搜索
预防性控制职责分工,物理访问控制检查性控制审计轨迹纠正性控制备份程序IS审计了解审计环境---进行风险评估---编制审计计划符合性测试:属性抽样符合性测试是对内部控制的完整性、有效性和实施情况进行的测试。用以确定内部控制制度是否落实执行的审计测试。实质性测试:一种审计测试的方法,用来保证在足够的内部控制的基础上,可以避免发生严重错误或诈欺行为。变量抽样、分层单位平均估计法、差额估计法1固有风险评估2控制风险评估3控制测试评估4实质性测试评估符合性测试与实质性测试的区别主要有以下6点:1)测试目的不同:前者是为确定实质性测试性质,范围,时间;后者是为了对被审核单位内控制度发表审核意见。2)测试范围不同,前者只对拟信赖的内控进行测试;后者视委托目的而定。3)测试依据不同,前者依据《独立审计准则》;后者依据《内部控制审核指导意见》。4)测试时间不同,前者和报表审计期间相同;后者视委托目的而定。5)测试结果不同,前者形成审计工作底稿;后者形成内部控制审核报告。6)内部控制审核要求被审核单位提供有关内控情况的书面声明,而符合性测试不需要。第一章信息系统审计过程审计计划包括短期计划和长期计划。短期年度内需要实施,长期考虑IT战略方针对IT环境造成的影响所带来的相关风险问题。制定审计计划时:必须理解整体被审计环境。包括了解审计对象的各项业务流程和职能。审计计划步骤:1了解业务使命,目标、目的和流程2找出相关规定(政策、标准等)3风险分析4执行IT相关内部控制检查5确定审计目标和审计范围6制定审计方法或策略7为审计事项分配人力资源8关注项目后勤保障了解业务的步骤1巡检设施2阅读背景资料(出版物,报告)3检察业务及IT长期战略规划4访谈关键管理人5审阅以往审计报告或相关报告6识别适用于IT的具体规章7识别已外包的IT职能和相关活动。审计程序列表:1风险评估方法2数字签名3入侵检测4病毒和其他恶意代码5控制风险自评估6防火墙7违规和非法行为8安全评估——穿透测试和脆弱性分析9评估加密方法的管理控制10业务应用系统变更控制11电子资金转账(EFT)风险分析风险分析是帮助IS审计师识别风险和脆弱性并确定降低风险所需的控制。风险评估:1识别业务目标、信息资产、支持系统或相关信息资源。(风险评估)2识别选择风险减缓所需的控制(风险减缓)3监控所管理的风险水平(风险在评估)内部控制内部控制由能够降低组织风险的政策、规程、实务和组织结构组成。目地是使风险事件能够被预防、检测和纠正,业务目标能够达成。控制分类预防性、检测性和纠正性。一般控制适用于组织的所有领域IS控制程序:1战略和方针2全面的组织和管理3IT资源的访问4系统开发方法和变更控制5运行规程6系统编程和技术支持职能7质量保证QA流程8物理访问控制9业务持续计划(BCP)灾难恢复计划(DRP)10网络和通讯11数据库管理12对内、外部攻击的检查和保护机制审计方法:基于风险的审计``````````````````````````````````````````````````````````````````````````````````第二章定量的风险管理方法年预期损失方法ALE暴露因子EF单一损失期望SLE年度发生率ARO年度损失期望ALE/EAC资产VSLE=V*EFALE=SLE*ARO信息部门的组织结构信息处理设施IPF控制组ControlGroup负责输入的收集、转换和控制,核对结果向用户分配输出。系统分析员SystemAnalysts基于用户需求来设计系统的专家。应用程序员ApplicationsProgrammers开发新系统和维护生产中使用的系统。不能访问生产程序,只能在测试环境中开展。帮助台Helpdesk面向用户,解决技术问题和困难。最终用户EnderUserIT产品服务的使用者。数据录入员DataEntry对各部门的原始文件的保管、批量录入的准备、日程安排和作业准备、日志检验、输出结果的分发。