Guida Completa all'Audit IT: Metodologie, Fasi e Obiettivi
Classified in Informatica
Written at on italiano with a size of 24,49 KB.
Audit IT: Metodologie, Fasi e Obiettivi
1. AUDIT: Revisione critica per valutare l'efficienza e l'efficacia di un sito e determinare corsi alternativi per migliorare e raggiungere gli obiettivi.
2. AUDIT INFORMATICA: Riesame e valutazione dei controlli, dei sistemi e delle procedure di computer, apparecchiature informatiche, l'uso, l'efficienza e la sicurezza dell'organizzazione coinvolti nella elaborazione delle informazioni, in modo che attraverso sottolineando corsi alternativi per un uso più efficiente, affidabile e sicuro che contribuirà a rendere corretta decisione.
3. L'audit interno è composto dal piano di organizzazione e di tutti i metodi e le procedure in modo coordinato in tailleur per salvaguardare il suo patrimonio, verificare la ragionevolezza e l'affidabilità delle informazioni finanziarie, promuovere l'efficienza operativa e l'adesione a causa politiche prescritto dall'amministrazione. Gli obiettivi fondamentali del controllo interno: tutela del patrimonio aziendale. Ottenere informazioni finanziarie, precise, affidabili e tempestive. La promozione di efficienza nelle operazioni di business. Rendere l'attuazione delle operazioni rispettano le politiche stabilite dalla direzione aziendale. Obiettivo generale: Autorizzazione. Trasformazione e classificazione delle operazioni. garanzie fisiche. Verifica e valutazione. (5)
4. Il dipartimento di computer dovrebbe essere valutato secondo:
- Obiettivi, traguardi, programmi, politiche e procedure.
- Organizzazione.
- Struttura organizzativa.
- Le funzioni e i livelli di autorità e responsabilità.
5. TECNICHE AVANZATE DI AUDIT:
- Comprehensive Test: elaborazione dati Dipartimento della finzione, mettendo a confronto questi risultati con particolari risultati.
- Simulazione: sviluppo di programmi applicativi per la prova di particolare e comprare i risultati della simulazione con l'applicazione effettiva.
- Accesso Recensione: tiene un registro informatizzato di tutti gli accessi a determinati file con le informazioni di identificazione sia del terminale e l'utente.
- Le operazioni in parallelo: per verificare l'esattezza delle informazioni in merito ai risultati che produce un nuovo sistema di sostituzione di una già sottoposti a revisione.
- Registri Esteso: consistono di aggiungere un controllo a un record particolare, come un campo speciale di un registro in più, che possono includere i dati per tutti i programmi applicativi.
6. Obiettivi che le informazioni di controllo:
- La funzione controlde computer.
- Analisi della efficienza della IS e IT.
- La verifica del rispetto del Regolamento Generale dell'Organizzazione.
- Rassegna di piani, programmi e bilanci dei Sistemi Informativi.
- La revisione della gestione efficace dei materiali e umane delle risorse software.
- La revisione e la verifica delle condizioni generali e specifici controlli tecnici su operativi.
- La revisione e verifica della sicurezza: Il rispetto delle normative e degli standard, sistema operativo, software di sicurezza, sicurezza delle comunicazioni. Sicurezza del Database. Processo di sicurezza. Application Security. Sicurezza fisica. Fornitura e rifornimento. Contingenza.
- Analisi di controllo dei risultati.
- L'analisi di verifica e di esposizione delle debolezze e carenze.
7. FASI AUDIT:
- Pianificazione: sviluppa il piano di audit. Obiettivi, programmi di lavoro di revisione, la relazione delle attività di comprendere e soddisfare l'ente sottoposto a revisione.
- Attuazione: revisione e valutazione delle informazioni, raccogliere, analizzare e interpretare e documentare le informazioni a sostegno risultati dell'audit (questionari, interviste, l'analisi del documento, tabulazione dei dati.
- Preparazione e presentazione della relazione: relazione preliminare, relazione finale. Preparare (scrittura) e presente (commento) per l'amministrazione, la capacità deve essere raffinato nel modo di espressione.
- Follow-up: deve essere pianificata per verificare il rispetto, la preparazione e la presentazione (completato o no, ha fatto quello che doveva fare, ecc.).
8. L'IA devono assicurare che:
- che i revisori siano controllati correttamente.
- Che le relazioni di audit siano accurati, obiettiva, chiara, concisa, costruttivo e tempestivo.
- Per raggiungere gli obiettivi del controllo.
- Che il controllo sia adeguatamente documentate e che le prove del caso viene mantenuto svista.
