Kontrollen testen

Mit Hilfe der Projekte-App können Sie alle Aufgaben, die beim Testen einer Kontrolle anfallen, ohne großen Aufwand und effektiv organisieren. Innerhalb eines Projekt können Sie die Anzahl der Testrunden angeben, das Design der Kontrollen auswerten, einen Testplan vorbereiten und die Wirksamkeit der Kontrolle beurteilen.

Letztendlich können die Testergebnisse in einem Projekt in die Einstufung Allgemeine Absicherung einfließen, bei der es sich um eine Echtzeitdarstellung dessen handelt, wie gut Ihre Organisation ein Risiko beilegt.

Szenario

Als Prüfungsmanager sind Sie ein gesamtes Projekt vom Typ Genereller IT-Kontroll-Review (IA-Zusammenhang) verantwortlich. Zuvor haben Sie ein Projekt aus einer Projektvorlage erstellt. Jetzt müssen Sie eine der Kontrollen im Ziel Physische Sicherheit testen, um ihr Design und ihre betriebliche Wirksamkeit zu bewerten.

Während Sie das Design und die betriebliche Wirksamkeit jeder Kontrolle im Projekt testen, möchten Sie in der Lage sein, mit Hilfe eines Benchmarks in Echtzeit die Fähigkeit der Organisation bei der Beilegung des Risikos zu beurteilen. Diese Informationen sind sehr hilfreich bei der Vorbereitung des endgültigen Prüfungsberichts.

Projekt anlegen

Dieses Tutorial beschäftigt sich mit den Schlüsselbereichen in der Projekte-App, in denen Sie beim Testen von Kontrollen arbeiten werden.

Erstellen Sie zunächst ein Projekt aus einer Vorlage. Wenn Sie ein Projekt erstellen, müssen Sie entscheiden, wie viele Testrunden das Projekt haben soll.

  1. Vergewissern Sie sich, dass Sie über die erforderlichen Berechtigungen verfügen, um ein Projekt anzulegen.

  2. Wählen Sie auf der Launchpad-Startseite (www.highbond.com) die App Projekte aus, um sie zu öffnen.

    Wenn Sie sich bereits in Diligent One befinden, können Sie über das linke Navigationsmenü zur Projekte-App wechseln.

  3. Erstellen Sie zunächst ein neues Projekt unter Verwendung der Projektvorlage Genereller IT-Kontroll-Review (IA-Zusammenhang).
  4. Bestimmen Sie, wie viele Testrunden im Projekt durchgeführt werden müssen. Wählen Sie in diesem Fall Eine und klicken Sie auf Übertragen:

    Hinweis

    Wenn Sie zum erstmals ein Projekt erstellen oder übertragen, wird die von Ihnen gewählte Anzahl von Testrunden gesperrt. Sie können die Anzahl der Testrunden nach dem Speichern des Projekts nicht mehr ändern.

    Ergebnis Sie haben das Projekt mit einer Testrunde erstellt, mit der die betriebliche Effektivität der Kontrolle überprüft werden soll. Für jede Kontrolle, die Sie im Projekt definieren, werden ein Testplan, eine exemplarische Vorgehensweise und eine einzelne Testrunde automatisch erstellt.

Absicherung aktivieren

Richten Sie zunächst Ihr Projekt ein. Als ersten Schritt aktivieren Sie die Absicherung, sodass Sie die Testergebnisse für die Berichterstellung zusammenfassen können.

  1. Klicken Sie im Projekt Genereller IT-Kontroll-Review (IA-Zusammenhang) in der oberen rechten Ecke auf Einstellungen.
  2. Aktivieren Sie Absicherung auf der Unterregisterkarte Einstellungen.

Ergebnis Sie haben die Absicherung im Projekt aktiviert. Die Testergebnisse im Projekt werden nun automatisch zusammengefasst, und Sie können in Echtzeit einen Bericht zur Absicherung erstellen.

