德勤审计讲义

1、,信息系统审计基础培训,2,信息系统审计基础培训.,施建俊 企业风险服务 德勤华永会计师事务所 2007年12月18日,信息系统审计基础培训,3,课程目录,信息系统审计基础 通用计算机控制审计 应用系统控制审计 计算机辅助审计技术介绍 信息技术控制缺陷的评估 对外包服务商内部控制的考虑 交流与回答,信息系统审计基础培训,4,信息系统审计基础,信息系统审计基础培训,5,IT审计的定义,为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串的活动。 IT审计的要点： 独立性 综

2、合性 IT审计师资格 IT审计报告 促进信息系统安全、可靠与有效,信息系统审计基础培训,6,IT审计 vs. 财务审计,Perform Financial Statement Review (Ch. 21),Overall Evaluation of Misstatements & the Scope of our Audit (Ch.20),Perform Tests of Operating Effectiveness of Controls (Ch. 17),Perform the Audit Plan,Determine Planning Materiality (Ch. 11),Pe

3、rform Preliminary Analytical Review (Ch. 10),Understand the Entity and Its Environment (Ch. 7.),Strategic Audit Planning (Ch. 6),Perform Preliminary Planning,Plan an intermediate level of substantive procedures (Ch. 15),Plan to obtain audit evidence about the operating effectiveness of controls, in

4、the current audit period or together with our work performed in the prior 2 audits, & plan a basic level of sub-stantive procedures (Ch. 14 & 15),Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period, & plan a moderate level of substantive procedure

5、s (Ch. 14 & 15),Plan a focused level of substantive procedures (Ch. 15),Develop the Audit Plan,Summarize & Communicate the Audit Plan (Ch 16),Plan to Rely on Operating Effectiveness of Controls (Ch. 13),Specific Identified Risk (Ch. 12),Yes,No,Yes,No,Yes,No,3.0,1.7,0.7,2.0,.,Perform Substantive Proc

6、edures SAP (Ch. 18) &/or Tests of Details (Ch. 19),No Specific Identified Risk (Ch. 12),Assess Risk at the Potential-Error Level (Ch. 12),Design & implementation of controls was adequate (Ch. 9),No,信息系统审计基础培训,7,内部控制构成要素（COSO）,确保相关信息得到及时识别与传达的程序 来自高管的信息 政策与程序 培训 道德准则,组织的控制意识。“高层论调” 道德准则 成文的政策与程序 文化评估

7、,对影响组织绩效的内外部因素的评估 业务风险管理 程序风险管理 内部审计风险评估,确定内部控制是否得到正确地设计、有效和因地制宜地执行的程序 管理分析 披露委员会 内部审计,确保风险管理措施得到及时执行的政策与程序 授权审批 普通程序和系统 职责分隔 客户对帐 信息技术控制,信息系统审计基础培训,8,IT穿插在企业内部控制的各个环节,控制环境 IT控制环境是公司整体控制环境的重要组成部分 在公司“老总”层面要听得到关于信息技术的声音 信息技术的控制职责和签字权力必须明确 信息技术的控制政策和规程必须成文,风险评估 应当有专门的信息技术风险评估程序 应当对信息技术内控计划的制定加以监督 信息技术

8、风险包括安全、运行、可用性等，都会影响财务报告的可靠性 管理层必须意识到信息技术的风险与信息技术的控制息息相关,信息与沟通 部署用以支持沟通的架构、标准和流程 信息能够准确、及时地向上传递 方便地获取信息技术相关的政策、流程、职位描述和职责定义 准确地对财务数据和报告进行整理和沟通,监督 对信息技术内控进行持续监督，确保其实质有效实际并运行 对信息技术文档的充分性进行监督 信息技术内审复核. 对弥补和升级程序进行监控. 持续的安全监督,信息系统审计基础培训,9,了解企业内部控制的程序,识别主要活动,程序和控制, 以应对内控的 各实体层次构成要素。,了解监管负责人员如何应对风险,评估控制的设计与

9、执行,对以下作出结论： 对实现有效内部控制和可靠财务信息处理的帮助。 它是否提高或降低内部控制的有效性,信息系统审计基础培训,10,IT控制是内部控制的重要组成部分,Entity Level Controls Entity-level controls set the tone and culture of the organization. IT entity-level controls are part of a companys overall control environment. Controls include: Strategies and plans Policies an

