Definition af It-Revision – en IT-revision kan defineres som enhver revision, der omfatter gennemgang og evaluering af automatiserede informationsbehandlingssystemer, relaterede ikke-automatiserede processer og grænsefladerne mellem dem. Planlægning af IT-revisionen involverer to hovedtrin. Det første trin er at indsamle information og planlægge det andet trin er at få en forståelse af den eksisterende interne kontrolstruktur. Flere og flere organisationer flytter til en risikobaseret revisionstilgang, der bruges til at vurdere risiko og hjælper en IT-Revisor med at træffe beslutningen om, hvorvidt der skal udføres compliance-test eller substantiel test. I en risikobaseret tilgang er IT-revisorer afhængige af interne og operationelle kontroller samt viden om virksomheden eller virksomheden. Denne type risikovurderingsbeslutning kan hjælpe med at relatere cost-benefit-analysen af kontrollen til den kendte risiko. I trinnet” indsamling af Information ” skal IT-Revisor identificere fem punkter:
- kendskab til erhvervslivet
- tidligere års revisionsresultater
- seneste finansielle oplysninger
- lovgivningsmæssige vedtægter
- iboende risikovurderinger
en sidebemærkning om “iboende risici” er at definere det som risikoen for, at der eksisterer en fejl, der kan være væsentlig eller signifikant, når den kombineres med andre fejl, der opstår under revisionen, forudsat at der ikke er nogen relateret kompenserende kontrol. Som et eksempel er komplekse databaseopdateringer mere tilbøjelige til at blive skrevet forkert end enkle, og tommelfingerdrev er mere tilbøjelige til at blive stjålet (misbrugt) end bladeservere i et serverskab. Iboende risici eksisterer uafhængigt af revisionen og kan opstå på grund af virksomhedens art.
i trinnet “få en forståelse af den eksisterende interne kontrolstruktur” skal IT-revisoren identificere fem andre områder / emner:
- kontrolmiljø
- kontrolprocedurer
- detektion risikovurdering
- kontrol risikovurdering
- sidestille den samlede risiko
Når it-revisoren har “indsamlet Information” og “forstår kontrollen”, er de klar til at begynde planlægningen eller udvælgelsen af områder, der skal revideres. Husk, at en af de vigtigste oplysninger, du har brug for i de indledende trin, er en aktuel Bia-analyse (Business Impact Analysis) for at hjælpe dig med at vælge det program, der understøtter de mest kritiske eller følsomme forretningsfunktioner.
mål for en IT-revision
oftest koncentrerer it-revisionsmål sig om at underbygge, at de interne kontroller eksisterer og fungerer som forventet for at minimere forretningsrisikoen. Disse revisionsmål inkluderer at sikre overholdelse af juridiske og lovgivningsmæssige krav samt fortrolighed, integritet og tilgængelighed (CIA – Nej ikke det føderale agentur, men informationssikkerhed) af informationssystemer og data.
it-revisionsstrategier
der er to områder at tale om her, det første er, om man skal udføre overholdelse eller materiel test, og det andet er “hvordan går jeg i gang med at få beviserne til at give mig mulighed for at revidere ansøgningen og afgive min rapport til ledelsen?”Så hvad er forskellen mellem compliance og substantiel test? Compliance test er at indsamle beviser for at teste for at se, om en organisation følger sine kontrolprocedurer. På den anden side er materiel test indsamling af beviser for at evaluere integriteten af individuelle data og anden information. For eksempel kan overensstemmelsestest af kontroller beskrives med følgende eksempel. En organisation har en kontrolprocedure, der siger, at alle applikationsændringer skal gennemgå ændringskontrol. Som IT-Revisor kan du tage den aktuelle kørende konfiguration af en router såvel som en kopi af -1-generationen af konfigurationsfilen for den samme router, køre en fil Sammenlign for at se, hvad forskellene var; og tag derefter disse forskelle og se efter understøttende dokumentation for ændringskontrol. Vær ikke overrasket over at finde ud af, at netværksadministratorer, når de simpelthen re-sekventeringsregler, glemmer at sætte ændringen gennem ændringskontrol. For materielle test, lad os sige, at en organisation har politik/procedure vedrørende backup bånd på offsite lagerplads, som omfatter 3 generationer (bedstefar, far, søn). En IT-Revisor ville foretage en fysisk opgørelse over båndene på offsite-lagerpladsen og sammenligne denne beholdning med organisationens beholdning samt se efter at sikre, at alle 3 generationer var til stede.
det andet område omhandler “hvordan går jeg i gang med at få beviserne til at tillade mig at revidere ansøgningen og lave min rapport til ledelsen?”Det bør ikke komme som nogen overraskelse, at du har brug for:
- gennemgå it-organisationsstruktur
- gennemgå it-politikker og procedurer
- gennemgå it-standarder
- gennemgå it-dokumentation
- gennemgå organisationens BIA
- samtale det relevante personale
- Overhold processerne og medarbejdernes ydeevne
- undersøgelse, som nødvendigvis inkorporerer test af kontroller og derfor inkluderer resultaterne af testene.
som yderligere kommentar til indsamling af beviser kan observation af, hvad en person faktisk gør i forhold til hvad de skal gøre, give IT-Revisor værdifulde beviser, når det kommer til kontrol implementering og forståelse af brugeren. Også at udføre en gennemgang kan give værdifuld indsigt i, hvordan en bestemt funktion udføres.
