內(nèi)部審計(jì)（李江濤）信息化與內(nèi)部審計(jì)

SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)信息系統(tǒng)的內(nèi)部審計(jì)IT治理審計(jì)信息系統(tǒng)生命周期管理審計(jì)IT服務(wù)的交付與支持審計(jì)信息資產(chǎn)安全審計(jì)業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)審計(jì)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)IT治理審計(jì)IT治理審計(jì)確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān)督，以達(dá)到公司治理中對(duì)IT方面的要求。﹡IT治理的涵義IT治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。通過上述定義我們可以看出：1、IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致。2、IT治理和其他治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任。3、IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化。4、信息技術(shù)治理包括管理層、組織結(jié)構(gòu)、過程。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)主要知識(shí)點(diǎn)A、公司治理B、董事會(huì)和高級(jí)管理層的監(jiān)督和保證實(shí)務(wù)B1、IT治理的最佳實(shí)踐B2、IT戰(zhàn)略委員會(huì)B3、標(biāo)準(zhǔn)IT平衡記分卡B4、信息安全治理B5、企業(yè)架構(gòu)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)有效的公司治理注重個(gè)人和團(tuán)隊(duì)在特定領(lǐng)域中最有效的專門技能和經(jīng)驗(yàn)。長(zhǎng)期以來，僅作為組織戰(zhàn)略促進(jìn)因素的信息技術(shù)，現(xiàn)在被看作是整體戰(zhàn)略的一部分。首席執(zhí)行官(CEO),首席運(yùn)營(yíng)官(COO)、首席財(cái)務(wù)官(CFO),首席信息官(CIO)和首席技術(shù)官(CTO)在IT與企業(yè)目標(biāo)間能達(dá)成戰(zhàn)略一致是關(guān)鍵成功因素。通過經(jīng)濟(jì)、有效地使用安全、可靠的信息和應(yīng)用技術(shù)，IT治理能有助于實(shí)現(xiàn)這個(gè)關(guān)鍵成功因素。信息技術(shù)對(duì)企業(yè)的成功是如此重要，因此，不能把其職責(zé)放給IT管理人員或IT專家，而必須得到整個(gè)高級(jí)管理層的關(guān)注。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)C、信息系統(tǒng)戰(zhàn)略C1、戰(zhàn)略規(guī)劃C2、指導(dǎo)委員會(huì)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)從IS的角度來看，戰(zhàn)略規(guī)劃是組織為了利用信息技術(shù)來改善業(yè)務(wù)流程而確定的長(zhǎng)期發(fā)展方向。高級(jí)管理層的職責(zé)包括確定成本有效的IT方案以解決問題并抓住組織所面臨的機(jī)遇，制定識(shí)別和獲取所需資源的行動(dòng)方案。在制定戰(zhàn)略規(guī)劃時(shí)(通常是3到5年)，組織應(yīng)當(dāng)確保規(guī)劃始終與組織的總體目標(biāo)保持一致。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)組織高級(jí)管理層應(yīng)當(dāng)組建一個(gè)計(jì)劃或指導(dǎo)委員會(huì)來監(jiān)督IS職能及其活動(dòng)。