ITurnITy biedt IT Auditing Services die zorg dragen voor het proces van het verzamelen en evalueren van bewijsmateriaal voor het beheer van controles op de informatiesystemen, praktijken, controles en activiteiten van een organisatie. De evaluatie van bewijs verkregen via het IT-auditproces bepaalt of de informatiesystemen activa beschermen, de gegevensintegriteit behouden en effectief werken om de doelen en doelstellingen van de organisatie te bereiken. Dit kan traditionele audits van technologieprocessen en componenten omvatten, maar ook geïntegreerde audits voor auditactiviteiten, technologieafhankelijke regelgevingsprocessen (bijv. Privacyregelgeving) of ondersteuning voor data-analyse.
De constante vooruitgang van technologie heeft de manier waarop de meeste organisaties werken ingrijpend veranderd. Door de ontwikkelingen zijn pen- en papiertransacties vervangen door geautomatiseerde online gegevensinvoertoepassingen en in plaats van sleutels en sloten voor archiefkasten, worden sterke wachtwoorden en identificatiecodes gebruikt om de toegang tot elektronische bestanden te beperken. Implementatie van innovatieve technologie heeft de bedrijfsefficiëntie binnen de meeste organisaties aanzienlijk verbeterd op het gebied van gegevensverwerking en transmissiecapaciteit. Toch heeft het ook nieuwe kwetsbaarheden gecreëerd en geïntroduceerd die moeten worden aangepakt en beperkt. Elke kwetsbaarheid moet worden beheerst, wat betekent dat er betere manieren nodig zijn om de toereikendheid van elke controle te beoordelen en dus nieuwe controlemethoden. De afhankelijkheid van geautomatiseerde systemen heeft het noodzakelijk gemaakt om de gecontroleerde aanpak en methodologie voor audits te veranderen vanwege de angst voor een compromis over gegevensintegriteit, misbruik van vertrouwelijkheidsbeleid, enzovoort. Daarom is een onafhankelijke audit vereist om te verifiëren en te bewijzen dat een adequate maatregel is ontworpen en geïmplementeerd om blootstelling aan verschillende risico's te minimaliseren of te elimineren.
De noodzaak voor Auditing
Ondernemingen zijn nooit meer afhankelijk geweest van hun gegevens dan hedendaags. Voor de meesten is data de levensader van de organisatie. Wanneer gegevens worden aangetast, lopen bedrijven risico. Gevolgen van oneigenlijk gebruik van gegevens omvatten, maar zijn niet beperkt tot, schade aan het merk en de reputatie, verlies van waarde in de aankoopprijs van het aandeel, uitputting van de klant, boetes en zelfs rechtszaken.
Bovendien wordt de verantwoording voor de integriteit van kritieke informatie in toenemende mate wettelijk vastgelegd door een groot aantal voorschriften. Een van de meest opvallende is de Algemene Verordening Gegevensbescherming (AVG), de belangrijkste verandering in de regelgeving inzake gegevensprivacy in 20 jaar. De verordening zal de manier waarop gegevens worden verwerkt in alle sectoren, van de gezondheidszorg tot het bankwezen en daarbuiten, fundamenteel hervormen.
Om AVG aan te pakken moeten sectoren beschikken over effectieve toegangscontroles voor de databases waar gevoelige informatie wordt opgeslagen en geopend. Tegelijkertijd hebben ze oplossingen nodig die deze controles automatiseren om hun behoefte aan een duurzaam, kosteneffectief nalevingsprogramma te vergemakkelijken.
IT-besturing - Technologische vooruitgang heeft de afgelopen jaren de mogelijkheden van computersystemen snel veranderd. Sommige organisaties hebben het systeem volledig overgenomen en al hun gegevens zijn geautomatiseerd en exclusief beschikbaar gesteld via digitale media. Vanwege deze verandering in de manier waarop de meeste organisaties hun gegevens beheren, hebben onze auditors hun controletechnieken moeten wijzigen. De algemene controledoelstellingen van de audit worden niet noodzakelijkerwijs verstoord, behalve wat betreft de uitvoering ervan. Een wijziging in de implementatiemethode impliceert een verandering in de aanpak van de auditors bij de evaluatie van interne controles.
