IT-Audit

Das Audit (in englischer Sprache Information Technology Audit oder IT Audit ) dient der Identifizierung und Bewertung von Risiken (betriebliche, finanzielle, Reputationsaspekte) im Zusammenhang mit dem IT-Betrieb eines Unternehmens oder einer Verwaltung. Zu diesem Zweck stützt sich die Prüfung auf den rechtlichen Rahmen des Tätigkeitsbereichs des betreffenden Landes (z. B. CRBF 97-02 für eine französische Bank), auf die vorhandenen Best Practices für bewährte Verfahren (z. B. das CobiT- Repository ) verfügbare Benchmarks und die Berufserfahrung der beteiligten Wirtschaftsprüfer.

Es gibt zwei Hauptkategorien von Audits. Die erste umfasst globale Unternehmensprüfungen, bei denen alle Aktivitäten im Zusammenhang mit Informationssystemen bewertet werden. Die zweite Kategorie entspricht thematischen Audits, deren Ziel es ist, ein IT-Thema innerhalb einer Entität zu überprüfen (z. B. Projektmanagement, logische Sicherheit).

Die Prüfung sollte nicht mit der Beratungstätigkeit verwechselt werden, die im Allgemeinen darauf abzielt, die Funktionsweise und Leistung einer Organisation zu verbessern, wobei möglicherweise eine Beteiligung an der Umsetzung dieser Verbesserung besteht. Diese beiden Aktivitäten, Prüfung und Beratung, können nicht für ein bestimmtes Unternehmen von denselben Akteuren durchgeführt werden, um keine für Interessenkonflikte günstige Situation zu schaffen.

Die Grundkonzepte der IT-Prüfung

Das Konzept der Kontrolle steht im Mittelpunkt des IT-Audit-Prozesses. Ziel ist es, wirksame und effiziente Kontrollsysteme einzurichten, die eine wirksame Kontrolle der IT-Aktivitäten ermöglichen. Die interne Kontrolle ist ein Prozess, der auf Initiative der Manager des Unternehmens durchgeführt wird und eine angemessene Sicherheit für die Erreichung der folgenden drei Ziele bieten soll:

1. Einhaltung von Gesetzen und Vorschriften,
2. die Zuverlässigkeit von Finanzinformationen,
3. Durchführung und Optimierung von Operationen ....

Es ist offensichtlich, dass das IT-Audit hauptsächlich am dritten Ziel interessiert ist.

Der IT-Prüfungsprozess wird auf der Grundlage der Bedenken des Prüfungsanforderers definiert, der der General Manager, der IT-Direktor, der Finanzdirektor usw. sein kann. Er wird den Prüfer daher beauftragen, eine Liste spezifischer Fragen zu beantworten, auf die weiter verwiesen wird oder weniger implizit auf den Stand der bekannten bewährten Praktiken auf diesem Gebiet. Daraus ergibt sich ein wichtiges Dokument: das Auftragsschreiben, in dem das auszuführende Mandat festgelegt ist und das dem Abschlussprüfer die erforderlichen Befugnisse verleiht.

Letzterer wird sich dann auf die Identifizierung der Fakten konzentrieren und dann Interviews mit den interessierten Parteien führen. Er wird sich dann bemühen, seine Beobachtungen anhand allgemein anerkannter Benchmarks zu bewerten. Auf dieser Grundlage wird er Empfehlungen vorschlagen.

Der IT-Prüfer verwendet IT-Prüfungsrepositorys, um den Status der Best Practices in diesem Bereich zu ermitteln. Das grundlegende Repository ist CobiT : Kontrollziele für Informationen und verwandte Technologien. Es werden jedoch auch andere Standards wie CobiT , ISO 27002 , CMMi , ITIL , Val IT , Risiko-IT usw. verwendet.

