Audyt i kontrola systemów informatycznych

W dzisiejszym cyfrowym świecie, gdzie technologia informatyczna (IT) przenika każdy aspekt działalności biznesowej, audyt systemów informatycznych staje się nieodzownym narzędziem zapewniającym bezpieczeństwo, efektywność i zgodność z przepisami. Nie jest to jedynie formalność, ale strategiczny element zarządzania ryzykiem, który chroni organizacje przed potencjalnymi stratami finansowymi, naruszeniami danych i zakłóceniami operacyjnymi.

Czym jest audyt i kontrola systemów informatycznych?

Audyt systemów informatycznych, w przeciwieństwie do audytu sprawozdań finansowych, koncentruje się na ocenie kontroli wewnętrznej w systemach IT. Jego celem jest zbadanie, czy systemy te są odpowiednio zaprojektowane i skutecznie działają, aby zapewnić dostępność, bezpieczeństwo i integralność informacji. Chodzi o kompleksową ocenę, która obejmuje nie tylko procedury bezpieczeństwa, ale także procesy rozwoju oprogramowania, zarządzanie IT i nadzór.

W środowisku systemów informatycznych audyt to szczegółowe badanie tych systemów, ich danych wejściowych, wyjściowych i procesów przetwarzania. Wraz z postępem technologicznym i rosnącą zależnością firm od IT, wzrasta również zagrożenie cybernetyczne i ryzyko zakłóceń. Audyt IT ma za zadanie minimalizować te ryzyka, zapewniając, że systemy IT działają sprawnie i bezpiecznie.

Głównym celem audytu IT jest ocena systemów chroniących informacje organizacji. Dokładniej, audyt IT ma na celu sprawdzenie zdolności organizacji do ochrony swoich aktywów informacyjnych i prawidłowego udostępniania informacji upoważnionym stronom. W ramach audytu ocenia się:

• Dostępność: Czy systemy komputerowe organizacji będą dostępne dla biznesu zawsze, gdy będzie to konieczne?
• Bezpieczeństwo i poufność: Czy informacje w systemach będą ujawniane tylko upoważnionym użytkownikom?
• Integralność: Czy informacje dostarczane przez system są zawsze dokładne, wiarygodne i aktualne?

Poprzez te oceny, audyt ma na celu zidentyfikowanie ryzyka dla cennych aktywów firmy (informacji) i ustanowienie metod minimalizacji tego ryzyka. Organizacje powinny koncentrować się na trzech kluczowych wymaganiach: poufności, integralności i dostępności, aby zapewnić bezpieczeństwo i zaufanie do swoich systemów IT.

• Poufność: Ochrona prywatnych informacji przed nieuprawnionym dostępem.
• Integralność: Gwarancja, że informacje mogą być modyfikowane tylko w autoryzowany sposób.
• Dostępność: Zapewnienie, że tylko upoważnieni użytkownicy mają dostęp do określonych informacji.

Te trzy wymagania są kluczowe w każdej branży i organizacji korzystającej z IT, ale konkretne kontrole i ich implementacja będą się różnić w zależności od specyfiki działalności.

Klasyfikacja audytów IT

Istnieje wiele klasyfikacji audytów IT, w zależności od podejścia i zakresu. Jednym z podziałów jest rozróżnienie na trzy systematyczne podejścia:

• Audyt procesu innowacji technologicznych: Ten typ audytu koncentruje się na ocenie ryzyka związanego z istniejącymi i nowymi projektami technologicznymi. Analizuje doświadczenie firmy w wybranych technologiach, jej obecność na rynkach, organizację projektów i strukturę branży.
• Audyt porównawczy innowacji: Porównuje zdolności innowacyjne firmy z konkurencją. Obejmuje ocenę działów badawczo-rozwojowych i osiągnięć firmy w zakresie wdrażania nowych produktów.
• Audyt pozycji technologicznej: Ocenia technologie, które firma aktualnie posiada i te, które musi wdrożyć. Technologie są klasyfikowane jako „bazowe”, „kluczowe”, „dyktujące tempo” lub „wschodzące”.

