Definizione di IT audit – Un IT audit può essere definito come qualsiasi audit che comprende la revisione e la valutazione di sistemi automatizzati di elaborazione delle informazioni, relativi processi non automatizzati e le interfacce tra di loro. La pianificazione dell’audit IT comporta due passaggi principali. Il primo passo è quello di raccogliere informazioni e fare un po ‘ di pianificazione il secondo passo è quello di ottenere una comprensione della struttura di controllo interno esistente. Sempre più organizzazioni stanno passando a un approccio di audit basato sul rischio che viene utilizzato per valutare il rischio e aiuta un auditor IT a prendere la decisione se eseguire test di conformità o test sostanziali. In un approccio basato sul rischio, i revisori IT si affidano a controlli interni e operativi nonché alla conoscenza dell’azienda o dell’azienda. Questo tipo di decisione di valutazione del rischio può contribuire a collegare l’analisi costi-benefici del controllo al rischio noto. Nella fase “Raccolta di informazioni” l’auditor IT deve identificare cinque elementi:
- Conoscenza del commercio e dell’industria
- esercizio Precedente, i risultati degli audit
- Recenti informazioni finanziarie
- Normativi statuto
- Inerenti le valutazioni di rischio
nota A margine sul “rischio Inerente,” è definito come il rischio che la presenza di un errore che potrebbe essere materiale o significativa quando combinato con altri errori rilevati durante l’audit, supponendo che non ci siano relativi controlli compensativi. Ad esempio, gli aggiornamenti di database complessi hanno maggiori probabilità di essere scritti in modo errato rispetto a quelli semplici e le chiavette usb hanno maggiori probabilità di essere rubate (appropriate indebitamente) rispetto ai server blade in un cabinet del server. I rischi intrinseci esistono indipendentemente dall’audit e possono verificarsi a causa della natura dell’attività.
Nella fase “Acquisire una comprensione della struttura di controllo interno esistente”, l’auditor IT deve identificare altre cinque aree / elementi:
- Ambiente di controllo
- Procedure di controllo
- Detection risk assessment
- Control risk assessment
- Equiparare il rischio totale
Una volta che il revisore IT ha “Raccolto informazioni” e “Capisce il controllo”, allora sono pronti per iniziare la pianificazione, o selezione delle aree, da sottoporre a revisione. Ricorda che una delle informazioni chiave di cui avrai bisogno nei passaggi iniziali è un’analisi di impatto aziendale corrente (BIA), per aiutarti a selezionare l’applicazione che supporta le funzioni aziendali più critiche o sensibili.
Obiettivi di un audit IT
Molto spesso, gli obiettivi di audit IT si concentrano sulla dimostrazione che i controlli interni esistono e funzionano come previsto per ridurre al minimo il rischio aziendale. Questi obiettivi di audit includono garantire la conformità ai requisiti legali e normativi, nonché la riservatezza, l’integrità e la disponibilità (CIA – no non l’agenzia federale, ma la sicurezza delle informazioni) dei sistemi informativi e dei dati.
IT audit strategies
Ci sono due aree di cui parlare qui, la prima è se fare compliance o test sostanziali e la seconda è “Come faccio a ottenere le prove per permettermi di controllare l’applicazione e fare il mio rapporto alla direzione?”Quindi qual è la differenza tra conformità e test sostanziali? Il test di conformità sta raccogliendo prove per verificare se un’organizzazione sta seguendo le sue procedure di controllo. D’altra parte i test sostanziali stanno raccogliendo prove per valutare l’integrità dei singoli dati e altre informazioni. Ad esempio, il test di conformità dei controlli può essere descritto con il seguente esempio. Un’organizzazione ha una procedura di controllo che afferma che tutte le modifiche dell’applicazione devono passare attraverso il controllo delle modifiche. Come auditor IT potresti prendere la configurazione corrente in esecuzione di un router e una copia della generazione -1 del file di configurazione per lo stesso router, eseguire un confronto di file per vedere quali erano le differenze; quindi prendere quelle differenze e cercare la documentazione di supporto del controllo delle modifiche. Non essere sorpreso di scoprire che gli amministratori di rete, quando sono semplicemente re-sequenziamento regole, dimenticare di mettere il cambiamento attraverso change control. Per test sostanziali, supponiamo che un’organizzazione abbia una politica/procedura relativa ai nastri di backup nella posizione di archiviazione offsite che include 3 generazioni (nonno, padre, figlio). Un auditor IT avrebbe fatto un inventario fisico dei nastri presso la posizione di archiviazione offsite e confrontare tale inventario con l’inventario delle organizzazioni, nonché cercando di garantire che tutte e 3 le generazioni erano presenti.
La seconda area riguarda “Come faccio a ottenere le prove per consentirmi di controllare l’applicazione e fare il mio rapporto alla gestione?”Non dovrebbe sorprendere che tu abbia bisogno di:
- Revisione organizzativa della struttura
- Rivedere le politiche e le procedure
- una Recensione standard
- Esaminare la documentazione
- Revisione dell’organizzazione BIA
- Intervista il personale
- Osservare i processi e le prestazioni dei dipendenti
- Esame, che recepisce la necessità di il test dei controlli e comprende, quindi, i risultati dei test.
Come commento aggiuntivo alla raccolta di prove, l’osservazione di ciò che un individuo fa effettivamente rispetto a ciò che dovrebbe fare, può fornire all’auditor IT prove preziose quando si tratta di controllare l’implementazione e la comprensione da parte dell’utente. Anche l’esecuzione di un walk-through può dare informazioni preziose su come viene eseguita una particolare funzione.