Verschiedene Arten von IT-Audits

Der IT-Prüfungsansatz ist allgemein und gilt für verschiedene Bereiche wie IT-Funktion, IT-Studien, IT-Projekte, Betrieb, IT-Planung, Netzwerke und Telekommunikation, IT-Sicherheit, IT-Einkäufe, lokale IT oder dezentrale IT, Servicequalität, Outsourcing, Flotte Management, betriebliche Anwendungen usw. Nachfolgend finden Sie eine kurze Darstellung der häufigsten IT-Audits.

IT-Funktionsprüfung

Der Zweck der Prüfung der IT-Funktion besteht darin, auf die Bedenken des General Managements oder der IT-Abteilung hinsichtlich der Organisation der IT-Funktion, ihres Managements, ihrer Positionierung in der Struktur, ihrer Beziehungen zu den Benutzern und ihrer Arbeitsweise einzugehen. ..

Um ein Audit der IT-Funktion durchzuführen, stützen wir uns auf bekannte bewährte Verfahren in Bezug auf die Organisation der IT-Funktion. Sie sind zahlreich und bekannt, darunter können wir zitieren:

• die Klarheit der Strukturen und Verantwortlichkeiten des IT-Teams,
• die Definition der Beziehungen zwischen der Geschäftsleitung, den funktionalen und operativen Abteilungen und der IT-Funktion;
• das Vorhandensein von Aktivitätsmaßstäben und insbesondere eines Dashboards der IT-Funktion,
• das Niveau der Fähigkeiten und Qualifikationen des Personals der Funktion.

Es gibt viele andere Best Practices für die IT-Funktion. Die Prüfung der Funktion basiert auf diesen Praktiken, um eine bestimmte Anzahl von Kontrollzielen zu ermitteln, wie z.

• die Rolle der funktionalen und operativen Abteilungen im IT-Management und insbesondere die Existenz eines IT-Lenkungsausschusses,
• die Umsetzung funktionsspezifischer Richtlinien, Standards und Verfahren,
• die Definition der jeweiligen Verantwortlichkeiten der IT-Funktion und der Benutzereinheiten in Bezug auf Verarbeitung, Wartung, Sicherheit, Investitionen, Entwicklungen,….
• das Vorhandensein von Mechanismen, die es ermöglichen, IT-Kosten zu kennen und zu überwachen, entweder mithilfe der Kostenrechnung oder, falls dies nicht der Fall ist, durch einen Mechanismus zur erneuten Rechnungsstellung;
• Einhaltung interner Kontrollsysteme wie regelmäßige Risikobewertung, Messung der Auswirkungen der IT auf die Unternehmensleistung usw.

Diese unterschiedlichen Kontrollziele entsprechen dem PO 4-Prozess von CobiT: "Definieren Sie die Prozesse, die Organisation und die Arbeitsbeziehungen".

Prüfung von IT-Studien

Die Prüfung von IT-Studien ist eine Teilmenge der Prüfung der IT-Funktion. Mit dieser Prüfung soll sichergestellt werden, dass Organisation und Struktur effizient sind, dass die Verwaltung angemessen ist, dass die verschiedenen Aktivitäten unter Kontrolle sind und dass die Beziehungen zu den Benutzern normal laufen.

Um ein Audit von IT-Studien durchzuführen, stützen wir uns auf das Wissen über die in diesem Bereich identifizierten Best Practices. Sie sind zahlreich und allen Fachleuten bekannt. Unter diesen können wir zitieren:

• die Organisation der Studienfunktion in Teams, die Auswahl der Personen und ihre Ausbildung, ihre Verantwortlichkeiten…;
• die Implementierung geeigneter Tools und Methoden, insbesondere eine eindeutige Identifizierung von Aufgaben, Zeitplänen, Budgets, Studienüberwachungssystemen, einem Dashboard usw.;
• die Kontrolle der verschiedenen Aktivitäten, die nicht geplant werden können, wie z. B. kleine Projekte, dringende Projekte…;
• Kontrolle der Wartung von Betriebsanwendungen;
• Überwachung der Studienaktivitäten anhand von Arbeitszeitnachweisen.

