Infosüsteemide audiitorkontrolli eeskirjad
Infotehnoloogia laialdane rakendamine ettevõtete ja asutuste informatsiooni töötlemisel on märkimisväärselt muutnud auditi sooritamisele esitatavaid nõudmisi. Kuigi üldpõhimõtted ei ole muutunud, tuleb lisaks traditsioonilise audiitorkontrolli läbiviimisele anda hinnang ka kasutatava infosüsteemi usaldusväärsuse ja turvalisuse kohta. Selliseks tööks on tarvis laialdasi infotehnoloogia alaseid teadmisi ja kogemusi, kuid samas ka arusaamist üldistest auditi sooritamise põhimõtetest.
Infosüsteemide auditi spetsiifilisus ning sellise auditi läbiviimiseks vajalikud teadmised ja kogemused eeldavad infosüsteemide audiitorkontrolli eeskirjade olemasolu ning tutvustamist. Käesolevad eeskirjad on koostatud Eesti Infosüsteemide Audiitorite Ühingu poolt, mille liikmed oma tegevuses nendest juhinduvad. Soovitatav oleks aga käesolevaid eeskirju järgida kõigil selle alaga tegelejatel.
Lisatud eeskirjade näol ei ole tegu üksikasjaliku juhendiga infosüsteemide auditi sooritamiseks, pigem üldiste põhimõtetega, millega tuleb auditi läbiviimisel arvestada. Eeskiri annab audiitorile vaid tähtsamad tugipunktid; töö teostamiseks vajalikke kontrolle, meetodeid ja protseduure on võimalik leida erialakirjandusest, millele ka viidatud on.
Eesti Infosüsteemide Audiitorite Ühing
Tallinn, 1997
1. Infosüsteemi audit
1.1 Infosüsteemi audit (edaspidi audit) on mitmekülgne ülevaade ja hinnang auditeeritava ettevõtte, asutuse või organisatsiooni automatiseeritud infosüsteemile (või selle osadele), kaasa arvatud selle seostele automatiseerimata protsessidega ja organisatsioonilise struktuuriga.
1.2 Infosüsteem on teadmiste, organisatsiooni, meetodite, infotehnoloogiavahendite (riist- ja tarkvara, kommunikatsioonid) ja andmete kompleks asutuste (riigiasutus, ettevõte, haigla, jne.) teabe kogumiseks, säilitamiseks, töötlemiseks ja kasutamiseks. Auditeerida võib kõiki infosüsteemidega seotud objekte, tegevusi, protsesse ja valdkondi, sealhulgas organisatsiooni, planeerimist, projektijuhtimist, kvaliteedijuhtimist, hanget, metoodikaid, arendust, dokumentatsiooni, koolitust, rakendust, ekspluatatsiooni, hooldust, mõõtmist, hindamist, aruandlust.
1.3 Infosüsteemi audiitor (edaspidi audiitor) on isik, kes, soovitatavalt omades kehtivat infosüsteemide audiitori sertifikaati, auditeerib auditi eesmärgist lähtudes auditeeritava organisatsiooni infosüsteemi vastavalt infosüsteemide audiitorkontrolli eeskirjadele ja järgib infosüsteemi audiitori eetikanormistikku.
1.4 Infosüsteemi audiitori sertifikaat on mõne infosüsteemide audiitoreid sertifitseeriva organisatsiooni (ISACA) rahvusvaheliselt aktsepteeritud tõend või Audiitortegevuse nõukogu tõend, mis kinnitab, et selle omanik on tõestanud oma kutsealast vastavust infosüsteemide audiitorile esitatavatele nõuetele.
1.5 Auditi eesmärgi saavutamiseks tuleb audiitorile luua eeldused vajaliku ülevaate saamiseks infosüsteemist, mille põhjal saab kujundada hinnangu infosüsteemi kohta. Audiitori hinnang iseloomustab infosüsteemi ja selles töödeldava info omadusi, kuid ei anna selle kvaliteedile lõpliku garantiid.
1.6 Kuigi audiitor on tavaliselt valitud ettevõtte omanike või nende esindajate poolt, arvestab ta oma tegevuses ja otsustes ka teiste infokasutajate vajaduste ning huvidega, kes eeldavad, et audiitori hinnang infosüsteemile on kujundatud õigesti ja õiglaselt.
