公司层面IT审计

公司层面IT审计1、ITELC介绍IT控制环境IT风险评估IT信息与沟通IT监控・公司的IT组织架构是如何设定的，・公司的IT战略规划是如何设定的，・公司的IT组织架构及战略规划是否与企业整体相适应，•公司是否对IT风险进行评估，•公司是否对IT风险进行了有效的管理，•公司是否制定了适当的IT政策及制度，•IT政策及制度是否被定期审阅并更新，•IT政策及制度是否与员工进行了沟通，•管理层如何对IT活动进行监控与评估，•内审部门是否拥有进行IT审计的资源，•内审计划中是否包括IT审计的内容，1、ITELC介绍ELC-E1.1控制目标:企业的IT战略规划、计划及预算等与企业的整体战略规划及业务目标相一致。标准控制活动:企业相关职能部门制定了与企业整体战略规划及业务目标相一致的IT战略规划、IT年度计划及预算，并且得到了管理层的批准。测试步骤:1、询问IT部门领导，了解公司IT战略规划、IT年度计划和IT年度预算的制定、审批及下发流程。2、获取并检查公司IT战略规划、IT年度工作计划及IT年度工作预算，确认公司是否制定了与企业整体战略规划及业务目标相一致的IT战略规划、IT年度计划及预算；3、获取IT战略规划、IT年度工作计划及IT年度工作预算的审批文档（可能是由公司IT治理委员会审批记录，也可能是公司董事长或总经理的签批文件），确认上述文档是否经过管理层的审批。证据示例:1.战略规划2.工作计划,.预算审批文件审批文件审批文件ELC-E2.1控制目标:IT部门机构设置合理，并配备具有适当技能和经验的人员。标准控制活动:企业建立了IT指导委员会及独立的信息技术部门，并根据职责分工情况设置了合理的科室和人员岗位，对各岗位人员职责、能力明确定义和说明，并确保职责分离。测试步骤:1、询问IT部门领导，了解公司IT指导委员会（其他叫法包括:IT治理委员会、IT科技委员会、IT战略管理委员会等）及IT部门的职能设置和人员配备情况。2、获取并查看IT指导委员会的组织架构和职能说明，确认公司IT指导委员会设置是否合理；获取并检查IT指导委员会会议纪要，确认IT指导委员会是否按照公司要求履行其职能。（如果公司IT环境比较简单，没有成立IT指导委员会，可以直接对IT部门的设置进行测试。）3、获取并查看IT部门的组织架构图以及岗位说明书，确认公司是否合理设置了IT部门和员工岗位，并对岗位人员的职责进行了明确定义和说明，且确保职责分离。ELC-E3.1控制目标:企业对IT风险进行有效评估及管理。标准控制活动:企业建立了合乎规范的IT风险评估机制，包括评估方法、评估机构人员安排、评估报告等，并针对不同的风险设计了必要的应对措施。测试步骤:1、询问IT部门领导，了解公司是否积极进行持续性的风险评估，并将其作为设计和执行内部控制，定义IT策略以及监控评价机制的一个重要手段；2、获取并检查IT风险评估体系文档及审计年度内的IT风险评估报告，确认公司是否制定了合乎规范的IT风险评估机制并定期开展IT风险评估工作。ELC-E4.1控制目标:IT部门与其他部门有效沟通，满足其业务需求。标准控制活动:企业设立了专门委员会或专门的协调机制保证业务部门与IT部门就具体业务需求充分沟通，保证各部门行动协调一致。测试步骤:1、询问IT部门领导，了解公司是否建立了专门的协调机制以确保业务部门与IT部门就具体业务需求进行充分沟通（如:是否建立了专门的管理委员会、是否定期召开跨部门会议等）。2、根据IT部门与业务部门的实际沟通机制，按照财务审计/ITA抽样原则确认样本量，获取并检查其沟通交流的相关证据资料（如:会议纪要，来往邮件等），确认公司是否建立了专门的协调机制以确保业务部门与IT部门就具体业务需求进行充分沟通。ELC-E5.1控制目标:IT制度被及时下发并遵照执行，避免IT资产及信息损失。标准控制活动:IT部门订立了信息系统使用规范，并使用适当的渠道下发至有关业务部门，同时举办相关培训，以确保业务部门了解并执行信息系统使用规范。测试步骤:1、询问IT部门领导，了解公司是否制定了信息系统使用规范，是否使用适当的渠道下发至有关业务部门并举办相关培训。2、获取并检查相关信息系统使用规范，确认公司是否制定了信息系统使用规范。3、按照询问得知的下发渠道，获取并检查信息系统使用规范下发平台截图或其他证据（如内网、员工手册、OA系统等），确认公司是否通过适当的渠道将信息系统使用规范下发至有关业务部门;4、获取并检查信息系统使用规范培训相关证据（如:培训计划、培训通知、培训资料、签到表等），确认公司是否对员工进行信息系统使用规范的相关培训。ELC-E6.1控制目标:IT部门内部管理制度完善，IT人员受到必要的专业培训。标准控制活动:企业建立了针对IT部门及IT人员的各项管理制度，并安排必要的培训，使IT人员了解这些制度，并具备履行其职能的专业知识及技能。测试步骤:1、询问IT部门领导，了解公司IT部门是否制定了IT管理与IT内部控制相关的管理制度和细则，通过适当渠道下发至IT部门人员并安排了必要的培训。2、获取并检查IT制度，确认公司是否制定了全面和完善的IT管理制度。3、按照询问得知的制度下发渠道，获取并检查IT管理制度下发平台截图或其他证据（如内网、员工手册、OA系统等），确认公司是否通过适当的渠道下发各项IT管理制度；4、获取并检查IT人员年度培训计划，按照财务审计/ITA抽样原则确认样本量，获取并查看IT人员培训相关证据（如:培训通知、培训资料、签到表等），确认公司是否为IT人员安排了必要的培训。ELC-E7.1控制目标:IT部门的各项职能得到适当的监控。标准控制活动:企业建立了IT服务内部标准，并由IT部门及相关业务部门定期评价，IT部门据此相应调整、改进服务,并定期向企业管理层会汇报IT服务评价结果及完善措施。测试步骤:1、询问IT部门领导，了解公司是否建立了IT部门服务内部标准和IT人员考核制度；2、获取并检查IT部门服务内部标准和IT人员考核制