Auditointi
SecMeter Audit

Auditointi on tärkeä osa yrityksen laadun, turvallisuuden ja riskienhallinnan kehittämistä. Sen tehtävänä on tuottaa näyttöön perustuva arvio siitä, vastaako käytännön toiminta asetettuja vaatimuksia. Onnistunut auditointi edellyttää huolellista valmistelua, asiantuntevaa haastattelua, selkeitä arviointikriteereitä ja täsmällistä dokumentointia.
SecMeter Audit tukee auditointiprosessia kokoamalla kysymykset, hyväksymiskriteerit, vastaukset, pisteytyksen, poikkeamat ja liitteet yhtenäiseen työvälineeseen. Sen avulla auditoinnista voidaan tehdä järjestelmällisempää, vertailukelpoisempaa ja läpinäkyvämpää. SecMeter Audit tukee näitä vaiheita tarjoamalla auditoinnille yhtenäisen ja selkeän toimintamallin.
Työväline ei kuitenkaan korvaa auditoijan osaamista ja ammatillista harkintaa. Luotettava lopputulos syntyy vasta silloin, kun järjestelmän tarjoama rakenne yhdistetään kriittiseen ajatteluun, riittävään näyttöön ja rakentavaan vuoropuheluun auditointikohteen asiantuntijoiden kanssa.
Auditoinnin kohteena voivat olla esimerkiksi tietoturvallisuus, laadunhallinta, riskienhallinta, henkilötietojen käsittely, toimitusketjut, tekniset järjestelmät tai organisaation sisäiset prosessit.
Auditointi ei ole pelkästään virheiden etsimistä, vaan sen keskeisenä tavoitteena on tuottaa luotettavaa tietoa toiminnan nykytilasta ja tunnistaa mahdollisuuksia toiminnan kehittämiseen.
Auditoinnin onnistuminen edellyttää huolellista suunnittelua, johdonmukaista kysymysten esittämistä, havaintojen dokumentointia sekä tulosten puolueetonta arviointia.
SecMeter AuditTM on työväline, joka poikkeaa edukseen monikäyttöisyydellään. Menetelmä on toteutettu täytettävänä ja tallennettavana PDF-lomakkeena, joka tuottaa raportin automaattisesti vastausten perusteella. SecMeter Auditilla ei ole erityisä asennusvaatimuksia tai rajoituksia. SecMeter AuditTM sisältää lomakkeen sisäisiä Java scriptejä. Käyttö konsultointiliiketoiminnasa on kelletty. Valtionhallinnossa tiedonhallintalaki sekä organisaatioiden omat tietoturvakäytännöt voivat edellyttää, että ulkopuolelta ladattavat tiedostot tarkastetaan tai avataan suojatussa ympäristössä ennen niiden käyttöä sisäverkossa.
Copyright © SecMeterTM 2007
SecMeter TSATTM on tarkoitettu nopeaksi ja kevyeksi menetelmäksi arvioida kolmannen osapuolen turvallisuusjärjestelyt. SecMeter STAT on työväline, joka poikkeaa edukseen keveydellä ja nopeudella. Menetelmä on toteutettu täytettävänä ja tallennettavana PDF-lomakkeena, joka tuottaa raportin automaattisesti vastausten perusteella. Sisältää lomakkeen sisäisiä Java scriptejä. Käyttö konsultointiliiketoiminnasa on kelletty. Valtionhallinnossa tiedonhallintalaki sekä organisaatioiden omat tietoturvakäytännöt voivat edellyttää, että ulkopuolelta ladattavat tiedostot tarkastetaan tai avataan suojatussa ympäristössä ennen niiden käyttöä sisäverkossa.
