平安内控项目OE测试培训材料.pptVIP

应用控制审核的相关工作底稿介绍 应用控制审核的工作方法 了解业务流程 识别应用控制 测试应用控制 控制缺陷分析和报告 应用控制审核一般包含以下四个步骤，了解业务流程、识别应用控制、测试应用控制和报告过程。 应用控制审核的主要相关工作底稿介绍 应用控制审核的工作方法 - 了解业务流程 在该步骤中，需要通过访谈和穿行测试了解业务流程，厘清业务流程中的数据流、文档流和财务流。 该步骤的主要文档有： 业务流程描述 业务流程图 注：穿行测试即指在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求比照，以发现内控设计与执行缺陷的方法。 应用控制审核的主要相关工作底稿介绍 应用控制审核的工作方法 - 识别应用控制 在该步骤中，根据之前了解的业务流程，识别控制活动，并根据控制活动的类别，识别出应用控制或手工控制，同时确定这些应用控制的关键程度。 该步骤的主要文档有： 应用控制矩阵 应用控制审核的主要相关工作底稿介绍 应用控制审核的工作方法 - 测试应用控制 在该步骤中，根据识别的应用控制属性和控制活动描述，对其进行控制测试，一般测试样本只要选择一组即可〔注〕。 该步骤的主要文档有： 应用控制测试文档 应用控制审核的主要相关工作底稿介绍 应用控制审核的工作方法 - 控制缺陷分析和报告 在该步骤中，对测试结果发现的控制缺陷进行汇总和分析，确定这些控制缺陷所造成的影响，以及关键程度。 该步骤的主要文档有： 控制缺陷清单 审核报告 应用控制的控制目标体系 应用控制点的识别方法介绍 应用控制和计算机环境整体控制的关系 应用控制审核的主要相关工作底稿介绍 案例讲解 案例讲解 寿险流程中关键的应用控制点 业务操作权限管理 职责分工 接口控制 单据编号控制 输入控制 输出控制 案例讲解 寿险流程审计案例一 应用系统控制测试领域：业务操作权限管理 控制描述： ELIS LCS模块的佣金主数据的权限控制：LCS系统中只有适宜的IT人员有权限对佣金的主数据〔奖金、津贴、负佣、福利保障和税金等工程的计算方式比例，初年度佣金及续年度效劳津贴等〕进行修改； 计算机环境整体控制审计案例 UNIX-AIX审计案例二： 控制活动：AIX中不使用的系统自建账号已经被删除或锁定 1 测试步骤一：通过cat命令获得AIX的etc/passwd文件，查看有“#〞标记的账号，以及密码信息为“*〞的账号。 计算机环境整体控制审计案例 UNIX-AIX审计案例二： 控制活动：AIX中不使用的系统自建账号已经被删除或锁定 2 测试步骤二：通过cat命令获得AIX的etc/security/user文件，查看不使用的系统自建账号的密码策略。 计算机环境整体控制审计案例 UNIX-AIX审计案例三： 控制活动：AIX中的密码策略被合理地设置 审计领域：信息平安 描述：AIX的密码策略存储在etc/security/user中，AIX可以为不同的账号设置不同的密码策略，如果账号没有设置密码策略，那么使用default密码策略，主要有的密码策略有： Loginretries: 账号连续登录失败次数限制 Maxage: 账号密码的最长有效期 Minalpha : 账号密码中包含字母的最少个数 mindiff : 账号密码中不相同字符的个数 minlen : 账号密码的最短长度 … 计算机环境整体控制审计案例 UNIX-AIX审计案例三： 控制活动：AIX中的密码策略被合理地设置 1 测试步骤一：通过cat命令获得AIX的etc/security/user文件，查看default密码策略。 计算机环境整体控制审计案例 UNIX-AIX审计案例四： 控制活动：AIX中的密码文件得到有效的保护 审计领域：信息平安 描述：AIX的密码在加密后存储在etc/security/passwd中，该文件不能被除了管理员之外的其他账号进行访问甚至改写，否那么将无法保证密码的平安。 AIX对文件的读写权限通过文件属性进行设定，AIX总共有三种权限，读取〔read),执行〔execute〕和改写〔write〕，此外AIX可以为文件的所有者、所有者所在组的组员、以及所有账号分别设定不同的权限。 计算机环境整体控制审计案例 UNIX-AIX审计案例四： 控制活动：AIX中的密码文件得到有效的保护 1 测试步骤一：通过ls命令获得AIX的etc/security/passwd文件的访问属性，查看该文件的访问属性是否是-rw- --- ---，即仅能有root改写。 计算机环境整体控制审计案例 UNIX-AIX审计案例五： 控制活动：AIX的远程访问被有效地控制 审计领域：信息平安 描述：AIX允许多台AIX效劳器之间建立