1.7 Hinnangu kujundamiseks tutvub audiitor auditeeritavas organisatsioonis kehtestatud infosüsteemi kasutamise ja arendamise poliitikaga, protseduurireeglitega, võrdleb nende vastavust seadusandlusele, organisatsiooni äriplaanile, rahvusvahelistele de jure ja de facto standarditele ja määratleb reeglite tegeliku täitmise ulatuse. Oma hinnangus toetub audiitor läbiviidud auditiprotseduuride tulemustele ja muudele auditi tõendusmaterjalidele. Auditi testiiseloomu ja mistahes kontrollisüsteemi võimaluste suhtelise piiratuse tõttu säilib alati teatud risk, et auditi käigus ei avastata ka suhteliselt olulisi vigu.
2. Infosüsteemide auditi põhimõisteid
2.1 Riskid
2.1.1 Risk on teo või sündmuse toimumise võimalikkus, mis omab kahjulikku mõju organisatsioonile või tema infosüsteemile.
2.1.2 Oht on võimalik kaotus kahjuliku mõjuga sündmuse käivitumisel. Kõiki kahjuliku mõjuga sündmusi ei ole võimalik ennetada, kuid nendega kaasnevat kahju saab vähendada vastavate kontrolliprotseduuride juurutamisega.
2.1.3 Riskide hindamine on protsess, mille käigus määratletakse riskid ja nendega kaasnevate ohtude suurus.
2.2 Riski tüübid
2.2.1 Tegevusrisk on risk, et infosüsteemi kasutamisel või arendamisel on tahtlikult või tahtmatult käivitatud kahjuliku mõjuga sündmusi, mis suurendavad organisatsiooni ja infosüsteemi ohtusid.
2.2.2 Sisekontrolli risk tuleneb võimalusest, et organisatsioonisisene kontrollisüsteem ei ole piisavalt tõhus ega too olulisi vigu esile. Sisekontroll peab jälgima, et:
- on kehtestatud infosüsteemiga seonduv poliitika;
- kõigi infosüsteemiga seotud toimingute kohta on koostatud otstarbekad ja kehtivad protseduurireeglid;
- kehtivaid protseduurireegleid järgitakse.
2.2.3 Avastamisrisk tähendab, et audiitor ei avasta oma auditiprotseduuride puudulikkuse tõttu olulisi vigu. Audiitor suudab ise vahetult mõjutada vaid avastamisriski.
2.2.4 Auditirisk ehk kogurisk kujuneb mainitud eeltoodud riskide koosmõju tulemusena. Mida kõrgemaks audiitor hindab organisatsiooni tegevusriski ja sisekontrolliriski, seda põhjalikuma auditi peab ta ise sooritama, et vähendada koguriski.
2.2.5 Auditi sooritamisel võib ilmneda, et audiitor on tegevusriski või sisekontrolliriski esialgsel hindamisel eksinud. Sellisel juhul tuleb teha auditi plaanis vastavad muudatused, fikseerides nõutavate auditiprotseduuride mahu ja sisu.
2.3 Auditi tõendusmaterjal
2.3.1 Auditi tõendusmaterjal on informatsioon, mida audiitor kogub infosüsteemi auditi käigus ja millele tuginedes ta koostab audiitorhinnangu. Tõendusmaterjal peab olema oluline ja usaldusväärne ning piisav hinnangu kujundamiseks ja põhjendamiseks.
2.3.2 Tõendusmaterjal on oluline, kui ta on kooskõlas auditi eesmärgiga ja omab loogilist seost temast tulenevate tähelepanekute ja järeldustega.
2.3.3 Tõendusmaterjal on usaldatav, kui audiitori hinnangul on ta kehtiv, objektiivne ja toetatav. Hinnangu kujundamisel liigitab audiitor tõendusmaterjalid vastavalt nende usaldatavuse määrale.
2.3.4 Tõendusmaterjali olemus sõltub auditi käigus kogutud tõendusmaterjali tüübist ja asjakohasusest. Audiitor võib kasutada mitmeid erinevaid tüüpi tõendusmaterjale.
2.3.5 Tõendusmaterjal peab olema piisav kinnitamaks audiitori märkusi ja järeldusi. Kui audiitor veendub, et piisavaid tõendusmaterjale on võimatu hankida, peab see asjaolu leidma märkimist auditi aruandes.
2.3.6 Tõendusmaterjalide hankimiseks vajalike protseduuride valik sõltub auditeerimise eesmärgist. Nimetatud protseduurid võivad sisaldada järelpäringuid, vaatlemist, inspekteerimist, kinnitusi, jõudlushinnanguid (reperformance), jne. ning võivad olla rakendatud abivahenditeta protseduuridena ja/või arvutit või muid abivahendeid kasutades.
