• MH-info sp. z o.o. | Al. Tadeusza Rejtana 53A / 113, 35-326 Rzeszów, Polska
  • 17 77 07 220

na czym polega audyt informatyczny

Rosnące uzależnienie współczesnych przedsiębiorstw od sprawnego funkcjonowania systemów informatycznych oraz powiększającej się złożoności rozwiązań informatycznych wchodzących w skład tych systemów dało impuls do rozwoju audytu informatycznego - usługi polegającej na niezależnej ocenie rozwiązań informatycznych i organizacyjnych, składających się na systemy informatyczne działające w organizacjach.

Podczas audytu ocenia się efektywność celów organizacji, oszczędność wykorzystywanych zasobów informatycznych, jak też skuteczność stosowanych mechanizmów zarządzania środowiskiem IT. W  konsekwencji możemy mieć pewność, że osiągnięte cele operacyjne i kontrolne zapewnią ochronę przed niepożądanymi zadaniami, czy też wykryją błędy, które mogą być skorygowane przed niechcianymi, negatywnymi skutkami nieprawidłowości w infrastrukturze informatycznej.

baner1

Kryteria przeprowadzania audytu

audyt informatyczny

Celem audytu jest zatem uzyskanie pełnej i rzetelnej wiedzy o stanie infrastruktury informatycznej oraz weryfikacja, czy dane rozwiązania informatyczne spełniają swoje funkcje. W przypadku rozwiązań informatycznych, oceniane są one pod kątem takich właściwości jak:

  • wydajność (ocena wydajności posiadanej infrastruktury w oparciu o cel biznesowy przedsiębiorstwa)
  • niezawodność (miara odporności rozwiązań informatycznych na awarie, parametrem miary jest zazwyczaj czas niedostępności danych rozwiązań)
  • użyteczność (badanie, czy dany system/rozwiązanie spełnia wymagania funkcjonalne, przy założeniu, że osiągnięte są parametry wydajności i niezawodności)
  • jakość (parametr łączący niezawodność, staranność wykonania, przydatność i ergonomię)
  • bezpieczeństwo (jest miarą podatności środowiska informatycznego na niepożądane zmiany i ingerencje)
  • wiarygodność (stopień racjonalnego umotywowania poszczególnych posiadanych rozwiązań informatycznych, np. zastosowanie profesjonalnego sprzętu/oprogramowania z górnej półki cenowej, przy jednoczesnym braku jego skonfigurowania lub niepoprawnym skonfigurowaniu, uniemożliwiającym wykorzystanie jego potencjału w 100%)
  • standardy informatyczne (badanie zgodności danych rozwiązań ze standardami informatycznymi)

zakres weryfikacji podczas audytu?

Przedmiotem oceny w audycie są:

  • sprzęt komputerowy - jego wydajność oraz poprawność wykorzystania
  • sprzęt sieciowy - jego wydajność oraz poprawność wykorzystania
  • sprzęt serwerowy - jego wydajność i stan techniczny
  • kontrola/nadzór nad systemami informatycznymi w przedsiębiorstwie
  • sposób zarządzania infrastrukturą informatyczną
  • działające usługi informatyczne
  • ocena wykorzystania rozwiązań informatycznych

Dzięki audytowi uzyskamy informację, czy dana organizacja posiada wystarczający nadzór nad wykorzystywanymi w niej systemami informatycznymi i ich rozwojem.

Warto zaznaczyć, że ocena ta stanowi, obok oceny sprawozdań i ksiąg finansowych, składnik oceny wiarygodności przedsiębiorstwa!

Źródła informacji

Źródła i sposób pozyskiwania informacji zależą od dojrzałości danej organizacji.  Informacje o przedmiocie audytu pozyskiwane są przede wszystkim na podstawie:

  • udostępnionych/przekazanych dokumentacji
  • wywiadów z pracownikami/partnerami biznesowymi
  • bezpośredniej weryfikacji infrastruktury informatycznej (sprzętu, konfiguracji, topologi, zabezpieczeń, licencji, itd.)

Do przeprowadzenia tak rozumianego audytu niezbędna jest profesjonalna wiedza, którą MH-info zdobyło na podstawie doświadczenia z przeprowadzonych już licznych audytów informatycznych.

