Siamo obbligati a fornire un registro completo qualora gli auditor lo richiedessero?

5

Abbiamo un sistema che genera e ruota i registri su base giornaliera.

Se un revisore ci richiede di fornire i registri di una determinata data per una particolare attività, siamo obbligati a fornire un registro completo per l'intera giornata? Oppure possiamo fornire, ad esempio, un log omesso o uno screenshot della porzione di registro che mostra solo una porzione dell'attività particolare? Il revisore potrebbe mettere in dubbio l'integrità di parziali / omessi / screenshot dei log?

La mia risposta personale è che non accetterei di fornire un registro completo per l'intera giornata poiché questi registri potrebbero contenere altre informazioni riservate o riservate che potrebbero non rientrare nell'ambito di controllo.

    
posta Alex J 20.02.2013 - 03:23
fonte

2 risposte

3

Dipende dal tipo di audit e dal contratto tra la tua azienda e la società di revisione. Inoltre, le leggi sulla privacy, gli accordi relativi ai dati relativi alla privacy e le NDA possono svolgere un ruolo importante nel giudicare la richiesta.

Come consiglio pratico: chiedi al tuo ufficio legale in quanto questa non è una questione radicata nell'IT ma in leggi e contratti. Cerca di spiegare le tue preoccupazioni in un modo comprensibile agli avvocati con poca esperienza IT.

Puoi provare a fornire un registro ridotto come risposta iniziale e chiedere al revisore di chiarire se sono necessari dati aggiuntivi e perché. Ma se questo approccio sia o meno una buona idea, dipende dalla situazione.

    
risposta data 20.02.2013 - 21:37
fonte
0

Io stesso sono un revisore IT. Quando conduco un audit, valuto la sufficienza delle prove basate sul rischio. Rischio di audit, il rischio che un errore significativo o non conformità con regole / criteri non venga rilevato, viene valutato in base ai suoi componenti -

  • Rischio intrinseco - processo di rischio sottostante sotto controllo
  • Rischio di controllo - rischio che controlli interni difettosi non impediscano o rilevi errori / frodi / non conformità con le politiche
  • Rischio di rilevamento - rischio che le tecniche utilizzate dai revisori dei conti siano inadeguate o inadatte a valutare pienamente il rischio nel processo sottoposto a verifica.

Il rischio intrinseco e il rischio di controllo sono direttamente correlati alla quantità di prove richieste per soddisfare il giudizio di un revisore sul fatto che la domanda sotto controllo funzioni in modo efficace, adeguatamente protetto e protegga la riservatezza dei dati sensibili.

Le richieste del revisore non sono arbitrarie, ma basate su forza di evidenza e livello di rischio, quindi ... -

Dovresti fornire solo ciò che il revisore richiede: prove sufficienti per valutare un fatto particolare.

    
risposta data 19.05.2016 - 02:46
fonte

Leggi altre domande sui tag