anvendelse vs. generelle kontroller
generelle kontroller gælder for alle områder af organisationen, herunder IT-infrastruktur og supporttjenester. Nogle eksempler på generel kontrol er:
- intern regnskabskontrol
- operationel kontrol
- administrativ kontrol
- organisatoriske sikkerhedspolitikker og-procedurer
- overordnede politikker for design og brug af passende dokumenter og poster
- procedurer og praksis for at sikre passende sikkerhedsforanstaltninger over adgang
- fysiske og logiske sikkerhedspolitikker for alle datacentre og IT-ressourcer
applikationskontrol henviser til transaktioner og data vedrørende hvert computerbaseret applikationssystem; derfor er de specifikke for hver applikation. Formålet med applikationskontrol er at sikre, at optegnelserne er fuldstændige og nøjagtige, og gyldigheden af de indtastninger, der er foretaget til dem. Applikationskontrol er kontrol over IPO (input, processing, output) funktioner og inkluderer metoder til at sikre, at:
- kun komplette, nøjagtige og gyldige data indtastes og opdateres i et applikationssystem
- behandling udfører den designede og korrekte opgave
- behandlingsresultaterne opfylder forventningerne
- Data opretholdes
som IT-Revisor skal dine opgaver, når du udfører en applikationskontrolrevision, omfatte:
- identifikation af de væsentlige applikationskomponenter; strømmen af transaktioner gennem applikationen (systemet); og for at få en detaljeret forståelse af applikationen ved at gennemgå al tilgængelig dokumentation og samtale med det relevante personale, såsom systemejer, dataejer, dataforvalter og systemadministrator.
- identificering af applikationskontrolstyrkerne og evaluering af virkningen, hvis nogen, af svagheder, du finder i applikationskontrollerne
- udvikling af en teststrategi
- test af kontrollerne for at sikre deres funktionalitet og effektivitet
- evaluering af dine testresultater og ethvert andet revisionsbevis for at afgøre, om kontrolmålene blev nået
- evaluering af applikationen i forhold til ledelsens mål for systemet for at sikre effektivitet og effektivitet.
it-revisionskontrol anmeldelser
efter indsamling af alle beviser vil IT-Revisor gennemgå det for at afgøre, om de reviderede operationer er godt kontrollerede og effektive. Nu er det her din subjektive vurdering og erfaring kommer i spil. For eksempel kan du finde en svaghed i et område, som kompenseres af en meget stærk kontrol i et andet tilstødende område. Det er dit ansvar som IT-Revisor at rapportere begge disse resultater i din revisionsrapport.
revisionen leveres
så hvad er inkluderet i revisionsdokumentationen, og hvad skal IT-revisoren gøre, når deres revision er afsluttet. Her er vasketøjslisten over, hvad der skal inkluderes i din revisionsdokumentation:
- planlægning og forberedelse af Revisionens omfang og mål
- beskrivelse og/eller gennemgange på det afgrænsede revisionsområde
- revisionsprogram
- udførte Audittrin og indsamlet auditbevis
- hvorvidt andre revisorers og eksperters tjenester blev anvendt og deres bidrag
- Auditresultater, konklusioner og anbefalinger
- Auditdokumentation relation til dokumentidentifikation og datoer (din krydshenvisning af evidens til audittrin)
- li> en kopi af rapporten udstedt som følge af revisionsarbejdet
- bevis for revision tilsyn gennemgå
Når du kommunikerer revisionsresultaterne til organisationen, vil det typisk ske ved en udgangssamtale, hvor du får mulighed for at diskutere med ledelsen eventuelle fund og anbefalinger. Du skal være helt sikker på:
- de fakta, der præsenteres i rapporten, er korrekte
- anbefalingerne er realistiske og omkostningseffektive, eller alternativer er blevet forhandlet med organisationens ledelse
- de anbefalede implementeringsdatoer vil blive aftalt for de anbefalinger, du har i din rapport.
din præsentation ved denne afslutningssamtale vil indeholde et sammendrag på højt niveau (som Sgt. fredag bruger til at sige, bare fakta tak, bare fakta). Og af en eller anden grund, et billede er værd tusind ord, så gør nogle Magtpoint dias eller grafik i din rapport.
din revisionsrapport skal være struktureret, så den indeholder:
- en introduktion (sammendrag)
- resultaterne er i et separat afsnit og grupperet efter den tilsigtede modtager
- din overordnede konklusion og udtalelse om tilstrækkeligheden af de undersøgte kontroller og eventuelle identificerede potentielle risici
- eventuelle forbehold eller kvalifikationer med hensyn til revisionen
- detaljerede resultater og anbefalinger
endelig er der et par andre overvejelser, som du skal være opmærksom på, når du udarbejder og præsenterer din endelige rapport. Hvem er publikum? Hvis rapporten går til revisionsudvalget, behøver de muligvis ikke at se de detaljer, der går ind i rapporten om den lokale forretningsenhed. Du bliver nødt til at identificere de organisatoriske, faglige og statslige kriterier, der anvendes som GAO-gul bog, CobiT eller NIST SP 800-53. Din rapport vil være rettidig for at tilskynde til hurtig korrigerende handling.