- Che i revisori siano conformi alle norme di comportamento professionale.
- Quali revisori computer possiedano le conoscenze, l'esperienza e le discipline essenziali per la sua revisione.
9. Conoscenza ed esperienza per HANNO IL REVISORE INTERNO:
- richiede esperienza in attuazione delle norme, procedure e tecniche di auditing interno per lo sviluppo delle revisioni.
- Ha la capacità di applicare conoscenze a situazioni di massima che verranno presentati, riconoscendo le situazioni gravi, e di effettuare ricerche per giungere a soluzioni ragionevoli.
10. COSA inserire un audit PROGRAMMA DI LAVORO: Uso generale, gli obiettivi, la portata, calendario e programma. Per ogni revisione speciale dovrebbe sviluppare un programma di audit comprendono le procedure da attuare, la sua portata e il personale nominato per eseguire il controllo.
11. DEFINE SOSTANZIALI DI PROVA E PROVA DI CONFORMITÀ:
- Test sostanziali: Questo test esamina le procedure per determinare se i risultati prodotti dal sistema sono corrette (ad esempio, operazioni semplici come l'addizione, sottrazione, divisione o moltiplicazione).
- Prova di conformità: rappresentare le procedure di controllo atte a verificare se il sistema è attuato secondo le regole (come ha descritto il revisore dei conti e secondo l'intenzione del management.) Se, dopo la verifica, i controlli sembrano essere operativo in modo efficace, il revisore sarà in grado di giustificare la fiducia nel sistema e riduce quindi il suo test di convalida (5 tipi:
- I test per garantire la qualità dei dati.
- Test * individuare le incongruenze dei dati.
- Test per il confronto con i dati fisici.
- Test per confermare la corretta comunicazione.
- Test per determinare la mancanza di sicurezza.
12. SISTEMI NEL NOTE BOOK raccomandato ciclo di vita di un audit. In relazione ai punti indicati nel medesimo: Durante il ciclo di vita dovrebbero essere valutati: Installazione * * * Manutenzione Operation. INSTALLAZIONE E MANUTENZIONE: Questa è la prima fase del ciclo di vita del software nel quale il revisore rassegna le seguenti:
- Le procedure per l'avvio, il collaudo e l'approvazione delle modifiche al software.
- Procedura per la generazione e modifica del software.
- Le procedure utilizzate per eseguire il software e dati di manutenzione dizionario.
- Le procedure di emergenza * utilizzato per fornire soluzioni a problemi specifici di software.
- Manutenzione e il contenuto del registri di controllo di tutti i DBMS e modifica dei dati dizionario.
- Blog dei parametri del software e le frasi del linguaggio delle applicazioni in esecuzione. Accesso al programma. Librerie
OPERAZIONE *: Nella seconda fase del ciclo di vita del software sarà riesaminata:
- Controllo di accesso per i programmi, le biblioteche, i parametri, sezioni o file associati software.
- Procedure atte a garantire che il sistema non è impostato (caricamento del programma iniziale), senza il software originale, creando una procedura di sicurezza.
- La disponibilità e comandi di controllo di accesso che può essere utilizzato per disattivare il software.
- Aria responsabilità di sorveglianza per il software, il funzionamento e la coerenza di accessibilità.
- Ore durante il quale il software è disponibile.
- Il controllo degli accessi su console e insegnanti terminali.
- Procedura per il completamento normale o log di errore, che può indicare problemi di integrità del software e dei risultati documento in programmi di sicurezza.
- Controlli di accesso a script e programmi in esecuzione lingue librerie delle applicazioni. registro di controllo sulle attività del software.
- Il software di altra unità per continuare l'operazione, o dall'aver fatto affidamento sul calendario delle operazioni automatizzate.
13. STUDIO DI FATTIBILITA' E qual è la sua importanza: la realizzazione dello studio di fattibilità relativa alla disponibilità delle risorse necessarie per realizzare gli obiettivi, l'attuazione e messa in funzione di un sistema. La sua importanza è che questa ricerca è il rapporto costi / benefici del sistema, sviluppando il modello logico, giungere alla decisione di produrla o respingerla, compreso lo studio di fattibilità tecnica e raccomandazioni.
14. OBIETTIVI DELLA ZONA DI SICUREZZA INFORMAZIONI:
- 1 - Proteggere l'integrità, la precisione e la riservatezza delle informazioni.
- 2 - attività di Protezione contro le catastrofi causate da mani umane di atti ostili.
