Топ пять преимуществ ИТ аудит

0
25

ИТ аудиторов часто оказываются просвещения деловых кругов как их работу добавляет ценность для Организации. Отделы внутренней ревизии обычно имеют компонент аудита IT, который развертывается с четкой перспективы на своей роли в Организации. Однако наш опыт как ИТ-аудиторов, бизнес сообщества должен понимать IT аудита функция для того чтобы реализовать максимальную пользу. В этом контексте мы публикуем этот краткий обзор конкретных выгод и добавленной стоимости, предоставляемые ИТ-аудит.

Чтобы быть конкретным, ИТ аудит может охватывать широкий спектр ИТ обработки и коммуникационной инфраструктуры, например, клиент серверных систем и сетей, действующих систем, систем безопасности, программных приложений, веб-служб, баз данных, телекоммуникационной инфраструктуры, изменить процедуры управления и планирования аварийного восстановления.

Последовательность в стандарт аудита начать с выявления рисков, а затем оценки дизайн элементов управления и наконец тестирования эффективности контроля. Опытных аудиторов можно добавить значение в каждом этапе аудита.

Компании обычно поддерживать IT аудита для обеспечения гарантий по технологии контроля и обеспечить соответствие с федеральным или промышленности конкретные требования. Как растут инвестиции в технологии, он аудита могут обеспечить гарантии того, что риски управляются и что огромные выгружается, вероятно, не. Организация может также определить, что существует высокий риск перелива, угрозы или уязвимости. Могут также существовать требования к соответствию например Sarbanes-Oxley Act или требования, которые являются специфическими для отрасли.

Ниже мы рассмотрим пять ключевых областей, в которых ИТ-аудиторов можно добавить ценность для Организации. Конечно качество и глубину технического аудита является предпосылкой для добавленной стоимости. Запланированного объема аудита также имеет решающее значение для добавленной стоимости. Без четкого мандата на какие бизнес-процессы и риски будет проверяться трудно обеспечить успех или добавленной стоимости.

Так вот наш Топ пять способов, что IT аудита добавляет ценность:

1. Уменьшить риск. Планирование и выполнение IT аудит составляющих идентификации и оценки рисков ИТ в Организации.

Он ревизии обычно покрытия рисков, связанных с конфиденциальности, целостности и доступности инфраструктуры информационных технологий и процессов. Дополнительные риски включают эффективности, действенности и надежности его.

После того, как риски оцениваются, может существовать четкое видение на какой курс принять для сокращения или смягчения рисков посредством контроля, для передачи рисков путем страхования или просто принять риск как часть операционной среды.

Критических концепция здесь, что ИТ-рисков является бизнес-рисков. Любые угрозы или уязвимости критических ИТ-операций может иметь прямое влияние на организации предприятия. Короче говоря Организации необходимо знать где риски и затем перейти к делать что-то о них.

Передового опыта в ИТ-рисков, используемые аудиторы являются ISACA COBIT и RiskIT структур и стандарт ISO/IEC 27002 & #39; кодекса практики для управления информационной безопасностью & #39;.

2. усилить контроль и повысить безопасность. После оценки рисков, как описано выше, элементы управления могут затем определены и оценены. Плохо спроектированные или неэффективного управления может быть изменен и/или укрепить.

COBIT рамки управления ИТ является особенно полезным здесь. Он состоит из четырех высокого уровня доменов, которые охватывают 32 процессов управления полезными в сокращении риска. COBIT охватывает все аспекты информационной безопасности, включая контрольные цели, ключевые индикаторы производительности, ключевые цели показатели и критические факторы успеха.

Аудитор может использовать COBIT оценки управления в Организации, и выносить рекомендации, которые добавить реальную ценность ИТ-среды и Организации в целом.

Другой элемент управления framework является Комитет спонсорских организаций Комиссии Тредуэя (COSO) модель внутреннего контроля. ИТ-аудиторов можно использовать эти рамки для получения гарантии на (1) эффективность и действенность операций, (2 теория относительности финансовой отчетности и (3) в соответствии с применимыми законами и правилами. Framework содержит два элемента из пяти, которые непосредственно касаются управления Управление окружающей среды и контроля деятельности.

