FORMY AUDYTU INFORMATYCZNEGO



Podobne dokumenty
Regulamin audytu wewnętrznego

ZAPYTANIE OFERTOWE. Górnośląskie Przedsiębiorstwo Wodociągów SA ul. Wojewódzka 19, Katowice zaprasza do złoŝenia oferty handlowej na:

Regulamin audytu wewnętrznego

KARTA AUDYTU WEWNĘTRZNEGO SGH

INFORMATYKA PROJEKTY ROZWIĄZANIA OFERTA - AUDYT LEGALNOŚCI OPROGRAMOWANIA

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Moduł 6. Dokumentacja techniczna stanowiska komputerowego

AUDYT - NARZĘDZIE EFEKTYWNEGO ZARZĄDZANIA ZASOBAMI INFORMATYCZNYMI

ZARZĄDZENIE NR 18/11 BURMISTRZA MIASTA KOŚCIERZYNA. z dnia 17 stycznia 2011 r.

Załącznik Nr 1 do Zarządzenia Nr 439/09 Prezydenta Miasta Szczecin z dnia 8 września 2009 r. STATUT AUDYTU WEWNĘTRZNEGO W GMINIE MIASTO SZCZECIN

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU

Opis przedmiotu zamówienia

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

Umowa Nr. Zawarta w dniu.. roku w..., pomiędzy... zwanym w dalszej części umowy Zamawiającym reprezentowanym przez:

Zarządzenie Nr 01/2011 Dyrektora Gminnego Ośrodka Kultury w Nieporęcie z dnia 23 marca 2011

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Zarządzenie nr ZEAS 0161/-5/2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

Ustawa z dnia 27 sierpnia 2009 roku Przepisy wprowadzające ustawę o finansach publicznych (Dz.U. Nr 157, poz. 1241)

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Zapytanie ofertowe nr OR

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

7. zainstalowane oprogramowanie zarządzane stacje robocze

SPIS TREŚCI Audyt wewnętrzny wydanie II

THB Systemy Informatyczne Sp. z o.o. Wrocław. s p e c j a l i s t y c z n e s y s t e m y i n f o r m a t y c z n e. Szanowni Państwo!

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Szczegółowa Specyfikacja przeprowadzenia audytu zewnętrznego. Ogólne warunki specyfikacji

Instrukcja przeprowadzania samooceny kontroli zarządczej w Kujawsko-Pomorskim Centrum Pulmonologii w Bydgoszczy

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku

RAPORT Z AUDYTU WEWNĘTRZNEGO URZĘDU GMINY TRĄBKI WIELKIE

Nr dokumentu: PR6 edycja: 2.0 Obowiązuje od: Niniejszy dokument jest własnością firmy ABC do uŝytku wewnętrznego, podlega nadzorowi

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

oceny kontroli zarządczej

Cel i hipoteza pracy

uplook z modułem statlook program do audytu oprogramowania i kontroli czasu pracy

Zarządzenie nr 155/2011 Burmistrza Ozimka z dnia 1 grudnia 2011 roku

I. Forma organizacyjno - prawna, struktura własnościowa i struktura zarządzania.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Produkty. MKS Produkty

Załącznik Nr 1 do SIWZ Załącznik nr 3 do Umowy Szczegółowy Opis Przedmiotu Zamówienia

MINISTERSTWO FINANSÓW

KARTA AUDYTU WEWNĘTRZNEGO

Karta audytu Uniwersytetu Śląskiego w Katowicach

Zarządzenie nr 3055 /2017 Prezydenta Miasta Płocka z dnia 01 marca 2017 r.

PR P E R Z E E Z N E T N A T C A JA C JA KO K RP R O P RA R C A Y C JN Y A JN ACTINA DATA MANAGER

Szkolenie otwarte 2016 r.

REGULAMIN KOMITETU AUDYTU RADY NADZORCZEJ. LSI Software S.A.

