Information Systems Audit And Control Association (ISACA) jest największą i najważniejszą, niezależną organizacją zajmującą się problemami audytu, kontroli i zarządzania w środowisku informatycznym. W ISACA zrzeszonych jest ponad 35,000 osób tworzących prawie 200 oddziałów na całym świecie. Wspólnie z fundacją ISAC (Information Systems Audit and Control Foundation) oraz IT Governance Institute służy dostarczając informacji, standardów, wytycznych, badań, certyfikacji i edukacji.
Najbardziej znane produkty ISACA to: COBIT- standard zarządzania i kontroli SI, CONeCT - standard audytu środowiska sieciowego oraz program edukacyjny PSS (Professional Seminar Series).
ISACA organizuje na całym świecie konferencje. Najbardziej znane z nich należą do serii CACS (Computer Audit, Control and Security - EuroCACS, AsiaCACS itp.). ISACA, wraz z ISACF, przygotowuje także szereg opracowań i raportów. Ostatnie z nich dotyczą gorącego tematu - handlu elektronicznego. ISACA prowadzi także najbardziej znany, ogólnoświatowy, program certyfikacji audytorów systemów informatycznych - CISA. Uczestniczyło w nim już kilkadziesiąt tysięcy osób z całego świata! Niedawno zaproponowaliśmy certyfikat dla osób zajmujących się bezpieczeństwem IT CISM (Certified Information Security Manager) - posiada go już ponad 4000 osób. W Polsce ISACA jest reprezentowana przez ISACA - stowarzyszenie do spraw audytu i kontroli systemów informatycznych, które zostało zarejestrowane w 1998 roku w stołecznym sądzie. Celem Stowarzyszenia jest działalność edukacyjna służąca podnoszeniu oraz rozwijaniu wiedzy i umiejętności Członków w zakresie prowadzenia audytu oraz świadczenia usług doradczych w dziedzinie audytu i kontroli systemów informatycznych. Stowarzyszenie organizuje w Warszawie egzaminy dla kandydatów do tytułu CISA, konferencje i warsztaty poświęcone audytowi i kontroli oraz przygotowuje procedury audytu systemów, a także tłumaczenia materiałów anglojęzycznych (standardy, wytyczne, raporty itp.). Swoim członkom oferuje wartościowy program spotkań roboczych. Witryna Internetowa Stowarzyszenia powstała w listopadzie 1999 roku..
Standards for Information Systems AuditingStandardy i wytyczne audytowania systemów informatycznychStandardy ISACA są tłumaczone na język polski w ramach bezterminowego projektu WCP2 (na stronie projektu znajduje się zawsze najnowsza wersja standardów).STANDARDY, WYTYCZNE i PROCEDURYSTANDARDYIstnieje osiem kategorii Standardów Audytowania SI. Standardy Audytowania SI są krótkimi i obowiązkowymi wymaganiami wobec raportów audytowych tworzonych przez członków stowarzyszenia ISACA lub Certyfikowanych Audytorów SI (CISA). Wytyczne Audytowania SI oraz procedury stanowią szczegółową pomoc w tym, jak stosować owe standardy. Wytyczne Audytowania SI są wskazówkami, zgodnie z którymi audytor zwykle będzie postępował, dopuszczając wystąpienie sytuacji w których audytor do nich się nie zastosuje. W takich przypadkach, na audytorze spoczywa odpowiedzialność za uzasadnienie sposobu, w jaki prace zostały przeprowadzone. Przykłady procedur pokazują, jakie kroki podejmuje audytor SI i mają charakter w większym stopniu informacyjny od Wytycznych. Przykłady procedur są tak zbudowane, aby ściśle nawiązywać do Standardów i Wytycznych Audytowania SI oraz dostarczać wskazówek jak się stosować do Standardów. W pewnym stopniu, ustanawiają one również tzw. "dobre praktyki", z którymi procedury powinny być zgodne.Trzy pierwsze cyfry w numerze dokumentu dotyczą ośmiu kategorii standardów. Standardy audytowania SI zaczynają się od cyfry "0" a standardy dla specjalistów od systemu kontroli SI zaczynają się od cyfry "5". Numery poszczególnych standardów stanowią drugą trójkę cyfr w numerze dokumentu. Trzecia grupa cyfr w numerze dokumentu jest numerem wytycznej. Procedury są wyszczególniane osobno i numerowane zgodnie z datą wydania. Kompletna lista omawianych dokumentów zawarta jest w spisach standardów, wytycznych i procedur audytowania SI. Kategoria standardu Standard Wytyczna
000 .000 .000
Na przykład, dokument 060.020.040 jest wytyczną. Dostarcza wskazówek do szóstej kategorii standardów, pt. "Realizacja Prac Audytowych". Wytyczna dotyczy drugiego standardu w tej kategorii, pt. "Dowody". Jest to czwarta wytyczna wyszczególniona w pozycji Dowody. Procedury są numerowane w kolejności zgodnie z tym jak są wydawane, zaczynając od numeru "1".Sugeruje się, aby w ramach corocznego programu audytowego, jak również w ramach indywidualnych przeglądów w trakcie roku, audytor SI przeglądał standardy w celu zapewnienia zgodności z nimi. Audytor SI może odwoływać się do standardów w swoich raportach, stwierdzając, że przegląd został przeprowadzony zgodnie z prawem danego kraju, odpowiednimi regulacjami dotyczącymi audytu i standardami ISACA.Cechy audytu:Zasady wykonywania audytu: 010 Prawa i powinności audytu 020 Niezależność 030 Standardy i etyka zawodowa 040 Kompetencje
