokumentáció-értékelés (feltéve, ha lényegi változtatás nem történt a dokumentációban). Mindig csak egy (helyszíni) szakaszból áll. Nem szükséges az összes szabványelem felülvizsgálata. Elsősorban az adott irányítási rendszer működésén és a változások felülvizsgálatán van a hangsúly. Kisebb ráfordítás, mint a tanúsító vagy okirat-megújító auditnál. 1.3.2 Tanúsítási folyamata szakaszai A tanúsítás folyamatának 3 éves ciklusa mindig a következő szakaszokból tevődik össze: 1. szerződés-kötési szakasz - Ajánlatkérési megkeresés az ügyfél részéről - Kérdőív kiküldése ügyfélnek igények, feltételek, tanúsítandó rendszer sarokpontjainak felmérésére - Döntés (javaslat) 1. szakasz helyszíni szükségességéről - Kitöltött kérdőív alapján tanúsítási ajánlatadás / szerződéskötés folyamata (inc. tanúsítás időigénye meghatározása!) Dr. Horváth Zsolt László 8
2. Auditor kijelölése, megbízása - Adott irányítási rendszer dokumentációjának bekérése, előzetes egyeztetés a körülbelüli tanúsítási időpont igényről. - Auditorok kijelölése (pártatlanság, ügyfelek elfogadják-e?) - Auditorok megbízása (megbízás, dokumentáció átadása) 3. Tanúsító audit 1. szakasza Dokumentáció (és helyszíni) felülvizsgálati szakasz - 3-éves auditprogram megtervezése - Dokumentáció átvizsgálása és (csak első tanúsítás esetén) felkészülés az 1. szakasz helyszíni felülvizsgálatra (tanúsító általi és egyéni csekklista, kérdéslista, ) - (csak első tanúsítás esetén) 1. szakaszra helyszíni felülvizsgálatra időpontegyeztetés és auditterv készítése, elküldése - (csak első tanúsítás esetén)1. szakasz helyszíni felülvizsgálat lefolytatása (Folyamatot a tanúsító szervezet szabályozza) - Időpont egyeztetés a 2. szakaszra (vagy okirat-megújító auditra) 4. Felkészülés a 2. szakaszra (vagy okirat-megújító auditra) helyszíni szemlére - 1. szakaszról dokumentációértékeléssel összevont jelentés (vagy okirat-megújítás esetén csak a dokumentációértékelés) készítése, elküldése - 2. szakaszra (vagy okirat-megújító auditra) auditterv elkészítése és elküldése - Auditra való személyes előkészületek (tanúsító általi és egyéni csekklista, kérdéslista, ) 5. Tanúsító audit 2. szakasza (vagy okirat-megújító audit) - Helyszíni szemle (felülvizsgálat) lefolytatása. (Folyamatot a tanúsító szervezet szabályozza.) 6. Utóaudit (opcionális) - Utóaudit lefolytatása a helyszínen! (Folyamatot a tanúsító testület szabályozza.) 7. Audit dokumentálása szakasz - Audit jelentés és egyéb audittal kapcsolatos dokumentáció elkészítése és leadása a tanúsító testületnek 8. Értékelési szakasz - Értékelés: tanúsító testület felülvizsgálja a folyamatot és az eredményeit (Összehasonlítja az auditálás eredményeit a követelményekkel, dönt a megfelelésről.) - Tanúsítvány odaítélése, elkészítése, kiküldése - Regisztráció, A tanúsítási ciklus közben évente felügyeleti audit lefolytatása - Auditorok megbízása - Dokumentáció változások és egyéb adatváltozások bekérése - Auditra időpont-egyeztetés - Felügyeleti auditra auditterv elkészítése, elküldése, egyeztetése - Felkészülés a felügyeleti auditra - Felügyeleti audit lefolytatása Dr. Horváth Zsolt László 9
- Felügyeleti audit dokumentálása (auditjelentés és a kapcsolódó dokumentációk) elkészítése, leadása a tanúsító testületnél - Felügyeleti audit eredményei alapján megfelelés értékelése - Döntés a tanúsítvány érvényességéről, ill. annak fenntartásáról 1.4 Vevői / beszállítói audit Vevői audit meghatározása: Vevői vagy beszállítói audit alatt azt az auditot értjük, amikor a megrendelő szervezet felülvizsgálja a saját (vagy leendő) beszállítója működését, folyamatait azért, hogy megállapítsa, azok alkalmasak-e az ő megrendelői igényeinek a kielégítésére. másképp: A beszállítói audit egy eszköz a beszállító irányítási rendszere eredményességének felügyeletéhez és igazolásához. Vevői audit célja - Új szállító esetén o A megfelelő szállító kiválasztása. o A kiválasztott / kiválasztandó szállítók képességének megismerése és fejlesztése. - Meglévő szállító esetén o Az együttműködés folyamatának javítása, és a szállító működésének fejlesztése. o A hibák, hiányok okainak feltárása és kijavítása / kijavíttatása (pl: romló minőségi szint esetén; magasabb vevői elvárás teljesítésének elérése érdekében). Vevői audit csoportosítása Az audit célja / sűrűsége szempontjából: - Egyszeri esemény o pl. beszállító kiválasztásakor o pl. új követelmény (termék, körülmény, feltétel színre lépésekor) o pl. hiba, probléma esetén - Többszöri (folyamatos) esemény o Folyamatos beszállítói ellenőrzés vagy együttműködés keretén belül o Két beszállítói audit között eltelt idő (pl. lehet 1 év, vagy kevesebb) Audit tárgya szempontjából: - Rendszeraudit (egész irányítási rendszerre vagy csak egy részére) - Folyamataudit (egy bizonyos folyamatra vagy folyamatcsoportra) - Termékaudit (bizonyos termékekre vagy azok bizonyos jellemzőire; itt kapcsolódhat az eljáráshoz a folyamataudit is) Vevői audit életciklusa 1. Az audit egyeztetése contracting Dr. Horváth Zsolt László 10
