AUDYT INFORMATYCZNY JAKO NARZĘDZIE DOSKONALENIA FUNKCJONOWANIA ORGANIZACJI. Beata Hysa



Podobne dokumenty
WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

MAGISTERSKIE STUDIA FINANSÓW, RACHUNKOWOŚCI I UBEZPIECZEŃ

Audyt systemów informatycznych w świetle standardów ISACA

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

SZCZEGÓŁOWY HARMONOGRAM KURSU

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Procedura Audity wewnętrzne Starostwa Powiatowego w Lublinie

Normalizacja dla bezpieczeństwa informacyjnego

ISO w Banku Spółdzielczym - od decyzji do realizacji

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

Promotor: dr inż. Krzysztof Różanowski

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

KARTA AUDYTU WEWNĘTRZNEGO

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

ISO 9001:2015 przegląd wymagań

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

KARTA AUDYTU WEWNĘTRZNEGO SGH

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

Zarządzenie Nr 17/2010 Burmistrza Krapkowic z dnia 22 kwietna 2010 roku

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

II. Rola Zarządu, Rady Nadzorczej i Komitetu Audytu

System kontroli wewnętrznej w Banku Spółdzielczym w Narolu

Robert Meller, Nowoczesny audyt wewnętrzny

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

SPIS TREŚCI Audyt wewnętrzny wydanie II

Załącznik Nr 1 do Zarządzenia Nr 439/09 Prezydenta Miasta Szczecin z dnia 8 września 2009 r. STATUT AUDYTU WEWNĘTRZNEGO W GMINIE MIASTO SZCZECIN

System kontroli wewnętrznej

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

System kontroli wewnętrznej w Banku Millennium S.A.

System kontroli wewnętrznej. w Powiślańskim Banku Spółdzielczym w Kwidzynie

Informatyka w kontroli i audycie

Opis systemu kontroli wewnętrznej Banku Spółdzielczego w Połańcu. 1. Cele i organizacja systemu kontroli wewnętrznej

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBAWIE

ZARZĄDZENIE Nr 120/2011 Rektora Uniwersytetu Wrocławskiego z dnia 29 grudnia 2011 r.

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŁOSICACH

Regulamin audytu wewnętrznego

System kontroli wewnętrznej w Banku Spółdzielczym w Leśnicy

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W MAŁOPOLSKIM BANKU SPÓŁDZIELCZYM. I. Cele i organizacja systemu kontroli wewnętrznej

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Banku Spółdzielczym w Brodnicy

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Krzysztof Świtała WPiA UKSW

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

I. Cele systemu kontroli wewnętrznej.

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Iłży

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

BANK SPÓŁDZIELCZY W WOLBROMIU

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

System kontroli wewnętrznej w Limes Banku Spółdzielczym

Współpraca biegłego rewidenta z departamentem audytu wewnętrznego badanej jednostki

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krasnymstawie

System Kontroli Wewnętrznej w Banku Spółdzielczym w Andrespolu ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPOŁDZIELCZYM W ANDRESPOLU

Przedszkole Nr 30 - Śródmieście

System kontroli wewnętrznej w Banku Spółdzielczym w Jordanowie

Rozdział 1. Postanowienia ogólne

Regulamin audytu wewnętrznego

Zmiany i nowe wymagania w normie ISO 9001:2008

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Zarządzenie nr 155/2011 Burmistrza Ozimka z dnia 1 grudnia 2011 roku

SPÓŁDZIELCZY BANK POWIATOWY w Piaskach

Komunikat nr 115 z dnia r.

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

System kontroli wewnętrznej w Banku Spółdzielczym w Głogowie Małopolskim

Szkolenie otwarte 2016 r.

System kontroli wewnętrznej w Łużyckim Banku Spółdzielczym w Lubaniu będącym uczestnikiem Spółdzielni Systemu Ochrony Zrzeszenia BPS

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

DROGA DO SUKCESU ZARZĄDZANIA ZARZĄDZANIE JAKOŚCIĄ, WYBRANE ELEMENTY

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim

Rola i zadania Komitetu Audytu. Warszawa,

Opis systemu kontroli wewnętrznej w mbanku S.A.