Usługa: Audyt kodu źródłowego

1. Postanowienia ogólne

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

z dnia 2015 r. w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Banku Spółdzielczym w Brodnicy

METODY I PROCEDURY AUDYTU WEWNĘTRZNEGO W JEDNOSTKACH SEKTORA FINANSÓW PUBLICZNYCH

REGULAMIN KOMITETU AUDYTU SPÓŁKI MEDICALGORITHMICS S.A. przyjęty uchwałą nr 1 Rady Nadzorczej Medicalgorithmics S.A. z dnia 20 października 2017 r.

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

REGULAMIN KOMITETU DS. AUDYTU BANKU HANDLOWEGO W WARSZAWIE S.A.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

PROCEDURA KONTROLI ZARZĄDZCZEJ. Szkoły Podstawowej w Ligocie Małej

Zarządzenie Nr ZEAS /2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu z dnia 28 kwietnia 2010 roku

Regulamin Komitetu Audytu Rady Nadzorczej spółki CI Games Spółki Akcyjnej z siedzibą w Warszawie

REGULAMIN KOMITETU AUDYTU RADY NADZORCZEJ WIRTUALNA POLSKA HOLDING SPÓŁKA AKCYJNA. siedzibą w Warszawie,

Nowy wzór sprawozdania ograniczył liczbę umieszczanych w nim informacji.

K A R T A. Audytu Wewnętrznego w Uniwersytecie Śląskim w Katowicach. Rozdział I. Postanowienia ogólne

SPRAWOZDANIE. z przeprowadzenia oceny zewnętrznej prowadzenia audytu wewnętrznego przez komórkę audytu wewnętrznego. Urzędzie Miejskim w Będzinie

KARTA AUDYTU WEWNĘTRZNEGO

Procedury audytu wewnętrznego w Starostwie Powiatowym w Kielcach

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

III. Lista prawdopodobnych przyczyn usterek systemu komputerowego wynikających z zadania i załączników

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

Zarządzenie Nr Or.I Burmistrza Gogolina z dnia 11 stycznia 2016r.

S P R A W O Z D A N I E Z WYKONANIA PLANU AUDYTU ZA ROK 2010

Sprawozdanie niezależnego biegłego rewidenta z badania

Szczegółowy opis przedmiotu zamówienia:

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Zarządzenie Nr 17/2010 Burmistrza Krapkowic z dnia 22 kwietna 2010 roku

Przedszkole Nr 30 - Śródmieście

ZARZĄDZENIE NR 2/SOR/10 BURMISTRZA MIASTA CHEŁMśY z dnia 19 stycznia 2010

Sprawozdanie z zadania zapewniającego

Zarządzenie Nr 71/2010 Burmistrza Miasta Czeladź. z dnia 28 kwietnia 2010r.

Podejście procesowe do audytów PKJPA. Szkolenia do audytu PKJPA 2009

RAMOWY PROGRAM STUDIÓW

Karta Audytu Wewnętrznego

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

Karta audytu wewnętrznego w Urzędzie Miejskim w Lipnie

Zarządzenie nr 85/2011 BURMISTRZA WYSZKOWA z dnia 20 maja 2011r.

Na podstawie 6 ust. 1 oraz 10 ust. 1 Regulaminu Organizacyjnego ACK Cyfronet AGH z dnia 28 kwietnia 2005 roku zarządzam co następuje:

Kwestionariusz samooceny kontroli zarządczej

Portal Informacji Produkcyjnej dla Elektrociepłowni

Instrukcja Audytu Wewnętrznego

PLAN AUDYTU NA ROK 2010

Zarządzenie Nr 51/2010

Audyt oprogramowania. Artur Sierszeń

Opis systemu kontroli wewnętrznej w mbanku S.A.

