FORMY AUDYTU INFORMATYCZNEGO

Transkrypt

1 FORMY AUDYTU INFORMATYCZNEGO Krystian Gembala, Tomasz Piesiur Wprowadzenie Pod pojęciem audyt naleŝy rozumieć kontrolę. Wcześniej z audytem kojarzone było tylko badanie ksiąg rachunkowych pod względem prawdziwości i rzetelności ich prowadzenia. Rozwijając, było to badanie sprawozdania finansowego organizacji gospodarczej. Badanie takie było wykonywane przez biegłego rewidenta na zlecenie i miało na celu zbadanie zgodności sprawozdania z obowiązującymi przepisami prawa i wewnętrznym prawem np. statutem badanej spółki. Celem była równieŝ ocena: prawidłowości i rzetelności zawartych zdarzeń w sprawozdaniu finansowym; przedstawionej sytuacji majątkowej i finansowej firmy oraz ocena moŝliwych zagroŝeń. Istnieje wiele określeń audytu. Audyt to specyficzna działalność o charakterze zapewniającym lub zgodnym z terminologią biegłych rewidentów poświadczającym. Zadaniem audytu jest zapewnienie (dostarczenie zapewnienia), Ŝe system kontroli spełnia określone wymagania. W zaleŝności od typu audytu, zbiór wymagań moŝe być róŝny i dotyczyć np. zgodności z regulacjami, wiary-

2 godności sprawozdań finansowych, kontroli nad poziomem ryzyka operacyjnego itp. [MiFo]. Audyt oznacza procedurę oceny bilansu pojedynczego obiektu, systemu dystrybucji określonego nośnika czy przedsiębiorstwa jako całości, ze wskazaniem zauwaŝonych nieprawidłowości czy nieefektywności w zakresie uŝytkowania. Jest porównaniem stanu rzeczywistego ze stanem oczekiwanym lub zalecanym. Audytem moŝna objąć praktycznie wszystko, począwszy od finansów poprzez systemy prawne, produkcyjne po systemy informatyczne i działania operacyjne. Stąd teŝ jest wiele kryteriów podziału audytu [Geśu]. Pierwszy podział jest nierozerwalnie związany z osobami przeprowadzającymi audyt audytorami. Audytorzy mogą być pracownikami organizacji, w której dokonywane ma być badanie kontrolne albo być osobami z zewnątrz, zatrudnionymi w firmach oferujących usługi audytorskie. W zakresie kontroli wewnętrznej dany podmiot kontrolowany jest przez własnych pracowników. Odpowiednio kontrola zewnętrzna wykonywana jest przez osoby spoza kontrolowanego podmiotu. Stąd ze względu na sposób przeprowadzania audytu, wprowadzono pojęcie audytu wewnętrznego i zewnętrznego (rys. 1). Audyt wewnętrzny zewnętrzny Rys 1. Podział audytu ze względu na sposób jego przeprowadzenia Źródło: Opracowanie własne.

3 W odróŝnieniu od typowej kontroli wewnętrznej, audyt wewnętrzny ma zapobiec powstawaniu róŝnego rodzaju ryzyk. Nie ma się on jedynie ograniczyć do porównania stanu faktycznego ze stanem poŝądanym, ale ma równieŝ rekomendować działania zmierzające do poprawienia funkcjonowania badanej działalności czy systemu. W wielkich organizacjach przeprowadzaniem audytu wewnętrznego zajmuje się najczęściej wyodrębniona organizacyjnie grupa ludzi. W jednostkach sektora finansów publicznych występuje obowiązek posiadania organizacyjnej komórki, w której zatrudnieni są pracownicy zajmujący się audytem. Mówi o tym ustawa - Kontrola finansów i audyt wewnętrzny w jednostkach sektora finansów publicznych. (Dz. U. Nr 15 z 2003r). Najnowsze rozporządzenie Ministra Finansów w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego pochodzi z dnia 24 czerwca 2006r. (Dz.U. Nr 112, poz. 765). Audyt zewnętrzny, przeprowadzany jest w organizacji, na podstawie zlecenia jego wykonania innej firmie zajmującej się audytami. Osoby przeprowadzające taki audyt mają wiedzę, doświadczenie i posiadają licencję do przeprowadzania audytu. Usługi wykonywane przez audytorów odbywają się na podstawie umowy zawartej pomiędzy firmą a audytorem. Najliczniejszą grupę, audytorów zewnętrznych, stanowią biegli rewidenci, których ustawa zobowiązuje do świadczenia usług w ramach spółek biegłych rewidentów. W odróŝnieniu od audytorów wewnętrznych, audytorzy zewnętrzni mogą wydać certyfikat po przeprowadzeniu audytu. W przypadku zatrudniania audytora zewnętrznego moŝe pojawić się problem etyczny łączenie usług doradczych i audytowych. Jako osoba całkowicie obiektywna, audytor zewnętrzny ma obowiązek rzetelnie przeprowa-

