您當前的位置:首頁 > 關于一品 > 一品新聞 >

IT審計應該怎么做?

首先大家知道,IT審計的工作內容可以分為兩部分,一是支持財審做對一些對具體余額的認定進行審計,這塊IT審計人員一般會做一些ITAC(IT應用控制)審。
另一塊就是所謂的ITGC(IT一般控制),什么是ITGC,ITGC具體做什么呢?說起來其實也沒啥技術含量,從我之前在事務所做IT審計的底稿來看,ITGC主要審以下內容:
一、ELC(entity level control)控制。就是看看客戶在IT治理方面的相關組織架構是否合理,書面的管理制度是不是健全,具體的審計程序就是獲取客戶的組織結構圖,及一些比較虛的總綱類的書面管理制度如《IT管理制度》等等。
二、系統開發和變更。就是關注系統開發和系統后續小變更中的一些控制,具體的審計程序就是獲取系統開發及變更相關的管理制度典型的如《系統開發制度》《系統變更管理制度》等來看一看,再看系統開發是否經過了需求提出、可行性研究、領導層審批,系統上線之前是不是經過了充分的測試,獲取一些內控痕跡和表單,如《××系統需求報告》、《××系統可行性報告》、《××系統立項審批單》、《××系統單元測試報告》、《××系統集成測試報告》、《××系統上線審批單》,然后變更方面比較重要的就是《變更審批單》,這個一般來說還要進行抽樣,而上面的開發流程一般來說做一兩個穿行測試就行了。
三、操作系統及數據庫控制。這一塊呢具體就是看操作系統和數據庫登錄是不是要密碼,然后把登錄界面截個屏作為審計證據K進底稿里,蠻弱智的。然后呢就是調出操作系統及數據庫中的一些安全配置,如密碼復雜度的要求,密碼是不是強制一個月改一次,對系統的敏感操作是否有日志記錄,日志是否有人去復核,再者就是看用戶權限管理是否按照基于角色來進行權限分配。現在商用方面操作系統用得比較多的是win2000,LINUX,UNIX,銀行AIX用得比較多,數據庫就是SAP,ORACLE,SQL server等,銀行DB2用得也比較多。審計的時候呢,對于安全配置,就是輸入一些命令,調出相關配置,四大像安永會有團隊專門設計腳本 ,只要放到客戶機器上那么一跑,結果自動就出來了,高度傻瓜式,流程化機械化,IT審計師的可替代性更強了,價值更低了。再就是把所有用戶的權限列表拉出來,看是不是合理合規,后點關注超級管理員的權限。
四、應用系統控制。關注點同操作系統及數據庫。不過應用系統千變萬化,比如銀行里面比較大的應用系統就有綜合業務系統(有的叫核心業務系統)、國際結算系統、大小額系統、信貸管理系統等等等等。但萬變不離其綜,這些系統做ITGC思路都是一樣的,就看安全配置和用戶權限。如果要支持財審進行ITAC的審計,則要具體情況具體分析設計,因此個人認為ITAC的審計是IT審計師能體現自身經驗與價值的地方,光做ITGC是沒有前途的
五、接口控制與信息安全。各種系統之前會有接口,那么數據從一個系統傳輸到另一系統中數據的準確性完整性要得到保證。審計程序一般首先看系統中是不是有自動核對的機制,比如銀行的核心業務系統基本與每個重要的業務系統都有接口并且每天會進行大量的數據交互,做的好的會有一個核對機制,加入一些校驗機制,確認數據的準確完整,有的銀行測沒有。信息安全就是看看網絡管理相關的制度,看看防火墻的結構,內外網是不是分離啊等等。



 
QQ在線咨詢
服務熱線
185-1192-2067
服務熱線
0755-27900597
竞彩资讯_竞彩网