पिछली सदी के 60 के दशक में, वाणिज्यिक क्षेत्र में लेखांकन के लिए सूचना प्रणालियों की शुरुआत की शुरुआत हुई, जो आईटी के क्षेत्र में एक नए पेशे के उद्भव का कारण बना - एक आईटी लेखा परीक्षक। जल्द ही, आईटी लेखा परीक्षकों का पहला पेशेवर संघ बनाया गया - इलेक्ट्रॉनिक डाटा प्रोसेसिंग ऑडिटर्स एसोसिएशन, जिसका लक्ष्य आईटी ऑडिट आयोजित करने के लिए मानकों और सर्वोत्तम प्रथाओं का विकास करना था।
तब से, आईटी ऑडिटर के पेशे का महत्व काफी बढ़ गया है। आज, आईटी नियंत्रण का ऑडिट हर स्वतंत्र वित्तीय ऑडिट का अनिवार्य हिस्सा है, आईटी ऑडिट सेवाओं की बाजार में मांग है, और बड़े निगमों की अपनी आईटी ऑडिट इकाइयाँ हैं जो समय-समय पर आईटी प्रक्रियाओं की निगरानी करती हैं और उन्हें बेहतर बनाने में मदद करती हैं। उसी समय, स्थापित मानकों और सर्वोत्तम प्रथाओं का पालन करना सबसे इष्टतम तरीके से और उच्च गुणवत्ता का ऑडिट करने के लिए एक शर्त है।
इस लेख का उद्देश्य आईटी ऑडिट के क्षेत्र में मुख्य प्रासंगिक मानकों और दिशानिर्देशों को प्रस्तुत करना है, जो विभिन्न प्रकार के सूचना प्रौद्योगिकी ऑडिट का संचालन करते समय उपयोग किए जाते हैं। यह लेख आईटी ऑडिट और सूचना सुरक्षा के क्षेत्र में अपना करियर शुरू करने वाले विशेषज्ञों के लिए अधिक लक्षित है। यह लेख वित्तीय / आंतरिक लेखा परीक्षकों के लिए भी रूचि वाला हो सकता है जो मौजूदा आईटी ऑडिट मानकों से परिचित होना चाहते हैं।
लेख में अंतरराष्ट्रीय संगठनों
ISACA ,
आंतरिक लेखा परीक्षकों (IIA) ,
ISO / IEC ,
IAASB (इंटरनेशनल ऑडिटिंग एंड एश्योरेंस स्टैंडर्ड्स बोर्ड) ,
PCAOB , आदि द्वारा विकसित मानकों और दिशा-निर्देशों की चर्चा की गई है, जिनमें से प्रत्येक मानकों के लिए, संरचना और उनके गुणों का एक संक्षिप्त विवरण है। का उपयोग करें।
1. "आईटी ऑडिट फ्रेमवर्क 2 संस्करण" (आईटीएएफ) - संगठन आईएसएसीए से आईटी ऑडिट करने के लिए अंतरराष्ट्रीय मानक
वर्तमान संस्करण जुलाई 2013 में जारी किया गया था। मानक के लक्षित दर्शक आईटी ऑडिट के क्षेत्र में विशेषज्ञ हैं। सूचना प्रणाली और आईटी अवसंरचना के औपचारिक आडिट के संचालन में मानक का उपयोग किया जाता है।
मानक परिभाषित करता है:
• आईटी लेखापरीक्षा के क्षेत्र में विशेषज्ञों के लिए विशिष्ट बुनियादी शब्द और अवधारणाएं;
• सूचना प्रणाली के ऑडिट करने वाले विशेषज्ञों के कौशल और ज्ञान के लिए न्यूनतम आवश्यकताएं;
• सूचना प्रणाली के ऑडिट आयोजित करने और एक ऑडिट रिपोर्ट तैयार करने के मुख्य चरण;
• सूचना प्रणालियों के ऑडिट के लिए कार्य मानकों, कार्य कार्यक्रमों और उपकरणों का समर्थन करने वाले दिशानिर्देशों की एक सूची।