Inna klasyfikacja dzieli audyty IT na pięć kategorii:

• Systemy i aplikacje: Audyt weryfikuje, czy systemy i aplikacje są odpowiednie, wydajne i adekwatnie kontrolowane, aby zapewnić prawidłowe, wiarygodne, aktualne i bezpieczne dane wejściowe, przetwarzanie i wyjściowe na wszystkich poziomach systemu. Szczególnym podtypem są audyty zapewnienia systemów i procesów, skupiające się na systemach IT biznesowych zorientowanych na procesy biznesowe. Te audyty wspierają audytorów finansowych.
• Infrastruktura przetwarzania informacji: Audyt sprawdza, czy infrastruktura przetwarzania jest kontrolowana w sposób zapewniający terminowe, dokładne i wydajne przetwarzanie aplikacji w normalnych i potencjalnie zakłócających warunkach.
• Rozwój systemów: Audyt weryfikuje, czy rozwijane systemy spełniają cele organizacji i czy są rozwijane zgodnie z ogólnie przyjętymi standardami rozwoju systemów.
• Zarządzanie IT i architektura korporacyjna: Audyt sprawdza, czy zarządzanie IT opracowało strukturę organizacyjną i procedury zapewniające kontrolowane i wydajne środowisko przetwarzania informacji.
• Klient/Serwer, Telekomunikacja, Intranet i Ekstranet: Audyt weryfikuje, czy kontrole telekomunikacyjne są wdrożone po stronie klienta (komputer odbierający usługi), serwera i sieci łączącej klientów i serwery.

Niektórzy specjaliści upraszczają podział audytów IT do dwóch typów: „audyty kontroli ogólnej” i „audyty kontroli aplikacji”. Jednak, niezależnie od typu audytu, można wyróżnić trzy fundamentalne rodzaje kontroli:

• Kontrole ochronne/zapobiegawcze: Mają na celu zapobieganie wystąpieniu incydentów bezpieczeństwa.
• Kontrole detektywne: Mają na celu wykrywanie incydentów bezpieczeństwa, które już wystąpiły.
• Kontrole reaktywne/korygujące: Mają na celu naprawę szkód i przywrócenie normalnego działania po incydencie bezpieczeństwa.

W środowisku systemów informatycznych istnieją dwa rodzaje audytorów i audytów: wewnętrzni i zewnętrzni. Audyt IT jest często częścią audytu wewnętrznego i jest przeprowadzany przez wewnętrznych audytorów korporacyjnych. Audytor zewnętrzny dokonuje przeglądu ustaleń audytu wewnętrznego, a także danych wejściowych, przetwarzania i wyjściowych systemów informatycznych. Audyt zewnętrzny systemów informatycznych jest przeprowadzany głównie przez certyfikowanych audytorów systemów informatycznych, takich jak CISA (Certified Information Systems Auditor) certyfikowany przez ISACA (Information Systems Audit and Control Association).

Audyt IT uwzględnia wszystkie potencjalne zagrożenia i kontrole w systemach informatycznych, koncentrując się na kwestiach takich jak operacje, dane, integralność, aplikacje, bezpieczeństwo, prywatność, budżety, kontrola kosztów i produktywność. Dostępne są wytyczne, które pomagają audytorom w ich pracy, na przykład te wydawane przez ISACA.

Historia audytu IT

Koncepcja audytu IT narodziła się w połowie lat 60. XX wieku. Od tego czasu audyt IT przeszedł liczne zmiany, głównie z powodu postępu technologicznego i włączenia technologii do biznesu. Obecnie istnieje wiele firm zależnych od IT, które polegają na technologii informatycznej w prowadzeniu swojej działalności, np. firmy telekomunikacyjne lub banki. Dla innych typów działalności IT odgrywa znaczącą rolę, w tym wdrażanie przepływów pracy zamiast papierowych formularzy, stosowanie kontroli aplikacji zamiast kontroli manualnej (bardziej niezawodnej) lub wdrażanie aplikacji ERP w celu usprawnienia organizacji.

W związku z tym, znaczenie audytu IT stale rośnie. Jedną z najważniejszych ról audytu IT jest audyt systemów krytycznych w celu wsparcia audytu finansowego lub konkretnych regulacji, takich jak SOX (Sarbanes-Oxley Act).