I. O P I S S Z K O L E N I A

Rodzaje audytu. Artur Sierszeń

Standard ISO 9001:2015

Organizacja i funkcjonowanie Systemu Kontroli Wewnętrznej w HSBC Bank Polska S.A.

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU

Transkrypt:

AUDYT INFORMATYCZNY JAKO NARZĘDZIE DOSKONALENIA FUNKCJONOWANIA ORGANIZACJI Beata Hysa 1. Wprowadzenie Celem artykułu jest przedstawienie pojęcia audytu informatycznego oraz jego znaczenia w doskonaleniu funkcjonowania organizacji. We wstępnej części wyjaśniono termin audyt, i jego rodzaje. Następnie omówiono istotną róŝnicę pomiędzy audytem informatycznym a audytem bezpieczeństwa. Na koniec przedstawiono korzyści z przeprowadzania audytu informatycznego w organizacji. 2. Pojęcie audytu Rosnące uzaleŝnienie współczesnych przedsiębiorstw i innych organizacji od sprawnego funkcjonowania systemów informacyjnych, przy coraz większej złoŝoności rozwiązań informatycznych wchodzących w skład tych systemów, dało impuls do rozwoju tzw. audytu informatycznego usług polegających na niezaleŝnej ocenie rozwiązań informatycznych i organizacyjnych składających się na systemy informacyjne działające w organizacjach [Zale05]. Przed omówieniem znaczenia audytu informatycznego w organizacji warto wyjaśnić termin audyt. Słowo audyt jest powszechnie znane i bardzo często nieprawidłowo uŝywane, kojarzone głównie z kontrolą dokumentów księgowych przed-

siębiorstwa. Podstawowym powodem tych nieporozumień moŝe być fakt, iŝ audyt jest zapoŝyczony wprost z języka angielskiego audit. W publikacjach moŝna spotkać pisownię audyt i audit, choć ten pierwszy jest powszechnie uŝywany. Nawet Polski Komitet Normalizacyjny nie jest jednoznaczny, jeśli chodzi o pisownię, w normie PN-EN ISO 9000:2001 terminologia [PN-EN01] przyjmuje pisownie audit w innej PN-I-02000 [PN-I-98] juŝ audyt. Przeglądając witryny internetowe moŝna natknąć się na przeróŝne przymiotniki odnoszące się do tego terminu (audyt systemu, procesu, informatyczny, bezpieczeństwa, wewnętrzny, zewnętrzny, finansowy i inne), co jeszcze bardziej komplikuje zrozumienie pojęcia audyt. Norma PN-EN ISO 9000:2001 [PN-EN01] definiuje audit jako usystematyzowany, niezaleŝny i udokumentowany proces uzyskania dowodu z auditu i obiektywnej oceny w celu określenia, w jakim stopniu spełniono uzgodnione kryteria auditu. Audyty moŝemy ogólnie podzielić na wewnętrzne i zewnętrzne. Audyt wewnętrzny moŝe mieć charakter audytu systemu, procesu lub wyrobu. Jest przeprowadzony przez osobę zazwyczaj pracującą w organizacji, czasami nazywany audytem pierwszej strony. Audyty zewnętrzne określane są auditami drugiej lub trzeciej strony. Audyt drugiej strony jest przeprowadzany przez przedsiębiorstwo u swojego podwykonawcy, natomiast, jeśli audyt jest wykonywany przez jednostkę niezaleŝną od dostawcy lub poddostawcy nazywany jest audytem trzeciej strony, zazwyczaj jest to organizacja poświadczająca certyfikacją lub rejestracją zgodność z wymaganiami takimi jak ISO 9001 lub ISO 14001:1996.

