IT-Audit und Kontrollen – Planung des IT–Audits

Definition des IT-Audits – Ein IT-Audit kann als jedes Audit definiert werden, das die Überprüfung und Bewertung automatisierter Informationsverarbeitungssysteme, verwandter nicht automatisierter Prozesse und deren Schnittstellen umfasst. Die Planung des IT-Audits umfasst zwei wichtige Schritte. Der erste Schritt besteht darin, Informationen zu sammeln und zu planen, der zweite Schritt besteht darin, ein Verständnis für die bestehende interne Kontrollstruktur zu erlangen. Immer mehr Unternehmen setzen auf einen risikobasierten Auditansatz, der zur Risikobewertung verwendet wird und einem IT-Auditor hilft, die Entscheidung zu treffen, ob Compliance-Tests oder inhaltliche Tests durchgeführt werden sollen. Bei einem risikobasierten Ansatz verlassen sich IT-Auditoren auf interne und operative Kontrollen sowie auf das Wissen des Unternehmens oder des Geschäfts. Diese Art der Risikobewertungsentscheidung kann helfen, die Kosten-Nutzen-Analyse der Kontrolle mit dem bekannten Risiko in Beziehung zu setzen. Im Schritt „Informationen sammeln“ muss der IT-Auditor fünf Elemente identifizieren:

  • Geschäfts- und Branchenkenntnisse
  • Prüfungsergebnisse des Vorjahres
  • Aktuelle Finanzinformationen
  • Aufsichtsrechtliche Bestimmungen
  • Inhärente Risikobewertungen

Eine Randnotiz zu „Inhärenten Risiken“ besteht darin, sie als das Risiko zu definieren, dass ein Fehler vorliegt, der in Kombination mit anderen Fehlern, die während der Prüfung aufgetreten sind, wesentlich oder signifikant sein könnte, vorausgesetzt, es gibt keine damit verbundenen Kompensationskontrollen. Beispielsweise werden komplexe Datenbankaktualisierungen häufiger falsch geschrieben als einfache, und USB-Sticks werden häufiger gestohlen (zweckentfremdet) als Blade-Server in einem Serverschrank. Inhärente Risiken bestehen unabhängig von der Prüfung und können aufgrund der Art des Geschäfts auftreten.

Im Schritt „Die bestehende Interne Kontrollstruktur verstehen“ muss der IT-Auditor fünf weitere Bereiche/Items identifizieren:

  • Kontrollumgebung
  • Kontrollverfahren
  • Detektionsrisikobewertung
  • Kontrollrisikobewertung
  • Gesamtrisiko gleichsetzen

Sobald der IT-Auditor „Informationen gesammelt“ und „die Kontrolle verstanden“ hat, kann er mit der Planung oder Auswahl der zu auditierenden Bereiche beginnen. Denken Sie daran, dass eine der wichtigsten Informationen, die Sie in den ersten Schritten benötigen, eine aktuelle Business Impact Analysis (BIA) ist, die Sie bei der Auswahl der Anwendung unterstützt, die die kritischsten oder sensibelsten Geschäftsfunktionen unterstützt.

Ziele eines IT-Audits

In den meisten Fällen konzentrieren sich die Ziele eines IT-Audits darauf, zu belegen, dass die internen Kontrollen vorhanden sind und wie erwartet funktionieren, um das Geschäftsrisiko zu minimieren. Zu diesen Prüfungszielen gehören die Sicherstellung der Einhaltung gesetzlicher und regulatorischer Anforderungen sowie die Vertraulichkeit, Integrität und Verfügbarkeit (CIA – nicht die Bundesbehörde, sondern die Informationssicherheit) von Informationssystemen und Daten.

