IT审计办法题库.pptVIP

GROUP AUDIT ASIA-PACIFIC PRESENTATION ON IT AUDIT APPROACH IT 审计方法 15 OCTOBER 2003 Samuel Ko, Senior IT Audit Manager （高国雄） Chi Fai Wong, Senior IT Audit Manger （黄志辉） IT 审计部门的职份 为IT项目、电脑设施、开发部门及系统所行使的 内部监控的充分性和有效性作出独立评估；并确保其活动与集团IT标准与策略保持一致 提出有建设性的建议，以纠正现行内部监控措施或程序上的缺陷 为业务审计工作提供技术支援。 IT 审计工作的范围 （1）IT审计工作可分为以下类别： IT审计 - 电脑设施审计（Computer Installation) - 系统软件审计（System Software) - 通讯审计（Communications) - 开发部门审计（Development Department) - IT 项目审计（Project) - 系统实施前审计（Pre-implementation) - 系统实施后审计（Post-implementation/System) IT 审计工作的范围 （1）IT 审计工作可分为以下类别： 系统检讨/审查（System Review) 技术研究和CAAT的开发/支援（Technical Research and CAAT Development/Support）。 （2）IT 审计工作又可分为周期性和非周期性。 周期性的审计（Cyclical Audits)是定期的审计工作；包括电脑设施（mainframe,midrange 和 Local Area Network)，系统软件，通讯和开发部门。 （2）IT 审计工作又可分为周期性和非周期性。 非周期性的审计（Non-Cyclical Audits）是： 包括现正开发或行使中的系统 透过定期与IT部门主管所进行的讨论和审查IT项目的开发计划从而选择出有高风险的项目/系统进行审计。 （3）业务和IT联合审计工作 （Integrated Audits) 以上所列出的审计工作通常最有效是由业务和IT审计部门同时联合进行。因为它能： 给公司高层对于业务和支持工作上一个单一和全面的审计结论 令整体审计的覆盖更全面 令业务和IT审计的同事可以分享他人的知识 令IT问题可从整体业务观点来看。 审计的目标和范围 （1）电脑设施审计（Computer Installation Audit） 审计的目标是审查电脑设施的管理、监控和操作。范围包括评估： 组织与管理 电脑设施和登入的保安 灾难应变计划 电脑操作的监控 电脑程式变更的监控 确保所行使的监控和操作与集团的IT标准与策略保持一致。 （2）系统软件审计（System Software Audit) 审计的目标是审查系统软件的监控和保安设置。范围包括评估： 保安管理和设置 备份、恢复和灾难应变计划 电脑程式变更的监控 服务商支援的有效性 确保所行使的监控和操作与集团的IT标准与策略保持一致。 （3）通讯审计（Communications Audit） 审计的目标是审查通讯相关部门和通讯网络的管理、监控和操作。范围包括评估： 组织与管理 通讯网络和设备采购、开发、维修和分发上的监控 网络管理和控制功能，包括性能监控与存货管理 通讯网络、设备和系统的容量、可靠性、连续性、功能的支持 （3）通讯审计（Communications Audit） 通讯网络、设备和系统的保安 网络的完整性，传输时的保护级别 网络/系统操作和程式变更的监控 网络配置和系统文档 问题处理和应急管理 确保所行使的监控和操作与集团的IT标准与策略保持一致。 （4）开发部门审计（Development Department Audit) 审计的目标是审查开发部门的管理和监控。范围包括评估： 组织与管理 标准和文档是否足够 项目管理和控制 程序维护，测试，质量保证和分发程序 开发和生产环境的控制 确保所行使的监控和操作与集团的IT标准与策略保持一致。 （5）IT项目审计（Project Audit) 审计的目标是审查IT项目的管理和监控。范围包括评估： 组织与管理 用户参与程度 IT和用户培训 项目计划、控制和管理 品质和预算控制 确保所行使的监控和操作与集团的IT标准与策略保持一致 设计步骤、方法和技术 实施步骤和迁移计划。 （6）系统实施前审计（Pre-implementation Audit) 审计的目标是审查数句迁移和系统实施