Według klasyfikacji IIA (Institute of Internal Auditors) Instytut Audytorów Wewnętrznych wyróŝnia następujące typy audytów [Lide04]: 1. Finansowy jest to analiza działalności organizacji dotycząca wyników finansowych i zagadnień księgowych, Polega na niezaleŝnej i obiektywnej weryfikacji i wyraŝeniu opinii o prawidłowości i rzetelności sprawozdania finansowego. Audyt ten jest wykonywany przez biegłego rewidenta na podstawie Ustawy o biegłych rewidentach oraz zgodnie z Normami wykonywania zawodu. MoŜemy wyróŝnić: audyt sprawozdań finansowych, audyt prawidłowości realizacji projektu w zakresie wydatkowania i rozliczenia otrzymanego dofinansowania, dotacji lub poŝyczek, audyt podatkowy, audyt wynagrodzeń, ubezpieczeń społecznych, 2. Zgodności jest to analiza kontroli finansowych i operacyjnych oraz transakcji pod kątem ich zgodności z przepisami, planami procedurami i standardami. Na przykład audyt w systemach zarządzania jakością. 3. Operacyjny jest to analiza wszystkich lub wybranych funkcji organizacji pod kątem wydajności ekonomiczności oraz efektywności z jaką są te funkcje realizowane w celu osiągnięcia celów biznesowych organizacji. 3. Audyt informatyczny a audyt bezpieczeństwa Na szczególną uwagę zasługuje audyt informatyczny, wykorzystywanych w procesach biznesowych organizacji systemów informatycznych

oraz projektów takich systemów. naleŝący do trzeciego typu audytu operacyjnego. Autyt informatyczny wykonuje się przede wszystkim, aby: zweryfikować zgodność działania systemów informatycznych z wymogami Prawa (ustawa o rachunkowości, ochronie danych osobowych, itp.), dokonać weryfikacji stanu bezpieczeństwa systemów informatycznych lub pojedynczych aplikacji oraz zaimplementowanych procedur kontrolnych i ich efektywności, przeanalizować ryzyko związane z prowadzeniem projektu informatycznego. Audyt informatyczny powinien przebiegać następująco [Lide03] : 1. Zapoznanie się z procesem poznanie, jakie mechanizmy kontrolne zaplanowano, przewidziano. 2. Ocena zaplanowanych, przewidzianych mechanizmów kontrolnych pod kątem ich adekwatności (wystarczalności i siły) w stosunku do potrzeb. 3. Ocena zgodności zastanej praktyki z planami i przewidywaniami (czy mechanizmy są stosowane i/lub jak dobrze działają), inaczej testowanie zgodności (testy mechanizmów kontrolnych). 4. Ocena ryzyka uzyskanie dowodów, Ŝe podatności i braki (błędy struktury i realizacji) w systemie kontroli mogą prowadzić do strat (nie osiągnięcia celów biznesowych). 5. Opracowanie raportu z audytu z oceną osiągnięcia kaŝdego z celów kontroli. Zakres przedmiotowy audytu informatycznego jest bardzo szeroki od oceny zarządzania bezpieczeństwem pojedynczego systemu operacyjnego