ITAF को एक मानक के रूप में विकसित किया गया था, जिसे सूचना प्रणालियों के अलग-अलग ऑडिट करने और वित्तीय और परिचालन लेखा-परीक्षा के हिस्से के रूप में सूचना प्रणालियों का ऑडिट करने के लिए लागू किया जा सकता है।
ITAF मानक में तीन भाग होते हैं:
1. सामान्य मानक - सूचना प्रणालियों के लेखा-परीक्षण के क्षेत्र में पेशेवरों के लिए दिशा-निर्देश शामिल हैं: स्वतंत्रता, निष्पक्षता और पेशेवर नैतिकता को बनाए रखना, ज्ञान, दक्षताओं और कौशल को बनाए रखना।
2. ऑडिट आयोजित करने के मानक - ऑडिट प्लानिंग और नियंत्रण प्रथाओं में शामिल हैं, ऑडिट के हिस्से के रूप में कार्य का दायरा निर्धारित करना, जोखिम और भौतिकता की सीमाओं का प्रबंधन करना, संसाधन जुटाना, परियोजना प्रबंधन, ऑडिट सबूत एकत्र करना और भंडारण करना और विशेषज्ञ मूल्यांकन विधियों का उपयोग करना।
3. रिपोर्टिंग मानक - इसमें रिपोर्ट के प्रकार, रिपोर्टिंग उपकरण और प्रस्तुत सूचना के प्रकार का विवरण शामिल है।
मानक के प्रत्येक भाग के लिए, ISACA ने दिशानिर्देश, कार्य कार्यक्रम और निर्देश विकसित किए हैं जो वर्णित लेखा परीक्षा प्रक्रियाओं के संचालन का समर्थन करते हैं। मार्गदर्शिका, कार्य कार्यक्रम और निर्देश
एसोसिएशन की आधिकारिक वेबसाइट पर उपलब्ध हैं।
लेखन के समय, ITAF मानक IT ऑडिटर के लिए सबसे व्यापक स्रोत है, जिसमें IT सिस्टम और IT प्रक्रियाओं के ऑडिट के सभी चरणों का वर्णन है।
2. "आश्वासन के लिए कोबीट 5" - COBIT v.5 के अनुसार ऑडिट मार्गदर्शन
मैनुअल का वर्तमान संस्करण जुलाई 2013 में ISACA द्वारा जारी किया गया था।
COBIT 5 सर्वोत्तम प्रथाओं के संग्रह के अनुसार सूचना प्रणालियों के ऑडिट का संचालन करते समय आईटी ऑडिट, आईटी जोखिम और आईटी प्रबंधन के क्षेत्र में विशेषज्ञों द्वारा उपयोग के लिए मैनुअल का इरादा है। COBIT की सर्वोत्तम प्रथाओं के संग्रह (v। 4.1) का पिछला संस्करण 2007 में जारी किया गया था और वर्तमान में व्यावसायिक वातावरण
1 में व्यापक रूप से इसका उपयोग किया जा रहा है।
आश्वासन के लिए कोबिट 5:
• कंपनियों को आंतरिक आईटी लेखा परीक्षा कार्यों को व्यवस्थित करने और बनाए रखने के लिए COBIT 5 का उपयोग करने पर विस्तृत मार्गदर्शन प्रदान करता है;
• COBIT 5 में वर्णित प्रक्रियाओं और कारकों (* enablers) के अनुसार आईटी ऑडिट करने के लिए एक संरचित दृष्टिकोण शामिल है;
• IT ऑडिट कराने में COBIT 5 के उपयोग के विशिष्ट उदाहरण प्रदर्शित करता है।
ITAF की तुलना में, आश्वासन प्रबंधन के लिए कोबिट 5 में ऑडिट प्रक्रियाओं की औपचारिकता की कम डिग्री और सर्वोत्तम प्रक्रियाओं के अनुसार आईटी प्रक्रियाओं को आयोजित करने से संबंधित मुद्दों की एक व्यापक कवरेज है।
3. "आंतरिक ऑडिटिंग मानकों के लिए अंतर्राष्ट्रीय पेशेवर अभ्यास ढांचा (IPPF)"
इंस्टीट्यूट ऑफ इंटरनल ऑडिटर्स (IIA) द्वारा आंतरिक अंकेक्षण के लिए अंतर्राष्ट्रीय मानक। वर्तमान संस्करण 2013 में जारी किया गया था। मानक का लक्षित दर्शक आंतरिक ऑडिट स्टाफ है।
