AUDYT INFORMATYCZNY JAKO NARZĘDZIE DOSKONALENIA FUNKCJONOWANIA ORGANIZACJI. Beata Hysa

Transkrypt

1 AUDYT INFORMATYCZNY JAKO NARZĘDZIE DOSKONALENIA FUNKCJONOWANIA ORGANIZACJI Beata Hysa 1. Wprowadzenie Celem artykułu jest przedstawienie pojęcia audytu informatycznego oraz jego znaczenia w doskonaleniu funkcjonowania organizacji. We wstępnej części wyjaśniono termin audyt, i jego rodzaje. Następnie omówiono istotną róŝnicę pomiędzy audytem informatycznym a audytem bezpieczeństwa. Na koniec przedstawiono korzyści z przeprowadzania audytu informatycznego w organizacji. 2. Pojęcie audytu Rosnące uzaleŝnienie współczesnych przedsiębiorstw i innych organizacji od sprawnego funkcjonowania systemów informacyjnych, przy coraz większej złoŝoności rozwiązań informatycznych wchodzących w skład tych systemów, dało impuls do rozwoju tzw. audytu informatycznego usług polegających na niezaleŝnej ocenie rozwiązań informatycznych i organizacyjnych składających się na systemy informacyjne działające w organizacjach [Zale05]. Przed omówieniem znaczenia audytu informatycznego w organizacji warto wyjaśnić termin audyt. Słowo audyt jest powszechnie znane i bardzo często nieprawidłowo uŝywane, kojarzone głównie z kontrolą dokumentów księgowych przed-

2 siębiorstwa. Podstawowym powodem tych nieporozumień moŝe być fakt, iŝ audyt jest zapoŝyczony wprost z języka angielskiego audit. W publikacjach moŝna spotkać pisownię audyt i audit, choć ten pierwszy jest powszechnie uŝywany. Nawet Polski Komitet Normalizacyjny nie jest jednoznaczny, jeśli chodzi o pisownię, w normie PN-EN ISO 9000:2001 terminologia [PN-EN01] przyjmuje pisownie audit w innej PN-I [PN-I-98] juŝ audyt. Przeglądając witryny internetowe moŝna natknąć się na przeróŝne przymiotniki odnoszące się do tego terminu (audyt systemu, procesu, informatyczny, bezpieczeństwa, wewnętrzny, zewnętrzny, finansowy i inne), co jeszcze bardziej komplikuje zrozumienie pojęcia audyt. Norma PN-EN ISO 9000:2001 [PN-EN01] definiuje audit jako usystematyzowany, niezaleŝny i udokumentowany proces uzyskania dowodu z auditu i obiektywnej oceny w celu określenia, w jakim stopniu spełniono uzgodnione kryteria auditu. Audyty moŝemy ogólnie podzielić na wewnętrzne i zewnętrzne. Audyt wewnętrzny moŝe mieć charakter audytu systemu, procesu lub wyrobu. Jest przeprowadzony przez osobę zazwyczaj pracującą w organizacji, czasami nazywany audytem pierwszej strony. Audyty zewnętrzne określane są auditami drugiej lub trzeciej strony. Audyt drugiej strony jest przeprowadzany przez przedsiębiorstwo u swojego podwykonawcy, natomiast, jeśli audyt jest wykonywany przez jednostkę niezaleŝną od dostawcy lub poddostawcy nazywany jest audytem trzeciej strony, zazwyczaj jest to organizacja poświadczająca certyfikacją lub rejestracją zgodność z wymaganiami takimi jak ISO 9001 lub ISO 14001:1996.