KARTA AUDYTU WEWNĘTRZNEGO

Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 14 października 2010 roku

POLITYKA E-BEZPIECZEŃSTWA

REGULAMIN sieci komputerowej Ośrodka Przetwarzania Informacji

Transkrypt:

FORMY AUDYTU INFORMATYCZNEGO Krystian Gembala, Tomasz Piesiur Wprowadzenie Pod pojęciem audyt naleŝy rozumieć kontrolę. Wcześniej z audytem kojarzone było tylko badanie ksiąg rachunkowych pod względem prawdziwości i rzetelności ich prowadzenia. Rozwijając, było to badanie sprawozdania finansowego organizacji gospodarczej. Badanie takie było wykonywane przez biegłego rewidenta na zlecenie i miało na celu zbadanie zgodności sprawozdania z obowiązującymi przepisami prawa i wewnętrznym prawem np. statutem badanej spółki. Celem była równieŝ ocena: prawidłowości i rzetelności zawartych zdarzeń w sprawozdaniu finansowym; przedstawionej sytuacji majątkowej i finansowej firmy oraz ocena moŝliwych zagroŝeń. Istnieje wiele określeń audytu. Audyt to specyficzna działalność o charakterze zapewniającym lub zgodnym z terminologią biegłych rewidentów poświadczającym. Zadaniem audytu jest zapewnienie (dostarczenie zapewnienia), Ŝe system kontroli spełnia określone wymagania. W zaleŝności od typu audytu, zbiór wymagań moŝe być róŝny i dotyczyć np. zgodności z regulacjami, wiary-

godności sprawozdań finansowych, kontroli nad poziomem ryzyka operacyjnego itp. [MiFo]. Audyt oznacza procedurę oceny bilansu pojedynczego obiektu, systemu dystrybucji określonego nośnika czy przedsiębiorstwa jako całości, ze wskazaniem zauwaŝonych nieprawidłowości czy nieefektywności w zakresie uŝytkowania. Jest porównaniem stanu rzeczywistego ze stanem oczekiwanym lub zalecanym. Audytem moŝna objąć praktycznie wszystko, począwszy od finansów poprzez systemy prawne, produkcyjne po systemy informatyczne i działania operacyjne. Stąd teŝ jest wiele kryteriów podziału audytu [Geśu]. Pierwszy podział jest nierozerwalnie związany z osobami przeprowadzającymi audyt audytorami. Audytorzy mogą być pracownikami organizacji, w której dokonywane ma być badanie kontrolne albo być osobami z zewnątrz, zatrudnionymi w firmach oferujących usługi audytorskie. W zakresie kontroli wewnętrznej dany podmiot kontrolowany jest przez własnych pracowników. Odpowiednio kontrola zewnętrzna wykonywana jest przez osoby spoza kontrolowanego podmiotu. Stąd ze względu na sposób przeprowadzania audytu, wprowadzono pojęcie audytu wewnętrznego i zewnętrznego (rys. 1). Audyt wewnętrzny zewnętrzny Rys 1. Podział audytu ze względu na sposób jego przeprowadzenia Źródło: Opracowanie własne.

