Grundlagen für IT Audit

1. 1. EINFÜHRUNG: Hallo, und willkommen zum Kurs Grundlagen des IT-Audits. Mein Name ist geduldig und als Ihr Ausbilder ist es mein Ziel, Ihnen die grundlegenden Prinzipien des IT-Audits mitzuteilen . Dieser Kurs ist ein grundlegender Baustein , der wichtig ist, um ein besseres Verständnis der IT zu erlangen . Prüfung und Kontrollen getestet. 2. 2. Einführung in IT-Audit und -Controls: Okay, fangen wir mit der ersten Vorlesung an, Einführung in IT-Audit und -Kontrollen. In dieser Vorlesung werden wir die folgenden Punkte behandeln. Wir definieren IT, Audits, definierte Kontrollen, erklären die Hierarchie der Kontrollen, Gründe für Kontrollen und Elemente von Kontrollen. Wir werden auch die Steuerungstypen überprüfen und einige Beispiele durchgehen , um Sie mit dem Konzept der Steuerelemente vertraut zu machen. Was ist also zunächst ein IT-Audit? Auf dem Bildschirm sehen Sie, was ich die formellere Definition von IT-Audits nenne . Für Laien ist ein IT-Audit jedoch lediglich eine Untersuchung von Kontrollen, die in und um das IT-System eingebettet sind. Und diese Kontrollen werden auf ihre Wirksamkeit hin bewertet. Das heißt, wir bewerten, ob es so funktioniert , wie es sein sollte. Einfache Minderung des Risikos , für das entwickelt wurde, oder erfüllt es die Mindestanforderungen an die Einhaltung von Vorschriften? Sie fragen sich vielleicht, was ist eine Kontrolle? Wenn Sie gerade nicht wissen , was eine Steuerung ist, ist das in Ordnung. Warte mal. Wir werden das etwas später besprechen. Eine Sache, auf die ich hier eingehen möchte , ist , dass IT-Audits nur eine angemessene Sicherheit hinsichtlich der Vollständigkeit und Richtigkeit der Daten in den IT-Systemen bieten. Sie bieten keine absolute Sicherheit, da es sich immer um Aspekte der Kontrollumgebung handelt, die nicht berücksichtigt werden können. Beispielsweise können automatisierte Steuerungen das Gefühl haben, dass ein System ausfällt. Oder eine manuelle Steuerung kann von jedem Menschen außer Kraft gesetzt werden. Oder Sie haben Kontrollziele, die zunächst nicht angemessen ausgelegt sind . Es. Audits sollen nicht absolut sein. Sie können nur eine angemessene Gewähr für die Vollständigkeit und Richtigkeit der Daten in den IT-Systemen geben. Ordnung, als Nächstes definieren wir Steuerelemente. Was unsere Kontrolle ist. Auf dem Bildschirm sehen Sie wiederum eine formellere Definition von Steuerelementen. Laien ist eine Kontrolle jedoch wie eine Checkpoint-Aktivität, die implementiert wird, um das Risiko einer unerwünschten Aktion zu verringern . Ziel einer Kontrolle ist es, Risiken zu mindern, die das Unternehmen daran hindern können das Unternehmen daran hindern seine Unternehmensziele zu erreichen. Die Risiken können Compliance-Risiken, operationelle Risiken, Reputationsrisiken oder sogar Risiken der Finanzberichterstattung sein. Die Kontrolle ist also die Aktivität, die implementiert wird, um dieses Risiko zu verringern. Lassen Sie uns nun über wichtige Kontrollen sprechen, da es in einer Organisation mehrere, sogar Hunderte von Kontrollen geben kann . In der Regel wird jedoch nur eine Teilmenge von ihnen als Schlüsselsteuerelemente betrachtet. Keep Controls sind die Kontrollen, für den Schutz der Integrität der Systeme aus Compliance-Sicht oder aus einer der anderen Risikobereichsperspektiven wirklich wichtig der Systeme aus Compliance-Sicht oder aus einer sind, wie unter die Rutsche. Und Sie können sehen, dass ihre wichtigsten Steuerelemente erforderlich sind, um ein Ziel zu erreichen. Der Ausfall einer Schlüsselkontrolle hat in der Regel erhebliche Auswirkungen auf das Unternehmen. Wenn ein Nicht-Schlüssel-Steuerelement das manchmal füllt, okay? Aber wenn ein Schlüsselsteuerfeld besteht, bedeutet das normalerweise, dass es größere Probleme gibt. Lassen Sie uns hier ein Beispiel haben. Eine Schlüsselkontrolle kann z. B. darin bestehen, den Zugang einzuschränken , um Änderungen an der Bilanz vorzunehmen. heißt, es gibt eine Kontrolle, die Personen einschränkt , die die Bilanz direkt ändern können. Wenn diese Kontrolle ausgefüllt wird, bedeutet dies, dass die Informationen in der Bilanz möglicherweise nicht zuverlässig weil eine andere Person möglicherweise unangemessene Änderungen vorgenommen hat. Bitte beachten Sie, dass ein tiefes Verständnis der Kontrollen, wie sie definiert und implementiert werden , der Schlüssel zu Ihrem Erfolg als IT-Auditor ist. Ich glaube, dass Sie verstehen müssen , warum Sie eine Kontrolle testen , bevor Sie effektiv gestalten können , wie Sie diese Kontrolle testen. Wenn Sie nicht verstehen, was die Kontrolle schützt, z. B. die Genehmigung der Bilanz oder Rechnungszahlung, ist die Genehmigung der Bilanz oder Rechnungszahlung, der von Ihnen entworfene und durchgeführte Test möglicherweise nicht ausreichend, um das Risiko von diese Kontrolle wurde nicht ordnungsgemäß implementiert. Ordnung, lassen Sie uns die Hierarchie der Kontrollen besprechen. Dieses Bild zeigt die Hierarchie von Steuerelementen oder Steuerelementen , die typischerweise vorhanden sind , um ein Kontrollziel zu erreichen. Ein Beispiel für ein Kontrollziel könnte eines sein. Kontrollen bieten angemessene Sicherheit, dass Zugang zum Kreditorenbuchhaltungssystem auf autorisierte Personen beschränkt ist. Oder zweitens bieten Kontrollen eine angemessene Sicherheit, dass Zugang zu Änderungen an Finanzsystemen auf autorisierte Personen beschränkt ist. Dies sind