10、d procedures Risk assessment activities Training and education Quality assurance Internal audit,IT General Controls Controls embedded within IT processes that provide a reliable operating environment and support the effective operation of application controls.,Controls include: Program development P

11、rogram changes Access to programs and data Computer operations,Application Controls Controls embedded within business process applications directly support financial control objectives. Controls include: Control objectives/assertions include: Completeness Accuracy Existence/authorization Presentatio

12、n/disclosure,信息系统审计基础培训,11,控制 vs. 风险,风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害，风险的严重程度与资产价值程度及威胁发生的频度成正比 为了将风险控制在管理层可接受的程度，就必须对识别出的各类风险实施相关的控制。在实施时须考虑如下因素： 比较控制成本与减少风险所得的收益 管理层的风险喜好（如，管理层准备接受的残余风险水平） 愿意采取的风险降低的方式（如，终止风险、减少发生的可能、减少影响、转移或保险）,信息系统审计基础培训,12,控制的分类,预防性控制 在事情发生前监测问题 监控运营和输入 在问题发生前预测潜在问题 避免错误、疏忽或蓄意行为的

13、发生 检测性控制 使用控制检查和报告发生的错误、疏漏或蓄意行为的发生 纠正性控制 减少危害影响 修复检查性控制发现的问题 找出问题原因，纠正问题衍生出的错误，修改处理系统以减少未来问题发生的可能性,信息系统审计基础培训,13,内部控制目标,内部控制就是要通过实施一系列特定的控制活动，达到所预期的结果或目的。通常包括： 内部会计控制主要针对会计操作，即资产安全、财务资料准确可靠 运营控制针对日常运营、职能和活动，用于确保运营达到企业目标 管理控制关注职能部门的运作效率及运营控制符合管理政策的程度，是以提高经营效率和保证管理方针、政策的实施为目标的控制 技术环境控制保护信息资产，符合组织的方针策略

14、及法律法规的要求，信息输入输出，交易处理的准确性及完整性，数据处理的可靠性，备份与恢复，业务经营的效率与效果,信息系统审计基础培训,14,信息系统控制目标,内部控制目标可以运用在所有人工及自动化控制部分，常见的信息系统控制目标如： 保护信息系统以防止不当存取，并确保及时更新 保护计算机操作系统及网络操作系统的完整性 保护敏感的、重要的应用系统（如财务及管理应用系统）的机密性和完整性： 保证信息系统的运营效率与效果 符合用户的需求、组织的方针、策略与程序，并遵守法律法规的要求 制定业务持续计划及灾难恢复计划 制定应急响应及处理程序 ,信息系统审计基础培训,15,实施信息系统审计,信息系统审计是检

15、查评估自动化信息处理系统、与其有关的非自动化程序和两者之间的接口等。实施信息系统审计需要如下几个步骤： 充分的审计计划（短期、长期） 为有效地利用审计资源，审计机构必须评估所有风险（一般控制与应用控制领域） 制定审计计划，包括审计目标与审计程序 搜集证据、对现有控制进行评估与测试 编写审计报告，并与管理层沟通审计发现,信息系统审计基础培训,16,测试和评估信息系统控制的方法,信息系统审计师必须理解和掌握测试评估信息系统控制的方法： 使用通用审计软件调查数据文件的内容（包括系统日志） 使用专用软件来评估操作系统参数文件（如测试系统参数设置漏洞） 用流程图的方式来图示业务流程及应用系统 使用操作系

16、统中内置的审计报告 进行文档检查 观察 ,信息系统审计基础培训,17,符合性测试 vs. 实质性测试,符合性测试确定控制的执行符合管理层制定的方针政策的程度。测试目的是为信息系统审计师提供保证其在初步评价中确定的关键控制点是可以信赖的。 实质性测试验证实际处理的完整性。例如对于贷款利息计算，信息系统审计师可能采取详细的利息计算测试，也可能采取统计抽样技术，得出全部贷款利息正确的结论。 需要进行实质性测试的数量与内部控制水平直接相关。（德勤的方法中样本数量可相差10倍）,信息系统审计基础培训,18,审计证据,证据是审计师安全审计标准及目标的要求， 在对某一实体或数据进行审计时所采用的信息。审计证