W odróŝnieniu od typowej kontroli wewnętrznej, audyt wewnętrzny ma zapobiec powstawaniu róŝnego rodzaju ryzyk. Nie ma się on jedynie ograniczyć do porównania stanu faktycznego ze stanem poŝądanym, ale ma równieŝ rekomendować działania zmierzające do poprawienia funkcjonowania badanej działalności czy systemu. W wielkich organizacjach przeprowadzaniem audytu wewnętrznego zajmuje się najczęściej wyodrębniona organizacyjnie grupa ludzi. W jednostkach sektora finansów publicznych występuje obowiązek posiadania organizacyjnej komórki, w której zatrudnieni są pracownicy zajmujący się audytem. Mówi o tym ustawa - Kontrola finansów i audyt wewnętrzny w jednostkach sektora finansów publicznych. (Dz. U. Nr 15 z 2003r). Najnowsze rozporządzenie Ministra Finansów w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego pochodzi z dnia 24 czerwca 2006r. (Dz.U. Nr 112, poz. 765). Audyt zewnętrzny, przeprowadzany jest w organizacji, na podstawie zlecenia jego wykonania innej firmie zajmującej się audytami. Osoby przeprowadzające taki audyt mają wiedzę, doświadczenie i posiadają licencję do przeprowadzania audytu. Usługi wykonywane przez audytorów odbywają się na podstawie umowy zawartej pomiędzy firmą a audytorem. Najliczniejszą grupę, audytorów zewnętrznych, stanowią biegli rewidenci, których ustawa zobowiązuje do świadczenia usług w ramach spółek biegłych rewidentów. W odróŝnieniu od audytorów wewnętrznych, audytorzy zewnętrzni mogą wydać certyfikat po przeprowadzeniu audytu. W przypadku zatrudniania audytora zewnętrznego moŝe pojawić się problem etyczny łączenie usług doradczych i audytowych. Jako osoba całkowicie obiektywna, audytor zewnętrzny ma obowiązek rzetelnie przeprowa-

dzić audyt, nawet jeśli po jego wykonaniu firmie miałyby grozić konsekwencje prawne z tytułu np. posiadania nielegalnego oprogramowania. Innym podziałem audytów jest podział ze względu na przedmiot audytowania. I tu wyróŝniamy (rys. 2) : audyt finansowy; audyt operacyjny; audyt informatyczny. AUDYT AUDYT FINANSOWY AUDYT OPEERACYJNY AUDYT INFORMATYCZNY AUDYT JAKOŚCI AUDYT ENERGETYCZNY Inne Rys 2. Przedmiotowy podział audytu Źródło: Opracowanie własne Audyt finansowy Audyt finansowy to sprawdzanie poprawności sprawozdań finansowych. Istotą takiego badania jest uzyskanie dowodów do oceny, czy księgi rachunkowe są prawidłowe, a sprawozdanie finansowe rzetelnie i jasno przedstawia sytuację badanego podmiotu oraz obrazuje jej rentowność.

Sprawdzeniu podlegają nie tylko dane liczbowe, zawarte w sprawozdaniach, ale równieŝ zawarte w nich dane tekstowe. Audyt operacyjny W centrum zainteresowania audytu operacyjnego jest ogólne działanie przedsiębiorstwa. Jego głównym ocenom, podlegają dwa kryteria działalności efektywność i skuteczność (rys. 3). Ocena efektywności działania, skupia się na ocenie wykorzystywania przez przedsiębiorstwo zasobów przy osiąganiu celów, natomiast ocena skuteczności skupia się na ocenie ilości i jakości osiągniętych celów. Audytowi operacyjnemu moŝe np. podlegać system operacyjny przedsiębiorstwa na ile zapewnia on osiąganie celów jakości i wydajności. Audyt operacyjny efektywność skuteczność Rys 3. Kryteria działalności audytu operacyjnego Źródło: Opracowanie własne Audyt informatyczny Kolejnym rodzajem audytu, ze względu na przedmiot, jest audyt informatyczny. Zakres przedmiotowy dla audytu informatycznego, jako samodzielnego przedsięwzięcia, jest bardzo szeroki od oceny zarządzania bezpieczeństwem pojedynczego systemu operacyjnego do oceny zarzą-

