määritelmä IT audit – IT audit voidaan määritellä mikä tahansa auditointi, joka käsittää automaattisten tietojenkäsittelyjärjestelmien, niihin liittyvien ei-automatisoitujen prosessien ja niiden välisten rajapintojen tarkastelun ja arvioinnin. IT-auditoinnin suunnittelussa on kaksi suurta vaihetta. Ensimmäinen askel on kerätä tietoa ja tehdä joitakin suunnittelu toinen askel on saada käsitys nykyisen sisäisen valvonnan rakenne. Yhä useammat organisaatiot ovat siirtymässä riskiperusteiseen auditointiin, jota käytetään riskien arviointiin ja joka auttaa IT-tilintarkastajaa tekemään päätöksen siitä, suorittaako vaatimustenmukaisuuden testaus vai aineellinen testaus. Riskilähtöisessä lähestymistavassa it-tilintarkastajat luottavat sisäiseen ja operatiiviseen valvontaan sekä yrityksen tai liiketoiminnan tuntemukseen. Tämäntyyppinen riskinarviointipäätös voi auttaa suhteuttamaan kontrollin kustannus-hyötyanalyysin tunnettuun riskiin. ”Tietojen kerääminen” – vaiheessa IT-tilintarkastajan on tunnistettava viisi kohtaa:

• Elinkeinoelämän tuntemus
• edellisen vuoden tilintarkastuksen tulokset
• Viimeaikaiset taloudelliset tiedot
• sääntelyasiakirjat
• luontaiset riskinarvioinnit

”luontaisia riskejä” koskeva sivuhuomautus on määritellä riskiksi, että on olemassa virhe, joka voi olla olennainen tai merkittävä yhdistettynä muihin tarkastuksen aikana havaittuihin virheisiin, olettaen, että asiaan liittyviä korvaavia tarkastuksia ei ole. Esimerkiksi monimutkaiset tietokantapäivitykset ovat todennäköisemmin virheellisiä kuin yksinkertaiset, ja muistitikut ovat todennäköisemmin varastettuja (kavallettuja) kuin palvelinkaapissa olevat blade-palvelimet. Sisäisiin riskeihin liittyy tilintarkastuksesta riippumattomia riskejä, jotka voivat johtua liiketoiminnan luonteesta.

” Gain an Understanding of the Existing Internal Control Structure ” – vaiheessa tietotekniikan tarkastajan on yksilöitävä viisi muuta aluetta/kohtaa:

• valvontaympäristö
• valvontamenettelyt

unnistusriskien arviointi

• Valvontariskien arviointi
• rinnastaa kokonaisriskin

kun IT-tarkastaja on ”kerännyt tietoa” ja ”ymmärtää valvonnan”, hän on valmis aloittamaan tarkastettavien alueiden suunnittelun tai valinnan. Muista yksi tärkeimmistä tiedoista, joita tarvitset alkuvaiheessa on nykyinen Business Impact Analysis (BIA), auttaa sinua valitsemaan sovelluksen, joka tukee kriittisimpiä tai arkaluonteisia liiketoiminnan toimintoja.

tietoteknisen tarkastuksen tavoitteet

useimmiten tietoteknisen tarkastuksen tavoitteet keskittyvät sen osoittamiseen, että sisäinen valvonta on olemassa ja toimii odotetulla tavalla liiketoimintariskin minimoimiseksi. Näihin tarkastustavoitteisiin kuuluu lakisääteisten ja lakisääteisten vaatimusten noudattamisen varmistaminen sekä tietojärjestelmien ja tietojen luottamuksellisuus, eheys ja saatavuus (CIA – ei liittovaltion virasto, vaan tietoturva).

