公司层面IT审计.docVIP

1、ITELC介绍 IT控制环境 IT风险评估 IT信息与沟通 IT监控 ? 公司的IT组织架构是如何设定的？ ? 公司的IT战略规划是如何设定的？ ? 公司的IT组织架构及战略规划是否与企业整体相适应？ ?公司是否对IT风险进行评估？ ?公司是否对IT风险进行了有效的管理？ ?公司是否制定了适当的IT政策及制度？ ?IT政策及制度是否被定期审阅并更新？ ?IT政策及制度是否与员工进行了沟通？ ?管理层如何对IT活动进行监控与评估？ ?内审部门是否拥有进行IT审计的资源？ ?内审计划中是否包括IT审计的内容？ 1、ITELC介绍 ELC-E1.1 控制目标： 企业的IT战略规划、计划及预算等与企业的整体战略规划及业务目标相一致。 标准控制活动： 企业相关职能部门制定了与企业整体战略规划及业务目标相一致的IT战略规划、IT年度 计划及预算，并且得到了管理层的批准。 测试步骤： 1、询问IT部门领导，了解公司IT 战略规划、IT 年度计划和IT 年度预算的制定、审批及 下发流程。 2、获取并检查公司IT战略规划、IT年度工作计划及IT年度工作预算，确认公司是否制定 了与企业整体战略规划及业务目标相一致的IT战略规划、IT年度计划及预算； 3、获取IT战略规划、IT年度工作计划及IT年度工作预算的审批文档（可能是由公司IT治 理委员会审批记录，也可能是公司董事长或总经理的签批文件），确认上述文档是否经 过管理层的审批。 证据示例： 1.战略规划 2.工作计划 ３.预算 审批文件 审批文件 审批文件 ELC-E2.1 控制目标： IT部门机构设置合理，并配备具有适当技能和经验的人员。 标准控制活动： 企业建立了IT指导委员会及独立的信息技术部门，并根据职责分工情况设置了合理的科室和人 员岗位，对各岗位人员职责、能力明确定义和说明，并确保职责分离。 测试步骤： 1、询问IT部门领导，了解公司IT指导委员会（其他叫法包括：IT治理委员会、IT科技委员会、 IT战略管理委员会等）及IT部门的职能设置和人员配备情况。 2、获取并查看IT指导委员会的组织架构和职能说明，确认公司IT指导委员会设置是否合理； 获取并检查IT指导委员会会议纪要，确认IT指导委员会是否按照公司要求履行其职能。（如果 公司IT环境比较简单，没有成立IT指导委员会，可以直接对IT部门的设置进行测试。） 3、获取并查看IT部门的组织架构图以及岗位说明书，确认公司是否合理设置了IT 部门和员工 岗位 ，并对岗位人员的职责进行了明确定义和说明，且确保职责分离。 ELC-E3.1 控制目标： 企业对IT风险进行有效评估及管理。 标准控制活动： 企业建立了合乎规范的IT风险评估机制，包括评估方法、评估机构人员安排、评估报告等 ，并针对不同的风险设计了必要的应对措施。 测试步骤： 1、询问IT部门领导，了解公司是否积极进行持续性的风险评估，并将其作为设计和执行内 部控制，定义IT策略以及监控评价机制的一个重要手段； 2、获取并检查IT风险评估体系文档及审计年度内的IT风险评估报告， 确认公司是否制定了 合乎规范的 IT 风险评估机制并定期开展IT风险评估工作。 ELC-E4.1 控制目标： IT部门与其他部门有效沟通，满足其业务需求。 标准控制活动： 企业设立了专门委员会或专门的协调机制保证业务部门与IT部门就具体业务需求充分沟通，保证各部门 行动协调一致。 测试步骤： 1、询问IT部门领导，了解公司是否建立了专门的协调机制以确保业务部门与IT 部门就具体业务需求进 行充分沟通（如：是否建立了专门的管理委员会、是否定期召开跨部门会议等）。 2、根据IT部门与业务部门的实际沟通机制，按照财务审计/ITA抽样原则确认样本量，获取并检查其沟 通交流的相关证据资料（如：会议纪要，来往邮件等），确认公司是否建立了专门的协调机制以确保业 务部门与IT 部门就具体业务需求进行充分沟通。 ELC-E5.1 控制目标： IT制度被及时下发并遵照执行，避免IT资产及信息损失。 标准控制活动： IT部门订立了信息系统使用规范，并使用适当的渠道下发至有关业务部门，同时举办相关培训，以确保 业务部门了解并执行信息系统使用规范 。 测试步骤： 1、询问IT部门领导，了解公司是否制定了信息系统使用规范，是否使用适当的渠道下发至有关业务部 门并举办相关培训。 2、获取并检查相关信息系统使用规范，确认公司是否制定了信息系统使用规范。 3、按照询问得知的下发渠道，获取并检查信息系统使用规范下发平台截图或其他证据（如内网、员工 手册、OA系统等），确认公司是否通过适当的渠道将信息系统使用规范下发至有关业务部门； 4、获取并检查信息系统使用规范培训相关证据（如：培训计划、培训通知、培训资料、签到表等）， 确认公司是否对员工