do oceny zarządzania bezpieczeństwem systemów informatycznych całej firmy. Trzeba jednak podkreślić, Ŝe audyt informatyczny to nie tylko określenie bezpieczeństwa informacji, choć moŝna odnieść takie wraŝenie przeglądając witryny niektórych firm. Równie błędnie interpretowany jest audyt bezpieczeństwa. Wiele firm, oferujących swoje usługi pod nazwą audyt informatyczny lub audyt bezpieczeństwa oferuje wykonanie spisu inwentaryzacyjnego zasobów informatycznych klienta poprzez wykorzystanie tzw. skanerów inwentaryzacyjnych (GASP, KeyAudit, Languard network Security Scaner). Aby wyjaśnić, jaka jest róŝnica między audytem informatycznym a informacyjnym i jak poprawnie naleŝy rozmieć te pojęcia moŝna posłuŝyć się standardem COBIT (Control Objectives for Information and Related Technology) opracowanym i rozwijanym w ramach ISACA (Information Systems Audit and Control Association). Standard ten zawiera Control Objectives, czyli tak zwane Punkty Kontrolne, gdzie określone są 302 szczegółowe wymagania przypisane do 34 procesów przebiegających w systemach informatycznych. Osoba przeprowadzająca audyt musi znaleźć uzasadnione potwierdzenie ich spełnienia lub niespełnienia w ramach ocenianej organizacji. W Tabeli 1 poszczególne wiersze zawierają procesy biznesowe organizacji związane z wykorzystaniem informatyki, w kolumnach kryteria oceny tych procesów (1-7) oraz zasoby, których dotyczą (I-V). JeŜeli audyt będzie dotyczył wszystkich 34 procesów wymienionych w tabeli, ocenianych zarówno przez pryzmat pierwszo jak i drugorzędnych kryteriów, będzie to pełny audyt informatyczny. JeŜeli procesy będą oceniane tylko według wybranych kryteriów, np. poufności, integralności i dostępności to moŝemy mówić o audycie bezpieczeństwa informatycznego. MoŜemy, zatem powiedzieć, iŝ audyt bezpieczeństwa jest tylko częścią audytu informatycz-

nego [Lide04]. Przy okazji naleŝałoby wyjaśnić inne pojęcia audytu związane w jakiś sposób z informatyką.: Audyt informacyjny jako diagnoza stanu posiadania strategii biznesowej, ocena jej poprawności oraz ocena postrzegania i stopnia jej akceptacji wśród pracowników firmy. Audyt informatyczny e biznes jako analiza moŝliwości wejścia firmy na rynek e biznesu. Praca audytorów dotyczy szacowania kosztów, oceny korzyści, doboru odpowiednich narzędzi informatycznych. Audyt telekomunikacyjny jako ocena wykorzystania infrastruktury telekomunikacyjnej Audyt bezpieczeństwa jako niezaleŝny przegląd i ocena działania systemu komputerowego pod kątem adekwatności istniejących zabezpieczeń do ustalonej polityki oraz w celu wykrycia potencjalnych zagroŝeń (zgodnie z uznanym standardem.

Tabela 1. Audyt informatyczny według COBIT Kryteria Zasoby informatyczne PROCES NAZWA 1 2 3 4 5 6 7 I II III IV V Planowanie i organizowanie P01 Definiowanie planu strategicznego IT P S X X X X X P02 Definiowanie architektury IT P S S S X X P03 Determinowanie kierunku technologicznego P S X X P04 Definiowanie organizacji i relacji IT P S X P05 Zarządzanie inwestycjami IT P P S X X X X P06 Przedstawienie celów i kierunków rozwoju formułowanych przez kierownictwo P S X P07 Zarządzanie zasobami ludzkimi P P X P08 Zapewnienie zgodności z wymogami otoczenia P P S X X X P09 Szacowanie ryzyka S S P P P S S X X X X X P10 Zarządzanie projektami P P X X X X P11 Zarządzanie jakością P P P S X X Nabywanie i wdraŝanie A11 Identyfikacja rozwiązań P S X X X A12 Nabywanie i utrzymywanie oprogramowania aplikacyjnego A13 Nabywanie i utrzymywanie architektury technologicznej P P S S S X P P S X A14 Rozwijanie i utrzymywanie procedur IT P P S S S X X X X A15 Instalowanie i akredytowanie systemów P S S X X X X X XA16 Zarządzanie zmianami P P P P S X X X X X Dostarczanie i wspieranie DS1 Definiowanie poziomów serwisowych P P S S S S S X X X X X

