logo
Podpora business procesů ze strany IT

Auditní činnosti v IT

Auditem myslíme činnosti spojené s průzkumem stavu organizace, jeho analýzou a podáním hodnotících závěrů. Auditní činnosti mohou mít různé podoby popsané v následujících odstavcích.

Normy nejčastěji využívané při provádění auditu jsou tyto: ISO/IEC 27001, 27002, 17799.

Jako základ auditu může místo normy sloužit rovněž předpisová základna vydaná nadřízenou autoritou auditované organizace - např. mateřskou firmou, zřizovatelem nebo nadřízeným orgánem.

Audit

Audit posuzuje shodu zjištěného stavu s textem předpisu. Nezkoumá se, zda je text předpisu adekvátní situaci ve firmě, protože normy mluví jasným jazykem.

Pro audit musí být vždy předem dáno, co a podle jaké normy se bude posuzovat. Výstup auditu je v prvním přiblížení na úrovni „vyhověl/nevyhověl“, ale jsou možné i postupy, kdy se jednotlivé oblasti „známkují“ podle předem smluvené stupnice (např. jako ve škole).

Základní rozdíl auditu proti dále uváděným postupům je ten, že audit nic nenapravuje a nic neradí. Auditor „pouze“ přijde, prozkoumá, ohodnotí, oznámkuje a sepíše hodnotící report. Nanejvýš v závěrečné zprávě vypíchne největší problémy.

Self-assesment

Self-assemement (česky asi nejlépe přeložitelné jako sebehodnocení) aplikuje postupy auditu, ale auditovaný (auditovaná organizace) aplikuje otázky auditu sám na sebe.

Správně by tato činnost měla být interní záležitostí zákazníka. V praxi ale narážíme na situace, kdy nadřízená organizace chce po lokální pobočce realizaci self-assesmentu, avšak místní IT si tím neví rady. V tom okamžiku nastupuje konzultant a provádí v podstatě shodné činnosti jako auditor. Externí pomoc není mateřské organizaci ve většině případů reportována.

Pre-audit – rozdílová studie proti normě

Postup je shodný jako při auditu, ale místo hodnocení typu „vyhověl/nevyhověl“ hledáme důvody neplnění a možné cesty k nápravě. Tato činnost se provádí převážně v situacích, kdy organizace má být v budoucnosti auditována (z vlastní vůle, nebo nařízeně).

Výstupy pre-auditu slouží k následnému sestavení plánu nápravných opatření.

Populárně řečeno: Zjistíme, jak moc se stav zákazníka liší od předepsaného stavu, proč se liší, a stanovíme cestu, jak nejsnáze dojít do stavu, kdy se zákazník nebude muset obávat příchodu „ostrého“ auditora.

Příprava na audit

Poslední fáze přípravy organizace na audit externím auditorem. Organizace je ve stavu připravenosti. Náš konzultant s pracovníky zákazníka prochází postup auditu. Hledáme správné formulace odpovědí, připravujeme „schválené výjimky“ pro případy, kdy je jasné, že auditor najde neshody.

Jde o „koučing“ lidí, kteří budou auditováni, s cílem „připravit je na zkoušku“.

Pomoc při auditu

Náš konzultant vystupuje „v dresu“ zákazníka a pomáhá obhájit organizaci během ostrého auditu externí auditorskou autoritou. Samozřejmostí je NDA, přímý požadavek zákazníka a většinou i souhlas auditora s přítomností externisty.

Posouzení shody

Posouzení shody je pouze jiný obchodní termín pro činnosti auditora, s tím, že závěrečná zpráva nemá formální náležitosti auditu „s razítkem“. Někdy se tento název používá také pro pre-audit nebo rozdílové studie.