Usprawnianie przez sprawdzanie

W Polsce w przypadku wprowadzenia rozwiązań wymuszających prowadzenie audytu informatycznego (np. w odniesieniu do dużych projektów realizowanych przez instytucje państwowe, co jest standardem w niektórych krajach, np. w USA) może zabraknąć wystarczającej liczby specjalistów. Nie kształci się ich na wyższych uczelniach (np. na studiach podyplomowych łączących zagadnienia informatyczne z ekonomicznymi). Jesteśmy na początku drogi, choć rośnie świadomość firm odnośnie do potrzeby prowadzenia audytu informatycznego. W niewielu firmach audyt jest jednak na tyle ważny, by można było budować elementarne struktury stanowisk osób zajmujących się audytem informatycznym (ISACA ustaliła oficjalną nomenklaturę kilku szczebli hierarchii zawodowej).

Przykładem instytucji, w której do audytu przywiązuje się dużą wagę, jest ING Bank Śląski. W jego dziale kontroli wewnętrznej pracuje ok. 40 osób, z czego ośmiu audytorów zajmuje się rozwiązaniami informatycznymi.

Zjazd audytorski

Na konferencjach organizowanych przez polski oddział ISACA trzon uczestników stanowią reprezentanci instytucji finansowo-bankowych. W tym roku widoczni byli również przedstawiciele instytucji administracji państwowej.

Konferencja PolKA 2002, która odbyła się w kwietniu br. w Bielsku-Białej, była próbą zbliżenia środowiska audytorów finansowych oraz nielicznego środowiska audytorów informatyki. Podpisano już umowę z Krajową Izbą Biegłych Rewidentów (KIBR). W jej efekcie ISACA ma służyć pomocą merytoryczną przy tych audytach, w których istotna jest ocena merytoryczna funkcjonujących rozwiązań informatycznych. Na problemy dotyczące informatyki coraz częściej natykają się w trakcie prowadzonych kontroli tradycyjni audytorzy finansowi. Ich wiedza okazuje się w takich przypadkach niewystarczająca. Kilka osób z ISACA uczestniczy również w powołaniu Stowarzyszenia Audytorów Wewnętrznych IIA Polska. Z ISACA współpracuje również Komitet ds. Audytu i Kontroli Technologii Informatycznych i Pokrewnych przy Związku Banków Polskich.

Nowe umocowania

Znaczenie audytu informatycznego zostało wzmocnione za sprawą nowych rozwiązań prawnych - ustawy o finansach publicznych (obligatoryjność powołania audytora wewnętrznego dla instytucji wydatkujących środki publiczne) oraz ustawy o rachunkowości wraz z towarzyszącymi jej rozporządzeniami (wskazanie nie wprost na ważną rolę audytu informatycznego, umożliwienie prowadzenia księgowości "bez papieru" oraz wyeliminowanie rozwiązań prowizorycznych).

Nowa ustawa o rachunkowości nakłada znacznie więcej obowiązków niż w zakresie formalnej dokumentacji systemów informatycznych (wykorzystywanych na potrzeby księgowości). Zarazem nakłada więcej obowiązków na audytorów. Ustawa mówi bowiem, jakie warunki powinien spełniać system, lecz czyni to w dość ogólnikowy sposób (z użyciem mało precyzyjnych określeń i przymiotników typu "bezpieczny"). "Rolą audytora jest zatem ocena, czy przyjęte rozwiązania odpowiadają postulowanym w ustawie" - wyjaśnia Jakub Bojanowski.

Jak pokazują doświadczenia dużych firm konsultingowych świadczących usługi audytorskie, zdarza się, że rozmowy o tym, czy w sprawdzanej firmie należy również weryfikować systemy informatyczne, trwa znacznie dłużej niż audyt. Wciąż bowiem audyt informatyczny jest kwestią nieznaną. "Ustawa daje jednak kontrolującym odpowiednie argumenty, przemawiające za koniecznością przeprowadzenia audytu informatycznego" - mówi Jakub Bojanowski.

ISACA - stowarzyszenie ds. audytu i kontroli systemów informatycznych

Stowarzyszenie ISACA, powstałe już w 1969 r., zrzesza ponad 23 tys. członków na całym świecie. Nadaje tytuł certyfikowanego audytora informatyki (CISA), organizuje konferencje i szkolenia, publikuje liczne materiały edukacyjne, udostępnia własne metodologie prowadzenia audytów (np. COBIT). Niedawno powołało IT Governance Institute (www.itgovernance.org), instytucję mającą gromadzić wiedzę na temat zależności pomiędzy rozwojem i funkcjonowaniem rozwiązań informatycznych a całokształtem kierowania i kontroli organizacji biznesowych. Większość materiałów udostępnionych przez ISACA na serwerze internetowym (www.isaca.org) dostępnych jest jedynie dla członków organizacji. Polski oddział ISACA, który liczy już ponad 100 członków, na swoich stronach internetowych (www.isaca.org.pl) udostępnia informacje o prowadzonych co kilka tygodni spotkaniach.


TOP 200