definicja audytu IT-audyt IT może być zdefiniowany jako każdy audyt, który obejmuje przegląd i ocenę systemów zautomatyzowanego przetwarzania informacji, powiązanych procesów niezautomatyzowanych i interfejsów między nimi. Planowanie audytu IT obejmuje dwa główne etapy. Pierwszym krokiem jest zebranie informacji i zaplanowanie drugiego kroku jest zrozumienie istniejącej struktury kontroli wewnętrznej. Coraz więcej organizacji przechodzi na oparte na ryzyku podejście audytowe, które służy do oceny ryzyka i pomaga audytorowi IT podjąć decyzję o przeprowadzeniu testów zgodności lub testów merytorycznych. W podejściu opartym na ryzyku audytorzy IT polegają na kontroli wewnętrznej i operacyjnej, a także na wiedzy o firmie lub biznesie. Ten rodzaj decyzji w sprawie oceny ryzyka może pomóc w powiązaniu analizy kosztów i korzyści kontroli ze znanym ryzykiem. W kroku „zbieranie informacji” audytor IT musi zidentyfikować pięć pozycji:
- wiedza na temat biznesu i przemysłu
- Wyniki poprzedniego roku audytu
- najnowsze informacje finansowe
- statut regulacyjny
- oceny ryzyka nieodłącznego
dodatkową uwagą na temat „ryzyka nieodłącznego” jest zdefiniowanie go jako ryzyka wystąpienia błędu, który może być istotny lub znaczący w połączeniu z innymi błędami napotkanymi podczas audytu, zakładając, że nie ma powiązanych kontroli kompensacyjnych. Na przykład złożone aktualizacje bazy danych są bardziej podatne na błędy niż proste, a dyski kciukowe są bardziej podatne na kradzież (przywłaszczenie) niż serwery kasetowe w szafie serwerowej. Ryzyko nieodłączne istnieje niezależnie od audytu i może wystąpić ze względu na charakter działalności.
w kroku „zrozumienie istniejącej struktury kontroli wewnętrznej” audytor IT musi zidentyfikować pięć innych obszarów / pozycji:
- środowisko kontroli
- procedury kontroli
- Detekcja ocena ryzyka
- Kontrola ocena ryzyka
- zrównują całkowite ryzyko
gdy audytor IT „zbierze informacje” i „zrozumie kontrolę”, jest gotowy do rozpoczęcia planowania lub wyboru obszarów, które mają zostać poddane audytowi. Pamiętaj, że jedną z kluczowych informacji, których będziesz potrzebować w początkowych krokach, jest bieżąca analiza wpływu na biznes (BIA), która pomoże Ci wybrać aplikację obsługującą najbardziej krytyczne lub wrażliwe funkcje biznesowe.
cele audytu IT
najczęściej cele audytu IT koncentrują się na potwierdzeniu, że kontrole wewnętrzne istnieją i funkcjonują zgodnie z oczekiwaniami w celu zminimalizowania ryzyka biznesowego. Te cele audytu obejmują zapewnienie zgodności z wymogami prawnymi i regulacyjnymi, a także poufności, integralności i dostępności (CIA – nie agencja federalna, ale bezpieczeństwo informacji) systemów informatycznych i danych.
