Artykuły
Podstawy audytu IT
U początków komputeryzacji pierwsze zastosowania oprogramowania biznesowego dotyczyły głównie kategorii, takich jak finanse i księgowość. Liczby z papierowych bilansów i paragonów wprowadzano do komputera, który następnie dokonywał obliczeń i tworzył raporty. Ich rzetelność musiała być potwierdzana w procesie audytu - wówczas jeszcze przeprowadzanego z ołówkiem i kartką w ręku.
Komputery podlegały audytowi poprzez techniki próbkowania. Audytor gromadził oryginalne papierowe paragony, zestawienia i bilanse, ręcznie dokonywał obliczeń potrzebnych przy tworzeniu każdego raportu i porównywał wyniki własnej kalkulacji z wynikami generowanymi przez komputer. We wczesnych latach stosowania technik komputerowych, to księgowi często wynajdywali błędy w programach i na tym polegał audyt komputera. Czasami takie weryfikacje doprowadzały do wykrywania nadużyć.
Działania kwalifikowane jako nadużycia mają różnorodny charakter: od zmiany danych wprowadzanych przez urzędnika kontrolującego wypłaty, po pozostawianie umyślnych błędów w zaokrągleniach przez programistów, w celu zakumulowania uzyskanych w ten sposób nadpłat na ukrytym koncie. Gdy audytor rozpoznaje powtarzające się wzorce nadużyć, może zarekomendować różne mechanizmy zabezpieczające, przeznaczone do automatycznego zapobiegania czy wykrywania takich działań.
W miarę zwiększania mocy obliczeniowej komputerów tworzenie programów stawało się bardziej zautomatyzowane i w konsekwencji audytorzy otrzymywali coraz mniej negatywnych wyników kontroli związanych z poprawnością obliczeń, a coraz więcej - z nieautoryzowanym dostępem. Co więcej, kontrole przeprowadzane pod kątem poprawności wyliczeń zostały wdrożone jako środki kontrolne zmian w oprogramowaniu. Oparto je głównie na zabezpieczeniach wymuszających sterowanie rozdziałem odpowiedzialności pomiędzy zespołami programistów, testerów i wdrożeniowców. To oznacza, że nawet zmiany programowe podlegają pewnej ocenie ze względu na ich oddziaływanie na mechanizmy kontrolne bezpieczeństwa systemu. Dzisiaj audyt systemu informatycznego jest w pewnym sensie synonimem testowania sterowania bezpieczeństwem informacji.
Zakres audytu systemu informatycznego
Chociaż normalny zakres audytu systemu informacyjnego nadal obejmuje cały cykl życia technologii będącej pod obserwacją (włączając w to poprawność obliczeń komputerowych), to jednak najczęściej praktyczny zakres audytu jest zależny od jego celów.
Audyt jest zawsze rezultatem pewnych obaw lub problemów związanych z zarządzaniem zasobami. Stroną zainteresowaną może być agencja nadzorująca stosowanie regulacji prawnych, właściciel zasobów lub każdy inny uczestnik operacji w środowisku systemowym, w tym również sami administratorzy systemu.
Zainteresowana strona będzie mieć określony cel, zlecając audyt. Może nim być sprawdzenie poprawności obliczeń systemowych, potwierdzenie, że systemy mają właściwie dobrane zasoby, ocena integralności operacyjnej procesów zautomatyzowanych, weryfikacja czy dane poufne nie są udostępniane nieautoryzowanym osobom, w końcu różne kombinacje wymienionych i podobnych, powiązanych z systemem ważnych spraw. Cel audytu będzie określał jego zakres.
· kryteria: pewne standardy, wskazujące, dlaczego dany stan osłabia zdolność zarządzania do osiągnięcia celów kontrolnych;
· przyczyna: przyczyna źródłowa sytuacji, która wprowadza niedostatki kontroli;
· efekt: ryzyko, jakie wnosi dany stan do audytowanej organizacji, wyrażone w kategoriach potencjalnego wpływu na biznes;
· rekomendacja: odpowiednia reakcja w obszarze zarządzania (opcjonalne).