Pojawiające się problemy

Pojawiają się również nowe typy audytów, narzucane przez różne organy standardyzacyjne, które muszą być przeprowadzane w zależności od audytowanej organizacji. Mają one wpływ na IT i zapewniają, że działy IT wykonują określone funkcje i kontrole w sposób odpowiedni, aby można je było uznać za zgodne z przepisami. Przykładami takich audytów są SSAE 16, ISAE 3402 i ISO27001:2013.

Audyty obecności w sieci

Rozszerzenie obecności IT firmy poza zaporę ogniową (np. wykorzystanie mediów społecznościowych przez przedsiębiorstwo wraz z proliferacją narzędzi opartych na chmurze, takich jak systemy zarządzania mediami społecznościowymi) podniosło znaczenie włączenia audytów obecności w sieci do audytu IT/IS. Celem tych audytów jest zapewnienie, że firma podejmuje niezbędne kroki, aby:

• Ograniczyć korzystanie z nieautoryzowanych narzędzi (np. „shadow IT”).
• Zminimalizować szkody dla reputacji.
• Utrzymać zgodność z przepisami.
• Zapobiegać wyciekom informacji.
• Złagodzić ryzyko związane z podmiotami trzecimi.
• Zminimalizować ryzyko związane z zarządzaniem.

Wykorzystanie narzędzi opracowanych przez działy lub użytkowników było w przeszłości tematem kontrowersyjnym. Jednak dzięki powszechnej dostępności narzędzi do analizy danych, pulpitów nawigacyjnych i pakietów statystycznych, użytkownicy nie muszą już czekać w kolejce na zasoby IT, aby zrealizować pozornie niekończące się prośby o raporty. Zadaniem IT jest współpraca z grupami biznesowymi w celu maksymalnego uproszczenia autoryzowanego dostępu i raportowania. Na przykład, użytkownicy nie powinni musieć samodzielnie dopasowywać danych, tak aby czyste tabele relacyjne były powiązane w znaczący sposób. IT musi udostępniać użytkownikom niesnormalizowane pliki typu hurtowni danych, aby ich praca analityczna była uproszczona. Na przykład, niektóre organizacje okresowo odświeżają hurtownię i tworzą łatwe w użyciu „płaskie” tabele, które można łatwo załadować za pomocą pakietu takiego jak Tableau i wykorzystać do tworzenia pulpitów nawigacyjnych.

Audyty komunikacji korporacyjnej

Rozwój sieci VOIP i kwestie takie jak BYOD (Bring Your Own Device) oraz rosnące możliwości nowoczesnych korporacyjnych systemów telefonicznych zwiększają ryzyko nieprawidłowej konfiguracji krytycznej infrastruktury telefonicznej, narażając przedsiębiorstwo na możliwość oszustw komunikacyjnych lub zmniejszenia stabilności systemu. Banki, instytucje finansowe i centra kontaktowe zazwyczaj ustanawiają zasady, które mają być egzekwowane w ich systemach komunikacyjnych. Zadanie audytu zgodności systemów komunikacyjnych z polityką spoczywa na wyspecjalizowanych audytorach telekomunikacyjnych. Audyty te zapewniają, że systemy komunikacyjne firmy:

• Przestrzegają określonej polityki.
• Postępują zgodnie z zasadami mającymi na celu minimalizację ryzyka włamań lub phreakingu.
• Utrzymują zgodność z przepisami.
• Zapobiegają lub minimalizują oszustwa związane z opłatami.
• Łagodzą ryzyko związane z podmiotami trzecimi.
• Minimalizują ryzyko związane z zarządzaniem.