Es gibt viele andere Best Practices für Computerstudien. Bei der Prüfung werden wir uns auf diese bewährten Verfahren stützen, um eine bestimmte Anzahl von Kontrollzielen zu ermitteln, wie z.

• Bewertung der Organisation der Computerstudienfunktion und insbesondere der Art und Weise, wie die verschiedenen Studienaktivitäten geplant sind;
• Einhaltung der Standards für die Anwendungsdokumentation und insbesondere der Definition der Dokumente, die mit den verschiedenen geplanten Leistungen versehen werden sollen;
• die Kontrolle der Vergabe von Unteraufträgen, insbesondere die Qualität der Verträge, die Einhaltung der Kosten und Fristen, die Qualität der zu erbringenden Leistungen usw.;
• die Bewertung der Qualität der Ergebnisse der verschiedenen Studienaktivitäten, die überprüfbar und überprüfbar sein müssen;

Es gibt viele andere Kontrollziele in Bezug auf IT-Studien, die auf der Grundlage der Bedenken des Prüfungsanforderers ausgewählt werden.

Betriebsaudit

Mit dem Betriebsaudit soll sichergestellt werden, dass die verschiedenen IT-Produktionszentren effizient arbeiten und ordnungsgemäß verwaltet werden. Es ist daher erforderlich, Produktionsüberwachungstools wie Openview von HP, IBMs Tivoli usw. zu implementieren. Es gibt auch ein Open Source-Produktionsmanagementsystem wie Nagios. Dies sind echte Informationssysteme für den Betrieb.

Um ein Betriebsaudit durchzuführen, stützen wir uns auf Kenntnisse über bewährte Verfahren in diesem Bereich, wie z.

• die Klarheit der Organisation der Funktion, insbesondere die Aufteilung in Teams, die Definition von Verantwortlichkeiten usw.
• das Vorhandensein eines Informationssystems für den Betrieb, insbesondere zur Überwachung des Vorfallmanagements, des Ressourcenmanagements, der Arbeitsplanung, der Betriebsabläufe usw.
• Messung der Effizienz und Qualität der vom IT-Betrieb erbrachten Dienstleistungen.

Es gibt viele andere Best Practices für den IT-Betrieb. Um diese Prüfung durchzuführen, werden wir uns auf diese bewährten Verfahren stützen, um eine bestimmte Anzahl von Kontrollzielen zu ermitteln, wie z.

• die Qualität der Produktionsplanung,
• Ressourcenmanagement mit Lastmesswerkzeugen, Simulationen, Leistungsüberwachung usw.
• das Vorhandensein von Verfahren, die es dem Betrieb ermöglichen, in einem verschlechterten Modus zu arbeiten, um die vollständige oder teilweise Nichtverfügbarkeit des zentralen Standorts oder des Netzwerks zu bewältigen;
• das Management von Vorfällen, um sie zu identifizieren und gegebenenfalls deren Wiederholung zu verhindern,
• die Sicherheit und Kontinuität der Serviceverfahren, die in einen Sicherungsplan umgesetzt werden müssen;
• Kontrolle der Produktionskosten dank Kostenrechnung, die die Berechnung der Gesamtkosten der angebotenen Produkte oder Dienstleistungen ermöglicht.

Diese unterschiedlichen Steuerungsziele entsprechen dem Prozess DS 1, DS 3, DS 6, DS 12 und DS 13 von CobiT: DS 1 "Service Level definieren und verwalten", DS 3 "Leistung und Kapazität verwalten", DS 6 "Identifizieren und Laden Kosten ", DS 12" Verwalten der physischen Umgebung ", DS 13" Verwalten von Vorgängen ".

Prüfung von IT-Projekten

Das Audit von IT-Projekten ist ein Audit, dessen Ziel es ist, sicherzustellen, dass es normal abläuft und dass die Abfolge der Vorgänge logisch und effizient erfolgt, sodass gute Chancen bestehen, das Ende der Entwicklungsphase für eine Anwendung zu erreichen das wird effizient und betriebsbereit sein. Wie wir sehen können, ist eine Prüfung eines IT-Projekts nicht mit einer Prüfung von IT-Studien zu verwechseln.