2. Az audit előkészítése, tervezése 3. Az audit lefolytatása 4. Utóélet az eredmények felügyelete 1.5 Tanúsító / vevői / belső auditok összehasonlítása Szempont Tanúsító audit Vevői audit Belső audit Kategória 3. Személy általi audit 2. Személy általi audit 1. Személy általi audit Megbízó Auditált szervezet vezetője * Auditált szervezet ügyfele Auditált szervezet vezetője * Auditor Külső, harmadik fél (a tanúsító) alkalmazottja vagy alvállalkozója Auditált szervezet ügyfelének alkalmazottja, vagy általa megbízott alvállalkozó Auditált szervezet saját alkalmazottja, vagy általa megbízott alvállalkozó Audit célja Kifelé a megfelelőség igazolása Beszállító kiválasztása Beszállító alkalmasságának igazolása Beszállító fejlesztése Befelé fejlesztési lehetőségek feltárása, Követelménynek való megfelelés Eredmény (output) 3 évig tanúsítvány + tanúsítási jelhasználat Beszállítói nyilvántartásba vétel, megfelelő beszállítói státusz Befelé egy részletes auditjelentés Input a fejlesztési tervekhez, javító / helyesbítő / megelőző intézkedésekhez Tanúsítási (megbízási) ciklus Audit-kritériumok Audit lefolytatására kötelező előírások ajánlott előírások Auditálás lépései, dokumentumai 3 éves tanúsítási ciklusra szól Adott ISO irányítási rendszerszabvány ISO 19011 szabvány ISO/IEC 17021 szabvány IAF MD1, MD5 ajánlások Más irányítási rendszerre vonatkozó kiegészítések Tanúsító szervezet (vagy anyavállalata) belső értelmezései, irányelvei Kötött, a kötelező szabványok és a tanúsító szabályozott eljárásai és sablonjai alapján Egyénileg meghatározott, a megbízó határozza meg Adott ISO irányítási rendszerszabvány és/vagy más vevő általi követelmények és/vagy más belső követelmények, elvárások Általában: 1 éves ciklus teljes körű felülvizsgálatra szól Soron kívüli auditokra esemény-generáltan ad- hoc --- Adott ISO irányítási rendszerszabvány 9.2 fejezete ISO 19011 szabvány csak ajánlás, nem kötelező Vállalat / Megrendelő saját belső auditálási eljárásrendje, módszere A szervezet sokféle eljárásrendet (audit, önértékelés, egyéni módszerek, ) választhat magának. A saját eljárása határozza meg az auditálás módszerét, a dokumentálás formáját és kötöttségét! Audit alapvető menete, lépések Auditprogram tervezése Auditok tervezése, végrehajtása, értékelése Auditáltnak eltérések javítása Dr. Horváth Zsolt László 11
Szempont Tanúsító audit Vevői audit Belső audit Auditált szervezet hozzáállása Kifelé megfelelést bizonyítani! szépnek látszani Fő cél a vevőnek való megfelelés! Mindent meg kell tenni ezért! Befelé az igazmondás, valóság kiderítése! Cél a problémák feltárása és kijavítása! tükörbe nézés Mottó Hazudni nem szabad, de amit az auditor nem kérdez, arra nem kell válaszolni! Fő cél a vevőnek való megfelelés! Nem az a belső audit eredményes, ami nem tárt fel hibát, hanem ami után nem maradt hiba! 1.6 Auditok együtt Egy tanúsító több irányítási rendszer - Külön tanúsítási eljárások auditok egymástól függetlenül, más-más időpontban lefolytatva - Külön tanúsítási eljárások, de auditok egyidőben, összevontan lefolytatva kombinált audit - Közös (összevont) tanúsítási eljárás, auditok együtt egy eljárásban lefolytatva, átfedések kihasználásával optimalizálva integrált audit Több tanúsító egy (vagy több) irányítási rendszer - Ugyanarra az irányítási rendszerre egyszerre több tanúsító általi tanúsítási eljárás külön-külön - Ugyanarra az irányítási rendszerre egyszerre több tanúsító általi tanúsítási eljárás együtt, egy közös audit eljárásban joint audit (közös audit) - Több irányítási rendszer esetén a fentivel kombinálható (tetszőlegesen) Egy tanúsító több tanúsított cég együtt csoportos audit 1.6.1 A kombinált audit A kombinált audit olyan audit, ahol az auditprogram egynél több irányítási rendszerszabvány szerinti auditeljárás lefolytatását és értékelését tartalmazza külön-külön, de egy-időben. Pl.: MIR+KIR, MIR + IBIR, MIR + KIR + MEBIR, stb. A kombinált audit lefolytatásakor - az auditok helyszíni felülvizsgálata egy-időben, párhuzamosan történik; - mindegyik auditot külön-külön kijelölt auditor(ok) végzi(k) egy-időben, külön-külön eljárásrend (vizsgálat, dokumentáció, ráfordítás, ) szerint; - közös a nyitó- és záró értekezlet, de ott külön-külön mindegyik irányítási rendszerre az azt tanúsító auditor(ok) mindazt elvégzik, ami a saját rendszerük tanúsításához feladat, - a szükséges auditidő ráfordításnál mindegyik audit ráfordítási idejét külön-külön kell kalkulálni, és az együttes auditidő (munkaidő) ráfordítás ezek összessége. Dr. Horváth Zsolt László 12
