Infosüsteemi auditeerimine annab firmale kindluse

ITst sõltuvale organisatsioonile on oluline infosüsteemi vastavus firma vajadustele, selle töökindlus, jõudlus, andmekaitse ja usaldusväärsus. Firma vajadustele vastava infosüsteemi väljatöötamist on võimalik võrrelda tootmishoone ehitamisega. Mida keerukam on tootmine, seda keerukam on planeerida ja ehitada vajaliku suuruse ja funktsionaalsusega hoonet. Hoone valmimiseks on vaja õiget ideelahendust, eelarvet, korralikku arhitektuurilist lahendust, projekti, head projektijuhtimist, ehitajaid, õigeid ehitusvõtteid, kvaliteetseid materjale jms. Erinevalt infosüsteemidest on hoonete ehitamise traditsioonid aastatuhandete pikkused ja seetõttu on ehitamisele esitatavate nõuete ja järelevalve süsteem laialt tuntud ja kasutatav.

Paratamatult tekib ettevõtjatel küsimusi ka infosüsteemide loomisel, et kas tehti ikka õigeid asju ja kas tehti neid parimal võimalikul moel. Seda nii olukorras, kus infosüsteemi arendatakse ise, kui ka juhul, kui see tellitakse. Väliselt tegijalt ei pruugi sellele küsimusele objektiivset vastust saadagi. Nii ettevõtte omanikele kui ka juhtidele on oluline kindlustunde saamine kasutatava infotehnoloogia vastavusest ettevõtte ärieesmärkidele ning IT-kulude adekvaatsusest. Seetõttu on kooskõlas iga-aastase traditsioonilise raamatupidamise auditiga maailmas levimas ka infosüsteemide auditeerimine, eriti valdkondades, kus infosüsteem ongi tänapäeval äriprotsessi põhiosa (näiteks finantsasutused). Samas saab ettevõtja infosüsteemi audiitori abi kasutada ka süsteemi loomise erinevates etappides ja erinevates rollides.

Tasub tähele panna, et infosüsteemide audit on mingitele nõuetele vastavuse kontroll ja hinnangu andmine auditeeritava organisatsiooni infosüsteemile või selle osale. Nõuded võivad olla puhttehnilised, aga ka töökindluse, turvalisuse vms alalt. Sageli esitatakse nõudeid väljastpoolt (emafirma või koostööpartnerite poolt, aga ka seadustega - näiteks süsteemi vastavus isikuandmete kaitse seaduse nõuetele). Kui organisatsioon ise ei ole oma infosüsteemile mingeid nõudeid esitanud, on võimalik kontrollida ka süsteemi vastavust infosüsteemide loomise heale tavale, mida esitavad standardid ja metoodikad.

Auditeerida ehk nõuetele vastavust hinnata saab ja võib kõiki infosüsteemidega seotud objekte, tegevusi, protsesse ja valdkondi, sealhulgas organisatsiooni, planeerimist, projektijuhtimist, kvaliteedijuhtimist, hanget, metoodikaid, arendust, dokumentatsiooni, koolitust, rakendust, ekspluatatsiooni, hooldust, mõõtmist, hindamist, aruandlust.

Infosüsteemi auditeerimist viib läbi infosüsteemide audiitor. Vastavalt läbiviidavale auditile on võimalikud selle erinevad nimetused: infosüsteemide arendustööde audit, turvaaudit, veakindluse ja usaldusväärsuse audit, juhtimise audit, tarkvara litsentside audit jms. Infosüsteemide audiitor on sõltumatu ega esinda ühegi infotehnoloogia tootja või vahendaja firma huve. See võimaldab tal suhtuda objekti erapooletult ning olla oma hinnangutes objektiivne ja õiglane.

Infosüsteemide auditeerimise spetsialist saab projekti juhti, infosüsteemi loojat ja/või huvitatud osapoolt abistada tarkvaraarenduse protsessi standardite järgimisel, metoodiliste protsesside juurutamisel ja käigushoidmisel. Õigete meetodite õigeaegne järgimine aitab oluliselt vähendada riske, mille realiseerumisel võib projekt osaliselt või täielikult ebaõnnestuda.

Infosüsteemide omaniku järelevalve säästab ettevõtja aega ja vaeva, võtab enda õlule igapäevase kontrolli infosüsteemi loomise üle ning hoiab ettevõtjat kursis kõige toimuvaga.

Infosüsteemi omanik peab usaldama järelevalve tegijat, kuna järelevalve teostaja on palgatud tema huve esindama ning nende sõltumatus peab olema tagatud vajalike ametieetika standarditega.

Praktikas määravad infosüsteemi omanikud järelevalve tegija juba isegi enne infosüsteemi projekteerimise algust või infosüsteemi kavandama asudes, sellisel juhul peamiselt pakkumisdokumentide ja eelarve koostamiseks. Viimasel juhul täidab järelevalve teostaja väga selgelt infosüsteemi omaniku nõustaja rolli.

Siit tulenevalt on kõige olulisem järelevalve teostaja valimisel lähtuda tema kvalifikatsioonist ning eelnevatest samaliigiliste objektide järelevalve, projekteerimise või loomise kogemustest.

Infosüsteemi auditit vajavad tihti ka ettevõtted, kes peavad esitama partneritele, klientidele või omanikele sõltumatu hinnangu oma infosüsteemi kohta.

Kohustuslikult peavad infosüsteemi auditit läbi viima krediidiasutused, kindlustusfirmad, digitaalallkirja sertifitseerimise ja ajatempliteenuse osutajad.

Auditi objekti ja ulatuse valikul saab infosüsteemi audiitor ettevõtjaid aidata, selgitades välja kriitilisema tähtsusega objektid ja protseduurid.

Autor: Liivi Mahlapuu