IT-Audit en-controles-Planning de IT – Audit

definitie van IT-audit-een IT-audit kan worden gedefinieerd als elke audit die de beoordeling en evaluatie van geautomatiseerde informatieverwerkingssystemen, gerelateerde niet-geautomatiseerde processen en de interfaces daarvan omvat. De Planning van de IT-audit omvat twee belangrijke stappen. De eerste stap is het verzamelen van informatie en het uitvoeren van enige planning.de tweede stap is het verkrijgen van inzicht in de bestaande interne controlestructuur. Steeds meer organisaties gaan over op een risicogebaseerde auditbenadering die wordt gebruikt om risico ‘ s te beoordelen en die een IT-auditor helpt bij het nemen van de beslissing om compliance testing of inhoudelijke testing uit te voeren. In een risicogebaseerde aanpak vertrouwen IT-auditors op interne en operationele controles en op de kennis van het bedrijf of het bedrijf. Dit soort risicobeoordelingsbeslissingen kan helpen de kosten-batenanalyse van de controle te relateren aan het bekende risico. In de stap” informatie verzamelen ” moet de IT-auditor vijf items identificeren:

  • kennis van het bedrijfsleven
  • resultaten van de audit van vorig jaar
  • recente financiële informatie
  • reglementaire statuten
  • inherente risicobeoordelingen

een kanttekening bij “inherente risico ‘s” is het risico dat er een fout bestaat die materieel of significant kan zijn in combinatie met andere fouten die tijdens de audit zijn aangetroffen, in de veronderstelling dat er geen gerelateerde compenserende controles zijn. Als voorbeeld, complexe database updates zijn meer kans om verkeerd te worden geschreven dan eenvoudige degenen, en USB-drives zijn meer kans om te worden gestolen (verduisterd) dan blade servers in een serverkast. Inherente risico ‘ s bestaan onafhankelijk van de audit en kunnen zich voordoen als gevolg van de aard van de onderneming.

In de stap “inzicht krijgen in de bestaande interne controlestructuur” moet de IT-auditor vijf andere gebieden/posten identificeren:

  • controleomgeving
  • controleprocedures
  • Detectierisicobeoordeling
  • Controlerisicobeoordeling
  • gelijk het totale risico

zodra de IT-auditor “informatie heeft verzameld” en “de controle begrijpt”, is hij klaar om te beginnen met de planning of selectie van te controleren gebieden. Vergeet niet dat een van de belangrijkste onderdelen van de informatie die u nodig hebt in de eerste stappen is een current Business Impact Analysis (BIA), om u te helpen bij het selecteren van de applicatie die de meest kritische of gevoelige zakelijke functies te ondersteunen.

doelstellingen van een IT-audit

meestal concentreren de IT-auditdoelstellingen zich op het aantonen dat de interne controles bestaan en functioneren zoals verwacht om het bedrijfsrisico te minimaliseren. Deze audit doelstellingen omvatten het waarborgen van de naleving van de wettelijke en regelgevende vereisten, evenals de vertrouwelijkheid, integriteit, en beschikbaarheid (CIA – nee niet de federale agentschap, maar informatiebeveiliging) van informatiesystemen en gegevens.