1.6.2 Az integrált audit Az integrált audit egy olyan kombinált audit, ahol egy szervezet irányítási rendszerének érettsége és az audit csoport felkészültsége lehetővé teszi az audit idő csökkentését a lehetőségek következtében, hogy az audit még hatékonyabban folytatódjék le. Az integrált audit lefolytatása - egy, közös integrált audit-eljárás alapján történik, egy audit-team végzi; - mindegyik folyamat auditálására csak egyszer kerül sor, de az egyszerre figyelembe veszi mindegyik vonatkozó szabvány követelményeit; - közös audit-dokumentáció, ami megfelel mindegyik szabvány elvárásainak; - a szükséges auditidő csökkenthető a szinergiák kihasználásával. További előnyök: Idő és ráfordítás megtakarítása, átfedések csökkentése, jobb átláthatóság Mitől függ az, hogy az audit integrált lehessen? - egy szervezet irányítási rendszerének érettségétől, azaz az irányítási rendszerek integráltságának fokától; - az audit csoport felkészültségétől; Követelmények az auditcsoporttal szemben: - Auditvezető: o Auditvezetői kinevezés mindegyik érintett irányítási rendszerből o Szakmai kompetencia a tanúsítások érvényességi területén (érvényes EA Scope-ok), de legalább a fő üzleti / érvényességi területeken o Tapasztalat integrált audit lefolytatásában, irányításában - Auditorok akik a tervezéskor egy folyamat során egyszerre több szabvány követelményeit vizsgálják: o Auditori kinevezés a vizsgált szabványokra, érvényesen a vizsgált területre (EA scope) Integrált auditnál figyelembe venni - Audit tervezése: o auditorok szakmai ismereteinek, képzettségeinek és képességeinek ismerete, o a feladatok megosztásakor auditor specialitások figyelembevétele, - Az auditálás folyamata: o felelősségek tisztázása, megosztása, o feljegyzések készítésének összhangja, o irányítási rendszerek szakma-specifikus követelményeinek igazolása, o záró-értekezleten az audit értékelésének munkamegosztása. - Az audit dokumentálása: o munkamegosztás a jelentés készítésben, o a határidők tartása Integrált audit végrehajtásának feltétele még az ügyfél oldalon egy integrált irányítási rendszer megléte és működése. Dr. Horváth Zsolt László 13
Mit is jelent az integrált irányítási rendszer? Az integrált irányítási rendszer egy olyan rendszer, amely politikát és célokat határoz meg, és ezeket a célokat több irányítási terület integrált működtetésével éri el ahelyett, hogy több rendszert működtetne párhuzamosan. Integrált rendszer (érettségének) kritériumai: - integrált politika, - integrált szervezet (felelősségek meghatározása, elosztása, működtetése), - integrált menedzsment-elemek (közös belső audit, vezetőségi átvizsgálás, kontrolling, ) - integrált folyamat-szabályozás és dokumentáció (közös kézikönyv, folyamatszabályozások egyszerre tartalmazzák mindegyik vonatkozó szabvány követelményeit) Az integrált irányítási rendszer előnyei - közös menedzsment elemek közös használata, - nincsenek párhuzamos és fölösleges tevékenységek, - felelősségek áttekinthetőbbek, egyértelműek, - ráfordítások, erőforrások felhasználásának csökkentése, optimalizálása, - dokumentációs rendszer mennyiségének csökkentése, - könnyebb illesztés a vállalati stratégiához és célokhoz, - vállalat hatékonyságának növelése, Integrált rendszer integrált auditok problémái A számos előnyük mellett nehezen terjednek el, mert nehéz a feltételek teljesítése: - Az auditálandó szervezet részéről: o nehezebb, mert több szakmai felkészülést és képzettséget igényel; o belső érdekellentétek lehetnek (kiskirályságok megszüntetése, folyamatok átláthatóbbá tétele, ); o nehéz megfelelő kompetenciájú tanácsadót választani; o nehéz megfelelő kompetenciájú tanúsítót választani; - A tanúsító szervezet részéről: o több szervezést igényel; o nehezebb a különböző (3-éves) tanúsítási ciklusok egyeztetése; o az audit-idő csökkentés és ár-kedvezmények miatt bevétel csökkenés; o nagyon kevés a megfelelő kompetenciájú auditor. 1.6.3 Közös vagy joint auditok Egy auditálási folyamatban egyszerre két (vagy több) tanúsító vesz részt. Mikor van erre igény? - Ha az ügyfélkör vagy anyavállalat (pl. multi esetében) ugyanannak az irányítási rendszernek több tanúsító általi tanúsítását kívánja egyszerre megszerezni; - Ha az elvárt tanúsító az adott országban önállóan nincs jelen, és csak mással közösen tud tanúsítani; - Ha integrált irányítási rendszer esetén az elvárt tanúsító nem tudja mindegyik irányítási rendszert tanúsítani. (joint kombinált audit); Dr. Horváth Zsolt László 14