Kontrollkonzept bewerten

Großartig, das Projekt wurde vollständig eingerichtet und kann verwendet werden. Sie können jetzt mit der richtigen Arbeit beginnen, indem Sie eine exemplarische Vorgehensweise durchführen, um das Design der Kontrolle zu bewerten.

  1. Klicken Sie innerhalb des Projekts Genereller IT-Kontroll-Review (IA-Zusammenhang) auf die Registerkarte Einsatz vor Ort.
  2. Klicken Sie neben dem Ziel Physische Sicherheit auf Gehe zu und wählen Sie Exemplarische Vorgehensweisen.
  3. Klicken Sie neben PS-001 auf Ansicht/Bearbeiten, geben Sie die folgenden Details ein und klicken Sie auf Speichern:

    • Ergebnisse der exemplarischen Vorgehensweise

      Am <Datum>, gemeinsam abgefragt mit Mark Manning (Manager), um festzustellen, ob Richtlinien vorhanden sind und dem Mitarbeitern mitgeteilt wurden. Als Anfrage wurden Richtliniendokumente an die Mitarbeiter verteilt und wiederkehrende Schulung in Bezug auf die physische Sicherheit werden zweimal pro Jahr durchgeführt, um sicherstellen, dass die Mitarbeiter wissen, welche Verantwortung sie tragen.

    • Ist diese Kontrolle angemessen gestaltet? Angemessen gestaltet

Ergebnis Sie haben das Design der Kontrolle bewertet. Die exemplarische Vorgehensweise der Kontrolle wurde als „bestanden” definiert.

Testplan vorbereiten

Nach der Durchführung einer exemplarische Vorgehensweise haben Sie ein besseres Verständnis dafür, wie die Kontrolle entworfen wurde, um das Risiko beizulegen. Bevor Sie damit beginnen, die Wirksamkeit der Kontrolle zu testen, müssen Sie einen Testplan vorbereiten, der identifiziert, wie Sie die Kontrolle testen werden.

  1. Klicken Sie auf die Registerkarte Einsatz vor Ort auf Gehe zu neben dem Ziel Physische Sicherheit und wählen Sie Testplan.
  2. Klicken Sie auf Plan bearbeiten neben PS-001, geben Sie die folgenden Details ein und klicken Sie auf Speichern:
    • Testmethode Inspektion

    • Gesamtstichprobengröße 1

      Hinweis

      Wenn der Testplan das erste Mal erstellt wird, d. h., wenn Sie eine Kontrolle erstellen, wird die Stichprobengröße festgelegt. Gesamtstichprobengröße basiert auf zwei Attributfeldern der Kontrolle: Häufigkeit und Typ.

    • Testschritte/Testattribute

      1. Besorgen Sie sich eine Kopie des Richtliniendokuments zur physischen Sicherheit der Organisation.
      2. Bewerten Sie die Dokumentation anhand der folgenden Faktoren:
        1. Abdeckung der kritischen Teile des Plans und der Verfahren der Organisation
        2. Dokumentation der Vorfälle

Ergebnis Sie haben die Testmethode, die Gesamtstichprobengröße (aufgeteilt auf die Anzahl der Testrunden) und die Testschritte definiert, die durchgeführt werden müssen, um die Kontrolle zu testen.

Wirksamkeit der Kontrolle bewerten

Da Sie die Testmethode und die Schritte in Ihrem Testplan dokumentiert haben, wissen Sie, wie Sie beim Testen der Kontrolle vorgehen werden. Der letzte Schritt besteht aus der Durchführung des Tests zur Bewertung der betrieblichen Wirksamkeit der Kontrolle.

  1. Klicken Sie auf der Seite Testplan auf den Linke Testen.

  2. Geben Sie die folgenden Details ein und klicken Sie auf Speichern:

    • Testen Sie diese Kontrolle im Rahmen dieser Testrunde? Ja
    • Benutzer zugewiesen Ihr Name

    • Testergebnisse

      Es gibt eine formal dokumentierte und kommunizierte Richtlinie zur physischen Sicherheit und eine Kontrollstruktur.