Kontrollziele. Um diese Kontrollziele zu erreichen, Kontrollen wie Benutzerzugriffssteuerungen vorgenommen werden, die einschränken. Personen, die auf diese Bereiche zugreifen können , oder Kennwortsteuerungen , die festlegen oder vorschreiben , dass Passwörter den Zugriff auf diese Systeme verwendet werden müssen. Und Berechtigungskontrollen sind implementiert. Als Nächstes kontrolliere ich, ob das Ziel vorhanden ist , um ein Prüfungsziel zu erreichen. Ein Beispiel für ein Prüfungsziel ist die angemessene Gewissheit, dass der Jahresabschluss verlässlich sein kann und dass er frei von wesentlichen falschen Angaben ist. Oder für PCI-bezogene Audits könnte ein Auditziel darin bestehen, dass eine angemessene Gewissheit besteht , dass die Zahlungsabwicklung des Systems angemessen und schnell sicher ist, um Kundeninformationen zu schützen. Diese Prüfungsziele sind also die höhere Ebene. Sie sind die oberste Ebene , die erreicht werden muss. Um das Prüfungsziel zu erreichen, müssen wir uns dem Kontrollziel zuwenden , das es weiter aufschlüsselt. Und um ein Kontrollziel zu erreichen, benötigen Sie die tatsächlichen Kontrollen , die Ihnen helfen, dieses Ziel zu erreichen. Und wie Sie auf der Folie sehen können, ist das Prüfungsziel in der Regel der Zweck der Prüfung, was der Abschlussprüfer erwartet. Und dann ist das Kontrollziel die Ziele des Managements, die als Rahmen für die Entwicklung und Implementierung von Kontrollen verwendet werden als Rahmen für die Entwicklung und Implementierung , um das Gesamtziel zu erreichen. Willkommen zum zweiten Teil der Vorlesung über IT-Audit und -Kontrollen. Wir werden mit den Gründen für die Kontrollen beginnen. Lassen Sie uns also diskutieren, warum Organisationen Kontrollen implementieren. Kontrollen werden aus vielen verschiedenen Gründen implementiert. Eine, die ich hier habe, ist Zuverlässigkeit der Finanzberichterstattung. Organisationen müssen nachweisen , dass sie über Kontrollen verfügen, um in angemessener Weise sicherzustellen , dass die Finanzberichte korrekt sind und sich auf öffentliche oder private Schlüssel verlassen können sich auf öffentliche oder private Schlüssel verlassen die Stakeholder. Um diese nachweisen zu können, müssen Unternehmen nachweisen, dass sie über Kontrollen verfügen , die diese Sicherheit ermöglichen. Ein weiterer Punkt, den wir hier haben, ist Einhaltung der geltenden Gesetze und Vorschriften. Kontrollen werden implementiert, weil Gesetze und Vorschriften ihre Umsetzung vorschreiben. Beispielsweise schreibt die Sarbanes-Oxley-Verordnung vor, dass das Management eine Aussage über die Kontrollen vorlegen muss, die es im Rahmen seines Rechnungslegungsprozesses implementiert und getestet hat. Dies wird für interne Kontrollen der Finanzberichterstattung als Eco bezeichnet . Andere Beispiele sind PCI- und SSE 16-Regulierungsstandards. Dies erfordert auch die Implementierung von Kontrollen , damit sie auf der Grundlage dieser speziellen Standards gegebenenfalls getestet werden können gegebenenfalls getestet . Ein weiterer Grund für Kontrollen wäre die Erzielung von Effektivität und Effizienz des Betriebs. Wenn Organisationen über Kontrollen verfügen, werden bestimmte betriebliche Aktivitäten rationalisiert und sie sind besser positioniert, um das Unternehmen bei der Erreichung seiner Ziele zu unterstützen. Obwohl dies möglicherweise nicht mit bestimmten Gesetzen und Standards zusammenhängt , sind sie dennoch entscheidend für den Erfolg des Unternehmens. Beispielsweise gibt es Kontrollen in Bezug auf Personaleinstellungspraktiken , um sicherzustellen, dass qualifizierte Kandidaten eingestellt werden. Oder es könnte Kontrollen zum Schutz von Geschäftsgeheimnissen oder Formeln geben. Ein weiterer Grund für Kontrollen ist dass sie dazu beitragen, definierbare, wiederholbare Prozesse zu erreichen , die die Konsistenz der Betriebsergebnisse verbessern . Wenn Kontrollen angemessen implementiert werden, werden bestimmte Aktivitäten wiederholbar und standardisiert und möglicherweise sogar automatisiert, um die kontinuierliche Konsistenz der Prozesse zu gewährleisten. B. a. Bilanzberichte können regelmäßig überprüft werden, um etwaige Unstimmigkeiten in den Finanzbüchern festzustellen und zu beheben . Möglicherweise verfügen Sie auch über Abstimmungskontrollen, die implementiert sind , um sicherzustellen, dass die Finanzsalden zwischen den Entitäten immer synchron sind , sodass Sie alle Unstimmigkeiten. Sie möchten also in der Lage sein, Elemente häufig zu überprüfen, um sicherzustellen , dass Dinge, die synchron sein sollen oder immer noch auftreten. Letzt und definitiv nicht garantiert die Liste der Systemsicherheitssystemsicherheit , dass Kontrollen implementiert werden, um Bösewichte davon abzuhalten oder zumindest davon abzuhalten, auf Systeme zuzugreifen. Benutzerzugriffskontrollen, Kennwortsteuerungen, Netzwerksteuerungen, Beispiel, Firewallkonfiguration Diese sind alle implementiert, um sicherzustellen, dass nur Benutzer, die autorisiert und angemessen sind, auf Systeme zugreifen können. Dies gibt also einen Überblick über einige Gründe für Kontrollen. Als Nächstes gehen wir auf Elemente der Steuerelemente ein. Kontrollen sollten bestimmte Elemente enthalten um als angemessene Kontrollen gelten zu können. Je nach Art des Steuerelements es möglicherweise nicht alle auf dieser Folie aufgeführten Elemente. Es sollte jedoch genügend dieser Elemente enthalten, um als angemessen angesehen