definiția auditului IT – un audit IT poate fi definit ca orice audit care cuprinde revizuirea și evaluarea sistemelor automate de procesare a informațiilor, a proceselor neautomate conexe și a interfețelor dintre acestea. Planificarea auditului IT implică doi pași majori. Primul pas este de a aduna informații și de a face unele de planificare al doilea pas este de a obține o înțelegere a structurii de control intern existente. Din ce în ce mai multe organizații se îndreaptă către o abordare de audit bazată pe riscuri, care este utilizată pentru a evalua riscul și ajută un auditor IT să ia Decizia dacă să efectueze teste de conformitate sau teste de fond. Într-o abordare bazată pe riscuri, auditorii IT se bazează pe controale interne și operaționale, precum și pe cunoștințele companiei sau ale afacerii. Acest tip de decizie de evaluare a riscurilor poate contribui la corelarea analizei cost-beneficiu a controlului cu riscul cunoscut. În etapa” colectarea informațiilor”, Auditorul IT trebuie să identifice cinci elemente:
- cunoștințe despre afaceri și industrie
- rezultatele auditului din anul anterior
- informații financiare recente
- statutele de reglementare
- evaluări ale riscurilor inerente
o notă secundară privind „riscurile inerente” constă în definirea acesteia ca fiind riscul existenței unei erori care ar putea fi semnificativă sau semnificativă atunci când este combinată cu alte erori întâlnite în timpul auditului, presupunând că nu există controale compensatorii conexe. De exemplu, actualizările complexe ale bazei de date sunt mai susceptibile de a fi scrise greșit decât cele simple, iar unitățile thumb sunt mai susceptibile de a fi furate (deturnate) decât serverele blade dintr-un dulap server. Riscurile inerente există independent de audit și pot apărea din cauza naturii afacerii.
în etapa „obțineți o înțelegere a structurii de Control Intern existente”, Auditorul IT trebuie să identifice alte cinci domenii/elemente:
- mediul de Control
- procedurile de Control
- evaluarea riscului de detectare
- evaluarea riscului de Control
- echivalează riscul total
odată ce auditorul IT a „adunat informații” și „înțelege controlul”, atunci este gata să înceapă planificarea sau selectarea zonelor care urmează să fie auditate. Amintiți-vă că una dintre informațiile cheie de care veți avea nevoie în etapele inițiale este o analiză actuală a impactului afacerii (Bia), pentru a vă ajuta în selectarea aplicației care acceptă cele mai critice sau sensibile funcții de afaceri.
obiectivele unui audit IT
cel mai adesea, obiectivele auditului IT se concentrează pe fundamentarea faptului că controalele interne există și funcționează conform așteptărilor pentru a minimiza riscul de afaceri. Aceste obiective de audit includ asigurarea respectării cerințelor legale și de reglementare, precum și confidențialitatea, integritatea și disponibilitatea (CIA – nu nu Agenția Federală, ci securitatea informațiilor) a sistemelor informatice și a datelor.
IT audit strategies
există două domenii pentru a vorbi despre aici, primul este dacă să facă conformitatea sau testarea de fond, iar al doilea este „cum mă duc despre obtinerea de dovezi pentru a-mi permite să auditeze cererea și să facă raportul meu de management?”Deci, care este diferența dintre conformitate și testarea de fond? Testarea conformității este colectarea de dovezi pentru a testa pentru a vedea dacă o organizație își urmează procedurile de control. Pe de altă parte, testarea de fond este colectarea de dovezi pentru a evalua integritatea datelor individuale și a altor informații. De exemplu, testarea conformității controalelor poate fi descrisă cu următorul exemplu. O organizație are o procedură de control care afirmă că toate modificările aplicației trebuie să treacă prin controlul schimbărilor. În calitate de auditor IT, puteți lua configurația curentă de rulare a unui router, precum și o copie a generației -1 a fișierului de configurare pentru același router, rulați un fișier comparați pentru a vedea care au fost diferențele; apoi luați aceste diferențe și căutați documentația de control al modificărilor. Nu vă mirați să aflați că administratorii de rețea, atunci când sunt pur și simplu reguli de re-secvențiere, uită să pună schimbarea prin controlul schimbării. Pentru testarea de fond, să spunem că o organizație are Politica/procedura privind benzi de rezervă la locul de depozitare offsite, care include 3 generații (bunicul, tatăl, fiul). Un auditor IT ar face un inventar fizic al benzilor la locația de stocare în afara amplasamentului și ar compara acel inventar cu inventarul organizațiilor, precum și ar căuta să se asigure că toate cele 3 generații au fost prezente.
al doilea domeniu se ocupă cu „cum mă duc despre obținerea probelor pentru a-mi permite să auditeze cererea și să facă raportul meu de management?”Ar trebui să vină ca o surpriză faptul că aveți nevoie pentru a:
- revizuirea IT structura organizatorică
- revizuirea politicilor și procedurilor IT
- revizuirea standardelor IT
- revizuirea documentației IT
- revizuirea Bia organizației
- intervievarea personalului adecvat
- respectați procesele și performanța angajaților
- examinarea, care încorporează prin necesitate testarea controalelor și, prin urmare, include rezultatele testelor.
ca comentariu suplimentar de colectare a probelor, observarea a ceea ce face de fapt un individ față de ceea ce ar trebui să facă, poate oferi auditorului IT dovezi valoroase atunci când vine vorba de controlul implementării și înțelegerii de către utilizator. De asemenea, efectuarea unui walk-through poate oferi o perspectivă valoroasă cu privire la modul în care se efectuează o anumită funcție.
