Esecuzione di una procedura di audit IT professionale

Questa è una domanda molto più grande di quanto pensassi ti rendessi conto - per cominciare, le principali società di revisione IT hanno una grande quantità di Proprietà Intellettuale in quest'area, quindi mentre sarai in grado di trovare documentazione di alto livello, potresti avere problemi a trovare documenti dettagliati.

Dal mio periodo in una società di audit Big-4, ho probabilmente visto oltre 300 piani di lavoro per l'audit di tecnologie specifiche e contribuito a circa 50 di questi. L'investimento nel tempo è piuttosto alto.

Nel dire questo, ti consiglierei sicuramente di unirti a ISACA (l'Associazione di controllo e controllo dei sistemi informatici) , che è l'organo definitivo per questo settore. Una vasta mole di informazioni è disponibile attraverso ISACA, inclusi CobIT e audit guidance.

(divulgazione - uno dei miei ruoli è il presidente del capitolo scozzese ISACA)

La risposta tradizionale alla tua domanda è: ottenere un lavoro presso una società di revisione. Sarà una posizione junior, ma è così che impari il mestiere. Avrai accesso al tipo di piani di lavoro menzionati da Rory, ma, cosa ancora più importante, otterrai esperienza applicandoli a situazioni di controllo effettive.

Ho incontrato buoni revisori e ho incontrato auditor poveri, e un buon auditing è più che avere il software giusto, riviste o modelli. Non so in che cosa si trovino i tuoi maestri, ma probabilmente non ti ha preparato per essere a terra in un controllo. Essere di fronte ai clienti, fare domande e scavare le risposte che loro non sanno nemmeno di avere a volte. (Non menzioni la tua esperienza lavorativa, che potrebbe essere rilevante per tutto quello che so)

Solo il mio .02c. Buona fortuna!

Puoi consultare il sito PTES - Penetration Testing Execution Standard - link

Si sta lentamente compilando ma ha molte informazioni molto utili.

Puoi anche consultare il manuale sulla metodologia di test della sicurezza open source - link

In qualità di auditor IT esperto, permettimi di fornirti una risposta per esperienza. Prima di spiegare, voglio dire che il tuo approccio è fondamentalmente errato rispetto alla domanda che hai posto nel corpo della domanda.

What software tools are required

Questa forma di pensiero è fuorviata. Il primo passo per eseguire un controllo professionale è pianificare e raccogliere informazioni sul client. Le informazioni importanti che vorresti ottenere includono, ma non sono limitate a:

1. Obiettivo dell'audit: quale procedura / processo / criterio viene valutato?
2. Qual è lo ambito dell'audit: che cosa coprirà l'audit?
3. Eventuali modifiche sostanziali all'interno dell'azienda dall'ultimo controllo effettuato
4. Eventuali risultati di questi audit precedenti - presupponendo che questo controllo non sia il primo

Da quanto sopra, un revisore conduce una valutazione del rischio con l'obiettivo finale di stabilire un livello di rischio totale di audit. Per iniziare, il revisore IT ottiene una comprensione dell'ambiente aziendale / di controllo per rispondere alle seguenti domande - non esclusive a seconda dell'entità controllata.

1. Quali processi sono attualmente in atto e come funzionano?
2. Quali controlli sono stati impostati dal management per garantire che i processi IT funzionino per il business come previsto dalla direzione?
3. Qual è la "sintonia al vertice" in merito al rischio e al rispetto delle norme legali / politiche aziendali?

Le tecniche che un revisore userebbe in questa fase comprendono la procedura dettagliata del processo, l'indagine sulla gestione e l'osservazione. Con una comprensione del business e dei controlli attuali, i revisori quantificano il rischio totale. I componenti del rischio totale includeranno:

• Rischio intrinseco - Probabilità di errore dovuta alla natura intrinseca di attività

• Rischio di controllo - Errore / frode a causa di scarsi controlli interni

• Rischio di rilevamento - Rischio di errori / anomalie / frodi non rilevati a causa degli strumenti utilizzati durante l'audit per rilevarli.

Solo dopo che tutti i passaggi precedenti sono completi, l'auditor inizierà a pensare alle tecniche e agli strumenti specifici utilizzati per completare la verifica. A seconda della valutazione iniziale del rischio, alcuni strumenti / tecniche potrebbero non essere necessari o essere inappropriati.

Non è possibile rispondere a quali strumenti devono essere utilizzati senza eseguire l'analisi sopra descritta senza violare attenzione> o standards di pianificazione del coinvolgimento fornita da ISACA. 1

Il revisore esegue la verifica raccogliendo le prove attraverso l'ispezione della documentazione, la richiesta di gestione e la verifica indipendente del lavoro svolto - ri-prestazione. La documentazione è meticolosamente tenuta da tutti i test effettuati e da eventuali rilievi / osservazioni rilevati, da utilizzare come base per l'opinione di controllo.

Dopo aver completato la verifica, il revisore si incontra con la direzione aziendale per verificare la comprensione dei risultati e pianificare il followup per verificare eventuali risultati durante il successivo incarico di revisione.