www.hakin9.org

hakin9 Nr 10/2007

68

Bezpieczna Firma

A

udyt informatyczny (wg. ISACA) – jest
to proces zbierania i oceniania dowo-
dów w celu określenia, czy system in-

formatyczny i związane z nim zasoby właści-
wie chronią majątek, utrzymują integralność
danych, dostarczają odpowiednich i rzetelnych
informacji, osiągają efektywnie cele organiza-
cji, oszczędnie wykorzystują zasoby i stosują
mechanizmy kontroli wewnętrznej tak, aby do-
starczyć rozsądnego zapewnienia, że osiąga-
ne są cele operacyjne i kontrolne oraz że chro-
ni się przed niepożądanymi zdarzeniami lub są
one na czas wykrywane, a ich skutki na czas
korygowane.

Nikogo nie trzeba przekonywać, że współ-

czesne środowisko zarówno międzynarodo-
wego, jak i lokalnego biznesu nie może się
obyć bez wsparcia ze strony rozwiązań infor-
matycznych. Ciągły rozwój nowych technolo-
gii usprawnia działanie firmy, wspomaga osią-
ganie celów biznesowych i zwiększa konku-
rencyjność organizacji. Pomimo tak wielu za-
let, jakie przynosi informatyzacja dla instytucji
i podmiotów gospodarczych, musimy przyjrzeć
się zagrożeniom, jakim w związku z nią przyj-
dzie nam stawić czoła. Badania Europejskie-
go Instytutu Zarządzania dowodzą, że co ro-

ku każda duża firma traci około 1,6 mln euro w
wyniku nieodpowiedniego zarządzania infra-
strukturą i systemami informatycznymi. Szacu-
je się również, że w małych i średnich firmach
jest podobny problem – straty w przychodach
z tytułu złego zarządzania w IT sięgają 15%
– 25%. Według badań uniwersytetu w Chicago
połowa firm, którym skradziono dane, bankru-
tuje prawie natychmiast, zaś 30% w ciągu na-
stępnego roku. Potrzeba i konieczność ochro-
ny informacji przed stale rosnącą liczbą nad-
użyć, świadomych lub nieświadomych działań
lub też zaniechania poczynań przeciw zagro-

Audyt systemów

informatycznych

Wojciech Malec

stopień trudności

Żadne rozwiązania informatyczne nie są w pełni doskonałe,

a sama organizacja bezpieczeństwa teleinformatycznego nie jest

łatwym zadaniem. Taka sytuacja rodzi duże prawdopodobieństwo

powstania nieprawidłowości i nadużyć, które nieuchronnie

prowadzą do braku osiągnięcia celów biznesowych, poniesienia

strat finansowych lub też upadłości organizacji.

Z artykułu dowiesz się

• co to jest i jak powstał audyt informatyczny,
• jakie są najważniejsze organizacje zawodowe

właściwe dla audytu informatycznego, jakie są
certyfikaty dla audytorów i w jakim celu są wy-
dawane.

Co powinieneś wiedzieć

• znać podstawowe zasady bezpieczeństwa in-

formatycznego.

Audyt systemów informatycznych

hakin9 Nr 10/2007

www.hakin9.org

69

żeniom jest oczywista. Liczba spo-
sobów ochrony przed zagrożenia-
mi, a także narzędzi pomocniczych,
stale wzrasta. Dobór odpowiednich
mechanizmów tak, aby odpowiada-
ły potrzebom i możliwościom organi-
zacji wymaga zastosowania dodat-
kowych narzędzi. Do tych właśnie
celów ma zastosowanie audyt sys-
temów informatycznych. Jako nie-
zależne źródło kontroli organizacji
bezpieczeństwa systemów informa-
tycznych, audyt nie tylko weryfikuje
dobór zastosowanych środków, ale
bardzo często zapobiega naduży-
ciom i przestępstwom wymierzo-
nym w organizację. Ceny audytów
informatycznych są zależne od ich
zakresu. Jeśli chodzi tylko o audyt
sprzętu, oprogramowania na nim za-
instalowanego i jego legalności, na-
leży liczyć ok. 90 PLN za stację ro-
boczą.

