База данных

BT Denetiminin İlk Beş Faydası

BT denetçileri, iş dünyasını işlerinin bir kuruma nasıl değer kattığı konusunda eğitmek için sık sık kendilerini buluyorlar. İç denetim departmanları genellikle bir kuruluştaki rolü hakkında net bir bakış açısı ile konuşlandırılmış bir BT denetim bileşenine sahiptir. Ancak, BT denetçileri olarak deneyimlerimizde, daha geniş bir iş topluluğunun, azami faydayı gerçekleştirmek için BT denetim işlevini anlaması gerekir. Bu bağlamda, bir BT denetiminin sağladığı özel faydalar ve katma değere ilişkin bu kısa genel bakışı yayınlıyoruz.

Özel olmak üzere, BT denetimleri, istemci-sunucu sistemleri ve ağlar, işletim sistemleri, güvenlik sistemleri, yazılım uygulamaları, web servisleri, veritabanları, telekom altyapısı, değişim yönetimi prosedürleri ve felaket kurtarma planlaması.

Standart bir denetimin sırası, risklerin belirlenmesi, ardından kontrollerin tasarımı ve son olarak test edilmesi ile başlar. kontrollerin etkinliği. Nitelikli denetçiler denetimin her aşamasında değer katabilirler

Şirketler genellikle teknoloji kontrolleri konusunda güvence sağlamak ve federal veya sektöre özel gerekliliklere yasal düzenlemelere uyumu sağlamak için bir IT denetim işlevini sürdürürler. Teknolojiye yapılan yatırımlar büyüdükçe, BT denetimi risklerin kontrol altında tutulduğu ve büyük kayıpların olamayacağına dair güvence sağlayabilir. Bir kuruluş ayrıca, yüksek bir kesinti, güvenlik tehdidi veya güvenlik açığı riskinin bulunduğunu belirleyebilir. Ayrıca Sarbanes Oxley Yasası veya bir sektöre özgü gereksinimler gibi yasal uyumluluk gereklilikleri de olabilir.

Aşağıda, BT denetçilerinin bir kuruluşa değer katabileceği beş kilit alanı tartışıyoruz. Tabii ki, teknik denetimin kalitesi ve derinliği değer katmak için bir önkoşuldur. Bir denetimin planlanan kapsamı, katma değer için de kritiktir. Hangi iş süreçlerinin ve risklerin denetleneceği konusunda net bir yetki olmadan, başarı veya katma değer sağlamak zordur.

İşte bir BT denetiminin değer kattığı ilk beş yolumuz:

1. Riski azaltmak. Bir BT denetiminin planlanması ve yürütülmesi bir kuruluştaki BT risklerinin tanımlanması ve değerlendirilmesinden oluşur:

BT denetimleri genellikle gizlilik, bütünlük ve bilgi teknolojisi altyapısı ve süreçlerinin mevcudiyeti ile ilgili riskleri kapsar. Ek riskler arasında BT'nin etkinliği, etkinliği ve güvenilirliği yer almaktadır.

Riskler değerlendirildiğinde, hangi yolun alınacağına dair net bir görüş olabilir – riskleri kontroller yoluyla azaltmak veya azaltmak, riski sigorta yoluyla aktarmak veya sadece kabul etmek için işletme ortamının bir parçası olarak risk

Buradaki kritik bir kavram, BT riskinin işletme riski olduğudur. Kritik BT işlemlerine yönelik herhangi bir tehdit veya güvenlik açığı, tüm kuruluş üzerinde doğrudan bir etkiye sahip olabilir. Kısacası, kuruluşun risklerin nerede olduğunu bilmesi ve sonra onlar hakkında bir şeyler yapmaya devam etmesi gerekiyor.

Denetçilerin kullandığı BT riskindeki en iyi uygulamalar ISACA COBIT ve RiskIT çerçeveleri ve ISO / IEC 27002 standardı ' bilgi güvenliği yönetimi '

2. Kontrolleri güçlendirin (ve güvenliği arttırın). Yukarıda tarif edildiği gibi riskleri değerlendirdikten sonra kontroller tanımlanabilir ve değerlendirilebilir. Kötü tasarlanmış veya etkisiz kontroller yeniden tasarlanabilir ve / veya güçlendirilebilir.

BT kontrollerinin COBIT çerçevesi burada özellikle yararlıdır. Riski azaltmada yararlı 32 kontrol işlemini kapsayan dört yüksek seviye alandan oluşur. COBIT çerçevesi, kontrol hedefleri, ana performans göstergeleri, ana hedef göstergeleri ve kritik başarı faktörleri dahil olmak üzere bilgi güvenliğinin tüm yönlerini kapsar.

Bir denetçi, bir kuruluştaki kontrolleri değerlendirmek ve BT'ye gerçek değer katan önerilerde bulunmak için COBIT'i kullanabilir. çevre ve bir bütün olarak kuruluşa

Diğer bir kontrol çerçevesi, Treadway Komisyonunun (COSO) iç kontrol modelinin Sponsor Organizasyonlar Komitesi'dir. BT denetçileri, bu çerçeveyi (1) faaliyetlerin etkinliği ve etkinliği, (2) finansal raporlamanın güvenilirliği ve (3) yürürlükteki yasa ve yönetmeliklere uygunluk konusunda güvence almak için kullanabilirler. Çerçeve doğrudan kontrollerle ilgili beş unsurdan iki tanesini içermektedir – kontrol ortamı ve kontrol faaliyetleri.

