Co tedy tato profese obnáší? Důležité je vědět, jak firma funguje, co je to fakturace, kudy tečou peníze, co jsou to dodací listy, zkrátka a dobře – IT auditor musí mít povědomí o všech základních procesech, které firmě vydělávají peníze. Přinášíme vám seriál o IT auditu, v němž objasníme samotný obor, jeho hrozby, budoucnost i lidi, kteří za ním v Deloitte stojí.

Prověřuje úroveň zabezpečení u klienta

Pokud má nezávislý finanční auditor vydat opravdu důvěryhodné ověření předložené účetní závěrky, musí si být stoprocentně jist, že veškerým podkladům, které od klienta dostane, může věřit. V dnešní době, kdy je již většina procesů ve firmách navázána na IT technologie, to znamená, že důvěryhodné a bezpečně spravované musí být zejména celé IT prostředí. A o tom, zda takové je, či není, rozhoduje právě IT auditor. Tolik ve zkratce představení profese, jejíž role bude do budoucna stále více nabývat na významu.

A teď už blíže k tomu, co vlastně dělá. IT audit se provádí v rámci statutárního auditu účetní závěrky a jeho hlavní úlohou je prověřit a posoudit, zda je prostředí u klienta dostatečně zabezpečené, zda jsou data spolehlivá a chráněná a zda na ně může finanční auditor bez zásadního rizika v rámci auditních procedur spoléhat a vyjadřovat se k nim.

„Na základě našich zjištění pak dáváme finančním auditorům jednoznačné stanovisko, jestli je vše v pořádku, nebo jestli existuje nějaké riziko a oni musí změnit auditní přístup,“ vysvětluje Ivan Voříšek.

IT + audit = IT auditor

Už víme, že IT auditor opravdu není typickým IT odborníkem, ale zároveň možná stále ještě nevíme, jaký je mezi nimi rozdíl. Sečteno a podtrženo: IT auditor je člověk, který na jedné straně rozumí byznysu, takže musí vědět, jak firma funguje, a na té druhé se pak orientuje v IT problematice.

„V tomto směru musíme mít povědomí o IT problematice, znát obecné rámce, obecné postupy a obecné standardy pro správu IT systémů. A nad tím je třeba mít určité dobré logické a analytické schopnosti, abychom byli schopni říct: tohle je rizikové a tohle není rizikové,“ objasňuje Igor Gricinko, další z IT auditorů v Deloitte.

Dotazování, profesní skepse i automatizace

Základem práce IT auditora je rozhovor – auditor se klienta ptá a na základě odpovědi volí další otázky, doplňuje, monitoruje celé IT prostředí a postupuje od obecnějšího většího rámce ke konkrétní problematice. Následně se rozhodne, jakým způsobem provede ověření.

„Klient nám toho řekne spoustu, ale to ještě neznamená, že na to spoléháme. My musíme aplikovat profesní skepsi. Říkáme: A teď nám dokažte, že ten proces a kontroly, o kterých jsme spolu mluvili, skutečně fungují,“ popisuje Ivan Voříšek, který se běžně setkává s tím, že v praxi tomu tak není.

Dále jsou klíčové podklady – protokoly, evidence či například zápisy, ale i předvedení konfigurace nebo kontrola, jak funguje administrativní rutina.

„Důležitou roli v celém procesu sehrávají automatizované nástroje, díky kterým se auditní postupy optimalizují. Ať už jde třeba o základní testy na uživatelská oprávnění nebo testy na konfiguraci systému,“ říká Igor Gricinko.

Auditor není nepřítel. Jen objektivně radí

Ačkoliv to klientovi v první chvíli nemusí tak připadat, IT auditor do jeho firmy nepřichází proto, aby mu házel klacky pod nohy. Předává sice své stanovisko finančnímu auditorovi, tím ale jeho práce nekončí. Na závěr auditu totiž také prezentuje finální nálezy klientovi, kdy mu představí potenciální bezpečnostní rizika a současně předloží návrhy jejich řešení.

Jestli je klient využije a implementuje do svého IT systému, to už je pak na něm. Co je klíčové? „Aby si klient uvědomil, že auditor není nepřítel, nýbrž člověk, který mu přišel objektivně poradit. Deloitte poskytuje IT audit vlastně jako přidanou hodnotu finančního auditu, klient za něj neplatí, což ovšem není na trhu standardem,“ uzavírá Ivan Voříšek.

Zaujala vás práce IT auditora? Máte chuť to zkusit? Sledujte naše pracovní nabídky. V příštím díle našeho seriálu se zaměříme na pět největších bezpečnostních rizik, které IT audit může odhalit.