國際電腦稽核協會ISACA自去年(2023)更是主要推動數位信任生態的概念( Digital trust ecosystem ),目前做所有與資訊相關的服務與作業是以數位信任為主軸,並以此主軸為基礎來發展治理、管理、稽核、資安,希冀讓大家能落實數位信任生態系每個環節的信任度。
上週,我們分享以ISACA資訊稽核專業實務指引為基礎,為資訊稽核和從事確保業務人員提供,獲取有關資訊稽核執行和有效稽核報告編製方面的唯一資訊來源的參考指引ITAF(國際資訊稽核實務準則)的通用標準,今天我們將持續分享ITAF的執行標準與報告標準。
ITAF(國際資訊稽核實務準則)執行標準
規劃中的風險評估
何謂風險? 每個人對於風險的定義認知不一樣,因此當風險定義錯誤,對於後續做的評估查核的範圍就會有錯誤,有落差,因此資訊稽核和從事確保工作人員在規劃個別專案時,要能夠辨識且評估所稽核領域相關的風險。
稽核安排
稽核的安排的執行標準,莊盛祺特別提到當規劃專案行程時,是否應該規劃為長期或是短期稽核安排,關於分辨環境、事項、相關風險的驗證與管控的動作,尤其對於稽核人員來說非常重要,例如 基礎建設是長期的動作,例如應用系統部分,有些控制是與程式規劃有關係,要分階段來進行,優先順序的進行,因此對於熟悉與有正確認知稽核標的物特性與關聯性是重要的。
稽核專案規劃
重中之重,稽核人員每次查核的內容架構,要事先呈現出來,例如:目標、範圍、資源、時間表、交付成果等,將每一項目放在計畫中呈列,莊盛祺特別提出一項東西,就是相關科技與資料分析技術的使用,這類東西經常因為使用資料分析技術時具有一定性的文件化底稿架構,包含資料取得位置、資料的結構、資料的關聯性、佈建,以及檢查的流程步驟。莊盛祺再次提醒,假設這些東西沒有在底稿呈現,經過一段時間,會不知道前人如何做,其邏輯脈絡為何,可能會造成需要花費長時間才能了解其意,或是可能會產生誤解的狀況。
另外資訊稽核業務,還會出現經常出現的狀況,範圍限制,尤其是在做資訊稽核,受檢單位不讓稽核人員接觸、不給看,這也是稽核人員在稽核組織章程中要明訂,當稽核範圍受限時,報告中要先明確標定出來,以防範未然。
執行與監督
確保稽核資訊人員中,是否有按照計畫來進行。要留意稽核風險評估,有可能發生本身認知落差,而影響進程的阻礙,因此特別需要留意,是否有遵循查核的指引進行稽核,如果有超出自身能力範圍,則需要留意。如果資料在於取得、執行過程中有範圍受限的情況,且影響查核結論的話,稽核人員要如實與迅速將其呈現出來,避免後續錯誤的產生。