Si të realizohen auditimet e IT-së?

Në epokën më të re të transformimit dixhital, pothuajse e tërë veprimtaria jonë varet nga teknologjia dhe shërbimet te cilat na mundësohen nga ajo. Gjendje e njëjtë është edhe tek kompanitë, korporatat e mëdha, por edhe tek administrata publike. Pavarësisht se shumica e veprimtarisë së tyre, mundësohet nga sistemet e informacionit, në fund të fundit, nga rezultatet e punës së këtyre sistemeve zakonisht bazohet vendim-marrja dhe drejtimi i cili do të ndiqet për të arritur qëllimet e biznesit.

Mirëpo, gjatë kohës, kam pasur rastin qe të hasi në sisteme të ngjashme, të cilat kanë gjeneruar rezultate jo të sakta dhe si të tilla kanë ndikuar në vendimmarrje jo të duhur të udhëheqësisë, pasi që nuk janë bazuar në të dhëna dhe rezultate të sakta. Në ketë mënyrë shpeshherë veprimtaria e tyre nuk ka marrë rrugën e duhur dhe janë shkaktuar më shumë probleme se sa te mos ishin përdorur fare këto sisteme për realizimin e punës së tyre.

Andaj, në mënyrë që të sigurohemi se sistemet e IT-së mbështesin nevojat e biznesit, duke mos komprometuar apo cenuar sigurinë, privatësinë, koston dhe elementet e tjera te rëndësishme te biznesit, por edhe të i shtohet vlera dhe përfitimi biznesit, rekomandohet qe te realizohen auditime të IT-së. Këto auditime do të paraqesin në mënyrë të saktë dhe sipas standardeve ndërkombëtare, gjendjen e sistemeve te cilat shfrytëzohen, kontrollet e vendosura, por edhe vendosjen e llogaridhënies se duhur për veprimet e realizuara duke shfrytëzuar këto sisteme.

Qasja në këto auditime varet nëse realizohet për të bërë një rishikim, auditim (ekzaminim) ose sipas procedurave të dakorduara (kërkesave specifike).

Rishikimi – realizohet për të siguruar siguri të kufizuar për një deklarim. Një rishikim mund të jetë më i orientuar kah procesi, duke u përqendruar në përshtatshmërinë e detyrave dhe aktiviteteve të kryera dhe kontrollet e ndërlidhura. Niveli i provave që mblidhet është më i vogël se në një auditim dhe testimi dhe verifikimi i tyre në përgjithësi është më i kufizuar.

Ekzaminim – është një proces sistematik përmes të cilit personi kompetent dhe i pavarur merr dhe vlerëson në mënyrë objektive provat në lidhje me deklarimet nga biznesi. Po ashtu ekzaminon ngjarjet, proceset, operacionet dhe/ose kontrollet e brendshme, me qëllim të pasqyrimit dhe dhënies se një raporti mbi shkallën në të cilën deklaratat përputhen me një grup të standardeve të identifikuara. Një ekzaminim është një proces verifikimi që siguron nivelin më të lartë të sigurisë në lidhje me një deklaratë që mund të sigurojë një auditor. Një ekzaminim përfshin mbledhjen dhe vlerësimin e provave të mjaftueshme, kompetente, kryerjen e testeve të përshtatshme dhe procedurave të tjera për të formuar mendimin për paraqitjen në një raport të auditimit.

Sipas procedurave të dakorduara – për qëllimin dhe fushëveprimin e auditimit paraprakisht dakordohet për procedurat specifike që do të realizohen për të marrë dëshmi mbi të cilat pala e tretë është e gatshme të mbështetet si bazë për një përfundim. Varësisht nga kërkesat e palës së tretë, niveli i dakorduar i provave mund të jetë në mënyrë të konsiderueshme i kufizuar ose i gjerë. Auditori mund të ketë nevojë të marrë një sasi të konsiderueshme provash; në disa raste, më shumë se që është e nevojshme për një auditim te zakonshëm. Në këto raste, si pale e tretë mund të jenë organet apo institucionet përgjegjësi për mbikëqyrje, te cilat mund të i përdorin këto ekzaminime për te bazuar vendimet e tyre.

Auditimi i IT-së mund të kategorizohet dhe fokusohet në disa fusha specifike:

Qeverisja e IT-së

Në thelb, qeverisja e IT-së siguron një strukturë për përafrimin e strategjisë së IT me strategjinë e biznesit. Duke ndjekur një kornizë formale, organizatat mund të prodhojnë rezultate të matshme drejt arritjes së strategjive dhe qëllimeve të tyre.