- 3 - Proteggere l'organizzazione contro le situazioni esterne, come catastrofi naturali e il sabotaggio.
- 4 - In un disastro, hanno i piani di emergenza e le politiche per una pronta guarigione.
- 5 - Ha l'assicurazione necessaria a coprire le perdite economiche in caso di disastro.
15. Integrità: Assicurare l'accuratezza e la completezza delle informazioni nelle informazioni e l'elaborazione. PRIVACY: garantire che le informazioni siano accessibili solo a persone autorizzate ad accedere. DISPONIBILITA': garantire che gli utenti autorizzati hanno accesso quando di richiedere informazioni e attività associate.
16. FASI DEL PROGETTO del piano d'emergenza:
- 1 - Analisi di impatto sull'organizzazione: identificare i processi critici o essenziali e le loro ripercussioni non deve essere in esecuzione.
- 2 - Scelta della strategia: Disaster, cercherà di lavoro sistemi in base alla loro priorità e non sempre state facendo.
- 3 - Piano di Preparazione: Devi essere progettato e testato. Richiede la partecipazione di personale per assicurare che siano disponibili quando è messo in pratica.
- 4 - Test Plan è destinato: a garantire che funzioni in modo efficiente.
- 5 - Manutenzione: è necessario assicurarsi che dopo che il piano è stato creato monitorati e mantenuti regolarmente per riflettere i cambiamenti organizzativi o modifiche, adeguando le procedure.
17. Perché è importante controllare la sicurezza delle informazioni (PED) di oggi. Spiegare. Fare riferimento a un rischio di sicurezza perché ha una presenza 80% nella società: nel PED l'atto che gestisce un evento % 80 è il furto o il furto di informazioni dagli interni. Questo fondamentalmente all'interno della società che ci sono fattori che richiamano informazioni e questo è un problema che distrugge l'organizzazione interna creando così un ambiente non sicuro all'interno della società. E' importante controllare la sicurezza deiinformazione (PED) perché è un motore di sociali e che costituisce uno strumento importante strategic che ci dà il potere a seconda di come viene utilizzato ed è importante e necessario che le aziende assegnano i bilanci materia di sicurezza interna e nella la sicurezza interna è dove la maggior parte dei problemi che si verificano possono essere dannosi o non dannosi, che possono anche causare gravi perdite alla società, questi tutti i tipi di cooperazione economica, finanziaria sopra di tutte queste, è anche importante creare una cultura organizzativa e di personale sui lavoratori dipendenti in quanto essi svolgono il ruolo più importante per la sicurezza dell'informazione (PED). Per arrivare a decisioni tempestive della società.
18. Qual è il lavoro del revisore dei conti: dinamica e costante valutazione della sussistenza di pratiche e procedure per garantire qualità e affidabilità delle informazioni, la misurazione del grado di conseguimento degli obiettivi e l'uso appropriato delle risorse.
19. IMPORTANZA di un piano strategico o il comandante di essa: l'IT Piano Strategico, ci servono come strumento per accompagnare dirigenti nel processo decisionale, sia in investimenti IT realizzati da ogni passo strategico nel business per facilitare il flusso di informazioni attraverso le reti di comunicazione, come conoscere l'impatto delle decisioni aziendali in materia di tecnologie nuove che implicano un vantaggio competitivo per l'azienda e avere un'idea chiara dei benefici materiali e immateriali da ottenere e di un ravvicinamento dei costi e dei tempi per ogni orientamento in hardware e software della società o sviluppo interno dei sistemi che sono fatti. Questo significa che tutto è basato su qualcosa di solido di servire come backup per l'azienda, come è responsabilità di tutti, eliminando l'improvvisazione con conseguente avanti modo sicuro e chiaro.
20. T AUDIT ELEMENTI piano che dovrebbe contenere COMPONENTI o menzionati in LA PIANIFICAZIONE DEL CONTROLLO:
- Fissare gli obiettivi e la portata del lavoro.
- Ottenere informazioni di base sulle attività oggetto delle verifiche.
- L'individuazione delle risorse necessarie per svolgere auditing
- Stabilire la comunicazione necessaria con tutti i soggetti coinvolti nella revisione.
- Un programma o un processo di programmazione.
- Ispezione fisica.
- Utilizzo di tecniche.
- Relazione finale del Giudizio
21. Quali sono alcuni controlli generali: Pre.
- Controllo della documentazione.
- IT
- Struttura organizzativa dei sistemi di controllo dell'operazione.
- Sistemi di controllo per lo sviluppo.