    • Hat diese Kontrolle effektiv funktioniert? Funktioniert effektiv

Ergebnis Sie haben die betriebliche Wirksamkeit der Kontrolle bewertet. Der Test der Kontrolle wird als „bestanden” definiert.

Diskussion

Nun, nachdem Sie eine Kontrolle getestet haben, lernen Sie über die nächsten Schritte, die Sie durchführen können, und erfahren, welche Verbindung zwischen dem Testen einer Kontrolle und der Absicherung besteht.

Wie geht's weiter?

Um die Aussagen in Ihren Ergebnissen zu untermauern, können Sie unterstützende Dokumentation zu exemplarischen Vorgehensweisen und Tests hinzufügen, indem Sie die Dateien hochladen oder Belege aus der Ergebnisse-App verlinken.

In diesem Szenario wurden sowohl die exemplarische Vorgehensweise als auch der Test der Kontrolle bestanden. Wenn die exemplarische Vorgehensweise oder der Test der Kontrolle nicht bestanden wurden, könnten Sie Ausnahmen notieren, indem Sie Probleme protokollieren. Sie können ein Problem protokollieren, indem Sie auf Problem hinzufügen im Fensterbereich Probleme klicken.

Weitere Informationen zur Protokollierung von Problemen finden Sie unter Probleme aufzeichnen.

Kurs in der Akademie absolvieren

Sie können Ihre Kenntnisse zu den in diesem Tutorial vorgestellten Konzepten ausbauen, indem Sie einen Kurs in der Akademie absolvieren.

Weiteren Informationen finden Sie unter Kurskatalog.

Kontrollbewertungen automatisieren

Die Durchführung von Kontrollbewertungen kann ein zeitaufwendiger und manueller Prozess sein. Um die Wirksamkeit zu erhöhen, können Sie Bewertungsfaktoren anlegen, um Kontrollbewertungen zu automatisieren. Auf diese Weise können Sie schneller auf Änderungen reagieren und die Informationen zum richtigen Zeitpunkt an die richtige Person leiten.

Weitere Informationen finden Sie unter Kontrollbewertungen automatisieren.

Wie sieht der größere Zusammenhang aus?

Sie haben zuvor eine Einstellung mit der Bezeichnung Absicherung aktiviert. Dank dieser Einstellung können Sie im Projekt für die Berichterstellung einen Wert für die allgemeine Absicherung anzeigen (der als Prozentsatz angezeigt wird). Absicherung ermöglicht Ihnen eine Benchmark-Analyse durchzuführen, um festzustellen, wie gut eine Organisation Risiken beilegt.

Während Sie exemplarische Vorgehensweisen und Tests durchführen, fasst die Projekte-App in Echtzeit nur die Testergebnisse und Probleme aus den aktiven Projekten automatisch zusammen und berechnet die Absicherung.

Weitere Informationen zur Funktionsweise der Absicherung finden Sie unter Erste Schritte bei der Absicherung von Risiken.

Echtzeitberechnung der Absicherung

Klicken Sie im Projekt Genereller IT-Kontroll-Review (IA-Zusammenhang) auf die Registerkarte Ergebnisse. Sie sehen, dass der Wert für die Allgemeine Absicherung 2 % beträgt.

Das bedeutet, sehr wenige Kontrollen der Organisation legen das Risiko effektiv bei - tatsächlich funktioniert im Moment nur die von Ihnen getestete Kontrolle wirksam:

Wenn exemplarische Vorgehensweisen und Tests bestanden werden, erhöht sich die Absicherung. Alle exemplarischen Vorgehensweisen und Tests, die fehlschlagen, werden als „fehlgeschlagen” eingestuft und verringern den Wert für die Sicherungseinstufung.