Audit informačního systému

Slovo „audit“ se v České republice stejně jako v jiných zemích používá se stále vzůstající frekvencí. Vedle tradiční formy finančního auditu se postupným vývojem vytvořily další, jako například audit životního prostředí, audit informační bezpečnosti, audit kvality procesů, forenzní audit, audit bezpečnosti a hygieny práce apod. Obecně lze konstatovat, že rozšíření auditů a jiných forem zpětných vazeb, jejichž cílem je zlepšování kvality v předmětných oblastech, vede k tomu, že téměž každá organizace a dokonce i každý z nás se stáváme objektem nějaké formy auditu. S jistým nadhledem lze prohlásit, že kromě toho, že žijeme ve společnosti, která se běžně označuje přívlastkem „informační“, můžeme doplnit další přívlastek „auditovaná“.

V této situaci je až zarážející, že problematice auditu informačních systémů se v České republice nevěnuje velká pozornost. Dokladem toho je skutečnost, že doposud v českém jazyce neexistuje žádná ucelená publikace, která by se auditem informačního systému zabývala. Tato situace má svoje výhody, ale i nevýhody. Výhodou je, že může jít pro řadu čtenářů o novou problematiku, nad kterou se ještě nezamýšleli, a může jim tak připadat atraktivní. Nevýhodou je, že při psaní textu nebylo možné navázat na jiné autory a bylo potřeba propojit zahraniční zdroje se získanými zkušenostmi a prostředím v České republice.

Čtenářům se tak dostává do rukou publikace, která si klade za cíl seznámit je s rychle se vyvíjející disciplínou auditu informačního systému. Ten se chápe jako forma ujištění o kvalitě informačních systémů a technologií, kterou poskytuje nezávislá strana jak business manažerům (uživatelům), tak i IT specialistům (poskytovatelům IT služeb). Publikace má pomoci odpovědět na otázky: Co to je audit a jak se liší od ostatních forem kontrol? Jaké jsou jeho vlastnosti? Co je potřeba k tomu, abychom se stali auditorem IS? Jak má vypadat postup auditu IS? O jaká kritéria se může opírat?

Publikace je logicky rozdělena do dvou částí. V první – teoretické části – zahrnující kapitoly 2 – 5, se čtenáři seznámí s obecnými aspekty auditu IS, které jsou společné pro všechny typy auditu IS. Druhá kapitola rekapituluje vývoj auditu ve světě a v České republice, definuje různé formy auditu a ujištění, prezentuje organizace, které pečují o profesi auditora IS a současně vymezují jeho obsah. Třetí kapitola podává výčet a stručnou charakteristiku vybraných standardů, důležitých pro audit IS. Standardy se rozlišují na standardy týkající se vlastní profese auditora, ty se dále člení na standardy externího a interního auditu. Další skupinu standardů představují standardy, které se týkají objektu auditu – informačních systémů a informačních technologií. Zvláštní pozornost se věnuje zastřešujícímu rámci, označovanému termínem IT governance.
Čtvrtá kapitola seznamuje čtenáře s dostupnými metodikami, které může auditor při své práci využít. Jedná se o dokumenty INTOSAI, COBIT, IT Assurance Guide, Val IT a Risk IT. Prezentace metodik je doplněna úvahami o jejich možném využití v praxi a vzájemným porovnáním.
Pátá kapitola prezentuje obecný postup auditu a jeho typické nástroje a techniky. Jde například o analýzu rizik, druhy testů, systém kontrol, nebo o automatizované nástroje, které auditor má při realizaci auditu k dispozici.

Druhá část publikace, reprezentovaná šestou kapitolou, představuje praktickou část publikace. Na vybraných příkladech objektů auditu IS jsou diskutovány dílčí cíle těchto auditů, možná kritéria hodnocení a způsoby hodnocení návrhu kontrol. Objekty auditů byly záměrně vybrány tak, aby zastupovaly jejich různé typy. Jsou jimi organizační entita (audit útvaru IT), aplikace (audit databáze), IT proces (audit procesu řízení změn) a projekt (audit projektu implementace ERP systému).