高層的信息技術(shù)指導(dǎo)委員會(huì)是確保IS部門與公司使命和目標(biāo)協(xié)調(diào)一致的重要因素，雖然沒有統(tǒng)一的規(guī)定，但最好是從董事會(huì)中挑選一位理解信息技術(shù)及風(fēng)險(xiǎn)的成員來擔(dān)任該委員會(huì)的主席。委員會(huì)應(yīng)當(dāng)包括來自高級(jí)管理層、用戶管理層和IS部門的人員。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)D、政策和程序DI、政策D2、程序SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)政策是高層次的文件，代表了組織的企業(yè)文化和高級(jí)管理層與業(yè)務(wù)流程所有人的戰(zhàn)略思考。政策必須清晰、準(zhǔn)確才能有效。對(duì)與組織的總體目標(biāo)與方針有關(guān)的政策的規(guī)劃、制定、成文、頒布和控制，管理層應(yīng)當(dāng)明確其相關(guān)職責(zé)，以此來建立一種良好的控制環(huán)境。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)程序是為實(shí)施政策而制定的制度化的詳細(xì)步驟，必須根據(jù)上層政策來制定并體現(xiàn)政策的精神或意圖。程序必須清晰、準(zhǔn)確，使執(zhí)行人易于正確理解。程序反映了業(yè)務(wù)流程(管理和運(yùn)營(yíng)層面)及嵌入的控制。程序由流程所有人制定，是對(duì)政策的有效解釋。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)E、風(fēng)險(xiǎn)管理E1、制定風(fēng)險(xiǎn)管理程序E2、風(fēng)險(xiǎn)管理過程E3、風(fēng)險(xiǎn)分析方法SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)F、IS管理實(shí)務(wù)F1、人力資源管理F2、采購(gòu)實(shí)務(wù)F3、組織變更管理F4、財(cái)務(wù)管理實(shí)務(wù)F5、質(zhì)量管理F6、信息安全管理F7、績(jī)效優(yōu)化SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)G、IS組織結(jié)構(gòu)和職責(zé)G1、IS角色和職責(zé)G2、IS內(nèi)的職責(zé)分離G3、職責(zé)分離控制SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)﹡審計(jì)在IT治理中的作用1、審計(jì)人員向高級(jí)主管提供建議，以幫助他們提高IT治理的質(zhì)量和效果。2、審計(jì)對(duì)IT治理的符合性進(jìn)行持續(xù)監(jiān)控。﹡審計(jì)IT治理結(jié)構(gòu)和實(shí)施情況應(yīng)當(dāng)進(jìn)行審計(jì)的文檔：1、信息技術(shù)戰(zhàn)略、計(jì)劃和預(yù)算。2、安全政策文檔。3、組織/職能圖。4、工作描述。5、指導(dǎo)委員會(huì)報(bào)告。6、系統(tǒng)開發(fā)和程序變更流程。7、操作程序。8、人力資源手冊(cè)。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)﹡面談和觀察工作中的員工觀察工作中的員工可以幫助內(nèi)部審計(jì)人員識(shí)別：1、員工實(shí)際的職能-----信息系統(tǒng)審計(jì)師可以了解相關(guān)政策和程序是如何被理解和執(zhí)行的。2、實(shí)際流程/程序-----信息系統(tǒng)審計(jì)師可以獲得政策遵循性的證據(jù)，并發(fā)現(xiàn)可能的偏差。3、員工的安全意識(shí)-----信息系統(tǒng)審計(jì)可以檢驗(yàn)員工對(duì)保護(hù)公司資產(chǎn)的安全控制措施的理解與執(zhí)行情況。4、工作匯報(bào)關(guān)系------確認(rèn)分配的責(zé)任被履行，并有充分的職責(zé)分工。﹡審核合同義務(wù)驗(yàn)證合同訂立過程中管理層的參與；審核合同的遵循性；要求對(duì)這些合同的某個(gè)樣本執(zhí)行獨(dú)立的遵循性審核。