• O nas
• Partnerzy
• Konsultanci
• Referencje

• Bezpieczeństwo
• Ochrona danych osobowych
• ISO 27001
• BCP / DRP
• Bezpieczeństwo informacji
• Doradztwo
• IT Governance
• Zarządzanie usługami IT
• IT controllership
• Rzeczoznawstwo
• Pomiar dojrzałości
• Analiza ryzyka
• Audyty Systemów Informatycznych
• Szkolenia
• Audyt informatyczny
• Dane osobowe
• IT Governance
• CobiT
• SZBI
• AEO

• Arkusze kontrolne
• CRSA (Control&Risk Self Assessment)
• RCM (Risk and Control Matrix)
• CSA (Control Self Assessment)

• Cele i zadania
• Dodaj swoje CV do bazy
• Partnerzy DCN

Złożoność technologii informatycznych i postęp, jaki się w nich dokonuje, wymagają od zarządzających dużej wiedzy i przemyślanych decyzji, popartych dogłębną analizą rozwiązań. Z tego też względu coraz częściej zarządy firm zlecają przeprowadzenie odpowiednich badań i analiz niezależnym specjalistom. W ten sposób minimalizują ryzyko związane z przedsięwzięciem i unikają wzrostu kosztów wdrożenia czy utrzymania rozwiązania informatycznego, a na dalszym etapie ułatwiają sobie potem modernizację systemu informatycznego.

Audyt informatyczny jest kompleksowym przeglądem środowiska informatycznego, który przeprowadza się w celu zrozumienia sposobów działania IT i przeciwdziałania pojawieniu się incydentów czy zdarzeń niepożądanych tak, by informatyka w firmie wspierała w pełni cele biznesowe. Audytorzy weryfikują także czy został zachowany kompromis między środkami zaangażowanymi a zyskami z wprowadzenia automatyzacji procesów biznesowych w oparciu o IT biorąc pod uwagę założenia biznesowe, aspekty finansowe i prawne oraz wymagania normalizacyjne czy możliwości technologiczne. Często audyt jest też przeprowadzany jako badanie jakościowe określające dojrzałość organizacji IT albo jako analiza i wyjaśnienie przyczyn pojawiania się zdarzeń niepożądanych czy awarii. Audyt jest przeprowadzany w sposób przyjazny i nieinwazyjny. Całość prac jest realizowana na podstawie umowy zobowiązującej audytorów do pełnej poufności i działania zgodnie z kodeksem etyki audytorskiej.

Przykładowy zakres audytu informatycznego

1. Weryfikacja stanu dojrzałości informatyki w firmie z uwzględnieniem:
   • procesów występujących w dziale IT,
   • efektywności i opłacalności zastosowanej technologii,
   • sposobów zachowania ciągłości działania i utrzymania infrastruktury teleinformatycznej w dobrej kondycji,
   • stosowanych w IT metod dostosowywania się środowiska informatycznego do szybko zmieniających się realiów prowadzenia działalności gospodarczej.
2. Ocena IT z punktu widzenia:
   • jakości świadczonych usług IT,
   • wiarygodności przetwarzania danych,
   • pewności działania i dostępności systemów,
   • bezpieczeństwa i zarządzania ryzykiem,
   • stosowania najlepszych praktyk branżowych, taki jak ITIL, TOGAF, metodyk prowadzenia projektów czy norm ISO.
3. Analiza stopnia wspierania strony biznesowej przez IT:
   • wykonywane porównania możliwości IT (ang. capacity) w stosunku do rosnących oczekiwań strony biznesowej,
   • przegląd procesu zarządzania popytem ze strony biznesu na usługi IT oraz sposobu wzajemnego komunikowania i rejestrowania wymagań,
   • analiza strategii IT lub dokumentów o charakterze strategicznym, w tym opisujących nowe rozwiązania i plany.
4. Ocena efektywności działania IT:
   • analiza czy rozwiązania informatyczne są efektywne kosztowo biorąc pod uwagę koszty zakupu i utrzymania oraz późniejsze możliwości rozwoju,
   • badanie stopnia automatyzacji pracy, wydajności procesów i usług IT,
   • weryfikacja czy wdrożenie systemu informatycznego przyniosło oczekiwane rezultaty, które były zakładane na etapie projektu,
   • dyskusja nad określeniem akceptowalnych dla biznesu poziomów dostępności,
   • weryfikacja czy ustalone poziomy dostępności i jakości są realizowane przez IT,
   • przegląd sposobów testowania nowych rozwiązań informatycznych z punktu widzenia: wydajności, odporności na ataki, pojawiających się błędów i przestojów.

Obiektywizm i profesjonalizm

Audyt systemów informatycznych jest niezależnym i obiektywnym działaniem doświadczonych specjalistów, którzy efektywnie określają obecny status i realne potrzeby klienta dotyczące infrastruktury informatycznej firmy, z uwzględnieniem całości spraw technicznych, a także prawnych, formalnych czy proceduralnych. W polskich realiach słowo audyt może być mylnie postrzegane jako określenie działania nakierowanego na weryfikację ilości posiadanych licencji czy sprawdzenie bezpieczeństwa systemów. Takie myślenie jest krzywdzące i nieprawdziwe. W swojej pracy audytor systemów informatycznych jest równorzędnym partnerem CIO (Dyrektora ds Informatyki) i swoją pracą powinien wspierać cele biznesowe organizacji i dawać zapewnienie zarządzającym, że organizacja wewnętrznie działa w kierunku przez nich określonym. Audytor powinien posiadać odpowiednie doświadczenie zawodowe (min. 10 lat) oraz kwalifikacje poświadczone przez niezależne instytucje branżowe, np. certyfikaty CISA/CISM wydane przez ISACA (http://www.isaca.org lub http://www.isaca.org.pl). Jego praca powinna przebiegać w sposób usystematyzowany i zgodny z procesem audytowym określonym przez instytucje certyfikujące. Działania osób, które nie stosują się do praktyk zawodowych określonych przez te instytucje, nie mogą być postrzegane jako audyt systemów informatycznych.

DOBIS zatrudnia jedynie doświadczonych audytorów, którzy mogą efektywnie wspomóc organizację w osiągnięciu zamierzonych celów biznesowych. Firma stosuje powtarzalny i usystematyzowany proces audytowy i używa znanych i sprawdzonych praktyk audytowych popartych znanymi standardami i dobrymi praktykami (ang. best practice), m.in. COBIT, ITIL, ISO 7799, ISO 27001, ISO 20000, PMI, COSO, SOX, Basel II.

powrót