4 dzić audyt, nawet jeśli po jego wykonaniu firmie miałyby grozić konsekwencje prawne z tytułu np. posiadania nielegalnego oprogramowania. Innym podziałem audytów jest podział ze względu na przedmiot audytowania. I tu wyróŝniamy (rys. 2) : audyt finansowy; audyt operacyjny; audyt informatyczny. AUDYT AUDYT FINANSOWY AUDYT OPEERACYJNY AUDYT INFORMATYCZNY AUDYT JAKOŚCI AUDYT ENERGETYCZNY Inne Rys 2. Przedmiotowy podział audytu Źródło: Opracowanie własne Audyt finansowy Audyt finansowy to sprawdzanie poprawności sprawozdań finansowych. Istotą takiego badania jest uzyskanie dowodów do oceny, czy księgi rachunkowe są prawidłowe, a sprawozdanie finansowe rzetelnie i jasno przedstawia sytuację badanego podmiotu oraz obrazuje jej rentowność.

5 Sprawdzeniu podlegają nie tylko dane liczbowe, zawarte w sprawozdaniach, ale równieŝ zawarte w nich dane tekstowe. Audyt operacyjny W centrum zainteresowania audytu operacyjnego jest ogólne działanie przedsiębiorstwa. Jego głównym ocenom, podlegają dwa kryteria działalności efektywność i skuteczność (rys. 3). Ocena efektywności działania, skupia się na ocenie wykorzystywania przez przedsiębiorstwo zasobów przy osiąganiu celów, natomiast ocena skuteczności skupia się na ocenie ilości i jakości osiągniętych celów. Audytowi operacyjnemu moŝe np. podlegać system operacyjny przedsiębiorstwa na ile zapewnia on osiąganie celów jakości i wydajności. Audyt operacyjny efektywność skuteczność Rys 3. Kryteria działalności audytu operacyjnego Źródło: Opracowanie własne Audyt informatyczny Kolejnym rodzajem audytu, ze względu na przedmiot, jest audyt informatyczny. Zakres przedmiotowy dla audytu informatycznego, jako samodzielnego przedsięwzięcia, jest bardzo szeroki od oceny zarządzania bezpieczeństwem pojedynczego systemu operacyjnego do oceny zarzą-

6 dzania bezpieczeństwem systemów informatycznych w skali całej firmy, ale naleŝy tu podkreślić, Ŝe audyt systemów informatycznych zajmuje się nie tylko bezpieczeństwem. Jest to sposób uzyskania wyczerpujących i aktualnych informacji o zainstalowanym oprogramowaniu, posiadanych licencjach oraz zasobach sprzętowych. [Kory] Audyt informatyczny pozwala zoptymalizować zakupy i umoŝliwia administratorom szybsze i bardziej precyzyjne reagowanie - zwłaszcza w sytuacjach awaryjnych. Audyt informatyczny moŝe być traktowany jako samodzielne przedsięwzięcie lub jako element pomocniczy audytu finansowego lub operacyjnego. Na przykładowy zakres audytu wewnętrznego moŝe składać się: analiza architektury sieci i moŝliwych dróg do systemów; testy istniejących zabezpieczeń sprzętowych (hardware owych); sprawdzenie bezpieczeństwa systemów backupu; ochrona współdzielonych zasobów systemowych; sprawdzenie skuteczności działania systemów antywirusowych; uwierzytelnianie i autoryzację haseł uŝytkowników; kontrola dostępu przed dostępem uŝytkowników nieuprawnionych; analiza zabezpieczeń programowych (software owych); skanowanie systemu w celu oceny jego szczelności; testy bezpieczeństwa serwera WWW; testy systemu obsługi poczty; testy pozostałych dostępnych usług; identyfikacja i analiza zagroŝeń. Na przykładowy zakres audytu zewnętrznego mogą składać się:

7 testy Penetracyjne Sieci Informatycznych; analiza zabezpieczeń software owych; testy systemu firewall; testy bezpieczeństwa serwera WWW; testy systemu obsługi poczty i pozostałych dostępnych usług; analiza bezpieczeństwa DNS; analiza architektury sieci i moŝliwych dróg dostępu do systemów. Dalszy przedmiotowy podział audytu informatycznego obejmuje [MiFo]: zarządzania projektem lub projektami; zarządzania ryzykiem informatycznym; zarządzania jakością; zarządzania umowami zewnętrznymi i wewnętrznymi itp. Inne formy audytu rozróŝnia się ze względu na cel i tu występuje: audyt efektywności; audyt bezpieczeństwa; audyt zgodności; audyt rzetelności; audyt polityki informatycznej i procedur. Kluczowym, istotnym podziałem audytu informatycznego jest rozróŝnienie podmiotu audytu. Mamy wówczas do czynienia z: audytem sprzętu, audytem oprogramowania, audytem legalności (legalna firma).