मानक का उद्देश्य निर्धारित करना है:
• आंतरिक लेखापरीक्षा के बुनियादी सिद्धांत;
• आंतरिक ऑडिट प्रथाओं का एक मानक सेट;
• आंतरिक लेखापरीक्षा प्रक्रियाओं की प्रभावशीलता के मूल्यांकन के लिए बुनियादी संकेतक।
इस तथ्य के बावजूद कि मानक को आईटी ऑडिट मानक के रूप में विकसित नहीं किया गया था, यह सार्वभौमिक सिद्धांतों और दृष्टिकोणों को परिभाषित करता है जिसका उपयोग आंतरिक वित्तीय और परिचालन लेखा परीक्षा करने और सूचना प्रौद्योगिकी के आंतरिक ऑडिट के संचालन में दोनों में किया जा सकता है।
आईटी ऑडिट कराने के मामले में मानक के पद्धतिगत समर्थन के लिए, आईआईए ने आईटी जोखिम (आईटी जोखिम के आकलन के लिए गाइड) और सूचना प्रौद्योगिकी (ग्लोबल टेक्नोलॉजी ऑडिट गाइड) के मूल्यांकन के लिए विस्तृत दिशानिर्देश विकसित किए हैं।
आईटी रिस्क के आकलन की मार्गदर्शिका (जीएआईटी) व्यावसायिक जोखिमों, व्यापार प्रक्रियाओं में एम्बेडेड प्रमुख नियंत्रणों, स्वचालित नियंत्रणों, महत्वपूर्ण आईटी कार्यों और आईटी सामान्य नियंत्रणों
2 के बीच संबंधों का वर्णन करती है।
जीएआईटी गाइड में निम्नलिखित प्रकाशन शामिल हैं:
1) जीएआईटी पद्धति (जीएआईटी पद्धति) - सरबेंस-ऑक्सीकरण अधिनियम की धारा 404 के अनुपालन के लिए आवश्यक आंतरिक नियंत्रण प्रणाली के प्रबंधन के मूल्यांकन के भाग के रूप में सामान्य आईटी नियंत्रण की परिभाषा और मूल्यांकन के लिए एक जोखिम-आधारित दृष्टिकोण का वर्णन करता है।
2) आईटी जनरल कंट्रोल डेफिसिएंसी असेसमेंट (जीएआईटी) के लिए जीएआईटी - सरबेंस-ऑक्सले कानून 404 अनुरूपता मूल्यांकन के हिस्से के रूप में पहचाने जाने वाले सामान्य आईटी नियंत्रण कमियों की महत्वपूर्णता और भौतिकता का निर्धारण करने के दृष्टिकोण का वर्णन करता है।
3) व्यापार और आईटी जोखिम आकलन के लिए जीएआईटी (व्यापार और आईटी जोखिम के लिए जीएआईटी) - प्रमुख आईटी नियंत्रणों की पहचान करने के चरणों का वर्णन करता है जो संगठन के व्यावसायिक लक्ष्यों और उद्देश्यों को प्राप्त करने के लिए महत्वपूर्ण हैं।
ग्लोबल टेक्नोलॉजी ऑडिट गाइड (GATG), एक सूचना प्रौद्योगिकी ऑडिट गाइड, जिसमें 15 प्रकाशन शामिल
हैं, जो सूचना प्रणालियों के ऑडिट के लिए इस्तेमाल की जाने वाली प्रक्रियाओं, प्रक्रियाओं और तकनीकों का वर्णन करते हैं:
1. आईटी जोखिम और नियंत्रण (सूचना प्रौद्योगिकी जोखिम और नियंत्रण)
2. आईटी सिस्टम को बदलने और अद्यतन करने की प्रक्रिया में नियंत्रण (परिवर्तन और पैच प्रबंधन नियंत्रण)
3. सतत ऑडिट की प्रक्रिया (कंटीन्यूअस ऑडिटिंग)
4. आईटी लेखा परीक्षा प्रक्रियाओं का प्रबंधन (आईटी लेखा परीक्षा का प्रबंधन)
5. आईटी आउटसोर्सिंग (सूचना प्रौद्योगिकी आउटसोर्सिंग)
