Audit, mis seob äri ja tehnoloogia üheks tervikuks
Kui auditijäljed, logid ja aruandluse metaandmed on tsentraliseeritud ja kõigile osapooltele nähtavad, tekib üks tõde. See vähendab vaidlusi stiilis Excel versus süsteem ning suunab aastaauditi fookuse vaidlustamiselt tõendamisele.
Usaldus algab andmetest
Mõni aeg tagasi küsis üks finantsjuht enne aastaauditit: „Kas meie numbrid on süsteemi tasandil sama kindlad kui Excelis?“ See on hetk, kus infotehnoloogia audit ehk IT-audit astub rambivalgusse. Selle eesmärk ei ole muuta pearaamatu sisu, vaid kinnitada, et alusandmed on korrektsed, täielikud ja kaitstud. See tähendab läbipaistvat kande teekonda, miinimumõiguste põhimõtet, logisid, mis räägivad sama lugu mis bilanss, ning varundust ja taastamist, mida on päriselt proovitud, mitte ainult kirjeldatud.Sageli kuulen juhtidelt: „Aga audit ütleb meile ju seda, mida me juba teame.“ Õige vastus on, et hea väline IT-audit mitte ei kinnita üksnes olemasolevat teadmist, vaid toob nähtavale ka selle, mida seni ei teatud.
Väline pilk märkab detaile, mida igapäevane rutiin varjab ega
piirdu selgitusega „meil on alati nii tehtud“.
Sõltumatu vaade aitab juhtkonnal tõlkida tehnilised probleemid arusaadavasse keelde ning tugineb parimatele praktikatele ja kohalikele regulatsioonidele, mis üheskoos tõstavad nii nõuetele vastavust kui ka konkurentsivõimet.
Finantsaruandluse kaitsemehhanism
Finants- ja tehnoloogiakontrollid moodustavad ühtse terviku. Kui kanne liigub müügist pearaamatusse integratsioonide kaudu: andmete väljavõtmise, teisendamise ja laadimise protsessi ning aruandlusloogika abil, on vaja kolme elementi:- selget andmehaldust – kes vastutab iga andmeelemendi eest, kes kinnitab valuutakursi allika ja kes haldab transformatsioonireegleid.
- muutuste juhtimist – iga muudatus, mis võib mõjutada periooditlust või klassifitseerimist, peab läbima testimise, kooskõlastuse ja tagasipööramise plaani.
- tõendatavust – auditijälg ja metaandmed peavad olema loetavad nii tehnilisele tiimile kui ka finantsmeeskonnale.
Selle raamistiku eesmärk ei ole süüdlaste leidmine, vaid süsteemne hindamine, kas protsessid toetavad usaldusväärseid ja kaitstud finantsandmeid. Just see on finantsaruandluse tõeline kaitsemehhanism.
Küberriskid, mis võivad finantsandmeid moonutada
Praktikas kujutavad suurimat ohtu just need vead, mis jäävad esmapilgul märkamatuks. Hiljutises auditis tuvastasime „unustatud“ arendusserveri, mis oli olnud kuude kaupa internetis avalikult kättesaadav. Õnneks polnud petturid seda märganud, kuid olukorra lõpptulemus võinuks olla märksa tõsisem. See on tüüpiline pimenurk, mille toob päevavalgele just sõltumatu pilk.Alljärgnevad riskikategooriad kirjeldavad peamisi tehnoloogilisi tegureid, mis võivad põhjustada finantsandmete ebatäpsusi või moonutusi.
- Integratsioonirisk: rakendusliidese katkestus või valesti ajastatud partiitöötlus võib nihutada tulud valesse perioodi.
- Muudatusrisk: näiliselt süütu optimeerimine võib tekitada kõrvalekalde aruandlusloogikas.
- Ligipääsurisk: liiga laiad seadistusõigused võimaldavad kandeid ühe nupuvajutusega väärklassifitseerida.
- Logimisrisk: kui sündmuste logi on napp või killustunud, muutub hilisem tõendamine oletuste jadaks.
- Järjepidevuse risk: taastamata varukoopia on lootus, mitte kontroll.
