CISA_IT审计实务培训2_审计实务.pptVIP

金融企业IT审计实务培训 —— 2. 实务、方法与工具 一、 常用审计方法概述 1.文档复核 2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析 1.文档复核 理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规 2.面询与问卷设计 面谈准备： 背景研究 确定对象 内容、时间和地点 面谈实施： 时间控制 气氛把握 记录方式 确认 后续分析 2.面询与问卷设计 问卷调查 问题设计 目的性 问卷对象：专业性与客观性 答案的明确性 如何避免答案失真 3.比对技术 源代码比对 目标代码比对 特征值比对 4.业务观察与穿行测试 实际岗位分工与制度是否一致 穿行测试（walk－through）：实际流程是否一致 安全意识 汇报路线：权责是否一致 5.渗透测试 模拟攻击行为，发现漏洞 关键： 实施风险分析 全面备份与恢复计划 委托专业机构 6. 数据测试 测试 选择重要模块 数据设计 覆盖各种情况：数据类型、编码违规、违反逻辑条件、数据文件不一致…… 来源：实际业务数据、用户测试数据、审计师测试数据、自动生成数据 一般方式： 黑盒 白盒 6. 数据测试 测试类型 ITF(生产环境中用测试用例） 输入标记 消除影响 平行模拟(SQL,EXCEL+VBA) 开发原型 新旧系统交接 7.