Közös audit lefolytatása: - Közös az auditprogram, tervezés, eljárás; - Munka-, feladat- és felelősség- megosztás; - Kompetenciák tisztázása; - Dokumentálás tisztázása (közös vagy külön-külön) 1.6.4 Csoportos audit Egy tanúsító több tanúsított cég együtt csoportos audit - Jellemző igény: holding, közös tulajdonoshoz tartozó (közös irányítású) cégcsoport, multi több leányvállalata egyidejű auditálásakor - Közös menedzsment elemek, közös vezetés és MIR vezetés, audit lefolytatása is együtt - Egy tanúsítási eljárás / egy tanúsítási, regisztrációs számon fut - Egy közös tanúsítvány (cégcsoport felsorolásával) + al-tanúsítványok cégenként - Eljárás hasonlít a több-telephelyes audithoz - Tanúsítási auditnál minden tanúsított cég; felügyeleti auditkor (központ kivételével) egyes cégek kimaradhatnak - Külön szabályok tervezéskor az audit-ráfordításokra, telephelyek kiválasztására, 1.7 Ellenőrző kérdések - Hogyan csoportosíthatjuk az auditokat az audit tárgya illetve a végrehajtója szerint? Jellemezze röviden az egyes csoportokat! - Mutassa be, hogy a tanúsítás során milyen auditokat hajt végre a tanúsító szervezet, és jellemezze röviden ezeket az auditokat! - Mutassa meg, hogy milyen lépésekből (szakaszokból) áll a tanúsítás folyamata! - Mi a tartalma a tanúsítási audit első és második szakaszának? - Hogyan csoportosítja a vevői auditokat? - Hasonlítsa össze a tanúsító, a vevői és a belső auditokat az auditok célja, megbízója, végrehajtója, jellemző ciklusideje szempontjából! - Hasonlítsa össze a tanúsító, a vevői és a belső auditokat az auditok végrehajtási követelményei, alapvető lépései és elvárt eredményei szempontjából! - Milyen audittípusokat ismer egy vagy több tanúsító egy vagy több irányítási rendszer auditjai esetére, és mutassa meg, hogy mit jelentenek ezek az audit típusok! - Hasonlítsa össze a kombinált auditot és az integrált auditot. - Mit jelent az integrált irányítási rendszer? Mik a főbb jellemzői, és a főbb előnyei? Dr. Horváth Zsolt László 15
2 MSZ EN ISO 19011:2012 szabvány követelményei 2.1 Általános bemutatás Címe: Útmutató irányítási rendszerek auditálásához Útmutatás: - Irányítási rendszerek auditálása esetén - Belső és külső auditokhoz egyaránt használható - Irányítási rendszert üzemeltető vállalatok, tanúsító testületek, illetve akkreditáló testületek számára - Követelmények a következőkkel kapcsolatban: o az audit alapelvei o az auditprogram tervezése, végrehajtása és irányítása o az auditok lefolytatása o az auditorok képzettsége és felkészülése Az MSZ EN ISO 19011:2012 szabvány struktúrája Előszó Bevezetés 1. Alkalmazási terület 2. Rendelkező hivatkozások 3. Szakkifejezések és meghatározások 4. Az auditálás alapelvei 5. Az auditprogram irányítása 6. Egy audit végrehajtása 7. Az auditorok felkészültsége és értékelése Mellékletek 2.2 Fogalmak magyarázata - audit: Módszeres, független és dokumentált folyamat auditbizonyíték megszerzésére és objektív értékelésére annak meghatározása céljából, hogy az auditkritériumok milyen mértékben teljesülnek. MEGJEGYZÉS: A belső auditokat, amelyeket néha első fél által végzett auditoknak neveznek, maga a szervezet végzi, vagy az ő megbízásából végzik, vezetőségi átvizsgáláshoz és más belső célokra (pl. az irányítási rendszer eredményességének bizonyítására vagy információk megszerzésére az irányítási rendszer fejlesztéséhez). A belső auditok alapul szolgálhatnak ahhoz, hogy egy szervezet saját megfelelőségi nyilatkozatot tegyen. Sok esetben, különösen kis szervezetek esetében, a függetlenség bizonyítható az auditált tevékenységért viselt felelősségtől való függetlenséggel vagy elfogulatlansággal és az összeférhetetlenség elkerülésével. MEGJEGYZÉS: A külső auditok magukban foglalják a második és harmadik fél által végzett auditokat. Második fél által végzett auditokat olyan felek hajtanak végre, amelyek érdekeltek a szervezetben, mint pl. annak vevői vagy az általuk megbízott más személyek. Harmadik fél által végzett auditokat független auditáló szervezetek hajtanak végre, mint pl. szabályozó hatóságok vagy azok, amelyek tanúsítványt adnak ki. - auditkritériumok: Hivatkozási alapként használt irányvonalak (politikák), eljárások vagy követelmények, amelyekkel az auditbizonyítékot összehasonlítják. Dr. Horváth Zsolt László 16
