ISACA publikuje nowe ramy audytu IT

Organizacja ISACA opublikowała piąte wydanie dokumentu „IT Audit Framework” („Ramy audytu IT”) – jest to gruntowna aktualizacja, która dostosowuje audyt IT do rzeczywistego stanu dzisiejszych technologii (i ryzyka): ekosystemów chmurowych, sztucznej inteligencji i uczenia maszynowego, automatyzacji, zależności od podmiotów zewnętrznych oraz rosnących oczekiwań dotyczących zaufania cyfrowego.

ISACA podkreśla również, że przestrzeganie wytycznych ITAF stanowi wymóg dla specjalistów posiadających certyfikat CISA, co sprawia, że aktualizacja ta ma szczególne znaczenie dla globalnej społeczności audytorów.

Foto: Freepik

ITAF od zawsze zapewniał ramy do planowania, przeprowadzania i raportowania działań audytowych w zakresie IT. Zmieniło się jednak otoczenie:

➡️ IT nie jest już zamkniętym środowiskiem, lecz cyfrowym ekosystemem obejmującym chmurę, rozwiązania SaaS, interfejsy API i podmioty zewnętrzne.

➡️ Od zespołów audytowych oczekuje się szybszego dostarczania wniosków, wykorzystywania narzędzi analitycznych oraz ściślejszej współpracy z biznesem.

➡️ Pojawiające się technologie wprowadzają nowe wzorce ryzyka, które nie pasują do „tradycyjnych list kontrolnych”.

ITAF 5 jest odpowiedzią na tę rzeczywistość, modernizując terminologię, zakres i praktyczne wytyczne.

ISACA podsumowuje kluczowe aktualizacje w czterech tematach:

Zmodernizowana treść i zakres

ITAF 5 aktualizuje definicje i przykłady, aby odzwierciedlić nowoczesne technologie, takie jak przetwarzanie w chmurze, AI/ML i automatyzacja biznesowa, wykraczając poza dotychczasowe skupienie się na „tradycyjnych kontrolach IT”.

Zaufanie cyfrowe i integracja nowych technologii

Koncepcje zaufania cyfrowego są wplecione w cykl życia audytu, a ramy zawierają wytyczne dotyczące audytu AI/ML, zgodne z szerszymi zasobami ISACA dotyczącymi audytu AI.

Bardziej praktyczne i użyteczne dla organizacji każdej wielkości

ISACA wyraźnie podkreśla większą przejrzystość, bardziej praktyczny język oraz lepszą użyteczność.

Szerszy zakres praktyk audytowych i oczekiwań dotyczących zarządzania

Zakres został rozszerzony o analizę danych, audyt agile, ciągłe zapewnienie jakości oraz zarządzanie sztuczną inteligencją, a także większe oczekiwania dotyczące przejrzystości i nadzoru nad systemami zautomatyzowanymi.

Co zawiera

ITAF 5 zachowuje przejrzystą strukturę: Standardy (obowiązkowe), Wytyczne (zalecane) oraz Narzędzia i techniki, przy czym standardy są pogrupowane w następujący sposób:

➡️ Standardy ogólne (seria 1000): etyka, niezależność, obiektywność, należyta staranność, kompetencje, kryteria, twierdzenia

➡️ Standardy wykonania (seria 1200): planowanie, ocena ryzyka, dowody, nadzór, korzystanie z pomocy ekspertów, nieprawidłowości

➡️ Standardy sprawozdawczości (seria 1400): sprawozdawczość i działania następcze

Wytyczne towarzyszące

Oprócz ITAF 5 organizacja ISACA zaktualizowała również wytyczne towarzyszące, w tym Wytyczne dotyczące wykonania 2208: Pobieranie próbek w audycie technologii informatycznych.

Jest to bardzo praktyczne w realiach roku 2026: ogromne ilości logów, zdarzenia w chmurze, rekordy tożsamości, potoki CI/CD oraz ciągłe dążenie do zapewnienia opartego na danych. Wytyczne wyraźnie omawiają statystyczne, niestatystyczne, oparte na danych (wykorzystujące analitykę) oraz hybrydowe podejścia do pobierania próbek, a nawet poruszają kwestię, kiedy pobieranie próbek jest niewłaściwe.

Link

Autor: Sebastian Burgemejster