计算机操作员ComputerOperator负责对IPF中的设备进行日常操作和管理,管理控制科备份为:1物理安全控制2数据安全控制3处理控制数据库管理员DatabaseAdministrator(DBA)其职责是定义和维护公司数据库系统的数据结构。拥有建立数据库控制的工具和绕过这些控制的能力,也能访问所有数据库,包括生产数据。通常无法禁止或完全预防DBA对生产数据的访问。因此,信息系统部门必须通过以下手段对数据库管理实施严格的控制:1职责分离。2DBA活动需要得到管理层的审批3由主管对数据库的访问日志和有关活动进行审核。4对使用数据库工具的情况进行检查性控制。网络管理员NetworkManager负责网络基础设施中的关键组成部分(路由器、交换机、防火墙、分段,运行管理、远程访问)负责局域网的技术和管理控制。在小规模组织中,,可以负责局域网的安全管理,不应赋予局域网管理员应用系统编程的责任,可以使其承担最终用户的责任。系统管理员SystemAdministrator负责维护主要的多用户计算机系统。(增加配置新工作站,设置帐号,安装系统软件,杀毒,分配存储空间)安全管理员SecurityAdministrator可以由IT管理人员担任。1维护对数据和其他IT资源的访问规则。2在分配和维护授权用户的ID和口令时,保护其安全性和保密性。3监督违法南拳规定的行为并采取纠正行动。4定期审查和评估安全政策。5安全知识宣传6测试安全架构发现可能的威胁。系统程序员SystemProgrammers负责维护系统软件,可能需要给与他们无限制的访问整个系统的权限。信息系统管理人员要密切监督,要求sp保留工作日志,只能访问负责维护的特定软件的系统库。质量保证人员QA执行两种不同的任务1质量保证QA:帮助信息系统部门,确保其人员遵守了规定2质量控制QC:进行测试和审查,验证和确保软件不存在缺陷并满足用户的预期。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*战略规划为企业达成目标奠定基础。IS政策、程序、标准和指引用来支持战略规划。*IS指导委员会职责:编制和监督系统实施计划*自动化系统中实施有效成本控制的最终责任人是业务单位管理层。*数据和系统所有者承担对适当的信息资产安全措施的维护。系统所有者通常将日常保管责任交给系统运行小组,将系统安全责任交给安全管理员,但所有者要承担适当的安全措施的维护责任。*IS部门应当专门考虑短期内分配资源的方式。IT投资应当与最高管理层的战略保持一致。*第三章IT基础设施和应用系统的生命周期管理业务效益分析(businesscase)是项目工作中的第一步。是项目生命周期中各个决策过程的关键因素。项目管理4要素:环境、资源、目标、组织网络分析技术:1.项目评审技术PERT2.关键路径法CPM传统的系统开发生命周期法SDLC用户接受性测试---需求定义阶段各种测试134页单元测试针对程序模块接口测试/集成测试:在单元测试的基础上将所有模块按设计要求组装成系统。系统测试:将测试的软件作为整个基于计算机系统的一个元素。最终接受测试:用户和质量保证人员集成测试工具(ITF):测试的数据是输入到现场运行系统中进行的与软件看法相关的风险:系统不符合用户业务的需要;设计和开发系统的项目活动超过了财务资源的限制,项目就会被推迟.其他的系统开发方法增量开发/渐进开发:1个版本1个版本的更新,系统功能内嵌到各个阶段的版本.迭代开发:迭代+增量的模式.处理软件开发项目中的复杂性和相关风险最佳方法.迭代开发有很多变种:演化式开发---原型设计是构建一个可工作的模型螺旋式开发---一个原型不行,要是用一系列原型敏捷开发-----快速声传出可工作的产品(原型法)F过程改进实务(174)F1业务过程业务过程重组(BPR)F2ISO9126软件质量衡量:功能性、可靠性、可用性、效率性、可维护性、可移植性。F3软件能力成熟度模型(CMM)1初始级。2可重复级:建立基本的项目管理控制。