17、据包括审计人员的观察、询问的记录、从内部文件或信件中获取的资料、审计测试程序所产生的结果。审计证据的可靠性取决于以下因素： 提供审计证据人员的独立性 提供审计信息或证据人员的资格 审计证据的客观性 审计证据的实效性,信息系统审计基础培训,19,审计证据的获得,获取审计证据的技术有： 检查信息系统组织结构 检查信息系统方针政策 检查信息系统标准 检查信息系统文件 约见相关人员并进行会谈 观察处理过程和员工的实际表现,审计工作不仅仅包括查询程序，还包括对控制和审计证据的测试验证，得出审计测试的结论,信息系统审计基础培训,20,通用计算机控制审计,信息系统审计基础培训,21,通用计算机审计涵盖的领域

18、,信息系统运作 信息安全 应用系统的实施及维护 数据库的实施及维护 网络支持 系统软件支持 信息资源战略及规划 与外包供应商的关系 业务连续性计划 硬件支持,信息系统审计基础培训,22,信息系统运作,所有进行批处理和在线作业及产生报表之生产程序均能及时运行并正常完成 仅执行有效的生产程序 依照法律,法规或公司政策保存数据,以便必要时可随时取得 计算机处理环境的服务水平达到或超过管理当局的期望 用户得到有关应用系统使用的适当培训 用户获得适当的支持以确保应用系统的功能依照其预定的目标运行,信息系统审计基础培训,23,信息系统运作,所有进行批处理和在线作业及产生报表之生产程序均能及时运行并正常完成

19、 管理当局应监督计算机处理（包括复核及解决任何例外情形）以确保处理成功和及时地完成 非正常处理的例外情形应记入日志、经管理当局复核并立即解决 对批次及在线处理程序进行定义，以确保该工作和/或交易被正常地处理及完成、或被恢复及重新处理,信息系统审计基础培训,24,信息系统运作,仅执行有效的生产程序 自动化编排工具（scheduling tool）已被执行以确保处理流程经授权及完整 对生产处理控制语言和可执行程序的访问权限进行定义，使得只有适当人员才能具有执行、修改、删除或创建的能力 管理当局或用户复核完成的处理以确保其正确性、完整性及已经授权,信息系统审计基础培训,25,信息系统运作,依照法律,

20、法规或公司政策保存数据,以便必要时可随时取得 通过恢复或其他方法定期测试备份和保留数据的持续可读性 管理当局和用户制定数据备份和保留的计划及时间；对不再需要保留的数据应进行删除并释放介质的储存空间。管理当局定期复核数据保留及释放的记录 所有介质（磁带、手册、指引等）都存放在安全的、可进行环境调控的地点 可移动的介质应贴上标签以便适当识别 自动化数据保留储存工具经管理当局的批准并得到实施以管理数据备份及保留的计划和时间 对数据进行异地备份存档(archived off-site)以便最大限度减少数据丢失,信息系统审计基础培训,26,信息系统运作,计算机处理环境的服务水平达到或超过管理当局的期望

21、对服务水平的衡量准则进行定义，该定义应征得受影响的人员同意 管理当局监督信息系统的服务水平，且当服务表现未达到期望的服务水平时制定修正措施 对计算机处理环境的性能和能力的利用应被衡量、报告和经管理当局复核,信息系统审计基础培训,27,信息系统运作,用户得到有关应用系统使用的适当培训 系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训 用户可随时访问应用系统中现有的用户文件 对支持的申请应定期向管理当局汇总并报告。管理当局监督支持申请的性质及频率以确定是否需要改善用户培训、支持的资源

22、和/或文件,信息系统审计基础培训,28,信息系统运作,用户获得适当的支持以确保应用系统的功能依照其预定的目标运行 管理当局监督问题的统计及趋势，以识别及消除该问题重复出现的根本原因 信息系统架构应包括帮助中心(helpdesk)的功能以便用户进行有关系统的查询。所提出的问题应记录在中央问题日志之中。帮助中心(helpdesk)工作人员应监督日志以确保及时解决所有用户的查询 用户可随时访问应用系统中现有的用户文件 对支持的申请应定期向管理当局汇总并报告。管理当局监督支持申请的性质及频率以确定是否需要改善用户培训、支持的资源和/或文件,信息系统审计基础培训,29,信息安全,逻辑安全,物理安全,信息