Um ein Audit eines IT-Projekts durchführen zu können, stützen wir uns auf das Wissen über bekannte bewährte Verfahren in diesem Bereich. Sie sind zahlreich und allen Projektmanagern und allgemein allen betroffenen Fachleuten bekannt. Unter diesen können wir zitieren:

• die Existenz einer Projektmanagement-Methodik,
• Projektmanagement in Stufen unabhängig vom Projektmanagementmodell: Kaskade, V, W oder Spirale (iterativer Prozess),
• Respekt für die Phasen und Phasen des Projekts,
• das Management der Entwicklung und insbesondere die jeweiligen Rollen des Projektmanagers und des Lenkungsausschusses,
• die Einhaltung der allgemeinen Unternehmensziele durch das Projekt,
• die Erstellung eines Rahmens, eines Projektmanagementplans oder eines Qualitätsmanagementplans;
• die Qualität und Vollständigkeit der vorgelagerten Studien: Machbarkeitsstudie und Funktionsanalyse,
• die Bedeutung von Tests, insbesondere von Tests, die von Benutzern durchgeführt werden.

Es gibt viele andere bewährte Verfahren für das Projektmanagement. Um ein Audit eines IT-Projekts durchzuführen, stützen wir uns auf eine bestimmte Anzahl von Kontrollzielen wie:

• die Klarheit und Effizienz des Entwicklungsprozesses,
• das Vorhandensein von Verfahren, Methoden und Standards, die Entwicklern und Benutzern klare Anweisungen geben,
• Überprüfung der wirksamen Anwendung der Methodik,
• Die Validierung des Funktionsumfangs muss früh genug im Entwicklungsprozess erfolgen.
• Projektrisikomanagement. Eine Risikobewertung sollte in Schlüsselphasen des Projekts durchgeführt werden.

Es gibt viele andere mögliche Kontrollziele in Bezug auf das IT-Projekt-Audit, die basierend auf den Bedenken und Erwartungen des Audit-Antragstellers ausgewählt werden.

Diese unterschiedlichen Steuerungsziele entsprechen den Prozessen PO 10, AI 1 und AI 2 von CobiT: PO 10 "Projekt verwalten", aber auch AI 1 "IT-Lösungen finden" und AI 2 "Anwendungen erfassen und deren Wartung sicherstellen".

Prüfung betrieblicher Anwendungen

Bei den vorherigen Audits handelt es sich um IT-Audits, während das Audit betrieblicher Anwendungen einen größeren Bereich abdeckt und sich mit dem Informationssystem des Unternehmens befasst. Dies sind Audits des Informationssystems. Dies kann die Prüfung des Buchhaltungsantrags, die Gehaltsabrechnung, die Rechnungsstellung usw. sein. Aber immer öfter interessieren wir uns für die Prüfung eines globalen Prozesses des Unternehmens wie Verkauf, Produktion, Einkauf, Logistik, ...

Es ist ratsam, eine Verwaltungsanwendung alle zwei oder drei Jahre zu prüfen, um sicherzustellen, dass sie ordnungsgemäß funktioniert, und um gegebenenfalls die gewünschten Verbesserungen an dieser Anwendung oder an diesem Prozess vornehmen zu können. Insbesondere wird der Abschlussprüfer sicherstellen, dass die internen Kontrollregeln eingehalten und angewendet werden. Insbesondere wird überprüft, ob:

• Die vorhandenen Kontrollen sind betriebsbereit und ausreichend.
• Die durch die Verarbeitungsvorgänge eingegebenen, gespeicherten oder erzeugten Daten sind von guter Qualität.
• Die Behandlungen sind wirksam und liefern die erwarteten Ergebnisse.
• die Anwendung ist korrekt dokumentiert,
• Die im Rahmen des Antrags implementierten Verfahren sind aktuell und angepasst.
• Der Computerbetrieb der Anwendung wird unter guten Bedingungen ausgeführt.
• Die von der Anwendung abgedeckte Funktion oder der Prozess ist effizient und produktiv.
• ...

