Az IT audit definíciója-az IT audit minden olyan audit, amely magában foglalja az automatizált információfeldolgozó rendszerek, a kapcsolódó nem automatizált folyamatok és a köztük lévő interfészek felülvizsgálatát és értékelését. Az informatikai audit megtervezése két fő lépést foglal magában. Az első lépés az információgyűjtés és némi tervezés a második lépés a meglévő belső ellenőrzési struktúra megértése. Egyre több szervezet lép át a kockázatalapú ellenőrzési megközelítés felé, amelyet a kockázat felmérésére használnak, és segít az informatikai auditornak abban, hogy eldöntse, hogy megfelelőségi vagy érdemi tesztelést végez-e. A kockázatalapú megközelítésben az informatikai auditorok belső és operatív ellenőrzésekre, valamint a vállalat vagy a vállalkozás ismereteire támaszkodnak. Ez a fajta kockázatértékelési döntés segíthet a kontroll költség-haszon elemzésének az ismert kockázattal való összekapcsolásában. Az “információgyűjtés” lépésben az informatikai auditornak öt elemet kell azonosítania:
- az üzleti és ipari ismeretek
- az előző év ellenőrzési eredményei
- legutóbbi pénzügyi információk
- szabályozási alapszabály
- inherens kockázatértékelések
az “inherens kockázatokról” szóló mellékjegyzet azt a kockázatot jelenti, hogy olyan hiba áll fenn, amely lényeges vagy jelentős lehet az ellenőrzés során észlelt egyéb hibákkal kombinálva, feltételezve, hogy nincsenek kapcsolódó kompenzációs kontrollok. Például az összetett adatbázis-frissítéseket nagyobb valószínűséggel írják rosszul, mint az egyszerűeket, a pendrive-okat pedig nagyobb valószínűséggel lopják el (jogellenesen használják), mint a kiszolgálószekrényben lévő blade-kiszolgálókat. Az inherens kockázatok az audittól függetlenül léteznek, és a vállalkozás jellegéből adódóan előfordulhatnak.
a” meglévő belső ellenőrzési struktúra megértése ” lépésben az informatikai auditornak öt másik területet/tételt kell azonosítania:
- Kontrollkörnyezet
- ellenőrzési eljárások
- kimutatási kockázatértékelés
- Kontrollkockázat-értékelés
- egyenértékűvé teszi a teljes kockázatot
Miután az informatikai auditor “információkat gyűjtött” és “megértette az ellenőrzést”, akkor készen állnak az auditálandó területek tervezésének vagy kiválasztásának megkezdésére. Ne feledje, hogy az egyik legfontosabb információ, amelyre a kezdeti lépésekben szüksége lesz, egy aktuális üzleti hatáselemzés (BIA), amely segít kiválasztani a legkritikusabb vagy legérzékenyebb üzleti funkciókat támogató alkalmazást.
az informatikai audit célkitűzései
az informatikai audit célkitűzései leggyakrabban arra összpontosítanak, hogy igazolják, hogy a belső kontrollok léteznek, és a várakozásoknak megfelelően működnek az üzleti kockázat minimalizálása érdekében. Ezek az ellenőrzési célok magukban foglalják a jogi és szabályozási követelményeknek való megfelelés biztosítását, valamint az információs rendszerek és adatok titkosságát, integritását és rendelkezésre állását (CIA – nem a szövetségi ügynökség, hanem az információbiztonság).
