IT geral controles ou ITGC, estão os controles no lugar de um sistema de TI para se certificar de que os sistemas de TI adequadamente são acessados e gerenciados. Os ITGCs nos permitem depositar confiança na saída dos sistemas. Auditorias ITGC geralmente rever os controles no lugar de sistemas de TI que têm um efeito nas demonstrações financeiras. Assim, o que faz um bom controle geral de IT?
Abaixo, compartilhamos alguns dos aspectos que nós acreditamos que para fazer um bom ITGC.
Documentado - o controle deve ser documentado em um documento de política ou procedimento, que é publicado e disponível para as pessoas a que se aplica. Se as pessoas não conhecem o controle ou não podem fazer referência a ela, eles não seguem ou implementá-lo!
Formalmente definido - An ITGC deve ser formalmente definida e tem buy-in de gestão para assegurar que o controle é adequado, eficaz e aplicável. Se o controle não é bem definido e não tem apoio de gestão, provavelmente o controle irá falhar e o risco de que uma ameaça vai perceber permitirá aumentar significativamente.
Evidenciado - um controle que é implementado e operando eficazmente deve ser controlado e evidenciado para mostrar que o controle é eficaz. Isso vai ajudar quando o controle é auditado por auditores internos ou auditores externos e esperamos reduzir quaisquer resultados de auditoria!
Eficaz - o controle deve ser operacional e eficaz! Isto parece realmente óbvio (e é), mas muitas vezes as organizações implementar controles apenas por uma questão de implementação de controles ou um controle que costumava ser eficaz não é eficaz, mais devido à mudança no ambiente. Controles ineficazes são apenas um sorvedouro de recursos da organização e não serve nenhum benefício para a organização (dinheiro pelo ralo e não há nenhuma recompensa).
Medida - para ser capaz de controlar a eficácia de um controle, devem ser mensurável. Isso nem sempre é fácil para alguns controles como saída de nem todos os controles pode ser indicada numericamente. Para esses controles, recomendamos que o teste de funcionamento eficácia periodicamente (diário/semanal/mensal), onde o teste bem sucedido do controle cada período indicaria a eficácia de medição.
Revista - todos os controles deverão ser revistos periodicamente para assegurar que os controles ainda estão operando efetivamente e identificar potenciais melhorias. Esta será a parte de "Check" do plano, Do, Check e Act (PDCA) ciclo descrito por ISO 27001.
Auditoria - auditores independentes devem auditar controles em uma base definida para garantir que controles são definidos, implementado e operando eficazmente. Isto dará gestão a garantia de que o ambiente de controle é apropriada, implementados como projetado e funcionamento eficaz.
Então Concluindo, esperamos que este artigo fornece-lhe algum alimento para o pensamento sobre os controles que você tem no lugar para o seu sistema e se eles são adequados e eficazes.