Applicazione vs. controlli generali
I controlli generali si applicano a tutte le aree dell’organizzazione, incluse l’infrastruttura IT e i servizi di supporto. Alcuni esempi di controlli generali sono:
- controlli contabili Interni
- controlli
- controlli Amministrativi
- Organizzative, procedure e politiche di sicurezza
- politiche per la progettazione e l’uso di adeguati documenti e registrazioni
- le Procedure e le pratiche per assicurare adeguate garanzie per l’accesso
- la sicurezza Fisica e logica delle politiche per tutti i centri dati e risorse informatiche
l’Applicazione di controlli si riferiscono alle transazioni e dati relativi ad ogni computer basati su sistema di applicazione; pertanto, essi sono specifici per ogni applicazione. Gli obiettivi dei controlli delle applicazioni sono garantire la completezza e l’accuratezza dei record e la validità delle voci fatte loro. I controlli dell’applicazione sono controlli sulle funzioni IPO (input, processing, output) e includono metodi per garantire che:
- Solo completa, accurata e valida i dati sono inseriti e aggiornati in un’applicazione di sistema
- Trattamento compie il progettato e corretta attività
- I risultati dell’elaborazione soddisfare le aspettative
- Dati è mantenuta
Come un sindaco, la vostra attività quando si esegue un’applicazione di controllo di controllo dovrebbe includere:
- l’Identificazione di significative componenti dell’applicazione; il flusso di transazioni tramite l’applicazione (di sistema); e per ottenere una comprensione dettagliata dell’applicazione rivedendo tutta la documentazione disponibile e intervistando il personale appropriato, come il proprietario del sistema, il proprietario dei dati, il custode dei dati e l’amministratore di sistema.
- Individuare l’applicazione di controllo punti di forza e di valutare l’impatto, se del caso, di debolezza si trova nei controlli applicazione
- lo Sviluppo di una strategia di sperimentazione
- Prova i controlli per garantire la loro funzionalità e l’efficacia
- Valutare i risultati del test e di eventuali altre prove di revisione per determinare se il controllo sono stati raggiunti gli obiettivi
- la Valutazione della domanda rispetto gli obiettivi del management per il sistema per garantire l’efficienza e l’efficacia.
IT audit control reviews
Dopo aver raccolto tutte le prove, l’auditor IT lo esaminerà per determinare se le operazioni controllate sono ben controllate ed efficaci. Ora è qui che entrano in gioco il tuo giudizio soggettivo e la tua esperienza. Ad esempio, potresti trovare una debolezza in un’area che è compensata da un controllo molto forte in un’altra area adiacente. È responsabilità dell’utente, in qualità di auditor IT, riportare entrambi questi risultati nel rapporto di audit.
L’audit deliverable
Quindi cosa è incluso nella documentazione di audit e cosa deve fare l’auditor IT una volta terminato l’audit. Ecco la lista di ciò che dovrebbe essere incluso nella documentazione di audit:
- la Pianificazione e la preparazione dell’audit ambito di applicazione e obiettivi
- Descrizione e/o procedure dettagliate in ambito di controllo di area
- il programma di Audit
- Controllo procedura eseguita e revisione delle prove raccolte
- Se i servizi di altri revisori e gli esperti sono stati utilizzati e il loro contributo
- risultati della Revisione contabile, conclusioni e raccomandazioni
- Controllo documentazione relazione con documento di identificazione e la data (un riferimento incrociato delle prove per l’audit di fase)
- Una copia del rapporto rilasciato a seguito del lavoro di audit
- Prova di audit di vigilanza revisione
Quando comunichi i risultati dell’audit all’organizzazione, in genere verrà eseguito in un colloquio di uscita in cui avrai l’opportunità di discutere con la direzione eventuali risultati e raccomandazioni. Devi essere assolutamente certo di:
- I fatti presentati nel rapporto sono corretti
- Le raccomandazioni sono realistiche e convenienti, o sono state negoziate alternative con la direzione dell’organizzazione
- Le date di implementazione raccomandate saranno concordate per le raccomandazioni che hai nel tuo rapporto.
La tua presentazione a questa intervista di uscita includerà un riassunto esecutivo di alto livello (come Sgt. Friday usa dire, solo i fatti per favore, solo i fatti). E per qualsiasi motivo, una foto vale più di mille parole in modo da fare alcune diapositive di PowerPoint o grafica nel vostro rapporto.
Il report di audit deve essere strutturato in modo che includa:
- introduzione (executive summary)
- I risultati sono in una sezione separata e raggruppati per destinatario
- la Tua conclusione generale e il parere sull’adeguatezza dei controlli esaminato e identificati i potenziali rischi
- Eventuali riserve o qualifiche rispetto al controllo
- risultati Dettagliati e consigli
Infine, ci sono un paio di altre considerazioni che avete bisogno di essere consapevoli di quando la preparazione e la presentazione del report finale. Chi è il pubblico? Se il rapporto sta andando al comitato di verifica, potrebbe non essere necessario vedere la minuzia che entra nel rapporto della business unit locale. Sarà necessario identificare i criteri organizzativi, professionali e governativi applicati come GAO-Yellow Book, CobiT o NIST SP 800-53. Il tuo rapporto vorrà essere tempestivo in modo da incoraggiare azioni correttive tempestive.