Auditointikysymysten hyödyntäminen SecMeter Audit -työkalussaArviointikysymykset on tarkoitettu kopioitaviksi SecMeter Audit -työkaluun. Voit kopioida työkaluun kokonaisia prosesseja tai yksittäisiä arviointikysymyksiä sekä täydentää niitä omilla kysymyksilläsi. Voit myös muodostaa erilaisia auditointikokonaisuuksia yrityksen tarpeiden mukaan.Ennen auditointia auditoija määrittelee tai tarkistaa kullekin kysymykselle hyväksymiskriteerin, mahdollisen kriittisyyden ja tarvittavan todentavan näytön. Arviointikysymykset, hyväksymiskriteerit ja esimerkit todentavasta näytöstä voidaan kopioida suoraan alla olevista valmiista malleista.Auditoinnin aikana vastaukset arvioidaan asteikolla Kyllä, Osittain, Ei tai Ei koske. Pelkän vastauksen lisäksi auditoija kirjaa havainnot, poikkeamat ja mahdolliset kehittämistarpeet. Auditointiin voidaan liittää todentavaa näyttöä, kuten asiakirjoja, valokuvia, raportteja, lokitietoja tai järjestelmäotteita.SecMeter Auditin pisteytys auttaa vertailemaan eri prosessien kypsyyttä ja tunnistamaan kehittämiskohteita. Kriittisiksi merkityt kysymykset tuovat nopeasti esiin puutteet, jotka voivat vaarantaa toiminnan jatkuvuuden, tietoturvan, laadun tai asiakastoimitukset.Auditoinnin jälkeen työkalun tuottamaa yhteenvetoa voidaan hyödyntää johdon raportoinnissa, korjaavien toimenpiteiden priorisoinnissa, vastuuttamisessa ja toteutumisen seurannassa. Kun samoja kysymyksiä käytetään myöhemmissä auditoinneissa, SecMeter Audit mahdollistaa myös tulosten vertailun, kehityksen seurannan ja prosessien jatkuvan parantamisen.SecMeter Audit arviointikysymysten mallit
Auditoinnin tarkoitus ja merkitysAuditoinnin tarkoituksena on muodostaa mahdollisimman realistinen kuva siitä, miten yritys toimii käytännössä. Kirjalliset ohjeet ja prosessikuvaukset eivät yksin riitä osoittamaan, että toimintaa toteutetaan sovitulla tavalla. Tämän vuoksi auditoinnissa tarkastellaan asiakirjojen lisäksi esimerkiksi järjestelmien asetuksia, työmenetelmiä, vastuunjakoa, henkilöstön osaamista ja konkreettisia toimintatapoja.Auditoinnilla voidaan tunnistaa sekä vahvuuksia että puutteita. Vahvuudet osoittavat, mitkä käytännöt toimivat hyvin ja mitä kannattaa jatkaa. Puutteet puolestaan auttavat kohdistamaan kehittämistoimenpiteet sellaisiin asioihin, joihin liittyy riskejä tai joissa asetetut vaatimukset eivät vielä täyty.Hyvin toteutettu auditointi tukee yrityksen johtamista. Se antaa johdolle tietoa siitä, ovatko sovitut kontrollit käytössä, onko vastuut määritelty selkeästi ja ovatko riskienhallinnan toimenpiteet riittäviä. Auditointituloksia voidaan käyttää myös investointien, koulutusten ja kehitysprojektien perustelemiseen.Auditointi voi olla sisäinen tai ulkoinen. Sisäisen auditoinnin tavoitteena on yleensä kehittää yrityksen omaa toimintaa ja valmistautua mahdollisiin ulkoisiin arviointeihin. Ulkoinen auditointi voi liittyä esimerkiksi asiakkaan vaatimuksiin, sertifiointiin, sopimusvelvoitteisiin tai viranomaisvaatimuksiin. Molemmissa tapauksissa auditoinnin tulee perustua näyttöön eikä pelkästään haastateltavien mielipiteisiin.Auditointiprosessin vaiheetAuditointi alkaa suunnittelusta. Ennen haastatteluja ja tarkastuksia määritellään auditoinnin tavoite, laajuus, arviointikriteerit ja kohteet. Samalla päätetään, keitä haastatellaan ja millaista dokumentaatiota tarvitaan. Hyvä suunnittelu ehkäisee sitä, että auditointi jää liian yleiselle tasolle tai keskittyy epäolennaisiin asioihin.Varsinaisessa auditointitilanteessa