تدقيق نظم تقنية المعلومات
تدقيق تقنية المعلومات أو تدقيق نظم المعلومات، هي الممارسة التي تدور حول التحكم بإدارة وفحص البنية التحتية الخاصة بتقنية المعلومات. تدور هذه الممارسات والتحكم والتقييمات في نظم المعلومات ما إذا كانت هذه الأنظمة تحت نطاق آمن للإستخدام وسهل للوصول وآمن بالنسبة لمعايير المصداقية ومعايير التشغيل والسلامة من الجرائم الإلكترونية المفتعلة أو المتعمدة. هنالك أهداف وسياسات واضحة تخضع تحت نظام إدارة وتحكم النظم التشغيلية في تدقيق تقنية المعلومات، ومن أهم هذه السياسات هو تحقيق أهداف المنظمة التشغيلية أو الشركة. يمكن أن يكون هنالك أيضا بعض المعايير التي تتدخل في تحقيق نجاح التدقيق المعلوماتي مثل الكشوفات المالية، التدقيق الداخلي أو أي افتراضيات أخرى قد تتدخل أيضا لاحقا.
تُعرف عمليات تدقيق تقنية المعلومات أيضًا بإسم العمليات الآلية لتدقيق معالجة البيانات أو بالإنجليزية: (ADP Audits) وعمليات تدقيق الحاسب الآلي.
في السابق، عمليات تدقيق تقنية ونظم المعلومات كانت تسمى (عمليات تدقيق معالجة البيانات الإلكترونية) أو بالإنجليزية (EDP Audits).
أهداف وغرض التدقيق
تختلف عمليات تدقيق تقنية المعلومات عن تدقيق البيانات والكشوفات المالية. للتوضيح أكثر، فنحن نجري عمليات التدقيق المالي لمعرفة ما إذا كانت الكشوفات المالية تظهر بشكل صحيح وعادل، وما إذا كان التدفق المالي يتوافق كليا مع مايظهر من ممارسات ونتائج أقسام المحاسبة والقياس. ومن نقطة أخرى، أهداف وغايات التدقيق في عمليات تقنية ونظم المعلومات هو معرفة ما إذا كان التصميم العام وكفاءة وفعالية النظام تسير بشكل مستمر وصحيح. على سبيل المثال (لا الحصر) يشمل التدقيق مراقبة بروتوكولات الأمن المنفذه وكفائتها، مراقبة التطوير، ومراقبة الإدارة الكبرى لتقنية المعلومات وتوابعها. من المعروف أنه من الضروري تثبيت العناصر التقنية المسؤولة عن التحكم، لكن ورغم ذلك لا يعد هذا كافيا لضمان وتوفير الحماية الكاملة أو الكافية. هناك مسؤولية كبيرة تندرج تحت مهام مسؤولين التدقيق، ومن هذه المهام معرفة مدى كفاءة وفعالية الأدوات المستخدمة في التحكم في التدقيق المعلوماتي ومعرفة ما إذا كانت هذه الأدوات مهيئة للعمل بالشكل الذي هو مطلوب منها، وأيضا فعاليتها في الحالات الصعبة مثل حالات اختراق النظام وماشابه، وإذا حدث مثل هذه الاختراقات، يجب أيضا الإلمام التام بالإجراءات المتخذه والمخطط لها ومعرفة الإجراءات المستقبلية لمثل هذه الحالات. ولأهمية وحساسية هذه الأمور، يجب الرد على هذه الإستفسارات بواسطة أناس مراقبين غير متحيزين ومستقلين، وهؤلاء هم من يراقب عملية تدقيق البيانات في تقنية ونظم المعلومات. في عالم نظم المعلومات وطبيعة البيئة الموجودة هناك، يتم فحص وتدقيق كافة عناصر نظم المعلومات وذلك من مدخلات ومخرجات ونتائج ومعالجات.
