Usprawnianie przez sprawdzanie

Audyt informatyczny powoli staje się w Polsce istotnym elementem we właściwym funkcjonowaniu firm i instytucji.

Audyt informatyczny powoli staje się w Polsce istotnym elementem we właściwym funkcjonowaniu firm i instytucji.

Pytani o atrakcyjność wykonywania profesji audytora informatyki, indagowani specjaliści wyraźnie się ożywiają. Widać, że lubią swoją pracę. "Jest wyzwaniem, daje nowe możliwości poszerzenia wiedzy i horyzontów zawodowych" - mówi Jerzy Korytowski, zastępca dyrektora Departamentu Kontroli Wewnętrznej w ING Bank Śląski, a zarazem prezesa polskiego oddziału stowarzyszenia ISACA. "Trzeba poznać całą firmę, w tym jej finanse i zarządzanie. Pozwala to uwolnić się od bagażu bieżącej zależności od konkretnego fragmentu działalności firmy" - dodaje Mirosław Forystek, sekretarz stowarzyszenia ISACA. Do tej pracy trzeba być merytorycznie dobrze przygotowanym, chociażby po to, by nawiązać równorzędny dialog ze specjalistami z działu IT. "To zadanie o charakterze edukacyjnym i można to polubić" - uważa Jakub Bojanowski, senior manager w dziale Enterprise Risk Services w polskim oddziale & Touche. Dobry audytor informatyki musi mieć bogatsze doświadczenie niż typowy konsultant.

Superkonsultant

Wokół audytu informatycznego narosło sporo nieporozumień. Zazwyczaj bywa on niesłusznie utożsamiany jedynie ze sprawdzaniem systemów bezpieczeństwa sieci w firmie. Tymczasem to tylko jeden z kilku obszarów, którego dotyczy audyt informatyczny, bynajmniej nie najtrudniejszy (chociaż naturalną drogą dotarcia do stanowiska audytora informatyki jest wcześniejsze zajmowanie pozycji inspektora bezpieczeństwa - security officer, czyli praca w obszarze wewnętrznej kontroli bezpieczeństwa systemów informatycznych). Równie często zadanie audytora postrzegane jest jedynie poprzez kontekst kampanii walki z piractwem i postulaty prowadzenia audytu legalności oprogramowania zainstalowanego w firmie. "Jest to zadanie elementarne, nie wymagające specjalnej wiedzy ani umiejętności" - uważa Mirosław Forystek.

Audyt informatyczny dotyczy różnych obszarów, w których zmienne są stopień szczegółowości i metodyka sprawdzania weryfikowanych elementów. Na najwyższym poziomie znajduje się audyt strategiczny. Tutaj sprawdza się, czy kierunek rozwoju systemów informatycznych przystaje do ogólnej strategii rozwoju biznesowego firmy.

Prowadzi się audyty integralności danych, zapewnienia ciągłości procesów biznesowych, aplikacji, projektu, administrowania systemem czy bezpieczeństwa fizycznego systemów IT. Audytor musi sprawdzić, czy założone cele są realizowane, czy dana czynność albo proces są w ogóle potrzebne. Są to także kwestie budowania aplikacji zgodnie z procedurami czy zasady zawierania umów z dostawcami zewnętrznymi. Środowisko informatyczne powinno być badane poprzez ocenę mechanizmów kontrolnych, a nie tylko stanu obecnego. Zakres tematyczny pracy audytora informatyki jest więc bardzo szeroki.

Rewidenci informatyki

O ile audyt informatyczny jest dla wielu firm i instytucji wciąż zjawiskiem nowym, o tyle kwestią znaną jest audyt finansowy, prowadzony przez rewidentów. Ze względu na coraz ściślejszą zależność funkcjonowania firmy czy instytucji od posiadanych przez nią rozwiązań informatycznych, zakresy audytu informatycznego i finansowego przecinają się. W błędnym, choć powszechnym, rozumieniu audytor jest kontrolerem, który ma tylko zweryfikować zgodność działalności przedsiębiorstwa czy instytucji z przepisami prawa. Tymczasem do podstawowych zadań audytora powinny należeć: wskazywanie obszarów, które stanowią zagrożenie funkcjonowania sprawdzanej firmy czy instytucji, oraz oszacowanie wielkości ryzyka. W tym ujęciu rola audytora finansowego jest tożsama z zadaniami audytora informatyki. Przedstawiciele obu tych profesji muszą zajmować się różnymi postaciami potencjalnych zagrożeń.

Odrębnym problemem jest hermetyczność środowiska audytorów. Ludzie spoza tego środowiska nie znają bowiem aparatu pojęciowego, dotyczącego zarządzania ryzykiem. Już sam język, którym posługują się audytorzy, może wydać się dziwaczny, środowisko to bowiem zapożycza słowa nadając im własne specyficzne znaczenie. Stąd właśnie także rolą audytora jest zbudowanie właściwego interfejsu komunikacyjnego w rozmowach z otoczeniem i przy prezentacji wyników audytu.

Nie mamy armat

Środowisko polskich audytorów informatyki jest nieliczne. Ceryfikat CISA (Certified Information System Auditor), nadawany przez stowarzyszenie ISACA, będący standardem de facto na całym świecie, jest w posiadaniu zaledwie 30 osób (np. na Węgrzech jest ich 100), z czego znaczącą część stanowią przedstawiciele renomowanych firm konsultingowych. Zdobycie certyfikatu jest trudne, dlatego jego posiadacze z dumą umieszczają go na swoich wizytówkach (czasem oprócz skrótu CISA, widać również CIA, który to akronim nie oznacza przedstawiciela znanej agencji wywiadowczej, ale certyfikowanego audytora wewnętrznego - Certified Internal Auditor). Do otrzymania tytułu CISA konieczne jest zdanie egzaminu, który jest przeprowadzany tylko raz w roku. "Egzamin jest trudny. Wymaga doskonałej znajomości języka angielskiego. Nie zdaje go połowa przystępujących" - ocenia Jerzy Korytowski.