Audyt zdemitologizowany

Negatywne komentarze odnoszące się do audytorów często swoje źródło mają w tym, że przekrojową wiedzę audytorów opartą na standardach konfrontuje się ze znacznie głębszą, ale ściśle techniczną wiedzą ekspertów i praktyków.

Negatywne komentarze odnoszące się do audytorów często swoje źródło mają w tym, że przekrojową wiedzę audytorów opartą na standardach konfrontuje się ze znacznie głębszą, ale ściśle techniczną wiedzą ekspertów i praktyków.

W Computerworld z 16 listopada br. ukazał się artykuł Zabezpieczeni, ale przed czym autorstwa Moniki Stępień, traktujący o bezpieczeństwie informatycznym. Autorka zaprezentowała swoje krytyczne poglądy na temat audytu informatycznego. Zdaniem autorki jest on zagadnieniem czysto teoretycznym, oderwanym od praktyki i nieprzynoszącym wartości audytowanej organizacji. Kwestionując wartość audytu informatycznego, autorka przedstawia tę dziedzinę jako przysparzającą organizacji dodatkowych, niczym nieuzasadnionych nakładów.

W artykule krytyce poddano również metodykę COBIT (Control Objectives for IT and Related Technology), co jest o tyle dziwne, że stanowi ona podstawowe narzędzie nowoczesnego audytu informatycznego na świecie. W ostatnim okresie metodyka ta (opracowana w 1996 r.) przeżywa swój renesans i jest doceniana przez coraz szersze grono menedżerów - także spoza branży informatycznej.

Wiele osób pod pojęciem audytu rozumie sposób na zapewnienie zgodności ze standardami zarządzania bezpieczeństwem lub metodę zapewnienia bezpieczeństwa w ogóle. Metodyki (takie jak COBIT), normy czy standardy wykorzystywane przez audytorów są mylone z samym procesem audytu. Nie godząc się z opinią autorki i nie chcąc dopuścić do utrwalania stereotypowych czy wręcz błędnych poglądów, poczuliśmy się zmuszeni do zabrania głosu w tej sprawie.

Mit 1: Audyt nie wnosi wartości

Dość powszechne jest przekonanie, że audyt ma charakter kontroli, która ma służyć wyciągnięciu konsekwencji wobec osób, które przyczyniły się do powstania nieprawidłowości. Nic bardziej mylnego - nowoczesny audyt informatyczny opiera się na koncepcji zarządzania ryzykiem w organizacji i jako taki koncentruje się na ocenie sposobu zarządzania środkami, które zapobiegają urzeczywistnieniu się zagrożeń, na jakie narażona jest organizacja.

Obok tak rozumianego audytu informatycznego pojawia się co prawda - również wykonywany na potrzeby certyfikacji - audyt zgodności, którego celem nie jest wskazanie obszarów niedostatecznie kontrolowanych ze względu na ryzyko, ale ocena stopnia zgodności z konkretnymi standardami. Tak jest m.in. w przypadku audytu certyfikującego z normą BS-7799-2. Jednak również tutaj zapisy normy nie są czarno-białe i pozostawiają organizacji olbrzymie pole manewru, odnoszące się do tego, jak określone zalecenia normy należy wdrożyć. Zadaniem audytora jest natomiast ocena stopnia adekwatności przyjętych rozwiązań do zasad przyjętych w normie.

Nawet przy audycie certyfikacyjnym możliwe, a wręcz zalecane jest - słusznie postulowane przez autorkę - posługiwanie się analizą ryzyka (rozumianą jako określenie prawdopodobieństwa wystąpienia zagrożenia i oceny jego wpływu na organizację) w celu uniknięcia ekonomicznie nieefektywnych decyzji w przypadku inwestycji w obszarze bezpieczeństwa informacji.

Tam, gdzie mowa jest o szeroko rozumianych mechanizmach kontrolnych, nie tylko wypada, ale wprost należy rozważać poziom nakładów związanych z wdrożeniem takich mechanizmów kontrolnych w kontekście wartości, które te mechanizmy chronią. Posługując się obrazowym przykładem, można by powiedzieć, że ochrona fizyczna każdego odcinka okablowania infrastrukturalnego jest pozbawiona ekonomicznego sensu, ale tam, gdzie mowa o rdzeniu potężnej sieci, taka ochrona może okazać się już znacznie bardziej wskazana. I wcale nie ze względu na ochronę poufności informacji, ale z uwagi na, o czym wiele osób zapomina - zachowanie ciągłości operacji firmy!

Mit 2: Kontroler i władca, czyli rola i postawa audytora

Popularnym nieporozumieniem jest stawianie audytora w roli nakazodawcy. W większości przypadków audyt informatyczny wykonywany jest na zlecenie kierownictwa organizacji: dyrekcji, zarządu, rzadziej rady nadzorczej. W takiej sytuacji zadaniem audytora nie jest przedstawianie bezwzględnie słusznych zaleceń, ale dostarczanie rekomendacji i sugestii usprawnień, za wdrożenie których odpowiedzialność ponosi kierownictwo. Kierownictwo powinno rekomendacje audytora przeanalizować (również pod kątem ekonomicznej zasadności ich wdrożenia), a jeżeli uzna je za niezasadne, odrzucić - wytyczne zawodowe nakładają na audytora obowiązek umieszczenia takiej różnicy zdań w sporządzanym przez niego raporcie, co daje czytelnikowi możliwość rozważenia zarówno racji audytora, jak i audytowanego.

Zawód audytora finansowego, wewnętrznego, czy w końcu informatycznego, to taki, w którym profesjonalizm i należyta staranność stanowią bezwzględnie wymagane cechy. Droga do uzyskania odpowiednich kwalifikacji i prawa wykonywania zawodu, wbrew temu, co twierdzi autorka wspomnianego artykułu, nie jest krótka i dalece wykracza poza zaliczenie egzaminu. W przypadku audytu informatycznego najbardziej popularnym na świecie certyfikatem jest Certified Information Systems Auditor (CISA). Tytuł ten jest przyznawany osobom o nieposzlakowanej opinii, posiadającym co najmniej pięcioletnie doświadczenie zawodowe w obszarze audytu i zarządzania systemami informatycznymi lub ich bezpieczeństwem, które z sukcesem podeszły do egzaminu o dobrze znanym w środowisku audytorów wysokim stopniu trudności.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200