23、系统政策,信息系统审计基础培训,30,信息安全,须保护的计算机设备,信息系统审计基础培训,31,信息安全,面临的威胁,信息系统审计基础培训,32,信息安全,物理安全,UPS,信息系统审计基础培训,33,信息安全,逻辑安全,Public Network,信息系统审计基础培训,34,信息安全,逻辑安全,Public Network,信息系统审计基础培训,35,信息安全,实施及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息资源的访问 逻辑安全管理工具和技术得到适当管理，以限制对程序、数据和其他信息资源的访问 实施和管理物理访问限制，以确保仅有经适当的授权人员可以访问和使用信息资源 所有信息资

24、源均配备必要的实体和逻辑安全措施 实体的程序、数据及其他信息资源均受到保护以防病毒侵害 实体计算机系统中软件的安装和/或使用遵循授权协议的规定及经管理当局授权 保护信息资源免受环境灾害及相关损害的影响,信息系统审计基础培训,36,信息安全,实施及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息资源的访问 应修改应用程序、系统和通信及网络软件中的厂商默认密码 要求用户拥有唯一的用户识别代码(identifier)以便对不同的用户加以区分及确立可追踪性 终端设备和工作站应设有保护程序，该保护程序在经过一段设备预设的闲置时间之后会自动激活 敏感数据在传输过程中应作加密处理 信息安全工具与技术用

25、于限制对信息资源(如：数据文件、公用程式(utility)、交易、程序）的访问权限。管理当局应复核及核准信息安全工具与技术的实施和配置,信息系统审计基础培训,37,信息安全,实施及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息资源的访问 系统应通过密码或其他识别机制识别（本地或远程的）用户。应制定有关密码使用的政策 - 定期修改密码、保密性和密码格式（如：密码长度、字母与数字混合的内容） 应制定安全政策为信息安全的总体方向及执行提供指引 只有适当的人员才有能力修改整体系统的安全参数 应激活信息安全工具的功能以便记录及报告信息安全政策所规定的安全事项（如安全违规报告）；应定期复核该工具所

26、产生的报告并采取必要的行动,信息系统审计基础培训,38,信息安全,逻辑安全管理工具和技术得到适当管理，以限制对程序、数据和其他信息资源的访问 要求用户拥有唯一的用户识别代码(identifier)以便对不同的用户加以区分及确立可追踪性 应用程序所有者对用户访问特权的性质和程度进行授权，且应用程序所有者应定期复核该访问特权以确保维持其适当性。用户的访问权限应通过密码或其他机制加以限制。密码应定期修改 对未授权的企图访问信息资源的行为应记入日志并在安全违规报告中记录；应定期复核该日志及报告并采取必要的行动 对敏感数据（如人事记录）经授权的访问应记入日志；应定期复核该日志以评估对该数据的访问及使用是

27、否适当,信息系统审计基础培训,39,信息安全,逻辑安全管理工具和技术得到适当管理，以限制对程序、数据和其他信息资源的访问 应激活信息安全工具的功能以便记录及报告信息安全政策所规定的安全事项（如安全违规报告）；应定期复核该工具所产生的报告并采取必要的行动 定义并指派与信息安全管理相关的职位和责任 只有适当的人员才有权限管理信息安全 只有适当的人员才有特许的访问权限（所谓超级用户），对该权限的使用应记入日志并进行复核,信息系统审计基础培训,40,信息安全,实施和管理物理访问限制，以确保仅有经适当的授权人员可以访问和使用信息资源 应监督存放计算机设备的楼层及区域的人员进出，且应限制只有相关工作职责的

28、人员才可进入该区域；在经管理当局核准后才可获准进入该区域 已执行涉及商业信息资源评估、以及识别与评估现有风险水平的风险评估来确定适当的具合理成本的信息安全架构。该风险评估应定期更新，且管理当局已实施合适的信息安全架构以确保适当的人员进出和逻辑安全控制,信息系统审计基础培训,41,信息安全,所有信息资源均配备必要的实体和逻辑安全措施 应用程序所有者对用户访问特权的性质和程度进行授权，且应用程序所有者应定期复核该访问特权以确保维持其适当性。用户的访问权限应通过密码或其他机制加以限制。密码应定期修改 应监督存放计算机设备的楼层及区域的人员进出，且应限制只有相关工作职责的人员才可进入该区域；在经管理当

