《IT审计办法汇总ppt课件.ppt》由会员分享,可在线阅读,更多相关《IT审计办法汇总ppt课件.ppt(27页珍藏版)》请在三一办公上搜索。
1、GROUP AUDIT ASIA-PACIFICPRESENTATION ONIT AUDIT APPROACHIT 审计方法15 OCTOBER 2003,Samuel Ko, Senior IT Audit Manager(高国雄)Chi Fai Wong, Senior IT Audit Manger(黄志辉),IT 审计部门的职份 为IT项目、电脑设施、开发部门及系统所行使的 内部监控的充分性和有效性作出独立评估;并确保其活动与集团IT标准与策略保持一致 提出有建设性的建议,以纠正现行内部监控措施或程序上的缺陷 为业务审计工作提供技术支援。,IT 审计工作的范围(1)IT审计工作可分为
2、以下类别: IT审计 - 电脑设施审计(Computer Installation) - 系统软件审计(System Software) - 通讯审计(Communications) - 开发部门审计(Development Department) - IT 项目审计(Project) - 系统实施前审计(Pre-implementation) - 系统实施后审计(Post-implementation/System),IT 审计工作的范围(1)IT 审计工作可分为以下类别: 系统检讨/审查(System Review) 技术研究和CAAT的开发/支援(Technical Research a
3、nd CAAT Development/Support)。,(2)IT 审计工作又可分为周期性和非周期性。周期性的审计(Cyclical Audits)是定期的审计工作;包括电脑设施(mainframe,midrange 和 Local Area Network),系统软件,通讯和开发部门。,(2)IT 审计工作又可分为周期性和非周期性。非周期性的审计(Non-Cyclical Audits)是: 包括现正开发或行使中的系统 透过定期与IT部门主管所进行的讨论和审查IT项目的开发计划从而选择出有高风险的项目/系统进行审计。,(3)业务和IT联合审计工作 (Integrated Audits)以
4、上所列出的审计工作通常最有效是由业务和IT审计部门同时联合进行。因为它能: 给公司高层对于业务和支持工作上一个单一和全面的审计结论 令整体审计的覆盖更全面 令业务和IT审计的同事可以分享他人的知识 令IT问题可从整体业务观点来看。,审计的目标和范围(1)电脑设施审计(Computer Installation Audit)审计的目标是审查电脑设施的管理、监控和操作。范围包括评估: 组织与管理 电脑设施和登入的保安 灾难应变计划 电脑操作的监控 电脑程式变更的监控 确保所行使的监控和操作与集团的IT标准与策略保持一致。,(2)系统软件审计(System Software Audit)审计的目标是
5、审查系统软件的监控和保安设置。范围包括评估: 保安管理和设置 备份、恢复和灾难应变计划 电脑程式变更的监控 服务商支援的有效性 确保所行使的监控和操作与集团的IT标准与策略保持一致。,(3)通讯审计(Communications Audit)审计的目标是审查通讯相关部门和通讯网络的管理、监控和操作。范围包括评估: 组织与管理 通讯网络和设备采购、开发、维修和分发上的监控 网络管理和控制功能,包括性能监控与存货管理 通讯网络、设备和系统的容量、可靠性、连续性、功能的支持,(3)通讯审计(Communications Audit) 通讯网络、设备和系统的保安 网络的完整性,传输时的保护级别 网络/
6、系统操作和程式变更的监控 网络配置和系统文档 问题处理和应急管理 确保所行使的监控和操作与集团的IT标准与策略保持一致。,(4)开发部门审计(Development Department Audit)审计的目标是审查开发部门的管理和监控。范围包括评估: 组织与管理 标准和文档是否足够 项目管理和控制 程序维护,测试,质量保证和分发程序 开发和生产环境的控制 确保所行使的监控和操作与集团的IT标准与策略保持一致。,(5)IT项目审计(Project Audit)审计的目标是审查IT项目的管理和监控。范围包括评估: 组织与管理 用户参与程度 IT和用户培训 项目计划、控制和管理 品质和预算控制 确
7、保所行使的监控和操作与集团的IT标准与策略保持一致 设计步骤、方法和技术 实施步骤和迁移计划。,(6)系统实施前审计(Pre-implementation Audit)审计的目标是审查数句迁移和系统实施计划;并找出可能明显影响实施成功的重大问题。范围包括评估: 组织与管理项目管理与控制 编程与测试的质量控制 试运行与模拟 系统实施/迁移准备 应急计划、测试和应急回退 培训的足够性和质量 文档的可用性与充足性,(7)系统实施后审计(Post-Implementation/System Audit)审计的目标是审查系统安全机制的建立、控制、完整性和使用情况。范围包括评估: 系统和控制参数的设置 安
8、全系统的建立,加强正确的授权、责任的分割和数据保密 系统的性能和可操作性 系统和数据的精确可靠性 系统的容量,支持和可恢复性,(7)系统实施后审计 系统接中的控制 足够的系统功能性和异常的报告 系统带来效益的实现程度 系统的使用和相关操作控制过程,系统检讨/审查(SYSTEMS REVIEW)目标和范围(Objective and Scope)IT审计部应从开始便参与重大系统的开发;以便尽早发现系统控制和设计上的缺陷从而减低其后修改的费用。,检讨/审查方法(Review Approach)(1)审查系统开发时所编定的文件系统审查应配合系统开发的进程。资料大多来自IT项目所编定的文件。例子如下:
9、 授权的范围 可行性报告 系统设计报告 系统和用户测试计划 系统实施及迁私计划 EDP 操作手册,用户执行/程序手册 系统安全手册,(1)审查系统开发时所编定的文件系统设计报告、系统安全和用户执行/程序手册是作为系统审查所必须研究和明白的文件。这些文件须联同业务审计部的同事进行研究方可取得最有效的成果。其它文件只须检查其内容是否符合集团的IT标准与策略。,(2)审查策略 当没有系统文件存在时因IT部门取用了快速系统开发方法Rapid Application Development (RAD)Approach _ 进行系统开发。审查策略大致如下: 透过定期与IT项目主管所进行的讨论和审查IT项目
10、的开发计划 检视系统在开发中的模型从而评估系统监控上的缺陷和其风险 记录重要风险和监控程序,把所有系统监控上的缺陷告知IT部门。,(3)项目的监控如要对项目进行有效的监控,IT审计员要: 定期检视项目计划、进展报告 透过与IT项目主管所进行的讨论 参与督导小组会议。,(4)参与系统和用户测试参与系统和用户测试能增加IT审计员对发展中系统的认识、从而增加现在和日后对系统进行审计的有效性。,技术研究和CAAT的开发/支援(Technical Research and CAAT Development/Support)各类IT审计都利用了CAATS来增强执行审查工作上的有效性。,QUESTIONS AND ANSWERS,人有了知识,就会具备各种分析能力,明辨是非的能力。所以我们要勤恳读书,广泛阅读,古人说“书中自有黄金屋。”通过阅读科技书籍,我们能丰富知识,培养逻辑思维能力;通过阅读文学作品,我们能提高文学鉴赏水平,培养文学情趣;通过阅读报刊,我们能增长见识,扩大自己的知识面。有许多书籍还能培养我们的道德情操,给我们巨大的精神力量,鼓舞我们前进。,
