亚伦·克尔

IT风险咨询总监

IT 审计的创新:微型审计与传统 IT 审计

根据组织的不同,微审计可以提高灵活性、节省宝贵的时间并简化报告流程。 Clearview Group 与客户合作评估他们的环境并提供真正的解决方案,以通过成功的审计来协助 IT 部门加强控制。

在当今快速发展的 IT 环境中,每个组织都需要平衡其用户的技术需求、速度、易用性和便利性,以及确保信息安全、免受各种复杂威胁和潜在责任的关键需求。 明视集团,一家位于巴尔的摩的咨询热博RB88体育,通过全面的审计和评估帮助这些组织确定改进其 IT 流程和控制的机会。作为这项服务的一部分,Clearview Group 可以帮助客户确定微审计是否最适合他们的需求。与传统的全方位 IT 审计不同,微型审计更专注于特定的风险领域,这意味着它们可能会带来更高效和相关的结果、更短的周转时间和更成功的报告。

审计前准备和风险评估

IT 审计业务通常从风险评估和制定审计计划开始,描述审计的范围和目标。 Clearview Group 对客户必须根据其规模和市场地位考虑的监管框架、最佳实践和所需控制具有广泛的了解。这包括确定某些风险领域是否会从与传统审计相反的微观审计中受益。

“虽然您在评估风险时总是必须灵活,但在过去几年中已经变得非常明显的一件事是敏捷性的最重要意义,”说 亚伦·克尔, Clearview Group 的咨询服务总监。 “在谈到软件开发和流程时,您经常会听到这个词,但它也确实适用于 IT 审计。热博RB88体育不想太受制于年度审计计划或可审计领域的传统细分——如果行业或热博RB88体育内部发生变化,您需要能够适应。您需要在计划中具有这种灵活性来应对这些风险,即使在年初时风险并不高。好消息是,如果您的 IT 部门拥有可靠的风险评估流程,那么让它们变得灵活并不难,只要它们不是大型的、为期数月的项目。有些项目您可以在几周内承担,这使得在审计之前更容易适应。”

明视集团 帮助客户识别和补救风险,以便他们准备好应对下一次审计,而不会浪费时间或资源。例如,如果巴尔的摩市遭受了多次勒索软件攻击,克尔说该地区的客户可能会问他们对类似攻击的敏感度如何。通过微审计,中小型企业可以通过将特定威胁向量评估为风险场景来快速回答这个问题。

微审计与传统 IT 审计项目的区别

在风险评估之后,审计师收集和分析审计证据,并就内部控制以及管理层提供的信息的可靠性形成意见。 Kerr 说,与可能需要数周或数月的传统 IT 审计过程不同,微审计可以短至 80 小时。这是因为,虽然组织总是有很多潜在的可审计领域,但微观审计将传统上复杂的项目分解为各个部分的总和。

“例如,对于网络话题,两个主要领域可能是安全和运营,但在这些领域之下,还会有额外的风险情景,”克尔说。 “微审计是将整个领域划分为中小型企业可以在 80 到 100 小时内完成的领域。如果范围正确,有一种方法可以在短时间内增加价值。这迫使您更多地考虑更大的传统可审计领域下的特定风险情景,并围绕这些子领域构建计划和频率。”

克尔指出几周前他的一位客户正在寻找咨询合作伙伴。 “这是一个相当大的组织,他们总是将审计结构化为几个月的过程,”他说。 “现在,他们更愿意将他们的审计(在这种情况下是网络)划分为单独的微审计——一项关于安全,一项关于管理,一项关于运营。这意味着每个 IT 审计都可以单独进行优先级风险评估,并且只需要六周而不是六个月,并且客户不会四处寻找难以置信的风险领域,试图将其与对该领域的先前解释联系起来。这些微型审计确实有利于小型组织,因为它们通常在执行方面具有更大的灵活性。”

此外,使用当今的虚拟工具,Kerr 表示成功实施微审计从未如此简单。 “在评估某些领域时可能会有很多重叠——过去,有特定的单点解决方案和供应商,但现在有了 AWS 和 Microsoft 365 等集成度更高的平台,有些服务您只需付费即可通过点击一个按钮,”他说。 “通过微审计,您可以非常有针对性地快速识别风险。就我们如何评估某些领域而言,虚拟环境一直是我们的重要催化剂。我们事先进行了研究,以便我们可以精简、指向特定屏幕、评估特定风险区域并带来结果。”

与传统审计报告相比的微观审计结果

一旦审计完成,是时候正式报告调查结果了,Kerr 说他一直试图与强大的审计报告作斗争,而微观审计是一个完美的解决方案。

“传统上,长期的审计结果通常需要一名口译员来涵盖所有内容,这可能会改变信息与审计委员会和董事会产生共鸣的方式,”克尔说。 “但是通过微审计,您可以将报告减少到一两页,将其归结为带有图形或视觉效果的电梯演讲。为什么不让报告的文字少一点,这样就不那么麻烦了?这样,您将拥有更多的受众,并且可以非常积极地描述潜在的风险情景以及他们的反应立场。可能有问题,但这真的是一个很大的风险吗?通过微审计,您可以针对首要考虑的特定主题:以下是我们的发现、所涉及的风险以及客户需要立即采取行动的地方。”

虽然每年都会关注某些高风险 IT 领域,但 Kerr 表示,Clearview Group 了解网络安全等某些领域目前只能得到缓解,并将调整审计报告以反映这一点。

“您是每年都进行相同的审计,还是可以根据组织、新市场、行业趋势和近期事件的变化灵活地审计网络安全的特定方面?多年来,我们一直把它分解成更小的部分,并找出在每个季度完成年度计划时什么是有意义的,”克尔说。 “无论我们怎么看,都是有原因的。我们不想解释为什么我们看这个而不是那个。例如,与我们合作的许多组织可能会问他们对恶意软件的敏感程度如何,我们可以通过多种方式在审计中解决这个问题。您可以制定一个计划来专门解决该问题,而无需报告与网络安全相关的每个风险领域。”

Kerr 还补充说,这种简化的报告使组织能够更及时地报告风险。 “你应该能够在几周内得到答复,而不是在审计年度结束时,”他说。 “客户不想将自己束缚在过去有意义的方法上,但现在需要太长时间才能为审计委员会或董事会获得答案。这些风险来得如此之快,所以等待是没有意义的。”

总的来说,Kerr 表示,Clearview Group 是其客户的真正合作伙伴,并且了解 IT 微审计没有具体的定义。 “这是针对风险情景,制定从范围界定到结果的更快时间框架的审计计划,”他说。 “这真的是关键——要想跟上技术的流动性,找到一种适应方法至关重要。”

如需更多信息,请联系 Clearview Group 的咨询服务总监 Aaron Kerr,网址为 [email protected] 或访问: //xayje.com/

亚伦的更多作品

更多在 IT 风险咨询与安全

相关案例研究