6. ऑडिटिंग ऑटोमेटेड कंट्रोल (ऑडिटिंग एप्लिकेशन कंट्रोल)
7. पहचान और अभिगम प्रबंधन
8. व्यवसाय निरंतरता प्रबंधन
9. आईटी लेखा परीक्षा योजना का विकास करना
10. आईटी परियोजनाओं का लेखा-परीक्षण करना (आईटी परियोजनाओं का लेखा-परीक्षण करना)
11. आईटी प्रौद्योगिकी के उपयोग से जुड़े धोखाधड़ी का पता लगाने और रोकथाम (एक स्वचालित दुनिया में धोखाधड़ी की रोकथाम और जांच)
12. उपयोगकर्ता द्वारा विकसित अनुप्रयोगों की ऑडिटिंग
13. सूचना सुरक्षा शासन
14. सूचना विश्लेषण प्रौद्योगिकी (डेटा विश्लेषण प्रौद्योगिकी)
15. आईटी गवर्नेंस का ऑडिट करना
इन मानकों का विस्तार और व्यापार अभिविन्यास इसकी ताकत है। फिर भी, चूंकि मानक और सहायक दिशानिर्देश उन विशेषज्ञों द्वारा उपयोग के लिए विकसित किए गए थे जिनके पास एक गहरी आईटी पृष्ठभूमि नहीं है, इसलिए इस्तेमाल की जाने वाली शब्दावली हमेशा एक आईटी ऑडिट के संचालन के तकनीकी पहलुओं का सटीक वर्णन नहीं करती है। इसके अलावा, कुछ मैनुअल कई सालों से अपडेट नहीं किए गए हैं।
4. अंतर्राष्ट्रीय मानक “ISAE No. 3402 ”और“ SSAE No. 16 "
“ISAE No. 3402 "अंतर्राष्ट्रीय संगठन IAASB (इंटरनेशनल ऑडिटिंग एंड एश्योरेंस स्टैंडर्ड बोर्ड) द्वारा विकसित सेवा संगठनों के ऑडिटिंग के लिए अंतर्राष्ट्रीय मानक, जो इंटरनेशनल फेडरेशन ऑफ अकाउंटेंट्स (IFAC, इंटरनेशनल फेडरेशन ऑफ अकाउंटेंट्स) का हिस्सा है।
मानक ”SSAE No. 16 ”(पूर्व में एसएएस 70 के रूप में जाना जाता है), अमेरिकन इंस्टीट्यूट ऑफ सर्टिफाइड पब्लिक अकाउंटेंट्स (एआईसीपीए) द्वारा जारी किया गया, अंतर्राष्ट्रीय मानक आईएसएई नंबर 3402 का एक अनुकूलित अमेरिकी संस्करण है।
ISAE का उद्देश्य नहीं। 3402 ”विश्वसनीय वित्तीय विवरण तैयार करने के संदर्भ में सेवा संगठनों के आंतरिक नियंत्रण प्रणाली की प्रभावशीलता का आकलन करने के लिए एक एकीकृत दृष्टिकोण का प्रावधान है। मानक के अनुसार, मूल्यांकन के दौरान आईटी नियंत्रण की प्रभावशीलता का सत्यापन आवश्यक है।
मानक के अनुसार “ISAE No. 3402 ”, अधिकृत ऑडिट संगठन आंतरिक नियंत्रण प्रणाली की प्रभावशीलता पर औपचारिक ऑडिट रिपोर्ट जारी कर सकते हैं। ये निष्कर्ष दूसरे पक्ष की आवश्यकता के बिना तीसरे पक्ष को उपलब्ध कराए जा सकते हैं।
सेवा संगठन के आंतरिक नियंत्रण प्रणाली में पर्याप्त स्तर का विश्वास / विश्वास प्राप्त करने के लिए:
1) सेवा संगठन को ऑडिट अवधि के लिए आईटी पहलू सहित अपनी आंतरिक नियंत्रण प्रणाली की संरचना का स्पष्ट रूप से वर्णन करना चाहिए।
2) संगठन के आंतरिक नियंत्रण प्रणाली के विवरण में नियंत्रण के उद्देश्यों से संबंधित नियंत्रणों को पर्याप्त रूप से जोखिम (वित्तीय, परिचालन, आईटी, आदि) को कवर करने के लिए पर्याप्त तरीके से मॉडल (योजनाबद्ध) किया जाना चाहिए।