Der Zweck der Prüfung eines betrieblichen Antrags besteht darin, dem Management eine angemessene Sicherheit für seinen Betrieb zu geben. Diese Kontrollen werden beispielsweise vom Abschlussprüfer im Rahmen seiner rechtlichen Aufgabe zur Beurteilung der Rechnungslegung eines Unternehmens durchgeführt: Ist die verwendete Software sicher, effizient und angemessen?

Um die Prüfung einer betrieblichen Anwendung durchzuführen, verwenden wir die gängigsten Kontrollziele:

• Überprüfung der Übereinstimmung der betrieblichen Anwendung mit der Benutzerdokumentation, den Originalspezifikationen und den aktuellen Benutzeranforderungen;
• Überprüfung der vorhandenen Steuerungssysteme. Die eingegebenen Daten, die gespeicherten Daten, die Ausgaben, die Verarbeitung usw. müssen ausreichend überprüft werden. Der Prüfer muss sicherstellen, dass sie vorhanden sind, und die erwarteten Ergebnisse liefern.
• Die Zuverlässigkeit der Verarbeitungsvorgänge wird bewertet, indem Fehler oder Anomalien analysiert werden, die im Zusammenhang mit aktuellen Vorgängen auftreten. Um weiter zu gehen, muss der Auditor möglicherweise auch Testsätze zusammenstellen, um die Qualität der Behandlungen sicherzustellen. Es ist auch möglich, Analysen zum Inhalt der Hauptdatenbanken durchzuführen, um etwaige Anomalien festzustellen.
• Messung der Anwendungsleistung, um sicherzustellen, dass die Reaktionszeiten auch unter hoher Last zufriedenstellend sind. Der Prüfer wird auch an der Anzahl der Operationen interessiert sein, die das Personal unter normalen Nutzungsbedingungen ausführt.

Sehr oft wird der Prüfer gebeten, die Regelmäßigkeit, Konformität, Produktivität und Nachhaltigkeit der betrieblichen Anwendung zu bewerten. Dies sind heikle Fragen, die das Management dem Abschlussprüfer stellt.

IT-Sicherheitsaudit

Ziel des IT-Sicherheitsaudits ist es, dem Management eine angemessene Sicherheit für das mit IT-Sicherheitslücken verbundene Risiko des Unternehmens zu geben. Beobachtungen zeigen in der Tat, dass die IT häufig ein hohes Risiko für das Unternehmen darstellt. Wir sehen derzeit einen Anstieg dieser Risiken im Zusammenhang mit der Entwicklung des Internets. Sie sind mit der Verbindung von vier Grundbegriffen verbunden:

1. Es bestehen dauerhaft erhebliche Bedrohungen für die IT-Sicherheit des Unternehmens und insbesondere für seine immateriellen Vermögenswerte.
2. Der Risikofaktor ist eine Ursache für die Verwundbarkeit aufgrund einer Schwäche in der Organisation, den Methoden, Techniken oder dem Kontrollsystem.
3. Manifestation des Risikos. Früher oder später manifestiert sich das Risiko. Es kann physisch sein (Feuer, Überschwemmung), aber meistens ist es unsichtbar und führt insbesondere zur Zerstörung von Daten, zur Nichtverfügbarkeit des Dienstes, zur Umleitung des Verkehrs usw.
4. Risikokontrolle. Dies beinhaltet die Umsetzung von Maßnahmen zur Reduzierung des Risikos, insbesondere durch die Stärkung der Zugriffskontrollen, der Benutzerauthentifizierung usw.