Një program formal gjithashtu merr parasysh interesat e palëve të interesit, si dhe nevojat e stafit dhe proceset që ndjekin. Në pamje të parë, qeverisja e IT-së është një pjesë integrale e qeverisjes së përgjithshme të organizatave.

Zhvillimi, blerja dhe vendosja e sistemeve

Për të kuptuar dhe të siguruar se metoda në të cilën organizatat bëjnë blerjen, zhvillimin, testimin dhe implementimin e sistemeve, këto aktivitetet e mbështesin dhe përmbushin objektivat organizative dhe qëllimet strategjike.

Operacionet e IT-së

Detyrat e përditshme që përfshihen në ekzekutimin dhe mbështetjen e sistemeve të informacionit të një biznesi. Operacionet maten dhe menaxhohen duke përdorur treguesit kryesorë të performancës (KPI) të cilët vendosin parametra përkundrejt të cilëve matet efektiviteti i operacioneve. Këto matje, ose ekuivalentë të tyre, duhet qe te dokumentohen dhe rishikohen sistematikisht .

Vazhdimësia e biznesit dhe rimëkëmbja nga katastrofat

Menaxhimi i vazhdimësisë së biznesit është procesi me të cilin organizata përgatitet për incidente të ardhshme që mund të rrezikojnë misionin kryesor të organizatës dhe qëndrueshmërinë afatgjatë të organizatës.

Siguria e Informacionit

Siguria e Informacionit mund të përcaktohet si mundësia e një sistemi për të mbrojtur informacionin dhe burimet e sistemit në përputhje me termat e konfidencialitetit dhe integritetit. Mbrojtja e informacionit dhe sistemeve të tij ndaj qasjes ose modifikimeve të paautorizuara kryhet në ruajtje, procesim ose transferim. Siguria e informacionit përfshin ato matje të nevojshme për t’u identifikuar, dokumentuar dhe numëruar të tilla si kërcënime dhe e mbron nga përdoruesit e paautorizuar.

Kontrollet e aplikacionit

Kontrollet e aplikacioneve janë ndërtuar në aplikacione specifike për të siguruar dhe mbrojtur saktësinë, integritetin, realizueshmërinë dhe konfidencialitetin e informacionit. Ato sigurojnë fillesën e transaksioneve të autorizuara në mënyrën e duhur, procesimin e të dhënave të vlefshme, regjistrimin e plotë dhe raportimin e saktë.

Duhet theksuar se auditimi i IT-së nuk është një veprim i cili i mund te zbatohet ne mënyrën e njëjte tek te gjitha kompanitë apo organizata. Secila prej tyre ka kërkesat unike, sistemet e ndryshme, personelin qe operon tjetër, por edhe procedurat e tyre te punës mund te jene te ndryshme. Prandaj për te realizuar një auditim, janë disa hapa qe duhet ndjekur dhe ato kane te bëjnë me njohjen me veprimtarinë dhe procedurat e kompanisë, përcaktimi i fushëveprimit, pasi qe zakonisht nuk mund te auditohet i tere sistemi, vetëm ato pjese te cilat paraqesin rrezikshmëri me te larte, realizimi i vlerësimit dhe testimeve, si dhe përpilimi dhe paraqitja e raportit përfundimtar. Ne disa raste duhet po ashtu te realizohet follow-up për te vlerësuar nëse janë zbatuar rekomandimet dhe është përmirësuar gjendja.

Përderisa disa vende rekomandojnë dhe zbatojnë auditime të IT-së te njohura si Kontrollet e Përgjithshme (GENERAL CONTROLS), mirëpo ato janë shume me sipërfaqësore dhe mund te shfrytëzohen për identifikimin e problemeve te cilat duhet vlerësuar me hollësisht. Ato zakonisht vlerësojnë vetëm funksionet si

Qeverisja e IT-së
Menaxhimi i ndryshimit
Kontrollet e qasjes fizike dhe logjike
Rruajtja e kopjeve rezervë dhe rimëkëmbja
Palët e treta ofruese

Cilado qoftë mënyra e realizimit te vlerësimeve, ato duhet te realizohen nga persona adekuat, te cilët posedojnë njohuritë dhe mjetet për realizimin e tyre, por edhe që janë te pavarur dhe i respektojnë standardet dhe praktikat e punës lidhur me auditimet e IT-së.

Elvin Mala