IT audit strategies

Er zijn twee gebieden om over te praten, de eerste is of ik compliance of inhoudelijke testen moet doen en de tweede is “hoe ga ik over het verkrijgen van het bewijs om mij in staat te stellen de aanvraag te controleren en mijn verslag aan het management te maken?”Dus wat is het verschil tussen compliance en inhoudelijke testen? Compliance testing verzamelt bewijsmateriaal om te testen om te zien of een organisatie zijn controleprocedures volgt. Aan de andere kant wordt met inhoudelijke tests bewijsmateriaal verzameld om de integriteit van individuele gegevens en andere informatie te evalueren. Het testen van de naleving van controles kan bijvoorbeeld met het volgende voorbeeld worden beschreven. Een organisatie heeft een controleprocedure die stelt dat alle applicatie veranderingen moeten gaan door middel van change control. Als IT auditor kun je zowel de huidige lopende configuratie van een router als een kopie van de -1 generatie van het configuratiebestand voor dezelfde router nemen, een bestand vergelijken uitvoeren om te zien wat de verschillen waren; en dan die verschillen nemen en op zoek gaan naar ondersteunende documentatie voor change control. Wees niet verbaasd om te ontdekken dat netwerkbeheerders, wanneer ze gewoon regels opnieuw rangschikken, vergeten om de verandering door middel van change control te zetten. Voor inhoudelijke testen, laten we zeggen dat een organisatie beleid/procedure heeft met betrekking tot back-up tapes op de offsite opslaglocatie die 3 generaties omvat (grootvader, vader, zoon). Een IT auditor zou een fysieke inventaris van de tapes op de offsite opslaglocatie te doen en te vergelijken die inventaris aan de organisaties inventaris, alsmede op zoek naar ervoor te zorgen dat alle 3 generaties aanwezig waren.

het tweede gebied gaat over ” hoe ga ik over het verkrijgen van het bewijs om mij in staat te stellen de aanvraag te controleren en mijn verslag aan het management te maken?”Het zou geen verrassing moeten zijn dat je:

  • herziening it organisatiestructuur
  • herziening IT-beleid en-procedures
  • herziening it-normen
  • herziening IT-documentatie
  • herziening van de BIA
  • Interview het juiste personeel
  • observeer de processen en de prestaties van de werknemer
  • onderzoek, dat noodzakelijkerwijs het testen van controles omvat, en daarom de resultaten van de tests omvat.

als aanvullend commentaar op het verzamelen van bewijsmateriaal, kan observatie van wat een individu eigenlijk doet versus wat hij geacht wordt te doen, de IT-auditor waardevolle informatie verschaffen als het gaat om controle op implementatie en begrip door de gebruiker. Ook het uitvoeren van een walk-through kan waardevol inzicht geven in hoe een bepaalde functie wordt uitgevoerd.

toepassing vs. algemene controles

algemene controles zijn van toepassing op alle gebieden van de organisatie, inclusief de IT-infrastructuur en ondersteunende diensten. Enkele voorbeelden van algemene controles zijn::

  • Interne boekhoudkundige controles
  • – de bediening
  • Administratieve controles
  • Organisatorische security policies en procedures
  • Algemene beleid voor het ontwerp en gebruik van adequate documenten en records
  • Procedures en praktijken om te zorgen voor adequate waarborgen van de toegang
  • de Fysieke en logische beveiliging beleid voor alle datacenters en IT-resources

bedieningselementen raadpleeg de transacties en de gegevens met betrekking tot elk computer-based applicatie systeem; daarom, ze zijn specifiek voor elke toepassing. De controle van de aanvragen heeft tot doel de volledigheid en nauwkeurigheid van de registers en de geldigheid van de daarin opgenomen gegevens te waarborgen. Applicatie controles zijn controles over IPO (input, processing, output) functies, en omvatten methoden om ervoor te zorgen dat:

  • alleen volledige, nauwkeurige en geldige gegevens worden ingevoerd en bijgewerkt in een toepassingssysteem
  • verwerking voltooit de ontworpen en correcte taak
  • de verwerkingsresultaten voldoen aan verwachtingen
  • gegevens worden gehandhaafd

als IT-auditor moet uw taken bij het uitvoeren van een audit van de toepassing omvatten:

  • Identificatie van de belangrijke toepassingscomponenten; de stroom van transacties door de toepassing( systeem); en om een gedetailleerd inzicht te krijgen in de applicatie door alle beschikbare documentatie te bekijken en het juiste personeel te interviewen, zoals systeemeigenaar, gegevenseigenaar, gegevensbewaarder en systeembeheerder.
  • het Identificeren van de toepassing controle sterke punten en de evaluatie van de eventuele gevolgen van zwakke punten kunt u vinden in de application controls
  • Ontwikkeling van een teststrategie
  • het Testen van de controles om ervoor te zorgen hun functionaliteit en doelmatigheid
  • het Evalueren van de testresultaten en elke andere controle-informatie om te bepalen of de doelstellingen werden bereikt
  • Evaluatie van de toepassing tegen het management de doelstellingen voor het systeem om te zorgen voor efficiëntie en effectiviteit.