Audyty komunikacji korporacyjnej są również nazywane audytami głosowymi, ale termin ten jest coraz rzadziej stosowany, ponieważ infrastruktura komunikacyjna staje się coraz bardziej zorientowana na dane i zależna od danych. Termin „audyt telefoniczny” również traci na znaczeniu, ponieważ nowoczesna infrastruktura komunikacyjna, zwłaszcza w kontaktach z klientami, jest wielokanałowa, a interakcja odbywa się za pośrednictwem wielu kanałów, a nie tylko telefonu. Jednym z kluczowych problemów, które nękają audyty komunikacji korporacyjnej, jest brak standardów zdefiniowanych przez branżę lub zatwierdzonych przez rząd. Audyty IT opierają się na przestrzeganiu standardów i polityk publikowanych przez organizacje takie jak NIST i PCI, ale brak takich standardów dla audytów komunikacji korporacyjnej oznacza, że audyty te muszą opierać się na wewnętrznych standardach i politykach organizacji, a nie na standardach branżowych. W rezultacie, audyty komunikacji korporacyjnej są nadal wykonywane ręcznie, z losowymi kontrolami próbek. Narzędzia do automatyzacji audytu zasad dla komunikacji korporacyjnej stały się dostępne dopiero niedawno.

Dylematy etyczne w audytach IT

Wykorzystanie sztucznej inteligencji (AI) w audytach IT rośnie w szybkim tempie. Szacuje się, że do 2025 roku 30% wszystkich audytów korporacyjnych będzie przeprowadzanych z wykorzystaniem AI. AI w audytach IT rodzi wiele dylematów etycznych.

Wykorzystanie sztucznej inteligencji powoduje niezamierzone uprzedzenia w wynikach

Problemem, z jakim boryka się AI podczas przeprowadzania audytów IT dla korporacji, jest możliwość wystąpienia niezamierzonych uprzedzeń, gdy AI filtruje dane. AI nie posiada elementu ludzkiego ani zdolności do zrozumienia różnych sytuacji, w których pewne dane są oczekiwane lub nie. AI rozumie tylko dane, które wcześniej widziała, i dlatego nie jest w stanie ewoluować w każdej unikalnej sytuacji. Powoduje to niezamierzone uprzedzenia, a tym samym niezamierzone konsekwencje, jeśli systemom AI zostanie nadmiernie zaufane i nie będą one uważnie monitorowane przez ludzkie oko. W rezultacie pojawiają się kwestie etyczne, prawne i ekonomiczne.

Technologia zastępująca rolę ludzi

Firmy z „Wielkiej Czwórki” zainwestowały znaczne sumy pieniędzy w nowe technologie w obszarze audytu IT. AI jest obecnie wykorzystywana w praktykach audytorskich do wykonywania zadań takich jak „procedury audytowe i księgowe, takie jak przegląd ksiąg głównych, zgodność podatkowa, przygotowywanie dokumentacji roboczej, analiza danych, zgodność z przepisami dotyczącymi wydatków, wykrywanie oszustw i podejmowanie decyzji”. To zasadniczo zastępuje potrzebę zatrudniania audytorów i sprowadza tych, którzy pracują w audycie, do roli „nadzorców” technologii.

Jednak firmy nadal potrzebują audytorów do przeprowadzania analizy wyników audytu IT generowanych przez AI. Audytorzy, którzy nie rozumieją algorytmów wykorzystywanych w audycie, mogą dopuścić do błędów popełnianych przez te niedoskonałe programy. W związku z tym audytorzy z rozległą wiedzą techniczną i stopniami naukowymi w dziedzinie technologii są bardzo poszukiwani przez firmy wykorzystujące AI do przeprowadzania audytów.

Wpływ audytu IT na firmy i audyty finansowe

Globalizacja w połączeniu z rozwojem systemów informatycznych spowodowała, że firmy przeszły na coraz bardziej cyfrowe środowisko pracy. Zalety tych systemów obejmują skrócenie czasu pracy, możliwość testowania dużych ilości danych, zmniejszenie ryzyka audytu oraz zapewnienie bardziej elastycznych i kompletnych informacji analitycznych. Dzięki oszczędności czasu audytorzy mogą wdrażać dodatkowe testy audytowe, co prowadzi do znacznego usprawnienia procesu audytu. Wykorzystanie technik audytu wspomaganego komputerowo (CAAT) pozwoliło firmom na zbadanie większych próbek danych i dokładniejszy przegląd wszystkich transakcji, umożliwiając audytorowi testowanie i lepsze zrozumienie wszelkich problemów w danych.