Um ein IT-Sicherheitsaudit durchzuführen, müssen einige Kontrollziele zugrunde gelegt werden. Die häufigsten sind:

• Identifizieren Sie die Informationsressourcen des Unternehmens. Dies sind Computerhardware, -software und -datenbanken. Es ist daher notwendig, wirksame und angemessene Managementverfahren zu haben.
• Identifizieren Sie die Risiken. Es müssen geeignete Managementmechanismen zur Überwachung von Risikobereichen vorhanden sein. Diese Überwachung muss von einem CISO, einem IT-Sicherheitsmanager, sichergestellt werden.
• Bedrohungen bewerten. Der CISO ist dafür verantwortlich, die Hauptrisiken zu identifizieren, die mit den verschiedenen Bereichen des Informationssystems verbunden sind. Ein Dokument muss die Hauptbedrohungen identifizieren.
• Messen Sie die Auswirkungen. Der CISO muss die mit dem Informationssystem verbundenen Risiken abbilden. Es ist dann möglich, Aggressionsszenarien zu konstruieren und die Schwachstellen zu bewerten.
• Definieren Sie die Paraden. Um das Risiko zu verringern, müssen Geräte wie Zugriffskontrollen, Datenverschlüsselung, Sicherungsplan usw. bereitgestellt werden.

Es gibt viele andere Kontrollziele in Bezug auf die Prüfung der IT-Sicherheit, die auf der Grundlage der Bedenken und Erwartungen des Prüfanforderers ausgewählt werden.

Diese unterschiedlichen Kontrollziele entsprechen den CobiT DS 5- Prozessen : „Gewährleistung der Sicherheit von Systemen“ und PO 9 „Bewertung und Management von Risiken“. Es gibt einen spezifischen Verweis auf die IT-Sicherheit: ISO 27002 . Es handelt sich um einen Best-Practice-Kodex für die Verwaltung der Sicherheit von Informationssystemen. Es wird durch die Norm ISO 27001 zur Implementierung eines Informationssicherheits-Managementsystems ergänzt .

Siehe Sicherheitsüberprüfung

IT-Audit-Prozess

Eine IT-Audit-Mission wird vorbereitet. Ein Untersuchungsgebiet sollte festgelegt werden, um das Untersuchungsgebiet abzugrenzen. In diesem Sinne ist es ratsam, eine Vordiagnose durchzuführen, um die Fragen zu spezifizieren, mit denen sich das Audit befassen wird. Dies führt zur Erstellung eines Auftragsschreibens, in dem die wichtigsten zu prüfenden Punkte aufgeführt sind.

Zur Durchführung des IT-Audits wird empfohlen, die folgenden sechs Schritte auszuführen:

1. die Erstellung des Verlobungsschreibens. Dieses Dokument wird vom Prüfungsanforderer erstellt und unterzeichnet und ermöglicht die Beauftragung des Abschlussprüfers. Es wird verwendet, um die Liste der Fragen zu identifizieren, die vom Prüfungsanforderer gestellt werden. Sehr oft nimmt der Abschlussprüfer an seiner Abfassung teil.
2. Die Planung der Mission ermöglicht es, den detaillierten Ansatz zu definieren, der verfolgt wird. Dies führt zu einem Prüfungsplan oder einem kommerziellen Vorschlag. Dieses Dokument wurde vom Prüfer erstellt und muss vom Prüfer validiert werden. Sobald der Konsens erreicht ist, ist es möglich, mit dem dritten Schritt fortzufahren:
3. Sammeln von Fakten, Durchführen von Tests usw. Bei den meisten Audits ist dies ein wichtiger Teil der von den Auditoren durchgeführten Arbeit. Es ist wichtig, eine bestimmte Anzahl unbestreitbarer Tatsachen identifizieren zu können.
4. Interviews mit geprüften Stellen ermöglichen es, die gesammelten Fakten durch die Berücksichtigung der Informationen des Betriebspersonals zu ergänzen. Dieser Schritt kann schwierig und kompliziert sein. Oft ähneln die vom operativen Personal gesammelten Informationen eher Meinungen als einem Beitrag zu den gesuchten Fakten.
5. Die Ausarbeitung des Prüfungsberichts ist ein langer Prozess, der es ermöglicht, die vom Abschlussprüfer gemachten Feststellungen und die von ihm vorgeschlagenen Empfehlungen hervorzuheben.
6. die Präsentation und Diskussion des Prüfungsberichts an den Prüfungsanforderer, an das Management des Unternehmens oder an das Management der IT-Funktion.