2.3.7 Auditi käigus kogutud tõendusmaterjalid peavad olema täpselt dokumenteeritud ja organiseeritud nii, et nad toetaksid audiitori märkusi ja järeldusi.
3. Audiitori ja kliendi vahekord
3.1 Auditivahekorra kujunemine
3.1.1 Audiitori valib ettevõtte juhtkond, et saada sõltumatu eksperdi objektiivne hinnang ettevõtte infosüsteemi kohta. Vältimaks võimalikke lahkarvamusi, peab audiitor veenduma, et kokkulepe tööde sooritamiseks on sõlmitud kliendi pädeva juhtimistasandiga.
3.1.2 Juhul, kui potentsiaalne klient pöördub audiitori poole koostööettepanekuga, peab audiitor kriitiliselt analüüsima kliendi tausta, tema ajendeid auditi tellimiseks, tutvuma infosüsteemi seisundiga ning muude asjaoludega, mis tõenäoliselt mõjutavad tööde sooritamist ja kliendi ning audiitori vahelisi suhteid. Muud olulised asjaolud, mida audiitor peab kaaluma, on näiteks potentsiaalse kliendi suurus, tööde sooritamise graafik, audiitorilt soovitav raporteerimiskeel, kliendi poolt raportile esitatavad nõuded. Kui audiitoril on põhjust arvata, et tema poole on pöördutud formaalsete ajendite mõjul või tema arvates on ilmne või suure tõenäosusega, et ta mingil põhjusel ei saa sooritada tellitud tööd audiitorkontrolli hea tava nõuetele vastavalt, peab audiitor enesekriitiliselt hindama, kas tal on otstarbekas koostööpakkumist vastu võtta või mitte. Audiitor peab alati meeles pidama, et tema ülesanne on osutada kliendile kvaliteetseid teenuseid, mis oleksid vastavuses audiitorkontrolli hea tavaga.
3.2 Audiitori sõltumatus
3.2.1 Infosüsteemide audiitor on kohustatud olema auditi suhtes sõltumatu. Sõltumatu suhe on defineeritud kui erapooletu teemakäsitlus, mis võimaldab audiitoril tegutseda objektiivselt ja õiglaselt.
3.2.2 Kui audiitori sõltumatust on kahjustatud, siis ei tohi ta auditis osaleda. Näiteks võib audiitori sõltumatus olla kahjustatud juhul, kui auditi tulemuste mõjutamisega saab audiitor otsest majanduslikku kasu või mõnd muud personaalset hüvitust. Samas ei ole audiitori sõltumatus vältimatult kahjustatud, kui auditeeritakse infosüsteemi, mille vahendusel toimub tavapärase äritegevuse käigus audiitori personaalseid äritehinguid.
3.2.3 Audiitor peab olema teadlik, et sõltumatus on väliselt mõjutatav audiitori enda tegevusest või koostööst. Arusaamad audiitori sõltumatusest võivad mõjutada audiitori töö vastuvõtmist. Kui audiitor saab teadlikuks, et teatud situatsioonis või suhetes nähakse audiitori sõltumatuse kahjustamist, peab audiitor võimalikult kiirelt teatama sellest auditi eest vastutavatele inimestele.
3.2.4 Audiitor peab olema organisatsiooniliselt sõltumatu auditeeritavast alast. See kindlustab auditi objektiivset ja õiglast läbiviimist. Sõltumatus on kahjustatud, kui audiitor omab otsest kontrolli auditeeritava ala üle. Samuti võib olla kahjustatud audiitori sõltumatus juhul, kui audiitor on otseselt vastutav isikute ees, kes omavad otsest kontrolli auditeeritava ala üle.
3.2.5 Asjaoludel, mil audiitori sõltumatus on kahjustatud ja audiitor jääb seotuks auditiga, peavad asjakohased faktid olema avalikustatud. Mainitud teavitamine peab toimuma viisil, mis sobib kokku audiitori raportite ja auditi tulemuste esitamisega.
3.2.6 Audiitor ja auditi juhatus peavad pidevalt hindama audiitori sõltumatust. Hinnangud peavad arvestama faktoreid nagu isiklikud suhted, rahalised suhted ja eelnevad tööülesanded ning kohustused.
3.2.7 Audiitori töö ja raportid peavad olema ausad ja objektiivsed professionaalsete kohustuste väljendused. Audiitor peab vältima situatsioone, mis võivad ohustada sõltumatust.