Audyt informatyczny niezbędny jest również przy przejmowaniu obsługi nad infrastrukturą informatyczną danego przedsiębiorstwa w modelu Outsourcingu IT.

Jeśli organizacja nie posiada dokumentacji np. do sieci komputerowej, serwerów, licencji czy zestawień posiadanego sprzętu i oprogramowania, przejęcie obsługi nad taką firmą jest niemożliwe bez wykonania wspomnianego wyżej audytu informatycznego.

Sytuacja taka przypomina budowę biurowca bez projektu budowlanego. Budynek może utrzymać się na powierzchni krótki czas, a upadając pozostawi po sobie zgliszcza i duże straty.

wynik audytu

Wynikiem przedmiotowego audytu są rozbudowane i szczegółowe dokumentacje techniczne oraz raporty zawierające opis zastanego stanu infrastruktury poszerzony o liczne zestawienia sprzętu, oprogramowania czy użytkowników. Dokonywane jest to w oparciu o: cel biznesowy przedsiębiorstwa, kryteria oceny działającego systemu i stawiane przed nim założenia, minimalne wskaźniki wydajności, niezbędne zasoby do realizacji celu przedsiębiorstwa, mechanizmy kontrolne i krytyczne.

Co zawiera poaudytowa dokumentacja techniczna?

Dokumentacje przeznaczone są dla osób zarządzających firmą, a język opisu i zastosowane słownictwo jest dobrane tak, aby było zrozumiałe zarówno dla osób technicznych jak i zarządzających.

W czasie całego procesu przeprowadzania audytu informatycznego oferujemy specjalistyczne wsparcie oraz nadzór przy wdrażaniu niezbędnych usprawnień.

Dokumentacja charakteryzuje się również zwięzłą formą oraz zawiera podstawowe składniki:

Opis stanu faktycznego

Jest to bardzo ważny element raportu. Zazwyczaj, nawet w małych firmach, dochodzi do sytuacji, kiedy zarząd firmy nie wie, jakie zasoby informatyczne posiada przedsiębiorstwo (zarówno sprzętowe jak i programowe) oraz jakie funkcjonalności mógłby przy użyciu ich osiągnąć, aby zwiększyć konkurencyjność przedsiębiorstwa.
Ponoszone są koszty na zakup nowych rozwiązań czy aplikacji,  które równie dobrze można by osiągnąć przy użyciu obecnie używanych zasobów.

Opis znalezionych nieprawidłowości

W informatyce nie ma jednego najlepszego rozwiązania, od którego odstępstwo można by wskazać jako nieprawidłowość. Dlatego bardzo ważną kwestią jest podejście audytora do oceny środowiska.
Nie powinna ona być robiona na zasadzie wyszukiwania odstępstw, lecz na dogłębnej ich analizie i znalezienia powodów, dla których one występują. Nieoceniona w takiej sytuacji jest pomoc ze strony osób odpowiedzialnych za środowisko informatyczne, które brały udział w jego powstawaniu i są w stanie dane rozwiązanie uargumentować.

Rekomendacje zmian

Jeśli przedstawiliśmy już słabe strony audytowanego środowiska, należy zaproponować rozwiązanie, które wpłynie na jego poprawę. Proponowane rozwiązania można podzielić na etapy, tj.:

  • Krytyczne (zmiany, które maja wpływ na bezpieczeństwo sieci, danych, użytkowników) są to te zmiany, które powinny być wprowadzone natychmiast, aby zabezpieczyć przedsiębiorstwo przed katastrofą związanych z utratą danych lub przerwą w funkcjonowaniu.
  • Opcjonalne – po zapoznaniu się ze sposobem działania firmy, można zaproponować rozwiązania wpływające na poprawienie wydajności pracy, aby przedsiębiorstwo miało szanse na większy i szybszy rozwój, który jest niemożliwy w zrealizowania dzisiejszych czasach bez odpowiednio przygotowanego środowiska informatycznego.
Jeśli nie wiesz jaki sprzęt posiadasz, czy wykorzystujesz wszystkie kupione licencje, brak ci pewności do jakich informacji mają dostęp pracownicy oraz czy Twoje dane są bezpieczne, to napisz do nas, a my uporządkujemy Twoja firmę.