الركائز الأساسية في عملية تدقيق نظم وتقنية المعلومات هي بأن يتم فحص وتقييم مدى فعالية وكفاءة الأنظمة الموجودة حاليا في الشركات أو المؤسسات التي من أجلها يتم حماية معلومات الشركة نفسها. بالتحديد وعلى وجه الخصوص، هي بأن يتم اختبار وفحص قدرة المنظمات على حماية وأمن معلوماتها وأصول ممتلكاتها، وأيضا للتأكد ما إذا كانت المنظمة تقوم على توزيع ومعالجة المعلومات بشكل دقيق وصحيح على جهاتها المعتمدة. التدقيق في تقنية ونظم المعلومات يتمحور أيضا ويستلخص في النقاط/ الأسئلة التالية:
- هل ستكون الأنظمة الخاصة بأجهزة الحاسب الآلي التي تعمل في المؤسسة متاحة دائما عند الحاجة إليها؟ - تعرف هذه الركيزة بمصطلح "إتاحة البيانات" أو بالإنجليزية "Data Availability".
- هل سيتم حفظ المعلومات وعرضها وإتاحتها حصريا فقط على الأشخاص المصرحين لهم بذلك؟ - تعرف هذه الركيزة بمصطلح "سرية البيانات" أو بالإنجليزية "Data Confidentiality".
- هل المعلومات المتواجدة والمحتفظ بها في هذه الأنظمة ستكون محل ثقة وسليمة وغير معدل بها، هل ستكون موثوقة أو دقيقة في الوقت المطلوب؟ - تعرف هذه الركيزة بمصطلح "نزاهة البيانات" أو بالإنجليزية "Data Integrity".
وبكل تلك الطرق، من المرجح جدا في أن هذا التدقيق سيلعب دور كبير في تقييم المخاطر المتوقعة على الشركات والمنظمات والحد من هذه المخاطر في التأثير على أصول المعلومات والبيانات للمنظمة.
أنواع عمليات التدقيق في تقنية المعلومات
قام عدد كبير من السلطات بتمييز وتصنيف عدة مسميات وأنواع لعمليات التدقيق في تقنية المعلومات. بحسب ماثبت من جودمن ولوليس (Goodman & Lawless)، إجراءات عمليات تدقيق تقنية المعلومات يقوم تحت ثلاث أساليب رئيسية ممنهجة ومحددة وهي: [1]
- التدقيق في عمليات الابتكار التكنولوجي: الأسلوب في هذا التدقيق يتمحور في النظر في مخاطر المشاريع الجديدة والقائمة أيضا. وللتوضيح، هذا التدقيق يقوم باختبار الشركة في مدى كفاءة وقوة الخبرة والتجارب في التقنيات المختارة والمنفذة، وأيضا يقوم باختبار قوة تواجدها ومكانتها بين الأسواق التي لها علاقة بهذه التقنيات. إضافة إلى ذلك، يقوم هذا التدقيق بفحص المنظمة المسؤولة عن تنفيذ كل مشروع والهيكلة العامة المتواجدة في المنظمات والتي تتعامل مع سوق العمل بذاته.
- التدقيق في عمليات الابتكار المقارن: هذا التدقيق يعمل على فحص وتحليل قدرات الابتكار في الشركة القائم فيها التدقيق، ويتم دراسة ومقارنة هذه الشركة مع منافسيها من هذا المجال. إضافة إلى ذلك، يتم فحص السجل الخاص بالشركة لمعرفة ما إذا كانت الشركة قادرة بالفعل على صناعة وابتكار منتج جديد.
- التدقيق في عمليات الوظائف التكنولوجية: هذا التدقيق يهتم في التقنيات المستخدمة حاليا في الشركة، وأيضا التقنيات المطلوبة في الشركة/المنظمة.