Väline audit loob kindlustunde
Miks väline? Sest objektiivsus on väärtus. Väline audiitor ei toetu ettevõtte väljakujunenud harjumustele, vaid rahvusvahelistele standarditele ja elulistele riskistsenaariumitele. Tulemus pole lihtsalt hinnang, vaid tegevusplaan, mis viib päris muutusteni: alates ligipääsude korrastamisest kuni varunduse ja taastamise läbiharjutamiseni. See annab juhatusele meelerahu, et infosüsteemid toetavad finantsauditi eesmärke, ning finantsaudiitorile kindluse, et saab tugineda süsteemsetele kontrollidele, mitte üksnes käsitööle.Hea audit ei lõpe leidude nimekirjaga, vaid joonistab teekaardi konkreetsete sammudega:
- millised on ärikriitilised protsessid (tulud, varud, põhivarad);
- milline on nende tehniline selgroog (süsteemid, integratsioonid, töövood, andmeelemendid);
- millised on kontrollid (ligipääsud, logimine, muutuste haldus, varundus ja taastamine, kvaliteedikontrollid);
- kuidas neid kontrollitakse ja testitakse.
Selline terviklik ülesehitus ongi see, mis eristab formaalset kontrolli tegelikust riskide maandamisest.
Regulaarne audit kui kompass
Äri ei seisa paigal – iga uus toode, turg või ühinemine toob kaasa mitmesuguseid riske. Seepärast on regulaarne väline audit nagu kompass, mis aitab hoida pikaajalist kurssi. See tugevdab usaldust nii meeskonna sees kui ka partnerite, investorite ja regulaatorite silmis.Välise audiitori tugevus peitub kogemuses: ta on näinud sadu sarnaseid olukordi ning oskab prognoosida, kus võivad tekkida vead, mida organisatsiooni sees on sageli keeruline märgata.
Alustan infotehnoloogia-audiitorina majja sisenedes alati samast kohast: selgitan välja ettevõtte finantskriitilised protsessid ja nende tehnilise ahela. Seejärel hindan kontrolle ja katsetan taastamist. Vaatan, kuidas toorandmest saab pearaamatu kanne, millal tekib periooditlus ning mis juhtub, kui sünkroon katkeb või kursitabel läheb valeks. Kui ilmneb pimenurk, siis ei piirdu ma selle fikseerimisega, vaid seon lahenduse konkreetse eesmärgiga, olgu selleks turule laienemine, efektiivsuse tõstmine või sertifitseerimise ettevalmistus.
Kui pärast üht IT-auditit koos finantsjuhiga serveriruumist väljusime, ütles ta: „Esimest korda on tunne, et süsteem räägib meiega samas keeles.“ Täpselt see ongi eesmärk. Ja kui küsida, millal alustada, siis aus vastus on: enne järgmise kuu lõppu. Regulaarne väline pilk on nagu kompass, mis aitab ettevõttel hoida õiget kurssi ning väldib neid „unustatud serveri“ lugusid, mis võivad muidu väga kalliks maksma minna.
Hea audit tähendab oskust rääkida nii ärilist kui ka tehnilist keelt. See on märk küpsest juhtimis- ja riskikultuurist, kus tehnoloogia- ja finantskontrollid ei kulge eraldi, vaid toimivad ühe tugeva rööbasteena.
Allikas: www.rup.ee
Mihkel Kukk
küberturvalisuse teenuste juht
Viimased artiklid
Kas turvalisus on organisatsiooni tõukejõud või pidur?
Viimase paari aasta jooksul olen näinud kümneid meeskondi, kes alustasid küberturvalisuse teekonda..
Miks Purple Teaming on puuduv lüli tänapäevases küberturvalisuses?
Tänasel küberturvalisuse maastikul leiavad enamik organisatsioone end kahe reaalsuse vahel: nad te..
Kas Sinu organisatsioon on valmis ootamatuks küberrünnakuks või süsteemikatkestuseks?
Küberturvalisus ei ole enam valikuline, vaid lausa hädavajalik investeering, mis aitab kaitsta äri..
Ettevõtte ostmisel ei tohi küberturvalisus jääda põrsaks kotis
„Mis on esimene asi, mida sa teed, kui kuhugi investeerid,“ küsib KPMG Baltics küberturvalisuse te..
Auditit võib vaja minna ka IT-osakonnal
Auditite tegemisest on saanud hea juhtimiskultuuri osa, kuid harva mõeldakse finantsaudititest kau..
Muuda ohud võimalusteks
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
KPMG Baltics OÜ
+372 626 8700cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
Võta meiega ühendust
${i18n('ask_more')}
Töötajate teadlikkuse analüüs
Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
${i18n('ask_more')}
Ohuanalüüs
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
${i18n('ask_more')}
Küpsusanalüüs
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.