MEGJEGYZÉS: Ha a kritériumok jogszabályi követelmények (beleértve az egyéb szabályozói követelményeket), gyakran használják a megfelel ( compliant ) vagy nem felel meg ( non-compliant ) kifejezéseket egy audit-megállapításban. - auditbizonyíték: Az auditkritériumokra vonatkozó, ellenőrizhető feljegyzések, ténymegállapítások vagy egyéb információk. - az audit megállapításai: Az összegyűjtött auditbizonyítékok és az auditkritériumok összehasonlító kiértékelésének eredménye. MEGJEGYZÉS: Az audit megállapításai jelzik a megfelelőséget vagy nem megfelelőséget (eltérést). MEGJEGYZÉS: Az audit megállapításai elvezethetnek a fejlesztési lehetőségek azonosításához vagy a jó gyakorlatok rögzítéséhez. MEGJEGYZÉS: Ha az auditkritériumokat jogszabályi vagy egyéb követelmények közül választják ki, az audit megállapítása: megfelelő (compliance) vagy nem megfelelő (non-compliance). - az audit következtetése: Az auditnak az audit céljai és az audit valamennyi megállapítása figyelembevételével megállapított végeredménye. - auditprogram: Megegyezés egy meghatározott időtartamra tervezett, meghatározott célra irányuló egy vagy több audit együttesére. - auditterv: Audittal kapcsolatos tevékenységek és intézkedések leírása. - az audit ügyfele: Az auditot kérő / az auditmegbízást adó személy vagy szervezet. MEGJEGYZÉS: Belső felülvizsgálat esetén az audit ügyfele lehet az auditálás alatti szervezet vagy az auditprogramot irányító személy is. Külső auditra vonatkozó kérés érkezhet olyan helyekről, mint pl. szabályozó hatóságok, szerződéses partnerek vagy lehetséges ügyfelek. - auditálás alatti szervezet: Az a szervezet, amelyet auditálnak. - auditor: Az a személy, aki auditot végez. - auditcsoport: Egy vagy több auditor, aki auditot végez, ha szükséges, szakterületi szakértők támogatásával. MEGJEGYZÉS: Az auditcsoport egyik auditora az auditcsoport kinevezett vezetője. MEGJEGYZÉS: Az auditcsoportban lehetnek auditorjelöltek (betanuló auditorok) is. 2.3 Az audit alapelvei - Tisztességes magatartás a szakmai hozzáértés alapja (gondos és felelősségteljes munkavégzés, felkészültség, jogszabályoknak megfelelés, becsületesség, pártatlanság, elfogulatlanság) - Tárgyilagos beszámolás a valóságnak megfelelő és pontos jelentés kötelezettsége (a valóságnak megfelelő és pontos jelentési kötelezettsége) - Kellő szakmai gondosság szorgalom és ítélőképesség alkalmazása az audit során (az auditor megfelelő felkészültsége, igyekezet és ítélőképesség alkalmazása az auditban) - Bizalmasság az információk bizalmassága (az érzékeny és bizalmas információk megfelelő kezelése) Dr. Horváth Zsolt László 17
- Függetlenség az audit pártatlanságának és az auditkövetkeztetések objektivitásának az alapja (auditorok függetlensége az auditált tevékenységtől és cégtől, auditkövetkeztetések objektivitása) - Bizonyítékokon alapuló megközelítés ez az ésszerű módja annak, hogy módszeres auditfolyamatban megbízható és reprodukálható auditkövetkeztetésekre jussanak (igazolható audit-bizonyítékok, mintavételes vizsgálat helyes alkalmazása) 2.4 Az auditprogram végrehajtásának irányítása Az auditprogram egy meghatározott időtartamra tervezett, meghatározott célra irányuló egy vagy több audit együtteséről szóló megegyezés. Példa: - Belső auditálás esetén tartalmazhatja a szervezet teljes irányítási rendszerét lefedő, éves összes belső auditot. - Beszállítói auditálás esetén lehet az egy időszakra és az adott termékre vagy termékcsoportra vonatkozott auditok összessége. - Tanúsító auditálás esetén lehet az egy (3-éves) auditciklusra tervezett összes audit. Az auditprogramot irányító személy (másképp: auditprogram végrehajtásáért felelős személy) az a személy, aki a teljes auditprogram tervezéséért, lebonyolításáért, felügyeletéért és fejlesztéséért felelős az auditot végrehajtó szervezeten belül. Az auditprogram életciklusa: Az auditprogram tartalmazza azokat az információkat és erőforrásokat, amelyek az auditok eredményes és hatékony megszervezéséhez és végrehajtásához szükségesek a megadott időkereten belül. Az auditprogram tartalmazhatja még - az auditprogram és az egyes auditok céljait; - az auditok terjedelmét / számát / típusát / időtartamát / helyszínét / ütemezését; - az auditprogram eljárásait; - az audit kritériumait; Dr. Horváth Zsolt László 18
- az auditmódszereket; - az auditcsoportok kiválasztását; - a szükséges erőforrásokat, beleértve az utazást és a szállást; - a bizalmasság, információbiztonság, egészség és biztonság és hasonló témák kezelésének folyamatait. Az auditprogram céljai legyenek összhangban és támogassák az irányítási rendszer politikáját és céljait. Szempontok az auditprogram céljainak meghatározásához: - a vezetőség előnyben részesített szempontjai; - kereskedelmi és más üzleti szándékok; - folyamatok, termékek, projektek jellemzői és ezek bármely változása; - irányítási rendszerek követelményei; - jogszabályi, szerződéses és más követelmények, amelyek iránt a szervezet elkötelezett; - szállítóértékelésre vonatkozó igény; - érdekelt felek, beleértve a vevőket, igényei és elvárásai; - az auditálás alatti szervezet teljesítményszintje, ahogy az a hibák, zavaró események vagy vevői panaszok előfordulásában tükröződik; - az auditálás alatti szervezet kockázatai; - a megelőző auditok eredményei; - az auditált irányítási rendszer