3) नियंत्रण को ऑडिट के दायरे में शामिल किया गया है, इसे कुशलता से पूरा किया जाना चाहिए, ताकि यह सुनिश्चित हो सके कि संगठन के आंतरिक नियंत्रण प्रणाली के विवरण में दर्शाए गए नियंत्रण उद्देश्यों को ऑडिट अवधि में प्राप्त किया गया था।
इस मानक के अनुपालन के ऑडिट संयुक्त राज्य अमेरिका और यूरोप में काफी आम हैं, हालांकि, रूस में वे अभी भी व्यापक रूप से उपयोग नहीं किए जाते हैं।
5. PCAOB ऑडिटिंग स्टैंडर्ड नं। 5 "वित्तीय रिपोर्टिंग पर आंतरिक नियंत्रण का एक ऑडिट जो वित्तीय विवरणों के ऑडिट के साथ एकीकृत है"
मानक का वर्तमान संस्करण 2007 में पब्लिक कंपनी अकाउंटिंग ओवरसाइट बोर्ड (PCAOB) द्वारा विकसित और जारी किया गया था।
पब्लिक कंपनी अकाउंटिंग ओवरसाइट बोर्ड (PCAOB) को 2002 में Sarbanes-Oxley द्वारा एक स्वतंत्र लाभ राय तैयार करने में निवेशकों के हितों की रक्षा के लिए अमेरिकी एक्सचेंजों पर सूचीबद्ध कंपनियों के ऑडिट की निगरानी के लिए एक गैर-लाभकारी संगठन के रूप में बनाया गया था। PCAOB के निर्माण के साथ, इतिहास में पहली बार Sarbanes-Oxley Act ने स्वतंत्र ऑडिट से गुजरने के लिए निजी ऑडिट फर्मों को बाध्य किया। इससे पहले, संयुक्त राज्य अमेरिका में लेखा परीक्षकों का पेशा स्व-नियामक था।
अंकेक्षण मानक PCAOB No. 5 "वित्तीय रिपोर्टिंग पर आंतरिक नियंत्रण का एक ऑडिट जो वित्तीय विवरणों के ऑडिट के साथ एकीकृत है" बाहरी वित्तीय ऑडिट का संचालन करते समय अनिवार्य ऑडिट प्रक्रियाओं के दायरे में आईटी प्रक्रियाओं और आईटी सिस्टम की जांच सहित आवश्यकताओं को परिभाषित करता है।
मानक के अनुसार, वित्तीय वक्तव्यों की तैयारी से संबंधित नियंत्रणों का लेखा-परीक्षण करते समय, लेखा परीक्षक को यह समझ हासिल करनी चाहिए कि सूचना प्रणाली और प्रौद्योगिकियों का उपयोग वित्तीय विवरण तैयार करने की प्रक्रिया को कैसे प्रभावित करता है। ऑडिटर को यह भी समझना चाहिए कि कौन से नियंत्रण मैन्युअल रूप से किए जाते हैं और जिन्हें सूचना प्रणालियों के स्तर पर लागू किया जाता है - स्वचालित नियंत्रण, जिसमें सामान्य आईटी नियंत्रण भी शामिल हैं, जो स्वचालित नियंत्रण के प्रभावी संचालन के लिए महत्वपूर्ण हैं। सूचना प्रणालियों में संसाधित वित्तीय जानकारी के विरूपण के जोखिमों का आकलन करते समय इस जानकारी को ध्यान में रखा जाना चाहिए।
6. "आईएसओ / आईईसी 27007: सूचना सुरक्षा प्रबंधन प्रणाली नियंत्रण के लिए दिशानिर्देश" और "आईएसओ / आईईसी टीआर 27008: सूचना सुरक्षा प्रबंधन प्रणाली नियंत्रण के लिए दिशानिर्देश"
2011 में अंतरराष्ट्रीय संगठन आईएसओ / आईईसी द्वारा प्रकाशित मानक।
मानकों के लक्षित दर्शक ISO27001 और ISO27002 की आवश्यकताओं के अनुपालन के लिए अनुपालन ऑडिट करने के लिए सूचना सुरक्षा और आईटी ऑडिट प्लानिंग के क्षेत्र में विशेषज्ञ हैं।