auditoija esittää kysymyksiä yrityksen asiantuntijoille ja pyytää tarvittaessa näyttöä vastausten tueksi. Kysymysten tulee olla selkeitä ja mahdollisimman neutraaleja. Auditoijan ei pidä ohjata haastateltavaa tiettyyn vastaukseen, vaan tavoitteena on selvittää, miten asia todella hoidetaan.Esimerkiksi kysymykseen siitä, käytetäänkö varastokirjanpidossa toimittajan viimeisintä ohjelmistoversiota, ei riitä pelkkä myönteinen vastaus. Auditoija voi tarkistaa ohjelmiston versionumeron, päivityshistorian, toimittajan julkaiseman version tai yrityksen päivityskäytännön. Näin vastaukselle saadaan todentava näyttö.Havaintojen keräämisen jälkeen auditoija arvioi, täyttyvätkö vaatimukset kokonaan, osittain vai eivät lainkaan. Mahdolliset poikkeamat kuvataan niin tarkasti, että niiden perusteella voidaan suunnitella korjaavia toimenpiteitä. Auditoinnin lopuksi tulokset kootaan yhteen, käsitellään vastuuhenkilöiden kanssa ja raportoidaan yrityksen johdolle.SecMeter Audit auditoinnin tukenaSecMeter Audit on yleiskäyttöinen auditoinnin työväline, joka ei ole sidottu yksittäisiin turvallisuuden osa-alueisiin tai prosesseihin. SecMeter Auditin keskeinen hyöty on auditoinnin yhdenmukaistaminen. Kun kysymykset, hyväksymiskriteerit ja vastausvaihtoehdot on määritelty etukäteen, eri auditoijat voivat arvioida toimintaa samoilla perusteilla. Tämä parantaa tulosten vertailtavuutta ja vähentää yksittäisen auditoijan henkilökohtaisten tulkintojen vaikutusta.Yksittäinen auditointikysymys sisältää varsinaisen kysymyksen lisäksi vaatimuksen tai hyväksymiskriteerin. Hyväksymiskriteeri auttaa auditoijaa ratkaisemaan, milloin vaatimus voidaan katsoa täytetyksi. Esimerkiksi ohjelmistoversiota koskevan kysymyksen hyväksymiskriteerinä voi olla, että käytössä oleva versio on toimittajan viimeisin hyväksytty versio.Työvälineessä vastaus voidaan luokitella esimerkiksi seuraavasti:
- Kyllä, kun vaatimus täyttyy kokonaan.
- Osittain, kun vaatimus täyttyy vain joiltakin osin.
- Ei, kun vaatimus ei täyty.
- Ei koske, kun kysymys ei kuulu arvioitavan kohteen toimintaan.
Vastauksiin liittyvä pisteytys helpottaa laajan auditoinnin kokonaisarviointia. Automaattinen pisteytys vähentää laskentavirheitä ja mahdollistaa tulosten tarkastelun sekä yksittäisten kysymysten, että koko auditoinnin tasolla. Pisteitä ei kuitenkaan pidä tulkita irrallaan havainnoista. Sama pistemäärä voi muodostua hyvin erilaisista puutteista, joiden riskit ja vaikutukset eivät ole keskenään samanarvoisia.Kriittiset vaatimukset ja poikkeamien käsittelyKaikki auditointikysymykset eivät ole merkitykseltään yhtä suuria. SecMeter Auditissa kysymys voidaan merkitä kriittiseksi vaatimukseksi. Tällöin kielteinen vastaus voi johtaa koko auditoinnin hylkäämiseen, vaikka muiden kysymysten perusteella saatu kokonaispistemäärä olisi hyvä.Kriittisiä vaatimuksia voivat olla esimerkiksi toiminnan jatkuvuuteen, henkilötietojen suojaamiseen, käyttöoikeuksiin, varmuuskopiointiin tai vakavien turvallisuusriskien hallintaan liittyvät asiat. Kriittisyyden määrittelyn tulee perustua riskiin. Jos liian moni vaatimus merkitään kriittiseksi, luokitus menettää merkityksensä. Jos taas todellisia avainvaatimuksia ei tunnisteta, auditoinnin tulos voi antaa toiminnasta liian myönteisen kuvan.Kun vaatimus ei täyty, poikkeama tulee kuvata selkeästi. Hyvä poikkeamakuvaus kertoo, mitä havaittiin, mihin vaatimukseen havainto liittyy ja millä näytöllä havainto voidaan todentaa. Esimerkiksi ilmaus ”päivityksissä puutteita” on