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)2、信息系統(tǒng)生命周期管理審計(jì)項(xiàng)目管理審計(jì)軟件獲取過程審計(jì)詳細(xì)設(shè)計(jì)和編碼階段審計(jì)測(cè)試階段審計(jì)安裝階段審計(jì)需求定義階段審計(jì)安裝后七大部分SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（1）項(xiàng)目管理審計(jì)評(píng)估SDLC每個(gè)階段的相關(guān)風(fēng)險(xiǎn)內(nèi)部審計(jì)人員審查SDLC過程評(píng)估團(tuán)隊(duì)在指定期限內(nèi)交付關(guān)鍵產(chǎn)品的能力。內(nèi)部審計(jì)人員應(yīng)當(dāng)審查以下項(xiàng)目管理活動(dòng)的充分性：﹡項(xiàng)目指導(dǎo)委員會(huì)的監(jiān)督級(jí)別﹡項(xiàng)目中采用的風(fēng)險(xiǎn)管理方法﹡項(xiàng)目成本管理﹡項(xiàng)目計(jì)劃管理的流程﹡向管理層匯報(bào)的流程﹡變更控制的流程﹡利益相關(guān)者參與管理﹡簽字與審批流程SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)另外，各階段都要有完整充分的文檔作為證據(jù)，至少應(yīng)包括以下類型:每個(gè)階段要完成的目標(biāo)定義文件;每個(gè)階段要交付的成果以及關(guān)鍵項(xiàng)目成員所需負(fù)責(zé)的任務(wù);著重指出關(guān)鍵成果交付期的項(xiàng)目進(jìn)度表;各階段需要的資源及其成本預(yù)測(cè)分析。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)可行性研究階段的審計(jì)內(nèi)部審計(jì)人員的主要工作包括：在具體審查可行性研究階段時(shí)，IS審計(jì)師的主要工作包括：﹡審查該階段產(chǎn)生文檔的合理性﹡判斷是否所有的成本收益都是真實(shí)的﹡識(shí)別并判斷系統(tǒng)需求的必要程度﹡判斷是否能夠通過現(xiàn)有的系統(tǒng)來解決問題。如果不能，則評(píng)估替代方案的合理性﹡判斷所選解決方案的可行性SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（2）需求定義階段的審計(jì)內(nèi)部審計(jì)人員的主要工作包括：﹡獲取詳細(xì)的需求文檔，通過和相關(guān)用戶部門面談確認(rèn)它的正確性；﹡確定項(xiàng)目組的關(guān)鍵成員是否能夠代表所有業(yè)務(wù)部門；﹡判斷項(xiàng)目的發(fā)起和成本是否都已經(jīng)得到適當(dāng)?shù)氖跈?quán)批準(zhǔn)；﹡審查系統(tǒng)的概念設(shè)計(jì)說明〔如數(shù)據(jù)轉(zhuǎn)化處理、數(shù)據(jù)描述等)，判斷它們是否符合用戶的需求；﹡審查概念設(shè)計(jì)說明，確保適當(dāng)?shù)目刂茩C(jī)制得到清楚定義﹡確定適當(dāng)數(shù)目的供應(yīng)商，并對(duì)這些供應(yīng)商發(fā)送涵蓋項(xiàng)目所有范圍及用戶需求的招標(biāo)書；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)﹡審核UAT規(guī)范【在軟件開發(fā)中，用戶驗(yàn)收測(cè)試（UAT，user

acceptance

testing）－也叫作beta測(cè)試。】﹡確定此應(yīng)用程序是否適合嵌入式的審計(jì)方法，如果是，要求將嵌入程序并入到系統(tǒng)概念設(shè)計(jì)中。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)a測(cè)試和β續(xù)試(Alpha

Testing

and

beta

testing)在軟件交付使用之后，用戶將如何實(shí)際使用程序，對(duì)于開發(fā)者來說是無法預(yù)測(cè)的。因?yàn)橛脩粼谑褂眠^程中常常會(huì)發(fā)生對(duì)使用方法的誤解、異常的數(shù)據(jù)組合、以及產(chǎn)生對(duì)某些用戶來說似乎是清晰的但對(duì)另一些用戶來說卻難以理解的輸出等等。如果軟件是為多個(gè)用戶開發(fā)的產(chǎn)品，讓每個(gè)用戶逐個(gè)執(zhí)行正式的驗(yàn)收測(cè)試是不切實(shí)際的。很多軟件產(chǎn)品生產(chǎn)者采用一種稱之為

