IT审计办法汇总

GROUPAUDITASIA-PACIFICPRESENTATIONONITAUDITAPPROACHIT审计方法15OCTOBER2003SamuelKo,SeniorITAuditManager（高国雄）ChiFaiWong,SeniorITAuditManger（黄志辉）IT审计部门的职份•为IT项目、电脑设施、开发部门及系统所行使的内部监控的充分性和有效性作出独立评估；并确保其活动与集团IT标准与策略保持一致•提出有建设性的建议，以纠正现行内部监控措施或程序上的缺陷•为业务审计工作提供技术支援。IT审计工作的范围（1）IT审计工作可分为以下类别：•IT审计-电脑设施审计（ComputerInstallation)-系统软件审计（SystemSoftware)-通讯审计（Communications)-开发部门审计（DevelopmentDepartment)-IT项目审计（Project)-系统实施前审计（Pre-implementation)-系统实施后审计（Post-implementation/System)IT审计工作的范围（1）IT审计工作可分为以下类别：•系统检讨/审查（SystemReview)•技术研究和CAAT的开发/支援（TechnicalResearchandCAATDevelopment/Support）。（2）IT审计工作又可分为周期性和非周期性。周期性的审计（CyclicalAudits)是定期的审计工作；包括电脑设施（mainframe,midrange和LocalAreaNetwork)，系统软件，通讯和开发部门。（2）IT审计工作又可分为周期性和非周期性。非周期性的审计（Non-CyclicalAudits）是：•包括现正开发或行使中的系统•透过定期与IT部门主管所进行的讨论和审查IT项目的开发计划从而选择出有高风险的项目/系统进行审计。（3）业务和IT联合审计工作（IntegratedAudits)以上所列出的审计工作通常最有效是由业务和IT审计部门同时联合进行。因为它能：•给公司高层对于业务和支持工作上一个单一和全面的审计结论•令整体审计的覆盖更全面•令业务和IT审计的同事可以分享他人的知识•令IT问题可从整体业务观点来看。审计的目标和范围（1）电脑设施审计（ComputerInstallationAudit）审计的目标是审查电脑设施的管理、监控和操作。范围包括评估：•组织与管理•电脑设施和登入的保安•灾难应变计划•电脑操作的监控•电脑程式变更的监控•确保所行使的监控和操作与集团的IT标准与策略保持一致。（2）系统软件审计（SystemSoftwareAudit)审计的目标是审查系统软件的监控和保安设置。范围包括评估：•保安管理和设置•备份、恢复和灾难应变计划•电脑程式变更的监控•服务商支援的有效性•确保所行使的监控和操作与集团的IT标准与策略保持一致。（3）通讯审计（CommunicationsAudit）审计的目标是审查通讯相关部门和通讯网络的管理、监控和操作。范围包括评估：•组织与管理•通讯网络和设备采购、开发、维修和分发上的监控•网络管理和控制功能，包括性能监控与存货管理•通讯网络、设备和系统的容量、可靠性、连续性、功能的支持（3）通讯审计（CommunicationsAudit）•通讯网络、设备和系统的保安•网络的完整性，传输时的保护级别•网络/系统操作和程式变更的监控•网络配置和系统文档•问题处理和应急管理•确保所行使的监控和操作与集团的IT标准与策略保持一致。（4）开发部门审计（DevelopmentDepartmentAudit)审计的目标是审查开发部门的管理和监控。范围包括评估：•组织与管理•标准和文档是否足够•项目管理和控制•程序维护，测试，质量保证和分发程序•开发和生产环境的控制•确保所行使的监控和操作与集团的IT标准与策略保持一致。（5）IT项目审计（ProjectAudit)审计的目标是审查IT项目的管理和监控。范围包括评估：•组织与管理•用户参与程度•IT和用户培训•项目计划、控制和管理•品质和预算控制•确保所行使的监控和操作与集团的IT标准与策略保持一致•设计步骤、方法和技术•实施步骤和迁移计划。（6）系统实施前审计（Pre-implementationAudit)审计的目标是审查数句迁移和系统实施计划；并找出可能明显影响实施成功的重大问题。范围包括评估：•组织与管理•项目管理与控制•编程与测试的质量控制•试运行与模拟•系统实施/迁移准备•应急计划、测试和应急回退•培训的足够性和质量•文档的可用性与充足性（7）系统实施后审计（Post-Implementation/SystemAudit)审计的目标是审查系统安全机制的建立、控制、完整性和使用情况。范围包括评估：•系统和控制参数的设置•安全系统的建立，加强正确的授权、责任的分割和数据保密•系统的性能和可操作性•系统和数据的精确可靠性•系统的容量，支持和可恢复性（7）系统实施后审计•系统接中的控制•足够的系统功能性和异常的报告•系统带来效益的实现程度•系统的使用和相关操作控制过程系统检讨/审查（SYSTEMSREVIEW)目标和范围（ObjectiveandScope）IT审计部应从开始便参与重大系统的开发；以便尽早发现系统控制和设计上的缺陷从而减低其后修改的费用。检讨/审查方法（ReviewApproach）（1）审查系统开发时所编定的文件系统审查应配合系统开发的进程。资料大多来自IT项目所编定的文件。例子如下：•授权的范围•可行性报告•系统设计报告•系统和用户测试计划•系统实施及迁私计划•EDP操作手册，用户执行/程序手册•系统安全手册（1）审查系统开发时所编定的文件系统设计报告、系统安全和用户执行/程序手册是作为系统审查所必须研究和明白的文件。这些文件须联同业务审计部的同事进行研究方可取得最有效的成果。其它文件只须检查其内容是否符合集团的IT标准与策略。（2）审查策略—当没有系统文件存在时因IT部门取用了[快速系统开发方法]RapidApplicationDevelopment（RAD）Approach_进行系统开发。审查策略大致如下：•透过定期与IT项目主管所进行的讨论和审查IT项目的开发计划•检视系统在开发中的模型从而评估系统监控上的缺陷和其风险•记录重要风险和监控程序，把所有系统监控上的缺陷告知IT部门。（3）项目的监控如要对项目进行有效的监控，IT审计员要：•定期检视项目计划、进展报告•透过与IT项目主管所进行的讨论•参与督导小组会议。（4）参与系统和用户测试参与系统和用户测试能增加IT审计员对发展中系统的认识、从而增加现在和日后对系统进行审计的有效性。技术研究和CAAT的开发/支援（TechnicalResearchandCAATDevelopment/Support)各类IT审计都利用了CAATS来增强执行审查工作上的有效性。QUESTIONSANDANSWERS人有了知识，就会具备各种分析能力，明辨是非的能力。所以我们要勤恳读书，广泛阅读，古人说“书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；通过阅读文学作品，我们能提高文学鉴赏水平，培养文学情趣；通过阅读报刊，我们能增长见识，扩大自己的知识面。有许多书籍还能培养我们的道德情操，给我们巨大的精神力量，鼓舞我们前进。