Generella IT-kontroller, eller ITGC, är kontrollerna på plats för ett IT-system att se till att IT-systemen hämtas och förvaltas på lämpligt sätt. ITGCs tillåter oss att placera beroende av produktionen av system. ITGC revision granska oftast kontrollerna på plats för IT-system som har en inverkan på finansiella rapporter. Så vad gör en god allmän IT-kontroll?
Nedan delar vi några av aspekterna vi anser gör för en bra ITGC.
Dokumenterade - kontrollen måste dokumenteras i en princip eller något tillvägagångssätt dokument, som är publicerad och tillgänglig för de personer som det gäller. Om folk inte vet om kontrollen eller kan inte referera till det, kommer de inte följa eller genomföra den!
Formellt fastställda - en ITGC bör definieras formellt och har management buy-in till säkerställa kontrollen är lämplig, effektiv och genomförbar. Om kontrollen inte är väldefinierade och har inte hantering av bakningen, förmodligen kontrollen misslyckas och risken för att ett hot kommer inse kommer att öka kraftigt.
Framgår - en kontroll som genomförs och fungerar effektivt bör spåras och framgår visar att kontrollen är effektiv. Detta kommer att hjälpa när kontrollen granskas av antingen interna revisorer eller externa revisorer och förhoppningsvis minska någon granskningsresultat!
Effektiv - kontrollen bör vara fungerande och effektiv! Detta verkar verkligen uppenbart (och är), men ofta organisationer genomföra kontroller bara för att genomföra kontroller eller en kontroll som används för att vara effektiv inte är effektiv någon mer på grund av att ändra i miljön. Ineffektiva kontrollerna är bara ett avlopp på organisationens resurser och serverar ingen nytta för organisationen (pengar ner i avloppet och det finns ingen belöning).
Mätt - för att kunna följa upp effektiviteten i en kontroll, bör det vara mätbart. Detta är inte alltid lätt för vissa kontroller som inte alla kontroller utdata kan anges numeriskt. För sådana kontroller rekommenderar vi skulle mäta testning av operativa effektivitet regelbundet (dag/vecka/månad), där den framgångsrika tester av kontrollen varje period skulle ange effektivitet.
Över - måste alla kontroller ses över regelbundet så att kontrollerna fortfarande fungerar effektivt och att identifiera möjliga förbättringar. Detta kommer att vara den "Check" delen av Plan, Do, kontrollera och agera (PDCA) cykel beskrivs av ISO 27001.
Revision - oberoende revisorer ska granska kontroller på definierade basis för att ge garantier för att kontroller definieras, genomförs och fungera effektivt. Detta ger förvaltningen försäkran att kontrollmiljön är lämpligt, genomförs som utformad och fungerar effektivt.
Så Sammanfattningsvis, hoppas vi att denna artikel ger dig några tankeställare om kontrollerna du har för ditt system och oavsett om de är lämpliga och effektiva.