Mis on infotehnoloogia audit?
Infotehnoloogia audit ehk infosüsteemide audit on infotehnoloogilise infrastruktuuri (IT) kontrollimehhanismide kvaliteedi kontrollimine. Kontrolli võib teha koos finantsauditi, siseauditi ja muude kontrollidega. Varem elektroonilise andmetöötluse (EDP) auditiks nimetatud IT audit on organisatsiooni infosüsteemide, nendega seotud tegevuste ja toimingute kohta tõendite kogumine ja nende hindamine. Kogutud tõendite hindamisega tehakse kindlaks, kas infosüsteemid kaitsevad nõuetekohaselt infovarasid, kas on tagatud andmete terviklikkus ning kas süsteemid toimivad tõhusalt, et aidata kaasa organisatsiooni eesmärkide saavutamisele.
Eesmärk
IT audit ei ole täpselt sama mis finantsaudit. IT auditi käigus võidakse hinnata sisekontrollimehhanisme, kuid võidakse seda ka mitte teha. Sisekontrollile toetumine on iseloomulik finantsauditile. Sisekontrollimehhanisme on vaja hinnata selleks, et audiitor veenduks nende usaldusväärsuses ning sellega vähendatakse oluliselt ettevõtte finantsaruannete kohta arvamuse kujundamiseks vajaliku kontrolli mahtu. IT auditis aga keskendutakse pigem teabega seotud ohtude tuvastamisele ning kontrollimehhanisme hinnatakse selleks, et niisuguseid ohte vähendada. IT audit võib toimuda üldise kontrollina või rakenduste kontrollina. Infovarade kaitse seisukohalt on üks IT auditi eesmärke kontrollida ja hinnata organisatsiooni infosüsteemi kättesaadavust, konfidentsiaalsust ja terviklikkust ning selleks tuleb vastata järgmistele küsimustele:
- Kas organisatsiooni arvutisüsteem on vajadusel alati kättesaadav? (kättesaadavus)
- Kas süsteemis olev teave on kättesaadav ainult vastavat luba omavatele isikutele? (konfidentsiaalsus)
- Kas süsteemis olev teave on alati täpne, usaldusväärne ja õigeaegne? (terviklikkus)
IT auditi tegemiseks kasutatakse kolme süstemaatilist lähenemisviisi (R. A. Goodman, M. W. Lawless „Technology and Strategy”):
- Tehnoloogilise innovatsiooni audit: eesmärk on koostada olemasolevate ja uute projektide riskiprofiil, hinnates ettevõtte kogemust valitud tehnoloogiate kasutamisel, turge, projekti korraldust ja tööstusharu struktuuri.
- Innovatsiooni võrdlusaudit: innovatsiooni analüüs võrreldes konkurentidega. Uuritakse ettevõtte uusi tooteid, uurimis- ja arendustegevuses kasutatavaid vahendeid jne.
- Tehnoloogilise seisundi audit: uuritakse, millised tehnoloogiad on ettevõttes vajalikud, ning liigitatakse need nelja kategooriasse: alus-, põhi-, arenev ja uus tehnoloogia.
IT auditi liigid
- Süsteemid ja rakendused: kontrollitakse, kas süsteemid ja rakendused on asjakohased, tõhusad ja piisavalt kontrollitud, et tagada andmete täpne, usaldusväärne, õigeaegne ja turvaline sisestamine, töötlemine ja kasutamine süsteemi kõikidel tasanditel.
- Andmetöötlus: kontrollitakse, kas andmetöötlus toimub nii, et on tagatud õigeaegne, täpne ja tõhus andmete töötlemine tavalistel tingimustel ja võimalikes eriolukordades.
- Süsteemiarendus: kontrollitakse, kas arendatav süsteem vastab organisatsiooni eesmärkidele ning kas arendus toimub kooskõlas üldtunnustatud süsteemiarendusstandarditega.
- IT ja ettevõtte juhtimine: kontrollitakse, kas IT juhtimine toimib kooskõlas organisatsiooni struktuuri ja menetlustega, et tagada kontrollitud ja tõhus andmetöötluskeskkond.
- Klient/server, telekommunikatsioon, sise- ja välisvõrgud: kontrollitakse kliendi kontrollimehhanisme, serverit ja kliente ning servereid ühendavaid võrke.
IT auditit tegevate töötajate kvalifikatsiooni hindamine
Ametlikult ei ole kindlaks määratud, millised oskused peaksid IT auditit tegevatel töötajatel olema. Kuna audiitorite ülesanne on hinnata kontrollimehhanisme, mis mõjutavad infovarade salvestamist ja säilitamist, on soovitatav, et IT-töötajatel oleks üksikasjalikud teadmised infosüsteemidest ja üldteadmised raamatupidamise põhimõtetest.
IT auditiga tegelevad töötajad:
- direktorite nõukogu
- ettevõtte juhatus
- auditi juhid
- välisaudiitorid
- siseaudiitorid
- tootmisjuhid
Uued valdkonnad
Tehnoloogia muutub kiiresti ja kiiresti muutuvad ka valdkonnad, millega IT-audiitorid kokku puutuvad. Sellisteks uuteks valdkondadeks on silma võrkkesta abil tuvastamine, muutused füüsilises turbes ja andmete edastamine mobiiltelefonidest.