Dla audytorów reprezentujących interesy zarządu wyzwaniem może być przełożenie celów audytu na technologie. Identyfikują oni przede wszystkim działalność biznesową, która zapewni największe prawdopodobieństwo uzyskania najlepszego materiału dowodowego, mającego wspierać cele audytu. Muszą oni więc rozpoznać, jakie systemy aplikacyjne i sieci są używane do obsługi informacji, która wspiera działania biznesowe.
Audyt może się skupiać np. na określonym procesie IT i w takim przypadku jego zakres będzie obejmował systemy używane do tworzenia danych wejściowych przetwarzanych w tym procesie lub sterujących tym procesem.
Działania kwalifikowane jako nadużycia mają różnorodny charakter: od zmiany danych wprowadzanych przez urzędnika kontrolującego wypłaty, po pozostawianie umyślnych błędów w zaokrągleniach przez programistów, w celu zakumulowania uzyskanych w ten sposób nadpłat na ukrytym koncie. Gdy audytor rozpoznaje powtarzające się wzorce nadużyć, może zarekomendować różne mechanizmy zabezpieczające, przeznaczone do automatycznego zapobiegania czy wykrywania takich działań.
W miarę zwiększania mocy obliczeniowej komputerów tworzenie programów stawało się bardziej zautomatyzowane i w konsekwencji audytorzy otrzymywali coraz mniej negatywnych wyników kontroli związanych z poprawnością obliczeń, a coraz więcej - z nieautoryzowanym dostępem. Co więcej, kontrole przeprowadzane pod kątem poprawności wyliczeń zostały wdrożone jako środki kontrolne zmian w oprogramowaniu. Oparto je głównie na zabezpieczeniach wymuszających sterowanie rozdziałem odpowiedzialności pomiędzy zespołami programistów, testerów i wdrożeniowców. To oznacza, że nawet zmiany programowe podlegają pewnej ocenie ze względu na ich oddziaływanie na mechanizmy kontrolne bezpieczeństwa systemu. Dzisiaj audyt systemu informatycznego jest w pewnym sensie synonimem testowania sterowania bezpieczeństwem informacji.
Zakres audytu systemu informatycznego
Chociaż normalny zakres audytu systemu informacyjnego nadal obejmuje cały cykl życia technologii będącej pod obserwacją (włączając w to poprawność obliczeń komputerowych), to jednak najczęściej praktyczny zakres audytu jest zależny od jego celów.
Audyt jest zawsze rezultatem pewnych obaw lub problemów związanych z zarządzaniem zasobami. Stroną zainteresowaną może być agencja nadzorująca stosowanie regulacji prawnych, właściciel zasobów lub każdy inny uczestnik operacji w środowisku systemowym, w tym również sami administratorzy systemu.
Zainteresowana strona będzie mieć określony cel, zlecając audyt. Może nim być sprawdzenie poprawności obliczeń systemowych, potwierdzenie, że systemy mają właściwie dobrane zasoby, ocena integralności operacyjnej procesów zautomatyzowanych, weryfikacja czy dane poufne nie są udostępniane nieautoryzowanym osobom, w końcu różne kombinacje wymienionych i podobnych, powiązanych z systemem ważnych spraw. Cel audytu będzie określał jego zakres.
Udokumentowane wyniki audytu powinny składać się z następujących części:
· stan: rzeczowy opis materiału dowodowego audytu;
· kryteria: pewne standardy, wskazujące, dlaczego dany stan osłabia zdolność zarządzania do osiągnięcia celów kontrolnych;
· przyczyna: przyczyna źródłowa sytuacji, która wprowadza niedostatki kontroli;
· efekt: ryzyko, jakie wnosi dany stan do audytowanej organizacji, wyrażone w kategoriach potencjalnego wpływu na biznes;
· rekomendacja: odpowiednia reakcja w obszarze zarządzania (opcjonalne).
Audyt może się skupiać np. na określonym procesie IT i w takim przypadku jego zakres będzie obejmował systemy używane do tworzenia danych wejściowych przetwarzanych w tym procesie lub sterujących tym procesem.
Komentarze (0)
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...