يصف آخرون نطاق عمليات تدقيق تكنولوجيا المعلومات بخمس فئات من عمليات التدقيق وهي:
- الأنظمة والتطبيقات: مراجعة للتحقق من أن الأنظمة والتطبيقات مناسبة وفعالة ويتم التحكم فيها بشكل مناسب لضمان إدخال ومعالجة وإخراج صالحة وموثوقة وفي الوقت المناسب وآمنة على جميع مستويات نشاط النظام. تشكل عمليات تدقيق ضمان النظام والعمليات نوعًا فرعيًا، يركز على أنظمة تكنولوجيا المعلومات التجارية التي تتمحور حول العمليات التجارية. تهدف عمليات التدقيق هذه إلى مساعدة المدققين الماليين. [2]
- مرافق معالجة المعلومات: مراجعة للتحقق من أن منشأة المعالجة يتم التحكم فيها لضمان معالجة الطلبات في الوقت المناسب ودقيقة وفعالة في ظل الظروف العادية والتي من المحتمل أن تكون معطلة.
- تطوير النظم: مراجعة للتحقق من أن الأنظمة قيد التطوير تفي بأهداف المنظمة، ولضمان تطوير الأنظمة وفقًا للمعايير المقبولة عمومًا لتطوير الأنظمة.
- إدارة تكنولوجيا المعلومات وهندسة المؤسسات: مراجعة للتحقق من أن إدارة تكنولوجيا المعلومات قد طورت هيكلاً وإجراءات تنظيمية لضمان بيئة مضبوطة وفعالة لمعالجة المعلومات.
- العميل / الخادم، الاتصالات السلكية واللاسلكية، الشبكات الداخلية، والشبكات الخارجية: مراجعة للتحقق من وجود ضوابط الاتصالات عن بعد على العميل (خدمات استقبال الكمبيوتر)، الخادم، وعلى الشبكة التي تربط بين العملاء والخوادم.
وبعضها يراجع جميع عمليات تدقيق تكنولوجيا المعلومات باعتبارها واحدة من نوعين فقط: عمليات مراجعة "مراجعة التحكم العامة" أو عمليات مراجعة "مراجعة التحكم في التطبيق".
يعتبر عدد من المتخصصين في مراجعة تكنولوجيا المعلومات من مجال ضمان المعلومات أن هناك ثلاثة أنواع أساسية من الضوابط بغض النظر عن نوع التدقيق الذي يتعين إجراؤه، وخاصة في مجال تكنولوجيا المعلومات. تحاول العديد من الإطارات والمعايير تقسيم عناصر التحكم إلى تخصصات أو ساحات مختلفة، مما يعني أنها "عناصر تحكم الأمان"، "عناصر التحكم في الوصول"، "عناصر تحكم IA" في محاولة لتحديد أنواع عناصر التحكم المعنية. على مستوى أكثر جوهرية، يمكن أن تظهر عناصر التحكم هذه على ثلاثة أنواع من الضوابط الأساسية: الضوابط الوقائية، وضوابط المباحث، والضوابط التفاعلية/التصحيحية.
في IS، هناك نوعان من المدققين والمراجعة: داخلي وخارجي. عادة ما يكون تدقيق IS جزءًا من التدقيق الداخلي في المحاسبة، وغالبًا ما يتم إجراؤه بواسطة المدققين الداخليين للشركة. يقوم المراجع الخارجي بمراجعة نتائج التدقيق الداخلي وكذلك مدخلات ومعالجة ومخرجات نظم المعلومات. غالباً ما تكون المراجعة الخارجية لأنظمة المعلومات جزءًا من المراجعة الخارجية الشاملة التي تقوم بها شركة محاسب قانوني معتمد.
تدرس IS جميع المخاطر والضوابط المحتملة في نظم المعلومات. إنها تركز على قضايا مثل العمليات والبيانات والنزاهة وتطبيقات البرامج والأمن والخصوصية والميزانيات والنفقات ومراقبة التكاليف والإنتاجية. تتوفر إرشادات لمساعدة المراجعين في وظائفهم، مثل تلك الموجودة في جمعية تدقيق ومراقبة أنظمة المعلومات. [3]
مراحل التدقيق
النقاط التالية تشكل الخطوات أو المراحل الرئيسية في تكوين عمليات التدقيق في تقنية المعلومات: [4]
- التخطيط.
