Audyt informatyczny jest potrzebny dużym firmom
Niezależna weryfikacja pozwala ocenić stan systemów
Podmioty z rozbudowaną infrastrukturą informatyczną muszą liczyć się z problemami mogącymi wystąpić zarówno z powodów zewnętrznych, jak i wewnętrznych. Audyt informatyczny pozwala ocenić bezpieczeństwo systemów, ich funkcjonalność, zgodność z wymogami prawa oraz stopień wykorzystania posiadanych zasobów.
W miarę rozwoju infrastruktury informatycznej przedsiębiorstwa pojawia się coraz więcej ryzyk, które można zniwelować oceniając stan rozwiązań za pomocą audytu wykonywanego przez niezależną instytucję. Jednak zdaniem konsultantów, w Polsce rzadko powodem zatrudnienia firmy audytorskiej jest troska o bezpieczeństwo i chęć podniesienia efektywności systemu.
— Najczęstszą przyczyną przeprowadzania audytu informatycznego jest spór z dostawcą oprogramowania. Zdarza się, że zarządy firm mają znikomą świadomość potrzeby ochrony informacji i kwestii ryzyka informatycznego. Brak świadomości oraz spójnych przepisów dotyczących ochrony informacji powoduje, że nie są stosowane podstawowe zasady zarządzania bezpieczeństwem — mówi Tomasz Bejm, dyrektor działu zarządzania ryzykiem informatycznym w firmie Arthur Andersen oraz członek zarządu stowarzyszenia ISACA (Information Systems Audit and Control Association), które skupia audytorów.
Bezpieczeństwo
Poza sprawdzeniem stanu bezpieczeństwa systemu, audyt ma pozwolić na podniesienie funkcjonalności i stopnia wykorzystania posiadanych zasobów.
— Audyt ma odpowiedzieć na pytanie, czy informacja uzyskiwana z systemów jest właściwa, a jednocześnie dobrze chroniona przed niepowołanym dostępem — uważa Tomasz Bejm.
Inną sprawą jest konieczność ustalenia procedur postępowania w wypadkach awaryjnych, np. pożaru czy innej sytuacji alarmowej. Brak ściśle określonych zasad powoduje, że awaria może mieć bardzo poważny wpływ na biznes.
W Polsce jest 180 członków Stowarzyszenia ds. Kontroli i Audytu Systemów Informatycznych ISACA. Jedynie 12 osób uzyskało do tej pory certyfikat CISA (Certified Information Systems Auditor). Zdaniem Tomasza Bejma, z punktu widzenia audytora, Polska jest dziewiczym rynkiem. O ile coraz więcej firm wdraża zaawansowane rozwiązania informatyczne z tzw. górnej półki, o tyle nie idzie to w parze z wzrostem świadomości w sposobach zarządzania, kontroli i zabezpieczeń systemu.
Bez strategii
Innym problemem firm jest brak strategii rozwoju systemów informatycznych. Często wdrażając rozwiązania przedsiębiorstwo nie jest w stanie powiązać informatyzacji z celami biznesowymi. Wiele firm kupuje zaawansowane i bardzo drogie oprogramowanie wspomagające zarządzanie, a potem wykorzystuje niewielki procent jego możliwości. Równie często przy wyborze systemu nie bierze się pod uwagę rozwoju firmy i po wdrożeniu system jest za mały, nie spełnia jej oczekiwań. Rzadko, poza wspomaganiem działalności operacyjnej, od systemów oczekuje się też wspomagania w planowaniu strategicznym.
Mariusz Zielke
[email protected] tel. (22) 611-62-56