Controles generales de ti, o ITGC, son los controles en su lugar para un sistema informático para asegurarse de que los sistemas están apropiadamente acceder y manejados. Los ITGCs permiten asentar la confianza en la salida de sistemas. Auditorías ITGC generalmente revisión los controles en lugar de sistemas informáticos que tienen un efecto en los Estados financieros. Así que, ¿qué hace un buen control general de ti?
A continuación compartimos algunos de los aspectos que creemos hacer para una buena ITGC.
Documentado - el control debe ser documentado en un documento de política o procedimiento, que es publicado y está disponible a las personas a que se aplica. Si la gente no sabe sobre el control o no puede hacer referencia a ella, no siguen o implementarlo!
Define formalmente - ITGC An debe definirse formalmente y tienen management buy-in para asegurar que el control es adecuado, eficaz y exigible. Si el control no está bien definido y no tiene el respaldo de la gestión, probablemente fallará el control y el riesgo de que se den cuenta de una amenaza aumentarán en gran medida.
Evidencia - un control que implementa y opera eficazmente debe ser rastreado y evidencia para mostrar que el control es efectivo. Esto ayudará cuando el control está auditado por auditores externos o auditores internos y esperamos reducir cualquier hallazgo de auditoría!
Eficaz - el control debe ser operativo y eficaz! Esto parece muy obvio (y es), pero a menudo las organizaciones implementar controles sólo por el hecho de implementar controles o un control que solía ser eficaz no es eficaz más debido al cambio en el medio ambiente. Controles ineficaces son sólo un consumo de recursos de la organización y no sirve ningún beneficio a la organización (dinero por el desagüe y no hay ninguna recompensa).
Medida - para ser capaces de rastrear la eficacia de un control, deben ser medible. Esto no siempre es fácil para algunos controles como salida no todos los controles puede ser indicado numéricamente. Para dichos controles se recomienda medir las pruebas de funcionamiento de efectividad en forma periódica (diario/semanal/mensual), donde la exitosa prueba del control de cada período indicaría efectividad.
Ha comentado el - todos los controles deben revisarse regularmente para asegurar que los controles siguen funcionando con eficacia e identificar mejoras potenciales. Se trata de la parte de "Verificación" del ciclo de Plan,, Check y Act (PDCA) según ISO 27001.
Auditado - auditores independientes deben auditar controles sobre una base definida para garantizar que los controles se definen, implementación y funcionamiento con eficacia. Esto le dará gestión la garantía de que el ambiente de control es adecuado, implementado conforme a su diseño y funcionamiento eficaz.
Así que en conclusión, esperamos que este artículo le ofrece algunas reflexiones sobre los controles que tiene en el lugar para su sistema y sean apropiados y eficaz.