Ablauf des Informationssystem-Audits (4 Schritte)

Einige der wichtigsten Schritte bei der Überprüfung des Informationssystems sind folgende:

Audit ist eine Beurteilungstätigkeit, die von Personen durchgeführt wird, die nicht aktiv an der Durchführung der Prüfung beteiligt sind. Ziel ist die Verhinderung und Aufdeckung von Missbrauch der Unternehmensressourcen. Die Prüfung des Informationssystems wird von Fachleuten durchgeführt, die sich nicht nur mit den komplexen Fragen des Informationssystems auskennen, sondern auch wissen, wie sie diese mit dem Unternehmen in Verbindung bringen.

Bild mit freundlicher Genehmigung: legacy.bentley.edu/files/uga-information-systems.jpeg

Das Informationssystem-Audit wird durchgeführt, um die Informationssysteme zu bewerten und Maßnahmen zur Verbesserung ihres Wertes für das Unternehmen vorzuschlagen. Das Informationssystem-Audit kann als wirksames Instrument zur Bewertung des Informationssystems und zur Kontrolle des Computermissbrauchs verwendet werden.

Der Prozess des Informationssystem-Audits umfasst vier Schritte:

1. Messung der Anfälligkeit eines Informationssystems:

Der erste Schritt im Prozess des Informationssystem-Audits ist das Erkennen der Sicherheitsanfälligkeit jeder Anwendung. Wenn die Wahrscheinlichkeit eines Computermissbrauchs hoch ist, besteht ein größerer Bedarf an einer Prüfung des Informationssystems dieser Anwendung. Die Wahrscheinlichkeit des Missbrauchs von Computern hängt von der Art der Anwendung und der Qualität der Kontrollen ab.

2. Identifizierung von Gefahrenquellen:

Die meisten Bedrohungen durch Computermissbrauch gehen von den Menschen aus. Der Auditor des Informationssystems sollte die Personen identifizieren, die eine Gefahr für die Informationssysteme darstellen könnten. Dazu gehören Systemanalysten, Programmierer, Dateneingabeoperatoren, Datenanbieter, Benutzer, Anbieter von Hardware, Software und Dienstleistungen, Computersicherheitsexperten, PC-Benutzer usw.

3. Identifizierung von Risikopunkten:

Der nächste Schritt im Prozess des Informationssystem-Audits besteht darin, die Ereignisse, Punkte oder Ereignisse zu identifizieren, bei denen das Informationssystem durchdrungen werden kann. Diese Punkte können sein, wenn eine Transaktion hinzugefügt, geändert oder gelöscht wird. Der Punkt mit hohem Risiko kann auch der Fall sein, wenn eine Daten- oder Programmdatei geändert wird oder die Operation fehlerhaft ist.

4. Überprüfen Sie, ob der Computer missbraucht wurde:

Der letzte Schritt in diesem Prozess besteht darin, die Prüfung der Punkte mit hohem Potenzial durchzuführen, um die Aktivitäten der Personen zu behalten, die das Informationssystem für die Anwendungen missbrauchen könnten, die stark gefährdet sind.

Prüfungsumfang:

Die Prüfung des Informationssystems kann nahezu alle Ressourcen der IT-Infrastruktur umfassen. Dazu gehören die Bewertung der Hardware, der Einsatz von Software, der Datenressourcen und der Mitarbeiter. Eine der wichtigsten Ressourcen, die die Aufmerksamkeit eines Auditors eines Informationssystems auf sich zieht, ist jedoch die Anwendungssoftware.

Anwendungssoftware-Audit:

Das Anwendungssoftware-Audit wird mit dem Ziel durchgeführt, festzustellen, ob:

a) Das Verfahren und die Methoden zur Erstellung eines Antrags wurden tatsächlich befolgt.

b) In die Anwendungssoftware wurde eine angemessene Steuerung eingebaut. und

c) Bei der Wartung von Software werden angemessene Kontrollen bereitgestellt.

Die Ziele einer detaillierten Prüfung des Antrags werden von der Art der Beschaffung der Software beeinflusst. Dies liegt daran, dass die Anfälligkeit von Anwendungssoftware für maßgeschneiderte Software sich von der vorgefertigter Software unterscheidet.

Informationssystem Auditoren:

Ein Informationssystem-Auditor ist das Bindeglied zwischen dem Software-Entwicklungsteam und dem Management. Seine Rolle unterscheidet sich von dem Systemanalytiker, der bei der Entwicklung von Anwendungssoftware mitwirkt. Der Auditor des Informationssystems bewertet die Überprüfung jedes Projekts im Auftrag des Managements.

Der Auditor des Informationssystems ist von der Durchführbarkeitsstudie des Projekts zur Entwicklung eines Informationssystems bis zur Implementierungsphase eingebunden. Tatsächlich erteilt der Auditor des Informationssystems nach ordnungsgemäßer Prüfung und Bewertung des Softwarepakets die Freigabe für die Implementierung.