IT-Audit-Strategien

Hier gibt es zwei Bereiche zu besprechen, der erste ist, ob Compliance oder inhaltliche Tests durchgeführt werden sollen, und der zweite ist: „Wie erhalte ich die Beweise, die es mir ermöglichen, die Anwendung zu auditieren und dem Management Bericht zu erstatten?“ Was ist also der Unterschied zwischen Compliance und inhaltlichen Tests? Compliance-Tests sammeln Beweise, um zu testen, ob eine Organisation ihre Kontrollverfahren befolgt. Auf der anderen Seite sammeln inhaltliche Tests Beweise, um die Integrität einzelner Daten und anderer Informationen zu bewerten. Beispielsweise kann die Konformitätsprüfung von Kontrollen anhand des folgenden Beispiels beschrieben werden. Eine Organisation verfügt über ein Kontrollverfahren, das besagt, dass alle Anwendungsänderungen die Änderungskontrolle durchlaufen müssen. Als IT-Auditor können Sie die aktuell ausgeführte Konfiguration eines Routers sowie eine Kopie der -1-Generation der Konfigurationsdatei für denselben Router verwenden, einen Dateivergleich durchführen, um die Unterschiede festzustellen. und dann nehmen Sie diese Unterschiede und suchen Sie nach unterstützenden Änderungssteuerungsdokumentationen. Seien Sie nicht überrascht, dass Netzwerkadministratoren, wenn sie Regeln einfach neu sequenzieren, vergessen, die Änderung durch Änderungskontrolle zu setzen. Nehmen wir für inhaltliche Tests an, dass eine Organisation Richtlinien / Verfahren für Sicherungsbänder am externen Speicherort hat, die 3 Generationen (Großvater, Vater, Sohn) umfassen. Ein IT-Auditor würde eine physische Bestandsaufnahme der Bänder am externen Speicherort durchführen und dieses Inventar mit dem Inventar der Organisation vergleichen und sicherstellen, dass alle 3 Generationen vorhanden waren.

Der zweite Bereich befasst sich mit „Wie erhalte ich die Beweise, die es mir ermöglichen, den Antrag zu prüfen und dem Management Bericht zu erstatten?“ Es sollte nicht überraschen, dass Sie:

  • Überprüfen Sie die IT-Organisationsstruktur
  • Überprüfen Sie die IT-Richtlinien und -Verfahren
  • Überprüfen Sie die IT-Standards
  • Überprüfen Sie die IT-Dokumentation
  • Überprüfen Sie die BIA der Organisation
  • Befragen Sie das entsprechende Personal
  • Beobachten Sie die Prozesse und die Leistung der Mitarbeiter
  • Prüfung, die notwendigerweise die Prüfung von Kontrollen beinhaltet und daher die Ergebnisse der Tests enthält.

Als zusätzliche Methode zur Beweiserhebung kann die Beobachtung dessen, was eine Person tatsächlich tut, im Vergleich zu dem, was sie tun soll, dem IT-Auditor wertvolle Beweise liefern, wenn es um die Implementierung und das Verständnis der Kontrolle durch den Benutzer geht. Auch die Durchführung eines Walk-Through kann wertvolle Einblicke geben, wie eine bestimmte Funktion ausgeführt wird.

Anwendungs-vs. allgemeine Kontrollen

Allgemeine Kontrollen gelten für alle Bereiche des Unternehmens, einschließlich der IT-Infrastruktur und der Supportdienste. Einige Beispiele für allgemeine Kontrollen sind:

  • Interne Buchhaltungskontrollen
  • Betriebliche Kontrollen
  • Administrative Kontrollen
  • Organisatorische Sicherheitsrichtlinien und -verfahren
  • Allgemeine Richtlinien für die Gestaltung und Verwendung angemessener Dokumente und Aufzeichnungen
  • Verfahren und Praktiken zur Gewährleistung angemessener Schutzmaßnahmen für den Zugriff
  • Physische und logische Sicherheitsrichtlinien für alle Rechenzentren und IT-Ressourcen

Anwendungskontrollen beziehen sich auf die Transaktionen und Daten, die sich auf jedes computergestützte Anwendungssystem beziehen; , sie sind für jede Anwendung spezifisch. Ziel der Anwendungskontrollen ist es, die Vollständigkeit und Richtigkeit der Aufzeichnungen sowie die Gültigkeit der darin gemachten Angaben sicherzustellen. Anwendungssteuerelemente sind Steuerelemente für IPO-Funktionen (Eingabe, Verarbeitung, Ausgabe) und umfassen Methoden, um sicherzustellen, dass:

  • Nur vollständige, genaue und gültige Daten werden in ein Anwendungssystem eingegeben und aktualisiert
  • Die Verarbeitung erfüllt die geplante und korrekte Aufgabe
  • Die Verarbeitungsergebnisse entsprechen den Erwartungen
  • Daten werden gepflegt

Als IT-Auditor sollten Ihre Aufgaben bei der Durchführung eines Application Control Audits Folgendes umfassen:

  • Identifizierung der wesentlichen Anwendungskomponenten; der Transaktionsfluss durch die Anwendung (System); und um ein detailliertes Verständnis der Anwendung zu erhalten, indem Sie alle verfügbaren Dokumentationen überprüfen und das entsprechende Personal wie Systemeigentümer, Dateneigentümer, Datenverwalter und Systemadministrator befragen.
  • Ermittlung der Stärken der Anwendungskontrolle und gegebenenfalls Bewertung der Auswirkungen von Schwächen, die Sie in den Anwendungskontrollen finden
  • Entwicklung einer Teststrategie
  • Testen der Kontrollen, um ihre Funktionalität und Wirksamkeit sicherzustellen
  • Bewertung Ihrer Testergebnisse und anderer Auditnachweise, um festzustellen, ob die Kontrollziele erreicht wurden
  • Bewertung der Anwendung anhand der Ziele des Managements für das System, um Effizienz und Effektivität sicherzustellen.