zu werden. Angemessenes Beispiel für eine Kontrolle. Ich werde ein Beispiel vorlesen und dann gehen wir dieses Element durch. Vor dem Zugriff auf das System sind Passwörter erforderlich. Dies ist also die Kennwortprüfung oder ein anderes Steuerelement. Der Zugriff auf das System erfordert ein ausgefülltes Antragsformular für den Benutzerzugriff und die Genehmigung des Managers. Dies sind Steuerelemente für bestimmte Elemente im System. Das erste Element ist also, was ist eine Kontrollaktivität? Was ist die Kontrollaktivität? ZB könnte es eine Authentifizierungs - und Autorisierungskontrolle sein, eine Passwortkontrolle, wie das, was ich gerade gelesen habe. Zugangskontrolle oder Bücher, Abstimmungskontrolle. Ihre Kontrolle muss in einem der Beispiele, die ich zuvor gelesen habe, angeben, was die Aktivität ist Ein Teil davon ist die Genehmigung eines Zugriffsanforderungsformulars durch einen Manager. Das zweite Element hier ist, wie oft die Steuerung erfolgt, was die Frequenz ist. Es kann stündlich, täglich, wöchentlich oder sogar M0 sein. Und Sie könnten auch eine automatische Steuerung haben , die nur die häufige Überprüfung ist. Sie möchten also angeben, wie hoch die Frequenz ist. Und wenn es keine festgelegte Frequenz gibt, wenn sie automatisiert ist, möchten Sie diese auch festlegen. Das halte ich auch lieber. Ein weiteres Element ist der Titel der WHO, die die Kontrolle durchführt. Und wenn es zu einer Aufgabentrennung kommt, gibt es potenzielle Konflikte mit der Person, die die Kontrolle durchführt, sollte der Manager, der das Formular genehmigt, nicht dieselbe Person sein , die Erstellen eines Zugriffs im System, z. B. wenn Sie sicherstellen möchten, dass Sie eine Aufgabentrennung haben . Sie möchten also den Titel der Person angeben , die die Kontrolle ausführt. In einem Beispiel, das ich zuvor erwähnt habe, ist der Manager die Person oder hat das Formular bewiesen, aber dann wird der Zugriff auf das System normalerweise vom Administrator gewährt , und Sie möchten dies möglicherweise in Steuerung. Ein weiteres Element hier ist , wann findet die Kontrollaktivität statt? Gibt es einen bestimmten Zeitpunkt, zu dem Datenbank auftritt, ist das wichtig zu beachten. So kann z. B. eine tägliche Überprüfung von Journaleinträgen jeden Tag vor Geschäftsschluss um 16:00 Uhr erfolgen oder erfolgt sie nach bestimmten Aktivitäten? Hat es irgendwelche Vorgänger im Prozess? Vielleicht möchten Sie das alles festhalten. Möglicherweise möchten Sie auch so etwas wie eine Benutzerkontoaktivität mit temporären Berechtigungen angeben eine Benutzerkontoaktivität mit temporären Berechtigungen , die möglicherweise stattfinden, nachdem ein Benutzer gesperrt wurde. Wenn es also eine bestimmte Sequenz für dieses Steuerelement gibt, Sie das in Betracht ziehen, das Steuerelement zu erweitern. Ein weiteres Element, das wir hier haben, ist, dass es sinnvoll sein kann, diese in die Kontrolle aufzunehmen, wenn Berichtsdokumentdateien es Berichtsdokumentdateien gibt, die für die Durchführung der Kontrolle verwendet werden. Zum Beispiel, wenn es eine Kontrolle bezüglich Benutzerzugriffsüberprüfungen gibt und Sie einen spezifischen Zugriffsbericht benötigen , der vom System generiert werden soll. Vielleicht möchten Sie das in die Steuerung einfügen, damit klar ist , worum es bei dieser Kontrolle geht. Oder wenn es sich um ausgeglichene Gegenprüfungen handelt, Kontostandskontrollen, Berichte aus verschiedenen spezifischen Systemen erforderlich sind Vielleicht möchten Sie dies angeben , damit klar ist, welches System oder welche Berichte abgeglichen werden. guter Letzt haben wir Beweise, die als Ergebnis der Durchführung der Kontrolle vorgelegt wurden. also aufbewahrt, wenn die Kontrolle durchgeführt wurde Welche Beweise werden also aufbewahrt, wenn die Kontrolle durchgeführt wurde, um zu zeigen, dass die Kontrolle tatsächlich durchgeführt wurde? Dies kann z. B. ein Bericht mit den Ergebnissen der Überprüfung des Benutzerzugriffs oder ein Bericht mit den abgeglichenen Kontoständen sein. Es ist etwas, das Sie vielleicht in Ihre Kontrolle aufnehmen sollten. Jetzt weiß ich, dass wir viel über Steuerelemente gesprochen haben, aber eine wichtige Sache, die Sie hier auf der Folie beachten sollten, ist, dass ein Prozess nicht unter Kontrolle ist. Das Verfahren unterstützt die Steuerung. Das Kontrollziel ist nicht die Kontrolle. Das Kontrollziel ist einfach das Ziel der Steuerung. Und der letzte Punkt ist, dass Tests über die eigentliche Kontrolle durchgeführt werden. Es ist wichtig, den Unterschied zwischen einem Steuerelement, das die Checkpoint-Aktivität darstellt, und dem Prozess zu kennen den Unterschied zwischen einem Steuerelement, das die Checkpoint-Aktivität darstellt , und dem , der die Stützen dieses Steuerelements umgibt. Und dann das ultimative Kontrollziel, das viele wichtige Steuerelemente unterstützen werden. Damit ist dieser Teil der Vorlesung abgeschlossen und im nächsten Teil der Vorlesung werden wir über Steuerungstypen sprechen. Ordnung, willkommen zum nächsten Teil dieser Vorlesung. Wir beginnen damit, über Kontrolltypen zu sprechen. Es gibt verschiedene Arten von Steuerelementen, und dies sind die drei Haupttypen von Steuerelementen. Möglicherweise finden Sie andere Texte oder andere Kontrolltypen in Prüfungstexten, aber dies sind in der Regel kleinere Kategorien. Dies sind die Hauptkategorien von Steuerungstypen. Die erste haben wir bei den präventiven