IT audit control reviews

na het verzamelen van alle bewijzen zal de IT-auditor de audit beoordelen om vast te stellen of de gecontroleerde verrichtingen goed gecontroleerd en doeltreffend zijn. Nu is dit waar je subjectieve oordeel en ervaring in het spel komen. Bijvoorbeeld, je zou kunnen vinden een zwakte in een gebied dat wordt gecompenseerd door een zeer sterke controle in een ander aangrenzend gebied. Het is uw verantwoordelijkheid als IT-auditor om beide bevindingen in uw auditrapport te vermelden.

the audit deliverable

dus wat is opgenomen in de auditdocumentatie en wat moet de IT-auditor doen zodra zijn audit is voltooid. Hier is de waslijst van wat moet worden opgenomen in uw audit documentatie:

  • Planning en voorbereiding van de audit de scope en de doelstellingen
  • Beschrijving en/of scenario ‘ s op de scope audit gebied
  • Audit programma
  • Audit stappen uitgevoerd en audit bewijs verzameld
  • Of diensten van andere auditors en experts werden gebruikt en hun bijdragen
  • Audit bevindingen, conclusies en aanbevelingen
  • Audit documentatie relatie met document identificatie en data (uw cross-referentie van het bewijs van het audit-stap)
  • Een kopie van het rapport zijn uitgegeven als gevolg van de werkzaamheden
  • het Bewijs van de audit raad van controleer

wanneer u de auditresultaten aan de organisatie communiceert, wordt dit meestal gedaan tijdens een exit-interview, waar u de mogelijkheid hebt om Bevindingen en aanbevelingen met het management te bespreken. U moet absoluut zeker zijn van:

  • de in het rapport gepresenteerde feiten zijn correct
  • de aanbevelingen zijn realistisch en kosteneffectief, of er zijn alternatieven onderhandeld met het management van de organisatie
  • de aanbevolen implementatiedata zullen worden overeengekomen voor de aanbevelingen die u in uw rapport heeft.

uw presentatie tijdens dit exit interview zal een samenvatting op hoog niveau bevatten (zoals Sgt.Friday gebruikt om te zeggen, alleen de feiten alsjeblieft, alleen de feiten). En om welke reden dan ook, een foto is de moeite waard duizend woorden dus doe een aantal PowerPoint dia ‘ s of afbeeldingen in uw rapport.

uw auditverslag moet zo zijn gestructureerd dat het:

  • inleiding (samenvatting)
  • de bevindingen staan in een afzonderlijk hoofdstuk en zijn gegroepeerd per beoogde ontvanger
  • uw algemene conclusie en mening over de adequaatheid van de onderzochte controles en eventuele geïdentificeerde potentiële risico ‘ s
  • bezwaren of kwalificaties met betrekking tot de audit
  • gedetailleerde bevindingen en aanbevelingen

ten slotte zijn er nog een paar andere overwegingen die u moet kennen bij het opstellen en presenteren van uw eindverslag. Wie is het publiek? Als het rapport naar het auditcomité gaat, hoeven ze mogelijk niet de details te zien die in het rapport van de lokale business unit worden opgenomen. U moet de toegepaste organisatorische, professionele en overheidscriteria identificeren, zoals GAO-Yellow Book, CobiT of NIST SP 800-53. Uw verslag moet op het juiste moment komen om snelle corrigerende maatregelen aan te moedigen.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.