3.3 Leping/töövõtukiri
3.3.1 On oluline, et kliendi ja audiitori vahelised suhted oleksid kirjalikult ja piisava üksikasjalikkusega fikseeritud. Tavapäraselt fikseeritakse sellised suhted Eesti ärikeskkonnas mõlema poole poolt alla kirjutatud lepingu vormis. Kõne alla võib tulla ka nn. töövõtukiri (ingl. k. engagement letter), mille audiitor saadab kliendile ja milles ta kinnitab oma valmisolekut tööde sooritamiseks, esitab omapoolse nägemuse audiitori ülesannetest ja pakub välja muud olulised tingimused. Tavaliselt aktsepteeritakse töövõtukiri vaikimisi - kui klient ei vaidlusta selles esitatud põhimõtteid, loetakse, et ta on nendega nõus, ning kumbki osapool juhindub edaspidi töövõtukirja tingimustest. Audiitor võib aga paluda kliendilt ka kirjalikku vastust pakutud tingimustega nõustumise kohta.
3.3.2 Kliendi ja audiitori vaheliste suhete kesksed põhimõtted võivad olla fikseeritud erinevates vormides, kuid reeglina tuleks sätestada järgmised tingimused:
- Infosüsteemi audiitorkontrolli eesmärk ja muud teenused, mida audiitor on valmis kliendile osutama;
- Auditi ulatus, mis hõlmaks viiteid audiitorkontrolli eeskirjadele jms.;
- Audiitorilt kliendile suunatud raportite- ja muud kommunikatsioonivormid;
- Tõdemus, et audiitorkontrolli testiiseloomu ja mistahes sisekontrollisüsteemi suhtelise piiratuse tõttu säilib paratamatult risk, et auditi käigus võivad ka mõned suhteliselt olulised vead jääda märkamata;
- Juurdepääsu tagamine mistahes infosüsteemi dokumentidele ja muule informatsioonile, mis audiitori arvates on oluline hinnangu langetamiseks infosüsteemi kohta või mõne muu kokkulepitud töö sooritamiseks;
- Muud kliendipoolsed kohustused audiitori suhtes;
- Teiste audiitorite ja ekspertide töö kasutamine ning audiitoripoolne vastutus;
- Audiitori töö tasustamise põhimõtted.
Lisaks sellele, et leping/töövõtukiri fikseerib kliendi ja audiitori vaheliste suhete kesksed põhimõtted, on sel täita ka hariv funktsioon, sest laiema majandusüldsuse arusaamad auditi eesmärkidest ja praktilisest teostamisest on pinnalised.
3.3.3 Lähtudes kliendi soovidest ning oma paremast äranägemisest, võib audiitor lülitada lepingusse/töövõtukirja ka muid põhimõtteid, mis tema arvates on olulised töö kvaliteetseks ja õigeaegseks sooritamiseks või kliendi ja audiitori vaheliste suhete reguleerimiseks. Siin võiks näitena märkida audiitori nõudel kliendi juhtkonna poolt talle esitatava kinnituskirja, milles juhtkond kinnitab, et audiitorile on tehtud teatavaks kogu oluline informatsioon, mis on vajalik ettevõtte infosüsteemi kohta õigete järelduste tegemiseks.
3.3.4 Leping/töövõtukiri võib olla kehtivusajaga või ilma konkreetse tähtajata. Kui audiitor valitakse uuesti, tuleks olukorrast sõltuvalt:
- Sõlmida uus leping või saata uus töövõtukiri juhul, kui see oli konkreetse kehtivustähtajaga;
- Korrigeerida vana lepingu/töövõtukirja tingimusi, kui see on otstarbekas ja mõlemale poolele vastuvõetav.
Tähtajatu lepingu/töövõtukirja uuendamine osutub tihtilugu vajalikuks siis, kui:
- Klient ei mõista audiitori töö eesmärke või ei soovi aktsepteerida auditi ulatust;
- Kliendipoolsed soovid audiitorile on oluliselt muutunud;
- On toimunud muudatuse ettevõtte juhtkonna koosseisus;
- On aset leidnud märkimisväärsed muudatused klient-ettevõtte suuruses või selle tegevuse iseloomus.
4. Auditi planeerimine
4.1 Auditi planeerimise eesmärk on luua eeldused auditi efektiivseks, õigeaegseks ja kvaliteetseks sooritamiseks. Plaanis fikseeritakse nende auditiprotseduuride sisu, millele tuginedes audiitor kavatseb anda oma hinnangu ettevõtte infosüsteemile. Kui audiitor on lisaks audiitorkontrolli sooritamisele leppinud kliendiga kokku ka muude teenuste osutamises, tuleks need lülitada plaani eraldi blokina. Planeerimisprotseduuride maht ja sisu sõltuvad esmajoones kliendi infosüsteemi ulatusest ja keerukusest ning audiitori varasema töö kogemustest kliendiga.