Kontrollen. Präventive Kontrollen werden implementiert, um das Auftreten eines unerwünschten Ereignisses zu verhindern. Diese Steuerelemente werden also eingerichtet, um zu verhindern, dass etwas Schlimmes passiert. Die Entwicklung dieser Steuerelemente beinhaltet also den Versuch, potenzielle Probleme vorherzusagen , die auftreten könnten, und dann Methoden zu implementieren, um diese Kontrollen zu vermeiden, z. B. Passwörter, die von Einzelpersonen verlangt werden verwenden Sie Login-IDs und Passwörter , bevor sie in Systeme gelangen können. Oder Sie können eine andere Liste haben, die Berechtigungskontrolle, was bedeutet, dass Sie Einzelpersonen nur Zugriff auf das gewähren , was sie zur Erfüllung ihrer beruflichen Funktion benötigen. Auf diese Weise verhindern Sie potenzielle Probleme in der Zukunft. Die nächste Kontrollregisterkarte ist die Detektivsteuerung. Detektivkontrollen werden implementiert, um unerwünschte Ereignisse zu identifizieren , die bereits aufgetreten sind. Wenn Ihre präventive Kontrolle beispielsweise nicht in der Lage war , etwas zu verhindern, möchten Sie detektivische Kontrollen einrichten, damit Sie tatsächlich feststellen können , ob etwas bereits passiert ist. Dies könnte also eine regelmäßige Überprüfung des üblichen Zugangs sein, um sicherzustellen, dass nur die richtigen Personen Zugang haben. Oder Sie können mehrere Warn - und Ereignisverwaltungssteuerungen einrichten , die Sie benachrichtigen, wenn Probleme auftreten. Diese fallen also alle unter die Kontrolle des Detektivs. Und die dritte Kategorie hier, die Korrekturkontrollen. Korrekturkontrollen dienen dazu, festgestellte Fehler oder Unregelmäßigkeiten zu korrigieren . Wenn Sie also bereits Probleme haben, die noch bestehen und über Möglichkeiten nachdenken , diese zu beheben. Dann führen Sie Korrekturkontrollen ein. Ein gutes Beispiel für Korrekturkontrollen ist die Benutzerschulung oder Umschulung. Wenn Sie feststellen, dass Benutzerfehler der Grund dafür sind, dass viele präventive Kontrollen versagen, sollten Sie Benutzer umschulen oder schulen , wenn sie ursprünglich nicht geschult wurden. Lassen Sie uns nun einige Kontrollbeispiele durchgehen. Die Beispiele, die ich hier auf dem Bildschirm habe sind in keiner bestimmten Reihenfolge, also gehen wir sie einfach durch. Die erste auf dem Bildschirm ist die Zugriffsberechtigung. Und die Steuerung. Der Benutzerzugriff auf die Anwendung muss vom Manager der Person autorisiert werden , bevor der Zugriff gewährt wird. Hier sehen Sie das Kontrollelement , das darüber spricht, was die Aktivität ist, nämlich die Genehmigung oder Autorisierung durch den Manager der Person. Und Sie verstehen, dass dies geschehen sollte, bevor der Benutzerzugriff tatsächlich in der Anwendung gewährt wird. Sie können also sehen, dass sich einige der zuvor diskutierten Elemente in diesem speziellen Steuerelement befinden. Das nächste Beispiel, das wir in der Liste haben , ist der administrative Zugriff, und es besagt, dass der Superuser-Zugriff auf die SQL Server-Datenbank auf DBAs beschränkt ist. Auch dies hat auch das Element zu sagen, wer diese Einschränkung ist zwei. Weil Sie hier sehen , dass es zuerst um den Super-User-Zugriff in der Datenbank geht . Und es schien, dass nur Personen, die eine Jobrolle als DBA innehaben, Superuser-Zugriff haben sollten. Und es sagt Ihnen, was die SQL Server-Datenbank ist. Sie können wiederum sehen, wo einige dieser Steuerelemente, die wir zuvor besprochen haben, behandelt wurden. Das dritte Beispiel, das wir haben betrifft den gekündigten Benutzerzugriff. Und es heißt, dass alle gekündigten Benutzer ihr Netzwerkkonto innerhalb von zwei Tagen nach der Kündigung entfernt haben ihr Netzwerkkonto innerhalb von zwei Tagen nach der Kündigung entfernt . Das ist auch sehr klar. Es geht um gekündigte Benutzer. Es geht um die Achse, insbesondere um den Netzwerkkontozugriff , und hat eine Dauer von zwei Tagen. Innerhalb von zwei Tagen nach der Kündigung muss der Netzwerkzugriff aufgehoben werden. Es ist also sehr klar, worum bei dieser speziellen Kontrollaktivität geht. Und das letzte, was wir auf dem Bildschirm haben, ist eine Passwortsteuerung, die liest. der Oracle-Datenbank müssen Benutzer Kennwörter mit mindestens acht alphanumerischen Zeichen haben, und das Kennwort muss mindestens alle 90 Tage geändert werden. Auch hier können Sie sehen, dass dies sehr spezifisch ist. Es sagt Ihnen, dass dies speziell für die Oracle-Datenbank ist. Und es zeigt Ihnen die Eigenschaften oder den Satz, die Konfigurationseinstellungen, die aktiviert werden müssen. Die Passworteinstellung sollte also acht alphanumerische Zeichen enthalten, die notiert sind. Und dann möchten Sie auch sicherstellen, dass es eine Erkundungseinstellung gibt , die besagt, dass ein Passwort nach 90 Tagen abläuft Zeitpunkt muss es geändert werden. Hier sind einige zusätzliche Kontrollbeispiele. Dieser erste besagt physischer Zugriff und es heißt, der Zugriff auf das Rechenzentrum ist auf IT-Personal beschränkt. Und dieser ist auch sehr klar. Es geht um das Rechenzentrum und den Zugriff, und es geht um die Rollen, auf die IT-Mitarbeiter Zugriff haben sollten. Diese Kontrolle könnte verbessert werden , indem festgelegt wird, ob es innerhalb der IT-Gruppe Gruppen gibt ob es innerhalb der IT-Gruppe Gruppen , die Zugriff haben sollen oder keinen Zugriff haben sollten. Dies könnte eine Verbesserung dieser Kontrolle sein, bei der Sie etwas genauer