Esempi di lista di controllo di controllo interno

Le aziende devono affrontare una vasta gamma di regolamenti governativi e requisiti legali. Le società pubbliche devono avere i loro bilanci e i sistemi informatici (IT) che li archiviano regolarmente su base regolare in conformità con il Sarbanes-Oxley Act. Lo standard di sicurezza dei dati dell'industria delle carte di pagamento richiede che le società che elaborano le carte di credito siano controllate per garantire che i loro sistemi di computer siano configurati in modo sicuro. Le aziende assumono società di revisione di terze parti per ispezionare i loro sistemi e verificare la conformità con questi standard.

Compiti

Gli auditor cercano alcune cose basilari al loro arrivo in un'azienda. Questi includono politiche e processi documentati e la prova che tali politiche e procedure sono seguite. Quanto più dettagliate sono le politiche di un'azienda, tanto più è facile per l'auditor svolgere il proprio lavoro. Le aziende devono stabilire un quadro su cui costruire le proprie politiche e processi. I revisori IT hanno familiarità con gli standard, come ad esempio Control Objectives for IT (COBIT) o ISO 27001. Ciascuna di queste società guida fornisce liste di controllo su come proteggere i dati sensibili. I revisori utilizzano queste liste di controllo per garantire un controllo approfondito.

Lista di controllo di documentazione, procedure e procedure di esempio

1. Determina se esiste un processo di gestione delle modifiche ed è formalmente documentato.
2. Determinare se le operazioni di gestione delle modifiche hanno un elenco corrente di proprietari di sistema.
3. Determina la responsabilità per la gestione e il coordinamento delle modifiche.
4. Determina il processo per l'escalation e l'investigazione di modifiche non autorizzate.
5. Determina i flussi di gestione delle modifiche all'interno dell'organizzazione.

Lista di controllo per l'inizio e l'approvazione delle modifiche del campione

1. Verificare che venga utilizzata una metodologia per l'avvio e l'approvazione delle modifiche.
2. Determina se le priorità sono assegnate alle richieste di modifica.
3. Verifica i tempi di completamento previsti e i costi sono comunicati.
4. Valutare il processo utilizzato per controllare e monitorare le modifiche.

Esempio di lista di controllo per la sicurezza IT.

1. Confermare che tutti i protocolli non necessari e non sicuri sono disabilitati.
2. Verificare che le lunghezze minime della password siano impostate su 7 caratteri.
3. Verifica che vengano utilizzate password complesse.
4. Assicurarsi che il sistema sia aggiornato con patch e service pack.
5. Verificare che la durata della password sia impostata su 60 giorni o meno.