컴퓨터 감사는 정보 시스템의 유효성, 기밀성, 무결성, 신뢰성 및 가용성을 평가하는 프로세스입니다. 컴퓨터 감사 프로세스에는 일반적으로 다음 단계가 포함됩니다.
1. 계획 단계: 이 단계에서 감사자는 감사되는 시스템의 비즈니스 및 기술 환경을 이해하고 위험을 평가하며 감사 계획을 세워야 합니다. 평가 계획에는 평가의 범위, 목표, 방법 및 일정이 포함되어야 합니다.
2. 제어 환경 평가: 이 단계에서 감사자는 관리 제어, 보안 제어, 적용 제어 및 정보 기술 인프라 제어를 포함하여 감사되는 시스템의 제어 환경을 평가해야 합니다. 감사자는 감사되는 시스템의 정보 자원을 보호할 수 있는지 여부를 결정하기 위해 이러한 통제의 효율성과 신뢰성을 알아야 합니다.
3. 위험 및 내부 통제 평가: 이 단계에서 감사자는 감사된 시스템의 위험과 내부 통제를 평가해야 합니다. 위험 평가에는 잠재적인 위협과 약점을 식별하고 이러한 위협과 약점이 시스템에 미치는 영향을 평가하는 작업이 포함됩니다. 내부 통제 평가에는 통제의 효과와 신뢰성 결정, 이러한 통제가 잠재적인 위협과 약점을 방지하거나 발견할 수 있는지 여부 평가 등이 포함됩니다.
4. 증거 수집: 이 단계에서 감사자는 감사된 시스템의 유효성, 기밀성, 무결성, 신뢰성 및 가용성을 평가할 증거를 수집해야 합니다. 증거에는 문서, 기록, 보고서, 로그, e-메일, 데이터베이스 및 기타 정보 자원이 포함될 수 있습니다. 감사자는 이러한 증거를 분석 및 해석하고 감사 결론을 지원하는지 여부를 결정해야 합니다.
5. 증거 분석 및 평가: 이 단계에서 감사원은 수집한 증거를 분석하고 평가하여 감사된 시스템이 예상한 기준과 요구 사항을 충족하는지 확인해야 합니다. 감사자는 증거의 신뢰성과 유효성을 평가하고 잠재적인 문제나 예외가 있는지 확인해야 합니다.
6. 감사 보고서 작성: 이 단계에서 감사자는 감사 결론, 발견, 권고 및 제안된 개선 조치를 포함한 감사 보고서를 작성해야 합니다. 감사 보고서는 명확하고 정확하며 실행 가능하며 이해하기 쉬워야 하며 청중의 요구에 맞게 사용자 정의해야 합니다.
7. 감사 결과 추적: 이 단계에서 감사자는 감사 권장 사항 및 개선 조치가 구현되고 원하는 결과를 얻을 수 있도록 감사 결과를 추적해야 합니다. 감사자는 감사 대상 시스템의 관리 및 기타 관계자와 연락을 유지하여 정기적으로 감사 추적 및 감독을 수행해야 합니다.