Audyt wewnętrzny w zakresie bezpieczeństwa informacji

Stanowisko RIO Opole:

W odpowiedzi na pismo z dnia 1 marca 2013 r. sygn. KW.1712.2.2013 dotyczące udzielenia wyjaśnienia w sprawie audytu wewnętrznego w zakresie bezpieczeństwa informacji, wyjaśniam co następuje.

Regulacje prawne dotyczące audytu wewnętrznego zostały zamieszczone w ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.U. nr 157, poz. 1240 ze zm.). Zgodnie z art. 274 ust. 3 powołanej ustawy, audyt wewnętrzny prowadzi się w jednostkach samorządu terytorialnego, jeżeli ujęta w uchwale budżetowej jednostki samorządu terytorialnego kwota dochodów i przychodów lub kwota wydatków i rozchodów przekroczyła wysokość 40.000 tys. zł. Audyt wewnętrzny prowadzi się również w jednostkach sektora finansów publicznych, których kierownicy podejmą decyzję o prowadzeniu audytu wewnętrznego (art. 274 ust. 4 powołanej ustawy).

Z dniem 31 maja 2012 r. weszło w życie rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526). Na mocy przepisu § 20 ust. 2 pkt 14 tego aktu, kierownictwo podmiotu publicznego, poza wyjątkami przewidzianymi w art. 2 ust. 3 i 4 ustawy z dnia 17 lutego 2005 r. o informatyzacji podmiotów realizujących zadania publiczne (t.j. z 2013 r. Dz. U. poz. 235), jest zobowiązane do zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. W tak ukształtowanym stanie prawnym audytor wewnętrzny/usługodawca niezależnie od wyników analizy ryzyka powinien corocznie objąć audytem wewnętrznym powyższy obszar, chyba że zostaną spełnione warunki określone w § 20 ust. 3 ww. rozporządzenia. Jeżeli realizacja zadania audytowego we wskazanym obszarze będzie konieczna ze względu na niespełnienie ww. warunków, wówczas zadanie to jako obligatoryjne należy ująć w rocznym planie audytu, o ile jednostka jest zobligowana do prowadzenia audytu wewnętrznego na mocy powołanych przepisów ustawy o finansach publicznych.

Tym samym należy podzielić stanowisko jednostki zaprezentowane w piśmie w powyższym zakresie i uznać je za prawidłowe.

{RIO Opole, 2013-03-04, sygn. NA.III.-0221-4/2013}