Auditdə risk, çərçivələr və korporativ mədəniyyət


​​Auditor üçün risk və nəzarət mexanizmi tərəzinin iki gözü kimidir. Nəzarət mexanizmləri (Controls) sadəcə bir məqsəd üçün vardır: riski azaltmaq.
​Bu münasibəti anlamaq üçün auditor bu üçlüyə baxmalıdır:


​İlkin risk: Heç bir nəzarət olmasaydı, qarşılaşacağımız təhlükə.
​Nəzarət riski : Qurduğumuz təhlükəsizlik sistemlərinin (məs, firewall) işləməməsi və ya xətanı gözdən qaçırması ehtimalı.
​Qalıq risk: Bütün qorumalardan sonra yerdə qalan risk. Bizim işimiz bu riski rəhbərliyin “risk iştahası”na uyğun səviyyəyə salmaqdır.

​Dəqiq reseptlər və ümumi çərçivələr

​Auditor hər şirkətdə eyni nəzarət mexanizmini tələb edə bilməz. Burada iki yanaşma var:
​Preskriptiv (dəqiq) nəzarətlər: Bunlar “nəyi və necə” edəcəyinizi nöqtə-vergülünə qədər deyən qaydalardır (məs, PCI DSS). Sanki bir yemək reseptidir, kənara çıxmaq olmaz.
​Qeyri-preskriptiv (çərçivə) yanaşması: Bunlar sizə məqsədi deyir, amma yolu özünüz seçirsiniz (məs, ISO 27001 və ya COBIT). Auditor burada təşkilatın, şirkətin öz riskinə uyğun hansı yolu seçdiyini qiymətləndirir.

Nəzarət mühiti.

​Siz dünyanın ən bahalı kiber-müdafiə sistemlərini qura bilərsiniz, amma əgər işçilər şifrələrini monitorun üstünə yapışdırırlarsa, o sistemlər işə yaramayacaq.
​Auditor nəzarət mühitini qiymətləndirərkən bu suallara cavab axtarır:
​Rəhbərliyin fəlsəfəsi: müdirlər təhlükəsizlik qaydalarına özləri əməl edirmi?
​İnsan resursları: işçilər mütəmadi təlim keçirmi, yoxsa hər şey kağız üzərindədir?
​Məsuliyyət: səhv edən şəxs cəzalandırılırmı, yoxsa “bizdə hər şey dost-tanışlıqla həll olunur”?
​Auditorun qeydi: Əgər rəhbərlik “bizə nəsə olmaz” deyib təhlükəsizliyə barmaqarası baxırsa, texniki nəzarətlərin effektivliyi avtomatik olaraq aşağı düşür.

Yekun

​Yaxşı bir İS auditoru sadəcə serverlərə baxmır, o, həm də şirkətin nəzarət mədəniyyətini hiss edir. Riski tanımaq, düzgün çərçivəni seçmək və sağlam bir nəzarət mühiti qurmaq, uğurlu auditin 3 əsas sütunudur.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top