IT ellenőrzési stratégiák
itt két területről kell beszélni, az első az, hogy elvégezzem-e a megfelelőségi vagy érdemi tesztelést, a második pedig: “hogyan szerezhetem meg a bizonyítékokat, amelyek lehetővé teszik az alkalmazás ellenőrzését és a jelentésemet a vezetőségnek?”Mi a különbség a megfelelőség és az érdemi tesztelés között? A megfelelőségi tesztelés bizonyítékokat gyűjt annak tesztelésére, hogy egy szervezet követi-e ellenőrzési eljárásait. Másrészt az érdemi tesztelés bizonyítékokat gyűjt az egyes adatok és egyéb információk integritásának értékelésére. Például a vezérlők megfelelőségi tesztelése a következő példával írható le. A szervezetnek van egy ellenőrzési eljárása, amely kimondja, hogy minden alkalmazásváltozásnak változásvezérlésen kell keresztülmennie. Mint egy IT auditor lehet, hogy a jelenlegi futó konfiguráció egy router, valamint egy példányát a -1 generációs konfigurációs fájl ugyanazon router, futtasson egy fájlt összehasonlítani, hogy mi volt a különbség; majd vegye ezeket a különbségeket, és keresse meg a támogató változás vezérlő dokumentációt. Ne lepődj meg, hogy a hálózati rendszergazdák, amikor egyszerűen újra szekvenálják a szabályokat, elfelejtik a változást a változásvezérlésen keresztül. Az érdemi teszteléshez tegyük fel, hogy egy szervezetnek van politikája/eljárása a biztonsági szalagokra vonatkozóan a távoli tárolóhelyen, amely 3 generációt tartalmaz (nagyapa, apa, fiú). Egy informatikai auditor fizikai leltárt készítene a szalagokról a helyszíni tárolóhelyen, és összehasonlítaná ezt a leltárt a szervezetek leltárával, valamint annak biztosítására, hogy mind a 3 generáció jelen legyen.
a második terület a következővel foglalkozik: “Hogyan tudom megszerezni a bizonyítékokat, hogy lehetővé tegyem az alkalmazás ellenőrzését és a jelentésemet a vezetőségnek?”Nem meglepő, hogy meg kell:
- tekintse át az IT szervezeti felépítését
- tekintse át az IT irányelveket és eljárásokat
- tekintse át az IT szabványokat
- tekintse át az IT dokumentációt
- tekintse át a szervezet BIA-ját
- interjú a megfelelő személyzettel
- figyelje meg a folyamatokat és az alkalmazottak teljesítményét
- vizsgálat, amely szükségszerűen magában foglalja a kontrollok tesztelését, és ezért tartalmazza a tesztek eredményeit.
a bizonyítékok összegyűjtésének további kommentárjaként annak megfigyelése, hogy az egyén valójában mit csinál, szemben azzal, amit állítólag tennie kell, értékes bizonyítékokat szolgáltathat az informatikai auditornak, amikor a felhasználó általi megvalósítás és megértés ellenőrzéséről van szó. Szintén végző walk-through adhat értékes betekintést, hogy hogyan egy adott funkció kerül végrehajtásra.
alkalmazás vs. általános vezérlők
az Általános vezérlők a szervezet minden területére vonatkoznak, beleértve az informatikai infrastruktúrát és a támogatási szolgáltatásokat is. Néhány példa az Általános ellenőrzésekre:
- belső számviteli vezérlők
- működési vezérlők
- adminisztratív vezérlők
- szervezeti biztonsági szabályzatok és eljárások
- a megfelelő dokumentumok és nyilvántartások tervezésére és használatára vonatkozó általános irányelvek
- a hozzáférés megfelelő védelmét biztosító eljárások és gyakorlatok
- fizikai és logikai biztonsági szabályzatok az összes adatközpont és informatikai erőforrás számára
az Alkalmazásvezérlők az egyes számítógépes alkalmazásrendszerekre vonatkozó tranzakciókra és adatokra vonatkoznak; ezért az Alkalmazásvezérlők az egyes számítógépes alkalmazásrendszerekre vonatkozó tranzakciókra és adatokra vonatkoznak;, ezek az egyes alkalmazásokra jellemzőek. Az alkalmazásellenőrzések célja a nyilvántartások teljességének és pontosságának, valamint a hozzájuk tett bejegyzések érvényességének biztosítása. Az alkalmazásvezérlők az IPO (input, processing, output) funkciók vezérlése, és olyan módszereket tartalmaznak, amelyek biztosítják, hogy:
- csak teljes, pontos és érvényes adatok kerülnek bevitelre és frissítésre egy alkalmazási rendszerben
- a feldolgozás végrehajtja a tervezett és helyes feladatot
- a feldolgozási eredmények megfelelnek az elvárásoknak
- az adatok karbantartásra kerülnek
informatikai auditorként az alkalmazás-ellenőrzési audit végrehajtása során a feladatoknak a következőket kell tartalmazniuk:
- Az alkalmazás jelentős összetevőinek azonosítása; a tranzakciók áramlása az alkalmazáson (rendszeren)keresztül; az alkalmazás részletes megértése az összes rendelkezésre álló dokumentáció áttekintésével és a megfelelő személyzet, például a rendszertulajdonos, az adattulajdonos, az adatkezelő és a rendszergazda meghallgatásával.