3. соблюдать правила. Широкий круг положений на федеральном и государственном уровнях включают конкретные требования к информационной безопасности. ИТ-аудитор выполняет важнейшую функцию в обеспечении конкретных требований, риски оцениваются и осуществления контроля.

С Сарбейнса-Оксли (корпоративные и Закон об ответственности мошенничества уголовного) включает требования для всех публичных компаний для обеспечения адекватного, как это определено в рамках Комитета организаций-Тредуэя внутреннего контроля [Комиссия's(COSO)обсуждалосьвышеЭтоИТ-аудиторкоторыйпредоставляетзаверениявтомчтотакиетребованиябудутвыполнены

Медицинское страхование портативности и акт подотчетности (HIPAA) имеет три направления его требования административные, технические и физические. Это ИТ-аудитор, который играет ключевую роль в обеспечении соблюдения этих требований.

Различные отрасли имеют дополнительные требования, например Payment Card Industry (PCI) стандарта безопасности данных в индустрии кредитных карт например Visa и Mastercard.

Во всех этих соблюдения и нормативной областях ИТ-аудитор играет центральную роль. Организация нуждается в гарантии, что выполняются все требования.

4. облегчение связи между бизнесом и управления технологиями. Аудит может иметь положительный эффект от открытия каналов связи между Организацией & #39 бизнес и технологии управления. Аудиторы интервью, наблюдать и проверить, что происходит в реальности и на практике. Окончательные результаты от аудита являются ценной информации в письменных докладов и устных презентаций. Руководства можно получить прямой обратной связи о функционировании их организации.

Профессионалы в организации также должны знать ожидания и цели руководства. Аудиторы помогают этой связи сверху вниз через участие в совещаниях с управлением технологиями и обзор текущей реализации политики, стандартов и руководящих принципов.

Важно понимать, что IT аудит является ключевым элементом управления & #39; s надзора технологии. Организация & #39; s технология существует для поддержки бизнес-стратегии, функций и операций. Выравнивание бизнеса и поддержки технологии имеет решающее значение. Аудит содержит это выравнивание.

5. улучшить управление. Институт управления ИТ (ITGI) опубликовал следующее определение:

& #39; управления ИТ является ответственность руководителей и директоров и членов руководства, организационных структур и процессов, которые обеспечивают которые Предприятия & #39; s, она поддерживает и расширяет Организации & #39; s стратегии и цели. & #39;

руководство, организационных структур и процессов, упоминаемые в определении все указывают на ИТ аудиторов как ключевых игроков. Центральное место в его аудит и два общих управления ИТ является сильным понимание значения, рисков и контроля вокруг Организации & #39; s технологии окружающей среды. Говоря более конкретно ИТ-аудиторов обзор значение, риски и контроля в каждом из ключевых компонентов технологии приложений, информации, инфраструктуры и людей.

Другой взгляд на управление ИТ состоит из рамки четырех ключевых целей, которые также обсуждаются в IT Governance Institute & #39; s документации:

* он выравнивается с бизнес * позволяет бизнес и максимизирует преимущества * это ответственно используются ресурсы * IT риски управляются надлежащим образом

ИТ аудиторов обеспечивают уверенность, что каждая из этих задач выполняется. Каждая цель имеет решающее значение для Организации и поэтому является критически важным в IT аудита.

Суммируя, IT аудита добавляет ценность путем снижения рисков, повышения безопасности, соблюдение правил и содействия коммуникации между технологии и управления бизнесом. Наконец, он аудита улучшений и strengnthens в целом управление ИТ.

Ссылки:

ISACA. Контрольные цели для информационных и смежных технологий (КОБИТ).

ISO/IEC 27002 кодекса практики для управления информационной безопасностью.

Комитет спонсорских организаций Тредуэя Комиссии (COSO) рамок.



Sarah Abelow

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here