4.2 Arukalt koostatud auditiplaan aitab tagada selle, et
- Määratletakse auditi kriitilised valdkonnad;
- Kesksetele auditivaldkondadele pööratakse piisavalt tähelepanu;
- Töö sooritatakse õiges järjekorras, koordineeritult ja kvaliteetselt.
Auditi kriitilised valdkonnad on auditi valdkonnad, mille puhul on tegu kõrge riskiga või mille kohta on raske saada tõendavat materjali.
4.3 Auditiplaan ei tohiks olla jäik ja muutumatu. Olude muutudes või ootamatute tulemuste ilmnedes auditi läbiviimisel tuleb esialgset plaani korrigeerida.
4.4 Auditi edukas läbiviimine eeldab, et audiitor tunneks nii kliendi infosüsteemi, kui ka antud süsteemi tüübi ja selle põhikomponentide omapära tervikuna.
4.5 Audiitori enese poolt koostatud varasemate tööpaberite analüüsimisel tuleb erilist tähelepanu pöörata valdkondadele, kus esines vigu või mille kohta järelduste kujundamine eeldas audiitoripoolseid põhjalikke kaalutlusi. Audiitor peab kriitiliselt hindama, kas samad valdkonnad võiksid olla kriitilised ka järgmise auditi läbiviimisel.
4.6 Planeerimise käigus peab audiitor silmas pidama järgmisi asjaolusid, mis mõjutavad auditi vajalikku mahtu ja selle sooritamise konkreetseid meetodeid:
- Kliendiga sõlmitud lepingus/töövõtukirjas fikseeritud tingimused ja normatiivaktidest tulenevad nõuded;
- Audiitori poolt kliendile esitatavate raportite tähtajad;
- Kliendi poolt sätestatud/eeldatavad infotöö põhimõtted ja nende muudatused;
- Infotöö organisatsiooniline ülesehitus;
- Oluliste infovoogude fikseerimine;
- Kriitiliste auditivaldkondade määratlemine;
- Dokumentatsiooni ja sisekontrolli usaldatavus;
- Auditi tõendusmaterjalide maht ja iseloom;
- Teiste audiitorite või muude valdkondade ekspertide töö kasutamine;
4.7 Loonud enesele tervikliku ettekujutuse kliendi infotööst, peab audiitor langetama põhimõttelise otsuse kasutatava kontrollimetoodika suhtes. Seejuures tuleb silmas pidada, et eesmärgiks on täita auditile seatud ülesanded võimalikult väikese ajakuluga.
4.8 Auditiplaan tuleks koostada kirjalikult. Plaani maht ja ülesehitus sõltuvad kontrollitava ettevõtte eripärast, mistõttu üldkehtivat plaani vormi pole otstarbekas fikseerida. Plaani koostamisel peab audiitor igal konkreetsel juhul kriitiliselt hindama, kas plaaniga hõlmatud kontrolliprotseduurid on eeldatavasti piisavad selleks, et teha põhjendatud järeldusi ettevõtte infosüsteemi kohta.
Määratlemaks auditi kogumahtu, on otstarbekas, et plaani koostamisel hindaks audiitor üksikute auditiprotseduuride sooritamiseks vajalikku ajakulu ning koostaks kokkuvõtliku ajaeelarve.
5. Auditi sooritamine
Auditi sooritamisel peab audiitor:
- Lähtuma käesolevatest eeskirjadest.
- Järgima rahvusvaheliselt väljakujunenud häid auditeerimise tavasid.
- Lähtuma oma töös rahvusvaheliselt väljakujunenud headest infosüsteemide turvatavadest, kehtivatest seadustest ning rahvusvahelistest standarditest ja auditeerimise eeskirjadest (CobiT, BS7799, vastavad ISO standardid).
6. Teiste audiitorite ja ekspertide töö kasutamine
6.1 Audiitor jääb vastutavaks oma järelduste kujundamisel ja väljendamisel klient-ettevõtte infosüsteemi kohta ka juhul, kui ta kasutab assistentide, teiste audiitorite või ekspertide töö tulemusi. Audiitor peab olema kindel, et teiste audiitorite või ekspertide töö on piisav järelduste kujundamiseks ja väljendamiseks.
