Definici auditu – audit může být definován jako jakýkoli audit, který zahrnuje recenze a hodnocení automatických systémů pro zpracování informací, souvisejících s non-automatizované procesy a rozhraní mezi nimi. Plánování it auditu zahrnuje dva hlavní kroky. Prvním krokem je shromažďování informací a plánování druhým krokem je pochopení stávající struktury vnitřní kontroly. Stále více organizací přechází na auditní přístup založený na rizicích, který se používá k posouzení rizik a pomáhá auditorovi IT při rozhodování o tom, zda provést testování shody nebo věcné testování. V přístupu založeném na rizicích se auditoři IT spoléhají na interní a provozní kontroly, jakož i na znalosti společnosti nebo podniku. Tento typ rozhodnutí o posouzení rizik může pomoci spojit analýzu nákladů a přínosů kontroly se známým rizikem. V kroku „shromažďování informací“ musí IT auditor identifikovat pět položek:
- Znalosti o podnikání a průmysl
- Před letošní výsledky auditu
- Poslední finanční informace
- Regulační stanovy
- Vlastní posouzení rizik
vedlejší poznámku na „Inherentní rizika,“je to definovat jako riziko, že chyba existuje, které by mohly být závažné nebo závažné při kombinaci s dalšími chyby, které se vyskytly během auditu, za předpokladu, že neexistují žádné související kompenzační kontroly. Jako příklad, komplexní aktualizace databáze jsou více pravděpodobné, že bude miswritten než ty jednoduché, a flash disky jsou více pravděpodobné, že budou ukradeny (neoprávněně) než blade servery v serverové skříně. Inherentní rizika existují nezávisle na auditu a mohou nastat kvůli povaze podnikání.
v kroku „porozumět stávající struktuře vnitřní kontroly“ musí IT auditor identifikovat pět dalších oblastí / položek:
- Kontrolní prostředí
- Kontrolní postupy
- Detekce rizik
- Řízení rizik
- Rovnítko celkové riziko
Jakmile JE auditor má „Shromážděné Informace“ a „Chápe Kontrolu“ pak jsou připraveni začít plánování, nebo výběr oblastí pro audit. Pamatuji jednu z klíčových informací, které budete potřebovat v počáteční kroky, je současný Obchodní Analýzy Dopadů (BIA), které vám pomohou při výběru aplikace, které podporu nejvíce kritické nebo citlivé obchodní funkce.
Cíle IT audit
Nejčastěji, cíle auditu soustředit na doložení, že vnitřní kontroly existují a fungují, jak se očekávalo, aby se minimalizovalo podnikatelské riziko. Tyto cíle auditu zahrnovat zajištění souladu s právními a regulačními požadavky, stejně jako důvěrnost, integritu, dostupnost (CIA – ne federální agentury, ale bezpečnost informací) informační systémy a data.
strategie auditu IT
zde je třeba hovořit o dvou oblastech, první je, zda provést dodržování předpisů nebo věcné testování, a druhá je „Jak mohu získat důkazy, které mi umožní provést audit aplikace a podat zprávu vedení?“Jaký je tedy rozdíl mezi dodržováním předpisů a věcným testováním? Testování shody shromažďuje důkazy k testování, aby se zjistilo, zda organizace dodržuje své kontrolní postupy. Na druhé straně je shromažďování důkazů pro vyhodnocení integrity jednotlivých dat a dalších informací. Například testování shody kontrol může být popsáno na následujícím příkladu. Organizace má kontrolní postup, který stanoví, že všechny změny aplikace musí projít kontrolou změn. Jako IT auditor, možná se aktuální běžící konfigurace routeru, stejně jako kopie -1 generace konfigurační soubor pro stejný router, spustit soubor, v porovnání s vidět, jaké rozdíly byly; a pak se ty rozdíly a podívat se na podporu řízení změn dokumentace. Nebuďte překvapeni, když zjistíte, že správci sítě, když jsou jednoduše re-sekvenování pravidla, zapomenout dát změnu prostřednictvím kontroly změn. Pro věcné testování řekněme, že organizace má politiku / postup týkající se záložních pásek v místě úložiště mimo pracoviště, které zahrnuje 3 generace(dědeček, otec, syn). IT auditor by udělat fyzickou inventuru pásky na offsite úložiště, a porovnat, že inventář organizace zásob, stejně jako se snaží zajistit, že všechny 3 generace byli přítomni.
druhá oblast se zabývá „jak mohu získat důkazy, které mi umožní provést audit aplikace a podat zprávu vedení?“Nemělo by být žádným překvapením, že musíte:
- Recenze JE organizační struktura
- Přezkumu politik a postupů
- Revizi normy
- Recenze JE dokumentace
- Hodnocení organizace BIA
- Rozhovor vhodných pracovníků
- Sledovat procesy a výkon zaměstnanců
- Vyšetření, které zahrnuje nutností, testování kontrol, a proto obsahuje výsledky zkoušek.
