Risk reyestr nədir?
Risk reyestr əsasən audit, idarəetmə və risklərin idarə edilməsi sahəsində istifadə olunan əsas sənəddir. Qısa izah edəsi olsaq, risk reyestri bir təşkilatın müəyyən etdiyi bütün riskləri, onların xüsusiyyətlərini, qiymətləndirilməsini və cavab tədbirlərini bir yerdə toplayıb sənədləşdirən canlı bir sənəd və ya bazadır. Sadə dillə desək, “nə yanlış gedə bilər, nə qədər ciddi olar, biz nə edəcəyik?” suallarına cavab verən struktur siyahıdır.
Niyə gərəklidir?
Risk reyestrinin var olmasının bir neçə səbəbi var. Belə ki, riskləri ağızdan-ağıza izləmək mümkün olmur. Xüsusilə böyük bir təşkilatlarda yüzlərlə risk var, texniki, maliyyə, insan, tənzimləyici və s. Risk reyestr bu dağınıqlığı nizama salır, görünürlük yaradır, cavabdehliyi müəyyən edir, yəni bu riskdən kim məsuldur bunu müəyyən edir, bundan başqa, qərar qəbulunu asanlaşdırır. Auditorlar üçün isə bu sənəd mövcud nəzarət mexanizmlərinin nə qədər kifayət etdiyini anlamağın başlanğıc nöqtəsidir. Hazırladığım diaqramda tipik bir risk reyestrinin ehtiva etdiyi elementlər var.
Bəs yaxşı, İnformasiya Sistemləri auditi kontekstində bu reyestr nə üçün vacibdir?
İS auditi zamanı auditor risk reyestrindən iki məqsədlə istifadə edir:
- Risk əsaslı planlama (əvvəlki postda yazdığım): hansı sahələrin daha dərin yoxlanılması lazım olduğunu müəyyən etmək üçün. Yüksək dərəcəli risklər auditor diqqətini oraya çəkir.
- Nəzarətlərin effektivliyini qiymətləndirmək — reyestrdə qeyd olunan nəzarətlər faktiki olaraq mövcuddurmu, işləyirmi? Bu, COBIT 2019, ISO 27001 kimi standartlarla tutuşdurulur.
Bu reyestr statik yox, canlı sənəddir. Yəni bir dəfə yazılıb saxlanılan şey deyil, mühit dəyişdikcə (yeni texnologiya, yeni təhdid, yeni qanunvericilik və s.), o da yenilənməlidir.