3. Yönetmeliklere uyun. Federal ve eyalet seviyelerindeki geniş kapsamlı düzenlemeler bilgi güvenliği için özel gereksinimleri içermektedir. BT denetçisi, özel şartların yerine getirilmesini, risklerin değerlendirilmesini ve kontrollerin uygulanmasını sağlama konusunda kritik bir işleve sahiptir.

Sarbanes Oxley Yasası (Kurumsal ve Ceza Dolandırıcılık Sorumluluk Yasası), tüm kamu şirketlerinin iç kontrollerin yeterliliğini sağlamalarını sağlama gerekliliklerini içerir. Yukarıda tartışılan Treadway Komisyonunun (COSO) Sponsor Kuruluşları Komitesi çerçevesinde tanımlanmıştır.

Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA), BT gereklilikleri için üç alana sahiptir – idari, teknik ve fiziksel. Bu gerekliliklere uyumu sağlamada kilit rol oynayan BT denetçisidir.

Çeşitli endüstriler, örneğin kredi kartı endüstrisindeki Kredi Kartı Endüstrisi (PCI) Veri Güvenliği Standardı gibi ek gereksinimlere sahiptir. Visa ve Mastercard.

Tüm bu uygunluk ve düzenleme alanlarında, BT denetçisi merkezi bir rol oynamaktadır. Bir organizasyon tüm şartların yerine getirildiğine dair güvence ister

4. İşletme ve teknoloji yönetimi arasındaki iletişimi kolaylaştırın. Denetim, bir kuruluşun işletme ile teknoloji yönetimi arasında iletişim kanallarının açılması üzerinde olumlu bir etkiye sahip olabilir. Denetçiler, gerçekte ve pratikte neler olduğunu röportaj yapar, gözlemler ve test eder. Bir denetimden elde edilen son çıktılar yazılı raporlardaki ve sözlü sunumlardaki değerli bilgilerdir. Üst yönetim, kuruluşlarının nasıl işlediği hakkında doğrudan geri bildirim alabilir.

Bir kuruluştaki teknoloji uzmanlarının, üst yönetimin beklentilerini ve hedeflerini de bilmeleri gerekir. Denetçiler, bu iletişime en baştan aşağıya teknoloji yönetimi ile toplantılara katılım ve politika, standart ve rehber ilkelerin uygulamalarını gözden geçirme yoluyla katılarak yardımcı olurlar.

BT denetiminin yönetimin teknolojiyi denetlemesinde kilit bir unsur olduğunu bilmek önemlidir. Bir kurumun teknolojisi, iş stratejisini, fonksiyonlarını ve operasyonlarını desteklemek için mevcuttur. İşletmenin uyumu ve destek teknolojisi çok önemlidir. BT denetimi bu uyumu sürdürür

5. BT Yönetişimini Geliştirin. BT Yönetişim Enstitüsü (ITGI) aşağıdaki tanımı yayımladı:

'BT Yönetişimi, yöneticilerin ve yönetim kurulunun sorumluluğundadır ve kuruluşun BT'sinin kuruluşun yeterliliğini ve genişletmesini sağlayan liderlik, organizasyon yapıları ve süreçlerinden oluşur. stratejiler ve hedefler. ”

Tanımda belirtilen liderlik, organizasyon yapıları ve süreçler, BT denetçilerine kilit oyuncular olarak işaret ediyor. BT denetiminin ve genel BT yönetiminin merkezinde, bir kuruluşun teknoloji ortamındaki değer, risk ve kontrollerin güçlü bir anlayışı vardır. Daha spesifik olarak, BT denetçileri, teknolojinin her bir anahtar bileşenindeki – uygulamalar, bilgi, altyapı ve insanlardaki değerleri, riskleri ve kontrolleri gözden geçirir.

BT yönetişimi ile ilgili diğer bir bakış açısı, aynı zamanda tartışılan dört ana hedef çerçevesinden oluşur. BT Yönetişim Enstitüsü dokümantasyonu:

* BT işletmeyle uyumludur * BT işletmeyi sağlar ve faydaları maksimuma çıkarır * BT kaynakları sorumlu kullanılır * BT riskleri uygun şekilde yönetilir

BT denetçileri bu hedeflerin her birinin yerine getirildiğine dair güvence sağlar . Her hedef bir kurum için kritik öneme sahiptir ve bu nedenle BT denetim fonksiyonunda kritiktir.

Özetlemek gerekirse, BT denetimi riskleri azaltarak, güvenliği artırarak, yönetmeliklere uygun davranarak ve teknoloji ile işletme yönetimi arasındaki iletişimi kolaylaştırarak değer katmaktadır. Son olarak, BT denetimi, genel BT yönetimini iyileştirir ve güçlendirir.

Referanslar:

ISACA. Bilgi ve İlgili Teknoloji için Kontrol Hedefleri (COBIT).

ISO / IEC 27002 Bilgi güvenliği yönetimi için uygulama kodu.

Treadway Komisyonu (COSO) Çerçevesi Sponsor Kuruluşlar Komitesi.