3已定义级:既关注项目问题,也关注组织问题,因为组织建立起了使高效率软件工程制度化的基本架构和跨项目的管理过程。可以开始使用平衡计分卡4已管理级:对软件开发过程和软件产品都有一个定量的理解。5优化级:不论组织还是项目必须追求可持续的,可度量的过程改进。包括缺陷预防、技术更新和流程改造管理。F4软件能力成熟度模型集成(CMMI)G应用控制(181)目标:保证记录的完整性和准确性及数据录入的准确性。G1输入控制/源头控制输入授权:1表格/源文件上签字。2在线访问控制。3唯一性口令。4终端/客户工作站识别。5源文件。批控制和批平衡批控制可以基于:总金额、总项目数、总文件数、杂数总合等控制手段。批平衡:能够通过人工或自动的对帐来执行。类型:批注册、控制帐户、计算机一致。错误报告和错误处理方法联机系统或数据库系统中的批输入完整性G2处理程序和控制用于保证应用程序处理的可靠性。数据确认和编辑检查程序顺序检查、极限检查、范围检查、有效性检查、合理性检查、查表、存在性检查、击键校验、校验数位、完整性检查、重复检查、逻辑检查。处理控制程序----保证数据的完整性和准确性人工重新计算、编辑、运行到运行的总计、计算机的合理性检查、计算机的极限检查、文件总数核对、例外报告。数据文件控制程序---确保数据只有授权的程序才能进行处理处理前后的数据映像报告;错误报告的维护和操作;源文件保存期;内、外部标签;版本使用;数据文件安全;一对一检查;预录输入;事务日志;文件更新和维护授权;奇偶校验。数据文件或数据库的表分为四类:系统控制参数、常备数据、主数据或平衡数据、事务文件。G3输出控制保证交付给用户的数据是符合格式要求的、可交付的,并以一致和安全的方式递交给用户。类型:在安全的地方登记和存储重要表单、计算机生成可流通的通知表单和签名、报告分发、平衡和核对、输出错误处理、输出报告管理、报告接受确认。G4对业务过程控制的保证要考虑的特定因素:流程图、流程控制、在流程中评估业务风险、对最佳实践进行标杆管理、角色与责任、活动与任务、数据限制。G5应用控制的审计信息系统审计师的任务:1识别重要的应用程序组件和贯穿系统的事务流,通过评价可利用的文件和与适当的人员面谈,获得对应用程序的详细理解。2确定应用控制的强度,评价控制弱点的影响,通过积累的信息分析来开发测试策略。3审核应用系统文件议价生对应用程序的理解。贯穿系统的事务流程的分析事务流程图提供了关键处理控制的相关信息。应当审核系统中的事物进入点、处理点和输出点,已发现控制弱点。准备风险评价模型以及分析应用控制观察和测试用户操作程序用户活动报告提供用户的详细活动时间,应当对活动报告进行审核,以确保活动的发生仅仅是在授权的操作时间内。数据完整性测试它是一种实质性测试程序,检查保留在系统中的当前数据的准确性、完整性、一致性和授权。文件定期的循环检查,这种控制技术成为循环校验。通用类型2种:关系完整性测试、参照完整性测试。联机事务处理系统中的数据完整性四个重要特征---ACID:A原子性C一致性I隔离性D持久性。原子性:我们把这种要么一起成功(A帐户成功减少1000,同时B帐户成功增加1000),要么一起失败(A帐户回到原来状态,B帐户也回到原来状态)的操作叫原子性操作。如果把一个事务可看作是一个程序,它要么完整的被执行,要么完全不执行。这种特性就叫原子性测试应用系统测试应用控制的有效性包括:1分析计算机应用程序。2测试计算机应用控制程序。3选择和监控数据处理事务。连续在线审计联机审计技术五种适用于连续在线审计的自动化评价技术:1系统控制审计检查文件和内嵌审计模型(SCARF/EAM)。应用系统中内嵌的特别编写的审计软件来监控应用系统的使用。复杂性非常高,适用于正常处理不能被中断时2整体测试(ITF)对审计的对象设置虚构的事务,运行得出的数据与独立计算出的数据进行比对。复杂性高,适用于采用测试数据没有益处时。3快照(Snapshots)记录事务从输入到输