- Controllo dei contratti
22. CLASSIFICAZIONE DEI CONTROLLI:
- preventive: Quando si genera l'evento warn (tutto ciò che accade per impedire in qualsiasi momento: interruzione di alimentazione dell'UPS, procedure di backup, dispositivi ridondanti per attrezzature; dischi di mirror.
- Detect *: quando attiva l'evento viene rilevato (accade in quel momento: la convalida di entrata # di conto, tentativi falliti di accesso degli utenti, gli allarmi di fumo.
- Rimedi: Quando ho correggere genera l'evento (l'evento già accaduto: la ritrasmissione dei dati da periodi di indisponibilità del sistema, Ripristino dei backup di dati, le date di conversione dati, di patching.
23. Tipi di piani di audit. O meglio TIPI DI valutazioni di processi di pianificazione:
- Piano strategico (è la responsabilità di tutti, elimina l'improvvisazione, la definizione di un piano definito master-nord entro cinque lunghi anni - Definisce la direzione di hardware e sistemi di sviluppo software - Nuove tecnologie di rete).
- Piano Operativo (piano traduce la visione di attività strategiche nel breve termine, un anno, dovrebbe avere una stretta connessione con il Piano Strategico, dovrebbe essere coordinato con le aree degli utenti, dovrebbero essere valutati per la conformità rispetto agli obiettivi prefissati).
- per i progetti IT Planning (Uno dei maggiori problemi in progetti IT-Term Usa PMBOCK gestione del progetto, e l'uso di strumenti di monitoraggio fasi: concezione, l'iniziazione, le attività di sviluppo, risorse, risultati, i rischi, le modifiche, costi, date, cierre.-Usa GANT grafici, PERT-CMP).
- Training plan (derivato dall'evoluzione ricorso a nuove tecnologie and formazione dovrebbe essere continuo, "l'IT Department should propose piani di update del personale e degli utenti nelle nuove tecnologie, la formazione in trends nuovo mercato IT (analfabetismo tecnologico)).
- Piano di acquisto (acquisto di software e hardware che risponde alle nuove esigenze, mutevoli esigenze Scheduling Utilizzo di strumenti-progetto-di valutare i piani per evitare l'obsolescenza tecnologica, l'analisi, le misure della performance, sempre evitando i piani improvvisazione).
- Conversione Modifiche Piano (dispositivi server centrale: memoria, dischi, procesadores. cambio versioni del software: sistema operativo, database-change-in versioni di applicazioni devono utilizzare la gestione del progetto: la pianificazione, i backup, il controllo, informazioni agli utenti, responsabili).
- Piano di Continuità (nato il livello di dipendenza, identificare quali attività rischiano di interrompere il funzionamento quotidiano, individuare le priorità critiche di funzionamento per la sua attenzione deve essere testato o simulare piani di continuità)
24. CITE ordinato PASSI DI UNA DEVE CONTENERE audit dettagliato REPORT.
- I problemi individuati.
- Possibili cause, problemi e fallimenti che hanno portato alla situazione presentata nel mese di marzo.
- Impatto che possono avere dei problemi rilevati nel mese di aprile.
- Soluzioni alternative
- Osservazioni e commenti sulla direzione di computer e utenti delle soluzioni proposte.
25. QUALI SONO I REQUISITI. Tecniche. CITE PROBLEMI FREQUENTI 3: Un requisito è un necesidadque un sistema informativo deve soddisfare. Si tratta di descrizioni di: Come risolvere il sistema di informazione e quindi come comportarsi. (Tecniche: Interviste ·. · Questionari · Riesame di documenti · Osservazioni · esperti Trial · Brainstorming · analisi del mercato / concorrenza.) (Problemi: · • sono installati in ritardo con le previsioni di bilancio sono di gran lunga · breve Systems non fare ciò che gli utenti vogliono davvero.)
26. Per spiegare il revisore di valutare la 3 livelli della piramide per la realizzazione di un sistema d'informazione:
- 1 - livello strategico (sistemi di supporto decisionale) che viene utilizzato da alti comandanti ha complicato i sistemi che influiscono più il processo decisionale.
- 2 - livello tattico (sistemi di gestione) che viene utilizzato dai manager di mezzo è più specifico, perché aiuta il processo decisionale.
- 3 - livello operativo (operazioni): che è transazionale, le voci di informazioni dato in termini di volume alto e per questo motivo deve essere affidabile, i report possono essere generati da questo livello.