6.2 Teise audiitori töö tulemuste kasutamise käigus peab audiitor:
- Koguma informatsiooni teise audiitori professionaalse kompetentsuse kohta. Informatsiooniallikateks võivad olla näiteks erialaste organisatsioonide soovitused, vestlused teise audiitoriga;
- Selgitama piisavalt teisele audiitorile, millistel eesmärkidel tema töö tulemusi kasutatakse. Auditi planeerimisel peab audiitor koordineerima oma tegevust teise audiitoriga;
- Kindlustama, et teine audiitor arvestab auditi läbiviimisele ja aruandlusele esitatavate nõuete täitmist;
- Välja selgitama teise audiitori poolt auditi protsessis kasutatavad protseduurid;
- Arvesse võtma teise audiitori põhimõttelisi järeldusi.
6.3 Audiitor peab töödokumentatsioonis fikseerima, missugune on olnud teise audiitori auditi suunitlus, milliseid valdkondi on käsitletud, milliseid auditi protseduure on kasutatud.
6.4 Auditi käigus võib audiitor pidada vajalikuks eksperdi kaasamist hinnangute kujundamisel. Eksperdi töö kasutamisel peab audiitor arvestama järgmisi aspekte:
- Eksperdi töö eesmärgid ja valdkonnad;
- Eksperdi töös kasutatavad informatsiooniallikad;
- Auditi läbiviimise sõltuvuse aste eksperdi tööst;
- Klient-ettevõtte informatsiooni konfidentsiaalsus;
- Eksperdi sõltumatus klient-ettevõttest.
7. Audiitori tööpaberid
7.1 Audiitori tööpaberid on tema enese poolt auditi käigus koostatud, kliendilt või kolmandatelt osapoolelt saadud dokumendid, märkmelehed jms.
7.2 Audiitori tööpaberite koostamise põhieesmärgid on:
- Aidata kaasa auditi planeerimisele ning õigeaegsele ja kvaliteetsele sooritamisele;
- Luua eeldused auditirühma töö koordineerimiseks, kontrollimiseks ning tähelepanekute üldistamiseks;
- Esitada tõendusmaterjalid auditi käigus sooritatud kontrolliprotseduuride kohta, millele tuginedes audiitor on sõnastanud järeldus-otsuse või muus vormis koostatud raporti järeldused.
7.3 Audiitori tööpaberid peavad kajastama auditi planeerimist, ajastamist, sooritatud kontrolliprotseduure ning auditi tulemusena tehtud olulisi järeldusi. Tööpaberite sisu ja maht sõltuvad suures osas audiitori professionaalsest hinnangust, sest reeglina pole vajalik ega otstarbekas fikseerida tööpaberites kõiki tööprotseduuride detaile ning tehtud üksikjäreldusi. Tööpaberite koostamise üldpõhimõttena tuleks silmas pidada, et need peavad olema koostatud sellise üksikasjalikkusega ning sellises mahus, mis võimaldaksid asjatundlikul lugejal saada tööpaberitega tutvudes tervikliku ülevaate auditi sooritamise käigust ning tulemustest.
7.4 Tööpaberid on esmajoones abivahend kas auditi või audiitori poolt kliendile osutatava muu teenuse kvaliteetseks sooritamiseks, mitte omaette eesmärk. Siiski tuleks silmas pidada, et audiitori vastu esitatavate pretensioonide puhul on tööpaberid põhikriteerium, mille alusel saab otsustada audiitori töö kvaliteedi ja tehtud järelduste põhjendatuse üle. Audit võib olla muus mõttes sooritatud audiitorkontrolli head tava järgides, kuid kui see tööpaberitest ei selgu, puuduvad audiitoril võimalused end pretensioonide vastu kaitsta.
7.5 Tööpaberite sisu ja vorm sõltuvad:
- Audiitori poolt kliendile osutatava teenuse iseloomust;
- Kliendi tegevuse iseloomust, ulatusest ja keerukusest;
- Kliendi infotöö korraldusest ja sisekontrolli tõhususest;
- Vajadusest juhendada, koordineerida ja kontrollida assistentide poolt sooritatavat tööd.
7.6 Tööpaberid peavad minimaalselt sisaldama järgmist informatsiooni:
- Auditi tegevusvaldkonna ja eesmärgi kirjeldus;
- Auditi ettevalmistusmaterjalid ja plaan;
- Auditi sooritamise etappide kirjeldus ja kogutud tõendusmaterjalid;
- Auditi leiud, järeldused ning soovitused auditeeritavale;
- Audiitori töö tulemusena tehtud raportid;
- Auditeeritava reageeringud ja vastused soovitustele.