festlegen , wer Zugriff auf das Rechenzentrum haben sollte. Die nächste Kontrolle, die wir auf dem Bildschirm haben , ist die geänderte Verwaltung. Alle Änderungsanforderungen an die Systeme der Organisation müssen vor der Implementierung entsprechend autorisiert, getestet und genehmigt werden. Dies enthält auch einige der Elemente, die wir besprochen haben , da Sie hier sehen können, dass wir über die Änderungsanforderungen sprechen. Dies ist der Teil des Steuerelements und informiert Sie die spezifischen Aktivitäten, die für Änderungsanforderungen ausgeführt werden müssen Dazu gehören Autorisierung, Tests und Genehmigung, bevor Sie sie implementieren Produktion. Also fehlt hier das Wort Produktion . Das ist eine Verbesserung , die wir hinzufügen könnten. Aber Sie können hier sehen, dass mehrere Elemente vorhanden sind , um es sehr deutlich zu machen. Bei dieser Kontrolle geht es um die letzte Kontrolle, die wir hier haben, handelt es sich um Schulungen zur IT-Politik? Und dies besagt, dass die Orientierung für Neueinstellungen grundlegende Schulungen zum Sicherheitsbewusstsein umfasst. Und nach Abschluss muss der neue Mitarbeiter unterschreiben, dass er die Schulung abgeschlossen hat. Und Sie können hier sehen, dass es Ihnen sagt, was passiert. Die Aktivität, die stattfindet, ist das Training zum Sicherheitsbewusstsein. Und Sie können hier sehen , dass der Beweis dafür , dass diese Kontrolle stattfindet oder durchgeführt wird , die Unterschrift des neuen Mitarbeiters ist, aus der hervorgeht, dass er die Schulung tatsächlich abgeschlossen hat. Und Sie können hier einige Elemente sehen, die ins Spiel kommen. Wie bereits besprochen. Alle Elemente, die wir vor einigen Folien behandelt haben , müssen nicht in jedem einzelnen Steuerelement vorhanden sein, aber Sie benötigen eine gute Menge Alkohol, um sicherzustellen, dass die Kontrolle sehr klar ist. Ordnung, wir sind am Ende dieses Abschnitts angelangt. Lassen Sie uns über die Dinge sprechen , die wir in dieser Vorlesung gelernt haben. Wir haben etwas über die Definition von IT-Audit erfahren. Wir haben auch etwas über die Definition von Steuerelementen und Schlüsselsteuerungen gelernt . Wir überprüften die Hierarchie der Kontrollen, die Gründe für Kontrollen und warum Organisationen Kontrollen implementieren. Wir haben auch die grundlegenden Elemente der Steuerelemente durchgegangen. Und dann haben wir die verschiedenen Arten von Steuerelementen besprochen, die drei Haupttypen von Steuerelementen, und wir schließen das mit Kontrollbeispielen ab. Vielen Dank, dass Sie sich diesen Vortrag angehört haben. Wir sehen uns in der nächsten Vorlesung. 3. 3. Controls und Probenahme: Willkommen im Abschnitt über das Testen von Kontrollen. Nachdem wir nun wissen, was Kontrollen sind, wollen wir über das Testen von Kontrollen sprechen. Hier sind die Punkte, auf die wir in diesem Abschnitt eingehen werden. Wir werden es überprüfen. Warum testen wir Kontrollen? Die Arten von Kontrollen , die wir testen, die Arten von Tests , die wir durchführen, und wie die Auswahl für Tests getroffen wird. In dieser ersten Vorlesung hier stellt sich die Frage, warum wir Kontrollen testen? Der Hauptgrund, der Hauptgrund ist, dass wir Kontrollen testen, um festzustellen, ob sie den Zweck erfüllen , für den sie implementiert wurden. Wenn eine Kontrolle nicht den Zweck erfüllt , für den Ägypten eingeführt wurde, ist sie unwirksam und muss möglicherweise geändert werden. Es reicht also nicht aus, nur zu sagen, dass ich Steuerelemente in der Umgebung entworfen und implementiert habe. Es ist absolut notwendig , diese Kontrollen regelmäßig zu testen , um sicherzustellen , dass sie die Arbeit, für die sie implementiert wurden, tatsächlich ausführen und ausführen . Und wenn es Lücken gibt, muss das Management entscheiden, wie diese Kontrollen gegebenenfalls geändert werden sollen. Lassen Sie uns über die Arten von Steuerelementen sprechen, die wir testen. Es gibt zwei große Kategorien von Steuerelementen. Es sind allgemeine Steuerelemente, oder manche Leute nennen es allgemeine IT-Steuerungen und Anwendungssteuerungen. Anwendungssteuerungen sind spezifisch für bestimmte Geschäftsprozesse , die in einer Anwendung stattfinden. Und B basieren in der Regel auf der Anpassung einer Anwendung durch den Kunden. Beispielsweise sind Anwendungskontrollen Kontrollen über Genehmigungslimits, Autorisierungen für Zahlungen, z. B. kann diese Person nur bis zu X Dollar für Zahlungen genehmigen. Sie können auch die Berechtigung haben, bestimmte Journaleinträge zu bearbeiten oder Zugriff auf die Ausführung und Anzeige bestimmter HR-Berichte zu haben. Bei einer behördlichen Prüfung sind das Auditteam, das in der Regel identifizierte Finanzprüfungsteam die Anwendungskontrollen, die Teil des Prüfungsumfangs sind. Es ist wichtig zu beachten, dass Anwendungskontrollen Alkoholkontrollen sind, die Geschäftskontrollen, die die getesteten allgemeinen IT-Kontrollen steuern. Auf der anderen Seite werden allgemeine IT-Kontrollen oder Sie sehen sie möglicherweise als IT-GCS bezeichnet. Und wir bezeichnen sie so. handelt sich um umfassende Kontrollen , die die IT-Umgebung des Unternehmens und die Auswirkungen auf mehrere Anwendungen unterstützen Unternehmens und die Auswirkungen auf mehrere Anwendungen die von der Organisation verwendet werden. Was heißt das? Dies bedeutet, dass die allgemeinen IT-Kontrollen die gesamte IT-Umgebung unterstützen , einschließlich