Njoftime

Trajnimi Auditimi IT dhe Eksperienca e Gjykatës Turke të Llogarive

31.05.2016

 

Më datat 23-27 Maj 2016 në Gjykatën Turke të Llogarive (TCA-Turkish Court of Accounts) u zhvillua trajnimi me temë “Auditimi i Teknologjisë së Informacionit-Eksperienca e TCA”. Ky trajnim u realizua nga sektori i auditimit të IT në TCA, një ekip prej dhjetë audituesish të cilët përcollën tek pjesëmarrësit njohuritë e përgjithshme dhe të detajuara mbi auditimin IT, të cilat ishin përmbledhur në mënyrë të tillë që të ishin të kuptueshme edhe për pjesëmarrësit jo të specializuar në teknologji informacioni.

fotoja_2692_0

Trajnimi për auditimin e teknologjisë së informacionit, u shtri në fusha të ndryshme, si më poshtë:

Trajnimi nisi me një prezantim të teknologjisë së informacionit, historikut të saj, dysimeve që njerëz të fushës kanë patur në zhvillimin që do të kishte, rëndësinë që ka zënë sot si dhe risqet që e shoqërojnë atë. Sot ai që përbën objekt auditimi për audituesit publik IT është ofrimi i shërbimeve publike nëpërmjet teknologjive. Risqet me të cilat përballet përhapja e madhe e teknologjisë në sektorin publik përfshijnë: çëshjte të lidhura me sigurinë e informacionit, mbrojtjen e të dhënave, keqmenaxhim i fondeve publike, mungesë e ligjeve dhe rregullave mbi IT, mungesë e vizionit të përshtatshëm të e-shërbimeve (shërbime publike që ofrohen nëpërmjet portaleve online), mungesë e integrimit horizontal midis institucioneve publike, çështje që lidhen me integritetin e të dhënave, vazhdueshmëria e biznesit, etj.

Në auditimet e teknologjisë së informacionit risku që shoqëron IT përbëhet nga disa elementë: aseti-burimet, proceset, produktet ose infrastrukturën kompjuterike që një institucion duhet të mbrojë; kërcënimi- një rrezik i mundshëm ndaj sistemeve të informacionit; cënueshmëria-dobësi në kontrollet e brendshme që mund të përhapet me anë të një kërcënimi duke fituar akses në informacion ose duke ndërprerë sistemet; ndikimi-rezultati i një kërcënimi që ushtrohet mbi një dobësi. Menaxhimi i risqeve të teknologjisë së informacionit kryhet nëpërmjet hapave:

1. analizës së riskut
2. vlerësimi i riskut
3. trajtimi i riskut

Masat që institucionet publike marrim kundrejt risqeve janë kontrollet e brendshme të IT të cilat ndahen në disa kategori: kontrolle parandaluese-kontrollet që zbatohen për të ndaluar humbjet që ndodhin në rast të eventit të një risku; kontrolle zbuluese-kontrollet që zbatohen për të zbuluar një gabim ose një event me ndikim negativ i cili ka ndodhur; kontrolle korrigjuese-këto kontrolle janë dizenjuar për korrigjuat gabime pasi ato janë zbuluar.
Ashtu si dhe Kontrolli i Lartë i Shtetit, edhe Gjykata Turke e Llogarive për ushtrimin e funksionit të vet të auditimit të IT bazohet në standardet dhe praktikat më të mira ndërkombëtare, të tilla si ISSAI 5300, ISSAI 5310, Cobit, Itil, standardet ISO, etj. Standardet IT ofrojnë një bazë të qëndrueshme të praktikave më të mira të mbledhura për çdo tip institucioni. Ato ofrojnë themele të forta së parti për të stabilizuar proceset IT dhe më tej për të udhëhequr në përmirësimin e këtyre proceseve. Njësoj e rëndësishme është si fokusimi i standardeve IT në procese ashtu edhe vlera që vjen nga njohja dhe adaptimi i këtyre standardeve prej njerëzve. Për këtë arsye, implementimi i standardeve IT duhet të trajtohet si një iniciativë ndryshimi, e cila do të thotë gjithashtu ndryshim i sjelljes së stafit të IT.
Më tëj pjesëmarrësit u njohën me metodologjinë e auditimit të IT në TCA. Ndërtimi i kësaj metodologjie për TCA kishte zgjatur për një periudhë pesë vjeçare dhe kishte prekur elementë të tillë si: ndryshimi i ligjit të TCA dhe përshtatja e tij për futjen e auditimit të IT në funksionin e institucionit; hartimi i udhëzuesit të auditimit të IT në TCA; hartimi i politikave për thirrjen e ekspertëve të jashtëm në fushën e IT për operacione të veçantë sipas nevojës; si dhe hartimi i letrave të punës, pyetësorë, checklista, formularë vlerësues risku, etj.

Rëndësi gjatë trajnimit iu dha edhe teknikave CAAT (Computer Assisted Audit Tools), të cilat në KLSH dhe në TCA kanë një shtrirje të gjerë në auditim. Si program i përgjithshëm auditimi i cili ndihmon në analizën e të dhënave, në TCA përdoret ACL i cili është shumë i ngjashëm në funksionet që kryen dhe në interaktivitetin me përdoruesin me IDEA, i cili përdoret në KLSH. Funksionet bazë dhe më të përdorshmet të këtyre dy programeve auditimi, janë: importim, renditje, total/nëntotal, analizë sekuencash, analizë e hendeqeve, analizë e publikimeve, filtrimi i të dhënave, llogaritje matematikore, grupim/klasifikim, bashkim bazash të dhënash dhe kamponim.
Në fund të trajnimit, organizatorët kishin ftuar ekspertë të jashtëm të cilët shpjeguan dhe dhanë raste konkrete të ndihmës që ata kanë dhënë në auditimin publik, ndihmë e cila është përqendruar më shumë në testimet teknike mbi sigurinë e infrastrukturës kompjuterike dhe sigurinë e të dhënave që një institucion mban, proceson dhe gjeneron.

Çështjet që u evidentuan, të cilat kanë ndryshime nga metodologjia shqiptare janë:

-TCA nuk publikon raportet e auditimit të IT në faqen e saj të internetit, pasi kjo sipas grupit të organizatorëve do të ofronte tek “ndërhyrësit me ndikim negativ”, një panoramë të dobësive të subjektit nën auditim
-TCA në ligjin dhe rregulloret e saj përcakton se audituesit e saj kanë akses në të gjithë informacionet që institucionet publike zotërojnë si dhe subjektet janë të detyruara të paraqesin informacionet sipas formatit që audituesit kërkojnë.
Si konkluzion, pjesëmarrësit me profile të ndryshme audituesi (auditues të teknologjisë së informacionit, financiar, performance) u njohën me një panoramë të gjerë dhe të detajuar të auditimit IT si dhe në përfundim të trajnimit u pajisën me një certifikatë të lëshuar nga TCA.