第8讲物理和环境控制-IntosaiCommunityPortal.DOC

INTOSAI IT审计委员会 IT控制教师指南2007年3月 目录 模块介绍 3 第1讲: 模块介绍与内容 4 第2讲: IT与审计过程 9 第3讲: IT控制模型 12 第4讲: 规划IT控制审查 20 第5讲: 存档IT系统 29 第6讲: 组织和管理控制 47 第7讲: IT操作 64 第8讲: 物理和环境控制 73 第9讲: 逻辑访问控制 85 第10讲: 变更管理 102 第11讲: 第三方服务提供商 114 第12讲: 终端用户计算 124 第13讲: 应用控制介绍 135 第14讲: 应用安全 145 第15讲: 输入、处理和输出控制 152 第16讲: 主文件和标准数据控制 190 模块介绍 这个为期四天的模块包括：规划一个认证审计和构建一个团队来承担这项工作，它详细覆盖了管理、安装与应用三个层次的控制。这个IT控制（IT controls）模块是用来培训审计师的，要求他们能够理解IT控制的类型，这些是审查计算机化的财务系统时很可能遇见的。 目标 完成这个模块以后，学员应该可以： 理解审计认证的目标，由IT系统带来的控制相关的问题； 鉴别和存档关键的财政系统； 承担管理、操作与应用控制的审查； 提出改善控制的建议； 鉴别与测试关键控制； 理解IT控制的弱点对于审计方法的影响。 学员对象 IT控制模块是为那些审计师设计的，他们开展IT控制审查，作为财务报告（financial statements）审计的一部分，或者是那些开展安全审查的设计师。 内容 本模块包括了规划一个认证审计和构建一个团队来承担这项工作。它详细覆盖了管理、安装与应用三个层次的控制，还包括了关键控制的鉴别与测试。 第1讲: 模块介绍与内容 第一讲是对IT控制模块的一个介绍。它允许课程教师和学员自我介绍。也应该介绍一些管理细节给学员。 方法 幻灯片和讨论 时间 30分钟 需要的设备 白板 挂图 幻灯片 S1/1 : 幻灯片 S1/2 proforma audit guide）审查一个IT系统的基本原理。 IT控制模块的目标概述如下： 关键业务系统（key business systems）的鉴别与存档：客户的众多IT系统中哪个对审计是重要的。一旦鉴别出来，就需要存档。 审查计算机化的控制（管理、操作和应用控制）和测试关键控制：如何在预先准备的形式IT控制（IT controls proforma）的帮助下规划和执行一个审查。一旦确定了控制，如何测试它们。 为客户提供建议：以改进客户的内部控制。 幻灯片 S1/3 : 幻灯片 S1/4, S1/5, S1/6 和S1/7 : 下面的四个幻灯片展示了每天各讲内容的概括。 第一天 第1讲：课程管理与介绍，即本节 第2讲：IT与审计过程 第3讲：IT控制模型 内部控制的元素，比如物理、技术、管理、过程和人员控制。 控制的分类：预防性的、检测性的和修正性的。 通常的IT控制和应用控制（IT控制“洋葱”）的联系。 第4讲：规划一个IT控制审查 收集客户IT系统的信息 其他专家的参与 要存档的系统的鉴别 第5讲：存档IT系统 存档什么样的硬件和软件构成了客户的关键IT系统 通过计算机系统的业务流程图 第6讲：组织与管理控制 高层策略和过程 高层控制欠缺相关的风险 典型IT部门的组织与管理 责任分离 第二天 第7讲： IT操作 什么是IT操作 控制不善的IT操作相关的风险 控制IT操作 第8讲： 物理和环境控制 控制欠缺相关的风险 客户处理风险的方法 特殊的物理和环境控制 第9讲： 逻辑访问控制 逻辑访问控制欠缺相关的风险 保护什么资源 访问安全框架和逻辑访问控制 第10讲： 变更管理 系统变更的原因 变更控制欠缺相关的风险 变更控制过程 第三天 第11讲： 第三方服务提供商 使用第三方服务提供商的好处 使用第三方服务可能的问题 合同 第12讲： 终端用户计算 什么是终端用户计算？ 终端用户计算带来的风险 计算机病毒 终端用户计算控制 第13讲： 应用控制介绍 对程序所有权的需求 程序管理员和用户的角色和职责 第14讲： 应用安全 应用访问控制 主文件、标准数据和业务文件控制 审计路径和审计日志 配置管理 第15讲： 输入、处理和输出控制 对业务控制的需求 输入、处理和输出控制 第16讲： 主文件和标准数据控制 它们是什么 它们为什么重要 保护数据的控制 第四天 第17讲：案例学习与修订 第18讲： 模块复习 第2讲: IT与审计过程 幻灯片 S2/1 : 本讲回顾了IT控制在整个财务审计过程中的角色。 方法 幻灯片和讨论 时间 60分钟 需要的设备 胶片投影仪或幻灯片音视频设备 白板 挂图 分发品 第二讲学生资料 第二讲测验 幻灯片 S2/2 :幻灯片 S2/3 :Segregation o