- تقييم ودراسة الضوابط.
- تقييم واختبار الضوابط.
- التقرير والتسجيل.
- المتابعة.
- الإقرار.
أمن المعلومات
يعد تدقيق أمن المعلومات جزءًا حيويًا من أي تدقيق لتكنولوجيا المعلومات، وغالبًا ما يُفهم أنه الغرض الأساسي من تدقيق تكنولوجيا المعلومات. ويشمل نطاق واسع لأمن المعلومات التدقيق في مواضيع مثل مراكز البيانات (الأمن المادي لمراكز البيانات وأمن المنطقي لقواعد البيانات والخوادم ومكونات البنية التحتية للشبكة)، [5] الشبكات وتطبيق الأمن. مثل معظم المجالات الفنية، هذه المواضيع تتطور دائمًا؛ يجب أن يواصل مراقبو تقنية المعلومات باستمرار توسيع معارفهم وفهمهم للأنظمة والبيئة والسعي في شركة النظام.
تاريخ تدقيق تكنولوجيا المعلومات
تم تشكيل مفهوم تدقيق تكنولوجيا المعلومات في منتصف الستينيات. منذ ذلك الوقت، مرت تدقيق تكنولوجيا المعلومات بالعديد من التغييرات، ويرجع ذلك إلى حد كبير إلى التقدم في التكنولوجيا ودمج التكنولوجيا في الأعمال.
حاليًا، هناك العديد من الشركات المعتمدة على تكنولوجيا المعلومات والتي تعتمد على تقنية المعلومات من أجل إدارة أعمالها، مثل شركة الاتصالات أو البنوك. بالنسبة للأنواع الأخرى من الأعمال، تلعب تكنولوجيا المعلومات الجزء الأكبر من الشركة بما في ذلك تطبيق سير العمل بدلاً من استخدام نموذج طلب الورق، باستخدام التحكم في التطبيق بدلاً من التحكم اليدوي الذي هو أكثر موثوقية أو تطبيق تنفيذ ERP لتسهيل المنظمة باستخدام تطبيق واحد فقط. وفقا لهذه، تزداد أهمية تدقيق تكنولوجيا المعلومات باستمرار. أحد أهم أدوار تدقيق تكنولوجيا المعلومات هو التدقيق على النظام المهم لدعم التدقيق المالي أو لدعم اللوائح المحددة المعلنة مثل SOX.
موظفي المراجعة
الشهادات المهنية
- مدقق نظم المعلومات المعتمد (CISA)
- شهادة ممارس في تدقيق أمن المعلومات (PCISA) [6]
- المدقق الداخلي المعتمد (CIA)
- شهادة في مراقبة نظم المعلومات والمخاطر (CRISC)
- شهادة الاعتماد والاعتماد المهني (CAP)
- محترف كمبيوتر معتمد (CCP)
- متخصص معتمد في المعلومات (CIPP)
- خبير أمن نظم المعلومات المعتمد (CISSP)
- مدير أمن المعلومات المعتمد (CISM)
- محاسب عام معتمد (CPA)
- مدقق الضوابط الداخلية المعتمد (CICA)
- الوكيل الشرعي والمحاسب القانوني المعتمد (FCPA)
- مدقق احتيال معتمد (CFE)
- محاسب قانوني شرعي (CrFA)
- محاسب محترف تجاري معتمد (CCPA)
- مدير حسابات معتمد (CEA)
- مدقق داخلي محترف معتمد (CPIA)
- مدقق إدارة مهنية معتمد (CPMA)
- محاسب قانوني
- محاسب قانوني معتمد (ACCA / FCCA)
- مدقق النظام والشبكة المعتمد من GIAC (GSNA) [7]
- محترف معتمد في تقنية المعلومات (CITP) ؛ للمصادقة، يجب أن يكون لدى مراجعي الحسابات خبرة 3 سنوات
- شهادة أخصائي في المحاسبة الجنائية الإلكترونية (CFAP) [8]
- خبير معتمد في تخطيط موارد المؤسسات (CEAP) [9]
مبادئ مراجعة تكنولوجيا المعلومات
يجب أن تجد المبادئ التالية للتدقيق انعكاسًا في العمليات المنفذة: [10]
- في الوقت/التوقيت المناسب : فقط عندما يتم فحص العمليات والبرمجة بشكل مستمر فيما يتعلق بإمكانية تعرضها للأخطاء والضعف، ولكن أيضًا فيما يتعلق باستمرار تحليل نقاط القوة الموجودة، أو عن طريق التحليل الوظيفي المقارن مع تطبيقات مماثلة، يمكن لإطار محدث يسهل اتباعه.