- az Alkalmazásvezérlés erősségeinek azonosítása és az alkalmazásvezérlőkben talált hiányosságok hatásának értékelése
- tesztelési stratégia kidolgozása
- a kontrollok tesztelése azok működőképességének és hatékonyságának biztosítása érdekében
- a teszt eredményeinek és bármely más ellenőrzési bizonyíték értékelése annak megállapítására, hogy a kontrollcélok megvalósultak-e
- Az alkalmazás értékelése a menedzsment célkitűzéseivel szemben a rendszer számára a hatékonyság és eredményesség biztosítása érdekében.
IT audit control reviews
az összes bizonyíték összegyűjtése után az IT auditor felülvizsgálja azt annak megállapítása érdekében, hogy az auditált műveletek jól kontrolláltak és hatékonyak-e. Ez az, ahol a szubjektív ítélőképességed és tapasztalatod játszik szerepet. Például előfordulhat, hogy az egyik területen gyengeséget talál, amelyet kompenzál egy másik szomszédos terület nagyon erős ellenőrzése. Informatikai ellenőrként az Ön felelőssége, hogy mindkét megállapítást jelentse az ellenőrzési jelentésben.
az audit teljesíthető
tehát mi szerepel az audit dokumentációban, és mit kell tennie az informatikai auditornak az audit befejezése után. Itt található a mosodai lista arról, hogy mit kell tartalmaznia az ellenőrzési dokumentációban:
- az ellenőrzés hatókörének és céljainak megtervezése és előkészítése
- a hatókörű ellenőrzési terület leírása és/vagy áttekintései
- ellenőrzési program
- az elvégzett ellenőrzési lépések és az összegyűjtött ellenőrzési bizonyítékok
- hogy más könyvvizsgálók és szakértők szolgáltatásait használták-e és azok hozzájárulásait
- az ellenőrzés megállapításai, következtetései és ajánlásai
- az ellenőrzési dokumentáció kapcsolata a dokumentum azonosításával és dátumaival (a bizonyítékok kereszthivatkozása az ellenőrzési lépésekre)
- az ellenőrzési munka eredményeként kiadott jelentés másolata
- a könyvvizsgálati felügyelet bizonyítéka review
amikor közli a könyvvizsgálati eredményeket a szervezettel, az általában egy kilépési interjún történik, ahol lehetősége lesz megvitatni a vezetőséggel az esetleges megállapításokat és ajánlásokat. Teljesen biztosnak kell lenned:
- a jelentésben bemutatott tények helyesek
- az ajánlások reálisak és költséghatékonyak, vagy alternatívákat tárgyaltak a szervezet vezetőségével
- a jelentésben szereplő ajánlásokhoz az ajánlott megvalósítási időpontokban megállapodunk.
a kilépési interjú előadása magas szintű vezetői összefoglalót tartalmaz (ahogy Friday őrmester szokta mondani, csak a tényeket kérem, csak a tényeket). És bármilyen okból is, egy kép ezer szót ér, ezért tegyen néhány PowerPoint diát vagy grafikát a jelentésben.
az ellenőrzési jelentést úgy kell strukturálni, hogy tartalmazza:
- bevezetés (összefoglalás)
- a megállapítások külön szakaszban vannak, és a címzett szerint csoportosítva
- az Ön általános következtetése és véleménye a vizsgált kontrollok megfelelőségéről és az azonosított lehetséges kockázatokról
- az ellenőrzéssel kapcsolatos fenntartások vagy képesítések
- részletes megállapítások és ajánlások
végül van néhány egyéb szempont, amelyet figyelembe kell vennie a zárójelentés elkészítésekor és bemutatásakor. Ki a közönség? Ha a jelentés az audit Bizottsághoz kerül, előfordulhat, hogy nem kell látniuk a helyi üzleti egység jelentésében szereplő apróságokat. Meg kell határoznia az alkalmazott szervezeti, szakmai és kormányzati kritériumokat, mint például a GAO-Yellow Book, A CobiT vagy a NIST SP 800-53. A jelentésnek időszerűnek kell lennie, hogy ösztönözze a gyors korrekciós intézkedéseket.