Úloha auditora informačných systémov sa stáva nezastupiteľnou

Od konca 60-tych rokov začal vrcholový manažment požadovať čoraz pružnejšie odozvy od pracovníkov zodpovedných za chod informačných systémov. Rýchle spracovanie transakcií, transparentný prístup k informáciam, globálne telekomunikačné siete, distribuované spracovanie dát a ďalšie faktory značne zmenili spôsob, akým sa zaznamenávali a reportovali finančné ako aj prevádzkové údaje a výsledky. Účtovné i operačné dáta začali byť stále vo väčšej miere spracovávané a ukladané s využitím moderných počítačových informačných technológií (IT). Logicky, kontrolné požiadavky manažmentu a potreba auditu sa tak stali komplikovanejšími.
Pri konfrontácií s otázkou ako efektívne riešiť potrebu kontroly a overenia správnosti a bezpečnosti dát v informačnom systéme akoaj informačného systému samotného sa stále častejšie začala objavovať odpoveď v zmysle treba vybudovať funkčnú pozíciu auditora IT a adekvátne ju personálne pokryť.
Profesia auditora môže byť rozdelená do dvoch základných oblastí: externý audit a interný audit. Na pochopenie úlohy auditora IT je vhodné pochopiť rozdiely medzi interným a externým auditorom.

Pozícia interného auditora

Podobne ako externý aj interný auditor je v nezávisle hodnotenej pracovnej funkcii. V rámci organizácie existuje a pôsobí v rozsahu stanovenom manažmentom. Primárnou funkciou interného auditora je asistovať manažmentu pri zabezpečovaní:

• ochrany aktív organizácie,
• spoľahlivosti a správnosti účtovných záznamov,
• súladu skutkového stavu so smernicami organizácie ako aj s legislatívnymi predpismi.

Interný auditor je vo veľkej miere zameraný na overovanie adekvátnosti kontroly ako aj na optimálne využívanie zdrojov a cenovú efektívnosť používaných procedúr. Stále vo väčšom počte prípadov interný auditor komunikuje priamo s top manažmentom.

Pozícia externého auditora

Množstvo organizácií dobrovoľne alebo v súlade s legislatívnymi predpismi každoročne pristupuje k auditu svojich finačných výkazov. Audit je vykonávaný nezávislými účtovníkmi, ktorí v tomto kontexte pôsobia ako externí auditori. Základným cieľom externého auditu je posúdenie spoľahlivosti a kvality finančných výkazov organizácie. Z tohto dôvodu je externý auditor zameraný primárne na spoľahlivosť finančných informácií.

Pozícia auditora IT

Auditor IT pridáva k úlohe auditu expertízu pre oblasť nasadenia a využívania IT. Bez ohľadu na to, či sa jedná a externý alebo interný audit, potreba auditora IT v súvislosti s čoraz komplexnejšími informačnými systémami stále rastie. V mnohých organizáciach je hlavným zameraním auditora IT posudzovanie rizík a overovanie kontrolných mechanizmov v informačných systémoch. Množstvo kontrolných mechanizmov je zabudovaných priamo v operačných systémoch a aplikačných programoch. Ich adekvátne využitie pochopiteľne vyžaduje expertízu pre príslušné komponenty IT v rámci organizácie.

Úloha auditora IT

Úsilie auditorov IT vyvíjať a aplikovať pokročilé metodiky pre audit IT má dôležité implikácie. Tieto implikácie v konečnom dôsledku ovplyvňujú problematiku účtovníctva a finančného manažmentu, interných auditorov a špecialistov IT v privátnom i verejnom sektore. Medzi základne oblasti úloh auditora IT patrí:

• priebežná kontrola a posudzovanie informačných systémov vo vývojovej fáze,
• kontrola a posúdenie bezpečnosti, správnosti a funkčnosti informačných systémov,
• technická podpora a expertíza pre ostatných auditorov.

V praxi sa často požaduje, aby odbornosť ako aj profesionálna etická vyspelosť auditora IT bola posúdená nezávislou treťou stranou. Jedným z najviac hodnotených a medzinárodne uznávanych meradiel pre hodnotenie odbornosti auditora IT je certifikát CISA (Certified Information Systems Auditor). Tento certifikát je možné získať iba úspešným zvládnutím náročných skúšok a dokladovaním odbornej praxe. Skúšky sa každoročne organizujú zastúpeniami celosvetovej asociácie auditorov IT a profesionálov z oblasti informačnej bezpečnosti ISACA (Information Systems Audit and Control Association). Zaujímavosťou je, že skúšky prebiehajú na viacerých miestach na svete v rovnaký deň.

Na Slovensku v súčasnosti tiež rastú požiadavky na zabezpečenie informačných systémov a organizácie plánuju implementovať do svojich informačných systémov komplexné bezpečnostné mechanizmy. Nie vždy je však jasná koncepcia zvyšovania bezpečnosti a želaný cieľový stav. Dôležité je kvalifikovane posúdiť bezpečnostné riziká a správne navrhnút a implementovať príslušné protiopatrenia. Presvedčiť sa, že implementované bezpečnostné mechanizmy majú skutočne účinnosť, aká sa od nich očakáva. Posúdiť, či bezpečnosť na fyzickej, logickej i organizačnej úrovni je skutočne taká, ako sa vyžaduje v interných smerniciach prípadne v legislatíve. Všetky tieto aktivity by mal vykonávať kvalifikovaný auditor IT.

Mgr. Ivan Kopáčik, CISA
GORDIAS s.r.o.
kopacik@gordias.sk