29、局核准后才可获准进入该区域 已执行涉及商业信息资源评估、以及识别与评估现有风险水平的风险评估来确定适当的具合理成本的信息安全架构。该风险评估应定期更新，且管理当局已实施合适的信息安全架构以确保适当的人员进出和逻辑安全控制,信息系统审计基础培训,42,信息安全,实体的程序、数据及其他信息资源均受到保护以防病毒侵害 所有软件和数据在载入实体的系统之前应先进行查毒 所有实体的计算机及任何连接实体网络的计算机应安装防病毒软件。该防病毒软件应设置为当下载数据或程序、打开数据文件或执行程序时都须进行病毒扫描。应监督该政策的遵循情况 定期对网络上或有可能感染病毒的程序和数据文件进行病毒扫描 要求用户更新其防

30、病毒软件中的病毒定义列表，且所有外部的程序和数据在下载到他们的计算机之前都须进行病毒扫描 应定期复核病毒扫描的结果，并对发现的问题采取适当的解决方案,信息系统审计基础培训,43,信息安全,实体计算机系统中软件的安装和/或使用遵循授权协议的规定及经管理当局授权 管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响 存在正式的软件政策及标准，并传达给所有员工 应定期把安装到实体计算机中的软件与授权软件的明细表相核对。如发现未经许可或未授权安装的软件，

31、应获得该软件的授权许可或对软件进行删除 在购买新软件之前应核实该软件的购买及安装以遵循公司的授权许可要求,信息系统审计基础培训,44,信息安全,保护信息资源免受环境灾害及相关损害的影响 管理当局定期监督环境控制机制的有效性，并评估对实体信息资源的潜在威胁的商业影响 管理当局提供备用电源(如：不间断电源(UPS)、发电机) 管理当局应确保有充足的烟雾/火警探测器和灭火设备 数据中心的环境状况(如：温度、湿度)应被监督及调控 计算机设施的所在地及其设计应尽量避免受外部环境（如：风、水、火）威胁,信息系统审计基础培训,45,应用系统的实施及维护,Develop Requirement Specifi

32、cations,信息系统审计基础培训,46,应用系统的实施及维护,Develop Requirement Specifications,Purchase/ In-house Develop,信息系统审计基础培训,47,应用系统的实施及维护,Development Project Management,Software Selection,Develop Requirement Specifications,Purchase/ In-house Develop,信息系统审计基础培训,48,应用系统的实施及维护,Development Project Management,Software Sel

33、ection,Develop Requirement Specifications,Purchase/ In-house Develop,Testing,信息系统审计基础培训,49,应用系统的实施及维护,Production Turnover (Program Change Controls) Documentation,信息系统审计基础培训,50,应用系统的实施及维护,新的应用系统的购买、开发均符合管理当局的意愿 新应用系统得到适当地实施且其功能符合管理当局的意愿 当新应用系统实施完成后，原系统的数据能完整、准确且有效地转入新系统 应用系统可得到有效的维护与技术支持 现有系统的必要修改均能及

34、时实施 正确实施现有应用系统的修改且其修改后的功能符合管理当局的意愿,信息系统审计基础培训,51,应用系统的实施及维护,新的应用系统的购买、开发均符合管理当局的意愿 管理当局核准所有购买或开发应用系统的决策，以确保系统的购买和开发与公司的系统规划和战略保持一致 对项目进行优先顺序区分及指派，以确保有限的信息资源被适当利用且与公司的业务目标保持一致 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引,信息系统审计基础培训,52,应用系统的实施及维护,新应用系统得到适当地实施且其功能符合管理当局的意愿 管理当局已确立正式的政策以确保在对应用系统、数据结构、网络

35、及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的应用系统和现行应用系统的修改进行测试 已确立的执行程序包括确保操作、技术和用户文件保持适时性及可供适当人员获取 系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训,信息系统审计基础培训,53,应用系统的实施及

