健全的风险管理框架的主要组成部分, 尤其是在监管严格的机构中, 是否有有效的控制测试程序. 什么是控制测试? 一个例子是密苏里州的美国众议院议员威拉德·范德福尔的故事, 1899年在费城的海军宴会上, 他说:“我来自一个种植玉米、棉花、鸟耳草和民主党的州, 夸夸其谈既不能说服我,也不能使我满意. 我来自密苏里州. 你得给我看看.这被认为是密苏里州被称为“展示州”的原因,,它也能代表控制测试的目的:证明控制是设计来减轻风险功能的.
控制测试生命周期通常由5个步骤组成:收集证据, 验证的证据, 分析证据, 评估和总结有效性和文件或认证. 此生命周期发生在控件被适当地设计为业务流程的一部分之后. 一般, 许多机构实施手动控制, 通常是因为生成所需证据的业务流程是手动的. 因此,控制执行和测试过程都倾向于手工操作.
为什么自动化? 主要有三个原因:
- 效率-如果控制是自动的, 那么操作控制所需的劳动时间就更少了, 出示证据, 分析证据并得出有效性结论. The benefit of automation of the testing lifecycle goes beyond labor efficiency; it can mean additional labor capacity to execute a growing inventory of controls. 在测试生命周期内减少的工作量可以重新用于为控制测试人员和控制所有者开发连续的测试生命周期, 从而更早地识别控制无效,并更早地有机会进行补救和响应. 这可以降低澳门赌场官方下载的剩余风险以及自我管理.
- 减少风险-自动化控制被认为更可靠,更不容易出错. 适当的自动化控制还可以增加技术资产的覆盖范围, 从而提供更高层次的保证,确保控制将在整个环境中有效地运行. 例如, 手动控制验证200个应用程序的正确用户访问将需要采样(i).e.(25个应用程序将被测试,因为200个太耗时了). 自动化可以将其增加到完全覆盖, 为测试人员提供所有应用程序的结论性分析. 除了, 全覆盖测试允许对控制失败进行更全面和汇总的风险评估. 而不是用一次失败来推断样本的结果, 全群体测试可以显示不符合的确切次数, 使组织更好地理解与控制失效相关的剩余风险.
- 有效性-自动化可以引入连续监控, 在正式的定期测试之前,在哪里自动测试控制的符合性. 如果控件不兼容, 可以向可以解决此问题的控件所有者生成一条自动消息. 如果正确执行,这可以确保测试时100%的有效性, 降低总体法规遵从性和澳门赌场官方下载风险,同时避免不合规成本和不利的监管行为.
成功执行自动化议程的关键取决于风险管理过程的成熟度, 对业务流程和相关控制有清晰的理解, 管理控制和测试的一个或多个系统的可用性.e.、工作流票务、集中访问管理、风险管理系统). 假设存在一个合理的成熟度水平, 以及支持给定业务流程的技术系统, 组织应该检查他们的控制清单,以确定在控制级别和测试生命周期级别进行自动化的适当候选者. 该清单可用于根据投资回报确定潜在的自动化候选方案,因为实现所需的效率需要在时间或金钱上进行固有的投资.
一般, 一些理想的技术领域已经成熟,可以获得最佳收益(最低投资), 最高的回报). 这些包括:
- 访问管理——用户访问往往是比较复杂和需要大量手工操作的领域之一, 即使对于具有支持授予访问权限的集中式系统的组织也是如此. 此外, 用户请求的绝对数量, 传输和特权访问类型意味着需要测试抽样. 自动化可以通过增加人口覆盖率来消除抽样.
- 变更管理——类似于访问管理, 变更管理往往有多个工作流和一个集中的支持系统, 使自己成为自动化的主要候选者.
- 网络安全操作——警报生成, 数据丢失预防监控和类似的网络安全流程也有很大的容量, 集中的系统和大量的证据使得自动化成为这个领域的优先事项.
除了业务流程和支持控制的自动化之外, 数据分析工具可以为测试团队提供强大的功能,以减少测试周期时间. 测试团队可以在短时间内开发工作流分析功能, 然后将其应用到大型证据电子表格中,以便对人口进行全面覆盖的自动分析和验证. 这是一个理想的用例,其中控制本身是手动的,不能自动化(通常由于时间或优先级),但是测试团队可以实现风险降低和劳动效率.
尽管自动化不能处理风险管理框架中的成熟度或缺陷, 它可以提高控制执行和测试的效率, 降低风险,加强控制环境的整体有效性. 简而言之, 它使技术控制测试的“展示”方面更加引人注目和可验证.
编者按: 关于这个话题的进一步见解,请阅读迈克尔·鲍尔斯最近在《澳门赌场官方下载》上发表的文章, “技术控制测试自动化案例研究” ISACA学报,第5卷,2021年.
ISACA期刊今年创刊50周年! 和我们一起庆祝吧,别忘了你还可以通过访问你的 偏好中心 选择加入!