fejlettségi szintje. Az auditprogram céljai lehetnek példák - hozzájárulás az irányítási rendszer és annak működése fejlesztéséhez; - külső követelmények teljesítése, pl. egy irányítási rendszer-szabvány szerinti tanúsítás; - szerződéses követelményeknek való megfelelés igazolása; - bizonyosság megszerzése és fenntartása egy szállító képességében; - az irányítási rendszer eredményességének meghatározása; - az irányítási rendszer céljainak az irányítási rendszer politikájával és az általános szervezeti célokkal való összhangjának és összehangolásának értékelése; Szempontok az auditprogram kidolgozásakor: - az auditprogramot irányító személy szerepe és felelősségei (auditprogram irányításához szükséges ismeretek, kompetencia, felkészültség ) - az auditprogram terjedelmének megállapítása (Az auditálás alatti szervezet méretétől és jellegétől, valamint az auditálandó irányítási rendszer jellegétől, működésétől, bonyolultságától, fejlettségi szintjétől, valamint az irányítási rendszer jelentős témáitól függ.) - az auditprogram kockázatainak azonosítása és értékelése (Sok olyan, az auditálási program kidolgozásával, megvalósításával, figyelemmel kísérésével, átvizsgálásával és fejlesztésével kapcsolatos kockázat van, amely hatással lehet a program céljainak teljesítésére. A programot irányító személy vegye figyelembe ezeket a kockázatokat a program kidolgozása során.) - az auditprogram végrehajtásához tartozó eljárások kidolgozása (Ezek az eljárások foglalkoznak az auditprogram végrehajtása feltételeinek biztosításával, valamint az auditprogram végrehajtását szabályozzák kellő eljárásokkal, sablonokkal és kontrolokkal ) Dr. Horváth Zsolt László 19
- az auditprogram erőforrásainak azonosítása ( mindenféle szüksége erőforrás figyelembe vétele: humán, pénzbeli, idő, utazási feltételek, infrastruktúra és eszközök ) Szempontok az auditprogram végrehajtásakor: - az egyedi auditok céljainak, területének és kritériumainak meghatározása (Az auditcélok határozzák meg azt, amit az egyes auditokkal el kell érni, és tartalmazhatják pl. annak meghatározását, hogy az auditálandó irányítási rendszer vagy annak részei milyen mértékben felelnek meg az auditálási kritériumoknak, illetve az adott irányítási rendszer lehetséges fejlesztési területeinek meghatározását.) - az auditmódszerek kiválasztása (az auditprogramot irányító személy határozza meg, testre szabottan ) - az auditcsoport tagjainak kiválasztása (az auditprogramot irányító személy határozza meg, testre szabottan, figyelembe véve a rendelkezésre álló kereteket, auditcélokat, auditorok függetlenségét és kompetenciáját, stb.) - az egyedi auditért viselt felelősség kijelölése az auditcsoport vezetőjének; - az auditprogram végeredményének kezelése (Ezek a feladatok: auditjelentés átvizsgálása, jóváhagyása, helyesbítő és megelőző intézkedések eredményességének vizsgálata, auditjelentések elosztása, ) - az auditprogram feljegyzéseinek kezelése és megőrzése (Feladat annak biztosítása, hogy az audit során a szükséges feljegyzéseket létrehozzák, kezeljék, megőrizzék az auditprogram megvalósításának igazolására, valamint a benne lévő információk bizalmasságát megőrizzék. Ezek a feljegyzések az auditprogrammal, az egyes auditokkal, valamint az auditokban résztvevő személyekkel kapcsolatos feljegyzések.) Az auditprogram figyelemmel kísérése, átvizsgálása és fejlesztése: Az auditprogramot az auditprogramot irányító személy feladata az auditprogram megvalósításának figyelemmel kísérése, az egyes lépések szükség szerinti koordinálása, illetve szükség szerint az auditprogram módosítása. Az auditprogram végrehajtását és eredményeit az auditprogramot irányító személy felülvizsgálja és értékeli, és javaslatokat tesz annak fejlesztésére. Dr. Horváth Zsolt László 20
2.5 Egy audit végrehajtása Áttekintés egy audit életciklusában a jellemző audit-tevékenységekről: Az egyes lépések fő tartalmi elemei / tevékenységei: Az audit elindítása - Kezdeti kapcsolatfelvétel az auditálás alatti szervezettel - Az audit teljesíthetőségének meghatározása Az audittevékenységek előkészítése - Dokumentumátvizsgálás elvégzése az auditra való felkészülés során - Az auditterv elkészítése - A munka kiadása az auditcsoportnak - Munkadokumentumok készítése Az audittevékenységek végrehajtása - A nyitóértekezlet lefolytatása - Dokumentumátvizsgálás elvégzése az audit végrehajtása során - Kapcsolattartás az audit során - A kísérők és megfigyelők szerepeinek és felelősségeinek kijelölése - Információk gyűjtése és igazolása - Az audit megállapításainak megfogalmazása - Az auditkövetkeztetések elkészítése - A záró értekezlet lefolytatása Az auditjelentés elkészítése és elosztása - Az auditjelentés elkészítése - Az auditjelentés elosztása Audit befejezése Auditot követő tevékenységek Dr. Horváth Zsolt László 21