Met de huidige IT-infrastructuur worden zowel compliance als inhoudelijke tests uitgevoerd tijdens een IT Control Audit. Nalevingstests worden uitgevoerd om te verifiëren of controles worden toegepast volgens de instructies of volgens de beschrijving in de programmadocumentatie. Het bepaalt het nalevingsniveau van controles met managementbeleid en -procedures. Inhoudelijke audit, zoals de naam al doet vermoeden, is een test die wordt uitgevoerd op een systeem om de toereikendheid van de vastgestelde controles te onderbouwen bij het beschermen van de organisatie tegen kwaadaardige cyberactiviteiten. De tests moeten worden uitgevoerd met een dieper inzicht in de diversiteit van bedreigingen die worden veroorzaakt door een geautomatiseerde omgeving zoals; ongeautoriseerde toegang tot waardevolle bedrijfsmiddelen in termen van gegevens of programma, niet-gedetecteerde afwijkingen, verminderde verantwoordingsplicht, ongebruikelijke transacties, beschadigde gegevensbestanden, onnauwkeurige informatie enzovoort.
Audit van algemene controles - In grote lijnen uitgelegd, omvat dit prestatiebewaking van het systeem, taakplanning, mediabeheer, capaciteitsplanning, monitoring van onderhoudsnetwerken en audit van de administratie.
Controle van applicatiebesturing - Applicatiebesturing is specifiek voor een bepaalde applicatie en kan een aanzienlijke impact hebben op hoe een individuele transactie wordt verwerkt. Ze worden gemeten ter controle en om te garanderen dat elke transactie legitiem, geautoriseerd, volledig en geregistreerd is. Alvorens tot een diepgaande evaluatie van applicatiecontroles over te gaan, moet een auditor eerst begrijpen hoe het systeem werkt. Aldus wordt vóór de analyse een korte beschrijving van de applicatie opgesteld met vermelding van belangrijke uitgevoerde transacties, een beschrijving van de transactiestroom en de belangrijkste output, een korte beschrijving van belangrijke gegevensbestanden en een geschat cijfer voor transactievolumes
Netwerk- en internetbesturing - In de meeste organisaties, met name middelgrote tot grote organisaties, worden lokale of wide area-netwerken vaak gebruikt om gebruikers te verbinden. Dit brengt verschillende risico's met zich mee, omdat het niet garandeert dat het systeem alleen toegankelijk is voor een geautoriseerde persoon of gebruiker. Het netwerk mag alleen worden ontworpen voor toegang door geautoriseerde gebruikers. Het beveiligingssysteem mag niet volledig op logische toegang staan, omdat netwerken worden gebruikt om gegevens te verzenden die beschadigd, verloren of onderschept kunnen zijn. Er moeten controles worden ingesteld om al deze risico's te elimineren.
ITurnITy's audit omvat elke activiteit die wordt uitgevoerd binnen de periferie van het onderzoeken en evalueren van het IT-beleid, de infrastructuur en activiteiten van een organisatie. Auditing van informatietechnologie kan worden gedefinieerd als een proces van het verzamelen en evalueren van bewijs om te bepalen of een computersysteem gegevensintegriteit handhaaft, activa beveiligt, middelen efficiënt gebruikt en het mogelijk maakt organisatorische doelen te bereiken.
Voorafgaand aan het beoordelen en het verzamelen van informatie is het plannen een continu proces, hoewel geconcentreerd aan het begin van een audit. Een eerste beoordeling wordt uitgevoerd om de omvang en het type te bepalen als volgende tests. In een situatie waarin de Auditor vindt dat de specifieke controleprocedures niet effectief zijn, kunnen zij worden gedwongen hun eerdere conclusies en andere relevante besluiten die op basis van die conclusies zijn genomen, opnieuw te evalueren.
ITurnITy's IT auditor heeft inzicht in de organisatie en heeft als taak kennis en input te verzamelen over de volgende aspecten van het te controleren object, de operationele omgeving en de functie van de organisatie, de kriticiteit van het IT-systeem, of het nu een missiekritisch systeem is of een ondersteuningssysteem, structuur van de organisatie, aard van de gebruikte software en hardware en aard en omvang van de gevaren voor de organisatie. De aard van de organisatie en het gewenste niveau van auditrapport bepalen in hoge mate de mate van kennis die moet worden verworven over de organisatie. De verzamelde informatie moet door de auditor worden gebruikt om potentiële problemen te identificeren, doelstellingen van het onderzoek te formuleren en de reikwijdte van het werk te definiëren.
De doelstellingen en reikwijdte van een audit worden bepaald op basis van de risicobeoordeling die na blootstelling door een Auditor wordt uitgevoerd. Risicobeheer is een integraal onderdeel van het beveiligen van uw organisatie tegen hackers. Het kan worden gedefinieerd als een proces van identificatie, beoordeling en het nemen van de nodige stappen om het risico binnen een systeem tot een aanvaardbaar niveau te beperken. In elke organisatie zijn de primaire beveiligingsdoelen integriteit, vertrouwelijkheid en beschikbaarheid.