IT-auditointistrategiat

tässä on kaksi aihealuetta, joista ensimmäinen on se, tehdäänkö vaatimustenmukaisuus-vai sisällöllinen testaus ja toinen on ”Miten saan todisteet, jotta voin tarkastaa hakemuksen ja tehdä raporttini johdolle?”Mikä ero on vaatimustenmukaisuuden ja aineellisen testauksen välillä? Vaatimustenmukaisuuden testaus kerää todisteita testatakseen, noudattaako organisaatio valvontamenettelyjään. Toisaalta aineellinen testaus on näytön keräämistä yksittäisten tietojen ja muiden tietojen eheyden arvioimiseksi. Esimerkiksi kontrollien vaatimustenmukaisuuden testausta voidaan kuvata seuraavalla esimerkillä. Organisaatiolla on valvontamenettely, jonka mukaan kaikkien sovellusmuutosten on kuljettava muutosvalvonnan kautta. Koska IT tilintarkastaja saatat ottaa nykyisen käynnissä kokoonpano reitittimen sekä kopio -1 sukupolven asetustiedoston saman reitittimen, suorita tiedosto vertaa nähdä, mitä erot olivat; ja sitten ottaa nämä erot ja etsiä tukevat muutosohjausasiakirjat. Älä ylläty huomatessasi, että verkon ylläpitäjät, kun ne ovat yksinkertaisesti uudelleen sekvensointisääntöjä, unohtavat laittaa muutoksen muutosvalvonnan kautta. Aineellista testausta varten sanotaan, että organisaatiolla on politiikka/menettely, joka koskee varmuuskopiointinauhoja offsite-tallennuspaikalla, joka sisältää 3 sukupolvea (isoisä, isä, poika). IT tilintarkastaja tekisi fyysisen inventaarion nauhat offsite varastointi sijainti ja vertaa, että inventaario organisaatioiden inventaario sekä haluavat varmistaa, että kaikki 3 sukupolvet olivat läsnä.

toinen osa-alue käsittelee ”miten saan todisteet, jotta voin tarkastaa hakemuksen ja tehdä raporttini johdolle?”Sen ei pitäisi tulla yllätyksenä, että sinun täytyy:

• Tarkista IT-organisaatiorakenne
• Tarkista IT-standardit ja menettelyt
• Tarkista IT-standardit
• Tarkista it-dokumentaatio
• Tarkista organisaation BIA
• haastattele sopivaa henkilökuntaa
• tarkkaile prosesseja ja työntekijöiden suoritusta
• tarkastus, joka sisältää pakostakin kontrollien testauksen ja siten myös testien tulokset.

lisäkommentaationa todisteiden keräämisestä, havainnointi siitä, mitä yksilö todella tekee verrattuna siihen, mitä heidän oletetaan tekevän, voi tarjota IT-tarkastajalle arvokasta näyttöä, kun on kyse käyttäjän toteuttamisesta ja ymmärtämisestä. Myös läpikäynti voi antaa arvokasta tietoa siitä, miten jokin tietty tehtävä suoritetaan.

sovellus vs. yleisvalvonta

yleisvalvonta koskee kaikkia organisaation osa-alueita, mukaan lukien IT-infrastruktuuri ja tukipalvelut. Joitakin esimerkkejä yleisistä tarkastuksista ovat:

sisäinen laskentatoimi

operatiivinen valvonta

hallinnolliset tarkastukset

organisaation turvallisuuskäytännöt ja-menettelyt

yleiset toimintaperiaatteet riittävien asiakirjojen ja rekisterien suunnittelua ja käyttöä varten

menettelyt ja käytännöt, joilla varmistetaan riittävä pääsy

kaikkien datakeskusten ja tietoteknisten resurssien fyysinen ja looginen turvallisuuspolitiikka

Sovellustarkastuksissa viitataan kuhunkin tietokonepohjaiseen sovellusjärjestelmään liittyviin liiketoimiin ja tietoihin, ne ovat erityisiä kunkin sovelluksen. Soveltamisvalvonnan tavoitteena on varmistaa rekisterien täydellisyys ja oikeellisuus sekä niihin tehtyjen merkintöjen oikeellisuus. Sovellusten valvonta on IPO-toimintojen (input, processing, output) valvontaa, ja sisältää menetelmiä, joilla varmistetaan, että:

• vain täydellisiä, tarkkoja ja valideja tietoja syötetään ja päivitetään hakemusjärjestelmään
• käsittely suorittaa suunnitellun ja oikean tehtävän
• käsittelyn tulokset vastaavat odotuksia
• tietoja ylläpidetään

It-tarkastajana tehtäviisi sovelluskontrollitarkastuksen suorittamisessa tulisi kuulua:

