IT-rammeverkene – en unik kilde for risikovurderinger og revisjonsplanlegging
Revisjonsstandardene sier at «Internrevisorer må ha tilstrekkelig kunnskap om de viktigste risikoer og kontrolltiltak innenfor informasjonsteknologi og tilgjengelig teknologibaserte revisjonsteknikker for å kunne utføre sine tildelte arbeidsoppgaver».
IT-rammeverkene gir oss god praksis og er ofte tilgjengelig gratis eller kan aksesseres gjennom medlemskap i bransjeorganisasjoner som for eksempel IIA og ISACA.
IT-nettverket arrangerte i februar webinaret «Hvordan ta grep på IT-revisjoner», og manager compliance & audit i PGS, Sonia Almeida, presenterte et utvalg av de mest benyttede IT-rammeverkene.
| Rammeverk | Eier | Innhold | Kostnad |
| Global Technology Guides (GTAG) | IIA | Bredt, dekker de fleste kontrollområder | Gratis* |
| IT Infrastructure Library (ITIL) | OGC | IT-prosesser, hovedfokus på service/støtte | Betaling |
| Control Objectives for Information and Related Technologies (COBIT) | ISACA | Rammeverk for styring og kontroll. IT-mål linkes mot forretningsmål | Gratis* |
| ISO/IEC 27000-serie | ISO | IT-sikkerhet. Rammeverk for design/praksis | Betaling |
| National Institute of Standards and Technology (NIST) | NIST | IT-sikkerhet. Rammeverk for design/etterlevelse | Gratis |
| Nasjonal Sikkerhetsmyndighet | NSM | IT-sikkerhet. Prinsipper for beskyttelse | Gratis |
| Center for Internet Security | CIS | IT-sikkerhet. Teknisk rammeverk. «Topp 18 kontroller» og «Benchmark konfigurasjon og testprosedyrer» | Gratis |
| The Open Web Application Security Project (OWASP) | OWASP | IT. Sikkerhet. Fokus på applikasjonsnivå. Publiserer «Topp 10» sikkerhetskontroller | Gratis |
* Betinger medlemskap
«Big Four» har også egne rammeverk som dekker aktuelle IT-områder. Artikkelforfatteren sin erfaring er at disse rammeverkene har flere likhetstrekk enn ulikheter i forhold til de som er listet ovenfor.
I hvilken grad et eller flere rammeverk benyttes i virksomhetene, vil trolig variere avhengig av virksomhetens art, modenhet og hvilke «governanceaktører» som har hatt den sterkeste stemmen internt i virksomheten.
Uavhengig om din funksjon har sitt utspring i internrevisjon, risikostyring, compliance eller virksomhetsstyring-/ledelse, er IT-rammeverkene en kilde for god praksis. I et kontrollaspekt kan rammeverkene hjelpe deg til å forstå virksomhetens risikoer og om adekvate kontroller er etablert og fungerer som de skal. I et mer anlagt styringsperspektiv vil også rammeverkene hjelpe deg til god praksis i forhold til design av IT-prosesser og linking av IT opp mot virksomhetens forretningsmål.
– og det er vel heller ingen ulempe at det meste er gratis?
PS: Hvis du gikk glipp av kurset og du ønsker å lære mer om rammeverkene, kan du se opptaket av kurset HER.