wersja polska: HTML.wersja angielska: HTML, PDF (Acrobat Reader)WYTYCZNE - dostarczają wskazówek do stosowania standardów.Audytor systemów informatycznych powinien: brać je pod uwagę, gdy określa sposoby zastosowania standardów wykorzystać swoją wiedzę zawodową, być w stanie uzasadnić odstępstwa od nich gdy je stosuje (UWAGA - dokumenty w oryginale - nie zostały jeszcze przetłumaczone)ENGLISH VERSION010 Prawa i powinności audytu (Audit Charter) .010 Obowiązki, uprawnienia i odpowiedzialność (Responsibility, Authority and Accountability) .010 Prawa i powinności audytu - statut audytu Obowiązuje od 1 Września 1999 .020 Outsourcing (przekazanie) działań IT do innych organizacji Obowiązuje od 1 Września 1999020 Niezależność (Independence) .010 Niezależność zawodowa (Professional Independence) .010 Effect of Nonaudit Role on the IS Auditor's Independence Obowiązuje od 1 Lipca 2002 Zobacz także: 020.020.010 Powiązania organizacyjne i niezależność .020 Powiązania organizacyjne (Organisational Relationship) .010 Powiązania organizacyjne i niezależność Obowiązuje od 1 Września 2000 Zobacz także: 020.010.010 Effect of Nonaudit Role on the IS Auditor's Independence030 Standardy i etyka zawodowa (Professional Ethics and Standards) .010 Kodeks etyki zawodowej (Code of Professional Ethics) .010 Irregularities and Illegal Acts Obowiązuje od 1 Lipca 2002 Zobacz także: 030.020.020 Należyta profesjonalna staranność; 020.020.010 Powiązania organizacyjne i niezależność .020 Należyta staranność zawodowa (Due Professional Care) .010 Rozważania audytowe nt. nieprawidłowości Obowiązuje od 1 Marca 2000 .020 Należyta profesjonalna staranność Obowiązuje od 1 Września 1999 Zobacz także: 060.020.070 Stosowanie technik komputerowego wspomagania audytu 030.010.010 Irregularities and Illegal Acts040 Kompetencje (Competence) .010 Umiejętności i wiedza (Skills and Knowledge) .020 Ustawiczne szkolenie zawodowe (Continuing Professional Education)050 Planowanie (Planning) .010 Planowanie audytu (Audit Planning) .010 Pojęcie istotności w audytowaniu systemów informatycznych
Obowiązuje od 1 Września 1999 .020 Planning Revised Effective 1 March 2002 .020 Planowanie audytu systemów informatycznych Expires 1 March 2002 .030 Ocena ryzyka podczas planowania audytu Obowiązuje od 1 Września 2000 .040 Effect of Third Parties on an Organisation's IT Controls Obowiązuje od 1 Marca 2002 Zobacz także: 030.020.010 Rozważania audytowe nt. nieprawidłowości; 010.010.020 Outsourcing (przekazanie) działań IT do innych organizacji ; 060.020.070 Stosowanie technik komputerowego wspomagania audytu 060 Wykonywanie prac audytowych (Performance of Audit Work) .010 Nadzór (Supervision) .020 Dowody (Evidence) .010 Dokumentacja audytu Obowiązuje od 1 Września 1999 .020 Application Systems Review Obowiązuje od 1 Listopada 2001 .030 Wymóg dowodów audytu Obowiązuje od 1 Grudnia 1998 .040 Próbkowanie audytowe Obowiązuje od 1 Marca 2000 .050 IT Governance Obowiązuje od 1 Lipca 2002 .060 Wpływ skrośnych mechanizmów kontrolnych SI Obowiązuje od 1 Marca 2000 .070 Stosowanie technik komputerowego wspomagania audytu
Obowiązuje od 1 Grudnia 1998 .080 Wykorzystanie prac innych audytorów i ekspertów
Obowiązuje od 1 Czerwca 1998 Zobacz także: 030.020.010 Rozważania audytowe nt. nieprawidłowości; 010.010.020 Outsourcing (przekazanie) działań IT do innych organizacji ; 050.010.030 Ocena ryzyka podczas planowania audytu070 Raportowanie (Reporting) .010 Forma i zawartość raportu (Report Content and Form) .010 Forma i zawartość raportu Obowiązuje od 1 Grudnia 1998 Zobacz także: 060.020.010 Dokumentacja audytu; 030.020.010 Audit
Considerations for Irregularities 080 Dalszy tok działań (Follow-Up Activities) .010 Dalszy tok działań (Follow-Up)Dodatek - Słownik terminów PROCEDURY - dostarczają przykładowych procedur, które mogą być wykorzystywane w trakcie pracy audytora systemów informatycznych. Dokumenty procedur dostarczają informacji jak spełniać STANDARDY w trakcie wykonywania pracy. Informacje w nich zawarte nie mogą być traktowane ani jako standard, ani jako wytyczna. Procedury mają jedynie charakter poglądowy.1. Ocena ryzyka informatycznego 2. Podpisy cyfrowe 3. Detekcja intruzów 4. Wirusy i inne złośliwe oprogramowanie 5. Samoocena ryzyka kontroli 6. Ściany ogniowe 7. Nieprawidłowości i czyny niedozwolone
