www.hakin9.org
hakin9 Nr 10/2007
68
Bezpieczna Firma
A
udyt informatyczny (wg. ISACA) – jest
to proces zbierania i oceniania dowo-
dów w celu określenia, czy system in-
formatyczny i związane z nim zasoby właści-
wie chronią majątek, utrzymują integralność
danych, dostarczają odpowiednich i rzetelnych
informacji, osiągają efektywnie cele organiza-
cji, oszczędnie wykorzystują zasoby i stosują
mechanizmy kontroli wewnętrznej tak, aby do-
starczyć rozsądnego zapewnienia, że osiąga-
ne są cele operacyjne i kontrolne oraz że chro-
ni się przed niepożądanymi zdarzeniami lub są
one na czas wykrywane, a ich skutki na czas
korygowane.
Nikogo nie trzeba przekonywać, że współ-
czesne środowisko zarówno międzynarodo-
wego, jak i lokalnego biznesu nie może się
obyć bez wsparcia ze strony rozwiązań infor-
matycznych. Ciągły rozwój nowych technolo-
gii usprawnia działanie firmy, wspomaga osią-
ganie celów biznesowych i zwiększa konku-
rencyjność organizacji. Pomimo tak wielu za-
let, jakie przynosi informatyzacja dla instytucji
i podmiotów gospodarczych, musimy przyjrzeć
się zagrożeniom, jakim w związku z nią przyj-
dzie nam stawić czoła. Badania Europejskie-
go Instytutu Zarządzania dowodzą, że co ro-
ku każda duża firma traci około 1,6 mln euro w
wyniku nieodpowiedniego zarządzania infra-
strukturą i systemami informatycznymi. Szacu-
je się również, że w małych i średnich firmach
jest podobny problem – straty w przychodach
z tytułu złego zarządzania w IT sięgają 15%
– 25%. Według badań uniwersytetu w Chicago
połowa firm, którym skradziono dane, bankru-
tuje prawie natychmiast, zaś 30% w ciągu na-
stępnego roku. Potrzeba i konieczność ochro-
ny informacji przed stale rosnącą liczbą nad-
użyć, świadomych lub nieświadomych działań
lub też zaniechania poczynań przeciw zagro-
Audyt systemów
informatycznych
Wojciech Malec
stopień trudności
Żadne rozwiązania informatyczne nie są w pełni doskonałe,
a sama organizacja bezpieczeństwa teleinformatycznego nie jest
łatwym zadaniem. Taka sytuacja rodzi duże prawdopodobieństwo
powstania nieprawidłowości i nadużyć, które nieuchronnie
prowadzą do braku osiągnięcia celów biznesowych, poniesienia
strat finansowych lub też upadłości organizacji.
Z artykułu dowiesz się
• co to jest i jak powstał audyt informatyczny,
• jakie są najważniejsze organizacje zawodowe
właściwe dla audytu informatycznego, jakie są
certyfikaty dla audytorów i w jakim celu są wy-
dawane.
Co powinieneś wiedzieć
• znać podstawowe zasady bezpieczeństwa in-
formatycznego.
Audyt systemów informatycznych
hakin9 Nr 10/2007
www.hakin9.org
69
żeniom jest oczywista. Liczba spo-
sobów ochrony przed zagrożenia-
mi, a także narzędzi pomocniczych,
stale wzrasta. Dobór odpowiednich
mechanizmów tak, aby odpowiada-
ły potrzebom i możliwościom organi-
zacji wymaga zastosowania dodat-
kowych narzędzi. Do tych właśnie
celów ma zastosowanie audyt sys-
temów informatycznych. Jako nie-
zależne źródło kontroli organizacji
bezpieczeństwa systemów informa-
tycznych, audyt nie tylko weryfikuje
dobór zastosowanych środków, ale
bardzo często zapobiega naduży-
ciom i przestępstwom wymierzo-
nym w organizację. Ceny audytów
informatycznych są zależne od ich
zakresu. Jeśli chodzi tylko o audyt
sprzętu, oprogramowania na nim za-
instalowanego i jego legalności, na-
leży liczyć ok. 90 PLN za stację ro-
boczą.