7.7 Tööpaberite maht sõltub konkreetse auditi nõuetest. Vastavalt neile nõuetele võivad tööpaberid sisaldada järgmist:
- Audiitori arusaamad auditeeritavast valdkonnast ja tehnoloogiast;
- Audiitori arusaamad informatsiooni töötlemisest ja sisekontrolli meetoditest;
- Auditi kontrolliprotseduuride ja raportite allikmaterjalid;
- Audiitori töö ülevaade;
- Audiitorkontrolliprotseduuride metoodika kirjeldused.
7.8 Tööpaberid tuleks süstematiseerida viisil, mis tagab nende ülevaatlikkuse ja hõlpsa leitavuse. Pikaajalise auditisuhte puhul on otstarbekas koostada püsivate tööpaberite mapp nendest materjalidest, mis on olulised pikemas ajalises perspektiivis. Püsivus on seejuures suhteline - neid materjale tuleks perioodiliselt analüüsida, võttes välja materjalid, mis on oma tähtsuse minetanud ning täiendades püsivaid tööpabereid uute, pikema aja jooksul tähtsust omavate materjalidega.
7.9 Audiitori tööpaberid on audiitori omand. Arvestades tööpaberites sisalduva informatsiooni konfidentsiaalset iseloomu, peab audiitor tööpabereid säilitama viisil, mis välistab kõrvalistel isikutel võimaluse nendega tutvumiseks.
7.10 Audiitor peab tööpabereid säilitama aja jooksul, mis on piisav tema ametikohustuste korrektseks sooritamiseks. Arvestades, et audiitori tööpabereid saab käsitleda vaid samas kontekstis koos auditeeritava ettevõtte informatsioonitöötlemist puudutava dokumentatsiooniga, peab lähtekohaks olema auditeeritava ettevõtte dokumentatsiooni säilitamise siseeeskirjad ja vastavad riiklikud normatiivaktid. Audiitor võib kehtestada pikema tööpaberite säilitusaja, kui normatiivaktid otseselt nõuavad.
8. Audiitori raportid
8.1 Audiitor annab reeglina oma töö tulemustest aru kirjalike raportitega. Raport on põhilisi vahendeid auditi sihtide, auditi eeskirjade, auditi ulatuse, hinnangute ja järelduste formaalseks edastamiseks. Raport on üldjuhul määratud auditi tellijale, kuid ta võib olla suunatud ka teistele: auditeeritava ettevõtte omanikele, auditeeritava ettevõtte juhtkonnale, auditeeritava ettevõtte klientidele, (majandus)üldsusele, valitsusele.
8.2 Auditi sihid võivad olla väga erinevad, auditeeritav ala on väga lai, ühtseid seadusandlusega määratud nõudeid ei ole. Seepärast erinevalt raamatupidamise auditeerimisest, mille puhul audiitori järeldus-otsuse sisu ja vorm on küllalt rangelt fikseeritud, ei saa infosüsteemi auditi puhul ühtsest raporti vormist rääkida. Alljärgnev kehtestabki üldised põhimõtted, fikseerimata seejuures raporti sisu ega vormi.
8.3 Auditi siht peab olema raportis antud. Kui sihti ei saavutatud, peavad see fakt ja selle põhjused olema raportis ära toodud.
8.4 Auditeerimisel kasutatud standardid peavad olema ära toodud (nt. käesolevad eeskirjad, ISACA standardid vms.). Kui auditeerimisel kalduti märgitud standarditest kõrvale, peavad olema ära toodud kõrvalekaldumiste olemus, põhjused ja võimalik mõju auditi tulemustele.
8.5 Auditi ulatuse kirjeldus hõlmab auditi laadi ja mahu, auditi funktsionaalse ala, auditi perioodi, samuti auditeeritavate infosüsteemide, rakenduste või (info)tehnoloogiliste keskkondade kirjelduse. Tuuakse ära ka audiitori arvamus ulatuse piirangute kohta: näiteks, teste ja protseduure ei suudetud lõpetada vastavalt eeskirjadele, audiitori tööle seati auditeeritava poolt kitsendusi.
8.6 Raport peab sisaldama kõiki olulisemaid auditi leide. Kui leid vajab selgitamist, peab audiitor kirjeldama tingimusi ja kriteeriume, mis viisid leiuni.
8.7 Raport sisaldab järelduse - audiitori hinnangu auditeeritavale alale. Järeldus võib olla üldhinnang või koosneda mitmetest spetsiifilistele sihtidele orienteeritud hinnangutest. Raport peab samuti kirjeldama hinnangutes tehtud mööndusi.
