Kontrola IT - wyzwanie XXI wieku

Można wyróżnić trzy metody budowania systemu kontrolnego.

Najpowszechniej stosowanym rozwiązaniem jest uczenie się na błędach. Polega ono na budowaniu bazy wiedzy poprzez rejestrowanie i analizowanie zachodzących przypadków w celu zapobiegania im w przyszłości. Jest to rozwiązanie dość ryzykowne, kosztowne i czasochłonne.

Drugie rozwiązanie polega na budowaniu systemu kontroli wg rekomendacji audytora zewnętrznego, wynikających z porównania systemu kontroli organizacji ze standardem uznanym za wzorzec. Jest to podejście efektywne, choć zazwyczaj bardzo kosztowne. Audytorom płaci się nie tylko za wiedzę i doświadczenie, ale i za selekcję materiału oraz podanie go w przyswajalnej formie.

Trzecim sposobem jest skorzystanie ze znanych standardów zarządzania i kontroli systemów informatycznych, opracowanych np. przez niezależne (od państwa, administracji rządowej i terytorialnej, firm itp.) organizacje, skupiające ludzi profesjonalnie zajmujących się technologią informatyczną.

W zakresie kontroli systemów informatycznych największe znaczenie na świecie odgrywają opracowania będące dziełem członków stowarzyszenia ISACA - Information Systems Audit and Control Association (Stowarzyszenie ds. Audytu i Kontroli Systemów Informatycznych).

Mimo że istnieją liczne podobne opracowania, to jednak wyjątkowość standardów ISACA polega na tym, że są efektem doświadczeń rzeszy ponad 23 tys. specjalistów z wielu tysięcy organizacji członkowskich z całego świata. Opracowania te z założenia mają służyć zarówno audytorom, informatykom, jak i ludziom biznesu.

Przykładami takich opracowań są standardy COBIT i CONCT.

COBIT (Control Objectives for Information and Related Technology) obejmuje całość zagadnień związanych z systemami informatycznymi - od planowania strategicznego, poprzez wdrażanie i utrzymywanie, aż do monitorowania. Stopniowo staje się on de facto standardem w wielu krajach.

CONCT (Control Objectives for Net Centric Technology) obejmuje wymogi kontrolne wobec systemów transakcyjnych, internetowych i hurtowni danych. Stanowi uzupełnienie COBIT w zakresie tych technologii.

Standardy ISACA mają charakter uniwersalny. Mogą być zaimplementowane w każdej organizacji. Z jednej strony jest to ich niezaprzeczalna zaleta, z drugiej, konieczna ogólnikowość może być postrzegana jako wada.

Zaletą standardów ISACA jest również to, że są one dostępne nieodpłatnie lub za stosunkowo niewielką opłatą i przydatne w szerokim zakresie (np. można skorzystać z COBIT chociażby w celu określenia listy wymagań wobec umowy dotyczącej wdrożenia systemu informatycznego). Opracowania ISACA, w odróżnieniu od innych (np. normy ISO, BS 7799, CMM), rozpatrują systemy informatyczne znacznie szerzej - przez szeroki wachlarz kryteriów jakościowych, bezpieczeństwa i wiarygodności. Modele systemów informatycznych stosowane w standardach ISACA są bliskie pojęciowo modelom biznesowym, co ułatwia współpracę między środowiskiem informatycznym a biznesowym.

Opracowania ISACA są zawsze aktualne i mogą stanowić doskonałe, efektywne i wydajne rozwiązanie. Dlatego kilka największych polskich banków podjęło już trud wdrażania standardu COBIT. Posługują się nimi także takie organizacje, jak Sony, Daimler-Chrysler czy Bank Rezerw Federalnych USA.

Budowanie efektywnego systemu kontroli w obszarze systemów informatycznych jest czasochłonne i kosztowne, a informatyka, tak jak każda inna dziedzina, musi podlegać nadzorowi. W przeciwnym razie, uwzględniając jej intensywny rozwój, może z łatwością wymknąć się spod kontroli, czego liczne przykłady daje się obserwować każdego dnia. Gdy to uwzględnić, nie można mieć wątpliwości, że nakłady poniesione na jej kontrolę szybko się zwrócą.


TOP 200