a測(cè)試和β測(cè)試的測(cè)試方法，以發(fā)現(xiàn)可能只有最終用戶才能發(fā)現(xiàn)的錯(cuò)誤。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)a測(cè)試是由一個(gè)用戶在開發(fā)環(huán)境下進(jìn)行的測(cè)試，也可以是公司內(nèi)部的用戶在模擬實(shí)際操作環(huán)境下進(jìn)行的測(cè)試。這是在受控制的環(huán)境下進(jìn)行的測(cè)試。a測(cè)試的目的是評(píng)價(jià)軟件產(chǎn)品的FURPS(即功能、可使用性、可靠性、性能和支持)。尤其注重產(chǎn)品的界面和特色。a測(cè)試人員是除開產(chǎn)品開發(fā)人員之外首先見到產(chǎn)品的人，他們提出的功能和修改意見是特別有價(jià)值的。a測(cè)試可以從軟件產(chǎn)品編碼結(jié)束之時(shí)開始，或在模塊(子系統(tǒng))測(cè)試完成之后開始，也可以在確認(rèn)測(cè)試過程中產(chǎn)品達(dá)到一定的穩(wěn)定和可靠程度之后再開始。有關(guān)的手冊(cè)(草稿)等應(yīng)事先準(zhǔn)備好。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)β測(cè)試是由軟件的多個(gè)用戶在一個(gè)或多個(gè)用戶的實(shí)際使用環(huán)境下進(jìn)行的測(cè)試。與a測(cè)試不同的是，開發(fā)者通常不在測(cè)試現(xiàn)場(chǎng)。因而，β測(cè)試是在開發(fā)者無法控制的環(huán)境下進(jìn)行的軟件現(xiàn)場(chǎng)應(yīng)用。在β測(cè)試中，由用戶記下遇到的所有問題，包括真實(shí)的以及主觀認(rèn)定的，定期向開發(fā)者報(bào)告，開發(fā)者在綜合用戶的報(bào)告之后，做出修改，最后將軟件產(chǎn)品交付給全體用戶使用。β測(cè)試著重于產(chǎn)品的支持性，包括文檔、客戶培訓(xùn)和支持產(chǎn)品生產(chǎn)能力。只有當(dāng)a測(cè)試達(dá)到一定的可靠程度時(shí)，才能開始β測(cè)試。由于它處在整個(gè)測(cè)試的最后階段，不能指望這時(shí)發(fā)現(xiàn)主要問題。同時(shí)，產(chǎn)品的所有手冊(cè)文本也應(yīng)該在此階段完全定稿。由于β測(cè)試的主要目標(biāo)是測(cè)試可支持性，所以β測(cè)試應(yīng)盡可能由主持產(chǎn)品發(fā)行的人員來管理。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（3）軟件獲取過程的審計(jì)內(nèi)部審計(jì)人員的主要工作包括：﹡分析可行性研究的文件，判斷購(gòu)買方案的決策是否適當(dāng)﹡審查RFP文件的要求（需求方案說明書Request

for

Proposal），保證它涵蓋了用戶的需求﹡判斷發(fā)給供應(yīng)商的文件，是否對(duì)供應(yīng)商的選擇有傾向性﹡在與供應(yīng)商簽訂合同之前，審查合同并確定沒有遺漏﹡保證合同在簽訂之前由法律顧問審查過SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（4）詳細(xì)設(shè)計(jì)和編碼階段的審計(jì)內(nèi)部審計(jì)人員需要：﹡審查系統(tǒng)流程圖是否符合總體設(shè)計(jì)。確認(rèn)所有變更均事先與相關(guān)的用戶討論過并獲得其認(rèn)可，這些變更均經(jīng)適當(dāng)?shù)呐鷾?zhǔn)；﹡（抽查一部分程序，看是否遵循了標(biāo)準(zhǔn)，程序是否符合系統(tǒng)設(shè)計(jì)）﹡審查系統(tǒng)中所設(shè)計(jì)的輸入、處理及輸出控制是否適當(dāng)；﹡審查系統(tǒng)關(guān)鍵用戶是否理解系統(tǒng)如何操作，并定出他們?cè)趯?duì)屏幕格式及輸出報(bào)告上參與設(shè)計(jì)的等級(jí)；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)﹡評(píng