Podstawy audytu IT
- Józef Muszyński,
- Jennifer Bayuk,
- 12.10.2009
U początków komputeryzacji pierwsze zastosowania oprogramowania biznesowego dotyczyły głównie kategorii, takich jak finanse i księgowość. Liczby z papierowych bilansów i paragonów wprowadzano do komputera, który następnie dokonywał obliczeń i tworzył raporty. Ich rzetelność musiała być potwierdzana w procesie audytu - wówczas jeszcze przeprowadzanego z ołówkiem i kartką w ręku.
Komputery podlegały audytowi poprzez techniki próbkowania. Audytor gromadził oryginalne papierowe paragony, zestawienia i bilanse, ręcznie dokonywał obliczeń potrzebnych przy tworzeniu każdego raportu i porównywał wyniki własnej kalkulacji z wynikami generowanymi przez komputer. We wczesnych latach stosowania technik komputerowych, to księgowi często wynajdywali błędy w programach i na tym polegał audyt komputera. Czasami takie weryfikacje doprowadzały do wykrywania nadużyć.
Działania kwalifikowane jako nadużycia mają różnorodny charakter: od zmiany danych wprowadzanych przez urzędnika kontrolującego wypłaty, po pozostawianie umyślnych błędów w zaokrągleniach przez programistów, w celu zakumulowania uzyskanych w ten sposób nadpłat na ukrytym koncie. Gdy audytor rozpoznaje powtarzające się wzorce nadużyć, może zarekomendować różne mechanizmy zabezpieczające, przeznaczone do automatycznego zapobiegania czy wykrywania takich działań.
W miarę zwiększania mocy obliczeniowej komputerów tworzenie programów stawało się bardziej zautomatyzowane i w konsekwencji audytorzy otrzymywali coraz mniej negatywnych wyników kontroli związanych z poprawnością obliczeń, a coraz więcej - z nieautoryzowanym dostępem. Co więcej, kontrole przeprowadzane pod kątem poprawności wyliczeń zostały wdrożone jako środki kontrolne zmian w oprogramowaniu. Oparto je głównie na zabezpieczeniach wymuszających sterowanie rozdziałem odpowiedzialności pomiędzy zespołami programistów, testerów i wdrożeniowców. To oznacza, że nawet zmiany programowe podlegają pewnej ocenie ze względu na ich oddziaływanie na mechanizmy kontrolne bezpieczeństwa systemu. Dzisiaj audyt systemu informatycznego jest w pewnym sensie synonimem testowania sterowania bezpieczeństwem informacji.
Zakres audytu systemu informatycznego
Chociaż normalny zakres audytu systemu informacyjnego nadal obejmuje cały cykl życia technologii będącej pod obserwacją (włączając w to poprawność obliczeń komputerowych), to jednak najczęściej praktyczny zakres audytu jest zależny od jego celów.
Audyt jest zawsze rezultatem pewnych obaw lub problemów związanych z zarządzaniem zasobami. Stroną zainteresowaną może być agencja nadzorująca stosowanie regulacji prawnych, właściciel zasobów lub każdy inny uczestnik operacji w środowisku systemowym, w tym również sami administratorzy systemu.
Zainteresowana strona będzie mieć określony cel, zlecając audyt. Może nim być sprawdzenie poprawności obliczeń systemowych, potwierdzenie, że systemy mają właściwie dobrane zasoby, ocena integralności operacyjnej procesów zautomatyzowanych, weryfikacja czy dane poufne nie są udostępniane nieautoryzowanym osobom, w końcu różne kombinacje wymienionych i podobnych, powiązanych z systemem ważnych spraw. Cel audytu będzie określał jego zakres.
Audyt może się skupiać np. na określonym procesie IT i w takim przypadku jego zakres będzie obejmował systemy używane do tworzenia danych wejściowych przetwarzanych w tym procesie lub sterujących tym procesem.