36、维护,新应用系统得到适当地实施且其功能符合管理当局的意愿 应在独立于生产环境之外的环境中开发、修改及测试应用系统 适当限制对测试和生产环境的访问权限 使用完整和具代表性的一组测试数据，而不是生产数据来执行测试 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性 应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审计基础培训,54,应用系统的实施及维护,应用系统可得到有效的维护与技术支持 实体对外部承包商和/或软件厂商获得的应用程序或技术支持有正式的协议，以确保能获得

37、该支持。管理当局应监督该协议的遵循情况 已确立的执行程序包括确保操作、技术和用户文件保持适时性及可供适当人员获取 管理当局监督所购买的应用系统、网络和通信软件及系统软件的支持版已投入使用，且新的版本正被应用 使用管理当局已核准的一套通用准则来进行软件开发与维护，以确保实体内的开发与维护活动保持一致 开发人员经充分培训且熟悉公司所使用的通用准则、技术和工具 更改管理程序以确保源代码与可执行代码的同步 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性,信息系统审计基础培训,55,应用系统的实施及维护,现有系统的必要修改均能及时实施 管理当局复核系统性能报告并

38、监督确保识别出低效率的性能时已立即采取足够的措施，且制定及执行相应的解决方案 用户和其他对应用系统修改的申请(包括系统更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引 对于现有硬件、应用系统、数据库结构、网络和通信软件及系统软件修改的执行，管理当局应监督该项目已达到原定的目标且符合预算及时间的要求,信息系统审计基础培训,56,应用系统的实施及维护,正确实施现有应用系统的修改且其修改后的功能符合管理当局的意愿 管理当局已确立正式的政策以确保在对应用系

39、统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的应用系统和现行应用系统的修改进行测试 已确立的执行程序包括确保操作、技术和用户文件保持适时性及可供适当人员获取 应在独立于生产环境之外的环境中开发、修改及测试应用系统 管理当局保留应用系统和/或数据先前的版本以备发生处理问题时进行系统/数据恢复,信息系统审计基础培训,57,应用系统的实施及维护,正确实施

40、现有应用系统的修改且其修改后的功能符合管理当局的意愿 在生产环境中对应用系统的修改申请应进行存档并经管理当局核准。管理当局应监督所有该修改的执行 更改管理程序以确保源代码与可执行代码的同步,信息系统审计基础培训,58,数据库的实施及支持,数据库管理系统（或同等系统）所定义的数据结构已适当实施且其功能符合管理当局的意愿 现有数据结构的必要修改均能及时实施 现有数据结构的修改实施正确且修改后的数据结构功能符合管理当局的意愿,信息系统审计基础培训,59,数据库的实施及支持,数据库管理系统（或同等系统）所定义的数据结构已适当实施且其功能符合管理当局的意愿 管理当局已确立正式的政策以确保在对应用系统、数

41、据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响 在安装和/或维护数据库和/或使用该数据库的应用系统时，应提供及使用现有的数据库和数据库管理系统文件 实体的数据结构应遵循信息系统规划及管理当局的意愿进行定义及执行 数据结构的修改在执行之前应在测试环境中进行评估 依照测试计划(包括(如适当)：界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的数据结构和现行的数据结构的修改进行测试,信息系统审计基础培训,60,数据库的实施及支持,数据库管理系统（或同等系统

42、）所定义的数据结构已适当实施且其功能符合管理当局的意愿 系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训 实体的数据库管理系统应包括自动对任何数据库的变更进行更新的活动数据字典(Active Data Dictionary) 适当限制对测试和生产环境的访问权限 负责管理及定义数据库组件(database compenents)的职责应指派给适当的人员 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性 应对硬件、应用系统、数据结构、和系统软件

43、的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审计基础培训,61,数据库的实施及支持,现有数据结构的必要修改均能及时实施 管理当局复核系统性能报告并监督确保识别出低效率的性能时已立即采取足够的措施，且制定及执行相应的解决方案 用户和其他对应用系统修改的申请(包括系统更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行 用户和其他对数据结构修改的申请(包括更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行 对于现有硬件、应用系统、数