strategie audytu IT
istnieją dwa obszary, o których należy tutaj mówić, pierwszy to czy wykonać testy zgodności lub merytoryczne, a drugi to „jak zdobyć dowody, aby umożliwić mi przeprowadzenie audytu aplikacji i sporządzenie raportu dla kierownictwa?”Jaka jest więc różnica między testami zgodności a testami merytorycznymi? Testy zgodności zbierają dowody, aby sprawdzić, czy organizacja przestrzega procedur kontrolnych. Z drugiej strony badania merytoryczne to zbieranie dowodów w celu oceny integralności poszczególnych danych i innych informacji. Na przykład testowanie zgodności urządzeń sterujących można opisać w poniższym przykładzie. Organizacja ma procedurę kontroli, która stwierdza, że wszystkie zmiany aplikacji muszą przejść przez kontrolę zmian. Jako audytor IT możesz wziąć bieżącą konfigurację działającą routera, a także kopię generowanego przez -1 pliku konfiguracyjnego dla tego samego routera, uruchomić plik porównaj, aby zobaczyć, jakie były różnice; a następnie wziąć te różnice i poszukać dokumentacji wspierającej kontrolę zmian. Nie zdziw się, że administratorzy sieci, gdy po prostu zmieniają reguły sekwencjonowania, zapominają o wprowadzeniu zmiany poprzez kontrolę zmian. W przypadku testów merytorycznych Załóżmy, że organizacja ma politykę / procedurę dotyczącą taśm zapasowych w miejscu przechowywania poza siedzibą, która obejmuje 3 pokolenia (dziadek, ojciec, syn). Audytor IT przeprowadzałby inwentaryzację taśm w miejscu przechowywania poza siedzibą firmy i porównywał ją z inwentaryzacją organizacji, a także sprawdzał, czy wszystkie 3 generacje były obecne.
drugi obszar dotyczy „Jak zdobyć dowody, aby umożliwić mi przeprowadzenie audytu aplikacji i złożenie raportu do kierownictwa?”Nie powinno dziwić, że trzeba:
- przejrzyj strukturę organizacyjną IT
- przejrzyj zasady i procedury IT
- przejrzyj standardy IT
- przejrzyj dokumentację IT
- przejrzyj Bia organizacji
- wywiad z odpowiednim personelem
- Obserwuj procesy i wydajność pracowników
- badanie, które z konieczności obejmuje testowanie kontroli, a zatem zawiera wyniki testów.
jako dodatkowy komentarz do gromadzenia dowodów, obserwacja tego, co jednostka faktycznie robi, a co ma zrobić, może dostarczyć audytorowi IT cennych dowodów, jeśli chodzi o wdrożenie kontroli i zrozumienie przez użytkownika. Również wykonanie przejścia może dać cenny wgląd w to, jak dana funkcja jest wykonywana.
zastosowanie a kontrole ogólne
kontrole ogólne dotyczą wszystkich obszarów organizacji, w tym infrastruktury IT i usług wsparcia. Niektóre przykłady kontroli ogólnych to:
- wewnętrzne kontrole księgowości
- kontrole operacyjne
- kontrole administracyjne
- zasady i procedury bezpieczeństwa organizacji
- ogólne zasady projektowania i wykorzystywania odpowiednich dokumentów i rejestrów
- procedury i praktyki zapewniające odpowiednie zabezpieczenia dostępu
- fizyczne i logiczne zasady bezpieczeństwa dla wszystkich centrów danych i zasobów IT
kontrole aplikacji odnoszą się do transakcji i danych odnoszących się do każdego systemu aplikacji opartego na komputerze., są one specyficzne dla każdej aplikacji. Celem kontroli aplikacji jest zapewnienie kompletności i dokładności zapisów oraz ważności wprowadzonych do nich wpisów. Sterowanie aplikacjami to sterowanie funkcjami IPO (input, processing, output) i obejmują metody zapewniające, że:
- tylko kompletne, dokładne i poprawne dane są wprowadzane i aktualizowane w systemie aplikacji
- przetwarzanie realizuje zaprojektowane i poprawne zadanie
- Wyniki przetwarzania spełniają oczekiwania
- dane są utrzymywane
jako audytor IT Twoje zadania podczas przeprowadzania audytu kontroli aplikacji powinny obejmować:
- identyfikowanie istotnych składników aplikacji; przepływ transakcji przez aplikację( system); i uzyskać szczegółowe zrozumienie aplikacji poprzez przegląd całej dostępnej dokumentacji i wywiad z odpowiednim personelem, takim jak właściciel systemu, właściciel danych, opiekun danych i administrator systemu.
