- 1、本文档共144页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
应用控制审核的相关工作底稿介绍 应用控制审核的工作方法 了解业务流程 识别应用控制 测试应用控制 控制缺陷分析和报告 应用控制审核一般包含以下四个步骤,了解业务流程、识别应用控制、测试应用控制和报告过程。 应用控制审核的主要相关工作底稿介绍 应用控制审核的工作方法 - 了解业务流程 在该步骤中,需要通过访谈和穿行测试了解业务流程,厘清业务流程中的数据流、文档流和财务流。 该步骤的主要文档有: 业务流程描述 业务流程图 注:穿行测试即指在正常运行条件下,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求比照,以发现内控设计与执行缺陷的方法。 应用控制审核的主要相关工作底稿介绍 应用控制审核的工作方法 - 识别应用控制 在该步骤中,根据之前了解的业务流程,识别控制活动,并根据控制活动的类别,识别出应用控制或手工控制,同时确定这些应用控制的关键程度。 该步骤的主要文档有: 应用控制矩阵 应用控制审核的主要相关工作底稿介绍 应用控制审核的工作方法 - 测试应用控制 在该步骤中,根据识别的应用控制属性和控制活动描述,对其进行控制测试,一般测试样本只要选择一组即可〔注〕。 该步骤的主要文档有: 应用控制测试文档 应用控制审核的主要相关工作底稿介绍 应用控制审核的工作方法 - 控制缺陷分析和报告 在该步骤中,对测试结果发现的控制缺陷进行汇总和分析,确定这些控制缺陷所造成的影响,以及关键程度。 该步骤的主要文档有: 控制缺陷清单 审核报告 应用控制的控制目标体系 应用控制点的识别方法介绍 应用控制和计算机环境整体控制的关系 应用控制审核的主要相关工作底稿介绍 案例讲解 案例讲解 寿险流程中关键的应用控制点 业务操作权限管理 职责分工 接口控制 单据编号控制 输入控制 输出控制 案例讲解 寿险流程审计案例一 应用系统控制测试领域:业务操作权限管理 控制描述: ELIS LCS模块的佣金主数据的权限控制:LCS系统中只有适宜的IT人员有权限对佣金的主数据〔奖金、津贴、负佣、福利保障和税金等工程的计算方式比例,初年度佣金及续年度效劳津贴等〕进行修改; 计算机环境整体控制审计案例 UNIX-AIX审计案例二: 控制活动:AIX中不使用的系统自建账号已经被删除或锁定 1 测试步骤一:通过cat命令获得AIX的etc/passwd文件,查看有“#〞标记的账号,以及密码信息为“*〞的账号。 计算机环境整体控制审计案例 UNIX-AIX审计案例二: 控制活动:AIX中不使用的系统自建账号已经被删除或锁定 2 测试步骤二:通过cat命令获得AIX的etc/security/user文件,查看不使用的系统自建账号的密码策略。 计算机环境整体控制审计案例 UNIX-AIX审计案例三: 控制活动:AIX中的密码策略被合理地设置 审计领域:信息平安 描述:AIX的密码策略存储在etc/security/user中,AIX可以为不同的账号设置不同的密码策略,如果账号没有设置密码策略,那么使用default密码策略,主要有的密码策略有: Loginretries: 账号连续登录失败次数限制 Maxage: 账号密码的最长有效期 Minalpha : 账号密码中包含字母的最少个数 mindiff : 账号密码中不相同字符的个数 minlen : 账号密码的最短长度 … 计算机环境整体控制审计案例 UNIX-AIX审计案例三: 控制活动:AIX中的密码策略被合理地设置 1 测试步骤一:通过cat命令获得AIX的etc/security/user文件,查看default密码策略。 计算机环境整体控制审计案例 UNIX-AIX审计案例四: 控制活动:AIX中的密码文件得到有效的保护 审计领域:信息平安 描述:AIX的密码在加密后存储在etc/security/passwd中,该文件不能被除了管理员之外的其他账号进行访问甚至改写,否那么将无法保证密码的平安。 AIX对文件的读写权限通过文件属性进行设定,AIX总共有三种权限,读取〔read),执行〔execute〕和改写〔write〕,此外AIX可以为文件的所有者、所有者所在组的组员、以及所有账号分别设定不同的权限。 计算机环境整体控制审计案例 UNIX-AIX审计案例四: 控制活动:AIX中的密码文件得到有效的保护 1 测试步骤一:通过ls命令获得AIX的etc/security/passwd文件的访问属性,查看该文件的访问属性是否是-rw- --- ---,即仅能有root改写。 计算机环境整体控制审计案例 UNIX-AIX审计案例五: 控制活动:AIX的远程访问被有效地控制 审计领域:信息平安 描述:AIX允许多台AIX效劳器之间建立
文档评论(0)