)估審計(jì)軌跡是否能夠充分跟蹤系統(tǒng)事務(wù)處理；﹡確認(rèn)關(guān)鍵計(jì)算及處理程序的正確性；﹡確認(rèn)系統(tǒng)能識(shí)別錯(cuò)誤的數(shù)據(jù)并能夠適當(dāng)處理；﹡審查本階段所開發(fā)程序的質(zhì)保結(jié)果；﹡證實(shí)所有對(duì)程序錯(cuò)誤所提出的修正建議被執(zhí)行，所建議的審計(jì)軌跡或嵌入式審計(jì)模塊已嵌入適當(dāng)?shù)某绦蛑小Soouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)﹡檢查用戶參與測(cè)試的證據(jù)，考慮重新運(yùn)行關(guān)鍵測(cè)試﹡檢查錯(cuò)誤報(bào)告，判斷報(bào)告對(duì)錯(cuò)誤資料的識(shí)別及解釋能力﹡審查的周期性作業(yè)處理（如月末、年末的報(bào)表處理等）﹡審查系統(tǒng)和終端用戶文檔，判斷其完整性與正確性﹡詢問終端用戶，了解他們是否理解新方法、步驟和操作指令（5）測(cè)試階段的審計(jì)系統(tǒng)測(cè)試的工作量和成本占到整個(gè)開發(fā)工作的40％－50％。內(nèi)部審計(jì)人員對(duì)測(cè)試階段的審計(jì)必須全面投入內(nèi)部審計(jì)人員的主要任務(wù)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)﹡審查系統(tǒng)和終端用戶文檔，判斷其完整性與正確性﹡審查并行測(cè)試結(jié)果的正確性﹡進(jìn)行訪問測(cè)試，判斷系統(tǒng)安全措施是否按設(shè)計(jì)要求有效執(zhí)行﹡檢查單元測(cè)試和系統(tǒng)測(cè)試計(jì)劃，判斷計(jì)劃是否完整，是否已包含內(nèi)部控制測(cè)試；﹡審核用戶接受測(cè)試以保證被接受的軟件已經(jīng)交付給實(shí)施團(tuán)隊(duì)，供應(yīng)商不應(yīng)該替換版本；﹡審查記錄的使用過程以及錯(cuò)誤報(bào)告。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)實(shí)施階段的審計(jì)該階段只有在成功的測(cè)試過程結(jié)束之后才能進(jìn)行。系統(tǒng)必須按照組織的變更控制程序安裝。IS審計(jì)師必須確認(rèn):﹡審查用來為系統(tǒng)排程的程序及用來執(zhí)行日常作業(yè)排程的參數(shù)﹡審查所有系統(tǒng)文檔，判斷其完整性及在測(cè)試階段的更新均反應(yīng)在文檔中﹡在系統(tǒng)投入日常作業(yè)前確認(rèn)所有數(shù)據(jù)的轉(zhuǎn)換，保證其準(zhǔn)確性和完整性SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)實(shí)施后評(píng)審新系統(tǒng)在日常作業(yè)環(huán)境中穩(wěn)定下來之后，需要進(jìn)行實(shí)施后評(píng)審。在評(píng)審之前，重要的一點(diǎn)是有充分的時(shí)間在生產(chǎn)環(huán)境下使系統(tǒng)穩(wěn)定，這種方式可以使任何主要問題有一個(gè)機(jī)會(huì)浮現(xiàn)出來。﹡確定系統(tǒng)的目標(biāo)和需求是否已經(jīng)達(dá)到。在實(shí)施評(píng)審中，必須特別注意終端用戶的使用情況及對(duì)系統(tǒng)的總體滿意度，這些是系統(tǒng)目標(biāo)和需求是否已達(dá)到的指標(biāo)；﹡確定可行性研究中的成本收益是否已經(jīng)衡量、分析并報(bào)告給管理層；﹡審查已執(zhí)行的程序變更需求，評(píng)估系統(tǒng)變更的類型。從變更的