Jako další komentář shromažďování důkazů, pozorování, co jedinec skutečně ví a co mají dělat, může poskytnout JEJ auditorovi cenné důkazy, když jde na kontrolu provádění a pochopení uživatelem. Také provedení průchodu může poskytnout cenný přehled o tom, jak se konkrétní funkce provádí.
aplikace vs. obecné kontroly
obecné kontroly platí pro všechny oblasti organizace, včetně IT infrastruktury a podpůrných služeb. Některé příklady obecných kontrol jsou:
- Vnitřní účetní kontroly
- ovládací prvky
- Administrativní kontroly
- Organizační bezpečnostní politiky a postupy
- Celkové zásady pro konstrukci a použití vhodných dokumentů a záznamů
- Postupy a praktiky, aby zajistily odpovídající záruky, pokud jde o přístup
- Fyzické a logické bezpečnostní politiky pro všechny datových center a IT zdroje
Aplikace ovládací prvky odkazovat na transakce a údaje vztahující se ke každému počítači aplikace založené na systému; proto, že jsou specifické pro každou aplikaci. Cílem aplikačních kontrol je zajistit úplnost a přesnost záznamů a platnost záznamů, které k nim byly provedeny. Ovládací prvky aplikace jsou ovládací prvky nad funkcemi IPO (vstup, zpracování, výstup) a zahrnují metody pro zajištění toho, aby:
- Pouze kompletní, přesné a platné údaje, které se zadávají a aktualizují v žádosti systém
- Zpracování dosáhne navrženy a jaká úkol
- zpracování výsledky splňují očekávání
- Data je zachována
Jako IT auditor, své úkoly při provádění aplikace, kontrolní audit by měl obsahovat:
- Identifikovat významné součásti aplikace; tok transakcí prostřednictvím aplikace (systém); a získat podrobné informace o žádosti o přezkoumání veškeré dostupné dokumentace a rozhovory vhodných pracovníků, jako systém, vlastník, vlastník údajů, údaje opatrovníka a správce systému.
- Identifikace ovládání aplikace silných a hodnocení dopadu, pokud existuje, nedostatků najdete v aplikaci ovládací prvky
- Vývoj testovací strategie
- Testování kontroly, aby se zajistila jejich funkčnost a účinnost
- Vyhodnocení výsledků vašeho testu a všech dalších důkazních informací k určení, zda ovládací cíle bylo dosaženo
- Hodnocení aplikace proti řízení cílů pro systém, aby zajistily účinnost a účelnost.
auditu kontrolu recenze
Po shromáždění všech důkazů JE auditor přezkoumá, aby určil, jestli auditované operace jsou dobře řízené a efektivní. Nyní přichází do hry váš subjektivní úsudek a zkušenost. Například, můžete najít slabost v jedné oblasti, která je kompenzována velmi silnou kontrolou v jiné přilehlé oblasti. Jako auditor IT je vaší odpovědností oznámit obě tato zjištění ve své zprávě o auditu.
výstup auditu
takže co je zahrnuto v auditní dokumentaci a co musí IT auditor udělat po dokončení auditu. Zde je seznam toho, co by mělo být zahrnuto do vaší auditní dokumentace:
- Plánování a příprava auditu rozsah a cíle
- Popis a/nebo návody na rozsahem auditu oblasti
- Audit programu
- Audit kroky provedeny a auditní důkazy získané
- Zda služby jiných auditorů a expertů byly použity a jejich příspěvky
- zjištění Auditu, závěry a doporučení
- Audit dokumentace souvislosti s identifikací dokumentu a data (cross-reference důkazů auditu krok)
- kopie zprávy vydané jako výsledek auditu práce
- Důkazy z auditu dohledu recenze
Při komunikaci výsledků auditu pro organizaci to bude obvykle být provedeno na výstupní pohovor, kde budete mít příležitost diskutovat s vedením všech zjištění a doporučení. Musíte si být naprosto jistá:
- fakta předložená v této zprávě jsou správné
- doporučení jsou realistické a nákladově efektivní, nebo alternativy, které byly sjednány s vedení organizace
- doporučené termíny provádění bude souhlasila, na doporučení máte ve vaší zprávě.
vaše prezentace na tomto výstupním rozhovoru bude obsahovat shrnutí na vysoké úrovni (jak říká seržant Friday, jen fakta, prosím, jen fakta). A z jakéhokoli důvodu, obrázek stojí za tisíc slov, takže ve své zprávě udělejte nějaké snímky nebo grafiku aplikace PowerPoint.
vaše zpráva o auditu by měla být strukturována tak, aby obsahovala:
- úvod (shrnutí)
- zjištění jsou v samostatné části a seskupeny podle zamýšleného příjemce
- Váš celkový závěr a stanovisko o přiměřenosti kontrol přezkoumány a jakékoliv identifikované potenciální rizika
- Žádné výhrady či kvalifikace s ohledem na audit
- Podrobná zjištění a doporučení
a Konečně, existuje několik dalších úvah, které budete muset být vědomi při přípravě a prezentaci své závěrečné zprávy. Kdo je publikum? Pokud se zpráva dostane Výboru pro audit, nemusí vidět markanty, které se dostanou do zprávy místní obchodní jednotky. Budete muset identifikovat organizační, profesní a vládní kritéria, jako je GAO-Yellow Book, CobiT nebo NIST SP 800-53. Vaše zpráva bude chtít být včasná, aby podpořila rychlá nápravná opatření.