亚伦克尔

导演

IT审计的创新:微观审计与传统IT审计

这取决于组织, 微型审计可以增加灵活性, 节省宝贵时间及简化报告程序. 亚冠买球app下载与客户合作评估他们的环境,并提供真正的解决方案,通过成功的审计来帮助IT部门加强控制.

在当今快速发展的IT环境中, 每个组织都需要平衡用户的技术需求, 速度, 易于使用和方便, 确保信息安全,防范各种复杂的威胁和潜在的责任. 亚冠买球app下载, 一家位于巴尔的摩的咨询亚冠买球app下载, 通过全面的审计和评估,帮助那些组织识别改进其IT过程和控制的机会. 作为这项服务的一部分, Clearview集团可以帮助客户确定微型审计是否最适合他们的需求. 而不是传统的, 全领域,审计, 微型审计更狭义地集中于特定的风险领域, 这意味着它们可能会导致更有效和相关的结果, 较短的周转, 和更成功的报告.

审计前准备和风险评估

IT审计业务通常从风险评估和制定描述审计范围和目标的审计计划开始. Clearview集团对监管框架有广泛的了解, 最佳实践和所需的控制客户必须考虑基于他们的规模和地位在市场上. 这包括确定微观审计与传统审计相比,某些风险领域是否会受益.

“虽然你总是必须灵活地评估风险, 在过去的几年里,有一件事情变得非常明显,那就是灵活性的至高无上的重要性,” 亚伦克尔他是Clearview集团的咨询服务总监. 当涉及到软件开发和过程时,你经常会听到这个词, 但它也适用于it审计. 亚冠买球app下载不想过于依赖年度审计计划或传统的可审计领域细分——如果行业或亚冠买球app下载内部发生变化,你需要能够适应. 你需要在计划中有一定的灵活性来应对这些风险,即使在年初时风险并不高. 好消息是,如果您的IT部门有可靠的风险评估流程, 使它们灵活并不是太难, 只要不是很大就行, 数月的项目. 有些项目你可以承担超过几个星期, 在审计之前,什么使它更容易适应.”

亚冠买球app下载帮助客户识别和纠正风险,以便他们在不浪费时间或资源的情况下准备处理他们的下一次审计. 例如, 如果巴尔的摩市遭受了多次勒索软件攻击, 科尔说,该地区的客户可能会问,他们有多容易受到类似攻击. 与micro-audit, 中小企业只需将特定的威胁载体作为风险场景进行评估,就可以快速回答这个问题.

微审计与传统IT审计项目的区别

风险评估后, 审计人员收集和分析审计证据,形成与内部控制以及管理层提供的信息可靠性有关的意见. 与传统的IT审计过程相反, 这可能需要几个星期或几个月, 微型审计可以短至80小时, 克尔说. 这是因为, 而组织总是有大量的潜在可审计领域, 微型审计将传统上复杂的项目分解为各个部分的总和.

“例如, 关于网络的话题, 两个主要领域可以是安全和行动, 但在这些情况下,还会有额外的风险,”克尔说. “微观审计是指将整个领域分割成中小企业可以在80到100小时内完成的领域. 如果范围是正确的,有一种方法可以在短时间内增加价值. 这迫使你在更大的风险之下考虑更多具体的风险场景, 传统的可审计区域和结构的程序和频率围绕这些子区域.”

科尔指出,几周前他的一位客户正在寻找咨询合伙人. “这是一个相当大的组织, 他们总是把审计安排为几个月的过程,”他说. “现在, 他们更喜欢将审计分开进行, 在这种情况下,网络, 为独立的, 微观审计——关于安全的, 一个是管理,一个是操作. 这意味着每个IT审计可以分别进行优先级风险评估,并且只需要6周而不是6个月, 客户也不会到处寻找难以置信的风险领域,试图将其与之前对该领域的解释联系起来. 这些微型审计确实有益于较小的组织, 因为他们通常在执行方面有更大的灵活性.”

另外, 有了今天的虚拟工具, 科尔说,成功实施微观审计的能力从来没有像现在这样容易. “过去,在评估某些领域时,可能会有很多重叠, 有具体的解决方案和供应商, 但现在有了AWS和微软365这样的集成平台, 有些服务你只需要点击一个按钮就可以付费,”他说. “通过微观审计,你可以非常有针对性地快速识别风险. 虚拟环境是我们评估特定领域的重要催化剂. 我们事先做了研究,这样我们就可以精简, 指向一个特定的屏幕, 评估一个特定的风险区域并给出结果.”

与传统审计报告相比的微观审计结果

一旦审计完成,是时候正式报告调查结果了, 科尔说,他一直试图反对这种稳健的审计报告, 微型审计是一个完美的解决方案.

“传统上, 长时间的审计结果通常需要一个翻译来涵盖所有内容, 什么能改变信息在审计委员会和董事会中产生共鸣的方式,”克尔说. “但与micro-audits, 你可以把那份报告缩减到一两页, 用图像或视觉效果将其归结为电梯游说. 为什么不让报告的文字少一点重,这样就不会那么麻烦了? 这样你就能吸引更多的观众,并且能够很好地描述潜在的风险场景以及他们的反应. 这可能是一个问题,但这真的是一个大风险吗? 与micro-audit, 你可以把目标锁定在你最感兴趣的特定主题上:以下是我们的发现, 所涉及的风险以及客户需要立即采取行动的地方.”

虽然每年都会有一些高风险的IT领域被关注, 科尔表示,Clearview集团明白网络安全等特定领域目前只能得到缓解,并将调整审计报告以反映这一点.

“你们每年都做同样的审计吗?, 或者你是否有足够的灵活性来审计网络安全的具体方面,这取决于组织的变化, 新市场, 行业趋势和近期事件? 多年来,我们一直在将其分割成更小的部分,并在每个季度制定年度计划时找出有意义的部分,”克尔说. “无论我们看什么,都是有原因的. 我们不需要解释为什么我们看这个而不看那个. 与我们合作的许多组织可能会问,他们有多容易受到恶意软件的影响, 例如, 我们有很多方法可以在审计中解决这个问题. 你可以想出一个计划来专门解决这个问题,而不必报告每一个与网络安全相关的风险领域.”

科尔还补充说,这种简化的报告使组织能够更及时地报告风险. “你应该能在几周内得到答复, 而不是在审计年度结束前,”他说. “客户不想把自己绑在一个过去有意义的方法上, 但现在需要很长时间才能向审计委员会或董事会得到答案. 这些风险实现得如此之快,所以等待是没有意义的.”

整体, 科尔表示,Clearview集团作为客户的真正合作伙伴,理解IT微观审计并没有明确的定义. “这是关于针对风险情景的, 建立一个从范围到结果的更快的时间框架的审计计划,”他说. “这真的是关键——找到一种适应的方式是至关重要的,以便跟上技术的流动性.”

欲了解更多信息,请联系亚冠买球app下载的咨询服务总监亚伦克尔 akerr@www.itbswatch.com 或访问: http://www.itbswatch.com/

从亚伦

更多的 风险 & 它的风险咨询