Scribd Logo
Importer

Bienvenue sur Scribd !

  • IT Audit Basics The IS Audit Process by S. Anantha Sayana, CISA, CIA

    Transféré par

    Maria Alexandra Campoverde Pesantez
    253 vues4 pages
    Information systems audit is a part of the overall audit process, which is one of the facilitators for good corporate governance. While there is no single universal definition of IS audit, Ron Weber has defined it (EDP auditing--as it was previously called) as "the process of collecting and evaluating evidence to determine whether a computer system (information system) safeguards assets, maintains data integrity, achieves organizational goals effectively and consumes resources efficiently."

    Titre original

    IT Audit Basics

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOC, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    Information systems audit is a part of the overall audit process, which is one of the facilitators for good corporate governance. While there is no single universal definition of IS audit, Ron Weber has defined it (EDP auditing--as it was previously called) as "the process of collecting and evaluating evidence to determine whether a computer system (information system) safeguards assets, maintains data integrity, achieves organizational goals effectively and consumes resources efficiently."

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOC, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    253 vues4 pages

    IT Audit Basics The IS Audit Process by S. Anantha Sayana, CISA, CIA

    Transféré par

    Maria Alexandra Campoverde Pesantez
    Information systems audit is a part of the overall audit process, which is one of the facilitators for good corporate governance. While there is no single universal definition of IS audit, Ron Weber has defined it (EDP auditing--as it was previously called) as "the process of collecting and evaluating evidence to determine whether a computer system (information system) safeguards assets, maintains data integrity, achieves organizational goals effectively and consumes resources efficiently."

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOC, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    Information Systems Control Journal, Volume 1, 2002

    IT Audit Basics

    The IS Audit Process

    By S. Anantha Sayana, CISA, CIA

    In response to requests from Journal readers, columnists Fred Gallegos and S. Anantha Sayana will explore the basics of the IT audit field in
    each issue of the Journal in 2002.

    To contact S. Anantha Sayana, the author of this issue's column, with any comments or questions, e-mail
    sas-pia@powai.ltindia.com.

    Information systems audit is a part of the overall audit process, which is one of the facilitators for good corporate governance. While there is no
    single universal definition of IS audit, Ron Weber has defined it (EDP auditing--as it was previously called) as "the process of collecting and
    evaluating evidence to determine whether a computer system (information system) safeguards assets, maintains data integrity, achieves
    organizational goals effectively and consumes resources efficiently."1

    Information systems are the lifeblood of any large business. As in years past, computer systems do not merely record business transactions, but
    actually drive the key business processes of the enterprise. In such a scenario, senior management and business managers do have concerns
    about information systems. The purpose of IS audit is to review and provide feedback, assurances and suggestions. These concerns can be
    grouped under three broad heads:

    1. Availability: Will the information systems on which the business is heavily dependent be available for the business at all times when
    required? Are the systems well protected against all types of losses and disasters?
    2. Confidentiality: Will the information in the systems be disclosed only to those who have a need to see and use it and not to anyone else?
    3. Integrity: Will the information provided by the systems always be accurate, reliable and timely? What ensures that no unauthorized
    modification can be made to the data or the software in the systems?

    [Author's note: Of course there are other concerns that IS audit should look at, such as effectiveness, efficiency, value for money, return on
    investment, culture and people related issues. Such concerns will be addressed in IT Audit Basics columns in future issues of the Journal in
    2002.]

    Elements of IS Audit

    An information system is not just a computer. Today's information systems are complex and have many components that piece together to make
    a business solution. Assurances about an information system can be obtained only if all the components are evaluated and secured. The
    proverbial weakest link is the total strength of the chain. The major elements of IS audit can be broadly classified:

    1. Physical and environmental review--This includes physical security, power supply, air conditioning, humidity control and other
    environmental factors.
    2. System administration review--This includes security review of the operating systems, database management systems, all system
    administration procedures and compliance.
    3. Application software review--The business application could be payroll, invoicing, a web-based customer order processing system or
    an enterprise resource planning system that actually runs the business. Review of such application software includes access control and
    authorizations, validations, error and exception handling, business process flows within the application software and complementary
    manual controls and procedures. Additionally, a review of the system development lifecycle should be completed.
    4. Network security review. Review of internal and external connections to the system, perimeter security, firewall review, router access
    control lists, port scanning and intrusion detection are some typical areas of coverage.
    5. Business continuity review--This includes existence and maintenance of fault tolerant and redundant hardware, backup procedures and
    storage, and documented and tested disaster recovery/business continuity plan.
    6. Data integrity review--The purpose of this is scrutiny of live data to verify adequacy of controls and impact of weaknesses, as noticed
    from any of the above reviews. Such substantive testing can be done using generalized audit software (e.g., computer assisted audit
    techniques).

