IT audit

IT Audit วันที่ 21 กันยายน 2551 โดย ประทักษ์ วงศ์สินคงมั่น page 1 NEED 1. ORGANIZATIONAL COSTS OF DATA LOSS 2. INCORRECT DECISION MAKING 3. COMPUTER ABUSE 4. VALUE OF COMPUTER H/W, S/W, AND PERSONNEL 5. HIGH COSTS OF COMPUTER ERROR 6. PRIVACY page 2 New Technologies  Internet and intranet  E-commerce  Mobile computing  Workflow technology  Knowledge systems, etc. page 3 More Concern IT has become of critical importance to the survival and long-term success of any organization because The increasing dependence on information and the associated systems that deliver the information. The cost and size of future use of IT. The increasing potential from threats. The potential for technology to revolutionize organizations and their business practices crate new business opportunities. Laws and Regulations page 4      IT Control  ระบบสารสนเทศที่พัฒนาขึนมานั้นจาเป็นต้องมีการควบคุมและตรวจสอบ ้ อย่างใกล้ชิดและรัดกุมมากขึน ตั้งแต่ขั้นตอนก่อนการพัฒนาระบบ ขั้นตอน ้ ระหว่างที่พัฒนาระบบและขั้นตอนหลังจากที่ระบบได้รับการพัฒนาเสร็จ เรียบร้อยแล้วและนาไปใช้งาน  การควบคุมระบบสารสนเทศ เป็นวิธีการที่ใช้สาหรับป้องกัน ค้นหา และแก้ไข เหตุการณ์ที่เกิดขึ้นจากข้อผิดพลาดหรือเหตุผิดปกติอันเกิดขึ้นจากส่วนประกอบต่าง ๆ ของระบบสารสนเทศ เพื่อให้องค์การมีระบบการควบคุมภายในที่ดีตั้งแต่เริ่มต้น จึง ควรกาหนดการควบคุมระบบสารสนเทศไว้ในทุกขั้นตอนตั้งแต่เริ่มนาข้อมูลเข้าสู่ ระบบคอมพิวเตอร์ ระบบทาการประมวลผลข้อมูล จนกระทั่งระบบแสดงผลลัพธ์ ออกมา page 5 Area related to Controls APPLICATION SYSTEMS DEVELOPMENT IT Control OBJECTIVES COMPUTER SERVICE CENTER COMPUTER APPLICATION SYSTEMS page 6 การจัดมาตรฐานการควบคุมภายในด้านระบบสารสนเทศ (Information System Internal Controls) โดยแบ่ง ออกเป็น 2 ลักษณะใหญ่ ๆ คือ (General Control)‫‏‬ 2.2 การควบคุมภายในระบบงาน (Application Control)‫‏‬  2.1 การควบคุมภายในทัวไป ่ page 7 2.1 การควบคุมภายในทัวไป (General Controls)‫‏‬ ่ การควบคุมภายในทั่วไป เป็นมาตรฐานการควบคุมที่ไม่อิงเฉพาะระบบงานใดระบบงาน หนึ่ง แต่จะเป็นการควบคุมที่อาศัย นโยบาย ระเบียบหรือ กฎเกณฑ์ การกาหนดขั้นตอนการ ปฏิบัติงาน (Policy, Regulation & Procedure) เป็นหลักในการควบคุมกิจกรรมของงานที่มี ความสัมพันธ์กับองค์ประกอบของการประมวลผลข้อมูล ซึ่งรับผิดชอบโดยตรงโดย หน่วยงานคอมพิวเตอร์ ทั้งนี้การควบคุมภายในทั่วไปประกอบด้วย 1) การควบคุมภายในของการพัฒนาระบบงาน (Application System Development Control)‫‏‬ 2) การควบคุมภายในของการดาเนินงานของศูนย์คอมพิวเตอร์ (Computer Service Center Control)‫‏‬ page 8 2.2 การควบคุมระบบสารสนเทศ (Application Control)‫‏‬ หมายถึง การควบคุมโดยตรงในแต่ละระบบงาน เพื่อสร้างความมั่นใจว่าทุกรายการได้รับการบันทึก ข้อมูลนาเข้า ได้รับการอนุมัติ และได้รับการประมวลผล อย่างถูกต้อง ภายในระยะเวลาที่เหมาะสม และมีการ ป้องกันดูแลรักษาผลลัพธ์และแฟ้มข้อมูลที่ได้ รวมทั้ง ลดความสูญเสียที่อาจเกิดขึ้นจากการใช้ page 9 องค์ประกอบ - Key components of Application Controls ACCESS INPUT Manual input PROCESS Process Control OUTPUT Disk file Form Disk file Report page 10 Control Frameworks page 11 Control Framework Governance Governance Layer Management Layer COSO COBIT Layer IT ITIL CMM/CMMI page 12 IT ISO 17799 Control Frameworks COSO Committee of Sponsoring Organisation of the Treadway Commission (Internal ControlIntegrated Framework 1992)‫‏‬ COBIT Control Objectives for Information and related Technology (IT Governance framework) by IT Governance Institute ITIL The UK Office of Government commerce (OGC) IT Infrastructure Library; a set of guides on the management and provision of Operational IT services page 13 Control Frameworks ISO 17799 An international standard that defines