Historia audytu

informatycznego

Audyt jako pierwszy pojawił się w
sektorze finansów, gdzie badano
sprawozdania finansowe przedsię-
biorstw i instytucji. W obszarze au-
dytu finansowego powołano orga-
nizacje, które mają za zadanie po-
twierdzić kwalifikacje audytorów
ksiąg rachunkowych poprzez certy-
fikację. Z tą dziedziną związana jest
międzynarodowa organizacja Asso-
ciation of Chartered Certified Acco-
untants – Stowarzyszenie Certyfiko-
wanych Księgowych a w Polsce Kra-
jowa Izba Biegłych Rewidentów. Na-
stępnym krokiem przyczyniającym
się do rozwoju audytu było rozpropa-
gowanie i rozwój audytu wewnętrz-
nego. W tej dziedzinie powstała
międzynarodowa organizacja Insty-
tut Audytorów Wewnętrznych – In-
stitute of Internal Auditors, do kom-
petencji której należy między inny-
mi ustalanie właściwych standar-
dów. W Polsce odpowiednikiem tej
organizacji jest Polski Instytut Kon-
troli Wewnętrznej. Z początku przed-
miotem audytu była tylko dziedzina
finansowa, później nastąpiła ewolu-
cja i zakres audytu rozszerzył się na
wszystkie procesy występujące w in-
stytucji. Trudności w organizacji, za-

rządzaniu i kontroli energicznie roz-
wijających się technologii informa-
tycznych, jak również stale rosnące
zagrożenia mające wpływ na bez-
pieczeństwo informacji, spowodo-
wały powstanie audytu informatycz-
nego. Tak jak w przypadku audytu fi-
nansowego, instytucje zaczęły two-
rzyć specjalne działy wyspecjalizo-
wane w prowadzeniu audytu infor-
matycznego.

Organizacje zawodowe

W ramach audytów finansowych
powstały organizacje zrzeszają-
ce i w pewien sposób autoryzujące
profesjonalistów w dziedzinie audy-
tu finansowego. Podobnie stało się
w obszarze audytu informatyczne-
go. Potrzeba kontaktów w celach
wymiany poglądów, wiedzy i do-
świadczeń, a także ustalania stan-
dardów wśród audytorów informa-
tycznych zaowocowała powstaniem
organizacji zawodowych jednoczą-
cych ludzi wykonujących wspólną
profesję.

ISACA

Information Systems Audit and Con-
trol Organisation – pierwsza i naj-
większa międzynarodowa organiza-
cja w dziedzinie audytu informatycz-
nego powstała w roku 1967. Dziś li-
czy ponad 50 000 osób w prze-
szło 140 krajach na całym świecie.
W Polsce od 1997 roku istnieje je-
den oddział stowarzyszenia – ISA-
CA Warsaw Charter. Organizacja ta
ma na celu podnoszenie wiedzy oraz
praktyki w obszarze audytu i kontro-
li systemów informatycznych. Człon-
kowie stowarzyszenia i posiadacze
certyfikatów ISACA są zobowiąza-
ni do przestrzegania zasad postę-
powania Kodeksu Etyki Zawodowej.
ISACA wspiera i promuje także stan-
dardy i dobre praktyki skutecznego
zarządzania oraz kontroli technolo-
gii informatycznych. Stowarzysze-
nie to jest między innymi autorem
programu PSS – Professional Semi-
nar Series, wydaje certyfikaty CISA
– Certified Information Systems Au-
ditor i CISM – Certified Information
Security Manager. Najbardziej zna-
nym standardem zarządzania i kon-

troli systemów informatycznych tej
organizacji jest COBIT – Control Ob-
jectives for Information and Related
Technology. Innym znanym standar-
dem audytu środowiska sieciowego
jest CONeCT – Control Objectives
for Net Centric Technology.

IIA

The Institute of Internal Auditors – to
międzynarodowa organizacja sku-
piająca audytorów wewnętrznych
(ponad 80 tysięcy członków w 120
krajach). Polski oddział został zare-
jestrowany w 2002 roku jako Stowa-
rzyszenie Audytorów Wewnętrznych
IIA-Polska. Organizacja ta zrzesza
zarówno obecnych audytorów, jak i
kandydatów. Do stowarzyszenia mo-
gą należeć także inne osoby zainte-
resowane tą profesją – kontrolerzy,
księgowi, członkowie rad nadzor-
czych, pracownicy naukowi, studen-
ci związanych kierunków.