8 Audyt sprzętu Najczęściej przeprowadzaną przez firmę kontrolą posiadanych zasobów jest "spis z natury. Operacja taka jest czasochłonna i chociaŝ uwzględnia równieŝ spis komputerów, to z informatycznego punktu widzenia zebrane informacje są zazwyczaj mało przydatne. Wyniki inwentaryzacji wykorzystywane są zazwyczaj wyłącznie do weryfikacji stanu środków trwałych i nie uwzględniają szczegółowych informacji o konfiguracji komputerów. Rzadko równieŝ wyniki inwentaryzacji przechowywane są w formie elektronicznej umoŝliwiającej elastyczne tworzenie raportów grupujących komputery według róŝnych kryteriów. Przeprowadzenie audytu sprzętu komputerowego przynosi odpowiedzi na pytania stawiane w związku ze stanem i konfiguracją zasobów sprzętowych. Rezultaty przeprowadzenia takiego audytu, są bardzo przydatne dla administratorów systemów komputerowych do bieŝącej administracji zasobami, oraz opracowywania polityki zakupów i modernizacji sprzętu komputerowego. Dzięki elektronicznej formie wyników przeprowadzonego audytu moŝna szybko i łatwo generować praktycznie dowolne zestawienia. Raporty, szczególnie te regularnie aktualizowane, umoŝliwią takŝe administratorowi śledzenie zmian w konfiguracji sprzętowej komputerów, co ułatwia wystawienie diagnozy w przypadku ewentualnych problemów i przywrócenie stanowiska do normalnej pracy. Przykładowe pytania, na które powinny odpowiadać wyniki przeprowadzonego audytu sprzętowego to: czy konkretny komputer znajduje się w firmie? jaka jest konfiguracja poszczególnych stacji roboczych? jakie dodatkowe komponenty są w komputerze zainstalowane?

9 jaka jest przeciętna konfiguracja stacji roboczej w jednostce organizacyjnej (firmie)? które z komputerów w znaczący sposób odstają od przeciętnej (zarówno silniejsze jak znacznie słabsze sprzętowo konfiguracje? czy konfiguracja komputerów pokrywa się z ich konfiguracjami zakupu lub ostatnimi odnotowanymi modyfikacjami? Audyt oprogramowania Procedura przeprowadzenia tego audytu jest zbliŝona do metodologii wykonywania audytów sprzętu. Na kaŝdym komputerze uruchomiony zostaje specjalny skaner, który zbiera informacje o wszystkich plikach przechowywanych na lokalnych dyskach twardych. Następnie wynik takiej inwentaryzacji zapisywany zostaje w oddzielnym pliku. Wszystkie pliki z inwentaryzacjami porównywane są z bazą danych, która zawiera wzorce pakietów oprogramowania. UmoŜliwia to identyfikację aplikacji zainstalowanych na komputerach uŝytkowników na podstawie charakterystycznych kombinacji plików skatalogowanych podczas inwentaryzacji. W większości firm przed przeprowadzeniem audytu istnieje brak rzetelnej wiedzy, o tym jakie aplikacje i na których stacjach są wykorzystywane. Nawet w firmach, posiadających określone zasady instalacji oprogramowania, na komputerach uŝytkowników moŝna znaleźć aplikacje nie zarejestrowane przez dział informatyki. Szczególnie interesujące jest wyszukanie aplikacji niepoŝądanych, nie mających związku z charakterem wykonywanej pracy. Nierzadko część najsilniejszych komputerów w firmie wykorzystywana jest w rzeczywistości jako konsole do gier, a nie jako narzędzie pracy.