Wykorzystanie systemów IT w audytach zmieniło sposób, w jaki audytorzy realizują ważne funkcje audytowe, takie jak zarządzanie bazami danych, zapewnienie ryzyka i kontroli, a nawet zarządzanie i zgodność z przepisami. Ponadto, systemy audytu IT poprawiają efektywność operacyjną i wspomagają podejmowanie decyzji, które w przeciwnym razie byłyby pozostawione ręcznym obliczeniom. Systemy IT pomagają wyeliminować błędy ludzkie w audytach i chociaż nie rozwiązują w pełni tego problemu, systemy IT okazały się pomocne w audytach przeprowadzanych zarówno przez firmy z „Wielkiej Czwórki”, jak i małe firmy. Systemy te znacznie zmniejszyły margines błędu w audytach i zapewniają lepszy wgląd w analizowane dane. W wyniku zwiększonego wykorzystania systemów IT w audytach, autorytatywne organy, takie jak Amerykański Instytut Biegłych Rewidentów (AICPA) i Stowarzyszenie Audytu i Kontroli Systemów Informacyjnych (ISACA), ustanowiły wytyczne dotyczące prawidłowego wykorzystania systemów IT do przeprowadzania audytów. Audytorzy muszą teraz przestrzegać ustalonych wytycznych podczas korzystania z systemów IT w audytach.

Korzyści z wykorzystania systemów IT w audytach finansowych

Wykorzystanie systemów IT i technik AI w audytach finansowych zaczyna przynosić ogromne korzyści wiodącym firmom audytorskim. W badaniu przeprowadzonym przez jedną z firm z „Wielkiej Czwórki” oczekuje się, że wykorzystanie systemów IT i technik AI wygeneruje wzrost przychodów o 6,6 biliona dolarów w wyniku wzrostu produktywności. W rezultacie, wiodące firmy audytorskie dokonują ogromnych inwestycji w celu zwiększenia produktywności, a tym samym przychodów, poprzez rozwój lub outsourcing systemów IT i technik AI wspomagających audyty finansowe. PwC, jedna z największych firm audytorskich na świecie, zawęziła trzy różne typy systemów IT i technik AI, które firmy mogą rozwijać i wdrażać w celu osiągnięcia wzrostu przychodów i produktywności.

Pierwszy typ to systemy technologiczne, które odgrywają rolę uzupełniającą w procesie podejmowania decyzji przez audytorów. Pozwala to audytorowi zachować autonomię nad decyzjami i wykorzystać technologię do wspierania i wzmacniania ich zdolności do wykonywania dokładnej pracy, ostatecznie oszczędzając firmie koszty produktywności. Następnie, PwC stwierdza, że systemy o zdolnościach rozwiązywania problemów są niezbędne do uzyskania najdokładniejszych wyników. PwC dostrzega zwiększony margines błędu z powodu niezamierzonych uprzedzeń, a tym samym potrzebę tworzenia systemów, które są w stanie dostosować się do różnych scenariuszy. Ten typ systemu wymaga dzielenia procesu podejmowania decyzji między audytora a system IT w celu uzyskania maksymalnej wydajności, pozwalając systemowi przejąć pracę obliczeniową, której audytor nie mógłby wykonać samodzielnie. Wreszcie, PwC uznaje, że istnieją scenariusze, w których technologia musi mieć autonomię podejmowania decyzji i działać niezależnie. Pozwala to audytorom skupić się na ważniejszych zadaniach, podczas gdy technologia zajmuje się czasochłonnymi zadaniami, które nie wymagają ludzkiego nakładu pracy. Wykorzystanie systemów IT i technik AI w audytach finansowych wykracza poza cel, jakim jest maksymalizacja produktywności i zwiększenie przychodów. Firmy, które wykorzystują te systemy do wspomagania realizacji audytów, są w stanie zidentyfikować elementy danych, które mogą stanowić oszustwo, z większą wydajnością i dokładnością. Na przykład, systemy takie jak drony zostały zatwierdzone przez całą „Wielką Czwórkę” do pomocy w uzyskaniu dokładniejszych obliczeń zapasów, a jednocześnie rozpoznawanie głosu i twarzy wspomaga firmy w sprawach o oszustwa.

Jeśli chcesz poznać inne artykuły podobne do Audyt i kontrola systemów informatycznych, możesz odwiedzić kategorię Audyt.