aplicație vs.controale generale
controalele generale se aplică tuturor domeniilor organizației, inclusiv infrastructurii IT și serviciilor de asistență. Câteva exemple de controale generale sunt:
- controale contabile interne
- controale operaționale
- controale Administrative
- politici și proceduri de securitate organizațională
- politici generale de proiectare și utilizare a documentelor și înregistrărilor adecvate
- proceduri și practici pentru asigurarea unor garanții adecvate privind accesul
- Politici de securitate fizică și logică pentru toate centrele de date și resursele IT
controalele aplicațiilor se referă la tranzacțiile și datele referitoare la fiecare sistem de aplicații computerizat; prin urmare, ele sunt specifice fiecărei aplicații. Obiectivele controalelor de aplicare sunt de a asigura exhaustivitatea și acuratețea înregistrărilor și validitatea înregistrărilor făcute acestora. Controalele aplicației sunt controale asupra funcțiilor IPO (intrare, procesare, ieșire) și includ metode pentru a se asigura că:
- numai datele complete, exacte și valide sunt introduse și actualizate într-un sistem de aplicații
- procesarea îndeplinește sarcina proiectată și corectă
- rezultatele procesării îndeplinesc așteptările
- datele sunt menținute
în calitate de auditor IT, sarcinile dvs. atunci când efectuați un audit de control al aplicației ar trebui să includă:
- identificarea componentelor semnificative ale aplicației; fluxul tranzacțiilor prin aplicație (sistem); și pentru a obține o înțelegere detaliată a cererii prin revizuirea toată documentația disponibilă și intervievarea personalului adecvat, cum ar fi proprietar de sistem, proprietar de date, custode de date și administrator de sistem.
- Identificarea punctelor forte ale controlului aplicației și evaluarea impactului, dacă este cazul, al punctelor slabe pe care le găsiți în controalele aplicației
- dezvoltarea unei strategii de testare
- testarea controalelor pentru a asigura funcționalitatea și eficacitatea acestora
- evaluarea rezultatelor testelor dvs. și a oricăror alte dovezi de audit pentru a determina dacă obiectivele controlului au fost atinse
- evaluarea aplicației în raport cu obiectivele managementului pentru ca sistemul să asigure eficiența și eficacitatea.
IT audit control reviews
după colectarea tuturor probelor, Auditorul IT îl va revizui pentru a determina dacă operațiunile auditate sunt bine controlate și eficiente. Acum, aici intră în joc judecata și experiența dvs. subiectivă. De exemplu, s-ar putea să găsiți o slăbiciune într-o zonă care este compensată de un control foarte puternic într-o altă zonă adiacentă. Este responsabilitatea dvs. ca auditor IT să raportați ambele constatări în raportul dvs. de audit.
rezultatele auditului
Deci, ce este inclus în documentația de audit și ce trebuie să facă Auditorul IT după terminarea auditului. Iată lista de rufe a ceea ce ar trebui să fie incluse în documentația de audit:
- planificarea și pregătirea domeniului de aplicare și a obiectivelor auditului
- descrierea și/sau walkthroughs privind domeniul de aplicare al auditului
- programul de Audit
- etapele de Audit efectuate și probele de audit colectate
- dacă au fost utilizate serviciile altor auditori și experți și contribuțiile acestora
- constatările, concluziile și recomandările auditului
- relația documentației de Audit cu identificarea documentelor și datele (referința dvs. încrucișată a probelor la etapa de audit)
- o copie a raportului emis ca urmare a activității de audit
- dovada supravegherii auditului revizuirea
când comunicați rezultatele auditului organizației, aceasta se va face de obicei la un interviu de ieșire în care veți avea ocazia să discutați cu conducerea orice constatări și recomandări. Trebuie să fiți absolut sigur de:
- faptele prezentate în raport sunt corecte
- recomandările sunt realiste și rentabile sau au fost negociate alternative cu conducerea organizației
- datele de implementare recomandate vor fi convenite pentru recomandările pe care le aveți în raport.
prezentarea dvs. la acest interviu de ieșire va include un rezumat executiv la nivel înalt (așa cum spune sergentul vineri, doar faptele vă rog, doar faptele). Și pentru orice motiv, o imagine este în valoare de o mie de cuvinte, astfel încât face unele slide-uri PowerPoint sau grafice în raport.
raportul dvs. de audit trebuie structurat astfel încât să includă:
- o introducere (rezumat)
- constatările se află într-o secțiune separată și sunt grupate în funcție de destinatarul vizat
- concluzia dvs. generală și opinia Dvs. cu privire la adecvarea controalelor examinate și a oricăror riscuri potențiale identificate
- orice rezerve sau calificări cu privire la audit
- constatări și recomandări detaliate
în cele din urmă, există și alte câteva considerații pe care trebuie să le cunoașteți atunci când pregătiți și prezentați raportul final. Cine este publicul? Dacă raportul merge la Comitetul de audit, este posibil să nu fie nevoie să vadă detaliile care intră în raportul unității de afaceri locale. Va trebui să identificați criteriile organizaționale, profesionale și guvernamentale aplicate, cum ar fi GAO-Yellow Book, CobiT sau NIST SP 800-53. Raportul dvs. va dori să fie în timp util, astfel încât să încurajeze acțiuni corective prompte.