DS2 Zarządzenie obcym serwisem P P S S S S S X X X X X DS3 Zarządzanie efektywnością i wydajnością P P S X X X DS4 Zapewnienie ciągłości serwisu P S P X X X X X DS5 Zapewnienie bezpieczeństwa systemów P P S S S X X X X X DS6 Identyfikowanie i przypisywanie kosztów P P X X X X X DS7 Edukowanie i szkolenia uŝytkowników P S X DS8 Asystowanie i pomaganie klientom IT P X X DS9 Zarządzanie konfiguracją P S S X X X DS10 Zarządzanie problemami i incydentami P P S X X X X X DS11 Zarządzanie danymi P P X DS12 Zarządzanie urządzeniami P P X DS13 Zarządzanie operacjami P P S S X X X X Monitorowanie M1 Monitorowanie procesów P S S S S S S X X X X X M2 Ocena odpowiedniości kontroli wewnętrznej P P S S S S S X X X X X M3 Uzyskiwanie niezaleŝnej opinii P P S S S S S X X X X X M4 Zapewnienie niezaleŝnego audytu P P S S S S S X X X X X Źródło: Biuletyn Instytutu Automatyki i Robotyki, 21/2004 Oznaczenia w tabeli: P znaczenie pierwszorzędne dla oceny procesu wykorzystania i przetwarzania informacji S znaczenie drugorzędne dla oceny procesu wykorzystania i przetwarzania informacji Kryteria oceny procesu i przetwarzania informacji; 1 skuteczność, 2- wydajność, 3 poufność, 4 integralność, 5 dostępność, 6 zgodność, 7- rzetelność. Zasoby informatyczne: I ludzie, II-aplikacje, III-technologia, IV-urządzenia, V-dane

4. Znaczenie audytu informatycznego w funkcjonowaniu organizacji NaleŜy podkreślić fakt, iŝ audyt zajmuje się przede wszystkim badaniem, ocenianiem sprawności i skuteczności systemu kontroli wewnętrznej dla róŝnych procesów występujących w firmie. Celem tego działania jest usprawnienie funkcjonowania całej organizacji firmy. Z punktu widzenia wykonywanych działań, sposobu przeprowadzenia audytu, poszczególne jego rodzaje są do siebie podobne. Audyt słuŝy organizacjom w zarządzaniu ryzykiem niepowodzenia w realizacji celów biznesowych. Zasoby informatyczne, od których zaleŝne są całe branŝe, nabrały charakteru kluczowych czynników sukcesu dla wielu organizacji.. Czasy, w których inŝynierowie informatycy posiadali tajemną, sobie tylko znaną wiedzę, bezpowrotnie minęły. Rozwiązaniom technicznego zapewniania bezpieczeństwa muszą towarzyszyć obecnie sprawnie funkcjonujące procesy zarządzania informatyką i jej bezpieczeństwem.[kory06] Dość powszechne jest przekonanie, Ŝe audyt ma charakter kontroli, która ma słuŝyć wyciągnięciu konsekwencji wobec osób, które przyczyniły się do powstania nieprawidłowości. Tak nie jest nowoczesny audyt informatyczny opiera się na koncepcji zarządzania ryzykiem w organizacji i jako taki koncentruje się na ocenie sposobu zarządzania środkami, które zapobiegają urzeczywistnieniu się zagroŝeń, na jakie naraŝona jest organizacja. Prace audytowe powinny spełniać określone standardy, powinny przebiegać w sposób systematyczny, konsekwentny i uporządkowany. RóŜnica