dzania bezpieczeństwem systemów informatycznych w skali całej firmy, ale naleŝy tu podkreślić, Ŝe audyt systemów informatycznych zajmuje się nie tylko bezpieczeństwem. Jest to sposób uzyskania wyczerpujących i aktualnych informacji o zainstalowanym oprogramowaniu, posiadanych licencjach oraz zasobach sprzętowych. [Kory] Audyt informatyczny pozwala zoptymalizować zakupy i umoŝliwia administratorom szybsze i bardziej precyzyjne reagowanie - zwłaszcza w sytuacjach awaryjnych. Audyt informatyczny moŝe być traktowany jako samodzielne przedsięwzięcie lub jako element pomocniczy audytu finansowego lub operacyjnego. Na przykładowy zakres audytu wewnętrznego moŝe składać się: analiza architektury sieci i moŝliwych dróg do systemów; testy istniejących zabezpieczeń sprzętowych (hardware owych); sprawdzenie bezpieczeństwa systemów backupu; ochrona współdzielonych zasobów systemowych; sprawdzenie skuteczności działania systemów antywirusowych; uwierzytelnianie i autoryzację haseł uŝytkowników; kontrola dostępu przed dostępem uŝytkowników nieuprawnionych; analiza zabezpieczeń programowych (software owych); skanowanie systemu w celu oceny jego szczelności; testy bezpieczeństwa serwera WWW; testy systemu obsługi poczty; testy pozostałych dostępnych usług; identyfikacja i analiza zagroŝeń. Na przykładowy zakres audytu zewnętrznego mogą składać się:

testy Penetracyjne Sieci Informatycznych; analiza zabezpieczeń software owych; testy systemu firewall; testy bezpieczeństwa serwera WWW; testy systemu obsługi poczty i pozostałych dostępnych usług; analiza bezpieczeństwa DNS; analiza architektury sieci i moŝliwych dróg dostępu do systemów. Dalszy przedmiotowy podział audytu informatycznego obejmuje [MiFo]: zarządzania projektem lub projektami; zarządzania ryzykiem informatycznym; zarządzania jakością; zarządzania umowami zewnętrznymi i wewnętrznymi itp. Inne formy audytu rozróŝnia się ze względu na cel i tu występuje: audyt efektywności; audyt bezpieczeństwa; audyt zgodności; audyt rzetelności; audyt polityki informatycznej i procedur. Kluczowym, istotnym podziałem audytu informatycznego jest rozróŝnienie podmiotu audytu. Mamy wówczas do czynienia z: audytem sprzętu, audytem oprogramowania, audytem legalności (legalna firma).

Audyt sprzętu Najczęściej przeprowadzaną przez firmę kontrolą posiadanych zasobów jest "spis z natury. Operacja taka jest czasochłonna i chociaŝ uwzględnia równieŝ spis komputerów, to z informatycznego punktu widzenia zebrane informacje są zazwyczaj mało przydatne. Wyniki inwentaryzacji wykorzystywane są zazwyczaj wyłącznie do weryfikacji stanu środków trwałych i nie uwzględniają szczegółowych informacji o konfiguracji komputerów. Rzadko równieŝ wyniki inwentaryzacji przechowywane są w formie elektronicznej umoŝliwiającej elastyczne tworzenie raportów grupujących komputery według róŝnych kryteriów. Przeprowadzenie audytu sprzętu komputerowego przynosi odpowiedzi na pytania stawiane w związku ze stanem i konfiguracją zasobów sprzętowych. Rezultaty przeprowadzenia takiego audytu, są bardzo przydatne dla administratorów systemów komputerowych do bieŝącej administracji zasobami, oraz opracowywania polityki zakupów i modernizacji sprzętu komputerowego. Dzięki elektronicznej formie wyników przeprowadzonego audytu moŝna szybko i łatwo generować praktycznie dowolne zestawienia. Raporty, szczególnie te regularnie aktualizowane, umoŝliwią takŝe administratorowi śledzenie zmian w konfiguracji sprzętowej komputerów, co ułatwia wystawienie diagnozy w przypadku ewentualnych problemów i przywrócenie stanowiska do normalnej pracy. Przykładowe pytania, na które powinny odpowiadać wyniki przeprowadzonego audytu sprzętowego to: czy konkretny komputer znajduje się w firmie? jaka jest konfiguracja poszczególnych stacji roboczych? jakie dodatkowe komponenty są w komputerze zainstalowane?