• merkittävien sovelluskomponenttien tunnistaminen; tapahtumien kulku sovelluksen (järjestelmän)kautta; ja saada yksityiskohtainen käsitys hakemuksesta käymällä läpi kaikki saatavilla olevat asiakirjat ja haastattelemalla sopivaa henkilöstöä, kuten järjestelmän omistaja, tietojen omistaja, tietojen säilyttäjä ja järjestelmän ylläpitäjä.
• sovelluksen ohjauksen vahvuuksien tunnistaminen ja mahdollisten heikkouksien vaikutusten arviointi sovelluskontrolleissa
• testausstrategian kehittäminen
• kontrollien testaaminen niiden toimivuuden ja vaikuttavuuden varmistamiseksi
• testaustulosten ja muun tarkastusaineiston arviointi sen määrittämiseksi, saavutettiinko kontrollitavoitteet
• sovelluksen arviointi suhteessa johdon tavoitteisiin järjestelmän tehokkuuden ja vaikuttavuuden varmistamiseksi.

IT audit control reviews

kerättyään kaiken todistusaineiston IT-auditoija käy sen läpi määrittääkseen, ovatko tarkastetut toiminnot hyvin valvottuja ja tehokkaita. Tässä kohtaa Subjektiivinen harkintakykysi ja kokemuksesi astuvat kuvaan. Esimerkiksi, saatat löytää heikkous yhdellä alueella, joka kompensoidaan erittäin vahva valvonta toisella Lähialueella. On sinun vastuullasi IT-tilintarkastajana ilmoittaa näistä molemmista havainnoista tilintarkastuskertomuksessasi.

tilintarkastuksen tulos

Joten mitä tilintarkastusasiakirjoihin sisältyy ja mitä IT-tilintarkastajan tulee tehdä, kun tilintarkastus on päättynyt. Tässä on pyykkilista siitä, mitä tilintarkastusasiakirjoihin tulisi sisällyttää:

• auditoinnin laajuuden ja tavoitteiden suunnittelu ja valmistelu
• kuvaus ja/tai läpiviennit tarkastusalueesta
• Auditointiohjelma
• suoritetut Tarkastusvaiheet ja tarkastusaineisto koottuna
• käytettiinkö muiden tilintarkastajien ja asiantuntijoiden palveluja ja heidän panostaan
• tarkastushavainnot, päätelmät ja suositukset
• Tarkastusasiakirjojen suhde asiakirjojen tunnistamiseen ja päivämääriin (näytön ristiviittaus tarkastusvaiheeseen)
• kopio tarkastustyön tuloksena annetusta kertomuksesta
• tarkastusvalvonnan todistusaineisto

kun ilmoitat tarkastuksen tulokset organisaatiolle, se tehdään tyypillisesti poistumishaastattelussa, jossa sinulla on mahdollisuus keskustella johdon kanssa havainnoista ja suosituksista. On oltava täysin varma:

• raportissa esitetyt faktat pitävät paikkansa
• suositukset ovat realistisia ja kustannustehokkaita, tai vaihtoehdoista on neuvoteltu organisaation johdon kanssa
• suosituksista sovitaan toteutuspäivämäärät raporttiin sisältyville suosituksille.

esityksesi tässä ulostulohaastattelussa sisältää korkean tason tiivistelmän (kuten ylikonstaapeli Friday use to say, just the facts please, just the facts). Ja jostain syystä, kuva on arvoinen tuhat sanaa niin tehdä joitakin PowerPoint dioja tai grafiikkaa raportin.

tilintarkastuskertomuksesi tulisi jäsentää siten, että se sisältää:

johdanto (tiivistelmä)

havainnot ovat erillisessä osiossa ja ryhmitelty aiotun vastaanottajan mukaan

yleinen johtopäätöksesi ja lausuntosi tarkastettujen tarkastusten riittävyydestä ja havaituista mahdollisista riskeistä

mahdolliset tarkastukseen liittyvät varaumat tai pätevyydet

yksityiskohtaiset havainnot ja suositukset

lopuksi on muutamia muita näkökohtia, jotka sinun on otettava huomioon loppuraporttia valmistellessasi ja esittäessäsi. Kuka on yleisö? Jos raportti menee tarkastusvaliokuntaan, heidän ei välttämättä tarvitse nähdä seutukuntaraporttiin meneviä yksityiskohtia. Sinun on tunnistettava sovellettavat organisatoriset, ammatilliset ja hallinnolliset kriteerit, kuten GAO-Yellow Book, CobiT tai NIST sp 800-53. Mietintönne haluaa olla oikea-aikainen, jotta se kannustaisi pikaisiin korjaaviin toimiin.