Risk qiymətləndirməsi bizə “hansı yanğının daha böyük olduğunu” göstərdi. İndi isə həmin yanğınların qarşısını alacaq “yanğınsöndürmə sistemləri”, yəni Nəzarət Mexanizmləri (Controls) və onların informasiya haqqında danışmağın vaxtıdır.
Riskləri müəyyən etdikdən sonra hər bir rəhbərliyin verdiyi ilk sual adətən bu olur: “Bunu necə dayandıraq?” İS auditoru üçün cavab sadədir: Effektiv nəzarət mexanizmləri qurmaqla. Gəlin, bu “qalxanların” anatomiyasına birlikdə baxaq və onların informasiya ilə necə əlaqəli olduğunu öyrənək.
1. DAXİLİ NƏZARƏT (INTERNAL CONTROLS) NƏDİR?
Daxili nəzarət — təşkilatın öz hədəflərinə çatması, aktivlərini qoruması və qanunlara uyğun fəaliyyət göstərməsi üçün tətbiq etdiyi qaydalar və proseslər bütünüdür. Bunu şirkətin immun sistemi kimi təsəvvür edin: o, kənar mikrobları (təhlükələri) tanımalı və onları zərərsizləşdirməlidir.
2. NƏZARƏT MƏQSƏDLƏRİ VƏ NƏZARƏT TƏDBİRLƏRİ
Auditor bu iki anlayışı həmişə fərqləndirir:
- Nəzarət məqsədi (Control objective): Nəyə nail olmaq istəyirik? (Məsələn: “Məlumatların gizliliyini qorumaq”).
- Nəzarət tədbiri (Control measure): Bunu necə edirik? (Məsələn: “Şifrələmə (Encryption) tətbiq etməklə”).
İS Nəzarət məqsədləri (IS Control Objectives)
İS auditoru üçün əsas məqsəd məşhur CIA triadını təmin etməkdir. CIA triadı 3 hissədən ibarətdir:
- Məxfiik (Confidentiality): Məlumatı yalnız icazəsi olanlar görsün.
- Bütövlük (Integrity): Məlumat icazəsiz dəyişdirilməsin.
- Əlçatanlıq (Availability): Lazım olanda sistem işlək olsun.
3. NƏZARƏT ÜSULLARININ BÖLÜNMƏSİ
İS mühitində nəzarət mexanizmləri üç əsas səviyyəyə bölünür:
A. Ümumi Nəzarət Metodları (General IT Controls – GITC)
Bu, bütün İT infrastrukturunu əhatə edən “təməl” nəzarətlərdir. Məsələn, data mərkəzinin fiziki mühafizəsi, şifrə siyasəti, sistem dəyişikliklərinin idarə olunması. Əgər ümumi nəzarət zəifdirsə, tək-tək proqramların yaxşı işləməsinin mənası yoxdur.
B. İS-ə Spesifik Nəzarətlər (IS-Specific Controls)
Konkret texnoloji sahələrə yönəlmiş nəzarətlərdir. Məsələn, şəbəkə firewall-ları, antiviruslar, məlumatların ehtiyat nüsxələnməsi (backup).
C. Biznes Prosesləri və Tətbiqi Nəzarətlər (Application Controls)
Bu nəzarətlər birbaşa proqram təminatının (məsələn, mühasibatlıq proqramı) daxilinə yerləşdirilir. Məsələn, bir bank proqramında balansdan artıq pul çıxarmağa icazə verilməməsi (“Edit check”).
4. NƏZARƏT MEXANİZMLƏRİNİN TƏSNİFATI (Classifications)
Bu, İS auditorunun ən çox istifadə etdiyi hissədir. Nəzarətlər funksiyasına görə 3 yerə bölünür:
| Növü | Məqsədi | Nümunə |
| Qabaqlayıcı (Preventive) | Hadisə baş vermədən onu dayandırır. | Qapıdakı qıfıl, mürəkkəb şifrələr. |
| Aşkaredici (Detective) | Hadisə baş verdikdən sonra onu tapır. | Təhlükəsizlik kameraları, loq (log) faylların yoxlanılması. |
| Düzəldici (Corrective) | Hadisənin təsirini aradan qaldırır. | Ehtiyat nüsxədən (backup) bərpa etmək, virusun təmizlənməsi. |
Yekun olaraq: İS auditoru olaraq bizim işimiz sadəcə “Nəzarət varmı?” sualına cavab tapmaq deyil, həm də həmin nəzarətin effektiv (məqsədə çatırmı?) və səmərəli (xərci riskdən azdırmı?) olduğunu sübut etməkdir.