10 Audyt oprogramowania pozwala odpowiedzieć na pytania: które programy i ile pracuje na stacjach roboczych? MoŜe większość z nich nie jest potrzebna do wykonywania zadań i bezcelowo obciąŝa stacje robocze; które programy są najpopularniejsze? Odpowiedź ułatwi ustanowienie standardu w firmach, których uŝytkownicy wykorzystują edytory tekstu, arkusze kalkulacyjne itp.; czy pracownicy wykorzystują swoje komputery do pracy, czy zabawy? Audyt moŝe wykazać, Ŝe część komputerów w firmie wykorzystywana jest jako konsole do gier; jakiego typu dane przechowywane są na stacjach roboczych uŝytkowników mimo, iŝ właściwą lokalizacją dla nich powinny być trudniej dostępne dla intruzów serwery? jak duŝa powierzchnia dysków lokalnych zajmowana jest przez pliki typu AVI, MP3 itp.? Posiadanie plików multimedialnych w wielu firmach nie jest zabronione, dyski twarde uŝytkowników często zapełniają się bezuŝytecznymi, z korporacyjnego punktu widzenia, danymi. Audyt legalności Z pojęciem audytu legalności nierozerwalnie łączy się pytanie: Czy moja firma uŝywa legalnego oprogramowania? Przeprowadzony wcześniej audyt oprogramowania pozwala stwierdzić, jakie oprogramowanie i w jakiej liczbie zainstalowane jest na firmowych komputerach. Audyt legalności polega na dokładnym sprawdzeniu, czy firma jest uprawniona do stosowania tego oprogramowania z prawnego punktu widzenia. Audyt

11 legalności jest operacją bardzo czasochłonną. Przede wszystkim naleŝy odnaleźć wszystkie licencje na oprogramowanie znajdujące się w firmie. Dopiero po zebraniu wszystkich licencji określa się ich typ i w zaleŝności od niego - najbardziej optymalny sposób liczenia oprogramowania. Po finalizacji audytu legalności przygotowywany jest dokładny raport, odpowiadający na wszystkie postawione wcześniej pytania. Przedstawia on m.in. informację, na które aplikacje firma posiada: zbyt małą liczbę licencji; w ogóle ich nie posiada; więcej licencji niŝ zainstalowanych w sieci aplikacji. Aby mówić o licencjach na oprogramowanie, naleŝy najpierw powiedzieć: czym w ogóle jest licencja; jakie są rodzaje licencji; jak jest zbudowana licencja; co wchodzi w skład dokumentacji licencyjnej. Taka wiedza pozwala uzmysłowić jak waŝne jest posiadanie, oryginalnej dokumentacji licencyjnej i jak odpowiednio, do potrzeb firmy, dobrać sposób licencjonowania oprogramowania. Procedura audytu informatycznego Procedura przeprowadzania audytu informatycznego polega na konfrontacji liczby licencji oprogramowania z rzeczywistą liczbą uŝywanego w firmie oprogramowania. Audyt nie dotyczy jedynie określenia stopnia tej zgodności. W trakcie audytu podejmuje się sugerować wizję pracy firmy przy pomocy juŝ pracującego oraz dostępnego oprogramowania.

12 Zaleca się jak maksymalizować wykorzystanie istniejących systemów, jak realizować ich rozbudowę oraz jak nadzorować praktyczne ich uŝytkowanie. Istnieją dwa rodzaje procedur przeprowadzania audytu informatycznego: audyt pełny audyt "na zasadzie próbki". Audyt pełny. Proces audytu pełnego obejmuje czynności uwidocznione poniŝej w procedurach od 1 do 6. Wykonanie pełnego audytu, umoŝliwia wystąpienie z wnioskiem o wydanie certyfikatu legalności do firmy Microsoft. Certyfikat ten zostanie, po weryfikacji wniosku, przyznany firmie audytowanej. Do przeprowadzenia audytu pełnego skłaniane są przedsiębiorstwa, które mogą mieć uzasadnione wątpliwości, co do posiadanych zasobów oprogramowania. Audyt "na zasadzie próbki". Procedura tego audytu ograniczona jest do procentowo określonej liczby komputerów pracujących w przedsiębiorstwie. Liczba komputerów, przeznaczonych do audytu próbnego, określana jest na podstawie zabranych informacji i wynosi od 10% do 30% całkowitej liczby komputerów. W audycie "na zasadzie próbki" wykonywane są czynności określone w punktach 1, 2, 4, 5, 6. Wynik audytu moŝe stanowić podstawę do wystąpienia do firmy Microsoft o wydanie certyfikatu. NaleŜy jednak wyraźnie stwierdzić, Ŝe wniosek ten moŝe być przez nią nie uwzględniony z przyczyn róŝnych; na przykład z nieposiadaniem przez firmę danych o zarejestrowanych produktach. Tego rodzaju audyt zalecany jest dla firm prowadzących dokumentację zarządzania licencja-