類型可以看出在設(shè)計(jì)、編程等方面的問題或進(jìn)一步理解用戶需求；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)﹡審查系統(tǒng)內(nèi)建的控制機(jī)制，確定它們?cè)诎丛O(shè)計(jì)耍求運(yùn)作。如果系統(tǒng)中已嵌入審計(jì)模塊，則使用該模塊去測(cè)試關(guān)鍵作業(yè)；﹡審查操作人員的錯(cuò)誤日志，決定系統(tǒng)是否存在固有的操作或者資源問題。日志可指出在安裝前系統(tǒng)不適當(dāng)?shù)脑O(shè)計(jì)或測(cè)試程序；﹡審查輸入及輸出的余額并進(jìn)行報(bào)告，證實(shí)系統(tǒng)準(zhǔn)確地處理了數(shù)據(jù)；SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)3、IT服務(wù)的交付與支持審計(jì)操作系統(tǒng)審查調(diào)度審核問題管理報(bào)告審核數(shù)據(jù)庫審核硬件審查IT服務(wù)的交付與支持審計(jì)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（1）硬件審查硬件審查應(yīng)包括：﹡審查硬件的能力管理程序和性能評(píng)估程序﹡審查硬件獲取計(jì)劃、審查微機(jī)(或PC)獲取標(biāo)準(zhǔn)﹡審查變更管理控制。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（2）操作系統(tǒng)審查操作系統(tǒng)審查方法包括：﹡會(huì)見技術(shù)服務(wù)和其他人員﹡審查系統(tǒng)軟件選擇程序、可行性研究和選擇流程﹡審查系統(tǒng)軟件程序的成本效益分析﹡審查對(duì)變更后系統(tǒng)軟件的安裝的控制﹡審查系統(tǒng)軟件維護(hù)活動(dòng)、變更控制﹡特別審查系統(tǒng)文檔的安裝控制語句和參數(shù)表以及活動(dòng)日志SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（3）數(shù)據(jù)庫審核﹡設(shè)計(jì)----確認(rèn)存在數(shù)據(jù)庫模型；審核邏輯模式；審核物理模式。﹡訪問----對(duì)數(shù)據(jù)庫以及存儲(chǔ)過程、觸發(fā)器的重要訪問應(yīng)進(jìn)行分析。﹡管理----所有用戶的安全級(jí)別和角色應(yīng)在數(shù)據(jù)庫中加以標(biāo)識(shí)。所有用戶或用戶組的訪問權(quán)限應(yīng)有正當(dāng)?shù)睦碛伞）~接口----驗(yàn)證數(shù)據(jù)導(dǎo)入導(dǎo)出程序以保證數(shù)據(jù)的完整性和私密性。﹡可移植性----應(yīng)盡量使用結(jié)構(gòu)化查詢語言（SQL）。數(shù)據(jù)庫審核包括：SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（4）問題管理報(bào)告審核在執(zhí)行問題管理報(bào)告的審計(jì)時(shí)，內(nèi)部審計(jì)人員應(yīng)保證己經(jīng)制定了符合管理層意圖和授權(quán)的充分的書面程序，以指導(dǎo)信息系統(tǒng)運(yùn)行人員及時(shí)地記錄、分析、解決和上報(bào)問題。內(nèi)部審計(jì)人員應(yīng)執(zhí)行程序來保證問題管理機(jī)制正在得到適當(dāng)維護(hù)，并且重要問題得到了充分重視和及時(shí)解決：﹡審查性能記錄，確定問題是否在處理期間存在；﹡審查應(yīng)用程序處理延遲的原因，確定它們是否正當(dāng)；﹡確定IS運(yùn)行部門標(biāo)出的所有問題均得到記錄，以便進(jìn)一步查證和定位；﹡審查問題報(bào)告系統(tǒng)生成的IS管理層報(bào)告，確認(rèn)這些報(bào)告經(jīng)過了管理層審查。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（5）調(diào)度審核審計(jì)步驟：﹡獲得一個(gè)定期調(diào)度的應(yīng)用列表及相關(guān)信息。﹡審查控制臺(tái)日志，確定調(diào)度的作業(yè)是否按計(jì)劃完成。﹡審查調(diào)度安排，確定是否為每個(gè)應(yīng)用分配了處理優(yōu)先級(jí)。﹡確定急需/重新運(yùn)行作業(yè)的調(diào)度是否和分配給它們的優(yōu)先級(jí)一致﹡確定是否已對(duì)關(guān)鍵應(yīng)用進(jìn)行了標(biāo)識(shí)。﹡保證日常作業(yè)計(jì)劃為計(jì)算機(jī)操作員的輪換規(guī)定了要完成的工作、程序運(yùn)行的順序以及執(zhí)行低優(yōu)先級(jí)任務(wù)的時(shí)間等。