Historia audytu
informatycznego
Audyt jako pierwszy pojawił się w
sektorze finansów, gdzie badano
sprawozdania finansowe przedsię-
biorstw i instytucji. W obszarze au-
dytu finansowego powołano orga-
nizacje, które mają za zadanie po-
twierdzić kwalifikacje audytorów
ksiąg rachunkowych poprzez certy-
fikację. Z tą dziedziną związana jest
międzynarodowa organizacja Asso-
ciation of Chartered Certified Acco-
untants – Stowarzyszenie Certyfiko-
wanych Księgowych a w Polsce Kra-
jowa Izba Biegłych Rewidentów. Na-
stępnym krokiem przyczyniającym
się do rozwoju audytu było rozpropa-
gowanie i rozwój audytu wewnętrz-
nego. W tej dziedzinie powstała
międzynarodowa organizacja Insty-
tut Audytorów Wewnętrznych – In-
stitute of Internal Auditors, do kom-
petencji której należy między inny-
mi ustalanie właściwych standar-
dów. W Polsce odpowiednikiem tej
organizacji jest Polski Instytut Kon-
troli Wewnętrznej. Z początku przed-
miotem audytu była tylko dziedzina
finansowa, później nastąpiła ewolu-
cja i zakres audytu rozszerzył się na
wszystkie procesy występujące w in-
stytucji. Trudności w organizacji, za-
rządzaniu i kontroli energicznie roz-
wijających się technologii informa-
tycznych, jak również stale rosnące
zagrożenia mające wpływ na bez-
pieczeństwo informacji, spowodo-
wały powstanie audytu informatycz-
nego. Tak jak w przypadku audytu fi-
nansowego, instytucje zaczęły two-
rzyć specjalne działy wyspecjalizo-
wane w prowadzeniu audytu infor-
matycznego.
Organizacje zawodowe
W ramach audytów finansowych
powstały organizacje zrzeszają-
ce i w pewien sposób autoryzujące
profesjonalistów w dziedzinie audy-
tu finansowego. Podobnie stało się
w obszarze audytu informatyczne-
go. Potrzeba kontaktów w celach
wymiany poglądów, wiedzy i do-
świadczeń, a także ustalania stan-
dardów wśród audytorów informa-
tycznych zaowocowała powstaniem
organizacji zawodowych jednoczą-
cych ludzi wykonujących wspólną
profesję.
ISACA
Information Systems Audit and Con-
trol Organisation – pierwsza i naj-
większa międzynarodowa organiza-
cja w dziedzinie audytu informatycz-
nego powstała w roku 1967. Dziś li-
czy ponad 50 000 osób w prze-
szło 140 krajach na całym świecie.
W Polsce od 1997 roku istnieje je-
den oddział stowarzyszenia – ISA-
CA Warsaw Charter. Organizacja ta
ma na celu podnoszenie wiedzy oraz
praktyki w obszarze audytu i kontro-
li systemów informatycznych. Człon-
kowie stowarzyszenia i posiadacze
certyfikatów ISACA są zobowiąza-
ni do przestrzegania zasad postę-
powania Kodeksu Etyki Zawodowej.
ISACA wspiera i promuje także stan-
dardy i dobre praktyki skutecznego
zarządzania oraz kontroli technolo-
gii informatycznych. Stowarzysze-
nie to jest między innymi autorem
programu PSS – Professional Semi-
nar Series, wydaje certyfikaty CISA
– Certified Information Systems Au-
ditor i CISM – Certified Information
Security Manager. Najbardziej zna-
nym standardem zarządzania i kon-
troli systemów informatycznych tej
organizacji jest COBIT – Control Ob-
jectives for Information and Related
Technology. Innym znanym standar-
dem audytu środowiska sieciowego
jest CONeCT – Control Objectives
for Net Centric Technology.
IIA
The Institute of Internal Auditors – to
międzynarodowa organizacja sku-
piająca audytorów wewnętrznych
(ponad 80 tysięcy członków w 120
krajach). Polski oddział został zare-
jestrowany w 2002 roku jako Stowa-
rzyszenie Audytorów Wewnętrznych
IIA-Polska. Organizacja ta zrzesza
zarówno obecnych audytorów, jak i
kandydatów. Do stowarzyszenia mo-
gą należeć także inne osoby zainte-
resowane tą profesją – kontrolerzy,
księgowi, członkowie rad nadzor-
czych, pracownicy naukowi, studen-
ci związanych kierunków.