13 mi i mających wdroŝone mechanizmy bezpieczeństwa uŝytkowania oprogramowania. Procedury audytu 1. Informacje o firmie. Celem pierwszego etapu jest zebranie informacji związanych z przeprowadzanym audytem. Oprócz informacji związanych z zakresem działalności firmy, zebrane dane dotyczą: liczby i rodzajów komputerów pracujących w firmie (typy, rozmieszczenie), informacji o produktach firmy Microsoft, które są wykorzystywane przez pracowników, zestawienie na podstawie dokumentacji licencji na oprogramowanie, weryfikacja liczby licencji (ze względu na moŝliwe nieścisłości związane z róŝnego rodzaju dokumentami zakupu). 2. Obliczenie i oszacowanie próbki testowej. Celem tego etapu, jest oszacowanie "stopnia ryzyka" audytu, umoŝliwiającego wykonanie audytu próbnego. Audyt próbny ma na celu weryfikację punktu 1 audytu. Audyt próbny dotyczy ograniczonej liczby komputerów, obliczonej jako procent całkowitej liczby komputerów. Danymi wejściowymi są informacje z punktu 1 oraz ankieta dotycząca polityki zarządzania oprogramowaniem w firmie. 3. Inwentaryzacja i skanowanie komputerów. W etapie 3 następuje "przeskanowanie" wszystkich komputerów w firmie. Szacuje się, Ŝe w ciągu jednego dnia, w zaleŝności od warunków, zbadanych moŝe być od 20 do 30 komputerów.

14 4. Sporządzenie raportu i wyjaśnienia. W wyniku przeprowadzonego "skanowania" następuje sporządzenie raportu oraz w drodze konsultacji, wyjaśniane są wszelkie wątpliwości. 5. Ustalenie dalszego trybu postępowania. W zaleŝności od wyników uwidocznionych w raporcie Zleceniodawca wraz z audytorem określają ewentualne potrzeby i moŝliwości w sposobach zakupów licencji lub decydują o rozpoczęciu procesu finalizacji audytu. 6. Finalizacja audytu. Przesłanie do firmy Microsoft wyników audytu z wnioskiem o wydanie Certyfikatu. Podsumowanie Profesja audytu informatycznego, wraz ze wzrostem złoŝoności systemów informatycznych, powstała i rozwinęła się w Polsce pod koniec XX wieku. Podobnie jak w przypadku audytu finansowego, zaczęły powstawać komórki i firmy zajmujące się audytem informatycznym z uwagi na rosnące potrzeby informacyjne szczebla zarządzania. Chodziło o zapewnienie kontrolowanego, bez lub z zakładanym poziomem ryzyka, zarządzania systemami informatycznymi w małych, średnich i wielkich organizacjach. Istotnym zadaniem było przedstawienie umiejscowienia audytu informatycznego w procesie audytowania, wcześniej nie związanego z IT. W zakres audytu informatycznego wchodzą wszystkie systemy informatyczne i związane z nimi zasoby (budynki, okablowanie, systemy klimatyzacyjne i in. niezbędne do funkcjonowania systemów informatycznych) systemy bazodanowe, platformy systemowe, oprogramowanie, sprzęt komputerowy, problemy związane z zarządzaniem

15 licencjami itp. WaŜne jest w jakim stopniu szczegółowości realizowane są funkcje związane z procesem zarządzania ryzykiem i jak wpływają one na proces zapewnienia bezpieczeństwa systemów. Literatura [MiFo] Mirosław Forystek CIA CISA Audyt informatyczny, Wyd. InfoAudit, Warszawa 2005 [Geśu] K. Gembala, P. śurowiec Audyt - narzędzie efektywnego zarządzania zasobami informatycznymi SYSTEMY WSPOMAGANIA ORGANIZACJI SWO` p.red. T. Porębska-Miąc, H. Sroka, Wydawnictwo Akademii Ekonomicznej w Katowicach, Katowice [Micr] Materiały szkoleniowe firmy Microsoft 2004r. - [StJu] B. Stefańska, M. Jurkiewicz Opracowanie Kancelarii Radców Prawnych i Adwokatów Nowakowski i Wspólnicy s.j. Toruń 2005 r. [Kory] J. Korytowski (wywiad) Audyt jako narzędzie usprawniające funkcjonowanie organizacji. Źródło: Serwis egov.pl, [Taki] T. Kifner - Polityka bezpieczeństwa i ochrony informacji. Wyd. Helion Gliwice 1999 Informacje o autorach Dr Krystian Gembala Mgr Tomasz Piesiur Katedra Informatyki

16 Akademia Ekonomiczna ul. Bogucicka Katowice Polska Numer telefonu (fax) +48/32/ gembala@ae.katowice.pl tomek_p@ ae.katowice.pl