der spezifischen Anwendung, die für ein Audit erforderlich sein kann. Im Allgemeinen müssen die IT-GCS effektiv funktionieren, damit sich auf die Anwendungssteuerungen verlassen können. Lassen Sie uns ein Beispiel durchgehen , um die Dinge ein bisschen klarer zu machen. Es kontrolliert allgemein Passwörter und Zugriff , wobei wir uns in unserem vorherigen Abschnitt einige Beispiele ansehen werden. Da diese zur Authentifizierung und Autorisierung dienen, tragen sie dazu bei, sicherzustellen, dass Personen in der IT-Umgebung authentifiziert werden müssen , bevor sie auf Systeme zugreifen können , für die sie autorisiert sind. . Wenn diese Steuerelemente nicht effektiv funktionieren, können viele Benutzer ohne ordnungsgemäße Authentifizierung auf Finanzanwendungen zugreifen . Und sie können ohne entsprechende Berechtigung auf Teile der Anwendung zugreifen . Es wird ziemlich schwierig sein zu beweisen, dass nur autorisierte Benutzer Zugriff auf die Finanzanwendungen haben . Unbefugte Personen haben möglicherweise Zugriff auf die Genehmigung von Zahlungen in der Anwendung, da die allgemeinen IT-Kontrollen nicht wirksam waren. Dieses Beispiel zeigt die Bedeutung der IT. Allgemeine Kontrollen, die für die Prüfer wirksam für die Prüfer sind diejenigen, die testen, um sich auf diese Anwendungskontrollen zu verlassen. Auf der nächsten Folie gehen wir ein bildliches Beispiel durch. Diese Folie hier ist ein Bild, das zeigt, was wir gerade besprochen haben. Sie können hier also sehen, dass die IT-Umgebung der große Kreis ist. Die IT kontrolliert im Allgemeinen das gesamte Netzwerk, Server, die Datenbank und die Anwendungen. Die Kontrollen sind allesamt umfassend. Nun, ich sollte nicht alles sagen, aber sie haben eine große Reichweite und sie sind sehr allgegenwärtig. Und Sie können sehen, dass es verschiedene Anwendungssysteme abdeckt , die im Umfang enthalten sind. Sie können jedoch sehen, dass jedes System über eigene spezifische Anwendungssteuerelemente verfügt, die für die Prozesse innerhalb dieser Anwendung spezifisch sind , je nachdem, für welches dieser Systeme der Geltungsbereich gilt Bei einem Audit müssen Sie zunächst die gesamte IT-Umgebung testen und feststellen, wie zuverlässig die Zuverlässigkeit ist. Dies bestimmt dann den Umfang der Tests, die auf jedem einzelnen System durchgeführt werden. Ich hoffe, dies hat Ihnen ein bisschen mehr Klarheit über die Unterschiede zwischen IT, allgemeinen Steuerelementen und Anwendungssteuerungen gegeben ein bisschen mehr Klarheit über die Unterschiede zwischen IT, . Da es in diesem Kurs um IT-Auditing geht, handelt es sich hier um einige Unterkategorien der allgemeinen IT-Kontrollen. Wir gehen in diesem speziellen Kurs nicht näher darauf ein, aber es ist gut, euch einen Überblick über die Unterkategorien zu geben aber es ist gut, euch einen Überblick über die Unterkategorien zu geben. Die Kategorien sind logische Sicherheit, die mit Zugriff zu tun hat. Wir haben auch Programmänderungen, Programmentwicklung, Computerbetrieb, physische und Umgebungskontrollen. Lassen Sie uns nun die Arten von Tests besprechen , die wir für Kontrollen durchführen. Um Steuerungen testen zu können, müssen Sie zunächst feststellen, ob die Steuerung ordnungsgemäß ausgelegt ist , bevor Sie feststellen ob sie effektiv arbeitet. Der Entwurfstest besteht darin, festzustellen ob eine Steuerung ordnungsgemäß ausgelegt ist, sodass Sie effektiv arbeiten würden, wenn Sie wie geplant implementiert würden. Dies bedeutet, dass Sie das Steuerelement testen , um festzustellen, ob es Lücken oder Probleme gibt , die verhindern, dass es ordnungsgemäß funktioniert . Werfen wir zum Beispiel einen Blick auf die Passwortsteuerung. Wenn Sie das Design der erfassten Passwortsteuerelemente testen möchten, müssen Passwörter alphanumerisch sein. Sie möchten sicherstellen, dass dokumentierte Richtlinien vorhanden sind um die Kennworteinstellungen für IT-Systeme zu regeln. Sie sollten sicherstellen , dass das getestete System auch alphanumerische Kennwörter unterstützt. Wenn es keine Unternehmensrichtlinien gibt , die alphanumerische Kennwörter erfordern, oder wenn das System keine alphanumerischen Kennwörter unterstützen kann, ist das Steuerelement nicht richtig konzipiert, weil es schlägt fehl, wenn Sie versuchen, die Betriebseffektivität zu testen. Der Entwurfstest kann mit verschiedenen Methoden durchgeführt werden , so dass wir auf die Angemessenheit des Entwurfs schließen können . Und das werden wir auf der nächsten Folie durchgehen. Die Prüfung der Betriebseffektivität erfolgt nach der Entwurfsprüfung. Und es wird verwendet, um festzustellen, ob die Steuerung Zeitpunkt der Konstruktion wie vorgesehen funktioniert. Gehen Sie zum Beispiel der Passwortsteuerung. Um die Betriebseffektivität dieser Steuerung zu testen , würden wir die Kennworteinstellungen von dem geprüften System abrufen dem geprüften System und sicherstellen, dass die Einstellungen Konfigurationseinstellungen erfordern alphanumerische Kennwörter von Benutzern. Der Nachweis, dass die Einstellung aktiviert ist , ist ein Beweis dafür, dass die Steuerung für alphanumerische Passwörter die Steuerung für alphanumerische Passwörter effektiv funktioniert. Es gibt auch verschiedene Methoden, mit denen Tests der Betriebseffektivität durchgeführt werden können . Und das werden wir auch auf der nächsten Folie durchgehen. Bevor wir diese Folie abschließen, wir bestimmte Dinge berücksichtigen, müssen