Es kann vorkommen, dass der Prüfer nach dem Prüfungsauftrag aufgefordert wird, den Aktionsplan aufzustellen und möglicherweise eine Weiterverfolgung der Empfehlungen durchzuführen.

Die Nichteinhaltung dieses Ansatzes kann zu einer schlechten Implementierung und Implementierung von Tools führen, die nicht den tatsächlichen Anforderungen des Unternehmens entsprechen.

Dieser Prozess ist für den Prüfer von wesentlicher Bedeutung, da er ihm grundlegende Elemente für den Fortschritt seiner Mission liefert, für die Organisation jedoch noch vorteilhafter ist. In der Tat sind die geprüften Akteure nicht passiv. Sie werden ermutigt, über ihre Arbeitsmethoden nachzudenken und sich für die Arbeit anderer Akteure in der Einheit zu interessieren. Dies führt zu Teamzusammenhalt und organisatorischem Lernen . Dies ist ein positiver Faktor, da die Akteure im Falle eines Wandels weniger zurückhaltend sind.

IT-Audit-Repositorys

Es gibt verschiedene Repositorys wie:

• CobiT  : Kontrollziele für Information und verwandte Technologie. Es ist das Haupt-Repository für IT-Auditoren.
• Val IT ermöglicht es, die Wertschöpfung nach Projekt oder Projektportfolio zu bewerten.
• Die Risiko-IT zielt darauf ab, die Kontrolle der IT-Risiken zu verbessern (siehe Seite in englischer Risiko-IT ).
• CobiT- und Anwendungssteuerung .

Die ISACA (Information Systems Audit and Control Association) ist die internationale Vereinigung von IT-Prüfern (einschließlich ihrer Normungs- und Wissenszentrale ), und die FAFIA (Französische Vereinigung für Wirtschaftsprüfung und IT-Beratung), das französische Kapitel der ISACA, bietet zahlreiche Unterstützung .

Wir können aber auch andere Repositorys verwenden, z.

• ISO 27002 , ein Code für Best Practices im Sicherheitsmanagement von Informationssystemen,
• CMMi  : Integration des Capability Maturity Model, ein Prozess zur Bewertung der Qualität des IT-Projektmanagements,
• ITIL ist eine Sammlung bewährter Verfahren in Bezug auf das Niveau und die Unterstützung von IT-Diensten.

Zertifizierung von IT-Auditoren

Man könnte sich eine Zertifizierung von IT-Abteilungen oder IT-Anwendungen vorstellen. Es gibt keine solche Sache. Zum anderen gibt es eine Zertifizierung der Qualität von IT-Projekten: CMMI . In Bezug auf die vom Betrieb erbrachte Servicequalität gibt es eine Zertifizierung nach der Norm ISO 20000, die eine Teilmenge von ITIL ist.

Auf der anderen Seite gibt es ein Zertifizierungsverfahren für Outsourcer: SAS 70, Statement on Auditing Standards Nr. 70. Dieser Standard wurde vom American Institute of Certified Public Accountants (AICPA) erstellt, um zu vermeiden, dass diese Organisationen nacheinander mehrere IT-Audits zu verwandten Themen durchführen müssen. Hierbei handelt es sich um Audits, die von Dritten durchgeführt werden und sicherstellen, dass die implementierten Prozesse die erwartete Servicequalität bieten.