- identyfikacja mocnych stron kontroli aplikacji i ocena wpływu, jeśli w ogóle, słabych stron Można znaleźć w kontroli aplikacji
- opracowanie strategii testowania
- testowanie kontroli w celu zapewnienia ich funkcjonalności i skuteczności
- ocena wyników testów i wszelkich innych dowodów audytu w celu ustalenia, czy cele kontroli zostały osiągnięte
- ocena aplikacji pod kątem celów zarządzania dla systemu w celu zapewnienia wydajności i skuteczności.
przeglądy kontroli audytu IT
Po zebraniu wszystkich dowodów audytor IT dokona ich przeglądu w celu ustalenia, czy kontrolowane operacje są dobrze kontrolowane i skuteczne. To jest miejsce, gdzie twój subiektywny osąd i doświadczenie wchodzą w grę. Na przykład, możesz znaleźć słabość w jednym obszarze, która jest kompensowana przez bardzo silną kontrolę w innym sąsiednim obszarze. Obowiązkiem audytora IT jest zgłaszanie obu tych ustaleń w raporcie z audytu.
wyniki audytu
co jest zawarte w dokumentacji audytu i co musi zrobić audytor IT po zakończeniu audytu. Oto lista rzeczy, które powinny być zawarte w dokumentacji audytu:
- planowanie i przygotowanie zakresu i celów audytu
- opis i/lub solucje dotyczące obszaru audytu
- program audytu
- przeprowadzone kroki audytu i zebrane dowody audytu
- czy wykorzystano usługi innych biegłych rewidentów i ekspertów oraz ich wkład
- ustalenia, wnioski i zalecenia audytu
- dokumentacja audytu relacja z identyfikacją i datami dokumentu (odsyłacz dowodów do etapu audytu)
- Kopia raportu wydanego w wyniku prac kontrolnych
- dowody nadzoru nad audytem przegląd
Kiedy przekazujesz wyniki audytu do organizacji, zwykle odbywa się to na rozmowie kwalifikacyjnej, gdzie będziesz miał możliwość omówienia z kierownictwem wszelkich ustaleń i zaleceń. Musisz być absolutnie pewien:
- fakty przedstawione w raporcie są poprawne
- zalecenia są realistyczne i opłacalne, lub alternatywy zostały wynegocjowane z kierownictwem organizacji
- zalecane terminy wdrożenia zostaną uzgodnione dla zaleceń, które masz w raporcie.
Twoja prezentacja na tym exit interview będzie zawierała podsumowanie wysokiego szczebla (jak mawiał sierżant Friday, tylko fakty proszę, tylko fakty). I z jakiegokolwiek powodu, obraz jest wart tysiąca słów, więc zrób kilka slajdów PowerPoint lub grafiki w raporcie.
Twój raport z audytu powinien być tak skonstruowany, aby zawierał:
- wstęp (streszczenie)
- Wyniki znajdują się w oddzielnej sekcji i pogrupowane według zamierzonego odbiorcy
- Twój ogólny wniosek i opinia na temat adekwatności zbadanych kontroli i wszelkich zidentyfikowanych potencjalnych zagrożeń
- wszelkie zastrzeżenia lub Kwalifikacje w odniesieniu do audytu
- szczegółowe ustalenia i zalecenia
wreszcie, istnieje kilka innych kwestii, o których należy pamiętać podczas przygotowywania i przedstawiania raportu końcowego. Kim jest publiczność? Jeśli raport trafi do Komisji Rewizyjnej, może nie być konieczne zapoznanie się z minutą, która trafia do raportu lokalnej jednostki biznesowej. Będziesz musiał określić kryteria organizacyjne, zawodowe i rządowe, takie jak Gao-Yellow Book, CobiT lub NIST SP 800-53. Twój raport będzie chciał być na czas, aby zachęcić do szybkich działań naprawczych.