27. Egli ha menzionato i quattro sintomi che si verificano LANECESIDAD In un'organizzazione per la revisione dei sistemi:
- 1 - Mancanza di coordinamento e di disorganizzazione (· IT Mismatch obiettivi con quelli della società · Le standard di produttività sono diminuiti Per continuare cade in · Sistemi · Basso coinvolgimento obsolescenza tecnologica IT nella pianificazione dei progetti)
- 2 - cattiva immagine e l'insoddisfazione degli utenti (• Non rispondere alle richieste di modifiche degli utenti • Non essere riparato in tempo guasti hardware · Costanti guasti del sistema di Reason · Mancanza di attenzione ai sistemi critici • L'utente è percepito come abbandono)
- 3 - Economica e di debolezza finanziaria (• eccessivo aumento dei costi di esercizio · Mancanza di credibilità della investimenti IT • Sviluppo di progetti IT superare tempi e costi)
- 4 - L'insicurezza (logica di sicurezza · Sicurezza · Fisica · Incertezza in termini di affidabilità · i dati di insicurezza nell'uso delle risorse e delle forniture).
28. CITE 3 AMMINISTRATORI E LORO FUNZIONE:
- 1 - Direttore di utente: sia che l'utente è responsabile della gestione dei sistemi in particolare nel periodo di prova, ma deve anche assicurare che il rispetto delle disposizioni che prevedono l'utente.
- 2 - Direttore esecutivo: Questa è la società rappresentata, ha il potere di decisione.
- 3 - Direttore della T I: che, nonostante la partecipazione in vari funzionari del progetto IT.
29. STRUMENTI DI CONTROLLO DEL quali sono segnalati 3 utilizzati e nelle cause cosa usare la lista di controllo OF RANGE: Controllare graduatoria viene utilizzata quando si desidera valutare un compito. Interviste - ospite - Check list
30. Sotto il profilo fisico e logico SICUREZZA come può essere politiche di sicurezza:
- 1 - Olistico: e cioè che ci sia la sicurezza nel suo complesso, non come in alcune parti.
- 2 - realistici: essi sono pienamente realizzabili.
- Marzo - Continuare a tenere aggiornato o non è sinistra o dimenticato.
31. RISORSE PER INDIVIDUARE LA CREAZIONE DI UN AUDIT:
- 1 - di SW: programmi o sistemi di monitoraggio delle risorse.
- 2 - Risorse di HW: materiale informatico.
- 3 - Risorse umane: il personale, esperto di reti, sistemi di comunicazione.
32. CHE COSA SONO I domini di COBIT 4:
- 1 - Pianificazione e preparazione: this dominio è responsabile della pianificazione e definizione degli obiettivi e campo di applicazione sono anche risorse per essere utilizzati come essi va attuata la objectives e calendario della intera è made trasformazione.
- 2 - Acquisizione e informazioni: in questo campo vediamo in merito alle modalità di acquisire il controllo sia da parte degli sviluppatori locali (interno), se necessario Outsourcing per farlo. Qui si analizza anche come sarà da attuare.
- 3 - Consegna e di supporto: in questa fase è dove daremo l'utente e verrà consegnato il modulo compilato completamente e analizzato gli aspetti del supporto a causa di cui avranno bisogno per la corretta manutenzione di aree diverse.
- 4 - Monitoraggio: E' in questa fase, dove sono esposti per tutte le attività e monitorare l'intero processo.
33. SEDE DI CONTROLLO IN è prassi COMMENTO DI VALUTAZIONE 6 componenti ciascuno di loro:
- 1 - amministrative: · l'organizzazione, funzioni ·, · Struttura, · La realizzazione degli obiettivi. · Risorse Umane. · Regole e politiche. • Formazione
- 2 - Sistemi: • Valutazione delle analisi e delle sue varie fasi. • Valutazione della progettazione logica del sistema. • Valutazione dello sviluppo fisico. • Possibilità di sviluppo di sistemi. • Controllo dei progetti
- 3 - ambientali · operativo acquisizione di attrezzatura, studi di fattibilità e di costo-efficacia. Capacità ·. · Applicazione. Standardizzazione ·. Controlli ·. * Nuova acquisizione progetti. · Stoccaggio
- 4 - Elaborazione dati: • Controllo dei dati di origine e di gestione dei dati. • Controllo della transazione. • Controllo della produzione. · Controllo dei processi matematici. • Controllo del mezzo di archiviazione di massa. • Controllo dei media.
- 5 - Sicurezza: · logica e sicurezza fisica. · Privacy. · Supporto. · Sicurezza personale. Assicurazioni ·. · Sicurezza in uso di attrezzature. • Piano per gli imprevisti. · Restauro delle apparecchiature e dei sistemi.