wir bestimmte Dinge berücksichtigen, wenn wir einen Test der betrieblichen Wirksamkeit durchführen. Sie müssen die Art der Kontrolle berücksichtigen. Handelt es sich um eine automatische Steuerung oder um eine manuelle Steuerung? Dies wirkt sich auf die Art der Nachweise aus , die Sie für Tests überprüfen müssen . Sie müssen auch die Häufigkeit der Operation berücksichtigen. Wie oft wird die Kontrolle durchgeführt? Dies wirkt sich auf die Auswahlgröße , die Sie zum Testen benötigen. Und Sie müssen auch die Bedeutung der Kontrolle und das Ausfallrisiko berücksichtigen . Wie wichtig ist diese Kontrolle? Wie wichtig ist eine Schlüsselsteuerung? Und ist es anfällig für Misserfolge? Dies wirkt sich auch auf die Auswahlgrößen aus, die Sie beim Testen dieses bestimmten Steuerelements treffen. Wir werden die Auswahlgrößen in einer anderen Vorlesung durchgehen. Im Allgemeinen helfen all diese Elemente dabei, zu bestimmen, wie Sie den durchzuführenden Test entwerfen und wie Sie die zu testenden Elemente auswählen. Als nächstes sprechen wir über Testtechniken. Auf der vorherigen Folie habe ich erwähnt, dass es verschiedene Methoden gibt, um Konstruktionstests durchzuführen und die Betriebseffektivität zu testen. Hier sind einige Techniken und Methoden für Entwurfstests, die normalerweise Anfragen durchführen würden. Erstens, das ist dasselbe wie Stellen von Fragen durch ein Interview. Wir prüfen Dokumente und beobachten dann auch Prozesse. Sie müssen mindestens zwei dieser Methoden für Konstruktionstests verwenden , da eine Anfrage allein für Konstruktionstests nie ausreicht . In Fällen, in denen es absolut unmöglich ist , Beweise oder beobachtete Prozesse zu überprüfen, kann es akzeptabel sein eine sogenannte kollaborative Untersuchung durchzuführen, was bedeutet, dass zwei oder mehr Personen befragt dieselben Interviewfragen, um festzustellen, ob ihre Antworten in um festzustellen, ob ihre Antworten Bezug auf den Prozess und die Kontrolle identisch sind. Zum Testen der Betriebseffektivität können Sie die hier aufgeführten Techniken verwenden. Lass uns jeden einzelnen durchgehen. Beobachtung bedeutet, dass Sie beobachten können, wie ein Prozess , um sicherzustellen, dass die Steuerung als Teil dieses Prozesses ausgeführt wird . Ein Beispiel wäre, jemanden zu beobachten, der seinen Ausweis benutzt. Um auf den Serverraum zuzugreifen, testen Sie die Kontrolle , dass der Zugriff auf den Serverraum durch Badge-Zugriff eingeschränkt ist. Inspektion bedeutet, dass Sie die Ihnen vorgelegten Nachweise überprüfen , um festzustellen, ob die Kontrolle effektiv funktioniert. Schauen wir uns z.B. die Zugriffskontrolle für den Serverraum an. Sie können einen Bericht vom Batch-System anfordern und abrufen , um festzustellen, ob nur zugelassene Personen über die Serverraumberechtigungen für ihre Badges verfügen. Sie möchten sicherstellen, dass nicht jeder die Serverraum-Berechtigungen auf seinem Badge hat. Und das ist nur auf Personen beschränkt , die auf den Server zugreifen müssen. Eine erneute Ausführung bedeutet, dass Sie die Kontrolle erneut durchführen, um festzustellen, ob Sie zu derselben Schlussfolgerung wie die ursprünglich ausgeführte Kontrolle gelangen . Ein Beispiel hierfür wäre z.B. eine Abstimmungssteuerung, bei der Sie dieselben Elemente im Prozess abgleichen der Sie dieselben Elemente im Prozess abgleichen und prüfen, ob Sie zu den gleichen Ergebnissen kommen. Neuberechnung bedeutet, dass Sie Elemente vom Controller erneut berechnen , um festzustellen, ob er das gleiche Ergebnis erzielt. Wenn das Steuerelement beispielsweise zwei Zahlen in verschiedenen Konten für die Abstimmung berechnen soll zwei Zahlen in verschiedenen Konten für die Abstimmung berechnen , können Sie diese Zahlen manuell neu berechnen , um sicherzustellen, dass die Zahlen, die wir verwenden der Versöhnung wo richtig. Der letzte Punkt, den wir hier haben, ist eine Systemabfrage. Dies bedeutet, dass Sie Berichte aus dem System ausführen können , um neu erstellte Benutzer, an einem Feld vorgenommene Änderungen oder andere anwendbare Berichte anzuzeigen an einem Feld vorgenommene Änderungen oder , die für Kontrolltests verwendet werden können. Wenn Sie z.B. den Genehmigungsprozess für neue Benutzer testen möchten , können Sie aus dem System einen Bericht über alle neu erstellten Benutzerkonten erstellen. Anschließend können Sie anhand dieser Liste eine Auswahl treffen , die Sie dann testen würden, um festzustellen, ob jeder Benutzer ein Zugriffsanforderungsformular ein Zugriffsanforderungsformular ausgefüllt und von seinem Manager ordnungsgemäß genehmigt hat. Das hat also eigentlich zwei Elemente. In dem Beispiel, das ich gerade verwendet habe, verwenden Sie die Systemabfrage, um einen Bericht zu generieren , den Sie zur Auswahl verwenden können. Und wenn Sie dann Ihre Beweise für die Auswahl erhalten, können Sie die Inspektion verwenden, um einen Test durchzuführen , um sicherzustellen, dass alle Elemente der Kontrolle erfüllt wurden. Damit ist die Vorlesung über Testtechniken abgeschlossen. Gehen wir in die Auswahlgrößen. Willkommen zur Vorlesung über Auswahlgrößen. In dieser Vorlesung werden wir das Konzept der Auswahl behandeln. Dieses Konzept basiert auf der Tatsache, dass bei der Durchführung von Kontrolltests normalerweise viele Elemente testbar sind, aber es ist nicht praktikabel, alles zu testen. Als solches. Werden Sie nur Muster von Artikeln getestet, die zum Testen