Überprüfungen der IT-Audit-Kontrolle

Nachdem alle Beweise gesammelt wurden, überprüft der IT-Auditor, ob die geprüften Vorgänge gut kontrolliert und effektiv sind. Hier kommen Ihr subjektives Urteilsvermögen und Ihre Erfahrung ins Spiel. Beispielsweise können Sie in einem Bereich eine Schwäche feststellen, die durch eine sehr starke Kontrolle in einem anderen angrenzenden Bereich ausgeglichen wird. Es liegt in Ihrer Verantwortung als IT-Auditor, diese beiden Ergebnisse in Ihrem Auditbericht zu melden.

The audit deliverable

Also, was ist in der Audit-Dokumentation enthalten und was muss der IT-Auditor tun, wenn sein Audit abgeschlossen ist. Hier ist die Wäscheliste, was in Ihrer Audit-Dokumentation enthalten sein sollte:

  • Planung und Vorbereitung des Prüfungsumfangs und der Prüfungsziele
  • Beschreibung und/oder exemplarische Vorgehensweisen zum Prüfungsbereich
  • Prüfungsprogramm
  • Durchgeführte Prüfungsschritte und gesammelte Prüfungsnachweise
  • Ob Dienste anderer Prüfer und Sachverständiger in Anspruch genommen wurden und deren Beiträge
  • Prüfungsergebnisse, Schlussfolgerungen und Empfehlungen
  • Prüfungsdokumentation Beziehung mit Dokumentenidentifikation und -datum (Ihr Querverweis von Beweisen auf den Prüfungsschritt)
  • Eine Kopie des Berichts als Ergebnis der Prüfungsarbeit ausgestellt
  • Nachweis der Prüfungsaufsicht überprüfung

Wenn Sie die Prüfungsergebnisse der Organisation mitteilen, erfolgt dies in der Regel bei einem Exit-Interview, bei dem Sie die Möglichkeit haben, alle Ergebnisse und Empfehlungen mit dem Management zu besprechen. Sie müssen absolut sicher sein:

  • Die im Bericht dargestellten Fakten sind korrekt
  • Die Empfehlungen sind realistisch und kostengünstig oder es wurden Alternativen mit dem Management der Organisation ausgehandelt
  • Die empfohlenen Umsetzungstermine für die Empfehlungen, die Sie in Ihrem Bericht haben, werden vereinbart.

Ihre Präsentation bei diesem Exit-Interview wird eine hochrangige Zusammenfassung enthalten (wie Sgt. Friday zu sagen pflegt, bitte nur die Fakten, nur die Fakten). Und aus welchem Grund auch immer, Ein Bild sagt mehr als tausend Worte, also machen Sie einige PowerPoint-Folien oder Grafiken in Ihrem Bericht.

Ihr Auditbericht sollte so strukturiert sein, dass er:

  • Eine Einführung (Executive Summary)
  • Die Ergebnisse sind in einem separaten Abschnitt zusammengefasst und nach beabsichtigtem Empfänger gruppiert
  • Ihre allgemeine Schlussfolgerung und Meinung zur Angemessenheit der untersuchten Kontrollen und zu den identifizierten potenziellen Risiken
  • Etwaige Vorbehalte oder Qualifikationen in Bezug auf die Prüfung
  • Detaillierte Ergebnisse und Empfehlungen

Schließlich gibt es noch einige andere Überlegungen, die Sie bei der Erstellung und Präsentation Ihres Abschlussberichts berücksichtigen müssen. Wer ist das Publikum? Wenn der Bericht an den Prüfungsausschuss geht, muss er möglicherweise nicht die Details sehen, die in den Bericht der lokalen Geschäftseinheit eingehen. Sie müssen die angewandten organisatorischen, beruflichen und staatlichen Kriterien wie GAO-Yellow Book, CobiT oder NIST SP 800-53 identifizieren. Ihr Bericht sollte zeitnah sein, um sofortige Korrekturmaßnahmen zu fördern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.