- فتح المصدر: يتطلب مرجعًا صريحًا في تدقيق البرامج المشفرة، وكيف يجب فهم طريقة التعامل مع المصدر المفتوح. برامج مثل تقديم تطبيق مفتوح المصدر، ولكن دون اعتبار خادم IM كمصدر مفتوح، يجب اعتبارها مهمة. يجب أن يتخذ المراجع موقفًا خاصًا في نموذج الحاجة إلى طبيعة المصدر المفتوح في تطبيقات التشفير.
- البراعة: يجب أن تكون عمليات التدقيق موجهة إلى حد أدنى معين. غالبًا ما تتباين عمليات التدقيق الحديثة لتشفير البرامج اختلافًا كبيرًا من حيث الجودة، من حيث النطاق والفعالية وأيضًا الخبرة في استقبال الوسائط التي تختلف غالبًا عن التصورات. نظرًا لحاجة المعرفة الخاصة من جهة والقدرة على قراءة شفرة البرمجة ومن ناحية أخرى للحصول على معرفة بإجراءات التشفير، يثق العديد من المستخدمين في أقصر عبارات التأكيد الرسمي. الالتزام الفردي كمراجع، على سبيل المثال للجودة والحجم والفعالية، يجب أن يتم تقييمه بشكل انعكاسي لنفسك وتوثيقه في المراجعة.
- السياق المالي: هناك حاجة إلى مزيد من الشفافية لتوضيح ما إذا كان قد تم تطوير البرنامج تجاريًا وما إذا كان التدقيق قد تم تمويله تجاريًا (تدقيق مدفوع). إنه يحدث فرقًا سواء كان مشروع هواية/مجتمع خاص أو ما إذا كانت شركة تجارية وراء ذلك.
- الإشارة العلمية إلى وجهات نظر التعلم: يجب أن يصف كل تدقيق النتائج بالتفصيل في السياق وأن يبرز أيضًا احتياجات التقدم والتطوير بشكل بناء. المدقق ليس هو أصل البرنامج، ولكنه على الأقل هو أو هي في دور المرشد، إذا تم اعتبار المراجع جزءًا من دائرة تعلم PDCA ( PDCA = Plan-Do-Check-Act). يجب أن يكون هناك بجانب وصف الثغرات المكتشفة وصفًا للفرص الابتكارية وتطوير الإمكانات.
- تضمين الأدب: يجب ألا يعتمد القارئ على نتائج مراجعة واحدة فقط، بل يجب أن يحكم وفقًا لحلقة من نظام الإدارة (مثل PDCA، انظر أعلاه)، للتأكد من أن فريق التطوير أو المراجع كان مستعدًا/مهيأ، وكان مستعدًا لإجراء مزيد من التحليل، وأيضًا في عملية التطوير والمراجعة مفتوحة للتعلم وللنظر في ملاحظات الآخرين. يجب أن ترفق قائمة المراجع في كل حالة من حالات التدقيق.
- تضمين أدلة المستخدم والوثائق: يجب إجراء فحص إضافي، ما إذا كانت هناك أدلة ووثائق تقنية، وإذا تم توسيع نطاقها.