jaka jest przeciętna konfiguracja stacji roboczej w jednostce organizacyjnej (firmie)? które z komputerów w znaczący sposób odstają od przeciętnej (zarówno silniejsze jak znacznie słabsze sprzętowo konfiguracje? czy konfiguracja komputerów pokrywa się z ich konfiguracjami zakupu lub ostatnimi odnotowanymi modyfikacjami? Audyt oprogramowania Procedura przeprowadzenia tego audytu jest zbliŝona do metodologii wykonywania audytów sprzętu. Na kaŝdym komputerze uruchomiony zostaje specjalny skaner, który zbiera informacje o wszystkich plikach przechowywanych na lokalnych dyskach twardych. Następnie wynik takiej inwentaryzacji zapisywany zostaje w oddzielnym pliku. Wszystkie pliki z inwentaryzacjami porównywane są z bazą danych, która zawiera wzorce pakietów oprogramowania. UmoŜliwia to identyfikację aplikacji zainstalowanych na komputerach uŝytkowników na podstawie charakterystycznych kombinacji plików skatalogowanych podczas inwentaryzacji. W większości firm przed przeprowadzeniem audytu istnieje brak rzetelnej wiedzy, o tym jakie aplikacje i na których stacjach są wykorzystywane. Nawet w firmach, posiadających określone zasady instalacji oprogramowania, na komputerach uŝytkowników moŝna znaleźć aplikacje nie zarejestrowane przez dział informatyki. Szczególnie interesujące jest wyszukanie aplikacji niepoŝądanych, nie mających związku z charakterem wykonywanej pracy. Nierzadko część najsilniejszych komputerów w firmie wykorzystywana jest w rzeczywistości jako konsole do gier, a nie jako narzędzie pracy.

Audyt oprogramowania pozwala odpowiedzieć na pytania: które programy i ile pracuje na stacjach roboczych? MoŜe większość z nich nie jest potrzebna do wykonywania zadań i bezcelowo obciąŝa stacje robocze; które programy są najpopularniejsze? Odpowiedź ułatwi ustanowienie standardu w firmach, których uŝytkownicy wykorzystują edytory tekstu, arkusze kalkulacyjne itp.; czy pracownicy wykorzystują swoje komputery do pracy, czy zabawy? Audyt moŝe wykazać, Ŝe część komputerów w firmie wykorzystywana jest jako konsole do gier; jakiego typu dane przechowywane są na stacjach roboczych uŝytkowników mimo, iŝ właściwą lokalizacją dla nich powinny być trudniej dostępne dla intruzów serwery? jak duŝa powierzchnia dysków lokalnych zajmowana jest przez pliki typu AVI, MP3 itp.? Posiadanie plików multimedialnych w wielu firmach nie jest zabronione, dyski twarde uŝytkowników często zapełniają się bezuŝytecznymi, z korporacyjnego punktu widzenia, danymi. Audyt legalności Z pojęciem audytu legalności nierozerwalnie łączy się pytanie: Czy moja firma uŝywa legalnego oprogramowania? Przeprowadzony wcześniej audyt oprogramowania pozwala stwierdzić, jakie oprogramowanie i w jakiej liczbie zainstalowane jest na firmowych komputerach. Audyt legalności polega na dokładnym sprawdzeniu, czy firma jest uprawniona do stosowania tego oprogramowania z prawnego punktu widzenia. Audyt