    All these elements need to be addressed to present to management a clear assessment of the system. For example, application software may
    be well designed and implemented with all the security features, but the default super-user password in the operating system used on the server
    may not have been changed, thereby allowing someone to access the data files directly. Such a situation negates whatever security is built into
    the application. Likewise, firewalls and technical system security may have been implemented very well, but the role definitions and access
    controls within the application software may have been so poorly designed and implemented that by using their user IDs, employees may get to
    see critical and sensitive information far beyond their roles.
    It is important to understand that each audit may consist of these elements in varying measures; some audits may scrutinize only one of these
    elements or drop some of these elements. While the fact remains that it is necessary to do all of them, it is not mandatory to do all of them in
    one assignment. The skill sets required for each of these are different. The results of each audit need to be seen in relation to the other. This will
    enable the auditor and management to get the total view of the issues and problems. This overview is critical.

    Risk-based Approach

    Every organization uses a number of information systems. There may be different applications for different functions and activities and there
    may be a number of computer installations at different geographical locations.

    The auditor is faced with the questions of what to audit, when and how frequently. The answer to this is to adopt a risk-based approach.

    While there are risks inherent to information systems, these risks impact different systems in different ways. The risk of nonavailability even for
    an hour can be serious for a billing system at a busy retail store. The risk of unauthorized modification can be a source of frauds and potential
    losses to an online banking system. A batch processing system or a data consolidation system may be relatively less vulnerable to some of
    these risks. The technical environments on which the systems run also may affect the risk associated with the systems.

    The steps that can be followed for a risk-based approach to making an audit plan are:

    1. Inventory the information systems in use in the organization and categorize them.
    2. Determine which of the systems impact critical functions or assets, such as money, materials, customers, decision making, and how close
    to real time they operate.
    3. Assess what risks affect these systems and the severity of impact on the business.
    4. Rank the systems based on the above assessment and decide the audit priority, resources, schedule and frequency.

    The auditor then can draw up a yearly audit plan that lists the audits that will be performed during the year, as per a schedule, as well as the
    resources required.

    The Audit Process

    The preparation before commencing an audit involves collecting background information and assessing the resources and skills required to
    perform the audit. This enables staff with the right kind of skills to be allotted to the right assignment.

    It always is a good practice to have a formal audit commencement meeting with the senior management responsible for the area under audit to
    finalize the scope, understand the special concerns, if any, schedule the dates and explain the methodology for the audit. Such meetings get
    senior management involved, allow people to meet each other, clarify issues and underlying business concerns, and help the audit to be
    conducted smoothly.

    Similarly, after the audit scrutiny is completed, it is better to communicate the audit findings and suggestions for corrective action to senior
    management in a formal meeting using a presentation. This will ensure better understanding and increase buy-in of audit recommendations. It
    also gives auditees an opportunity to express their viewpoints on the issues raised. Writing a report after such a meeting where agreements are
    reached on all audit issues can greatly enhance audit effectiveness.

    Key Challenge

    IS audit often involves finding and recording observations that are highly technical. Such technical depth is required to perform effective IS
    audits. At the same time it is necessary to translate audit findings into vulnerabilities and businesses impacts to which operating managers and
    senior management can relate. Therein lies a main challenge of IS audit.

    End Notes

    1 Weber, Ron, EDP Auditing--Conceptual Foundations and Practice

    S. Anantha Sayana, CISA, CIA is deputy general manager of corporate audit services with Larsen & Toubro Limited, India. He has over 12
    years of experience in IS audit and internal audit in banking, manufacturing and services industries spanning a variety of applications and
    technical platforms. He also is a past president of the ISACA Mumbai Chapter.
    Information Systems Control Journal, Volumen 1, 2002
    Conceptos bsicos de auditora de TI
    El proceso de auditora de SI
    Por S. Anantha Sayana, CISA, CIA

    En respuesta a las peticiones de los lectores de la Revista, columnistas Fred S. Gallegos y Anantha Sayana explorarn los conceptos bsicos
    del campo de la auditora de TI en cada nmero de la revista en 2002.
    Para ponerse en contacto con S. Anantha Sayana, el autor de la columna de este tema, con las observaciones o preguntas,
    e-mail sas-pia@powai.ltindia.com.