- تحديد المراجع إلى الابتكارات: يجب اختبار التطبيقات ذات الأولوية العالية (معيار دردشات التواجد بالإضافة إلى ذلك، اعتبار التطبيقات التي تتيح كليهما، والرسائل إلى جهات الاتصال غير المتصلة بالإنترنت وعبر الإنترنت، لذلك يجب النظر في الدردشة والبريد الإلكتروني في تطبيق واحد -كما هو الحال مع GoldBug). إلى وظيفة البريد الإلكتروني). يجب على المراجع أيضًا تسليط الضوء على الإشارات إلى الابتكارات ودعم المزيد من احتياجات البحث والتطوير.
تصف هذه القائمة من مبادئ التدقيق لتطبيقات التشفير -إلى جانب أساليب التحليل الفني- وخاصة القيم الأساسية التي ينبغي مراعاتها.
أسباب طارئة
هناك أيضًا عمليات تدقيق جديدة تفرضها مختلف المجالس القياسية والتي يتعين تنفيذها، اعتمادًا على المؤسسة المدققة، والتي ستؤثر على تكنولوجيا المعلومات وتضمن أن أقسام تكنولوجيا المعلومات تؤدي وظائف وضوابط معينة بشكل مناسب لتكون متوافقة. ومن أمثلة عمليات التدقيق هذه SSAE 16 و ISAE 3402 و ISO27001: 2013 .
تدقيقات وجود الويب
أدى تمديد وجود تكنولوجيا المعلومات للشركات إلى ما وراء جدار حماية الشركة (مثل اعتماد وسائل التواصل الاجتماعي من قبل المؤسسة إلى جانب انتشار الأدوات المستندة إلى مجموعة النظراء مثل أنظمة إدارة وسائل التواصل الاجتماعي ) إلى زيادة أهمية دمج عمليات تدقيق حضور الويب في IT / IS (التدقيقي). تتضمن أغراض عمليات التدقيق هذه ضمان قيام الشركة باتخاذ الخطوات اللازمة من أجل:
- كبح استخدام الأدوات غير المصرح بها (مثل "تكنولوجيا المعلومات الظلية").
- تقليل الأضرار التي لحقت السمعة.
- الحفاظ على الامتثال التنظيمي.
- منع تسرب المعلومات.
- تخفيف مخاطر الطرف الثالث.
- تقليل مخاطر الحكم. [11] [12]
كان استخدام الأدوات التي طورتها الإدارات أو المستخدم موضوعًا مثيرًا للجدل في الماضي. ومع ذلك، مع توافر أدوات تحليل البيانات على نطاق واسع، ولوحات المعلومات، والحزم الإحصائية، لم يعد المستخدمون بحاجة إلى الوقوف في طابور انتظار موارد تكنولوجيا المعلومات لتلبية الطلبات التي لا نهاية لها على ما يبدو للتقارير. تتمثل مهمة تقنية المعلومات في العمل مع مجموعات الأعمال لجعل الوصول المصرح به والإبلاغ عنه أسهل ما يمكن. لاستخدام مثال بسيط، يجب ألا يضطر المستخدمون إلى إجراء مطابقة البيانات الخاصة بهم بحيث يتم ربط الجداول العلائقية الخالصة بطريقة ذات معنى. يحتاج تكنولوجيا المعلومات إلى إتاحة ملفات نوع مستودع بيانات غير طبيعية للمستخدمين بحيث يتم تبسيط أعمال التحليل الخاصة بهم. على سبيل المثال، ستقوم بعض المؤسسات بتحديث المستودع بشكل دوري وإنشاء جداول "سهلة الاستخدام" يمكن تحميلها بسهولة بواسطة حزمة مثل Tableau واستخدامها لإنشاء لوحات معلومات.