Główne cele IIA:

• działalność promocyjna audytora

wewnętrznego,

• upowszechnianie międzynarodo-

wych Standardów Profesjonalnej
Praktyki Audytu Wewnętrznego,

• podejmowanie i prowadzenie

działalności w zakresie doskona-
lenia kwalifikacji dla prawidłowe-
go wykonywania zawodu audyto-
ra wewnętrznego oraz możliwo-
ści zatrudnienia,

• reprezentowanie i ochrona praw i

interesów zawodowych członków
stowarzyszenia,

• krzewienie poczucia godności i

wspólnoty zawodowej oraz upo-
wszechnienie pozycji i znaczenia
zawodu audytora wewnętrznego,

• stworzenie forum wymiany do-

świadczeń,

• krzewienie i propagowanie za-

sad etyki i rzetelności, lojalności
zawodowej oraz uczciwej konku-
rencji,

• czuwanie nad przestrzeganiem

tych zasad,

• prowadzenie działalności nauko-

wo-dydaktycznej (w tym również
kształcenie studentów), jak i sze-
roko rozumianej działalności kul-
turalnej.

hakin9 Nr 10/2007

www.hakin9.org

Bezpieczeństwo w firmie

70

Instytut Audytorów Wewnętrznych
daje możliwość uzyskania certyfi-
katów zawodowych poświadczają-
cych międzynarodowe przygotowa-
nie zawodowe w zakresie audytu
wewnętrznego. Zasadniczym mię-
dzynarodowym certyfikatem jest CIA
– Certified Internal Auditor.

PIKW

Polski Instytut Kontroli Wewnętrznej
– jest to instytucja założona w roku
1998, która przygotowuje kadry do
oceny systemów kontroli wewnętrz-
nej i profesjonalnego wykonywania
zawodu audytora wewnętrznego.
Organizacja ta zajmuje się proble-
matyką systemów kontroli wewnętrz-
nej, audytu wewnętrznego, proce-
sów zarządzania ryzykiem, zarzą-
dzania korporacyjnego (governan-
ce), wykrywania i zapobiegania ko-
rupcji, oszustwom oraz nadużyciom.
Wspomaga też kształcenie audyto-
rów i kontrolerów wewnętrznych za-
trudnionych we wszystkich organi-
zacjach gospodarki i administracji
państwowej w Polsce. Instytut ten
współpracuje z międzynarodowymi
organizacjami, dostosowuje najlep-
sze standardy i praktyki stosowane
na całym świecie (szczególnie w kra-
jach UE) do polskich warunków.

Certyfikacja

W celu uwiarygodnienia dostaw-
ców usług audytorskich o należy-
tym poziomie profesjonalizmu, za-
istniała potrzeba udokumentowania
i potwierdzenia uprawnień oraz obo-
wiązków. Dla poświadczenia kompe-
tencji grupy zawodowej audytorów
systemów informatycznych, właści-
we organizacje opracowały progra-
my certyfikujące.

CISA

Certified Information Systems Au-
ditor – to międzynarodowy program
certyfikacji audytorów systemów in-
formatycznych opracowany przez
organizację ISACA. Certyfikat ten
ma za zadanie utrzymanie właści-
wego poziomu zawodowego osób
związanych z bezpieczeństwem in-
formatycznym. Nad rozwojem syste-
mu certyfikacji czuwa specjalnie do

tego celu wyznaczony komitet – CI-
SA Certification Board.

Cel programu certyfikacji:

• rozwój i utrzymanie narzędzi te-

stowania, służących do oceny in-
dywidualnych kompetencji w za-
kresie audytów informatycznych,

• dostarczanie mechanizmów mo-

tywujących do utrzymywania
swoich kompetencji oraz moni-
torowania efektów programów
szkoleniowych,

• pomoc kadrze kierowniczej w

rozwijaniu funkcji kontroli syste-
mów informatycznych.

Certyfikat ten posiada już około 12
000 osób na całym świecie. Egza-
min odbywa się dwa razy do roku: w
drugą sobotę czerwca i drugą sobotę
grudnia. W Polsce egzamin ma miej-
sce w Warszawie. Wymagania dla
kandydatów chcących uzyskać cer-
tyfikat CISA:

• udokumentowanie minimum pię-

ciu lat praktyki w zakresie audy-
tu, kontroli i bezpieczeństwa sys-
temów informatycznych,

• opłacenie kosztów egzaminu,
• zdanie egzaminu,
• stosowanie Kodeksu Etyki Zawo-

dowej ISACA.