SAS 70 wurde inzwischen durch ISAE 3402 (International Standards for Assurance Engagement) ersetzt, das am in Kraft trat15. Juni 2011. Es ist eine Erweiterung von SAS 70, die die Standards definiert, denen ein Prüfer folgen muss, um die vertraglichen internen Kontrollen einer Serviceorganisation zu bewerten.

In Bezug auf IT-Audits sind IT-Auditoren zertifiziert. Die Benchmark-Zertifizierung ist der CISA, Certified Information Systems Auditor. Es ist eine internationale professionelle Zertifizierung. Es wird seit 1978 von ISACA organisiert. Es befindet sich seit 1989 in Frankreich. Bis heute haben weltweit 75.000 Menschen ein KISA, davon mehr als 1.000 in Frankreich. Die Prüfung kann dreimal im Jahr abgelegt werden: im Juni, September und Dezember in 11 verschiedenen Sprachen und in 200 Städten auf der ganzen Welt. 200 Multiple-Choice-Fragen zu Auditing und IT müssen innerhalb von 4 Stunden beantwortet werden. Die Prüfung umfasst 6 Bereiche:

1. Prüfungsprozesse für Informationssysteme,
2. IT-Governance,
3. Lebenszyklusmanagement von Systemen und Infrastruktur,
4. die Bereitstellung und Unterstützung von Dienstleistungen,
5. Schutz von IT-Ressourcen,
6. den Kontinuitätsplan und den IT-Sicherungsplan

Seit 2003 gibt es auch eine zweite Zertifizierung für Benchmark-IT-Auditoren. Es handelt sich um eine professionelle Zertifizierung für Informationssicherheitsmanager: den CISM (Certified Information Security Manager), der ebenfalls von ISACA ausgestellt wurde .

Das Zertifizierungsprogramm besteht aus 5 Kapiteln zur Informationssicherheit:

1. Governance der Informationssicherheit
2. Informationsrisikomanagement
3. Die Implementierung eines Informationssicherheitsprogramms
4. Verwalten eines Informationssicherheitsprogramms
5. Management von Informationssicherheitsvorfällen.

Zu diesen von ISACA angebotenen Zertifizierungen können weitere Zertifizierungen hinzugefügt werden, insbesondere das CISSP für IT-Sicherheit, die ISO27001- Zertifizierung für leitende Auditoren , die Zertifizierungen für ITIL, Prince2 , CobIT usw. Wenn Sie das CISA erhalten, können Sie von einem Modul der CIA-Zertifizierung des Instituts für Interne Prüfer (IIA) profitieren , das in Frankreich von der IFACI verwaltet wird .

Anmerkungen und Referenzen

• (de) Wie können IT-Risiken effektiv verwaltet werden? , von Marc Barbezat, eine Mindmap der wichtigsten IT-Audit-Repositorys mit einer kurzen Beschreibung für jedes dieser Repositorys und direkten Links zur Quelle.

Siehe auch

Zum Thema passende Artikel

• Französische Vereinigung für IT-Prüfung und -Beratung (AFAI)
• ISACA
• COBIT
• Governance der Informationstechnologie
• Sicherheitsaudit
• Code-Audit
• Verwaltung von Informationssystemen
• Managementsystem für Informationssicherheit
• ISAE 3402
• CISSP

Externe Links

• Französische Vereinigung für Wirtschaftsprüfung und IT-Beratung (AFAI)
• Audit & Control Association für Informationssysteme (ISACA)

Literaturverzeichnis

• CobiT Version 4.1: Kontrollziele für Information und verwandte Technologie, französische Ausgabe von AFAI ( ISBN  2-915007-09-8 )
• Leitfaden zur Prüfung von Informationssystemen, französische Ausgabe von AFAI
• CISA-Vorbereitungshandbuch, allgemein als CISA-Überprüfungshandbuch bezeichnet. Es ist in mehreren Sprachen veröffentlicht. Es gibt eine französische Version, ISACA,
• Kontrolle und Prüfung der Informationstechnologie durch Gallegos, Manson und Allen-Senft, ISACA