8.8 Raport peab olema loogiline ja organiseeritud, sisaldama piisavalt informatsiooni, et olla mõistetav asjast huvitatud osapooltele ning võimaldada korrigeerivaid tegevusi. Raport tuleb vormistada korralikult, kasutades korrektset terminoloogiat.
8.9 Raport tuleb koostada õigeaegselt, et võimaldada koheseid korrigeerivaid tegevusi. Kui see on vastuvõetav, tuleb audiitoril edastada olulised leiud otse vastavatele isikutele enne raporti koostamist. Selline eelteatamine ei tohi muuta auditi sisu ega laadi.
8.10 Raport identifitseerib auditeeritava ja sisaldab koostamise kuupäeva. Kui vajalik, peab raport sisaldama deklaratsiooni, et ta on määratud ainult asjast huvitatud osapooltele (auditeeritava ettevõtte omanikele, auditeeritava ettevõtte juhtkonnale, auditeeritava ettevõtte klientidele) või välistele huvigruppidele (majandusüldsusele, valitsusele/riigile). Raport sisaldab samuti vajaduse korral sätted leviku piiramise kohta.
9. Eetika
Eesti Infosüsteemide Auditi Ühingu liige peab:
- Toetama infosüsteemide eeskirjade, protseduuride ja kontrollide väljatöötamist ning nende järgmist.
- Järgima antud eeskirju.
- Tegutsema hoolikalt, lojaalselt ja ausal viisil oma tööandja, ettevõtte omanike, klientide ja avalikkuse huvides ning teadlikult mitte osa võtma mistahes seadusevastasest või ebasündsast tegevusest.
- Säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsust. Informatsiooni ei tohi kasutada isikliku kasusaamise huvides ega avaldada asjasse mittepuutuvatele osapooltele.
- Täitma oma kohustusi sõltumatult ja objektiivsel viisil ning hoiduma tegevustest, mis ohustaksid või võiksid ohustada tema sõltumatust.
- Säilitama asjatundlikkust auditi ja infosüsteemide alal, arendades oma ametialaseid oskusi ning võttes osa koolitusest.
- Hoolikalt koguma ja dokumenteerima küllaldast faktilist materjali, millel põhjal teha järeldused ja soovitused.
- Informeerima asjassepuutuvaid osapooli enda poolt sooritatud auditist.
- Toetama juhtkonna, klientide ja avalikkuse koolitamist, et laiendada nende arusaamist auditist ja infosüsteemidest.
- Järgima kõrgeid iseloomuomaduste ja käitumise standardeid nii ametialastes kui ka isiklikes toimingutes.
10. Audiitori koolitus
10.1 Infosüsteemide auditeerimise eripära on tugev seotus väga kiiresti areneva tehnoloogiaga. Selles suhtes erineb infosüsteemide audiitor raamatupidamisaudiitorist, kelle ala muutub suhteliselt aeglaselt - koos seadusandluse muudatustega. Seepärast on audiitorile esitatavad (jätkuv)koolituse nõuded kriitilise tähtsusega.
10.2 Audiitori koolituse sihid on:
- Säilitada kompetentsuse taset, nõudes pidevat oskuste ja teadmiste täiendamist sellistel aladel nagu infosüsteemid, auditeerimine, juhtimine, raamatupidamine, samuti spetsiifilistel erialadel nagu pangandus, kindlustus, äriseadused jne.;
- Anda võimalus eristada kvalifitseeritud infosüsteemide audiitoreid nendest, kes pole jätkuvsertifitseerimise nõudeid täitnud;
- Pakkuda mehhanism infosüsteemide audiitorite kompetentsustaseme säilitamise jälgimiseks;
- Aidata juhtkonda pädeva auditeerimisfunktsiooni väljatöötamisel, pakkudes kriteeriume personali valikuks ja arendamiseks.
10.3 Rahvusvaheline kogemus näitab, et audiitori kvalifikatsiooni säilitamiseks on vaja täita järgmisi minimaalseid nõudeid:
- Läbida vähemalt 20 kontakttundi täiendkoolitust igal aastal;
- Läbida vähemalt 120 kontakttundi täiendkoolitust suvalises täisaastatega antud kolmeaastases perioodis.
Kasutatud allikad
1. Audiitorkontrolli eeskiri. Eesti Audiitortegevuse Eeskirjad, Tallinn, 1994.
2. General Standards for Information Systems Auditing. Statements on Information Systems Auditing Standards. Information Systems Audit and Control Foundation, The EDP Auditors Foundation, Inc, 1994.
3. General Standards for Information System Auditing, ISACF.
4. The Continuing Education Policy. 1996 CISA Review Manual. Information Systems Audit and Control Association, 1996.