Z Agnieszką Boboli, informatykiem z Ministerstwa Sprawiedliwości, i Witoldem Staniszkisem, prezesem firmy Rodan System, uczestniczącymi w pracach nad powołaniem polskiego oddziału towarzystawa Information Systems Audit and Control Association (ISACA), rozmawia Przemysław Gamdzyk.

Dla wielu osób audyt informatyczny jest zapewne nowym pojęciem. Komu ma służyć - informatykom czy może ich pracodawcom?

Witold Staniszkis: Audyt informatyczny to przede wszystkim krytyczne spojrzenie na informatykę z punktu widzenia jej użyteczności i prawidłowości realizacji procesów zachodzących w przedsiębiorstwie i instytucji. Pierwsi rewidenci finansowi pojawili się w średniowieczu, bo właśnie wtedy nastąpił rozdział właścicieli od zarządzających. Ekonom musiał być wówczas kontrolowany, a właściciel mógł zajmować się zupełnie czymś innym. Dzisiaj audyt finansowy broni właściciela firmy - na przykład akcjonariuszy - właśnie przed nieuczciwym księgowym czy niewłaściwym zarządzaniem. Zapomina się, że źle wdrażana informatyka może się okazać dla firmy znacznie bardziej niebezpieczna niż nieuczciwy księgowy. Zaś organy kontrolne często nie zdają sobie sprawy, jak rozległy obszar wiedzy jest potrzebny, żeby dokonać pełnego audytu, obejmującego także zagadnienia informatyczne.

Informatyka sama w sobie nie jest bezpośrednim czynnikiem postępu w rozwoju cywilizacji. Informatyka ma sprawiać, aby obsługiwane przez nią procesy przebiegały sprawniej. Audytorzy mają pokazywać ludziom, którzy decydują o informatyzacji firm i instytucji, jak to zrobić najlepiej.

Agnieszka Boboli: Wizja audytu informatycznego w Polsce jest bardzo wąska. Do tej pory ograniczał się on jedynie do prostych ocen, mówiących tylko, czy jest dobrze, czy źle. Powoli zaczyna budzić się świadomość, że powinien on dotyczyć zasadniczego sposobu funkcjonowania instytucji i przedsiębiorstwa oraz uwzględniać wiele kryteriów, a nie jedynie np. terminu realizacji czy budżetu projektu informatycznego.

Najważniejsze jest jednak uświadomienie nieodzowności elementu kontroli. Tego dzisiaj niestety brakuje. Każdej instytucji niezbędna jest ocena, jak dany system rzeczywiście usprawnia jej działalność i czy jego budowa była potrzebna; czy w ogóle uzasadniona jest informatyzacja poszczególnych procesów.

Dla audytorów informatyki strona finansowa przedsięwzięcia zawsze powinna być drugorzędna. W instytucjach państwowych audyt informatyczny z reguły nie powinien być odpowiednikiem kontroli administracyjnej, prowadzonej np. przez NIK. Formalnie bowiem wszystko może być w porządku, a sam system okazuje się być do niczego nie potrzebny.

Czy jednak kontrolna funkcja audytu nie wywoła obstrukcji ze strony informatyków, którzy przecież mogą nie chcieć poddawać wyników swojej pracy zewnętrznej ocenie?

A.B.: Pewien opór na pewno będzie widoczny. W Polsce wciąż kierują informatyzacją ludzie dość przypadkowi. Z biegiem czasu coraz trudniej będzie swobodniej działać takim pseudoinformatykom. Informatyka zbyt wielu ludziom wciąż wydaje się bardzo prosta.

W.S.: Działalnością ISACA zainteresowane jest Polskie Towarzystwo Informatyczne i Naukowe Stowarzyszenie Informatyki Gospodarczej. Zawodowcy dobrze rozumieją znaczenie audytu informatycznego.

Jaką grupę stanowić będą audytorzy informatyki? Czy podobnie jak finansowi będą skupieni w największych firmach konsultingowych?

W.S.: Nie wydaje mi się, żeby w przypadku audytorów informatyki sytuacja musiała wyglądać dokładnie tak samo. Niestety firma czy instytucja często korzysta z usług zewnętrznego audytora - nie do końca przygotowanego do swojego zadania - tylko po to, aby w razie niepowodzenia projektu móc zasłaniać się mówiąc – „przecież był audytor”...

Dobrym kandydatem na audytora jest osoba o dużym doświadczeniu zawodowym dotyczącym bezpośrednio obszaru rozwiązań informatycznych objętych audytem. Istotne jest zaopatrzenie takich osób w odpowiednie narzędzia metodyczne, tak aby wyniki ich pracy były kompletne, przejrzyste i porównywalne. Takie osoby pracują nie tylko w wielkich firmach konsultacyjnych. Nie należy zapominać również o istotnej roli audytu wewnętrznego, który w niektórych instytucjach, jak na przykład banki, jest często jedynym wykonawcą kontroli systemów informatycznych.

Prawdziwa działalność konsultacyjna polega na wykonaniu określonej warstwy realizacji przedsięwzięcia, na ogół decyzyjnej, na przykład dotyczącej strategii informatyzacji. Projekt pojęciowy czy analiza stanu istniejącego, to już tylko wykonanie ściśle określonej pracy. Audyt dotyczy najbardziej istotnych aspektów zastosowań informatyki i jest bardziej zbliżony do poziomu planowania strategicznego. Obszar, jakiego dotyczy audyt informatyczny, jest bardzo szeroki i zapewne nie obejmie go tylko jeden specjalista. Bardzo powszechna jest działalność kontroli na poziomie ściśle technicznym dotyczącym konkretnych rozwiązań projektowych i eksploatacyjnych. Na przykład były haker może znacznie lepiej przeprowadzić audyt zabezpieczenia bazy danych niż starszy konsultant - specjalista od strategii informatyzacji. Wybór najbardziej priorytetowych obszarów audytu zależy od charakteru instytucji oraz procesów jej działalności wspomaganych przez systemy informatyczne.

Czy autorzy informatyki będą mogli być jednocześnie związani z firmami informatycznymi?

W.S.: ISACA nie stawia tutaj jakiegoś wymogu niezależności - nigdzie na świecie audytor informatyki nie jest traktowany na tym samym poziomie co rewident księgowy. ISACA daje za to gwarancję posiadania przez audytora odpowiedniego zasobu wiedzy i doświadczenia. Oczywiście zawsze może pojawić się zarzut, że audytor z mojej firmy mógłby sprawdzać systemy, które wdraża moja konkurencja. Są to problemy w sferze etyki zawodowej, dla których nie ma ogólnych rozwiązań.