Zweryfikowane dane nie kłamią

Aby zagwarantować wysoki poziom jakości danych, organizacje powinny wdrożyć system kontroli wewnętrznej, który zabezpiecza procesy przetwarzania informacji - pisze Kazik Klonecki, Partner w EY Polska, Lider Technology Risk.

Publikacja: 09.05.2025 12:59

Ciągła analiza ryzyka IT odgrywa bardzo ważną rolę w identyfikowaniu obszarów podatnych na niebezpieczeństwa i wdrażaniu rozwiązań zapobiegawczych

Foto: Bloomberg

Kazik Klonecki

Współczesne organizacje funkcjonują w świecie zdominowanym przez technologie, które wspierają dziś niemal każdą decyzję biznesową. Począwszy od spraw związanych z codzienną rutyną, aż po wybór strategicznych kierunków dalszego rozwoju kończąc. Przedsiębiorcy opierają się w praktyce głównie na wynikach analizy danych dostarczanych przez systemy informatyczne. Automatyzacja procesów, bardzo zaawansowane algorytmy analityczne oraz integracja różnych źródeł informacji z wielu systemów informatycznych pozwalają na szybkie podejmowanie trafnych decyzji. Jednak kluczowym elementem tego procesu jest zapewnienie, że dane wykorzystywane przez firmy są odpowiednio zweryfikowane oraz spełniają trzy zasadnicze wymogi: integralności, dostępności i autentyczności.

Dlaczego jakość danych jest tak istotna?

Niewłaściwie przetwarzane lub nieodpowiednio zweryfikowane informacje mogą prowadzić przedsiębiorców do podejmowania błędnych decyzji, które generują nie tylko straty finansowe, ale także obniżają wiarygodność firm w oczach interesariuszy. Aby uniknąć tego typu sytuacji niezbędna jest odpowiednia kontrola nad systemami informatycznymi, które przetwarzają kluczowe dane. Ważne jest również upewnienie się, że zaimplementowane w systemach funkcjonalności działają poprawnie i zwracają rzetelne oraz wiarygodne wyniki zarówno z perspektyw istniejącej lub planowanej architektury systemów IT. Rosnący poziom zależności od technologii ICT wiąże się również z istotnym ryzykiem, które może wpłynąć na funkcjonowanie firm. Im więcej polegamy na systemach, tym bardziej musimy być czujni. Nie jest to jednak takie proste jak może się na pozór wydawać. Nawet najlepszy system nie jest i nie będzie w pełni odporny na błąd ludzki.

Czy systemy IT mogą zawieść?

Należy pamiętać, że mimo postępu technologicznego systemy informatyczne mogą zawieść. Awarie systemów, błędy w oprogramowaniu, problemy z infrastrukturą serwerową czy nieplanowane przerwy techniczne mogą prowadzić nawet do paraliżu kluczowych procesów biznesowych. Dodatkowo ataki cybernetyczne wciąż stanowią bardzo poważne zagrożenie. Cyberprzestępcy działający indywidualnie lub na zlecenie mogą wykorzystać lukę w bezpieczeństwie systemów, aby przejąć nad nimi kontrolę, wykradać dane lub zakłócać bieżącą działalność firm. Wykorzystanie usług, systemów informatycznych i rozwiązań dostarczanych przez zewnętrznych dostawców usług ICT niesie ze sobą kolejne źródło ryzyka, a trudno sobie wyobrazić organizację, która nie korzysta z outsourcingu IT. Dopełnieniem mapy tych zagrożeń jest wykorzystanie nowych technologii. Wraz z ich pojawieniem się przedsiębiorstwa stają także w obliczu nieznanych dotąd wyzwań. Bardzo często popełniają przy tym zasadniczy błąd implementując innowacje w pośpiechu zapominając o kluczowym aspekcie jakim jest wdrożenie odpowiednich mechanizmów kontrolnych. Nowe technologie, takie jak AI i big data mają ogromny wpływ na zwiększenie efektywności funkcjonowania organizacji, ale mogą okazać się jednocześnie źródłem nowych zagrożeń. Nabiera to szczególnego znaczenia w czasach funkcjonowania technologii deepfake. Wyobraźmy sobie sytuację, w której firma zatwierdza ważny przelew na podstawie zmanipulowanego wideo, które wygląda jak prawdziwa zgoda prezesa. A takie sytuacje mają przecież miejsce! Firmy muszą być gotowe na takie zagrożenie. Dlatego w przypadku każdej nowej technologii należy określić ryzyko związane z jej wykorzystaniem i wdrożyć adekwatne mechanizmy kontrolne.

System kontroli wewnętrznej to filar bezpieczeństwa

Aby zagwarantować wysoki poziom jakości danych organizacje powinny wdrożyć system kontroli wewnętrznej, który zabezpiecza procesy przetwarzania informacji. Wykorzystywane mechanizmy kontrolne powinny być wielopoziomowe i dotyczyć rozwiązań organizacyjnych, procesowych oraz technologicznych w tym implementacji zabezpieczeń w logice działania systemów informatycznych, w postaci automatycznych kontroli aplikacyjnych czy kontroli manualnych. Jednak samo wdrożenie systemu zabezpieczeń to dopiero początek. Ważne jest również, aby sprawdzić, czy mechanizmy kontrolne są odpowiednio dobrane oraz działają efektywnie. Tylko w ten sposób organizacje mogą mieć pewność, że ich system kontroli wewnętrznej rzeczywiście chroni przed zagrożeniami i zapewnia integralność danych. Niezbędnym krokiem jest regularne testowanie systemów co pozwala na monitorowanie ich wydajności i odporności na awarie. W obliczu rosnących zagrożeń cybernetycznych niezbędne staje się używanie nowoczesnych technologii ochrony takich jak szyfrowanie danych czy wielopoziomowe systemy uwierzytelniania. Ciągła analiza ryzyka IT odgrywa bardzo ważną rolę w identyfikowaniu obszarów podatnych na niebezpieczeństwa i wdrażaniu rozwiązań zapobiegawczych. W tym kontekście audyt IT staje się kluczowym elementem wspierającym identyfikację ryzyka, ponieważ audytorzy cyklicznie weryfikują mechanizmy kontrolne oraz sprawdzają czy organizacja jest odpowiednio przygotowana na ewentualne awarie i zagrożenia.

Zaufanie do danych wymaga kontroli

W jaki sposób zarządzić ryzykiem wynikającym z usług czy systemów dostarczanych przez zewnętrzne podmioty? Z pomocą przychodzą tu raporty atestacyjne dostawców, realizowanych przez strony trzecie. Raporty SOCR (ang. Service Organization Controls Reports) umożliwiają ustalenie, czy mechanizmy kontrolne w sposób adekwatny i skuteczny minimalizują ryzyko istotne z punktu widzenia organizacji będącej odbiorcą usługi. Dodatkowo raporty te nie tylko ograniczają liczbę audytów zewnętrznych podmiotów korzystających z usług danego dostawcy, ale także istotnie podnoszą poziom wiarygodności danego dostawcy na całym rynku. To właśnie audytorzy IT stoją na straży jakości i bezpieczeństwa przetwarzanych danych. Czyż nie warto mieć pewności, że nasze informacje są bezpieczne? Dzięki nim zarządy firm mogą podejmować decyzje bez obaw. Audytorzy wnikliwie analizują procesy zarządzania danymi oraz sprawdzają mechanizmy ochrony. Audytor IT pełni niezastąpioną rolę w procesie oceny skuteczności systemów kontroli wewnętrznej. Jego zadaniem jest cykliczne sprawdzanie czy organizacja posiada odpowiednio zaprojektowane mechanizmy kontrolne, czy te mechanizmy działają zgodnie z założeniami oraz jakie ulepszenia można wprowadzić, aby poprawić jakość danych i bezpieczeństwo systemów. Dzięki regularnym audytom IT, firmy mogą minimalizować ryzyko błędnych decyzji, zapewniając sobie solidne podstawy do dalszego rozwoju. W ten sposób audytorzy przyczyniają się do zwiększenia efektywności i bezpieczeństwa procesów w organizacji. Od czasu pojawienia się możliwości korzystania ze sztucznej inteligencji branża audytorska staje także przed nowymi wyzwaniami. Coraz więcej audytowanych podmiotów korzysta z AI w celu automatyzacji procesów, co stawia przed audytorami nowe wyzwania. Muszą oni nie tylko weryfikować skuteczność tych technologii, ale także budować odpowiednie systemy kontroli wewnętrznej, aby zapewnić, że dane generowane przez AI są autentyczne i integralne. Odpowiednie wdrożenie AI może przynieść również duże korzyści, usprawniając pracę audytorów i umożliwiając analizę ogromnych zbiorów danych w sposób, który wcześniej był nieosiągalny.