information confidentiality, integrity and availability controls CMM/CMMI Capability Maturity Model. A model used by many organizations to identify good practices useful in helping them assess and increase the maturity of their software development processes page 14 September 16, 2008 page 15 วัตถุประสงค์ของธุรกิจ การกากับดูแลที่ดีด้านเทคโนโลยีสารสนเทศ COBIT วัตถุประสงค์ด้านสารสนเทศ ประสิทธิภาพ ประสิทธิผล การรักษาความลับ ความถูกต้องครบถ้วน สภาพพร้อมใช้งาน การปฏิบัติตาม ความเชื่อถือได้ การเฝ้าติดตาม การวางแผนและการจัดองค์การ ทรัพยากรด้านเทคโนโลยีสารสนเทศ บุคลากร ระบบงานประยุกต์ เทคโนโลยี สิ่งอานวยความสะดวก การส่งมอบและการสนับสนุน ข้อมูล page 16 การจัดหาและการนาระบบออกใช้งานจริง page 17 CobiT Cube IT Processes : Domains, Processes, Activities IT resources : Infrastructure, Applications, Information, People Information Criteria : Business requirements of information: Quality : Effectiveness, Efficiency Fiduciary : Compliance, Reliability Security : C I A page 18 Business Requirements = Information Criteria effectiveness – ประสิทธิผล สารสนเทศในกระบวนการทางธุรกิจที่ได้รับมา อย่างถูกต้อง ตรงเวลา และเชื่อถือได้ efficiency – ประสิทธิภาพ การใช้ทรัพยากรอย่างคุ้มค่า confidentiality – ความลับ การป้องกันสารสนเทศที่สาคัญไม่ให้เปิดเผยโดย ผู้ที่ไม่มีอานาจหน้าที่ integrity – ความถูกต้องเชื่อถือได้ มีสารสนเทศที่ครบถ้วนโดยมีการสอบทานให้ สอดคล้องกันความต้องการขององค์กร availability – ความพร้อม ความพร้อม เกี่ยวกับสารสนเทศที่มีพร้อมเมื่อ ธุรกิจต้องการ และรวมถึงการรักษาความปลอดภัยของทรัพย์สิน compliance – การกากับ เกี่ยวกับการปฏิบัติให้ตรงตาม กฏ, ระเบียบ และ สัญญา reliability of information - ความเชื่อมั่นในสารสนเทศ เกี่ยวข้องกับ ระบบที่ให้สารสนเทศที่เหมาะสมต่อการใช้งาน page 19 IT Domains & Processes Domains Natural grouping of processes, often matching an organisational domain of responsibility. A series of joined activities with natural (control) breaks. Actions needed to achieve a measurable result. Activities have a life-cycle whereas tasks are discreet. Processes Activities page 20 page 21 page 22 page 23 page 24 Auditor Associations…in Thailand.. ICAAT (The Institute of Certified Accountants and Auditors of Thailand)‫‏‬ www.icaat.or.th สมาคมนักบัญชีและผูสอบบัญชีรับอนุญาตแห่งประเทศไทย ้ IIAT (The Institute of Internal Auditors of Thailand)‫‏‬ www.theiiat.or.th สมาคมผูตรวจสอบภายในแห่งประเทศไทย (สตท)‫‏‬ ้ ISACA (Information System Audit and Control Association)‫‏‬ www.isaca-bangkok.org สมาคมผูตรวจสอบและควบคุม ้ ระบบ สารสนเทศ ภาคพื้นกรุงเทพ page 25 Certifications (Audit and Security)‫‏‬ CPA CIA CISM Certified Public Accountant Certified Internal Auditor Certified Information Security Manager CISA‫ ‏‏‏‏‬Certified Information System Auditor CGEIT Certified in the Governance of Enterprise IT CISSP Certified Information Systems Security Professional page 26 IT General Controls Audit 27 page 27 Boundaries of Business, General and Application Controls Controls embedded in IT Processes and services 28 page 28 Phrases of An IS Audit Audit Planning 1. 4. Tests of Controls *Substantive Testing 7. Review‫‏‬of‫‏‬Organization’s Policies, Practices, and Structure Perform Tests of Controls Perform Substantive Tests 2. Review General controls and Application Controls 5. 8. Evaluate Test Results Evaluate Results and Issue Auditor’s‫‏‬Report 3. 6. Plan Tests of Controls and Substantive Testing Procedure Determine Degree of Reliance on Controls 9. Audit Report * Substantive testing is the process of obtaining evidence in support of transactions and balances. page 29 Plan 1. Perform a quick risk assessment 2. Assess threat, vulnerability and business impact 3. Diagnose operational and project risk 4. Plan risk-based assurance initiatives 5. Identify critical IT processes based on value drivers 6. Assess process maturity page 30 Scope 1. Scope and plan assurance initiatives 2. Select the control objectives for critical processes 3. Customise control objectives 31 page 31 Execute 1. Refine the understanding of the IT assurance subject 2. Refine the scope of the key control objectives for the IT assurance subject 3. Test the effectiveness of the control design of the key control objectives 4. Test the outcome of the key control objectives 5. Document the impact of control weaknesses 6. Develop and communicate overall conclusion and recommendations page 32 General Controls Reviews       IT Security Policy Users/Passwords Change Management Control Disaster Recovery Physical Management page 33 Technology Reviews  Servers, Networks, VPN, etc.  Requires more expertise  Needs specialists  Rapid, continuous change  Periodic  Hardware Interaction  Processors (mainframes, desktops, laptops)‫‏‬  Input devices (tape, cartridge)‫‏‬  Output devices page 34 Penetration Tests      Highly Specialized Skill-Set Periodic (not one-off)‫‏‬ External: No Knowledge of Network Internal: in Cooperation with Insiders Typically, Outsource page 35 General Controls Operations      Data center operations Scheduling Media management Facilities Production environment page 36 General Controls - Continuity Planning      Proper planning Testing Scenarios Sufficient resources and commitment Human side, responsible persons Media management  inventory processes  onsite/offsite page 37 General Controls -Networking  Basics of Networking topologies protocols  Components  Internal connectivity  Performance page 38 System Development Life Cycle Audit 39 page 39 System Development Life Cycle page 40 Testing Lifecycle Unit Test User Acceptance Test Functional testing System Integration Test Performance test /Stress Test Testing Lifecycle Activities Test Analysis Test Planning Test Execution Test Maintenance  Test Requirements  Application Walkthrough  Gap Analysis    Acceptance Criteria     Test Strategy Tool Selection Test Plan Resource planning Test environment set-up Test case design  Test Cases & Test Script    Test execution Internal Reviews Reporting and Sign-off  Test Cases & Test Script maintenance  Test pack re-engineering Test Execution Manual Semi - Automated page 41 Automated Systems Development Life Cycle (SDLC)‫‏‬        Review Controls During Development Best if Development Standards are Used Needs CONTINUOUS Availability Use Non-IT Auditors or Ex-Developers or Both Need Team Players Typically, Do NOT Outsource Continuous Until Completion 42 page 42 Auditor’s Role in IT Development Projects 1. Safeguard capital investments 1. Proactively recommend internal controls 43 page 43 Auditor’s Role in IT Development Projects 1. Safeguard capital investments Should evaluate controls within the project management processes and proactively make recommendations to mitigate risks that may hinder achieving project objectives and goals. page 44 Auditor’s Role in IT Development Projects 1. Proactively recommend internal controls. Ensure that adequate controls are incorporated during the development phases of business and system processes before they are introduced to the business operation. page 45 Project Structure page 46 Questions? page 47