2.6 Az auditorok felkészültsége és értékelése A szervezetnek eljárást kell kidolgoznia az auditorok értékelésére, amelyek tartalmazzák - az auditorok szükséges és elvárt kompetenciáját, tudását, - az értékelési kritériumokat, - az auditorok értékelésének módját és végrehajtási eljárásait, - az auditorok fejlesztésére vonatkozó (képzési) eljárásokat. Auditori felkészültséggel kapcsolatos követelmények területei: - Személyes viselkedésmód - Ismeretek és készségek - Végzettség, munkatapasztalat - Auditori képzettség, auditori gyakorlatok Személyes viselkedésmód - etikus: tisztességes, szavahihető, őszinte, becsületes és titoktartó; - nyitott gondolkodású: hajlandó más elgondolások vagy vélemények megfontolására; - diplomatikus: tapintatos az emberekkel való kapcsolatában; - jó megfigyelő: aktív észlelője a fizikai környezetnek és tevékenységeknek; - érzékelő: ösztönös felismerője a helyzeteknek, aki ki is ismeri magát ezekben; - rugalmas: gyorsan alkalmazkodó a különböző helyzetekhez; - kitartó: szívós, aki összpontosít a célok elérésére; - határozott: képes kellő időben következtetéseket levonni logikai megfontolás és elemzés alapján; - magabiztos: képes független tevékenységre és működésre, miközben eredményesen együttműködik másokkal; - állhatatos: felelős és etikus cselekvés akkor is, ha ez nem feltétlenül népszerű; - nyitott a fejlődésre: tudnak és hajlandók tanulni a helyzetekből; - kulturálisan érzékeny: tiszteletben tartja az auditált szervezet kultúráját; - együttműködő: másokkal (az auditcsoport tagjaival, a szervezet munkatársaival). Ismeretek és készségek a következő területeken szükségesek: - Az audit alapelvei, eljárásai, módszerei - Az irányítási rendszerdokumentumok, és a bennük hivatkozott dokumentumok megértésének és értékelésének képessége - Szervezeti környezet, jogszabályi és egyéb követelmény háttér - Szakterületi, ágazati ismeretek és készségek Példa a szabványból: A7. Szemléltető példa az auditorok szakterületre jellemző ismereteire és készségeire az információbiztonság irányításában A szakterülettel és a szakterületre jellemző módszerek, technikák, folyamatok és gyakorlat alkalmazásával kapcsolatos ismeretek és készségek legyenek elegendőek ahhoz, hogy az auditor képes legyen megvizsgálni az irányítási rendszert és megfelelő audit-megállapításokat és -következtetéseket megfogalmazni. Ilyen példák a következők: - az útmutatók az olyan szabványokból, mint például: ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 és ISO/IEC 27005; - a vevők és az érdekelt felek követelményeinek azonosítása és értékelése; Dr. Horváth Zsolt László 22
- az információbiztonsággal foglalkozó törvények és szabályozások (pl. szellemi tulajdon; szervezeti feljegyzések tartalma, megóvása és megőrzése; adatvédelem és az adatok titkossága; a titkosítási intézkedések szabályozása; antiterrorizmus; elektronikus kereskedelem; elektronikus és digitális aláírás; munkahely-felügyelet; munkahelyi ergonómia; telekommunikációs elfogás és adatok, pl. elektronikus levél ellenőrzése, számítógépes visszaélés, elektronikus bizonyítékgyűjtés, behatolásvizsgálat stb.); - az információbiztonság irányításának alapjául szolgáló folyamatok, tudomány és technológia; - kockázatfelmérés (azonosítás, elemzés és értékelés) és trendek a technológiában, fenyegetésekben és sebezhetőségekben; - információbiztonsági kockázatkezelés; - az információbiztonsági intézkedésekkel (elektronikus és fizikai) kapcsolatos módszerek és gyakorlat; - az információk sértetlenségével és érzékenységével kapcsolatos módszerek és gyakorlat; - az információbiztonsági irányítási rendszer és a kapcsolódó intézkedések eredményességének mérésével és értékelésével kapcsolatos módszerek és gyakorlat; - a működés mérésével, figyelemmel kísérésével és feljegyzésével (beleértve a vizsgálatokat, auditokat, átvizsgálásokat) kapcsolatos módszerek és gyakorlat. MEGJEGYZÉS: További információk találhatók az ISO/IEC JTC 1/SC 27 által az információbiztonság irányításához kidolgozott vonatkozó szabványokban. 2.7 Ellenőrző kérdések - Mik tartoznak az audit alapelvei közé, és mi a céljuk azoknak az alapelveknek? - Mutassa be, mi az auditprogram és az auditterv közötti különbség! - Mutassa be az auditprogram végrehajtásának életciklusát, jellemezze röviden az egyes szakaszok feladatait! - Mutasson példákat az auditprogram lehetséges céljaira! (legalább 5 példát soroljon fel!) - Mutassa be az auditprogram irányításáért felelős személy feladatait az auditprogram kidolgozásának szakaszában! - Mutassa be az auditprogram irányításáért felelős személy feladatait az auditprogram végrehajtásának szakaszában! - Mutassa be az egyes auditok végrehajtásának életciklusát, és az egyes szakaszokban a fontosabb tevékenységeket! - Melyek az auditori viselkedés elvárt tulajdonságai, jegyei? (Mutasson be legalább 5 példát!) - Milyen területeken kell megfelelő ismeretekkel és képességekkel rendelkeznie az auditornak? - Milyen jellemző szakmai ismeretekkel kell az információbiztonsági irányítási rendszerek auditorainak rendelkezniük? Dr. Horváth Zsolt László 23