    La auditora de los sistemas de informacin forma parte del proceso general de auditora, uno de los facilitadores del buen gobierno
    corporativo. Aunque no existe una nica definicin universal de la auditora de SI, Ron Weber la ha definido como "el proceso de recoleccin y
    evaluacin de pruebas para determinar si un sistema informtico (sistema de informacin) protege los activos, mantiene la integridad de los
    datos, alcanza los objetivos de la organizacin con eficacia y consume recursos de manera eficiente ". 1
    Los sistemas de informacin son el alma de cualquier gran empresa. Como en aos anteriores, los sistemas informticos no slo registran las
    transacciones comerciales, sino que en realidad impulsan los principales procesos empresariales de la empresa. En este escenario, la alta
    direccin y los gerentes de negocios tienen preocupaciones sobre los sistemas de informacin. El propsito de la auditora de SI es revisar y
    proporcionar retroalimentacin, garantas y sugerencias. Estas preocupaciones pueden agruparse bajo tres grandes cabezas:
    1. Disponibilidad: Estarn disponibles los sistemas de informacin en los que la empresa depende en gran medida para el negocio
    siempre que sea necesario? Estn los sistemas bien protegidos contra todo tipo de prdidas y desastres?
    2. Confidencialidad: Se revelar la informacin en los sistemas slo a aquellos que tengan la necesidad de verla y usarla y no a nadie
    ms?
    3. Integridad: La informacin proporcionada por los sistemas siempre ser precisa, confiable y oportuna? Qu garantiza que no se
    pueden realizar modificaciones no autorizadas a los datos o al software de los sistemas?
    [Nota del autor: Por supuesto, hay otras preocupaciones que est auditora debe mirar, tales como la eficacia, la eficiencia, la relacin calidad-
    precio, el rendimiento de la inversin, la cultura y la gente temas relacionados. Tales preocupaciones se abordarn en Fundamentos de
    auditora de TI columnas en los prximos nmeros de la revista en 2002.]
    Elementos de Auditora de SI
    Un sistema de informacin no es slo una computadora. Los sistemas de informacin de hoy en da son complejos y tienen muchos
    componentes que se unen para hacer una solucin de negocio.Las garantas sobre un sistema de informacin slo pueden obtenerse si se
    evalan y aseguran todos los componentes. El eslabn proverbial ms dbil es la fuerza total de la cadena. Los principales elementos de la
    auditora de SI pueden clasificarse en trminos generales:
    1. Examen fsico y ambiental --Este incluye seguridad fsica, fuente de alimentacin, aire acondicionado, control de humedad y otros
    factores ambientales.
    2. Sistema de administracin de revisin --Este incluye revisin de la seguridad de los sistemas operativos, sistemas de gestin de
    base de datos, todos los procedimientos de administracin del sistema y el cumplimiento.
    3. Solicitud de revisin de software de aplicacin comercial podra ser --La nmina, facturacin, un sistema de procesamiento de
    pedidos de clientes basada en la web o un sistema de planificacin de recursos empresariales que realmente dirige el negocio. La
    revisin de dicho software de aplicacin incluye control de acceso y autorizaciones, validaciones, manejo de errores y excepciones,
    flujos de procesos empresariales dentro del software de aplicacin y controles y procedimientos manuales
    complementarios. Adems, debe completarse una revisin del ciclo de vida del desarrollo del sistema.
    4. Revisin de la seguridad de la red. Revisin de las conexiones internas y externas al sistema, seguridad perimetral, revisin de
    cortafuegos, listas de control de acceso del enrutador, exploracin de puertos y deteccin de intrusiones son algunas reas tpicas de
    cobertura.
    5. Business Review continuidad --Este incluye la existencia y mantenimiento de hardware tolerante a errores y redundante,
    procedimientos de copia de seguridad y almacenamiento, y documentado y probado plan de desastres de continuidad de
    recuperacin / negocio.
    6. Revisar los datos de la integridad propsito de esto es --La escrutinio de datos en tiempo real para verificar la adecuacin de los
    controles y el impacto de las debilidades, como se aprecia a partir de cualquiera de los comentarios anteriores. Dichas pruebas
    sustantivas pueden realizarse utilizando un software de auditora generalizado (por ejemplo, tcnicas de auditora asistida por
    ordenador).
    Todos estos elementos deben ser dirigidos a presentar a la gerencia una evaluacin clara del sistema. Por ejemplo, el software de aplicacin
    puede estar bien diseado e implementado con todas las funciones de seguridad, pero la contrasea predeterminada del superusuario en el
    sistema operativo utilizado en el servidor puede no haber cambiado, permitiendo as a alguien acceder directamente a los archivos de
    datos. Tal situacin niega cualquier seguridad que se construye en la aplicacin. Del mismo modo, los firewalls y la seguridad tcnica del
    sistema pueden haber sido implementados muy bien, pero las definiciones de roles y controles de acceso dentro del software de aplicacin