تدقيق اتصالات المؤسسة
يؤدي ظهور شبكات VOIP وقضايا مثل BYOD والقدرات المتزايدة لأنظمة الاتصالات الهاتفية للمؤسسات الحديثة إلى زيادة خطر إساءة تكوين البنية التحتية الأساسية للاتصالات الهاتفية، مما يترك المؤسسة مفتوحة أمام إمكانية الاحتيال في الاتصالات أو تقليل ثبات النظام. تقوم البنوك والمؤسسات المالية ومراكز الاتصال بوضع سياسات يتم تطبيقها عبر أنظمة الاتصالات الخاصة بها. تقع مهمة التدقيق في أن أنظمة الاتصالات في امتثال للسياسة على عاتق مراجعي الاتصالات المتخصصين. تضمن عمليات التدقيق هذه أنه يجب على أنظمة اتصالات الشركة مراعاة مايلي:
- الالتزام بالسياسة المعلنة.
- اتبع السياسات المصممة لتقليل مخاطر القرصنة أو التزوير.
- الحفاظ على الامتثال التنظيمي.
- منع أو تقليل عدد عمليات الاحتيال.
- تخفيف مخاطر الطرف الثالث.
- تقليل مخاطر الحكم. [13] [14]
وتسمى عمليات تدقيق الاتصالات في المؤسسة أيضًا "التدقيق الصوتي"، [15] ولكن يتم إهمال المصطلح بشكل متزايد لأن البنية التحتية للاتصالات تصبح بشكل متزايد موجهة للبيانات وتعتمد على البيانات. يتم أيضًا إهمال مصطلح "تدقيق الاتصال الهاتفي" [16] نظرًا لأن البنية التحتية الحديثة للاتصالات، خاصةً عند التعامل مع العملاء، هي قناة شاملة، حيث يحدث التفاعل عبر قنوات متعددة، وليس فقط عبر الهاتف. [17] واحدة من القضايا الرئيسية التي ابتليت بها مراجعة اتصالات المؤسسة هي عدم وجود معايير محددة من قبل الصناعة أو معايير معتمدة من الحكومة. تعتمد عمليات تدقيق تكنولوجيا المعلومات على أساس الالتزام بالمعايير والسياسات التي تنشرها مؤسسات مثل NIST و PCI، ولكن عدم وجود هذه المعايير لتدقيق اتصالات المؤسسة يعني أن هذه المراجعات يجب أن تستند إلى المعايير والسياسات الداخلية للمنظمة، بدلاً من الصناعة، المعايير. نتيجة لذلك، لا تزال عمليات تدقيق اتصالات المؤسسة تتم يدويًا، مع إجراء اختبارات عشوائية لأخذ العينات. وأدوات آلية عمل تدقيق السياسات لاتصالات المؤسسة أصبحت متوفرة مؤخرًا فقط. [18]
إنظر أيضاً
الأدلة الجنائية للحاسب الآلي
- الادلة الجنائية في عالم الكمبيوتر
- تحليل البيانات
عمليات
- مكتب المساعدة ومراجعة تقارير الحوادث
- تغيير تدقيق الإدارة
- التعافي من الكوارث ومراجعة استمرارية الأعمال
- SAS 70
متنوع
- ضمان XBRL
المخالفات والأفعال غير القانونية
- معيار AICPA: SAS 99 النظر في الاحتيال في تدقيق القوائم المالية
- دراسات حالة الاحتيال على الكمبيوتر
المراجع
- Richard A. Goodman؛ Michael W. Lawless (1994)، Technology and strategy: conceptual models and diagnostics، Oxford University Press US، ISBN 978-0-19-507949-4، مؤرشف من الأصل في 3 يناير 2020، اطلع عليه بتاريخ 9 مايو 2010.
- K. Julisch et al., Compliance by Design – Bridging the Chasm between Auditors and IT Architects. Computers & Security, Elsevier. Volume 30, Issue 6-7, Sep.-Oct. 2011. نسخة محفوظة 21 سبتمبر 2017 على موقع واي باك مشين.
- Rainer, R. Kelly, and Casey G. Cegielski. Introduction to information systems. 3rd ed. Hoboken, N.J.: Wiley ;, 2011. Print.
- Davis, Robert E. (2005)، IT Auditing: An Adaptive Process، Mission Viejo: Pleier Corporation، ISBN 978-0974302997، مؤرشف من الأصل في 21 مايو 2013، اطلع عليه بتاريخ أغسطس 2020.