legalności jest operacją bardzo czasochłonną. Przede wszystkim naleŝy odnaleźć wszystkie licencje na oprogramowanie znajdujące się w firmie. Dopiero po zebraniu wszystkich licencji określa się ich typ i w zaleŝności od niego - najbardziej optymalny sposób liczenia oprogramowania. Po finalizacji audytu legalności przygotowywany jest dokładny raport, odpowiadający na wszystkie postawione wcześniej pytania. Przedstawia on m.in. informację, na które aplikacje firma posiada: zbyt małą liczbę licencji; w ogóle ich nie posiada; więcej licencji niŝ zainstalowanych w sieci aplikacji. Aby mówić o licencjach na oprogramowanie, naleŝy najpierw powiedzieć: czym w ogóle jest licencja; jakie są rodzaje licencji; jak jest zbudowana licencja; co wchodzi w skład dokumentacji licencyjnej. Taka wiedza pozwala uzmysłowić jak waŝne jest posiadanie, oryginalnej dokumentacji licencyjnej i jak odpowiednio, do potrzeb firmy, dobrać sposób licencjonowania oprogramowania. Procedura audytu informatycznego Procedura przeprowadzania audytu informatycznego polega na konfrontacji liczby licencji oprogramowania z rzeczywistą liczbą uŝywanego w firmie oprogramowania. Audyt nie dotyczy jedynie określenia stopnia tej zgodności. W trakcie audytu podejmuje się sugerować wizję pracy firmy przy pomocy juŝ pracującego oraz dostępnego oprogramowania.

Zaleca się jak maksymalizować wykorzystanie istniejących systemów, jak realizować ich rozbudowę oraz jak nadzorować praktyczne ich uŝytkowanie. Istnieją dwa rodzaje procedur przeprowadzania audytu informatycznego: audyt pełny audyt "na zasadzie próbki". Audyt pełny. Proces audytu pełnego obejmuje czynności uwidocznione poniŝej w procedurach od 1 do 6. Wykonanie pełnego audytu, umoŝliwia wystąpienie z wnioskiem o wydanie certyfikatu legalności do firmy Microsoft. Certyfikat ten zostanie, po weryfikacji wniosku, przyznany firmie audytowanej. Do przeprowadzenia audytu pełnego skłaniane są przedsiębiorstwa, które mogą mieć uzasadnione wątpliwości, co do posiadanych zasobów oprogramowania. Audyt "na zasadzie próbki". Procedura tego audytu ograniczona jest do procentowo określonej liczby komputerów pracujących w przedsiębiorstwie. Liczba komputerów, przeznaczonych do audytu próbnego, określana jest na podstawie zabranych informacji i wynosi od 10% do 30% całkowitej liczby komputerów. W audycie "na zasadzie próbki" wykonywane są czynności określone w punktach 1, 2, 4, 5, 6. Wynik audytu moŝe stanowić podstawę do wystąpienia do firmy Microsoft o wydanie certyfikatu. NaleŜy jednak wyraźnie stwierdzić, Ŝe wniosek ten moŝe być przez nią nie uwzględniony z przyczyn róŝnych; na przykład z nieposiadaniem przez firmę danych o zarejestrowanych produktach. Tego rodzaju audyt zalecany jest dla firm prowadzących dokumentację zarządzania licencja-

mi i mających wdroŝone mechanizmy bezpieczeństwa uŝytkowania oprogramowania. Procedury audytu 1. Informacje o firmie. Celem pierwszego etapu jest zebranie informacji związanych z przeprowadzanym audytem. Oprócz informacji związanych z zakresem działalności firmy, zebrane dane dotyczą: liczby i rodzajów komputerów pracujących w firmie (typy, rozmieszczenie), informacji o produktach firmy Microsoft, które są wykorzystywane przez pracowników, zestawienie na podstawie dokumentacji licencji na oprogramowanie, weryfikacja liczby licencji (ze względu na moŝliwe nieścisłości związane z róŝnego rodzaju dokumentami zakupu). 2. Obliczenie i oszacowanie próbki testowej. Celem tego etapu, jest oszacowanie "stopnia ryzyka" audytu, umoŝliwiającego wykonanie audytu próbnego. Audyt próbny ma na celu weryfikację punktu 1 audytu. Audyt próbny dotyczy ograniczonej liczby komputerów, obliczonej jako procent całkowitej liczby komputerów. Danymi wejściowymi są informacje z punktu 1 oraz ankieta dotycząca polityki zarządzania oprogramowaniem w firmie. 3. Inwentaryzacja i skanowanie komputerów. W etapie 3 następuje "przeskanowanie" wszystkich komputerów w firmie. Szacuje się, Ŝe w ciągu jednego dnia, w zaleŝności od warunków, zbadanych moŝe być od 20 do 30 komputerów.

