IT監査と制御-IT監査の計画

IT監査の定義–IT監査は、自動化された情報処理システム、関連する非自動化プロセス、およびそれらの間のインタ IT監査の計画には、2つの主要なステップが含まれます。 最初のステップは、情報を収集し、いくつかの計画を行うことです第二のステップは、既存の内部統制構造の理解を得ることです。 より多くの組織は、リスクを評価するために使用され、IT監査人がコンプライアンステストまたは実質的なテストを実行するかどうかについて決定 リスクベースのアプローチでは、IT監査人は、内部および運用管理だけでなく、会社またはビジネスの知識に依存しています。 このタイプのリスク評価の決定は、コントロールの費用便益分析を既知のリスクに関連付けるのに役立ちます。 “情報の収集”ステップでは、IT監査人は五つの項目を特定する必要があります:

  • ビジネスと業界の知識
  • 前年の監査結果
  • 最近の財務情報
  • 規制法令
  • 固有のリスク評価

“固有のリスク”に関するサイドノートは、関連する補償コントロールがないと仮定して、監査中に発生した他のエラーと組み合わせると重大または重大なエラーが存在するリスクとして定義することである。 例として、複雑なデータベース更新は単純なものよりも誤って書き込まれる可能性が高く、サムドライブはサーバーキャビネット内のブレードサーバーよりも盗 固有のリスクは、監査とは独立して存在し、ビジネスの性質のために発生する可能性があります。

“既存の内部統制構造の理解を得る”ステップでは、IT監査人は他の五つの分野/項目を特定する必要があります:

  • 制御環境
  • 制御手順
  • 検出リスク評価
  • 制御リスク評価
  • 総リスクを同一視

IT監査人が”情報を収集”し、”制御を理解”したら、監査す 最初のステップで必要となる重要な情報の1つは、最も重要または機密性の高いビジネス機能をサポートするアプリケーションを選択する際に役立

IT監査の目的

ほとんどの場合、IT監査の目的は、内部統制が存在し、ビジネスリスクを最小限に抑えるために期待どおりに機能していること これらの監査目的には、情報システムとデータの機密性、完全性、可用性(CIA–連邦機関ではなく、情報セキュリティ)だけでなく、法的および規制要件の遵守を確

IT監査戦略

ここで話をする二つの領域があり、最初はコンプライアンスまたは実質的なテストを行うかどうかであり、第二は、”どのように私”それでは、コンプライアンスと実質的なテストの違いは何ですか? コンプライアンステストは、組織がその管理手順に従っているかどうかをテストするための証拠を収集しています。 一方、実体試験では、個々のデータやその他の情報の完全性を評価するための証拠を収集しています。 例えば、制御の適合性試験は、以下の例で説明することができる。 組織には、すべてのアプリケーションの変更が変更制御を通過する必要があることを示す制御手順があります。 IT監査人として、ルーターの現在の実行中の設定と、同じルーターの-1世代の設定ファイルのコピーを取得し、ファイル比較を実行して違いが何であるかを確認し、 ネットワーク管理者は、単にルールを再シーケンスしているときに、変更制御を介して変更を置くことを忘れていることを見つけて驚かないでくださ 実質的なテストのために、組織が3世代(祖父、父、息子)を含むオフサイトの保管場所にバックアップテープに関するポリシー/手順を持っているとしましょう。 IT監査人は、オフサイトの保管場所でテープの物理的な在庫を行い、その在庫を組織の在庫と比較し、3世代すべてが存在することを確認します。

第二の領域は、”どのように私は私がアプリケーションを監査し、経営陣に報告を行うことができるように証拠を得ることについて行くのですか?”それはあなたがする必要があることは驚くべきことではありません:

  • レビュー it組織構造
  • レビュー itポリシーと手順
  • レビュー IT基準
  • レビュー ITドキュメント
  • 組織のBIAをレビュー
  • 適切な人員にインタビュー
  • プロセスと従業員のパフォーマンスを観察
  • 検査、必要に応じて、コントロールのテストを組み込んでおり、したがって、テストの結果が含まれています。

証拠を収集するための追加の解説として、個人が実際に何をすべきかと何をすべきかを観察することは、IT監査人にユーザーによる実装と理解を制 また、ウォークスルーを実行すると、特定の機能がどのように実行されているかについての貴重な洞察を与えることができます。