Główne cele IIA:
• działalność promocyjna audytora
wewnętrznego,
• upowszechnianie międzynarodo-
wych Standardów Profesjonalnej
Praktyki Audytu Wewnętrznego,
• podejmowanie i prowadzenie
działalności w zakresie doskona-
lenia kwalifikacji dla prawidłowe-
go wykonywania zawodu audyto-
ra wewnętrznego oraz możliwo-
ści zatrudnienia,
• reprezentowanie i ochrona praw i
interesów zawodowych członków
stowarzyszenia,
• krzewienie poczucia godności i
wspólnoty zawodowej oraz upo-
wszechnienie pozycji i znaczenia
zawodu audytora wewnętrznego,
• stworzenie forum wymiany do-
świadczeń,
• krzewienie i propagowanie za-
sad etyki i rzetelności, lojalności
zawodowej oraz uczciwej konku-
rencji,
• czuwanie nad przestrzeganiem
tych zasad,
• prowadzenie działalności nauko-
wo-dydaktycznej (w tym również
kształcenie studentów), jak i sze-
roko rozumianej działalności kul-
turalnej.
hakin9 Nr 10/2007
www.hakin9.org
Bezpieczeństwo w firmie
70
Instytut Audytorów Wewnętrznych
daje możliwość uzyskania certyfi-
katów zawodowych poświadczają-
cych międzynarodowe przygotowa-
nie zawodowe w zakresie audytu
wewnętrznego. Zasadniczym mię-
dzynarodowym certyfikatem jest CIA
– Certified Internal Auditor.
PIKW
Polski Instytut Kontroli Wewnętrznej
– jest to instytucja założona w roku
1998, która przygotowuje kadry do
oceny systemów kontroli wewnętrz-
nej i profesjonalnego wykonywania
zawodu audytora wewnętrznego.
Organizacja ta zajmuje się proble-
matyką systemów kontroli wewnętrz-
nej, audytu wewnętrznego, proce-
sów zarządzania ryzykiem, zarzą-
dzania korporacyjnego (governan-
ce), wykrywania i zapobiegania ko-
rupcji, oszustwom oraz nadużyciom.
Wspomaga też kształcenie audyto-
rów i kontrolerów wewnętrznych za-
trudnionych we wszystkich organi-
zacjach gospodarki i administracji
państwowej w Polsce. Instytut ten
współpracuje z międzynarodowymi
organizacjami, dostosowuje najlep-
sze standardy i praktyki stosowane
na całym świecie (szczególnie w kra-
jach UE) do polskich warunków.
Certyfikacja
W celu uwiarygodnienia dostaw-
ców usług audytorskich o należy-
tym poziomie profesjonalizmu, za-
istniała potrzeba udokumentowania
i potwierdzenia uprawnień oraz obo-
wiązków. Dla poświadczenia kompe-
tencji grupy zawodowej audytorów
systemów informatycznych, właści-
we organizacje opracowały progra-
my certyfikujące.
CISA
Certified Information Systems Au-
ditor – to międzynarodowy program
certyfikacji audytorów systemów in-
formatycznych opracowany przez
organizację ISACA. Certyfikat ten
ma za zadanie utrzymanie właści-
wego poziomu zawodowego osób
związanych z bezpieczeństwem in-
formatycznym. Nad rozwojem syste-
mu certyfikacji czuwa specjalnie do
tego celu wyznaczony komitet – CI-
SA Certification Board.
Cel programu certyfikacji:
• rozwój i utrzymanie narzędzi te-
stowania, służących do oceny in-
dywidualnych kompetencji w za-
kresie audytów informatycznych,
• dostarczanie mechanizmów mo-
tywujących do utrzymywania
swoich kompetencji oraz moni-
torowania efektów programów
szkoleniowych,
• pomoc kadrze kierowniczej w
rozwijaniu funkcji kontroli syste-
mów informatycznych.
Certyfikat ten posiada już około 12
000 osób na całym świecie. Egza-
min odbywa się dwa razy do roku: w
drugą sobotę czerwca i drugą sobotę
grudnia. W Polsce egzamin ma miej-
sce w Warszawie. Wymagania dla
kandydatów chcących uzyskać cer-
tyfikat CISA:
• udokumentowanie minimum pię-
ciu lat praktyki w zakresie audy-
tu, kontroli i bezpieczeństwa sys-
temów informatycznych,
• opłacenie kosztów egzaminu,
• zdanie egzaminu,
• stosowanie Kodeksu Etyki Zawo-
dowej ISACA.
