Audyt informatyczny

Z Encyklopedia Zarządzania
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.
Audyt informatyczny
Polecane artykuły


Audyt informatyczny- to proces, w którym zbiera się i ocenia materiały dowodowe w celu sprawdzenia, czy systemy informatyczne i związane z nimi zasoby chronią majątek. Kontroluje też utrzymanie integralności danych i systemów. Do obowiązków systemów informatycznych należą takie zadania jak: rozpowszechnianie należytych i rzetelnych informacji oraz kontrolowanie, czy przedsiębiorstwo realizuje swoje cele, oszczędza zużycie swoich zasobów. Powinny one też pełnić funkcję kontroli wewnętrznej, żeby ostrzegać przed niepożądanymi zdarzeniami lub naprawiać ich skutki. [1]

Historia

Audyt informatyczny narodził się w ostatnich latach 60-tych XX wieku w Stanach Zjednoczonych. Do jego powstania przyczynił się rozwój systemów informatycznych i struktur organizacyjnych. Zaczęto zauważać wiele problemów, zwłaszcza w dużych organizacjach. Jednym z nich był problem z przekazywaniem prawdziwych informacji. Kolejnym natomiast został spowodowany wieloma różnymi sposobami zarządzania i kontrolowani technologii informatycznej. Każdy kierownik zarządzał i kontrolował technologię informacji na inny sposób, co doprowadzało do całego szeregu braku godności danych i przekazywaniu nieodpowiednich informacji osobą podejmującym ważne decyzja. Wszystko to przyczyniło się do powstania osobnej komórki, której zadaniem było zajęcie się audytem informatycznym. Audyt informatyczny narodził się w praktyce, a dopiero potem zaczął być opisywany w teorii.[2]

Zakres

W zakres audytu informatycznego wchodzą między innymi:

Funkcja

Funkcjami audytu informatycznego jest funkcja informacyjna i funkcja kontrolna. W dużych organizacjach często dochodzi do przekłamania informacji, dlatego też audyt informatyczny pomaga kierownictwu na najwyższym szczeblu hierarchii nabrać pewności, że obecna sytuacja w przedsiębiorstwie jest zgodna z ich punktem widzenia. Pozwala to przełożyć dane informacje na wizję i strategię firmy. Dzięki pełnieniu funkcji kontrolnej audytu informatycznego przedsiębiorstwo jest ciągle badane w celu określenia, czy organizacja spełnia wymagane normy. [4]

Podział

Audyt informatyczny można podzielić na różne sposoby według różnych kryteriów. Są nimi np. kryteria:

  • ze względu na podmiot (np. zarządzanie ryzykiem, zarządzanie projektami),
  • ze względu na cel (np. efektywność, bezpieczeństwo),
  • ze względu na metodę badania (np. badanie zgodności),
  • ze względu na zasoby (np. technologii, danych). [5]

Modele audytu informatycznego [6]

Wyróżniamy trzy modele audytu informatycznego, a mianowicie model klasyczny, model formalny oraz model merytoryczny.

Model audytu klasycznego Model ten stanowi jeden z elementów nadzoru nad organizacją. Celem tego modelu jest skontrolowanie czy organizacja ma nadzór nad systemami informacyjnymi. Ocenie podlegają rozwiązania techniczne i organizacyjne.

Model audytu formalnego Celem tego modelu jest ocena organizacji przedsięwzięć. Są tu oceniane metodyki zarządzania i projektowania. Źródłem informacji w tej metodzie są między innymi dokumentacja projektowa.

Model audytu merytorycznego Model ten ma za zadanie ocenić rozwiązania informatyczne. Przeprowadzony jest w sytuacjach takich jak: trwająca realizacja projekty, po klęsce projektu. Może też być używany przy procesach odbioru zamówionego rozwiązania informatycznego.

Przebieg

  1. Ustalenie założeń.
  2. Stwierdzenie, co jest najważniejszym celem audytu, a co tylko ważnym lub nieistotnym.
  3. Ocena ryzyka.
  4. Zebranie potrzebnej dokumentacji.
  5. Zbieranie odpowiednich dowodów audytowych.
  6. Przystąpienie do procesu audytowego, na który składa się przygotowanie do badania, badanie i raportowanie. [7]

Organizacje związane z audytem informatycznym

W Polsce działa jedna organizacja, która skupia osoby pracujące w audycie informatycznym. Jest to stowarzyszenie międzynarodowe o nazwie ISACA (Information Systems Audit and Control Association), który posiada w Polsce lokalny oddział. Oprócz ISACA audytorzy systemów informatycznych mogą należeć też do między innymi: Krajowej Izby Biegłych Rewidentów, Instytutu Audytorów Wewnętrznych. [8]

Bibliografia

Autor: Małgorzata Sołtys

Przypisy

  1. Forystek M. (2005) ‘’Audyt informatyczny’’, Wydawnictwo InfoAudit Sp. z o.o., Warszawa, s. 24
  2. Moeller R. (2013) Nowoczesny audyt wewnętrzny, Wydawnictwo Wolters Kluwer SA, Warszawa, s. 27
  3. Molski M., Łacheta M. (2007) Przewodnik audytora systemów informatycznych, Wydawnictwo: Helion, Gliwice, s. 279
  4. Forystek M. (2005) Audyt informatyczny, Wydawnictwo InfoAudit Sp. z o.o., Warszawa, s. 25-26
  5. Forystek M. (2005) Audyt informatyczny, Wydawnictwo InfoAudit Sp. z o.o., Warszawa, s. 173-174
  6. Zalewski A., Cegieła R., Sacha K. (2003) Modele i praktyka audytu informatycznego, e-informatyka.pl
  7. Bartoszewicz A. (2011) Praktyka funkcjonowania audytu wewnętrznego w Polsce, Wydawnictwo CeDeWu Sp. z o.o., Warszawa, s. 39-56
  8. Moeller R. (2013) Nowoczesny audyt wewnętrzny, Wydawnictwo Wolters Kluwer SA, Warszawa, s. 259-262