Auditdə risk, çərçivələr və korporativ mədəniyyət
Auditor üçün risk və nəzarət mexanizmi tərəzinin iki gözü kimidir. Nəzarət mexanizmləri (Controls) sadəcə bir məqsəd üçün vardır: riski azaltmaq.
Bu münasibəti anlamaq üçün auditor bu üçlüyə baxmalıdır:
İlkin risk: Heç bir nəzarət olmasaydı, qarşılaşacağımız təhlükə.
Nəzarət riski : Qurduğumuz təhlükəsizlik sistemlərinin (məs, firewall) işləməməsi və ya xətanı gözdən qaçırması ehtimalı.
Qalıq risk: Bütün qorumalardan sonra yerdə qalan risk. Bizim işimiz bu riski rəhbərliyin “risk iştahası”na uyğun səviyyəyə salmaqdır.
Dəqiq reseptlər və ümumi çərçivələr
Auditor hər şirkətdə eyni nəzarət mexanizmini tələb edə bilməz. Burada iki yanaşma var:
Preskriptiv (dəqiq) nəzarətlər: Bunlar “nəyi və necə” edəcəyinizi nöqtə-vergülünə qədər deyən qaydalardır (məs, PCI DSS). Sanki bir yemək reseptidir, kənara çıxmaq olmaz.
Qeyri-preskriptiv (çərçivə) yanaşması: Bunlar sizə məqsədi deyir, amma yolu özünüz seçirsiniz (məs, ISO 27001 və ya COBIT). Auditor burada təşkilatın, şirkətin öz riskinə uyğun hansı yolu seçdiyini qiymətləndirir.
Nəzarət mühiti.
Siz dünyanın ən bahalı kiber-müdafiə sistemlərini qura bilərsiniz, amma əgər işçilər şifrələrini monitorun üstünə yapışdırırlarsa, o sistemlər işə yaramayacaq.
Auditor nəzarət mühitini qiymətləndirərkən bu suallara cavab axtarır:
Rəhbərliyin fəlsəfəsi: müdirlər təhlükəsizlik qaydalarına özləri əməl edirmi?
İnsan resursları: işçilər mütəmadi təlim keçirmi, yoxsa hər şey kağız üzərindədir?
Məsuliyyət: səhv edən şəxs cəzalandırılırmı, yoxsa “bizdə hər şey dost-tanışlıqla həll olunur”?
Auditorun qeydi: Əgər rəhbərlik “bizə nəsə olmaz” deyib təhlükəsizliyə barmaqarası baxırsa, texniki nəzarətlərin effektivliyi avtomatik olaraq aşağı düşür.
Yekun
Yaxşı bir İS auditoru sadəcə serverlərə baxmır, o, həm də şirkətin nəzarət mədəniyyətini hiss edir. Riski tanımaq, düzgün çərçivəni seçmək və sağlam bir nəzarət mühiti qurmaq, uğurlu auditin 3 əsas sütunudur.
