専門的なIT監査手順の実行

あなたの質問に対する伝統的な答えは、-監査会社に就職することです。ジュニアポジションになりますが、そのようにして貿易を学びます。 Roryが述べたようなワークプランにアクセスできますが、さらに重要なことに、実際の監査状況にそれらを適用した経験を得ることができます。

私は優れた監査人と出会い、貧しい監査人と出会いました。優れた監査とは、適切なソフトウェア、ジャーナル、またはテンプレートを持つことだけではありません。私はあなたのマスターが何であるか知りませんが、監査で現場にいる準備ができていない可能性があります。クライアントの前にいて、質問をし、時々持っていることさえ知らない答えを掘り起こす。 （あなたは、私が知っているすべてに関連するかもしれないあなたの仕事の経験について言及していません）。

私の.02cだけです。幸運を！

実践的なIT監査人として、経験からの回答を提供しましょう。説明する前に、あなたのアプローチは根本的に質問の本文で尋ねた質問に欠陥があることを言いたいと思います。

必要なソフトウェアツール

この形態の考え方は誤っています。専門的な監査を実行する最初のステップは、クライアントの情報を計画および収集することです。取得する重要な情報には、次のものが含まれますが、これらに限定されません。

1. 監査の目的-どの手順/プロセス/基準が評価されていますか？
2. 監査のスコープとは何ですか-監査は何をカバーしますか？
3. 最後の監査が行われてからのビジネス内の重要な変更
4. これらの過去の監査の所見-この監査が最初ではないと想定

上記から、監査人はリスク評価を実施し、最終的な目標は、監査リスク全体のレベルを確立することです。まず、IT監査人はビジネス/制御環境について理解し、以下の質問に答えます-被監査者に依存するわけではありません。

1. 現在どのようなプロセスがあり、どのように機能していますか？
2. 管理者が意図したとおりにITプロセスがビジネスで機能することを保証するために、管理者はどのような制御を設定していますか
3. リスクと法的規制/企業ポリシーの遵守に関して、「トップチューン」とは何ですか？

監査人がこの段階で使用する手法には、プロセスのウォークスルー、管理と観察の調査が含まれます。ビジネスと現在の統制を理解することで、監査人は総リスクを定量化します。総リスクの構成要素には次のものがあります。

• 固有のリスク-ビジネス固有の性質によるエラーの可能性

• 統制リスク-内部統制の不備によるエラー/詐欺

• 検出リスク-エラー/異常/不正を検出するために監査で使用されるツールが原因で、エラー/異常/不正が検出されないリスク。

上記のすべての手順が完了した後にのみ、監査人は監査を完了するために使用される特定の手法とツールについて考え始めます。最初のリスク評価によっては、一部のツール/手法が不要であるか不適切である場合があります。

上記の分析を行わずに、どのツールを使用するかを回答することはできません デュードケア または エンゲージメント計画の基準 ISACAによって与えられます。 1

監査人は、文書の検査、管理者への問い合わせ、行われた作業の独立した検証（再実行）を通じて証拠を収集することにより、監査を実行します。実施されたすべてのテストと発見された所見/観察結果は、監査意見の根拠として使用するために、ドキュメントが細心の注意を払って保管されています。

監査の完了後、監査人は会社の経営陣と面談し、結果の理解を検証し、次の監査業務中に発見された事項のフォローアップテストを計画します。

PTES-ペネトレーションテスト実行標準サイト- http://www.pentest-standard.org/index.php/Main_Page をご覧ください。

少しずつ記入していきますが、非常に役立つ情報がたくさんあります。

オープンソースセキュリティテスト方法論のマニュアルもご覧ください- http://www.isecom.org/osstmm/