第6讲组织和管理控制.DOC

INTOSAI IT审计委员会 IT控制教师指南2007年3月 目录 模块介绍 3 第1讲: 模块介绍与内容 4 第2讲: IT与审计过程 9 第3讲: IT控制模型 12 第4讲: 规划IT控制审查 20 第5讲: 存档IT系统 29 第6讲: 组织和管理控制 47 第7讲: IT操作 64 第8讲: 物理和环境控制 73 第9讲: 逻辑访问控制 85 第10讲: 变更管理 102 第11讲: 第三方服务提供商 114 第12讲: 终端用户计算 124 第13讲: 应用控制介绍 135 第14讲: 应用安全 145 第15讲: 输入、处理和输出控制 152 第16讲: 主文件和标准数据控制 190 模块介绍 这个为期四天的模块包括：规划一个认证审计和构建一个团队来承担这项工作，它详细覆盖了管理、安装与应用三个层次的控制。这个IT控制（IT controls）模块是用来培训审计师的，要求他们能够理解IT控制的类型，这些是审查计算机化的财务系统时很可能遇见的。 目标 完成这个模块以后，学员应该可以： 理解审计认证的目标，由IT系统带来的控制相关的问题； 鉴别和存档关键的财政系统； 承担管理、操作与应用控制的审查； 提出改善控制的建议； 鉴别与测试关键控制； 理解IT控制的弱点对于审计方法的影响。 学员对象 IT控制模块是为那些审计师设计的，他们开展IT控制审查，作为财务报告（f