3 Według klasyfikacji IIA (Institute of Internal Auditors) Instytut Audytorów Wewnętrznych wyróŝnia następujące typy audytów [Lide04]: 1. Finansowy jest to analiza działalności organizacji dotycząca wyników finansowych i zagadnień księgowych, Polega na niezaleŝnej i obiektywnej weryfikacji i wyraŝeniu opinii o prawidłowości i rzetelności sprawozdania finansowego. Audyt ten jest wykonywany przez biegłego rewidenta na podstawie Ustawy o biegłych rewidentach oraz zgodnie z Normami wykonywania zawodu. MoŜemy wyróŝnić: audyt sprawozdań finansowych, audyt prawidłowości realizacji projektu w zakresie wydatkowania i rozliczenia otrzymanego dofinansowania, dotacji lub poŝyczek, audyt podatkowy, audyt wynagrodzeń, ubezpieczeń społecznych, 2. Zgodności jest to analiza kontroli finansowych i operacyjnych oraz transakcji pod kątem ich zgodności z przepisami, planami procedurami i standardami. Na przykład audyt w systemach zarządzania jakością. 3. Operacyjny jest to analiza wszystkich lub wybranych funkcji organizacji pod kątem wydajności ekonomiczności oraz efektywności z jaką są te funkcje realizowane w celu osiągnięcia celów biznesowych organizacji. 3. Audyt informatyczny a audyt bezpieczeństwa Na szczególną uwagę zasługuje audyt informatyczny, wykorzystywanych w procesach biznesowych organizacji systemów informatycznych

4 oraz projektów takich systemów. naleŝący do trzeciego typu audytu operacyjnego. Autyt informatyczny wykonuje się przede wszystkim, aby: zweryfikować zgodność działania systemów informatycznych z wymogami Prawa (ustawa o rachunkowości, ochronie danych osobowych, itp.), dokonać weryfikacji stanu bezpieczeństwa systemów informatycznych lub pojedynczych aplikacji oraz zaimplementowanych procedur kontrolnych i ich efektywności, przeanalizować ryzyko związane z prowadzeniem projektu informatycznego. Audyt informatyczny powinien przebiegać następująco [Lide03] : 1. Zapoznanie się z procesem poznanie, jakie mechanizmy kontrolne zaplanowano, przewidziano. 2. Ocena zaplanowanych, przewidzianych mechanizmów kontrolnych pod kątem ich adekwatności (wystarczalności i siły) w stosunku do potrzeb. 3. Ocena zgodności zastanej praktyki z planami i przewidywaniami (czy mechanizmy są stosowane i/lub jak dobrze działają), inaczej testowanie zgodności (testy mechanizmów kontrolnych). 4. Ocena ryzyka uzyskanie dowodów, Ŝe podatności i braki (błędy struktury i realizacji) w systemie kontroli mogą prowadzić do strat (nie osiągnięcia celów biznesowych). 5. Opracowanie raportu z audytu z oceną osiągnięcia kaŝdego z celów kontroli. Zakres przedmiotowy audytu informatycznego jest bardzo szeroki od oceny zarządzania bezpieczeństwem pojedynczego systemu operacyjnego

5 do oceny zarządzania bezpieczeństwem systemów informatycznych całej firmy. Trzeba jednak podkreślić, Ŝe audyt informatyczny to nie tylko określenie bezpieczeństwa informacji, choć moŝna odnieść takie wraŝenie przeglądając witryny niektórych firm. Równie błędnie interpretowany jest audyt bezpieczeństwa. Wiele firm, oferujących swoje usługi pod nazwą audyt informatyczny lub audyt bezpieczeństwa oferuje wykonanie spisu inwentaryzacyjnego zasobów informatycznych klienta poprzez wykorzystanie tzw. skanerów inwentaryzacyjnych (GASP, KeyAudit, Languard network Security Scaner). Aby wyjaśnić, jaka jest róŝnica między audytem informatycznym a informacyjnym i jak poprawnie naleŝy rozmieć te pojęcia moŝna posłuŝyć się standardem COBIT (Control Objectives for Information and Related Technology) opracowanym i rozwijanym w ramach ISACA (Information Systems Audit and Control Association). Standard ten zawiera Control Objectives, czyli tak zwane Punkty Kontrolne, gdzie określone są 302 szczegółowe wymagania przypisane do 34 procesów przebiegających w systemach informatycznych. Osoba przeprowadzająca audyt musi znaleźć uzasadnione potwierdzenie ich spełnienia lub niespełnienia w ramach ocenianej organizacji. W Tabeli 1 poszczególne wiersze zawierają procesy biznesowe organizacji związane z wykorzystaniem informatyki, w kolumnach kryteria oceny tych procesów (1-7) oraz zasoby, których dotyczą (I-V). JeŜeli audyt będzie dotyczył wszystkich 34 procesów wymienionych w tabeli, ocenianych zarówno przez pryzmat pierwszo jak i drugorzędnych kryteriów, będzie to pełny audyt informatyczny. JeŜeli procesy będą oceniane tylko według wybranych kryteriów, np. poufności, integralności i dostępności to moŝemy mówić o audycie bezpieczeństwa informatycznego. MoŜemy, zatem powiedzieć, iŝ audyt bezpieczeństwa jest tylko częścią audytu informatycz-

