IT审计办法.ppt
《IT审计办法.ppt》由会员分享,可在线阅读,更多相关《IT审计办法.ppt(25页珍藏版)》请在冰点文库上搜索。
GROUPAUDITASIA-PACIFICPRESENTATIONONITAUDITAPPROACHIT审计方法15OCTOBER2003,SamuelKo,SeniorITAuditManager(高国雄)ChiFaiWong,SeniorITAuditManger(黄志辉),IT审计部门的职份为IT项目、电脑设施、开发部门及系统所行使的内部监控的充分性和有效性作出独立评估;并确保其活动与集团IT标准与策略保持一致提出有建设性的建议,以纠正现行内部监控措施或程序上的缺陷为业务审计工作提供技术支援。
IT审计工作的范围
(1)IT审计工作可分为以下类别:
IT审计-电脑设施审计(ComputerInstallation)-系统软件审计(SystemSoftware)-通讯审计(Communications)-开发部门审计(DevelopmentDepartment)-IT项目审计(Project)-系统实施前审计(Pre-implementation)-系统实施后审计(Post-implementation/System),IT审计工作的范围
(1)IT审计工作可分为以下类别:
系统检讨/审查(SystemReview)技术研究和CAAT的开发/支援(TechnicalResearchandCAATDevelopment/Support)。
(2)IT审计工作又可分为周期性和非周期性。
周期性的审计(CyclicalAudits)是定期的审计工作;包括电脑设施(mainframe,midrange和LocalAreaNetwork),系统软件,通讯和开发部门。
(2)IT审计工作又可分为周期性和非周期性。
非周期性的审计(Non-CyclicalAudits)是:
包括现正开发或行使中的系统透过定期与IT部门主管所进行的讨论和审查IT项目的开发计划从而选择出有高风险的项目/系统进行审计。
(3)业务和IT联合审计工作(IntegratedAudits)以上所列出的审计工作通常最有效是由业务和IT审计部门同时联合进行。
因为它能:
给公司高层对于业务和支持工作上一个单一和全面的审计结论令整体审计的覆盖更全面令业务和IT审计的同事可以分享他人的知识令IT问题可从整体业务观点来看。
审计的目标和范围
(1)电脑设施审计(ComputerInstallationAudit)审计的目标是审查电脑设施的管理、监控和操作。
范围包括评估:
组织与管理电脑设施和登入的保安灾难应变计划电脑操作的监控电脑程式变更的监控确保所行使的监控和操作与集团的IT标准与策略保持一致。
(2)系统软件审计(SystemSoftwareAudit)审计的目标是审查系统软件的监控和保安设置。
范围包括评估:
保安管理和设置备份、恢复和灾难应变计划电脑程式变更的监控服务商支援的有效性确保所行使的监控和操作与集团的IT标准与策略保持一致。
(3)通讯审计(CommunicationsAudit)审计的目标是审查通讯相关部门和通讯网络的管理、监控和操作。
范围包括评估:
组织与管理通讯网络和设备采购、开发、维修和分发上的监控网络管理和控制功能,包括性能监控与存货管理通讯网络、设备和系统的容量、可靠性、连续性、功能的支持,(3)通讯审计(CommunicationsAudit)通讯网络、设备和系统的保安网络的完整性,传输时的保护级别网络/系统操作和程式变更的监控网络配置和系统文档问题处理和应急管理确保所行使的监控和操作与集团的IT标准与策略保持一致。
(4)开发部门审计(DevelopmentDepartmentAudit)审计的目标是审查开发部门的管理和监控。
范围包括评估:
组织与管理标准和文档是否足够项目管理和控制程序维护,测试,质量保证和分发程序开发和生产环境的控制确保所行使的监控和操作与集团的IT标准与策略保持一致。
(5)IT项目审计(ProjectAudit)审计的目标是审查IT项目的管理和监控。
范围包括评估:
组织与管理用户参与程度IT和用户培训项目计划、控制和管理品质和预算控制确保所行使的监控和操作与集团的IT标准与策略保持一致设计步骤、方法和技术实施步骤和迁移计划。
(6)系统实施前审计(Pre-implementationAudit)审计的目标是审查数句迁移和系统实施计划;并找出可能明显影响实施成功的重大问题。
范围包括评估:
组织与管理项目管理与控制编程与测试的质量控制试运行与模拟系统实施/迁移准备应急计划、测试和应急回退培训的足够性和质量文档的可用性与充足性,(7)系统实施后审计(Post-Implementation/SystemAudit)审计的目标是审查系统安全机制的建立、控制、完整性和使用情况。
范围包括评估:
系统和控制参数的设置安全系统的建立,加强正确的授权、责任的分割和数据保密系统的性能和可操作性系统和数据的精确可靠性系统的容量,支持和可恢复性,(7)系统实施后审计系统接中的控制足够的系统功能性和异常的报告系统带来效益的实现程度系统的使用和相关操作控制过程,系统检讨/审查(SYSTEMSREVIEW)目标和范围(ObjectiveandScope)IT审计部应从开始便参与重大系统的开发;以便尽早发现系统控制和设计上的缺陷从而减低其后修改的费用。
检讨/审查方法(ReviewApproach)
(1)审查系统开发时所编定的文件系统审查应配合系统开发的进程。
资料大多来自IT项目所编定的文件。
例子如下:
授权的范围可行性报告系统设计报告系统和用户测试计划系统实施及迁私计划EDP操作手册,用户执行/程序手册系统安全手册,
(1)审查系统开发时所编定的文件系统设计报告、系统安全和用户执行/程序手册是作为系统审查所必须研究和明白的文件。
这些文件须联同业务审计部的同事进行研究方可取得最有效的成果。
其它文件只须检查其内容是否符合集团的IT标准与策略。
(2)审查策略当没有系统文件存在时因IT部门取用了快速系统开发方法RapidApplicationDevelopment(RAD)Approach_进行系统开发。
审查策略大致如下:
透过定期与IT项目主管所进行的讨论和审查IT项目的开发计划检视系统在开发中的模型从而评估系统监控上的缺陷和其风险记录重要风险和监控程序,把所有系统监控上的缺陷告知IT部门。
(3)项目的监控如要对项目进行有效的监控,IT审计员要:
定期检视项目计划、进展报告透过与IT项目主管所进行的讨论参与督导小组会议。
(4)参与系统和用户测试参与系统和用户测试能增加IT审计员对发展中系统的认识、从而增加现在和日后对系统进行审计的有效性。
技术研究和CAAT的开发/支援(TechnicalResearchandCAATDevelopment/Support)各类IT审计都利用了CAATS来增强执行审查工作上的有效性。
QUESTIONSANDANSWERS,
升级会员 