Certyfikat CISA ma obecnie dość
duże znaczenie na rynku pracy, sta-
nowi bowiem poświadczenie kompe-
tencji zawodowych osoby posiadają-
cej certyfikat oraz stałe podnosze-
nie kwalifikacji dzięki polityce ciągłe-
go kształcenia. Z tego także powo-
du liczba kandydatów do egzaminu
CISA stale wzrasta. Egzamin CISA
składa się z 200 pytań. Do każdego
pytania są cztery odpowiedzi, z któ-
rych jedna jest poprawna. Egzamin
trwa cztery godziny, prowadzony jest
w językach: angielskim, duńskim,
francuskim, hebrajskim, hiszpań-
skim, japońskim, koreańskim, nie-
mieckim i włoskim. Wiedzę z zakre-
su egzaminu można zdobyć na spe-
cjalnych szkoleniach przygotowa-
nych przez stowarzyszenie ISACA.
Również uczelnie – zarówno pań-
stwowe, jak i prywatne – dają moż-

liwość pogłębienia tej wiedzy na róż-
nego rodzaju studiach podyplomo-
wych. Koszt certyfikacji to wydatek
360 – 530 USD w zależności od ter-
minu rejestracji na egzamin i przyna-
leżność do organizacji ISACA. Zniż-
ki są przyznawane dla członków or-
ganizacji i przy wcześniejszym zgło-
szeniu on-line na stronie http://
www.isaca.org/examreg.

Zagadnienia obowiązujące na

egzaminie CISA:

• proces audytowania systemów

informatycznych – 10% pytań,

• zarządzanie, planowanie i orga-

nizacja systemów informatycz-
nych – 11% pytań,

• infrastruktura techniczna i prak-

tyki operacyjne – 13% pytań,

• ochrona zasobów informacyj-

nych – 25% pytań,

• odtwarzanie po katastrofach i

ciągłość biznesu – 10% pytań,

• rozwój, nabywanie, wdrażanie i

utrzymywanie biznesowych sys-
temów aplikacyjnych – 16% py-
tań,

• ocena procesu biznesowego i

zarządzanie ryzykiem – 15% py-
tań.

CISM

Certified Information Security Ma-
nager – jest to certyfikat opracowa-
ny także przez organizację ISACA,
jednak skierowany dla zarządzają-
cych, projektujących, wdrażających
i rozwijających proces bezpieczeń-
stwa organizacji. Osoby szczególnie
zasłużone dla rozwoju audytu sys-
temów informatycznych otrzymały
ten certyfikat jako pierwsze. Obec-
nie, aby móc tytułować się tym cer-
tyfikatem, oprócz udokumentowania
wieloletniego doświadczenia zawo-
dowego, należy także zdać egzamin.
Egzamin CISM odbywa się w tych

Literatura

Marian Molski, Małgorzata Łacheta,
Przewodnik audytora systemów informa-
tycznych, Wydawnictwo HELION, 2007.
Tomasz Polaczek, Audyt bezpieczeń-
stwa informacji w praktyce, Wydawnic-
two HELION, 2006.

Audyt systemów informatycznych

hakin9 Nr 10/2007

www.hakin9.org

71

samych terminach co CISA, forma
egzaminu jest też bardzo podobna.
Koszt certyfikacji jest zależny termi-
nu egzaminu i przynależności do or-
ganizacji ISACA, wynosi identycz-
nie jak w przypadku egzaminu CISA
od 360 do 530 USD. Wymagania dla
kandydatów chcących uzyskać cer-
tyfikat CISM:

• udokumentowanie minimum pię-

ciu lat praktyki w obszarze bez-
pieczeństwa systemów informa-
tycznych,

• opłacenie kosztów egzaminu,
• zdanie egzaminu CISM,
• stosowanie Kodeksu Etyki Zawo-

dowej ISACA.

CIA

Certified Internal Auditor – certyfikat
ten oferowany jest przez organizację
IIA. Sprawdza i zaświadcza wiedzę
i umiejętności w zakresie niezbęd-
nym do wykonywania zawodu audy-
tora wewnętrznego. Wymagania dla
kandydatów chcących uzyskać cer-
tyfikat CIA:

• posiadanie minimum dwuletnie-

go doświadczenia w audycie we-
wnętrznym,

• przedstawienie poświadczenia o

postawie zawodowej i moralnej
kandydata,

• ukończenie studiów wyższych z

dyplomem minimum licencjata,

• zdanie czterech części egzami-

nu.