6 nego [Lide04]. Przy okazji naleŝałoby wyjaśnić inne pojęcia audytu związane w jakiś sposób z informatyką.: Audyt informacyjny jako diagnoza stanu posiadania strategii biznesowej, ocena jej poprawności oraz ocena postrzegania i stopnia jej akceptacji wśród pracowników firmy. Audyt informatyczny e biznes jako analiza moŝliwości wejścia firmy na rynek e biznesu. Praca audytorów dotyczy szacowania kosztów, oceny korzyści, doboru odpowiednich narzędzi informatycznych. Audyt telekomunikacyjny jako ocena wykorzystania infrastruktury telekomunikacyjnej Audyt bezpieczeństwa jako niezaleŝny przegląd i ocena działania systemu komputerowego pod kątem adekwatności istniejących zabezpieczeń do ustalonej polityki oraz w celu wykrycia potencjalnych zagroŝeń (zgodnie z uznanym standardem.

7 Tabela 1. Audyt informatyczny według COBIT Kryteria Zasoby informatyczne PROCES NAZWA I II III IV V Planowanie i organizowanie P01 Definiowanie planu strategicznego IT P S X X X X X P02 Definiowanie architektury IT P S S S X X P03 Determinowanie kierunku technologicznego P S X X P04 Definiowanie organizacji i relacji IT P S X P05 Zarządzanie inwestycjami IT P P S X X X X P06 Przedstawienie celów i kierunków rozwoju formułowanych przez kierownictwo P S X P07 Zarządzanie zasobami ludzkimi P P X P08 Zapewnienie zgodności z wymogami otoczenia P P S X X X P09 Szacowanie ryzyka S S P P P S S X X X X X P10 Zarządzanie projektami P P X X X X P11 Zarządzanie jakością P P P S X X Nabywanie i wdraŝanie A11 Identyfikacja rozwiązań P S X X X A12 Nabywanie i utrzymywanie oprogramowania aplikacyjnego A13 Nabywanie i utrzymywanie architektury technologicznej P P S S S X P P S X A14 Rozwijanie i utrzymywanie procedur IT P P S S S X X X X A15 Instalowanie i akredytowanie systemów P S S X X X X X XA16 Zarządzanie zmianami P P P P S X X X X X Dostarczanie i wspieranie DS1 Definiowanie poziomów serwisowych P P S S S S S X X X X X