Certyfikat CISA ma obecnie dość
duże znaczenie na rynku pracy, sta-
nowi bowiem poświadczenie kompe-
tencji zawodowych osoby posiadają-
cej certyfikat oraz stałe podnosze-
nie kwalifikacji dzięki polityce ciągłe-
go kształcenia. Z tego także powo-
du liczba kandydatów do egzaminu
CISA stale wzrasta. Egzamin CISA
składa się z 200 pytań. Do każdego
pytania są cztery odpowiedzi, z któ-
rych jedna jest poprawna. Egzamin
trwa cztery godziny, prowadzony jest
w językach: angielskim, duńskim,
francuskim, hebrajskim, hiszpań-
skim, japońskim, koreańskim, nie-
mieckim i włoskim. Wiedzę z zakre-
su egzaminu można zdobyć na spe-
cjalnych szkoleniach przygotowa-
nych przez stowarzyszenie ISACA.
Również uczelnie – zarówno pań-
stwowe, jak i prywatne – dają moż-
liwość pogłębienia tej wiedzy na róż-
nego rodzaju studiach podyplomo-
wych. Koszt certyfikacji to wydatek
360 – 530 USD w zależności od ter-
minu rejestracji na egzamin i przyna-
leżność do organizacji ISACA. Zniż-
ki są przyznawane dla członków or-
ganizacji i przy wcześniejszym zgło-
szeniu on-line na stronie http://
www.isaca.org/examreg.
Zagadnienia obowiązujące na
egzaminie CISA:
• proces audytowania systemów
informatycznych – 10% pytań,
• zarządzanie, planowanie i orga-
nizacja systemów informatycz-
nych – 11% pytań,
• infrastruktura techniczna i prak-
tyki operacyjne – 13% pytań,
• ochrona zasobów informacyj-
nych – 25% pytań,
• odtwarzanie po katastrofach i
ciągłość biznesu – 10% pytań,
• rozwój, nabywanie, wdrażanie i
utrzymywanie biznesowych sys-
temów aplikacyjnych – 16% py-
tań,
• ocena procesu biznesowego i
zarządzanie ryzykiem – 15% py-
tań.
CISM
Certified Information Security Ma-
nager – jest to certyfikat opracowa-
ny także przez organizację ISACA,
jednak skierowany dla zarządzają-
cych, projektujących, wdrażających
i rozwijających proces bezpieczeń-
stwa organizacji. Osoby szczególnie
zasłużone dla rozwoju audytu sys-
temów informatycznych otrzymały
ten certyfikat jako pierwsze. Obec-
nie, aby móc tytułować się tym cer-
tyfikatem, oprócz udokumentowania
wieloletniego doświadczenia zawo-
dowego, należy także zdać egzamin.
Egzamin CISM odbywa się w tych
Literatura
Marian Molski, Małgorzata Łacheta,
Przewodnik audytora systemów informa-
tycznych, Wydawnictwo HELION, 2007.
Tomasz Polaczek, Audyt bezpieczeń-
stwa informacji w praktyce, Wydawnic-
two HELION, 2006.
Audyt systemów informatycznych
hakin9 Nr 10/2007
www.hakin9.org
71
samych terminach co CISA, forma
egzaminu jest też bardzo podobna.
Koszt certyfikacji jest zależny termi-
nu egzaminu i przynależności do or-
ganizacji ISACA, wynosi identycz-
nie jak w przypadku egzaminu CISA
od 360 do 530 USD. Wymagania dla
kandydatów chcących uzyskać cer-
tyfikat CISM:
• udokumentowanie minimum pię-
ciu lat praktyki w obszarze bez-
pieczeństwa systemów informa-
tycznych,
• opłacenie kosztów egzaminu,
• zdanie egzaminu CISM,
• stosowanie Kodeksu Etyki Zawo-
dowej ISACA.
CIA
Certified Internal Auditor – certyfikat
ten oferowany jest przez organizację
IIA. Sprawdza i zaświadcza wiedzę
i umiejętności w zakresie niezbęd-
nym do wykonywania zawodu audy-
tora wewnętrznego. Wymagania dla
kandydatów chcących uzyskać cer-
tyfikat CIA:
• posiadanie minimum dwuletnie-
go doświadczenia w audycie we-
wnętrznym,
• przedstawienie poświadczenia o
postawie zawodowej i moralnej
kandydata,
• ukończenie studiów wyższych z
dyplomem minimum licencjata,
• zdanie czterech części egzami-
nu.
