Jeśli w jednostce zostanie podjęta decyzja o powierzeniu realizacji audytu wewnętrznego w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego, wówczas przypisanie tego zadania powinno odbyć się w sposób formalny poprzez odpowiednie uzupełnienie karty audytu lub innych dokumentów wewnętrznych określających cel, zakres i uprawnienia audytu wewnętrznego w jednostce, o zapisy jednoznacznie wskazujące komórkę audytu jako odpowiedzialną za realizację tego zadania.

Realizacja audytu bezpieczeństwa informacji jako zadania zapewniającego następowałaby z uwzględnieniem wymogów określonych w ustawie o finansach publicznych[1], rozporządzeniu w sprawie przeprowadzania i dokumentowania audytu wewnętrznego[2] oraz w Standardach audytu wewnętrznego[3]. Wymogi te dotyczą w szczególności:

• rocznego planowania audytu wewnętrznego, co oznaczałoby konieczność umieszczania tego zadania w planie audytu (w przypadku, jeśli zadanie to nie wynikałoby wprost z przeprowadzonej analizy ryzyka, podstawą do uwzględnienia zadania w obszarze bezpieczeństwa informacji w planie audytu może być § 7 ust. 1 pkt 3 rozporządzenia w sprawie przeprowadzania i dokumentowania audytu wewnętrznego);
• przygotowania programu zadania audytowego;
• prezentowania, uzgadniania i komunikowania wyników zadania w formie sprawozdania.

Kierownik jednostki podejmując decyzję o powierzeniu komórce audytu wewnętrznego realizacji audytu wewnętrznego w zakresie bezpieczeństwa informacji powinien brać pod uwagę, że wyznaczenie stałego obszaru ryzyka do corocznego przeprowadzania zadań zapewniających może wpływać na ograniczenie realizacji zadań zapewniających w innych obszarach ryzyka, z uwagi na zasoby komórki audytu wewnętrznego. Kwestia ta nabierze szczególnego znaczenia w przypadku prowadzenia audytu wewnętrznego przez audytora wewnętrznego zatrudnionego na niepełny etat (lub też usługodawcę niezatrudnionego w jednostce w przypadku braku skonkretyzowania liczby zadań, które będą realizowane w jednostce). W skrajnych przypadkach audytor wewnętrzny będzie realizował zadania zapewniające tylko w obszarze bezpieczeństwa informacji. Istotnym elementem będzie tu bezpośrednia komunikacja pomiędzy audytorem wewnętrznym a kierownikiem jednostki dotycząca liczby i zakresu pozostałych zadań zapewniających.

Kierownik jednostki podejmując decyzję o powierzeniu komórce audytu wewnętrznego realizacji audytu wewnętrznego w zakresie bezpieczeństwa informacji powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie oraz znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku, gdy zespół audytu wewnętrznego nie będzie posiadał kompetencji do objęcia badaniem ww. obszaru, należy rozważyć skorzystanie z pomocy ekspertów z wewnątrz lub z zewnątrz jednostki.

• [1] Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz. U. z 2013 r. poz. 885, z późn. zm.
• [2] Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego, Dz. U. Nr 21, poz. 108.
• [3] Standardy audytu wewnętrznego dla jednostek sektora finansów publicznych, Komunikat Nr 2 Ministra Finansów z dnia 17 czerwca 2013 r., Dz. Urz. Min. Fin. poz. 15.