3 A belső auditálás folyamata 3.1 A belső audit célja és csoportosítása A belső auditálás célja annak vizsgálata, hogy a működtetett irányítási rendszer - megfelel-e a tervezett intézkedéseknek, - megfelel-e a szabvány követelményeinek, - megfelel-e a (vonatkozó) jogszabályi követelményeknek, - megfelel-e a vele szembeni vállalati követelményeknek, - bevezetése és működése eredményes-e? A belső auditok csoportosítása A belső audit végrehajtója szerint - Vállalat belső munkatársa(i) Célszerűen (lehetőség szerint) legalább két belső auditor legyen, de jobb a több; Előnyös közepes és nagy vállalatoknál; - Külső megbízott(ak) Előnyös a nagyon kis, ún. mikro-vállalatoknál; Szerződéses megbízásos alapon; Általában a felkészítő / tanácsadó munkatársai, de lehetnek mások is; FIGYELEM! A pártatlanság miatt a belső auditot ellátó cégnek / embernek függetlennek kell lennie a minket tanúsító szervezettől! A belső audit indíttatása szerint - Vállalati tervezett ciklikus belső audit Előre (hosszú távon) tervezett, és az (éves) terv szerint végrehajtott; Teljes körű; - Soron kívüli belső audit Általában alaposabb indok (nagyobb eltérések, határidő csúszások, vevői panaszok, minőségproblémák, stb.) alapján rendelik el; Általában nem teljes körűek, pl. csak egyes projekt(ek)re, folyamat(ok)ra, szervezeti egység(ek)re vagy szabványelem(ek)re vonatkoznak; Indításkor azonnal egyszerre végrehajtják; A belső audit szervezése szerint - Szabványelemek szerint - Folyamatok szerint (Vigyázat ez nem azonos a dokumentált eljárási utasítások végrehajtásának ellenőrzésével!) - Szervezeti struktúra szerint FONTOS: A belső auditnak teljes körűnek kell lennie! A belső audit lefolytatási módszere szerint... nagyon sokféle, akár egyedi módszer is megengedett! Alapvető, hogy feleljen meg - a szabvány által megkövetelt feltételeknek, - a vállalat viszonyainak és a vele szemben támasztott elvárt célkitűzéseinek, - a saját kidolgozott és dokumentált eljárásainak, - és a tervezése, végrehajtása és eredményei utólagosan igazolhatók legyenek. Dr. Horváth Zsolt László 24
Ez maga a belső audit eljárás, amit minden vállalatnak dokumentáltan el kell készítenie magának! (pl. belső audit eljárási utasítás formában) A belső audit végrehajtása, azaz a konkrét kivitelezés módja azonban lehet nagyon sokféle is, NINCS egyetlen definiált, kötelező eljárási mód! Az eljárás kialakításánál teljesülni kell a szabvány elvárásainak, a folyamat logikája által megkövetelt alapelveknek, de mindig az eljárást mindig igazítani kell a konkrét vállalati és környezeti adottságokhoz (vállalat mérete, tevékenységi köre és jellege, telephelyi adottságok, rendelkezésre álló erőforrások, kulturális környezet, stb ). 3.2 Szereplők - szerepek Felső vezető (pl. ügyvezető igazgató, vezérigazgató,...) - elrendeli a vállalati szintű belső audit lefolytatását; - jóváhagyja az éves auditprogramot; - megbízza az auditorokat (delegálható a minőségirányítási vezetőnek); - megkapja az éves auditjelentést, döntést hoz vállalati szintű intézkedésekről; Adott irányítási rendszer vezetője - megtervezi a vállalati éves auditprogramot, - koordinálja a lefolytatást; - nyomon követi az helyesbítő intézkedések végrehajtását; - összefoglalja és kiértékeli a végrehajtott éves auditprogram eredményeit; Belső vezető auditor - megtervezi az egyes konkrét auditokat; - egyeztet az auditálandó terület vezetőjével; - végrehajtja, kiértékeli és dokumentálja a lefolytatott auditokat; Belső auditor - auditorként részt vesz az audit lefolytatásában; Személyi feltételek (IBIR) belső auditori / vezető auditori kinevezéshez: Auditált vezető o MSZ ISO/IEC 27001 szabvány alapos ismerete o Minőségirányítási / információbiztonsági / informatikai ismeretek o Auditált terület szakmai ismerete o Belső auditori képzettség o Személyi alkalmasság auditori feladatok ellátására, - biztosítja az audit lefolytatásának feltételeit; - Interview-alanyként részt vesz az audit lefolytatásában; - az audit eredményei alapján intézkedési tervet dolgoz ki és hajt végre; Auditált munkatárs - Interview-alanyként részt vesz az audit lefolytatásában. 3.3 A belső auditálás folyamata (életciklusa) A belső audit éves ciklusának lépései: 1. (Megbízás a belső auditra) Dr. Horváth Zsolt László 25