Formalna podstawa

Z Mirosławem Błaszczakiem, menedżerem audytu w firmie Audytel, rozmawia Przemysław Gamdzyk.

Z Mirosławem Błaszczakiem, menedżerem audytu w firmie Audytel, rozmawia Przemysław Gamdzyk.

Czy istnieje precyzyjna definicja audytu telekomunikacyjnego?

Nie jest to dziedzina, która by była ściśle sformalizowana. Nie ma tutaj jednolitej metodologii, którą uznawaliby wszyscy. W obszarze audytu telekomunikacyjnego zaczynamy mieć do czynienia z pewną modą, z tym, że audytem nazywa się teraz wszystko i wszyscy chcą to robić. Tymczasem podstawowym wymogiem działania audytora i firmy audytorskiej powinna być pełna niezależność od producentów i dostawców usług leżących w obszarze obejmowanym audytem.

Jak bardzo rozwinął się już audyt telekomunikacyjny w Polsce?

Działa u nas kilka czy kilkanaście firm zajmujących się audytem w sposób mniej czy bardziej profesjonalny, przy czym audyt zewnętrzny istnieje od 2, góra 3 lat. Natomiast wewnętrzny już od dawna, chociaż być może na ogół nie był tak nazywany.

Mirosław Błaszczak, jako jedna z 41 osób w Polsce, posiada certyfikat CISA (Certified Information Systems Auditor) nadawany przez ISACAMy oparliśmy się na metodologii opracowanej przez organizację ISACA (ds. kontroli i audytu systemów informatycznych - Information Systems Audit and Control Association, skupiającą profesjonalnych audytorów informatycznych na całym świecie) w części dotyczącej analizy rozwiązań telekomunikacyjnych. Według zaleceń ISACA audyt przeprowadza się nieco odmiennie w 3 wydzielonych obszarach: telefonii stacjonarnej, telefonii głosowej oraz transmisji danych. Podział na telefonię stacjonarną i telefonię komórkową jest konieczny ze względu na odmienność analizy billingów oraz zupełnie inne rozwiązania bezpieczeństwa w tych dwóch formach komunikacji.

Dostępne są tutaj gotowe kwestionariusze, które jednak służą nie tylko do wprowadzania odpowiedzi na zawarte pytania, ale również zawierają procedury postępowania ze wskazówkami, co można poprawić. Oczywiście, można wprowadzać tutaj pewne elementy lokalizacji, np. uwzględniając, że w Polsce działa trzech i tylko trzech operatorów GSM.

Czy dla polskich klientów posługiwanie się metodologią tak uznanej organizacji jak ISACA ma jakiekolwiek znaczenie?

To oczywiście zależy od ich dojrzałości. Zresztą nie chodzi tu o to, by były to koniecznie standardy ISACA, ale by audytor w ogóle był w stanie wykazać, że stosuje jakieś formalne i powtarzalne procedury. Dostępnych jest wiele innych standardów stosowanych przy audycie telekomunikacyjnym, ale żaden z nich nie jest powszechnie uznawany, tak jak przy audycie finansowo-księgowym.

W audycie liczy się nie tylko sposób weryfikacji i sprawdzenia dostępnych informacji, ale również ścisłe określenie sposobów pisania raportów czy przygotowywania i przeprowadzania testów sprawdzających bieżący stan rzeczy. Audyt wreszcie jest nie tylko po to, by mogło być taniej czy efektywniej, ale by było bezpieczniej.

Jeśli audyt jest zlecany przez dział finansów czy administracji, to ta świadomość jest oczywiście istotnie mniejsza niż w przypadku działów informatyki. Pojawiają się już jednak przetargi - także w sferze publicznej - gdzie posiadanie standardów, np. ISACA, jest już wymogiem udziału w audycie.