|
Er reglerne gode nok, og efterleves de i praksis? IT-review tager udgangspunkt i eksterne kontrolmål som f.eks. COBIT eller ISO27002, mens Compliance test er en test af, hvorvidt virksomhedens egne regler og politikker efterleves og fungerer i praksis (f.eks. hacker-test, test af antivirusforsvar mv.). Tests laves adhoc eller periodisk, og bruges til sparring - og som dokumentation overfor revisionen.
Grundlæggende undersøges designets tilstrækkelighed og implementeringens effektivitet:
-
Planlagt kontrolniveau: Det forudsættes, at den oplyste sikkerhedspolitik, forretningsgange og regler for opsætning og administration er implementeret som oplyst. Tilstrækkeligheden af kontrollerne vurderes i forhold til de eksterne kontrolmål samt de risici, som virksomheden selv har identificeret som væsentlige.
-
Realiseret kontrolniveau: Den faktiske opsætning og administration gennemgås og vurderes mht. effektivitet og tilstrækkelighed, i forhold til risiko/konsekvens, virksomhedens politikker og best practice.
Undersøgelsen gennemføres typisk stikprøvevist for nøglepersoner, systemer og processer. Der redegøres for observationer og for risikoen herved, og fremsættes forslag til, hvordan politikker og/eller opsætning og administration kan ændres, således at risikoen reduceres. Observationer verificeres af de ansvarlige for området, således at fejl og misforståelser undgås. Til virksomhedens ledelse udarbejdes kortfattet notat med konklusion for området. | 
