Definition av IT-revision – en IT-revision kan definieras som en revision som omfattar granskning och utvärdering av automatiserade informationsbehandlingssystem, relaterade icke-automatiserade processer och gränssnitten mellan dem. Planering av IT-revisionen innebär två stora steg. Det första steget är att samla in information och göra lite planering det andra steget är att få en förståelse för den befintliga interna kontrollstrukturen. Fler och fler organisationer flyttar till en riskbaserad revisionsmetod som används för att bedöma risker och hjälper en IT-revisor att fatta beslut om huruvida man ska utföra efterlevnadstestning eller materiell testning. I ett riskbaserat tillvägagångssätt förlitar sig It-revisorerna på interna och operativa kontroller samt kunskapen om företaget eller verksamheten. Denna typ av riskbedömningsbeslut kan hjälpa till att relatera kostnads-nyttoanalysen av kontrollen till den kända risken. I steget ”samla Information” måste it-revisorn identifiera fem punkter:

• kunskap om näringslivet
• föregående års revisionsresultat
• senaste finansiella informationen
• Regulatory stadgar
• Inherent risk assessments

en sidoanteckning på ”Inherent risks” är att definiera det som risken för att det finns ett fel som kan vara väsentligt eller betydande i kombination med andra fel som uppstått under revisionen, förutsatt att det inte finns några relaterade kompensationskontroller. Som ett exempel är komplexa databasuppdateringar mer benägna att vara felskrivna än enkla, och thumb-enheter är mer benägna att bli stulna (felaktiga) än bladservrar i ett serverskåp. Inneboende risker finns oberoende av revisionen och kan uppstå på grund av verksamhetens art.

i steget ”Få en förståelse för den befintliga interna kontrollstrukturen” måste IT-revisorn identifiera fem andra områden/objekt:

• kontrollmiljö
• kontrollprocedurer
• detektion riskbedömning
• kontroll riskbedömning
• jämställa total risk

När it-revisorn har ”samlat Information” och ”förstår kontrollen” är de redo att börja planera eller välja områden som ska granskas. Kom ihåg en av de viktigaste delarna av information som du behöver i de första stegen är en aktuell Business Impact Analysis (BIA), för att hjälpa dig att välja det program som stöder de mest kritiska eller känsliga affärsfunktioner.

mål för en IT-revision

oftast koncentrerar sig It-revisionsmålen på att underbygga att de interna kontrollerna finns och fungerar som förväntat för att minimera affärsrisker. Dessa revisionsmål innefattar att säkerställa överensstämmelse med lagar och myndighetskrav samt konfidentialitet, integritet och tillgänglighet (CIA – nej, inte federal agency, men informationssäkerhet) av informationssystem och data.

IT audit strategies

det finns två områden att prata om här, det första är om man ska göra överensstämmelse eller materiell testning och den andra är ”hur går jag till att få bevisen för att tillåta mig att granska ansökan och göra min rapport till ledningen?”Så vad är skillnaden mellan efterlevnad och materiell testning? Compliance testing samlar in bevis för att testa för att se om en organisation följer sina kontrollprocedurer. Å andra sidan materiella tester samlar in bevis för att utvärdera integriteten hos enskilda data och annan information. Till exempel kan överensstämmelsetestning av kontroller beskrivas med följande exempel. En organisation har en kontrollprocedur som säger att alla applikationsändringar måste gå igenom förändringskontroll. Som IT-revisor kan du ta den nuvarande körkonfigurationen för en router samt en kopia av -1-generationen av konfigurationsfilen för samma router, köra en fil jämför för att se vad skillnaderna var; och ta sedan dessa skillnader och leta efter stöd för ändringsdokumentation. Bli inte förvånad över att upptäcka att nätverksadministratörer, när de helt enkelt återordnar regler, glömmer att sätta ändringen genom förändringskontroll. För materiell testning, låt oss säga att en organisation har policy/procedur för backup-band på offsite-lagringsplatsen som inkluderar 3 generationer (farfar, far, son). En IT-revisor skulle göra en fysisk inventering av banden på offsite lagringsplats och jämföra denna inventering till organisationer inventering samt ser till att alla 3 generationer var närvarande.

det andra området handlar om ”hur gör jag för att få bevis för att tillåta mig att granska ansökan och göra min rapport till ledningen?”Det borde inte komma som någon överraskning att du behöver:

• granska it organisationsstruktur
• granska it-policyer och procedurer
• granska IT-standarder
• granska it-dokumentationen
• granska organisationens BIA
• intervjua lämplig personal
• Observera processer och anställdas prestanda
• undersökning, som av nödvändighet innehåller testning av kontroller och därför innehåller resultaten av testerna.

som ytterligare kommentar för att samla bevis, observation av vad en individ faktiskt gör kontra vad de ska göra, kan ge It-revisorn värdefulla bevis när det gäller att kontrollera implementering och förståelse av användaren. Att utföra en genomgång kan också ge värdefull insikt om hur en viss funktion utförs.