8 DS2 Zarządzenie obcym serwisem P P S S S S S X X X X X DS3 Zarządzanie efektywnością i wydajnością P P S X X X DS4 Zapewnienie ciągłości serwisu P S P X X X X X DS5 Zapewnienie bezpieczeństwa systemów P P S S S X X X X X DS6 Identyfikowanie i przypisywanie kosztów P P X X X X X DS7 Edukowanie i szkolenia uŝytkowników P S X DS8 Asystowanie i pomaganie klientom IT P X X DS9 Zarządzanie konfiguracją P S S X X X DS10 Zarządzanie problemami i incydentami P P S X X X X X DS11 Zarządzanie danymi P P X DS12 Zarządzanie urządzeniami P P X DS13 Zarządzanie operacjami P P S S X X X X Monitorowanie M1 Monitorowanie procesów P S S S S S S X X X X X M2 Ocena odpowiedniości kontroli wewnętrznej P P S S S S S X X X X X M3 Uzyskiwanie niezaleŝnej opinii P P S S S S S X X X X X M4 Zapewnienie niezaleŝnego audytu P P S S S S S X X X X X Źródło: Biuletyn Instytutu Automatyki i Robotyki, 21/2004 Oznaczenia w tabeli: P znaczenie pierwszorzędne dla oceny procesu wykorzystania i przetwarzania informacji S znaczenie drugorzędne dla oceny procesu wykorzystania i przetwarzania informacji Kryteria oceny procesu i przetwarzania informacji; 1 skuteczność, 2- wydajność, 3 poufność, 4 integralność, 5 dostępność, 6 zgodność, 7- rzetelność. Zasoby informatyczne: I ludzie, II-aplikacje, III-technologia, IV-urządzenia, V-dane

9 4. Znaczenie audytu informatycznego w funkcjonowaniu organizacji NaleŜy podkreślić fakt, iŝ audyt zajmuje się przede wszystkim badaniem, ocenianiem sprawności i skuteczności systemu kontroli wewnętrznej dla róŝnych procesów występujących w firmie. Celem tego działania jest usprawnienie funkcjonowania całej organizacji firmy. Z punktu widzenia wykonywanych działań, sposobu przeprowadzenia audytu, poszczególne jego rodzaje są do siebie podobne. Audyt słuŝy organizacjom w zarządzaniu ryzykiem niepowodzenia w realizacji celów biznesowych. Zasoby informatyczne, od których zaleŝne są całe branŝe, nabrały charakteru kluczowych czynników sukcesu dla wielu organizacji.. Czasy, w których inŝynierowie informatycy posiadali tajemną, sobie tylko znaną wiedzę, bezpowrotnie minęły. Rozwiązaniom technicznego zapewniania bezpieczeństwa muszą towarzyszyć obecnie sprawnie funkcjonujące procesy zarządzania informatyką i jej bezpieczeństwem.[kory06] Dość powszechne jest przekonanie, Ŝe audyt ma charakter kontroli, która ma słuŝyć wyciągnięciu konsekwencji wobec osób, które przyczyniły się do powstania nieprawidłowości. Tak nie jest nowoczesny audyt informatyczny opiera się na koncepcji zarządzania ryzykiem w organizacji i jako taki koncentruje się na ocenie sposobu zarządzania środkami, które zapobiegają urzeczywistnieniu się zagroŝeń, na jakie naraŝona jest organizacja. Prace audytowe powinny spełniać określone standardy, powinny przebiegać w sposób systematyczny, konsekwentny i uporządkowany. RóŜnica

