IT General kontroller eller ITGC, er kontrollene i stedet for et IT-system å sikre at IT-systemer er riktig tilgang til og klart. ITGCs tillate oss å plassere avhengighet av produksjonen av systemer. ITGC tilsyn gjennom vanligvis kontrollene i stedet for IT-systemer som har en innvirkning på regnskapsoppgjør. Så hva gjør en god generell IT-kontroll?
Nedenfor vi dele noen av sidene vi tror gjør for en god ITGC.
Dokumentert - kontrollen må dokumenteres i en politikk eller prosedyre dokumentet, som er utgitt og tilgjengelig for personer som det gjelder. Hvis folk ikke vet om kontrollen eller kan ikke referere til det, vil de ikke følge eller implementere det!
Formelt definert - en ITGC bør være formelt definert og har ledelse buy-in til sikre at kontrollen er riktig, effektiv og gjennomførbar. Hvis kontrollen er ikke godt definert, og har ikke management backing, sannsynligvis kontrollen mislykkes, og vil i stor grad øke risikoen for at en trussel vil innse.
Dokumentert - en kontroll som er implementert, og opererer effektivt skal spores og dokumentert for å vise at kontrollen er effektiv. Dette vil hjelpe når kontrollen er revidert av enten interne revisorer eller eksterne revisorer og forhåpentligvis redusere noen tilsynet funn!
Effektiv - kontrollen skal være operative og effektive! Dette virker veldig opplagt (og det er), men ofte organisasjoner implementere kontroller bare for skyld implementere kontroller eller en kontroll som brukes til å være effektive ikke er effektiv mer grunn til å endre i miljøet. Ineffektiv kontroller er bare en stor belastning på organisasjonens ressurser og serverer ingen fordel til organisasjonen (penger i avløpet og det er ingen belønning).
Målt - for å kunne spore effektiviteten til en kontroll, bør det være målbare. Dette er ikke alltid lett for noen av kontrollene som ikke alle kontroller utdata kan være oppgitt numerisk. Vi vil anbefale måle testing av drift effektivitet med jevne mellomrom (daglig/ukentlig/månedlig), hvor vellykket testing av kontrollen hver periode skulle tilsi effektiviteten for slike kontroller.
Anmeldt - må alle kontroller gjennomgås regelmessig for å sikre at kontrollene er fortsatt fungerer effektivt, og for å identifisere potensielle forbedringer. Dette vil være den "Sjekk"-delen av planen, Do, sjekk og Act (PDCA) syklusen beskrevet av ISO 27001.
Revidert - uavhengige revisorer bør kontrollere kontroller definert for å gi sikkerhet for at kontrollene er definert, implementert og fungerer effektivt. Dette vil gi management forsikring om at kontroll miljøet er hensiktsmessig, implementert som designet og opererer effektivt.
Så i konklusjon, håper vi denne artikkelen gir deg noen mat for tanken om kontrollene du har i stedet for ditt system, og om de er passende og effektiv.