pomiędzy poszczególnymi audytami dotyczą zasadniczo przedmiotu audytu i sposobu przeprowadzania tzw. testów dowodowych. Sposób wykonywania audytu precyzują odpowiednie standardy. W przypadku audytu informatycznego najbardziej popularnymi są te opublikowane przez Stowarzyszenie do spraw Audytu i Kontroli Systemów Informatycznych ISACA, dzięki którym ocena będąca rezultatem audytu staje się obiektywna. W duŝym uproszczeniu postępowanie audytora polega na zapoznaniu się z rzeczywistą sytuacją i porównaniu jej z ustalonymi kryteriami. Podstawowym sposobem na zachowanie obiektywizmu w tym procesie jest ustalenie jednoznacznych kryteriów oceny, które będą dla audytora podstawą do formułowania wniosków i rekomendacji [Delo05]. Do tego celu moŝe posłuŝyć się typowymi normami i standardami. Popularnym w tym zakresie standardem jest KOBIT. DuŜo audytów jest wykonywanych w odniesieniu do innych regulacji określających wymagania wobec systemów informatycznych, np. normy PN-ISO/IEC 17799 dotyczącej zarządzania bezpieczeństwem informatycznym, Ustawy o rachunkowości, Ustawy o ochronie danych osobowych, Ustawy o informacjach niejawnych, rekomendacji Generalnego Inspektoratu Nadzoru Bankowego czy dowolnie innej, w tym polityk, procedur i standardów obowiązujących wewnętrznie w organizacji. Najbardziej popularne standardy i normy (COBIT, PN-ISO/IEC 17799 czy ITIL) mają charakter otwarty. Nie podpowiadają konkretnych rozwiązań technicznych i nie odpowiedzą na pytanie, jak zapobiegać konkretnemu zagroŝeniu, (co zresztą wynika z bardzo określonych powodów). Pomogą natomiast tak zorganizować procesy zarządzania, by w organizacji moŝna było łatwo wskazać osobę, która za opracowanie i wdroŝenie tego typu rozwiązań technicznych jest

odpowiedzialna, jak równieŝ by kierownictwo (niedysponujące najczęściej specjalistyczną wiedzą informatyczną) mogło rozliczyć ją z realizacji tych obowiązków. 5. Podsumowanie O znaczeniu informatyki w dzisiejszym świecie nie trzeba nikogo przekonywać. MoŜna powiedzieć, Ŝe nie ma firm, których działalność nie byłaby wspomagana komputerowo. Systemy informatyczne są kluczowym elementem działania większości firm. Wartość informacji zgromadzonej i przetworzonej przez komputery firmy jest jednym z waŝniejszych a czasem najwaŝniejszym zasobem. Według badań Uniwersytetu w Chicago z grona firm, które utraciły swe dane 50% bankrutuje od razu a 30% w ciągu następnego roku. Zatem naleŝy docenić wpływ, jaki ma właściwe zarządzanie systemami informatycznymi na osiągane przez firmę wyniki. Wynika stąd równieŝ, jak istotne znaczenie moŝe mieć audyt informatyczny, który w efekcie daje bardziej skuteczne, sprawniejsze i bezpieczniejsze wykorzystanie systemów informatycznych. O wzroście zainteresowania audytem informatycznym moŝe świadczyć fakt, iŝ coraz więcej wyŝszych uczelni i róŝnych stowarzyszeń organizuje studia podyplomowe lub kursy dotyczące audytu informatycznego w organizacji. Literatura [Zale05] Zalewski A., Cegieła R., sacha K.: Modele i praktyka audytu informatycznego, Wydział Elektroniki i Technik In-

formacyjnych, Politechnika Warszawska, www.e- informatyka.pl 2005. [Kory06] Korytowski J.: Audyt jako narzędzie usprawniania organizacji, Forum Nowoczesnej Administracji Publicznej, www..egov.pl, 18.04.2006 [Lide03] Liderman K., Patkowski Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego, Biuletyn IaiR, Nr 18,WAT, Warszawa 2003. [Lide04] Liderman K.:Czy audyt bezpieczeństwa teleinformatycznego jest tym samym co audyt informatyczny?, Biuletyn IaiR, Nr 21,WAT, Warszawa 2004 [PN-EN01] PN-EN_ISO 9000:2001: Systemy zarządzania jakością Podstawy i Terminologia. [PN-I-98] PN-I-02000: Technika informatyczna Zabezpieczenia w systemach informatycznych, 1998. [Delo05] Deloitte Polska, ://www.deloitte.com, 24 Listopada 2005 [COB98] COBIT Control Objectives, April 1998, COBIT Steering Committee and the Information Systems Audit and Control Foundation. Mgr inŝ.. Beata Hysa Wydział Organizacji i Zarządzania Katedra Informatyki i Ekonometrii Politechnika Śląska ul. Roosvelta 26-28 41-800 Zabrze Numer telefonu) +48/32/2777355 e-mail: beata,hysa@polsl.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres