Risk əsaslı audit planlaması (Sonuncu)

By /

Risk əsaslı audit planlaması mövzusunun ikinci və son hissəsinə keçid edirik. Audit prosesinin əsas mərhələsi riskin qiymətləndirilməsidir və risklərin qiymətləndirilməsi, audit resurslarının ən çox ehtiyac duyulan sahələrə yönəldilməsi prosesidir. Bu mərhələdə auditor təşkilatın, şirkətin aktivlərini və onlara təsir edə biləcək təhlükələri müəyyən edir. Məqsəd, hansı sahələrin daha kritik olduğunu və daha tez-tez audit olunmalı olduğunu müəyyən etməkdir, proses isə, təşkilatın biznes hədəflərini anlamaq, potensial boşluqları tapmaq və bu boşluqların biznesə təsirini ölçmək. Beləliklə, risk assessment, təşkilatın qarşılaşa biləcəyi potensial risklərin müəyyən edilməsi və qiymətləndirilməsi prosesidir.

İnformasiya Sistemləri (İS) auditorunun gözü ilə Risk Qiymətləndirməsi (risk assessment) sadəcə bir hesabat deyil, təşkilatın “rəqəmsal sağlamlıq arayışı”dır. Bir auditor üçün bu proses, kodların və serverlərin arxasındakı gizli təhlükələri üzə çıxarmaq üçün həyata keçirilən bir detektiv araşdırmasına oxşayır.

Gəlin, bir İS auditorunun bu prosesi necə idarə etdiyinə nəzər salaq.

Risk qiymətləndirməsi

İS auditoru otağa daxil olanda hamı onun səhvlər axtaracağını düşünür. Lakin auditorun əsl məqsədi səhv tapmaq yox, “Nəzarət mexanizmləri (Controls) riski boğa bilirmi?” sualına cavab tapmaqdır.

1. Əvvəla, “Nəyi qoruyuruq?”

Auditor işə sistemlərin siyahısını tutmaqla başlayır. Onun üçün hər bir server, hər bir database bir “aktivdir”. Auditor özünə soruşur: “Əgər bu server yox olsa, şirkət çökərmi?”.  Burada auditorun yanaşması: “Qapının harada olduğunu bilmirsənsə, onu kilidləyə bilməzsən.” Prinsipi ilədir.

2. Təhlükə və boşluq

Auditor bu iki anlayışı heç vaxt qarışdırmaz. Təhlükə (Threat) çöldəki yağışdır (məsələn, kiber-hücumçu). Boşluq (Vulnerability) isə, damdakı deşikdir (məsələn, yenilənməmiş proqram təminatı). Auditorun işi bu ikisinin kəsişdiyi nöqtəni tapmaqdır. Əgər çöldə yağış yağırsa və damda deşik varsa, deməli, bizim “ilkin riskimiz” (inherent risk) çox yüksəkdir.

3. “Riyaziyyat, yoxsa məntiq?” (Qiymətləndirmə fazası)

Burada auditor iki metoddan birini seçir. Birinci metod, kəmiyyət: “Bu boşluq bizə 100.000 manata başa gələ bilər.” (Maliyyə hesabatı üçün). İkinci metod isə, keyfiyyət: “Bu risk ‘kritik’dir, çünki müştəri məlumatları sızsa, reputasiyamız sıfıra enər.” (Strateji qərar üçün).

Auditor bu mərhələdə risk matrisini (5×5) masanın üstünə qoyur və rəhbərliyin diqqətini “qırmızı zona”ya yönəldir.

4. Qalıq riskimiz (Residual risk): “Ələkdən nə keçdi?”

Bu, auditorlara adətən ən maraqlı hissədir. Şirkət deyir ki: “Bizim firewall-umuz var, risk yoxdur”. Auditor isə cavab verir: “Gəlin yoxlayaq”. Auditor mövcud nəzarət mexanizmlərini (məsələn, şifrələmə, backup) test edir. Nəzarət tədbirlərindən sonra yerdə qalan riskə Qalıq Risk (residual) deyilir.

Auditorun bilməsi gərəkən: Risk heç vaxt sıfır olmur. Məqsəd, riski rəhbərliyin “iştahasına”, yəni, qəbul edə biləcəyi (Risk Appetite) uyğun səviyyəyə endirməkdir.

5. Tövsiyə və hesabat.

Sonda auditor sadəcə problemləri demir, həll yollarını göstərir. “Bu deşiyi bağlamaq üçün bu yamaqdan (patch) istifadə etməlisiniz” deyərək hesabatını tamamlayır. Onun hesabatı rəhbərlik üçün bir növ “sığorta siyasəti” kimidir.

Nəticə etibarilə, İS auditoru üçün risk qiymətləndirməsi gələcəyi görmək cəhdidir. O, rəqəmləri və təcrübəni birləşdirərək şirkətin rəqəmsal gəmisinin su almaması üçün kapitanı (rəhbərliyi) vaxtında xəbərdar edir.

Risk Qiymətləndirmə Texnikaları

Hər bir audit yoxlaması bir “Audit Kainatı”ndan başlayır. Auditor bütün sistemləri yoxlaya bilməyəcəyi üçün bu texnikalardan istifadə edərək ən “yaralı” yerləri tapır.

1. Keyfiyyət Texnikası (Qualitative):

Bu, İS auditində ən çox istifadə olunan metoddur. Auditor rəqəmlərlə başını yormur, bunun əvəzinə Risk Matrisi (Heat Map) hazırlayır. Necə işləyir? Auditor hadisəni “yüksək”, “orta” və ya “aşağı” risk kateqoriyalarına bölür. Məsələn, “Ehtiyat nüsxələrin (Backup) olmaması” o an “kritik” zonaya düşür. Bəs bu üsul niyə seçilir? Çox sürətlidir və mürəkkəb riyazi hesablamalar tələb etmir.

2. Kəmiyyət Texnikası (Quantitative):

Əgər rəhbərlik “Bunun bizə ziyanı nədir?” deyə soruşursa, auditor bu texnikaya keçir. Burada hər şey rəqəmsallaşır. Bu necə işləyir? Auditor ALE (İllik gözlənilən itki) düsturunu tətbiq edir. Məsələn, bir kiber-hücumun ehtimalı ildə 10%, itki isə 100000 manatdırsa, illik risk 10000 manatdır. Bəs, bu üsul niyə seçilir? Çünki, büdcə tələb edəndə və investisiya qərarları verəndə ən tutarlı sübutdur.

3. Yarı-kəmiyyət texnikası (Semi-quantitative):

Bəzən nə təmiz hiss, nə də dəqiq rəqəm kifayət etmir. Bu zaman auditor hər bir riskə 1-dən 10-a qədər bal verir. Bu necə işləyir? Məsələn, “Giriş nəzarəti” riskinə 8 bal, “Sənədləşmə” riskinə 3 bal verir. Ballar toplandıqda ən çox bal yığan sahə birinci audit olunur.

Auditorun “üçlük” düsturu

İS auditoru bu texnikaları tətbiq edərkən üç növ riski analiz edir:

  1. İlkin risk (Inherent risk): Heç bir qorunma olmasaydı, nə baş verərdi?
  2. Nəzarət riski (Control risk): Mövcud qorunma sistemləri (Firewall, antivirus) işləməsə nə olar?
  3. Qalıq risk (Residual risk): Bütün qorunmalardan sonra hələ də açıq qalan təhlükə nədir?

Nəticə olaraq: Yaxşı bir auditor “keyfiyyət” texnikası ilə ümumi mənzərəni görür, “kəmiyyət” texnikası ilə rəhbərliyi razı salır və sonda diqqətini “Qalıq risk”ləri azaltmağa yönəldir.

Risk Analizi

Təsəvvür edin ki, əlinizdə bir siyahı var: “Server otağında yanğın çıxa bilər”. Bu, sadəcə bir ehtimaldır. Amma auditor risk analizi mərhələsinə keçəndə, o, suallar verməyə başlayır: “Yanğın çıxsa, bizə nə qədər ziyan dəyər? Bu yanğının baş vermə şansı nə qədərdir?”

1.      Qərarvermə

Bütün rəqəmlər toplandı, matrislər rəngləndi. İndi isə auditorun ən məsuliyyətli anı gəlib çatdı: Bu məlumatlarla nə edirik? Risk analizi sadəcə hesablama deyil, o, “hansı yanğını birinci söndürməliyik?” sualına cavab tapan bir süzgəcdir.

2.      Niyə analiz edirik? (Prioritetləşdirmə)

Əlimizdə 50 dənə risk ola bilər. Hər bir şirkətin pulu və vaxtı məhduddur. Auditorun bütün riskləri eyni vaxtda həll etməsi qeyri-mümkündür. Risk analizi bizə “Hansı yanğın daha böyükdür?” sualına cavab verir. Analiz sayəsində biz resurslarımızı ən kiçik risklərə yox, gəmini batıra biləcək ən böyük risklərə yönəldirik.

–  “Qırmızı” və ya “Yüksək ALE” ballı risklər: Bunlar şirkəti batıra biləcək risklərdir. Bütün resurslar bura yönəlir.

– “Yaşıl” zonadakı risklər: Bunlar “olsa yaxşı olar” tipli risklərdir. Auditor bunları növbəti ilə saxlayır.

3.      Resursların Bölüşdürülməsi: Cost-Benefit Analizi

Analiz bizə göstərir ki, hər riskə eyni dərəcədə pul xərcləmək axmaqlıqdır.

  • Məsələn, kəmiyyət analizi bizə dedi ki, bir riskin illik dəyəri 5.000 manatdır. Əgər bu riski bağlamaq üçün 20.000 manatlıq sistem lazımdırsa, auditor burada “Riski qəbul etmək” qərarını təklif edə bilər. Çünki dərdi dərmanından baha başa gəlir.

4.      Auditorun nəticəsi

Analizin sonunda auditorun əlində sadəcə bir “qorxu siyahısı” deyil, bir “Yol xəritəsi” olur. O bilir ki, hansı qapını birinci kilidləmək lazımdır, hansına isə hələlik bir az gözləmək olar. Auditor rəhbərliyin qarşısına sadəcə rəqəmlərlə yox, bir icra planı ilə çıxır:

“Cənab direktor, analizlərimiz göstərir ki, növbəti 3 ayda bütün gücümüzü ‘Məlumat sızıntısı’ riskinə verməliyik, ‘İnternetin sürəti’ riski isə hələlik gözləyə bilər.”

Nəticə: Beləliklə, analiz mərhələsi “məlumatsızlıq dumanı”nı dağıdır və rəhbərliyə hara investisiya edəcəyini dəqiq göstərir.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top