Cesta: Info / Tiskové centrum / Články / Úloha auditu při řízení informatiky

• Manuál ServiceDesk ANECT
• HelpDesk
• ServiceDesk

• Tiskové centrum
• Zaměstnání
• Logo ke stažení

Pro soudobou informační společnost je typické plošné využívání informačních a komunikačních technologií (dále též ICT), a proto se řízení informatiky stává jedním z klíčových prvků celkového managementu většiny organizací. Znalost skutečného stavu informatiky je rozhodujícím prvkem efektivního a úspěšného rozvoje.

Uplatnění správných manažerských rozhodnutí při řízení informatiky je podmíněno znalostí skutečného stavu ICT. Důležitým nástroje pro poznání objektivního stavu řízení informatiky a informační bezpečnosti je audit ICT, který je důležitou složkou prohlubující nepostradatelné zpětné vazby.

Definice: Audit je systematický, nezávislý a dokumentovaný proces získání důkazů z auditu a jejich hodnocení s cílem stanovit rozsah splnění kritérií auditu [ISO19011].

Provádění auditů je spojeno s dodržováním řady zásad, které činní z auditu efektivní a spolehlivý nástroj pro podporu účinného managementu a řízení. Za základ se považují následující zásady:

• Etické chování - důvěryhodnost, jednotnost, důvěrnost a diskrétnost vystupování auditora;
• Spravedlivé prezentování - zjištění, závěry a zprávy z auditu musí být pravdivé a musí přesně popisovat veškeré při auditu provedené činnosti;
• Povinnost profesionálního přístupu - auditor musí mít vysokou odbornou a profesní způsobilost a musí využívat své odborné zkušenosti;
• Nezávislost - auditor musí být nezávislý na auditované činnosti a audit musí být veden s cílem nalézt objektivní stanovisko;
• Průkaznost - veškeré závěry a informace z provedeného auditu musí být zpětně ověřitelné.

Postup auditu ICT

Podívejme se nyní na vlastní průběh auditu trochu podrobněji. Typicky je možné takovýto audit rozdělit do následujících pěti částí:

• Zahájení auditu - se věnuje jmenování auditního týmu a definování cílů, předmětu a kritériím auditu.
• Přezkoumání dokumentace a příprava činností na místě - všechny audity by se měly opírat o základní znalost prostředí. Tato fáze auditu slouží k prostudování existující dokumentace, které je základem pro návrh účinného plánu auditu. Součástí této fáze auditu je též příprava různých pracovních dokumentů (např. dotazníky apod.).
• Provádění auditu na místě - je jádrem celého auditu, kdy dochází ke vlastnímu směru informací o skutečném fungování systému, k ověřování zjištěných skutečností a ke shromáždění důkazů.
• Příprava, schválení a distribuce zprávy z auditu - se opírá o důkladné vyhodnocení všech zjištěných skutečností při zvážení negativních dopadů a dalších souvislostí. Tato práce je základem pro zformulování stručné a výstižné zprávy z auditu.
• Dokončení auditu - pro vlastní auditní tým je důležité, aby si sám vyhodnotit úspěšné i méně zdařilé stránky auditu. Zpětná vazba je důležitým nástrojem zlepšování u auditorů.

Audit ICT a využití rizik

V každé organizaci existuje mnoho systémů ICT s rozdílným postavením, umístěním a využitím. V těchto případech jsou auditoři postaveni před otázku, který ze systémů je pro výsledky auditu důležitější a co mohou auditoři považovat za méně významné.

Pro tyto případy bývá uplatňován audit založený na hodnocení rizik. Jde o to, že při plánování auditů jsou zvažovány možné dopady auditované oblasti na fungování organizace, existující příznaky nesouladů a závažnost nedostatků zjištěných předchozími audity. Tyto informace dovolují stanovit míru rizika, které je spojené s daným systémem, a tomu přizpůsobit rozsah a cíle auditu.

Systémům s vysokou mírou rizika (např. relativně nové systémy s velkým dopadem na organizaci a s neuspokojivými výsledky předchozích auditů) je pak věnována intenzivnější pozornost. V těchto případech je též žádoucí doplnit audit o vhodný formát bezpečnostních testů, které dovolují detailně ověřit technické aspekty bezpečnosti. Naproti tomu u systémů s nižší mírou rizika postačují přehledové audity.

Hlavní výhodou tohoto přístupu k plánování auditů je vyšší míra cílení do problematických oblast doprovázená úsporou zdrojů. Současně je tento přístup vhodným motivačním faktorem - asi nikde nejsou auditoři plně oblíbeni.

Uplatnění měřítek

Při vyhodnocení auditu ICT a následném využívání výsledků při dalším rozvoji systémů je důležité správně zvolit citlivost hodnocení. V řadě případů nestačí pouze konstatovat, že opatření jsou či nejsou v souladu s metodikou. Pro upřesnění rozvoje je potřebné vyhodnotit hloubku prosazení daných principů. Přiklad hodnocení bezpečnosti je uveden na následujícím obrázku.

Při hodnocení bylo využito pětistupňové měřítko, kde se určuje míra prosazení v souladu s tzv. modelem vyzrálosti (CMM). Jinými slovy management je schopen na základě této tabulky jednoduše rozpoznat skutečno hloubku prosazení bezpečnosti a podle toho optimalizovat další úsilí.

Závěr

Aplikování zpětné vazby přináší množství výhod pro každý řídící systém. Nejinak je tomu i u systémů řízení informatiky či informační bezpečnosti. Objektivní informace o skutečném stavu fungování jsou nenahraditelným zdrojem informací, které dovolují odpovědným manažerům přesněji a účinněji zformulovat opatření pro zlepšování systému. A v tomto směru je audit ICT nenahraditelným nástrojem, jehož význam stále narůstá.

Použitá literatura

[ISO19011] ČSN EN ISO 19011:2003 - Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu.
[ISACA] IS Standards, Guidelines and Procedures for Auditing and Control Professionals, ISACA 2004.

www.isaca.org , www.auditnet.org