मानकों का उद्देश्य यह आकलन करना है कि आईएसओ / आईईसी 27001 और आईएसओ / आईईसी 27002 में निर्धारित आवश्यकताओं के साथ लेखा परीक्षित संगठन / प्रभाग अनुपालन करता है या नहीं।
मानकों में लेखापरीक्षा के निम्नलिखित पहलुओं का विवरण शामिल है:
1. लेखा परीक्षा प्रबंधन (लेखा परीक्षा के कार्यक्षेत्र का निर्धारण, लेखा परीक्षकों की एक टीम का गठन, लेखा परीक्षा जोखिमों का प्रबंधन, लेखा परीक्षा साक्ष्य का भंडारण, लेखा परीक्षा प्रक्रिया में सुधार)।
2. प्रत्यक्ष लेखा परीक्षा (योजना, संचालन, प्रमुख गतिविधियाँ, जिनमें नमूनाकरण और विश्लेषण, रिपोर्टिंग और कार्यान्वयन की बाद की निगरानी शामिल है)।
3. लेखा परीक्षकों की एक टीम का प्रबंधन (दक्षता और कौशल बनाए रखना, टीम के सदस्यों का मूल्यांकन)।
इन मानकों का नुकसान जोखिम मूल्यांकन और लेखा परीक्षा के नियोजन और संचालन में नियंत्रण के बाद प्राथमिकता का अभाव है। हालांकि, मानक आईएसओ / आईईसी 27001 और आईएसओ / आईईसी 27002 के अनुपालन के लिए अनुपालन ऑडिट की तैयारी में सुविधाजनक हैं।
अन्य मानकों और दिशानिर्देशों का उपयोग आईटी ऑडिट करने में किया जा सकता है
कुछ मामलों में, आईटी ऑडिट आयोजित करते समय, अंतर्राष्ट्रीय मानक और सर्वोत्तम अभ्यास जो प्रत्यक्ष ऑडिट मानकों का उपयोग नहीं करते हैं, हालांकि, वे आईटी प्रक्रियाओं की परिपक्वता और प्रभावशीलता के स्तर का आकलन करने के लिए सुविधाजनक हैं।
ऐसे मानकों का एक उदाहरण:
1. आईएसओ 20000 - आईटी सेवाओं के प्रबंधन और रखरखाव के लिए एक अंतरराष्ट्रीय मानक।
2. आईटीआईएल (आईटी इन्फ्रास्ट्रक्चर लाइब्रेरी) - एक पुस्तकालय जो आईटी सेवाओं के प्रावधान में शामिल विभागों या कंपनियों के काम के आयोजन के लिए व्यावहारिक तरीकों का सबसे अच्छा वर्णन करता है।
3. PCI DSS भुगतान कार्ड उद्योग का डेटा सुरक्षा मानक है, जिसे अंतर्राष्ट्रीय भुगतान प्रणाली Visa, MasterCard, American Express, JCB और डिस्कवर द्वारा स्थापित किया गया है।
4. सूचना सुरक्षा पर NIST 800-xx श्रृंखला प्रकाशन।
5. सूचना सुरक्षा के लिए अच्छे अभ्यास के आईएसएफ मानक - अंतर्राष्ट्रीय संगठन सूचना सुरक्षा फोरम (आईएसएफ) से सूचना सुरक्षा जोखिमों के प्रबंधन के लिए एक व्यवसाय-उन्मुख व्यावहारिक मार्गदर्शिका।
(1) लेख कोबिट 4.1 को कवर नहीं करता है, क्योंकि ISACA के दृष्टिकोण से इसे हटा दिया गया है।(2) सामान्य आईटी नियंत्रण - आईटी प्रक्रियाओं और सेवाओं में शामिल सामान्य नियंत्रण उपाय, जैसे सिस्टम विकास, संशोधन, सुरक्षा, आदि। सामान्य आईटी नियंत्रणों का उद्देश्य अनुप्रयोगों और सूचनाओं की अखंडता और सुरक्षा सुनिश्चित करना, अनुप्रयोगों का विश्वसनीय विकास और कार्यान्वयन सुनिश्चित करना है, साथ ही स्वचालित संचालन।