{{استشهاد بكتاب}}
: تحقق من التاريخ في:|تاريخ الوصول=
(مساعدة) - "Advanced System, Network and Perimeter Auditing"، مؤرشف من الأصل في 27 مارس 2010.
- "IISP accredited certification" (PDF)، مؤرشف من الأصل (PDF) في 9 مارس 2018.
- "GIAC GSNA Information"، مؤرشف من الأصل في 12 أبريل 2011.
- "ICAEA-Certified e-Forensic Accounting Professional (CFAP)" [en]، مؤرشف من الأصل في 10 أكتوبر 2018، اطلع عليه بتاريخ 03 يناير 2020.
- ICAEA, "Certification Program", http://www.iacae.org/English/Certification/CEAP.php نسخة محفوظة 2021-04-25 على موقع واي باك مشين.
- References to further core audit principles, in: Adams, David / Maier, Ann-Kathrin (2016): BIG SEVEN Study, open source crypto-messengers to be compared - or: Comprehensive Confidentiality Review & Audit of GoldBug, Encrypting E-Mail-Client & Secure Instant Messenger, Descriptions, tests and analysis reviews of 20 functions of the application GoldBug based on the essential fields and methods of evaluation of the 8 major international audit manuals for IT security investigations including 38 figures and 87 tables., URL: https://sf.net/projects/goldbug/files/bigseven-crypto-audit.pdf - English / German Language, Version 1.1, 305 pages, June 2016 (ISBN: DNB 110368003X - 2016B14779) "نسخة مؤرشفة"، مؤرشف من الأصل في 1 نوفمبر 2021، اطلع عليه بتاريخ 7 ديسمبر 2021.
- Juergens, Michael، "Social Media Risks Create an Expanded Role for Internal Audit"، Wall Street Journal، مؤرشف من الأصل في 25 مايو 2018، اطلع عليه بتاريخ 10 أغسطس 2015.
- "Social Media Audit/Assurance Program"، ISACA، ISACA، مؤرشف من الأصل في 2 مارس 2019، اطلع عليه بتاريخ 10 أغسطس 2015.
- Lingo, Steve، "A Communications Audit: The First Step on the Way to Unified Communications"، The XO Blog، مؤرشف من الأصل في 14 مارس 2016، اطلع عليه بتاريخ 17 يناير 2016.
- "Telephone System Audit Service"، 1st Communications Services، 1st Communications Services، مؤرشف من الأصل في 1 أبريل 2019.
- "Voice Audit"، www.securelogix.com، مؤرشف من الأصل في 6 أكتوبر 2016، اطلع عليه بتاريخ 20 يناير 2016.
- "IP Telephony Design and Audit Guidelines" (PDF)، www.eurotelecom.ro، مؤرشف من الأصل (PDF) في 27 مارس 2014.
- "What is omnichannel? - Definition from WhatIs.com"، SearchCIO (باللغة الإنجليزية)، مؤرشف من الأصل في 17 يناير 2019، اطلع عليه بتاريخ 20 يناير 2016.
- "Assertion"، SmarterHi Communications (باللغة الإنجليزية)، مؤرشف من الأصل في 4 أبريل 2017، اطلع عليه بتاريخ 21 يناير 2016.
روابط خارجية
- عمل كمراجع لأنظمة المعلومات ، من إعداد Avinash Kadam (مجلة الشبكة)
- مجلس فحص المؤسسات المالية الفيدرالية (FFIEC)
- الحاجة إلى تقنية CAAT
- فتح هندسة الأمن - الضوابط والأنماط لتأمين أنظمة تكنولوجيا المعلومات
- المعهد الأمريكي للمحاسبين القانونيين (AICPA)
- مكتبة خدمات تكنولوجيا المعلومات (ITIL)
- بوابة إدارة أعمال
- بوابة تقنية المعلومات
- بوابة علم الحاسوب