in Frage kommen? Fangen wir also damit an , was ist eine Auswahl? Einfach ausgedrückt ist Acylierung laut Wörterbuch ist Acylierung eine sorgfältig ausgewählte oder repräsentative Sammlung von Personen oder Dingen, in diesem Fall Gegenstände oder Beweise zum Testen. Warum treffen wir eine Auswahl? Wie bereits erwähnt, liegt es einfach daran, dass es nicht möglich ist, eine ganze Bevölkerung zu betrachten. Lassen Sie uns ein Beispiel durchgehen. Wir haben also die Kontrolle darüber, wie die Zustimmung des Vorgesetzten eingeholt wird, bevor wir Benutzern Zugriff gewähren. Der Test der Betriebseffektivität besteht darin, neue Benutzer zu überprüfen und sicherzustellen , dass für jeden Benutzer eine Genehmigung erteilt wurde. Um die neuen Benutzer zu identifizieren, würden wir, wie bereits erwähnt, eine Systemabfrage ausführen , um die Anzahl der neuen Benutzer zu ermitteln , die während des Überwachungszeitraums erstellt wurden. Und für ein großes Unternehmen kann dies leicht zu Hunderten liegen. Das könnten also Hunderte von Personen sein. Wenn die Anzahl der Neueinstellungen beispielsweise 200, 300, 500 beträgt, ist es nicht machbar oder sogar sinnvoll, all diese Benutzer zu testen. In diesem Fall ist es praktischer, eine repräsentative Auswahl dieser Benutzer zu treffen und diese zu testen. Durch Testen einer repräsentativen Stichprobe von Benutzern können wir dann die Schlussfolgerung des Testens für die Auswahl auf den Rest der Bevölkerung extrapolieren . Bei der Auswahl der Proben müssen Sie berücksichtigen, wie häufig die Kontrolle durchgeführt wird und welches Ausfallrisiko besteht. Auf diese Weise können Sie feststellen, wie eine geeignete Stichprobengröße ausgewählt werden sollte. Die meisten Organisationen verfügen über einen Leitfaden zur Stichprobengröße , der Leitlinien und die Anzahl der Stichproben enthält, die basierend auf der Häufigkeit der Kontrolle und dem Ausfallrisiko ausgewählt werden müssen . Und ich zeige Ihnen auf der nächsten Folie eine Beispielanleitung. Schließlich müssen Sie auch den Variablenbereich in der Population berücksichtigen. Dies bedeutet , dass Sie versuchen sollten den gesamten Prüfungszeitraum in Ihrer Stichprobenauswahl abzudecken. Es deckt also den gesamten Variablenbereich ab. Wenn Ihr Prüfungszeitraum beispielsweise von Januar bis Dezember liegt, möchten Sie sicherstellen, dass Sie Proben auswählen , die sich über das gesamte Jahr erstrecken, anstatt Proben zu haben, die nur auf einige verzerrt sind Monate des Jahres. Dies bedeutet also, dass die Auswahl des Stichprobenumfangs nicht vollständig zufällig erfolgt da es sich um eine repräsentative Stichprobe der gesamten Artikelpopulation handeln muss. Schauen wir uns eine Beispielanleitung für Auswahlgrößen an. In diesem speziellen Leitfaden sehen Sie hier, dass sich die Steuerfrequenz in der linken Spalte befindet. Und dann besteht die Gefahr eines Versagens an den rechten beiden Säulen tiefer und höher. Dies zeigt also, dass Sie für jede Steuerfrequenz, wenn sie auf dem Ausfallrisiko basiert, wenn es sich um ein geringeres Ausfallrisiko oder ein höheres Ausfallrisiko handelt, Ausfallrisiko oder ein höheres Ausfallrisiko handelt, die Nummer auswählen können von Gegenständen , die Sie testen würden. Schauen wir uns wöchentlich an, z. B. für eine Kontrolle, die wöchentlich Wenn sie ein geringeres Ausfallrisiko aufweist, müssen Sie nur fünf Elemente auswählen, die gemäß dieser speziellen Anleitung getestet werden sollen . Wenn jedoch ein höheres Ausfallrisiko besteht, sollten Sie mindestens acht testen. Diese Zahlen sind nur Mindestwerte. Sie können mindestens fünf am unteren Ende des Ausfallrisikos oder acht am oberen Ende des Ausfallrisikos testen am unteren Ende des Ausfallrisikos . Es wird Ihnen nicht gesagt, dass das Maximum nur die Mindestanzahl von Artikeln ist , die getestet werden müssen, um den Komfort zu gewährleisten, dass eine repräsentative Probe getestet wurde. Erkundigen Sie sich bei Ihrer Organisation, ob sie ein ähnliches Diagramm hat, wenn Sie Tests durchführen. Zu beachten ist, dass die Art der Steuerung sporadisch ist und die Steuerfrequenz nicht eindeutig identifiziert werden kann. Sie sollten die Häufigkeit anhand der gesamten Population bestimmen . Wenn die Population insgesamt 12 Elemente beträgt, können Sie die Häufigkeit von Motley verwenden. Oder wenn Sie etwa 52 Artikel in der Bevölkerung haben, möchten Sie die Häufigkeit von wöchentlich verwenden. Wenn die Population jedoch zwischen zwei oben definierten Kontrollfrequenzen liegt zwei oben definierten Kontrollfrequenzen , verwenden Sie immer die höhere Frequenz. Wenn Sie also beispielsweise 25 Artikel haben, möchten Sie diese nicht monatlich verwenden. Sie möchten wöchentlich verwenden , weil Sie zur nächsten Kontrollfrequenz in der Tabelle wechseln. Ordnung, wir sind am Ende dieses Abschnitts angelangt. Lassen Sie uns die Dinge durchgehen , die wir gelernt haben. Wir haben gelernt, warum wir Kontrollen testen. Wir diskutierten die Arten von Kontrollen, die wir testen, die Arten von Tests, die durchgeführt werden, und dann, wie man eine Auswahl für Tests trifft. 4. 4. Vielen Dank: Vielen Dank, dass Sie an diesem Kurs teilgenommen haben, und ich hoffe, dass Sie feststellen die Kursziele erreicht wurden, wenn die Kursziele erreicht wurden, die Grundlagen des IT-Auditings gelernt haben sollten. Wenn Sie Fragen haben, zögern Sie bitte nicht , mich zu kontaktieren. Danke.