自动化IT一般控制审计之前要知道的七件事

Frans Geldenhuys和Gustav Silvo
作者: Frans Geldenhuys, CISA, CA(SA)和Gustav Silvo, CISA
发表日期: 2022年12月20日

一个小型的内部IT审计团队需要审查一个复杂而多样的环境, 评估和测试需要提供保证的内容. 要测试的澳门赌场官方下载由7个核心部门和300多个实体组成,这些实体分布在大约90个IT领域. 负责IT领域的每个管理团队都有自己的需求和需求, 因此, 他们自己的系统, 标准, 和政策. 这意味着一个复杂的环境和审计周期超过2年, 哪一个, 在一个充满活力和不断发展的技术环境中, 不足以处理相关的风险.

为了应对这一挑战, IT一般控制程序是自动化的,因此可以在所有组织中以连续和/或定期的方式执行测试. 在这个过程中, 在审计自动化过程中,审计团队获得了许多重要的经验教训,这些经验教训表明他们本可以采取不同的做法.

发展审计程序, 应该力求通过可扩展的控制测试来展示快速的胜利,从而为以后可能寻求的任何复杂的证据收集方法和控制测试确保预算和商誉.

审核团队在审核自动化过程中得到了7个主要结论:

  1. 首先建立需要结构化数据的控制测试在内部审计的自动化过程中,审计团队很早就解决了需要机器学习(ML)来收集证据的复杂控制问题. 在事后看来, 团队成员认为他们应该首先把重点放在已经有结构化数据可用于测试的关键控件的自动化上.
  2. 专注于快速的胜利审核小组知道它想要审核什么,以及需要哪些数据, 但这些数据并不总是现成的. 而不是专注于快速获胜和自动化控制的最大数量的数据,它可以收集, 团队花费了大量时间尝试从不同的来源创建结构化数据.
    从长远来看,使用ML的证据收集方法和控制测试可以产生影响(并且可以自豪地展示有趣的内容)。, 但这需要技巧和时间来培养. 而不是, 审计团队将从处理定义良好且可能已经作为脚本运行的更多分析过程中获得更多价值. 发展审计程序, 应该力求通过可扩展的控制测试来展示快速的胜利,从而为以后可能寻求的任何复杂的证据收集方法和控制测试确保预算和商誉.
  3. 创建一个数据收集框架-审计小组希望在处理it环境工作之前更详细地研究数据收集代理和技术. 该团队编写了自己的工具来收集执行审计测试的证据, 这导致额外的维护和支持责任转移到审核员身上. 这, 反过来, 将重点转移到支持IT运行和理解输出,而不是向管理层提供洞察力和构建更多的控制测试.
  4. 〇利用第三方专家关于更复杂的措施,如补丁, 网络及网站安全, 审计团队更愿意尽早与第三方进行集成. 这些类型的供应商都有专门的安全专家进行研究, 收集和暴露漏洞. 他们的工具与非常低级的标准保持同步,而典型的IT审计员不知道要查看这些标准. 通过与这样的供应商合作, 审计小组本可以把重点放在确定是否存在风险以及风险是否得到了管理上, 而不是更细致的细节.
  5. 定义一个度量框架审计团队认为应该更详细地定义审计自动化所使用的风险框架, 或者完全不定义每个控制的风险. 然后,焦点将转移到关键绩效指标(KPI)框架上. kpi对接收结果的受众更有意义,并推动正确的治理行为. 因为门户的透明性, 人们最终可能会争论如何计算风险,而不是讨论实际有效的发现.
  6. 考虑对运营和审计的影响审核员通常必须执行由管理层设计和执行的控制测试,以确定任务是否正确执行. 如果审查过程是自动化的, 组织将倾向于在其操作过程中包含自动化审计测试的结果. 然而,这使审计师的独立性受到质疑. 通过利用在组织和审计团队之间逻辑隔离的第三方应用程序和视图, 操作过程和审计测试可以在同一平台上分开. 审计人员必须考虑什么是真正被审计的. 审计是为了说明风险的存在,还是为了说明管理层没有采取行动? 有时两者都有.
  7. 不要忘记变更管理-最后,也是最重要的一点,不要忘记变更管理. 审计小组发现,需要克服的最大障碍不是数据的可用性, 定义要自动化的程序,或以持续的方式呈现调查结果和报告. 从实现自动化IT控制过程中得到的最重要的教训是没有更快地考虑到人. 当一个人踏上自动化IT控制程序的旅程时, 从一开始就考虑到受影响的涉众是非常重要的. 应该给予他们的支持,并确认相关利益相关者的参与.

结论

在计划IT审计控制测试的自动化时考虑这些项目会使实际交付更容易, 从长远来看,更快,更可持续. 有了上述7个方面, 可以扩展解决方案,使其在多个业务领域产生最大影响.

编者按

想了解更多作者对这个话题的看法,请收听“自动化IT一般控制审计之前要知道的七件事ISACA的一集® 播客.

Frans Geldenhuys, CISA, CA(SA)

是注册会计师和Bidvest Advisory Services (Pty) Ltd .的创始成员吗, 这是一家南非软件开发和咨询公司,通过其平台专注于专业服务的自动化, 爱丽丝. 他在审计行业有超过10年的财务执行经验, 运营和IT审计.

Gustav Silvo, CISA

是经验丰富的IT审计师和Bidvest旗下爱丽丝的联合创始人吗. 他的主要目标是通过在需要的地方提供IT保证和咨询服务,成为积极变革的推动者. Silvo领导爱丽丝的IT审计研究和开发工作. 他的研究重点是未来趋势和实现控制测试以及来自IT审计人员和管理人员的可用性要求.