iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 5
2
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 5

[Day 05] 資訊系統稽核流程 (Audit Risk)

  • 分享至 

  • xImage
  •  

前言

這是講述Auditor自己再審計過程中的風險,像是畢業專題報告時放一堆食物給評審吃,比較不會被問太多問題(想提早去上廁所?)

身為稽核員要避免各種不清楚行規、Log分散四處、稽核對象唬爛等等問題導致無法查出問題

https://ithelp.ithome.com.tw/upload/images/20190920/20077752K9m7Qq2287.png
圖片來源: Audit Risk and Compliance


審計風險

https://ithelp.ithome.com.tw/upload/images/20190918/20077752JWeP7MDAFl.png
圖片來源
Audit Risk Model
固有風險 (Inherent risk)
還沒開始做控制的情況下的風險,因為每個行業各有不同風險,可以先搜尋相關資訊了解

會計人員將200元記錄成200萬元的風險

控制風險 (Control risk)
無法經過控制檢測到的風險;可能因為時間不夠、沒有工具等問題,可以藉由交叉詢問的方式,找出問題

會計人員將200元記錄成200萬元而會計主管未能即時發現

檢測風險 (Detection risk)
已發生但未被稽核員檢測到的錯誤,因為不熟公司規範導致遺漏,可以藉由翻該公司的規範、SOP找尋問題

審計師檢查時未能發現財務報表錯報的風險

延伸閱讀審計都有風險?

風險分析

量化/定量 - 計算出數字來描述可能影響的機率
SLE x ARO = ALE

資產 威脅 單一預期損失 (SLE) 年發生率 (ARO) 年度預期損失 (ALE)
桌電 中毒 2000 20 40000
印表機 故障 1000 10 10000
隨身碟 遺失 600 50 30000

質化/定性 - 使用文字的或分類等級來描述可能影響的機率
https://ithelp.ithome.com.tw/upload/images/20190919/20077752Ko4b2z7NGx.png
圖片來源
一步步教你用Excel 做出風險管理計劃書

風險處理

應對風險的方式與CISSP相同緩解風險(mitigation)、轉移風險(transfer)、接受風險(acceptance)、拒絕風險(avoidance)
可以參考邦友的[Day03]今天我是首席資安官

控制類型

有風險然後又不能接受的話就會進行控制,最終目的當然是把風險降至可以接受的等級
https://ithelp.ithome.com.tw/upload/images/20190918/20077752w33RE3Le5u.png
圖片來源ICT Risk Management Guidance
在CISA中與CISSP不同只有歸類成3種

預防性(Preventive)
職責分離、權限控管、加密等,避免意外發生

偵測性(Detective)
日誌、錯誤檢查、內部審查等,識別意外發生

糾正性(Corrective)
服務映像檔、災難恢復規劃(Disaster recovery)等,修復問題

目標

依據戰略目標、政策及規則,檢視程序是否合乎預期,促進組織進步
https://ithelp.ithome.com.tw/upload/images/20190920/20077752k1X6HdBwUP.jpg
圖片來源
How Auditors Assess Risk When Preparing Financial Statements

結論

最後稽核不僅依賴於風險,還依賴於內部和運營控制以及對公司和業務的了解。 這種類型的風險評估決策可以幫助將控制的成本效益分析與已知風險相關聯,從而進行實際選擇,後面章節會陸續介紹各種業務類型。


上一篇
[Day 04] 資訊系統稽核流程 (Risk-based Audit Planning)
下一篇
[Day 06] 資訊系統稽核流程 (Planning)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言