44、据库结构、网络和通信软件及系统软件修改的执行，管理当局应监督该项目已达到原定的目标且符合预算及时间的要求,信息系统审计基础培训,62,数据库的实施及支持,现有数据结构的修改实施正确且修改后的数据结构功能符合管理当局的意愿 管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响 执行的方式应容许必要时可将系统还原至原来的环境 在安装和/或维护数据库和/或使用该数据库的应用系统时，应提供及使用现有的数据库和数据库管理系统文件 数据结构的修改在执行之前应

45、在测试环境中进行评估 依照测试计划(包括(如适当)：界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的数据结构和现行的数据结构的修改进行测试,信息系统审计基础培训,63,数据库的实施及支持,现有数据结构的修改实施正确且修改后的数据结构功能符合管理当局的意愿 实体的数据库管理系统应包括自动对任何数据库的变更进行更新的活动数据字典(Active Data Dictionary) 在生产环境中对数据结构的修改申请应进行存档并经管理当局核准。管理当局应监督所有该修改的执行,信息系统审计基础培训,64,网络支持,新的网络和通信软件的购买符合管理当局的意愿 新的网络和通

46、信软件得到适当地实施且其功能符合管理当局的意愿 网络和通信软件可得到有效的维护与技术支持 现有网络和通信软件的必要修改均能及时实施 正确实施现有网络和通信软件的修改且修改后的功能符合管理当局的意愿,信息系统审计基础培训,65,网络支持,新的网络和通信软件的购买符合管理当局的意愿 管理当局核准对网络和通信软件及系统的购买，以确保该购买和开发符合公司的系统规划及战略 对项目进行优先顺序区分及指派，以确保有限的信息资源被适当利用且与公司的业务目标保持一致 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引,信息系统审计基础培训,66,网络支持,新的网络和通信软件

47、得到适当地实施且其功能符合管理当局的意愿 管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响 网络和通信软件及硬件在执行之前应首先在测试环境中进行安装与评估 在安装和/或维护网络时，应提供及使用现有的网络软件、通信软件、和网络拓朴(Network Topology)文件 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的网络和通信软件与现行的网络和通信软件修改进行

48、测试,信息系统审计基础培训,67,网络支持,新的网络和通信软件得到适当地实施且其功能符合管理当局的意愿 系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训 适当限制对测试和生产环境的访问权限 使用完整和具代表性的一组测试数据，而不是生产数据来执行测试 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性 应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审

49、计基础培训,68,网络支持,网络和通信软件可得到有效的维护与技术支持 实体对外部承包商和/或软件厂商获得的应用程序或技术支持有正式的协议，以确保能获得该支持。管理当局应监督该协议的遵循情况 在安装和/或维护网络时，应提供及使用现有的网络软件、通信软件、和网络拓朴(Network Topology)文件 管理当局监督所购买的应用系统、网络和通信软件及系统软件的支持版已投入使用，且新的版本正被应用 使用管理当局已核准的一套通用准则来进行软件开发与维护，以确保实体内的开发与维护活动保持一致 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性,信息系统审计基础培训

50、,69,网络支持,现有网络和通信软件的必要修改均能及时实施 管理当局复核系统性能报告并监督确保识别出低效率的性能时已立即采取足够的措施，且制定及执行相应的解决方案 用户和其他对网络基础设施及通信软件修改的申请(包括更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引 对于现有硬件、应用系统、数据库结构、网络和通信软件及系统软件修改的执行，管理当局应监督该项目已达到原定的目标且符合预算及时间的要求,信息系统审计基础培训,70,网络支持,正确实施现有网络和

51、通信软件的修改且修改后的功能符合管理当局的意愿 管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响 执行的方式应容许必要时可将系统还原至原来的环境 网络和通信软件及硬件在执行之前应首先在测试环境中进行安装与评估 在安装和/或维护网络时，应提供及使用现有的网络软件、通信软件、和网络拓朴(Network Topology)文件 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(parallel testing)、容量测试及用户验收测

52、试)对新的网络和通信软件与现行的网络和通信软件修改进行测试,信息系统审计基础培训,71,网络支持,正确实施现有网络和通信软件的修改且修改后的功能符合管理当局的意愿 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引 在生产环境中对网络和通信软件的修改申请应进行存档并经管理当局核准。管理当局应监督所有该修改的执行,信息系统审计基础培训,72,系统软件支持,新的系统软件的购买符合管理当局的意愿 新的系统软件得到适当地实施且其功能符合管理当局的意愿 系统软件可得到有效的维护与技术支持 现有系统软件的必要修改均能及时实施 正确实施现有系统软件的修改且修改后的功能符

