|
Er reglerne gode nok, og
efterleves de i praksis? IT-review tager udgangspunkt i
eksterne kontrolmål som ISA-400/401, COBIT og evt. SOx 404, mens
Compliance test er en test af, hvorvidt virksomhedens egne
regler og politikker efterleves og fungerer i praksis (f.eks.
hacker-test, test af antivirusforsvar mv.). Tests laves adhoc
eller periodisk, og bruges til sparring - og som dokumentation
overfor revisionen.
Grundlæggende undersøges
designets tilstrækkelighed og implementeringens effektivitet:
-
Planlagt
kontrolniveau: Det forudsættes, at den oplyste
sikkerhedspolitik, forretningsgange og regler for opsætning og
administration er implementeret som oplyst. Tilstrækkeligheden
af kontrollerne vurderes i forhold til de eksterne kontrolmål
samt de risici, som virksomheden selv har identificeret som
væsentlige.
-
Realiseret
kontrolniveau: Den faktiske opsætning og administration
gennemgås og vurderes mht. effektivitet og
tilstrækkelighed, i forhold til risiko/konsekvens, virksomhedens
politikker og best practice.
Undersøgelsen
gennemføres typisk stikprøvevist for nøglepersoner, systemer og
processer. Der redegøres for observationer og for risikoen herved,
og fremsættes forslag til, hvordan politikker og/eller opsætning
og administration kan ændres, således at risikoen reduceres.
Observationer verificeres af de ansvarlige for området, således at
fejl og misforståelser undgås. Til virksomhedens ledelse
udarbejdes kortfattet notat med konklusion for området. |