4. Sporządzenie raportu i wyjaśnienia. W wyniku przeprowadzonego "skanowania" następuje sporządzenie raportu oraz w drodze konsultacji, wyjaśniane są wszelkie wątpliwości. 5. Ustalenie dalszego trybu postępowania. W zaleŝności od wyników uwidocznionych w raporcie Zleceniodawca wraz z audytorem określają ewentualne potrzeby i moŝliwości w sposobach zakupów licencji lub decydują o rozpoczęciu procesu finalizacji audytu. 6. Finalizacja audytu. Przesłanie do firmy Microsoft wyników audytu z wnioskiem o wydanie Certyfikatu. Podsumowanie Profesja audytu informatycznego, wraz ze wzrostem złoŝoności systemów informatycznych, powstała i rozwinęła się w Polsce pod koniec XX wieku. Podobnie jak w przypadku audytu finansowego, zaczęły powstawać komórki i firmy zajmujące się audytem informatycznym z uwagi na rosnące potrzeby informacyjne szczebla zarządzania. Chodziło o zapewnienie kontrolowanego, bez lub z zakładanym poziomem ryzyka, zarządzania systemami informatycznymi w małych, średnich i wielkich organizacjach. Istotnym zadaniem było przedstawienie umiejscowienia audytu informatycznego w procesie audytowania, wcześniej nie związanego z IT. W zakres audytu informatycznego wchodzą wszystkie systemy informatyczne i związane z nimi zasoby (budynki, okablowanie, systemy klimatyzacyjne i in. niezbędne do funkcjonowania systemów informatycznych) systemy bazodanowe, platformy systemowe, oprogramowanie, sprzęt komputerowy, problemy związane z zarządzaniem

licencjami itp. WaŜne jest w jakim stopniu szczegółowości realizowane są funkcje związane z procesem zarządzania ryzykiem i jak wpływają one na proces zapewnienia bezpieczeństwa systemów. Literatura [MiFo] Mirosław Forystek CIA CISA Audyt informatyczny, Wyd. InfoAudit, Warszawa 2005 [Geśu] K. Gembala, P. śurowiec Audyt - narzędzie efektywnego zarządzania zasobami informatycznymi SYSTEMY WSPOMAGANIA ORGANIZACJI SWO`2004 - p.red. T. Porębska-Miąc, H. Sroka, Wydawnictwo Akademii Ekonomicznej w Katowicach, Katowice [Micr] Materiały szkoleniowe firmy Microsoft 2004r. - http://www.microsoft.com/poland/licencje [StJu] B. Stefańska, M. Jurkiewicz Opracowanie Kancelarii Radców Prawnych i Adwokatów Nowakowski i Wspólnicy s.j. Toruń 2005 r. http://www.knw.pl/ [Kory] J. Korytowski (wywiad) Audyt jako narzędzie usprawniające funkcjonowanie organizacji. Źródło: Serwis egov.pl, 08.07.2002 - http://www.egov.pl/index2.php [Taki] T. Kifner - Polityka bezpieczeństwa i ochrony informacji. Wyd. Helion Gliwice 1999 Informacje o autorach Dr Krystian Gembala Mgr Tomasz Piesiur Katedra Informatyki

Akademia Ekonomiczna ul. Bogucicka 3 40-226 Katowice Polska Numer telefonu (fax) +48/32/2577277 e-mail: gembala@ae.katowice.pl tomek_p@ ae.katowice.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres