IT audit

IT-audit on protsess, mille käigus kogutakse ja hinnatakse tõendusmaterjali organisatsiooni infosüsteemi, praktikate ja operatsioonide kohta. Selle tulemusel määratakse, kas infosüsteemid kaitsevad varasid, andmete terviklikkust ning kas nad toimivad tõhusalt ja aitavad saavutada organisatsiooni eesmärke. Efektiivne infosüsteem tagab, et ettevõte saavutab oma eesmärgid ning tõhus infosüsteem kasutab minimaalselt ressursse nende eesmärkide saavutamiseks. IT-audit keskendub riskide tuvastamisele ja kontrollide hindamisele, mis neid riske maandaks. Kontrollide kohaldamisel on võimalik riske vähendada, kuid mitte täielikult maandada.

IT-süsteemid integreeruvad järjest rohkem äriprotsessidega ja seega ka finantsinformatsiooniga seotud kontrollidega. See sunnib ettevõtteid pöörama rohkem tähelepanu IT-süsteemide kontrollimisele, et tagada äriprotsesside töökindlus.^[1]

Infotehnoloogia laialdane rakendamine ettevõtete ja asutuste informatsiooni töötlemisel on märkimisväärselt muutnud auditi sooritamisele esitatavaid nõudmisi. Kuigi üldpõhimõtted ei ole muutunud, tuleb lisaks traditsioonilise audiitorkontrolli läbiviimisele anda hinnang ka kasutatava infosüsteemi usaldusväärsuse ja turvalisuse kohta, kaasa arvatud selle seostele automatiseerimata protsessidega ja organisatsioonilise struktuuriga. Selliseks tööks on tarvis laialdasi infotehnoloogia alaseid teadmisi ja kogemusi, kuid samas ka arusaamist üldistest auditi sooritamise põhimõtetest. Auditiplaan ei tohiks olla jäik ja muutumatu. Olude muutudes või ootamatute tulemuste ilmnedes auditi läbiviimisel tuleb esialgset plaani korrigeerida. ^[2]

IT-kontrolli tüübid[muuda | muuda lähteteksti]

IT-kontrollid võib jagada kahte suurde rühma^[3]:

Üldised kontrollid. IT-keskkonda läbivad, kuid ei ole seotud konkreetselt ühegi äriprotsessiga. Näiteks võrgutoimingute, tarkvara ja rakendussüsteemide ostmise, muutmise ja hooldamisega, kasutajaõiguste haldusega jms seotud kontrollid.

Rakendustega seotud kontrollid. Rakendused on seotud konkreetsete protsessidega, näiteks müük, ost, tööjõukulud. Aitavad tagada tehingute protsessimise käigus andmete täpsuse ja terviklikkuse, autoriseerimise ja valideerimise. Näiteks võimaldab raamatupidamisprogramm sisestada sama numbriga ostuarve vaid üks kord.

IT-auditi tüübid[muuda | muuda lähteteksti]

IT-auditeid võib jaotada järgmiselt ^[4]:

Süsteemid ja rakendused. Auditi eesmärk on välja selgitada, kas süsteemid ja rakendused on sobivad, efektiivsed ning kas on võimalik kontrollida sisendite tõesust, usaldatavust, ajakohasust ja turvalisust, töötlemist ja väljundeid kõigilt tasemetelt.

Informatsiooni töötlemise vahendid. Auditi eesmärk on saada kinnitust, et rakendused töötaksid normaalolukorras ning ka võimaliku segamise puhul vastavalt ajale, sobivusele ja efektiivsusele.

Süsteemide arendamine. Auditi eesmärk on saada kinnitust, et arendamises olevad süsteemid vastavad ettevõtte eesmärkidele ning et süsteeme arendatakse vastavalt üldiselt tunnustatud standarditele.

IT haldamine ja ettevõtte arhitektuur. Auditi eesmärk on saada kinnitust, et IT haldamine on arendanud organisatsiooni struktuuri ja protseduure nii, et need toetaksid kontrollitud ja efektiivset informatsiooni töötlemise keskkonda.

Klient/server, sisevõrk (ingl. k. Intranet), välisvõrk (ingl. k. Extranet). Auditi eesmärk on saada kinnitust, et andmete liiklus võrgus on turvaline ja kontrollitav.

IT-auditi protseduur[muuda | muuda lähteteksti]

Et IT-audit võimalikult hästi läbi viia, on vaja läbida kolm etappi ^[5]:

Saavutada arusaamine ettevõttest ja tema keskkonnast. See võimaldab määrata, millised riskid ohustavad ettevõtte IT-keskkonda.

Riskide identifitseerimine. Riskid muutuvad ajas paljude tegurite mõjul, näiteks uued töötajad, muudatused infosüsteemides, muudatused ettevõtte struktuuris, uued seadused, ettevõtte kiire kasv jne.
Hinnang sellele, kuidas ettevõte maandab neid riske. Kui ettevõtte sisekontrollid on nõrgad ja ei maanda riske, peab audiitor tegema sellevõrra rohkem protseduure.

Kõige rohkem kasutust leidvad kontrolli kontseptsioonid, mis on relevantsed ka IT-auditite puhul ^[6]:

Ennetav või tuvastav. Ennetav kontroll takistab mingi sündmuse toimumist. Näiteks kinnitused, kohustuste lahusus ja paroolid. Tuvastav kontroll avastab sündmuse toimumise tagantjärele. Näiteks igasugused võrdlused ja veaaruanded. Ennetav kontroll on üldiselt parem.

Suunav. Põhjustab soovitud sündmuse toimumist. Näiteks juhendid, koolitusprogrammid.

Kompenseeriv. Kui esmalt toimiv kontroll siiski ei toimi või ei ole selle kasutamine kuluefektiivne, siis võiks paigas olla ka kompenseeriv kontroll. Näiteks kui tiim on liiga väike, et kohustuste lahusust saaks rakendada, võib hea järelevalve aidata seda kompenseerida.

Manuaalne või automatiseeritud. Manuaalne kontroll eeldab inimese osalust ja seal on alati vea tekkimise risk, kas tahtlik või tahtmatu. Automaatsed kontrollid on ehitatud infosüsteemi sisse ning on seega usaldusväärsemad. Näiteks on automaatne võrdlus efektiivsem kui käsitsi tehtav.

Ettevõtte, tegevuse või tehingu tasand. Ettevõtte tasandi kontrollid toimivad kogu ettevõtte tasandil. Näiteks personaliosakonna juhendid, aga ka juhtkonna üldised põhimõtted ettevõtte juhtimisel, mis mõjutavad ka sisekontrollikeskkonda. Tegevuspõhised kontrollid toimivad kogu tegevuse ulatuses (nt valdkond, protsess, programm), mis on auditi subjektiks. Tehingutasandi kontrollid toimivad tehingu protsessimise protsessis, näiteks kinnitamised, kohustuste lahusus ja erandite raportid.

Lisaks infotehnoloogilistele teadmistele peab IT-audiitor omama ka tugevaid “pehmeid” oskusi, mis laias laastus tähendab oskust tõlkida n-ö nohikute keelt ümber ärikeelde. IT-audiitor peab suutma anda IT-teemade sisu edasi mittetehnika inimestele nii, et nad saavad situatsiooni olulisusest ning sellega seoses tehtud ettepanekutest aru. Samal ajal peab IT-audiitor aga suutma rääkida ka väga tehnilistel teemadel, kui ta intervjueerib süsteemiadministraatoreid, süsteemiarhitekte ja muud IT-personali. ^[7]

IT-auditite metoodikad[muuda | muuda lähteteksti]

Üldkasutatavaid ja üldiselt tunnustatud IT-auditite läbiviimise metoodikaid on vähe. Selle valdkonna vaieldamatu liider on ISACA7 koostatud CobIT-i metoodika, millele ka enamus teisi meetodeid kas otseselt või kaudselt viitavad. Kuna tegemist on niivõrd tunnustatud standardiga, ei ole teised organisatsioonid hakanud ratast uuesti leiutama ning tavaliselt viidatakse, et selle või teise punkti puhul soovitatakse tutvuda CobiT-ga. CobIT saavutab üha laiemat tuntust IT-kontrolleesmärkide ja IT-auditi vallas ning seda metoodikat leiab üha rohkemate ettevõtete auditi juhenditest.^[4]

Tuntud on ka GAIT-i metoodika, kuna see on loodud IIA (Institute of Internal Auditors) poolt ning mõeldud IT-auditites kasutamiseks ning selle loomisel on teadmisi ja kogemusi jaganud paljud suured ja tuntud ettevõtted. ^[4]

GAIT-i metoodika on rohkem suunatud sellele, milliseid küsimusi esitada, et riske identifitseerida. CobiT pakub välja sisekontrolle. Seega võiks neid kahte metoodikat koos kasutada. ^[4]

Ülejäänud meetodid keskenduvad pigem mingile konkreetsele valdkonnale – rohkem metoodikaid on välja pakutud turvalisusega seotud teemadel.^[4]

CISA serfitikaat[muuda | muuda lähteteksti]

CISA (Certified Information Systems Auditor) sertifikaat on üks tuntumaid ja ihaldatumaid sertifikaate ning tõestab, et selle omanik on omandatud teadmised ja oskused ettevõtte infosüsteemi nõrkuste, infosüsteemi talitluspidevusplaanide ning IT-juhtimise hindamiseks. ^[8]

CISA sertifikaati annab välja ISACA organisatsioon (ISACA – Information Systems Audit and Control Association). Tegemist on globaalse standardiga professionaalidele, kes tegutsevad infosüsteemide valdkonnas, eriti auditeerimise, kontrolli ja turvalisuse alal. ^[9]

ISACA (2016) järgi on nõuded sertifikaadi saamiseks viis aastat töökogemust infosüsteemide audiitorina. Kolm aastat infosüsteemide auditeerimise töökogemust saab asendada järgnevalt ^[8]:

Bakalaureusekraad ISACA poolt sponsoreeritud õppekavaga võrdub ühe aasta infosüsteemide auditeerimise töökogemusega
Magistrikraad võrdub ühe aasta infosüsteemide auditeerimise töökogemusega
Kaks aastat täiskohaga töötades ülikooli õppejõuna seotud valdkonnas võrdub ühe aasta infosüsteemide auditeerimise töökogemusega
Infosüsteemidega töötamise kogemus või mitte IT-auditeerimise kogemus võrdub maksimaalselt ühe aasta infosüsteemide auditeerimise töökogemusega.

Pärast sertifikaadi saamist tuleb seda ka hoida. See kindlustab, et sertifikaadi saaja ka peale sertifikaadi omandamist hoiab ennast kehtivate teadmistega kursis läbi ISACA poolt kehtestatud CPE (continuing professional education) tundide poliitika. ^[8]

IT-auditi tulevikutrendid[muuda | muuda lähteteksti]

Ükskõik, kui palju ettevõtted keskenduvad küberturvalisusele ja oma andmete kaitsmisele, on nad ikkagi ajast maas, võttes arvesse muutuvat keskkonda ja küberkurjategijate teadmiste kasvavat taset. Samuti kasvab pidevalt regulatsioonide hulk (nagu näiteks GDPR) ning pideva digitaliseerimisega kaasaliikumise tõttu võivad tekkida ajutised tõrked infosüsteemide toimimises. Mida rohkem tegelevad ettevõtted uute tehnoloogiatega, nagu RPA, AI ja masinõpe, seda rohkem fokuseeritud on IT-auditi funktsioonid riskidele, mis on seotud andmete kogumise, protsessimise ja raporteerimisega. ^[10]

USAs 2019. aastal tehtud uuringu põhjal on kõikides sektorites puudus kvalifitseeritud IT-auditi oskustega töötajatest. Osalenud ettevõtetest müügituluga vahemikus 100 miljonit – 1 miljard USA dollarit vastas peaaegu kolmandik (32%), et nad ei ole võimelised täitma kõiki IT-auditi plaani osi oskuste puuduse tõttu. Viis nõutuimat oskust on ^[10]

asjatundlikkus arenenud tehnoloogiate osas (44%)
kriitiline mõtlemine (32%)
andmeanalüüs (27%)
agiilsed meetodid (20%)
kommunikatsioonioskused (17%)

Viited[muuda | muuda lähteteksti]

↑ Deloitte (2018). "General IT Controls (GITC) Risk and Impact" (PDF). Originaali (PDF) arhiivikoopia seisuga 12.11.2020. Vaadatud 29.11.2020.
↑ Eesti Infosüsteemide Audiitorite Ühing. "Mis on infotehnoloogia audit?". Vaadatud 29.11.2020.
↑ Aasmund E., William F.M., Jr. (2010). Auditing & assurance services.{{raamatuviide}}: CS1 hooldus: mitu nime: autorite loend (link)
↑ ^4,0 ^4,1 ^4,2 ^4,3 ^4,4 Visnapuu, M. (2008). IT auditi metoodikatest tulenevad soovitused IT juhtidele. Magistritöö. Tallinna Ülikool, Informaatika instituut.
↑ Gibbs, N., Divakar, J. (2015). A New Auditor's Guide to Planning, Performing, and Presenting IT Audits.{{raamatuviide}}: CS1 hooldus: mitu nime: autorite loend (link)
↑ Sawyer, L.B. (2012, 6th edition). Sawyer's guide for internal auditing : a comprehensive research manual. {{raamatuviide}}: kontrolli kuupäeva väärtust: |aasta= (juhend)
↑ IIA Magazine. "So You Want to Be an IT Auditor?" (PDF). Vaadatud 13.12.2020.^{[alaline kõdulink]}
↑ ^8,0 ^8,1 ^8,2 Seegel, L. (2016). IT Auditite korralduse uuring erinevate suurustega ettevõtetes. Lõputöö. Eesti Ettevõtluskõrgkool Mainor, Infotehnoloogia õppetool.
↑ Investopedia. "Certified Information Systems Auditor (CISA)". Vaadatud 29.11.2020.
↑ ^10,0 ^10,1 IA360 Staff Magazine (2019). "Survey Identifies Top Tech Challenges for IT Auditors". Vaadatud 29.11.2020.

[1] Deloitte (2018). "General IT Controls (GITC) Risk and Impact" (PDF). Originaali (PDF) arhiivikoopia seisuga 12.11.2020. Vaadatud 29.11.2020.

[2] Eesti Infosüsteemide Audiitorite Ühing. "Mis on infotehnoloogia audit?". Vaadatud 29.11.2020.

[3] Aasmund E., William F.M., Jr. (2010). Auditing & assurance services.{{raamatuviide}}: CS1 hooldus: mitu nime: autorite loend (link)

[:0-4] 4,0 ^4,1 ^4,2 ^4,3 ^4,4 Visnapuu, M. (2008). IT auditi metoodikatest tulenevad soovitused IT juhtidele. Magistritöö. Tallinna Ülikool, Informaatika instituut.

[5] Gibbs, N., Divakar, J. (2015). A New Auditor's Guide to Planning, Performing, and Presenting IT Audits.{{raamatuviide}}: CS1 hooldus: mitu nime: autorite loend (link)

[6] Sawyer, L.B. (2012, 6th edition). Sawyer's guide for internal auditing : a comprehensive research manual. {{raamatuviide}}: kontrolli kuupäeva väärtust: |aasta= (juhend)

[7] IIA Magazine. "So You Want to Be an IT Auditor?" (PDF). Vaadatud 13.12.2020.^{[alaline kõdulink]}

[:1-8] 8,0 ^8,1 ^8,2 Seegel, L. (2016). IT Auditite korralduse uuring erinevate suurustega ettevõtetes. Lõputöö. Eesti Ettevõtluskõrgkool Mainor, Infotehnoloogia õppetool.

[9] Investopedia. "Certified Information Systems Auditor (CISA)". Vaadatud 29.11.2020.

[:2-10] 10,0 ^10,1 IA360 Staff Magazine (2019). "Survey Identifies Top Tech Challenges for IT Auditors". Vaadatud 29.11.2020.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]