De auditor heeft een breed platform van risicobeoordelingsmethoden om uit te kiezen, variërend van eenvoudige classificatie van laag, gemiddeld en hoog volgens de beoordeling tot complexe en meer verbeterde wetenschappelijke classificatie om een numerieke risicobeoordeling te maken. Na de beoordeling worden procedures, werkwijzen en organisatiestructuren opgezet om het risico dat interne controles wordt genoemd, te verminderen. Een voorlopige beoordeling van de controles kan worden gedaan op basis van gesprekken met het management, het invullen van vragenlijsten, beschikbare documentatie en / of een voorlopig onderzoek van de applicatie.
Enkele van de gemeenschappelijke doelstellingen van IT-audit zijn, Beoordeling van beveiligingsinfrastructuur en -systemen, Herziening van IT-systemen om zekerheid over de veiligheid te krijgen, Onderzoek het ontwikkelingsproces en de bijbehorende procedures in verschillende fasen van het systeem, Evaluatie van de prestaties van een specifiek programma of systeem. Controledoelstellingen en reikwijdte zijn niet beperkt tot de hierboven genoemde aspecten. Het moet in staat zijn om alle kritieke gebieden van het beveiligingsaspect te dekken, zoals beveiligingsinstellingen, wachtwoorden, firewallbeveiliging, gebruikersrechten, fysieke toegangsbeveiliging, etc.De reikwijdte daarentegen moet de grenzen, limieten of de periferie van de audit bepalen. Het bieden van ruimte voor een audit maakt deel uit van de auditplanning en omvat aspecten zoals de mate van inhoudelijke beoordeling, afhankelijk van het gevaar, zwakte van de controle, de auditperiode en het aantal betrokken locaties.
Aanzienlijk, redelijk en relevant bewijsmateriaal moet worden verkregen naar het oordeel van de tweede auditor en conclusies over de gecontroleerde organisaties, functie, activiteit of programma. Technieken die worden gebruikt voor het verzamelen van gegevens moeten zorgvuldig worden gekozen en de auditor moet een goed inzicht hebben in de geselecteerde procedure en methode. Soorten controle-informatie, documentaire controle-informatie, analyse en waargenomen proces en het bestaan van fysieke items. Fysieke verificatie houdt het feitelijke onderzoek of inspectie van materiële activa door de auditor in. De volgende methoden kunnen worden gebruikt voor het verzamelen van controle-informatie.
Interviews- kunnen worden gebruikt om zowel kwantitatief als kwalitatief bewijsmateriaal te verzamelen. Sommige van de te interviewen personen zijn systeemanalisten om de controles en functies binnen het beveiligingssysteem beter te begrijpen, personeel voor gegevensinvoer om de methodologie te bepalen die zij gebruiken om de gegevens in te voeren die door het systeem worden gedetecteerd als onjuist, onnauwkeurig of schadelijk. Vragenlijsten- van oudsher werden vragenlijsten gebruikt om controles binnen het gecontroleerde systeem te evalueren. In sommige gevallen hebben Auditors creatief vragenlijsten gebruikt om specifieke gebieden van de systeemzwakte te markeren tijdens het verzamelen van bewijsmateriaal. Bij het voorbereiden van de vragenlijsten moeten de vragen zo specifiek mogelijk zijn en moet de taal worden gebruikt die overeenkomt met het begrip van de beoogde persoon. Stroomdiagrammen- zijn ontworpen om aan te tonen dat bedieningselementen zijn ingebed in het systeem en hun specifieke locaties in het systeem. Ze zijn van fundamenteel belang voor begrip, evaluatie en communicatie tijdens de audit. Analytische procedures - laat zien of rekeningsaldo redelijk is door vergelijkingen en verschillende relaties. De procedures moeten in de vroege stadia van de controle worden uitgevoerd om de rekeningen te bepalen die verdere verificatie vereisen, de rekeningen waarin het bewijsmateriaal kan worden verminderd en gebieden waarop onderzoeken kunnen worden geconcentreerd. Oplossingen voor bewijsverzameling - een toename van de behoefte aan traceerbare documentatie heeft het veld geopend voor verschillende hulpmiddelen die door auditors worden gebruikt. ITurnITy maakt meestal gebruik van hun eigen Software oplossing die bekend staat als eVisie Corporate Compliance Studio voor Auditing & Compliance Automation die bedrijfsrisico's vermindert door het verhogen van fraudedetectie en het verbeteren van de audit-efficiëntie!
ITurnITy IT Auditors zorgen ervoor dat alle controle-informatie goed wordt gedocumenteerd, met inbegrip van de omvang van de planning, de basis van de audit, de uitgevoerde verrichtingen en de bevindingen van de audit. Het uiteindelijke document bevat planning en voorbereiding van de audit, auditprogramma, opmerkingen, rapporten, gegevens, enz.
Laat uw gegevens achter op ons contactformulier en wij nemen zo spoedig mogelijk contact met u op.