IT-rammeverkene gir oss god praksis og er ofte tilgjengelig gratis.
Revisjonsstandardene sier at «Internrevisorer må ha tilstrekkelig kunnskap om de viktigste risikoer og kontrolltiltak innenfor informasjonsteknologi og tilgjengelig teknologibaserte revisjonsteknikker for å kunne utføre sine tildelte arbeidsoppgaver».
IT-rammeverkene gir oss god praksis og er ofte tilgjengelig gratis eller kan aksesseres gjennom medlemskap i bransjeorganisasjoner som for eksempel IIA og ISACA.
IT-nettverket arrangerte i februar webinaret «Hvordan ta grep på IT-revisjoner», og manager compliance & audit i PGS, Sonia Almeida, presenterte et utvalg av de mest benyttede IT-rammeverkene.
| Rammeverk | Eier | Innhold | Kostnad |
| Global Technology Guides (GTAG) | IIA | Bredt, dekker de fleste kontrollområder | Gratis* |
| IT Infrastructure Library (ITIL) | OGC | IT-prosesser, hovedfokus på service/støtte | Betaling |
| Control Objectives for Information and Related Technologies (COBIT) | ISACA | Rammeverk for styring og kontroll. IT-mål linkes mot forretningsmål | Gratis* |
| ISO/IEC 27000-serie | ISO | IT-sikkerhet. Rammeverk for design/praksis | Betaling |
| National Institute of Standards and Technology (NIST) | NIST | IT-sikkerhet. Rammeverk for design/etterlevelse | Gratis |
| Nasjonal Sikkerhetsmyndighet | NSM | IT-sikkerhet. Prinsipper for beskyttelse | Gratis |
| Center for Internet Security | CIS | IT-sikkerhet. Teknisk rammeverk. «Topp 18 kontroller» og «Benchmark konfigurasjon og testprosedyrer» | Gratis |
| The Open Web Application Security Project (OWASP) | OWASP | IT. Sikkerhet. Fokus på applikasjonsnivå. Publiserer «Topp 10» sikkerhetskontroller | Gratis |
«Big Four» har også egne rammeverk som dekker aktuelle IT-områder. Artikkelforfatteren sin erfaring er at disse rammeverkene har flere likhetstrekk enn ulikheter i forhold til de som er listet ovenfor.
I hvilken grad et eller flere rammeverk benyttes i virksomhetene, vil trolig variere avhengig av virksomhetens art, modenhet og hvilke «governanceaktører» som har hatt den sterkeste stemmen internt i virksomheten.
Uavhengig om din funksjon har sitt utspring i internrevisjon, risikostyring, compliance eller virksomhetsstyring-/ledelse, er IT-rammeverkene en kilde for god praksis. I et kontrollaspekt kan rammeverkene hjelpe deg til å forstå virksomhetens risikoer og om adekvate kontroller er etablert og fungerer som de skal. I et mer anlagt styringsperspektiv vil også rammeverkene hjelpe deg til god praksis i forhold til design av IT-prosesser og linking av IT opp mot virksomhetens forretningsmål.
– og det er vel heller ingen ulempe at det meste er gratis?
PS: Hvis du gikk glipp av kurset og du ønsker å lære mer om rammeverkene, kan du se opptaket av kurset HER.