ansökan vs. allmänna kontroller

allmänna kontroller gäller för alla delar av organisationen, inklusive IT-infrastruktur och supporttjänster. Några exempel på allmänna kontroller är:

• interna redovisningskontroller
• operativa kontroller
• administrativa kontroller
• organisatoriska säkerhetspolicyer och procedurer
• övergripande policyer för utformning och användning av adekvata dokument och register
• procedurer och metoder för att säkerställa tillräckliga skyddsåtgärder för åtkomst
• fysiska och logiska säkerhetspolicyer för alla datacenter och IT-resurser

applikationskontroller hänvisar till transaktioner och data som rör varje datorbaserat applikationssystem; därför, de är specifika för varje applikation. Syftet med tillämpningen kontroller är att säkerställa fullständigheten och riktigheten i de register och giltigheten av de poster som gjorts till dem. Applikationskontroller är kontroller över IPO-funktioner (input, processing, output) och inkluderar metoder för att säkerställa att:

• endast fullständiga, korrekta och giltiga data matas in och uppdateras i ett applikationssystem
• bearbetning utför den utformade och korrekta uppgiften
• behandlingsresultaten uppfyller förväntningarna
• Data upprätthålls

som IT-revisor bör dina uppgifter när du utför en applikationskontrollrevision innehålla:

• identifiera de signifikanta applikationskomponenterna; flödet av transaktioner genom applikationen (systemet); och för att få en detaljerad förståelse av ansökan genom att granska all tillgänglig dokumentation och intervjua lämplig personal, såsom systemägare, dataägare, dataförvarare och systemadministratör.
• identifiera applikationskontrollstyrkorna och utvärdera eventuella effekter av svagheter som du hittar i applikationskontrollerna
• utveckla en teststrategi
• testa kontrollerna för att säkerställa deras funktionalitet och effektivitet
• utvärdera dina testresultat och andra revisionsbevis för att avgöra om kontrollmålen uppnåddes
• utvärdera applikationen mot ledningens mål för systemet för att säkerställa effektivitet och effektivitet.

it – revisionskontrollrecensioner

Efter att ha samlat in alla bevis kommer It-revisorn att granska den för att avgöra om de granskade operationerna är väl kontrollerade och effektiva. Nu är det här din subjektiva bedömning och erfarenhet spelar in. Du kan till exempel hitta en svaghet i ett område som kompenseras av en mycket stark kontroll i ett annat intilliggande område. Det är ditt ansvar som IT-revisor att rapportera båda dessa resultat i din revisionsrapport.

revisionen levererbar

Så vad ingår i revisionsdokumentationen och vad behöver It-revisorn göra när deras revision är klar. Här är tvättlistan över vad som ska ingå i din revisionsdokumentation:

• planering och förberedelse av revisionens omfattning och mål
• beskrivning och/eller genomgångar på det avgränsade revisionsområdet
• revisionsprogram
• Revisionssteg utförda och revisionsbevis samlade
• Om tjänster från andra revisorer och experter användes och deras bidrag
• revisionsfynd, slutsatser och rekommendationer
• Revisionsdokumentation relation med dokumentidentifiering och datum (din korsreferens av bevis till revisionssteg)
• en kopia av rapporten som utfärdats till följd av revisionsarbetet
• bevis på revisionsövervakning granska

När du kommunicerar revisionsresultaten till organisationen kommer det vanligtvis att göras vid en utgångsintervju där du får möjlighet att diskutera med ledningen eventuella resultat och rekommendationer. Du måste vara helt säker på:

• de fakta som presenteras i rapporten är korrekta
• rekommendationerna är realistiska och kostnadseffektiva, eller alternativ har förhandlats fram med organisationens ledning
• de rekommenderade genomförandedatum kommer att godkännas för de rekommendationer du har i din rapport.

din presentation vid denna utgångsintervju kommer att innehålla en sammanfattning på hög nivå (som Sgt.fredag använder för att säga, Bara fakta snälla, bara fakta). Och av någon anledning är en bild värd tusen ord, så gör några PowerPoint-bilder eller grafik i din rapport.

din revisionsberättelse ska vara strukturerad så att den innehåller:

• En introduktion (sammanfattning)
• resultaten finns i ett separat avsnitt och grupperas efter avsedd mottagare
• din övergripande slutsats och åsikt om huruvida kontrollerna är tillräckliga och eventuella identifierade potentiella risker
• eventuella reservationer eller kvalifikationer med avseende på revisionen
• detaljerade resultat och rekommendationer

slutligen finns det några andra överväganden som du måste vara medveten om när du förbereder och presenterar din slutrapport. Vem är publiken? Om rapporten går till revisionsutskottet kanske de inte behöver se minutiaen som går in i den lokala affärsenhetsrapporten. Du måste identifiera organisatoriska, professionella och statliga kriterier som tillämpas som GAO-Yellow Book, CobiT eller NIST SP 800-53. Din rapport kommer att vilja vara aktuell för att uppmuntra snabba korrigerande åtgärder.