İnformasiya sistemləriniz saat kimi işləyirsə, bəs, bu sistemləri audit etmək nəyə gərək?
Bəli, saat dəqiq vaxt göstərir, ancaq düzgün qurulmayıbsa, yanlış saat qurşağında işləyər.
İnformasiya sistemlərinin (İS) auditi, qurulan saatın biznesin marağı, strategiyası yönündə olub-olmadığına baxmaq üçündür. Biznesin marağı Bakı vaxtıdırsa, qurulan saat hər nə qədər dəqiq işləsə də, əgər Moskva saatı ilə gedirsə, buradaki uyğunsuzluğu müəyyən etmək və strategiyaya uyğun nizamlanması tövsiyəsini vermək üçün gərəklidir.
Daha yaxından ifadə etsək, informasiya sistemləri texniki cəhətdən işləsə belə, risk menecmenti, uyğunluq və effektivlik baxımından boşluqlar daşıya bilər. Audit məhz bu “gizli problemləri” aşkar edir – sistemlərinizin təkcə işləməsini yox, düzgün məqsədlə, düzgün qaydada və düzgün qorunma ilə işləməsini təmin edir. Çünki bəzən görünən mənzərə aldadıcı ola bilir, unudulmuş kiçik bir “default” şifrə böyük data oğurluğuna səbəb ola bilər, kiçik bir hücum bütün əməliyyatları, prosesləri günlərlə iflic edə bilər.
Auditin buradaki məqsədi səhv tutmaq deyil, biznesi, qurumu, təşkilatı bütün bu fəlakətlərdən qoruyan xəbərdarlıq sistemidir.
Bəs, bu riskləri necə yoxlayırıq? Bunun bir neçə üsulu var.
Burada ilk olaraq Nəzarətin Özünüqiymətləndirməsi (Control Self-Assessment – CSA) dövrəyə girir.
CSA, əməkdaşların öz iş proseslərindəki riskləri və nəzarət mexanizmlərini (controls) kənar bir auditor gəlmədən, özlərinin dəyərləndirməsidir. Məqsəd riskləri yerində və erkən aşkarlamaq, eyni zamanda işçilərdə “bu proses mənim məsuliyyətimdədir” (ownership) hissini yaratmaqdır.
Bunun bir neçə üstünlüyü var, əvvəla vaxt və xərcə qənaətdir. Ənənəvi auditlə müqayisədə daha az resurs tələb edir. İkinci olaraq, risk mədəniyyətidir. Şirkət daxilində risklər barədə məlumatlılığı artırır və şəffaf iş mühiti formalaşdırır.
Əlbəttə, üstünlüyü olduğu kimi, çatışmazlıqları da var. İlk olaraq, obyektivliyin itirilməsi. Gəlin etiraf edək, heç kim öz işindəki səhvi asanlıqla qabartmaq istəməz. İkinci olaraq isə, bilik-bacarıq əskikliyidir. İşçilər texniki audit bilikləri kifayət etmədiyi üçün bəzi kritik riskləri gözden qaçıra bilərlər.
Bəs CSA prosesində IS Auditor-un rolu nədir?
Auditor bu prosesdə “polis” deyil, fasilitatordur (yəni, yönləndirici). O, komandalara yoxlamanı düzgün qurmağa kömək edir, nəticələri analiz edir və rəhbərliyə yekun rəy verir.