Instytut IIA przyznał już ponad 40
tysięcy takich certyfikatów. Oferuje
także trzy inne specjalistyczne cer-
tyfikaty:
• CFSA – Certified Financial Servi-
ces Auditor,
• CGAP – Certified Government
Auditing Professional,
• CCSA – Certification in Control
Self-Assessment.
Egzaminy CIA odbywają się dwa ra-
zy do roku – w maju i listopadzie, tak-
że w Polsce. Szkolenia przygotowaw-
cze prowadzi między innymi Ernst &
Young Academy of Business. Koszt
uzyskania certyfikatu obejmuje opła-
tę rejestracyjną ważną przez 2 lata,
która wynosi 30 USD dla studentów,
60 USD dla członków IIA lub 75 USD
dla pozostałych osób. Za każdy egza-
min należy uiścić opłatę w wysokości
odpowiednio 35 USD – studenci, 70
USD – członkowie IIA oraz 95 USD
– pozostałe osoby. Program egzami-
nu składa się z czterech części. Na-
leży tu podkreślić, iż posiadanie cer-
tyfikatu CISA zwalnia z czwartej czę-
ści egzaminu.
Część I
Rola procesu audytu wewnętrznego
w zakresie nadzoru korporacyjnego,
ryzyka i kontroli:
• zgodność ze standardami IIA do-
tyczącymi atrybutów audytu we-
wnętrznego: 15% – 25%,
• tworzenie planu oraz określe-
nie priorytetów działania audytu
wewnętrznego kierując się ryzy-
kiem: 15% – 25%,
• rozumienie roli procesu audytu
wewnętrznego w zakresie nadzo-
ru organizacyjnego: 10% – 20%,
• wypełnianie pozostałych ról i
odpowiedzialności audytu we-
wnętrznego: 0% – 10%,
• elementy wiedzy w zakresie nad-
zoru organizacyjnego, ryzyka i
kontroli: 15% – 25%,
• planowanie zadań: 15% – 25%.
Część II
Wykonywanie zadań audytu we-
wnętrznego:
• wykonywanie
zadań:
25%
– 35%,
• wykonywanie zadań szczegól-
nych: 25% – 35%,
• monitorowanie wyników zadań:
5% – 15%,
• elementy wiedzy w zakresie
oszustw: 5% – 15%,
• narzędzia do realizacji zadań au-
dytorskich: 15% – 25%.
Część III
Analizy biznesowe i technologie in-
formatyczne:
• procesy biznesowe: 15% – 25%,
• rachunkowość finansowa i finan-
se: 15% – 25%,
• rachunkowość zarządcza: 10%
– 20%,
• regulacje, prawo i ekonomia: 5%
– 15%,
• technologie informatyczne (IT):
30% – 40%.
Część IV
Umiejętności w zarządzaniu przed-
siębiorstwem:
• zarządzanie strategiczne: 20%
– 30%,
• globalne otoczenie biznesowe:
15% – 25%,
• działania w organizacji: 20%
– 30%,
• umiejętności kierownicze: 20%
– 30%,
• negocjacje: 5% – 15%.
Podsumowanie
W procesie audytu bardzo waż-
nym składnikiem jest czynnik ludz-
ki. Pomimo zastosowania właści-
wych standardów i metodyk audy-
tów systemów informatycznych or-
ganizacje chętnie zlecają przepro-
wadzenie audytów firmom, które
posiadają certyfikowanych audy-
torów. Takie podejście nie wyklu-
cza, lecz minimalizuje możliwość
wystąpienia błędu ludzkiego przy
przeprowadzaniu czynności audy-
torskich. Konsekwencją przepro-
wadzenia audytów informatycz-
nych na wysokim poziomie jest do-
starczenie rzetelnych informacji,
większa ochrona instytucji przed
niepożądanymi zdarzeniami, lep-
sze zabezpieczenie majątku firmy i
racjonalne wykorzystanie zasobów
informatycznych. l
O autorze
Wojciech Malec – audytor wewnętrzny
Systemu Zarządzania Jakością, spe-
cjalista w zakresie ochrony informacji
prawnie chronionych, odpowiedzialny
za implementacje zasad bezpieczeń-
stwa w nowych projektach informa-
tycznych. Redaktor portalu http://www.
ochronainformacji.pl.
Kontakt z autorem:
w.malec@ochronainformacji.pl.