1. Strona główna
  2. Wiadomości

Kontrola IT - wyzwanie XXI wieku

  • Mirosław Forystek,

Można wyróżnić trzy metody budowania systemu kontrolnego.

Najpowszechniej stosowanym rozwiązaniem jest uczenie się na błędach. Polega ono na budowaniu bazy wiedzy poprzez rejestrowanie i analizowanie zachodzących przypadków w celu zapobiegania im w przyszłości. Jest to rozwiązanie dość ryzykowne, kosztowne i czasochłonne.

Drugie rozwiązanie polega na budowaniu systemu kontroli wg rekomendacji audytora zewnętrznego, wynikających z porównania systemu kontroli organizacji ze standardem uznanym za wzorzec. Jest to podejście efektywne, choć zazwyczaj bardzo kosztowne. Audytorom płaci się nie tylko za wiedzę i doświadczenie, ale i za selekcję materiału oraz podanie go w przyswajalnej formie.

Trzecim sposobem jest skorzystanie ze znanych standardów zarządzania i kontroli systemów informatycznych, opracowanych np. przez niezależne (od państwa, administracji rządowej i terytorialnej, firm itp.) organizacje, skupiające ludzi profesjonalnie zajmujących się technologią informatyczną.

W zakresie kontroli systemów informatycznych największe znaczenie na świecie odgrywają opracowania będące dziełem członków stowarzyszenia ISACA - Information Systems Audit and Control Association (Stowarzyszenie ds. Audytu i Kontroli Systemów Informatycznych).

Mimo że istnieją liczne podobne opracowania, to jednak wyjątkowość standardów ISACA polega na tym, że są efektem doświadczeń rzeszy ponad 23 tys. specjalistów z wielu tysięcy organizacji członkowskich z całego świata. Opracowania te z założenia mają służyć zarówno audytorom, informatykom, jak i ludziom biznesu.

Przykładami takich opracowań są standardy COBIT i CONCT.

COBIT (Control Objectives for Information and Related Technology) obejmuje całość zagadnień związanych z systemami informatycznymi - od planowania strategicznego, poprzez wdrażanie i utrzymywanie, aż do monitorowania. Stopniowo staje się on de facto standardem w wielu krajach.

CONCT (Control Objectives for Net Centric Technology) obejmuje wymogi kontrolne wobec systemów transakcyjnych, internetowych i hurtowni danych. Stanowi uzupełnienie COBIT w zakresie tych technologii.

Standardy ISACA mają charakter uniwersalny. Mogą być zaimplementowane w każdej organizacji. Z jednej strony jest to ich niezaprzeczalna zaleta, z drugiej, konieczna ogólnikowość może być postrzegana jako wada.

Zaletą standardów ISACA jest również to, że są one dostępne nieodpłatnie lub za stosunkowo niewielką opłatą i przydatne w szerokim zakresie (np. można skorzystać z COBIT chociażby w celu określenia listy wymagań wobec umowy dotyczącej wdrożenia systemu informatycznego). Opracowania ISACA, w odróżnieniu od innych (np. normy ISO, BS 7799, CMM), rozpatrują systemy informatyczne znacznie szerzej - przez szeroki wachlarz kryteriów jakościowych, bezpieczeństwa i wiarygodności. Modele systemów informatycznych stosowane w standardach ISACA są bliskie pojęciowo modelom biznesowym, co ułatwia współpracę między środowiskiem informatycznym a biznesowym.

Opracowania ISACA są zawsze aktualne i mogą stanowić doskonałe, efektywne i wydajne rozwiązanie. Dlatego kilka największych polskich banków podjęło już trud wdrażania standardu COBIT. Posługują się nimi także takie organizacje, jak Sony, Daimler-Chrysler czy Bank Rezerw Federalnych USA.

Budowanie efektywnego systemu kontroli w obszarze systemów informatycznych jest czasochłonne i kosztowne, a informatyka, tak jak każda inna dziedzina, musi podlegać nadzorowi. W przeciwnym razie, uwzględniając jej intensywny rozwój, może z łatwością wymknąć się spod kontroli, czego liczne przykłady daje się obserwować każdego dnia. Gdy to uwzględnić, nie można mieć wątpliwości, że nakłady poniesione na jej kontrolę szybko się zwrócą.