    pueden haber sido tan mal diseados e implementados que al usar sus IDs de usuario, los empleados pueden llegar a ver informacin crtica y
    sensible lejos ms all de sus funciones.
    Es importante entender que cada auditora puede consistir en estos elementos en diversas medidas; algunas auditoras pueden escudriar slo
    uno de estos elementos o eliminar algunos de estos elementos. Mientras que el hecho es que es necesario hacer todos ellos, no es obligatorio
    hacer todos ellos en una asignacin. Los conjuntos de habilidades requeridos para cada uno de estos son diferentes. Los resultados de cada
    auditora deben ser vistos en relacin con el otro. Esto permitir al auditor ya la gerencia obtener la visin total de los problemas y
    problemas. Esta visin general es crtica.
    Enfoque basado en el riesgo
    Cada organizacin utiliza una serie de sistemas de informacin. Puede haber diferentes aplicaciones para diferentes funciones y actividades y
    puede haber una serie de instalaciones informticas en diferentes ubicaciones geogrficas.
    El auditor se enfrenta a las preguntas de qu auditar, cundo y con qu frecuencia. La respuesta a esto es adoptar un enfoque basado en el
    riesgo.
    Si bien existen riesgos inherentes a los sistemas de informacin, estos riesgos afectan diferentes sistemas de diferentes maneras. El riesgo de
    no disponibilidad incluso durante una hora puede ser grave para un sistema de facturacin en una tienda de venta al por menor ocupada. El
    riesgo de modificaciones no autorizadas puede ser una fuente de fraudes y prdidas potenciales para un sistema bancario en lnea. Un sistema
    de procesamiento por lotes o un sistema de consolidacin de datos puede ser relativamente menos vulnerable a algunos de estos riesgos. Los
    entornos tcnicos en los que se ejecutan los sistemas tambin pueden afectar el riesgo asociado con los sistemas.
    Los pasos que se pueden seguir para un enfoque basado en el riesgo para hacer un plan de auditora son:
    1. Inventar los sistemas de informacin en uso en la organizacin y categorizarlos.
    2. Determine cules de los sistemas afectan funciones o activos crticos, como dinero, materiales, clientes, toma de decisiones y cun
    cerca de tiempo real operan.
    3. Evaluar qu riesgos afectan a estos sistemas y la gravedad del impacto en el negocio.
    4. Clasifique los sistemas basados en la evaluacin anterior y decida la prioridad de la auditora, los recursos, el horario y la frecuencia.
    El auditor entonces puede elaborar un plan de auditora anual que enumera las auditoras que se realizarn durante el ao, segn un
    cronograma, as como los recursos requeridos.
    El proceso de auditora
    La preparacin antes de comenzar una auditora implica la recopilacin de informacin de antecedentes y la evaluacin de los recursos y
    habilidades requeridos para realizar la auditora. Esto permite que el personal con el tipo adecuado de habilidades para ser asignado a la tarea
    correcta.
    Siempre es una buena prctica celebrar una reunin formal de auditora con la alta direccin responsable del rea bajo auditora para finalizar
    el alcance, entender las preocupaciones especiales, si las hay, programar las fechas y explicar la metodologa para la auditora. Tales
    reuniones involucran a la alta direccin, permiten a las personas reunirse entre s, aclarar los problemas y las preocupaciones empresariales
    subyacentes y ayudar a que la auditora se realice sin problemas.
    Del mismo modo, despus de que se complete el escrutinio de la auditora, es mejor comunicar las conclusiones de la auditora y las
    sugerencias de medidas correctivas a la alta direccin en una reunin formal utilizando una presentacin. Esto garantizar una mejor
    comprensin y una mayor aceptacin de las recomendaciones de la auditora. Tambin ofrece a los auditados la oportunidad de expresar sus
    puntos de vista sobre las cuestiones planteadas. Escribir un informe despus de una reunin en la que se alcancen acuerdos sobre todas las
    cuestiones de auditora puede mejorar en gran medida la eficacia de la auditora.
    Desafo clave
    La auditora de SI a menudo implica encontrar y registrar observaciones que son altamente tcnicas. Esta profundidad tcnica es necesaria
    para realizar auditoras de SI efectivas. Al mismo tiempo, es necesario traducir los hallazgos de la auditora en vulnerabilidades y en los
    impactos de las empresas a los que los gerentes operativos y la alta direccin pueden relacionarse. All radica un reto principal de la auditora
    de SI.
    Notas finales
    1 Weber, Ron, EDP Auditora - Fundamentos conceptuales y Prctica
    S. Anantha Sayana, CISA, CIA es subdirector general de servicios de auditora corporativa de Larsen & Toubro Limited, India. Cuenta con
    ms de 12 aos de experiencia en auditora de SI y auditora interna en las industrias bancaria, manufacturera y de servicios que abarca una
    variedad de aplicaciones y plataformas tcnicas. Tambin es ex presidente de ISACA Mumbai.

    Vous aimerez peut-être aussi