8物理和环境控制-IntosaiCommunityPortal.doc

PAGE PAGE 1 INTOSAI IT 审计委员会 IT控制学员资料2007年3月 IT控制 : 学员资料 PAGE 1 目 录 TOC \o 1-1 \h \z HYPERLINK \l _Toc185584331 1 介绍与模块内容 PAGEREF _Toc185584331 \h 2 HYPERLINK \l _Toc185584332 2 IT与审计过程 PAGEREF _Toc185584332 \h 4 HYPERLINK \l _Toc185584333 3 IT控制模型 PAGEREF _Toc185584333 \h 6 HYPERLINK \l _Toc185584334 4 规划IT控制审查 PAGEREF _Toc185584334 \h 12 HYPERLINK \l _Toc185584335 5 存档IT系统 PAGEREF _Toc185584335 \h 14 HYPERLINK \l _Toc185584336 6 组织和管理控制 PAGEREF _Toc185584336 \h 25 HYPERLINK \l _Toc185584337 7 IT操作 PAGEREF _Toc185584337 \h 37 HYPERLINK \l _Toc185584338 8 物理和环境控制 PAGEREF _Toc185584338 \h 42 HYPERLINK \l _Toc185584339 9 逻辑访问控制 PAGEREF _Toc185584339 \h 49 HYPERLINK \l _Toc185584340 10 变更管理 PAGEREF _Toc185584340 \h 60 HYPERLINK \l _Toc185584341 11 网络控制和Internet的使用 PAGEREF _Toc185584341 \h 67 HYPERLINK \l _Toc185584342 12 第三方服务提供商 PAGEREF _Toc185584342 \h 68 HYPERLINK \l _Toc185584343 13 终端用户计算控制 PAGEREF _Toc185584343 \h 76 HYPERLINK \l _Toc185584344 14 应用控制介绍 PAGEREF _Toc185584344 \h 82 HYPERLINK \l _Toc185584345 15 应用安全 PAGEREF _Toc185584345 \h 87 HYPERLINK \l _Toc185584346 16 输入、处理和输出控制 PAGEREF _Toc185584346 \h 91 HYPERLINK \l _Toc185584347 17 主文件和标准数据控制 PAGEREF _Toc185584347 \h 109 介绍与模块内容 模块目标 这个模块的主要目标在于教给IT审计学员如何开展客户的IT系统和与财政及操作业务的处理与报告相关的程序的审查。这些内容包括管理、安装和应用层次的控制，还有关键控制的识别和测试。 为满足主要目标，这个IT控制模块目标在于： 识别和存档关键商务系统； 承担审查客户的计算机化的控制，包括管理控制、操作控制和应用控制； 测试关键IT控制 确定IT系统对于审计过程的影响，理解IT控制的不足对于审计过程的影响； 为改进客户的内部控制提供建议； 理解客户对于企业恢复规划的需求。 本书中识别的大部分控制的概念也适用于财务和非财务系统的控制。依据审计的范围和每个SAI的要求，会需要IT审计师审查财务和非财务系统的安全和控制。 注意：企业连续性规划本身是一个大的题目，因此相关的学员指导包含在独立的教材中。 学员应该意识到IT审计标准和工作实践对每个SAI是不同的。本模块中建议的方法应该调整以适应本地标准和要求。当进行控制审查时，也应该审查模块“IT审计介绍”中描述的由几个国际和国家的组织发布的标准和指导。 本模块中包含的主题如下： IT和审计过程； IT控制模块； 规划控制审查； 存档IT系统； 组织和管理控制； IT操作； 物理和环境控制； 逻辑访问控制； 变更管理； 网络控制和Internet使用； 第三方服务供应商； 终端用户计算控制； 应用控制介绍； 应用安全； 输入、处理和输出控制； 主文件和标准数据控制。 IT与审计过程 内部控制的类型和本质的变化 客户IT系统中的手工和计算机化的内部控制可以分成以下几类： 人事：不管职