アプリケーションと一般制御

一般制御は、ITインフラストラクチャとサポートサービスを含む組織のすべての領域に適用されます。 一般的な制御のいくつかの例は次のとおりです:

  • 内部会計制御
  • 運用制御
  • 管理制御
  • 組織のセキュリティポリシーと手順
  • 適切な文書と記録の設計と使用のための全体的なポリシー
  • アクセこれらは、各アプリケーションに固有のものです。 アプリケーションコントロールの目的は、記録の完全性と正確性、およびそれらに行われたエントリの有効性を確保することです。 アプリケーションコントロールは、IPO(入力、処理、出力)関数に対するコントロールであり、次のことを確実にするための方法が含まれています:
    • アプリケーションシステムでは、完全で正確で有効なデータのみが入力され、更新されます
    • 処理は、設計された正しいタスクを達成します
    • 処理結果は、期待を満たします
    • データが維持されます

    IT監査人として、アプリケーション制御監査を実行する際のタスクには、

    • 重要なアプリケーションコンポーネントの識別;アプリケーション(システム)を介したトランザクションの流れ; また、利用可能なすべてのドキュメントを確認し、システム所有者、データ所有者、データ管理者、システム管理者などの適切な担当者にインタビューするこ
    • アプリケーションコントロールの強みを特定し、アプリケーションコントロールで見つかった弱点の影響を評価する
    • テスト戦略を開発する
    • コントロールの機能と有効性を確保するためのコントロールのテスト
    • テスト結果とその他の監査証拠を評価して、コントロール目標が達成されたかどうかを判断する
    • 効率と有効性を確保するための管理者の目標に対してアプリケーションを評価する。

    IT audit control reviews

    すべての証拠を収集した後、IT監査人は監査された操作が十分に制御され、効果的であるかどうかを判断するためにそれをレビューします。 今これはあなたの主観的な判断および経験が演劇に入って来るところである。 たとえば、隣接する別の領域で非常に強力なコントロールによって補償されるある領域の弱点を見つけることができます。 これらの調査結果の両方を監査レポートに報告するのは、IT監査人としての責任です。

    監査成果物

    監査文書に含まれているものと、監査が終了したらIT監査人が何をする必要があるのか。 監査文書に含めるべきものの洗濯リストは次のとおりです:

    • 監査範囲と目的の計画と準備
    • スコープされた監査領域に関する説明および/またはウォークスルー
    • 監査プログラム
    • 実行された監査ステッ>監査作業の結果として発行された報告書のコピー
    • 監査監督の証拠 レビュー

    監査結果を組織に伝えるときは、通常、出口面接で行われ、調査結果や推奨事項について経営陣と議論する機会があります。 あなたは絶対に確実である必要があります:

    • レポートに記載されている事実が正しい
    • 推奨事項は現実的で費用対効果が高いか、組織の経営陣と交渉されている
    • 推奨される実装日は、レポートに記載されている推奨事項について合意されます。

    この出口インタビューでのプレゼンテーションには、高レベルのエグゼクティブサマリーが含まれます(金曜日の軍曹が言っているように、ちょうど事実 そして何らかの理由で、絵は千の言葉の価値があるので、あなたのレポートにいくつかのPowerPointのスライドやグラフィックを行います。

    監査レポートは、以下を含むように構造化する必要があります。

    :

    • イントロダクション(エグゼクティブサマリー)
    • 調査結果は別のセクションにあり、意図された受信者によってグループ化されています
    • 検査されたコントロールの妥当性と特定された潜在的なリスクに関する全体的な結論と意見
    • 監査に関する予約や資格
    • 詳細な調査結果と推奨事項

    最後に、最終報告書を準備して提示する際に認識する必要があるいくつかの考慮事項があります。 観客は誰ですか? レポートが監査委員会に行く場合、彼らはローカルビジネスユニットのレポートに入るminutiaを見る必要はないかもしれません。 GAO-Yellow Book、CobiT、NIST SP800-53など、適用される組織、専門、および政府の基準を特定する必要があります。 あなたのレポートは敏速な是正処置を励ますために時機を得たいと思う。

admin

コメントを残す

メールアドレスが公開されることはありません。