Ogólne pojęcie audytu sprowadza się do czynności kontrolnych, które mają na celu porównanie stanu rzeczywistego ze stanem oczekiwanym i wskazanie ewentualnych nieprawidłowości. Audyt informatyczny ma na celu uzyskanie i ocenę informacji na temat całej infrastruktury IT Klienta począwszy od zasobów sprzętowych, po aktualnie zainstalowane oprogramowanie i ważne licencje.
Wnikliwa kontrola wykaże, czy firma pracuje na legalnym oprogramowaniu a sprzęt jest wykorzystywany zgodnie z przeznaczeniem. Dzięki audytowi, Klient otrzyma pełną wiedzę na temat funkcjonowania firmy, nie tylko pod kątem zasobów sprzętowych ale i ludzkich. Kontrola może być przeprowadzona przez pracowników firmy (audyt wewnętrzny), ale zdecydowanie częściej jest ona zlecana wyspecjalizowanej firmie (audyt zewnętrzny).
Audyt informatyczny, ze względu na podmiot działania można podzielić na:
- audyt sprzętu
- audyt oprogramowania
- audyt legalności
Tak naprawdę wszystkie te obszary mogą być objęte jednym audytem, aczkolwiek każdy z tych aspektów charakteryzuje się odmiennymi, koniecznymi do uwzględnienia cechami.
Pierwszym etapem w każdym audycie informatycznym powinno być badanie potrzeb klienta. Podczas tego etapu sprawdzany jest poziom zadowolenia klienta z obecnego rozwiązania informatycznego oraz jego ewentualne oczekiwania co do wydajności pracy. Sam proces audytu jest oparty na powszechnie akceptowanych procedurach a jego celem jest ocena, czy ryzyko zostało zminimalizowane w tych obszarach, gdzie wykorzystywane są systemy informatyczne.
Zadaniem każdego audytora jest zapewnienie, że wszystkie cele audytu zostaną zrealizowane zgodnie ze standardami. Należy pamiętać, że wszystkie opinie i ewentualne ustalenia muszą być udokumentowane i poparte dowodami.
Jak przebiega proces audytu informatycznego?
W procesie audytu IT możemy wyróżnić następujące etapy:
- wstępne planowanie audytu,
- zapoznanie się z audytowanym obszarem,
- szczegółowe planowanie kontroli
- przeprowadzenie prac audytowych (wywiady, pozyskiwanie dokumentów, szczegółowa ocena mechanizmów kontrolnych, ocena zgodności stanu faktycznego z planami zmian, testowanie zgodności, testowanie dowodowe.
- sporządzenie i przedstawienie protokołu
- działania poaudytowe, polegające na monitorowaniu zleceń wynikających z protokołu.
Audyt sprzętu – to nie tylko zbadanie stanu ilościowego komputerów, ale również sprawdzenie czy każdy z nich posiada wszystkie niezbędne podzespoły, zgodne z zakupem lub późniejszymi modyfikacjami. Kontrola sprzętu umożliwia zarówno zaplanowanie zakupów, jak i ułatwia bieżącą politykę sprzętową.
Audyt oprogramowania – ma na celu uzyskanie informacji, jakiego rodzaju oprogramowanie jest stosowane w firmie i jakie niepożądane aplikacje znajdują się na komputerach roboczych. Zainstalowane dodatkowe programy, nie mające związku z wykonywaną pracą, często niepotrzebnie obciążają procesory w czasie działania.
Audyt legalności – to sprawdzenie, czy używane oprogramowanie posiada wszystkie niezbędne licencje i czy firma ma prawo z niego korzystać. Sprawdzenie tego obszaru ma na celu uniknięcie kar za nielegalne wykorzystywanie oprogramowania. Korzyścią z przeprowadzonego audytu jest polepszenie wydajności pracowników, oszczędności finansowe ( uniknięcie ewentualnych sankcji pieniężnych)oraz zwiększenie bezpieczeństwa danych.
Każdy doświadczony audytor jest w stanie przeprowadzić kontrolę tylko w podstawowym zakresie. Nie powinien jednak podejmować się zadań, co do których jego wiedza i kompetencje są niewystarczające.