Instytut IIA przyznał już ponad 40
tysięcy takich certyfikatów. Oferuje
także trzy inne specjalistyczne cer-
tyfikaty:

• CFSA – Certified Financial Servi-

ces Auditor,

• CGAP – Certified Government

Auditing Professional,

• CCSA – Certification in Control

Self-Assessment.

Egzaminy CIA odbywają się dwa ra-
zy do roku – w maju i listopadzie, tak-
że w Polsce. Szkolenia przygotowaw-
cze prowadzi między innymi Ernst &
Young Academy of Business. Koszt
uzyskania certyfikatu obejmuje opła-
tę rejestracyjną ważną przez 2 lata,
która wynosi 30 USD dla studentów,
60 USD dla członków IIA lub 75 USD
dla pozostałych osób. Za każdy egza-
min należy uiścić opłatę w wysokości
odpowiednio 35 USD – studenci, 70
USD – członkowie IIA oraz 95 USD
– pozostałe osoby. Program egzami-
nu składa się z czterech części. Na-
leży tu podkreślić, iż posiadanie cer-
tyfikatu CISA zwalnia z czwartej czę-
ści egzaminu.

Część I

Rola procesu audytu wewnętrznego
w zakresie nadzoru korporacyjnego,
ryzyka i kontroli:

• zgodność ze standardami IIA do-

tyczącymi atrybutów audytu we-
wnętrznego: 15% – 25%,

• tworzenie planu oraz określe-

nie priorytetów działania audytu
wewnętrznego kierując się ryzy-
kiem: 15% – 25%,

• rozumienie roli procesu audytu

wewnętrznego w zakresie nadzo-
ru organizacyjnego: 10% – 20%,

• wypełnianie pozostałych ról i

odpowiedzialności audytu we-
wnętrznego: 0% – 10%,

• elementy wiedzy w zakresie nad-

zoru organizacyjnego, ryzyka i
kontroli: 15% – 25%,

• planowanie zadań: 15% – 25%.

Część II

Wykonywanie zadań audytu we-
wnętrznego:

• wykonywanie

zadań:

25%

– 35%,

• wykonywanie zadań szczegól-

nych: 25% – 35%,

• monitorowanie wyników zadań:

5% – 15%,

• elementy wiedzy w zakresie

oszustw: 5% – 15%,

• narzędzia do realizacji zadań au-

dytorskich: 15% – 25%.

Część III

Analizy biznesowe i technologie in-
formatyczne:

• procesy biznesowe: 15% – 25%,
• rachunkowość finansowa i finan-

se: 15% – 25%,

• rachunkowość zarządcza: 10%

– 20%,

• regulacje, prawo i ekonomia: 5%

– 15%,

• technologie informatyczne (IT):

30% – 40%.

Część IV

Umiejętności w zarządzaniu przed-
siębiorstwem:

• zarządzanie strategiczne: 20%

– 30%,

• globalne otoczenie biznesowe:

15% – 25%,

• działania w organizacji: 20%

– 30%,

• umiejętności kierownicze: 20%

– 30%,

• negocjacje: 5% – 15%.

Podsumowanie

W procesie audytu bardzo waż-
nym składnikiem jest czynnik ludz-
ki. Pomimo zastosowania właści-
wych standardów i metodyk audy-
tów systemów informatycznych or-
ganizacje chętnie zlecają przepro-
wadzenie audytów firmom, które
posiadają certyfikowanych audy-
torów. Takie podejście nie wyklu-
cza, lecz minimalizuje możliwość
wystąpienia błędu ludzkiego przy
przeprowadzaniu czynności audy-
torskich. Konsekwencją przepro-
wadzenia audytów informatycz-
nych na wysokim poziomie jest do-
starczenie rzetelnych informacji,
większa ochrona instytucji przed
niepożądanymi zdarzeniami, lep-
sze zabezpieczenie majątku firmy i
racjonalne wykorzystanie zasobów
informatycznych. l

O autorze

Wojciech Malec – audytor wewnętrzny
Systemu Zarządzania Jakością, spe-
cjalista w zakresie ochrony informacji
prawnie chronionych, odpowiedzialny
za implementacje zasad bezpieczeń-
stwa w nowych projektach informa-
tycznych. Redaktor portalu http://www.
ochronainformacji.pl.
Kontakt z autorem:
w.malec@ochronainformacji.pl.