10 pomiędzy poszczególnymi audytami dotyczą zasadniczo przedmiotu audytu i sposobu przeprowadzania tzw. testów dowodowych. Sposób wykonywania audytu precyzują odpowiednie standardy. W przypadku audytu informatycznego najbardziej popularnymi są te opublikowane przez Stowarzyszenie do spraw Audytu i Kontroli Systemów Informatycznych ISACA, dzięki którym ocena będąca rezultatem audytu staje się obiektywna. W duŝym uproszczeniu postępowanie audytora polega na zapoznaniu się z rzeczywistą sytuacją i porównaniu jej z ustalonymi kryteriami. Podstawowym sposobem na zachowanie obiektywizmu w tym procesie jest ustalenie jednoznacznych kryteriów oceny, które będą dla audytora podstawą do formułowania wniosków i rekomendacji [Delo05]. Do tego celu moŝe posłuŝyć się typowymi normami i standardami. Popularnym w tym zakresie standardem jest KOBIT. DuŜo audytów jest wykonywanych w odniesieniu do innych regulacji określających wymagania wobec systemów informatycznych, np. normy PN-ISO/IEC dotyczącej zarządzania bezpieczeństwem informatycznym, Ustawy o rachunkowości, Ustawy o ochronie danych osobowych, Ustawy o informacjach niejawnych, rekomendacji Generalnego Inspektoratu Nadzoru Bankowego czy dowolnie innej, w tym polityk, procedur i standardów obowiązujących wewnętrznie w organizacji. Najbardziej popularne standardy i normy (COBIT, PN-ISO/IEC czy ITIL) mają charakter otwarty. Nie podpowiadają konkretnych rozwiązań technicznych i nie odpowiedzą na pytanie, jak zapobiegać konkretnemu zagroŝeniu, (co zresztą wynika z bardzo określonych powodów). Pomogą natomiast tak zorganizować procesy zarządzania, by w organizacji moŝna było łatwo wskazać osobę, która za opracowanie i wdroŝenie tego typu rozwiązań technicznych jest

11 odpowiedzialna, jak równieŝ by kierownictwo (niedysponujące najczęściej specjalistyczną wiedzą informatyczną) mogło rozliczyć ją z realizacji tych obowiązków. 5. Podsumowanie O znaczeniu informatyki w dzisiejszym świecie nie trzeba nikogo przekonywać. MoŜna powiedzieć, Ŝe nie ma firm, których działalność nie byłaby wspomagana komputerowo. Systemy informatyczne są kluczowym elementem działania większości firm. Wartość informacji zgromadzonej i przetworzonej przez komputery firmy jest jednym z waŝniejszych a czasem najwaŝniejszym zasobem. Według badań Uniwersytetu w Chicago z grona firm, które utraciły swe dane 50% bankrutuje od razu a 30% w ciągu następnego roku. Zatem naleŝy docenić wpływ, jaki ma właściwe zarządzanie systemami informatycznymi na osiągane przez firmę wyniki. Wynika stąd równieŝ, jak istotne znaczenie moŝe mieć audyt informatyczny, który w efekcie daje bardziej skuteczne, sprawniejsze i bezpieczniejsze wykorzystanie systemów informatycznych. O wzroście zainteresowania audytem informatycznym moŝe świadczyć fakt, iŝ coraz więcej wyŝszych uczelni i róŝnych stowarzyszeń organizuje studia podyplomowe lub kursy dotyczące audytu informatycznego w organizacji. Literatura [Zale05] Zalewski A., Cegieła R., sacha K.: Modele i praktyka audytu informatycznego, Wydział Elektroniki i Technik In-

12 formacyjnych, Politechnika Warszawska, informatyka.pl [Kory06] Korytowski J.: Audyt jako narzędzie usprawniania organizacji, Forum Nowoczesnej Administracji Publicznej, [Lide03] Liderman K., Patkowski Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego, Biuletyn IaiR, Nr 18,WAT, Warszawa [Lide04] Liderman K.:Czy audyt bezpieczeństwa teleinformatycznego jest tym samym co audyt informatyczny?, Biuletyn IaiR, Nr 21,WAT, Warszawa 2004 [PN-EN01] PN-EN_ISO 9000:2001: Systemy zarządzania jakością Podstawy i Terminologia. [PN-I-98] PN-I-02000: Technika informatyczna Zabezpieczenia w systemach informatycznych, [Delo05] Deloitte Polska, :// 24 Listopada 2005 [COB98] COBIT Control Objectives, April 1998, COBIT Steering Committee and the Information Systems Audit and Control Foundation. Mgr inŝ.. Beata Hysa Wydział Organizacji i Zarządzania Katedra Informatyki i Ekonometrii Politechnika Śląska ul. Roosvelta Zabrze Numer telefonu) +48/32/ beata,hysa@polsl.pl