liian yleinen. Tarkempi kuvaus voisi olla: ”Varastokirjanpitojärjestelmässä käytetään versiota 4.2, vaikka toimittajan hyväksymä ja julkaisema versio on 5.1. Yrityksellä ei ole dokumentoitua perustelua vanhemman version käytölle.”Poikkeamien yhteyteen voidaan lisätä huomioita ja viitteitä esimerkiksi valokuviin, raportteihin, järjestelmänäkymiin tai muihin dokumentteihin. Liitteet vahvistavat auditointijälkeä ja helpottavat tulosten myöhempää tarkistamista. Samalla on huolehdittava siitä, ettei järjestelmään tallenneta tarpeettomasti arkaluonteisia tietoja.SecMeter Auditin käyttäminen auditointitilanteessaAuditointitilanteessa SecMeter Audit toimii auditoijan työpöytänä. Auditoija voi edetä kysymys kerrallaan ja kirjata vastaukset keskustelun aikana. Työväline ei kuitenkaan saa hallita haastattelutilannetta liikaa. Auditoijan tulee säilyttää katsekontakti haastateltaviin, kuunnella vastaukset huolellisesti ja esittää tarkentavia kysymyksiä.Auditoinnin ei pitäisi muodostua mekaaniseksi kysymyslistan läpikäynniksi. Ennalta laaditut kysymykset muodostavat auditoinnin rungon, mutta auditoijan on pystyttävä reagoimaan esiin tuleviin havaintoihin. Yhden kysymyksen vastaus voi johtaa jatkokysymyksiin, joiden avulla selvitetään esimerkiksi vastuita, menettelytapoja tai riskien vaikutuksia.Vastauksen kirjaamisen yhteydessä auditoija valitsee arviointiluokan, tarkistaa muodostuvan pistemäärän ja kirjoittaa tarvittavat huomiot. Jos poikkeamia ei havaita, myös tämä voidaan todeta selkeästi. Jos vaatimus ei sovellu auditointikohteeseen, ”Ei koske” -vastaukselle kannattaa kirjata perustelu. Näin myöhemmin voidaan osoittaa, ettei kysymystä ole jätetty käsittelemättä vahingossa.Auditoinnin edetessä on tärkeää tallentaa tiedot säännöllisesti. Huolellinen kirjaaminen varmistaa, että havainnot eivät perustu myöhemmin pelkkään muistiin. Auditointitilanteessa tehdyt muistiinpanot kannattaa kuitenkin tarkistaa ennen lopullisen raportin hyväksymistä. Tekstin tulee olla ymmärrettävää, asiallista ja neutraalia.Tulosten hyödyntäminenAuditointi tuottaa arvoa vasta silloin, kun tulokset johtavat päätöksiin ja toimenpiteisiin. SecMeter Auditin yhteenveto- ja tulosnäkymien avulla voidaan tunnistaa alueet, joissa vaatimukset täyttyvät hyvin, sekä kohteet, joissa tarvitaan kehittämistä.Poikkeamille tulisi määritellä korjaavat toimenpiteet, vastuuhenkilöt ja aikataulut. Korjaavan toimenpiteen tavoitteena ei ole ainoastaan korjata yksittäistä havaintoa, vaan myös ehkäistä saman puutteen toistuminen. Tämän vuoksi on tärkeää selvittää poikkeaman juurisyy. Esimerkiksi vanhentunut ohjelmistoversio voi johtua päivitysten unohtamisesta, mutta taustalla voi olla myös puuttuva vastuunjako, riittämätön testausprosessi tai epäselvä muutostenhallinta.Auditointituloksia voidaan seurata myöhemmissä tarkastuksissa. Kun auditoinnit toteutetaan samalla työvälineellä ja yhtenäisellä arviointimallilla, yritys voi tarkastella kehitystä eri ajankohtien välillä. Näin auditoinnista muodostuu osa jatkuvaa parantamista eikä vain yksittäinen tarkastustilaisuus.Auditoinnin yhteenvetokriteeritKunkin prosessin arvioinnissa kannattaa tarkastella vähintään seuraavia kokonaisuuksia:
- Ohjeistus: Onko prosessi kuvattu ja hyväksytty?
- Vastuut: Onko prosessilla omistaja ja selkeät roolit?
- Toteutus: Toimitaanko käytännössä ohjeiden mukaisesti?
- Turvallisuus: Onko luottamuksellisuus, eheys ja saatavuus huomioitu?
- Valvonta: Seurataanko toimintaa, käyttöoikeuksia ja poikkeamia?