53、合管理当局的意愿,信息系统审计基础培训,73,系统软件支持,新的系统软件的购买符合管理当局的意愿 管理当局核准对计算机系统软件的购买，以确保该购买和开发符合公司的系统规划及战略 对项目进行优先顺序区分及指派，以确保有限的信息资源被适当利用且与公司的业务目标保持一致 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引,信息系统审计基础培训,74,系统软件支持,新的系统软件得到适当地实施且其功能符合管理当局的意愿 在安装和/或维护软件时，应提供及使用现有的系统软件文件 管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操

54、作环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响 执行的方式应容许必要时可将系统还原至原来的环境 系统软件的修改(包括升级、修改和对配置参数的修改)在实施到生产环境之前应首先在测试环境中进行安装与评估 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的系统软件与现行的系统软件修改进行测试,信息系统审计基础培训,75,系统软件支持,新的系统软件得到适当地实施且其功能符合管理当局的意愿 系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训

55、。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训 适当限制对测试和生产环境的访问权限 使用完整和具代表性的一组测试数据，而不是生产数据来执行测试 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性 应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审计基础培训,76,系统软件支持,系统软件可得到有效的维护与技术支持 在安装和/或维护软件时，应提供及使用现有的系统软件文件 实体对外部承包商和/或软件厂商获得的应用程序或技术

56、支持有正式的协议，以确保能获得该支持。管理当局应监督该协议的遵循情况 系统软件参数(用于控制操作系统)的设置和使用、以及其他可选的配置方案都被适当存档 管理当局监督所购买的应用系统、网络和通信软件及系统软件的支持版已投入使用，且新的版本正被应用 使用管理当局已核准的一套通用准则来进行软件开发与维护，以确保实体内的开发与维护活动保持一致 开发人员经充分培训且熟悉公司所使用的通用准则、技术和工具 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件，以确保生产程序的可执行性,信息系统审计基础培训,77,系统软件支持,现有系统软件的必要修改均能及时实施 管理当局复核系统性能报告并监督确保识

57、别出低效率的性能时已立即采取足够的措施，且制定及执行相应的解决方案 用户和其他对系统软件修改的申请(包括系统更新和厂商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及管理当局的意愿，应予以执行 对于现有硬件、应用系统、数据库结构、网络和通信软件及系统软件修改的执行，管理当局应监督该项目已达到原定的目标且符合预算及时间的要求,信息系统审计基础培训,78,系统软件支持,正确实施现有系统软件的修改且修改后的功能符合管理当局的意愿 在安装和/或维护软件时，应提供及使用现有的系统软件文件 管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作

58、环境作修改之前，已联系所有受影响的人员并与其协调该修改的时间安排，从而最大限度降低该修改对其他处理活动的影响 执行的方式应容许必要时可将系统还原至原来的环境 系统软件的修改(包括升级、修改和对配置参数的修改)在实施到生产环境之前应首先在测试环境中进行安装与评估 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的系统软件与现行的系统软件修改进行测试,信息系统审计基础培训,79,系统软件支持,正确实施现有系统软件的修改且修改后的功能符合管理当局的意愿 在生产环境中对系统软件的修改申请应进行存档并经管理当局核准。管理当

59、局应监督所有该修改的执行 应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估；在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰,信息系统审计基础培训,80,信息资源战略及规划,信息系统的战略、规划和预算与实体业务和战略目标保持一致 计算机处理环境得到具有适当技能和经验的人员的充分支持及保证 计算机处理环境中的人员接受适当的培训,信息系统审计基础培训,81,信息资源战略及规划,信息系统的战略、规划和预算与实体业务和战略目标保持一致 管理当局制定及核准信息系统的战略与长期及短期计划，以支持实体的整体业务战略和信息系统要求。管理当局根据长期及短期计划监督信息系统的性能,信息系统审计基础培训,82,信息资源战略及规划,计算机处理环境得到具有适当技能和经验的人员的充分支持及保证 在聘用信息资源管理人