İnformasiya Sistemləri auditi olaraq, minlərlə server, yüzlərlə sistem və məhdud vaxt/büdcəli bir mühitdə bunların hamısını necə yoxlayacağıq?
Ənənəvi auditlə müasir İnformasiya Sistemləri auditi fərqləndirən əsas amil məhz “Riskə Əsaslanan Yanaşma”dır.
Və bu mövzuda da, bu gün auditin qızıl qaydasından danışacam:
1.3 Risk-Based Audit Planning (yəni, Riskə Əsaslanan Audit Planlaması).
Təsəvvür edin, böyük bir şirkətdə işləyirsiniz. Hər bir fərdi kompüteri, hər bir kiçik proqramı yoxlamağa nə vaxt, nə də resurs çatar. Bəs auditor hara baxmalı olduğunu necə seçir? Təbii ki, risk hardadırsa, auditor öncə ora yönələcəkdir!
Gəlin bu planlamanın iki vacib komponentinə baxaq:
1.3.1 Fərdi Audit ttapşırıqlarının planlaşdırılması (Individual Audit Assignments)
Hər hansı bir konkret auditi (məsələn, “mobil bankinq tətbiqinin auditi”) planlaşdırarkən kor-koranə işə başlaya bilmərik. Əvvəlcə etməli olduğumuz bir neçə xüsus var.
İlk olaraq, biznesi anlamalıyıq. Bu sistem biznes üçün niyə vacibdir? Olmasa və ya dayansa nə qədər pul itirərik? Ardınca, riskləri müəyyən etməliyik. Ən böyük təhlükələr nələrdir? Haker hücumu, daxili sızıntı, yoxsa sistem çökməsi? Sonra əhatə dairəsini və məqsədləri müəyyən etməliyik. Nəyi yoxlayacağıq və nəyi YOX? Çərçivələri cızmaq ən vacib addımdır. Son olaraq da, resursların bölgüsü. Yəni, bu iş üçün bizə hansı texniki biliklərə sahib auditorlar lazımdır?
1.3.2 Qanun və qaydaların İT Auditə təsiri (Effect of laws and regulations)
Ok, biznes öz daxili risklərini hesabladı, bəs dövlət nə deyir? İT auditi qapalı bir qutuda aparılmır. Qanunlar bizim audit planımızı birbaşa formalaşdırır. Məsələn, Mərkəzi Bankın və ya Fərdi Məlumatların Qorunması haqqında qanunun tələbləri. Əgər qanun deyirsə ki, “İstifadəçi logları 1 il saxlanılmalıdır”, auditor artıq məcburdur ki, sistemin bunu edib-etmədiyini yoxlasın. Qaydalara tabe olmamaq (Non-compliance) ən böyük risklərdən biridir, çünki bu, şirkətə nəinki maliyyə cərimələri, hətta fəaliyyətinin dayandırılması bahasına başa gələ bilər! Qanuni tələblər bir çox halda auditin minimum əhatə dairəsini cızır.