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)4、信息資產(chǎn)安全審計(jì)（1）邏輯訪問審計(jì)內(nèi)部審計(jì)人員在評(píng)價(jià)邏輯訪問控制時(shí)，要著重注意以下各個(gè)方面：﹡通過審核相關(guān)文檔、詢問相關(guān)人員等方法，獲得對(duì)組織信息安全風(fēng)險(xiǎn)的整體了解。﹡通過審核系統(tǒng)軟硬件的安全功能和識(shí)別系統(tǒng)中存在的缺陷，記錄和評(píng)價(jià)系統(tǒng)中已有訪問路徑的控制是否充分有效。﹡對(duì)訪問路徑的各種控制進(jìn)行測(cè)試，以判斷它們是否正常起作用。﹡通過分析測(cè)試結(jié)果和其他審計(jì)證據(jù)，評(píng)價(jià)訪問控制環(huán)境，以判斷其是否達(dá)到了控制目標(biāo)。﹡通過審核組織的書面政策，現(xiàn)場(chǎng)觀察安全實(shí)踐與程序，對(duì)比其他組織的安全標(biāo)準(zhǔn)與實(shí)踐等方法，來評(píng)價(jià)安全環(huán)境并評(píng)估其充分性。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)與系統(tǒng)人員會(huì)談為了管理及維護(hù)在計(jì)算機(jī)信息訪問過程中的各項(xiàng)軟硬件設(shè)施，組織需要精通各種設(shè)施的技術(shù)專家，這些專家是內(nèi)部審計(jì)人員了解安全管理過程的重要信息來源。通常這些技術(shù)專家包括安全管理員、網(wǎng)絡(luò)控制負(fù)責(zé)人、應(yīng)用系統(tǒng)開發(fā)負(fù)責(zé)人等。內(nèi)部審計(jì)人員應(yīng)當(dāng)與信息部門經(jīng)理會(huì)談，并檢查部門組織圖及相關(guān)人員工作職責(zé)。內(nèi)部審計(jì)人員應(yīng)當(dāng)選擇一些員工進(jìn)行面談，以評(píng)價(jià)員工對(duì)組織安全政策與程序的了解程度。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)審核訪問控制軟件的相關(guān)報(bào)告訪問控制軟件提供的記錄與報(bào)告可以幫助安全管理員有效監(jiān)控計(jì)算機(jī)使用情況，并判斷與組織安全政策的符合性情況。通過檢查這些記錄及報(bào)告，內(nèi)部審計(jì)人員可以評(píng)估是否存在足夠的數(shù)據(jù)，以支持對(duì)安全事件的調(diào)查，以及評(píng)估安全管理員日常是否對(duì)這些記錄及報(bào)告進(jìn)行了檢查。不成功的訪問企圖應(yīng)當(dāng)被系統(tǒng)記錄下來，記錄的內(nèi)容包括其時(shí)間、終端、登錄賬號(hào)，企圖訪問的文件和數(shù)據(jù)。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)審核應(yīng)用系統(tǒng)操作手冊(cè)應(yīng)用系統(tǒng)操作手冊(cè)是一種軟件使用指南，應(yīng)當(dāng)包括系統(tǒng)安裝、配置、使用等各方面的詳細(xì)說明，此文檔還應(yīng)當(dāng)包括支持此應(yīng)用系統(tǒng)正常運(yùn)行所需的操作系統(tǒng)平臺(tái)、數(shù)據(jù)庫管理系統(tǒng)、編譯程序、解釋程序、通信監(jiān)控等相關(guān)信息。應(yīng)用系統(tǒng)應(yīng)當(dāng)具有完備的操作手冊(cè)，這是用戶正常使用軟件的基礎(chǔ)保證。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)對(duì)安全進(jìn)行測(cè)試終端識(shí)別卡及鑰匙的使用內(nèi)部審計(jì)人員選擇幾種終端設(shè)備識(shí)別卡及鑰匙作為樣本，測(cè)試試圖越過訪問權(quán)限的行為能否被計(jì)算機(jī)訪問控制系統(tǒng)所拒絕。內(nèi)部審計(jì)人員還應(yīng)了解安全管理員是否對(duì)非法訪問行為進(jìn)行必要的跟蹤調(diào)查。終端設(shè)備確認(rèn)內(nèi)部審計(jì)人員在網(wǎng)絡(luò)管理人員的協(xié)助下，取得終端設(shè)備地址及物理位置的清單，然后根據(jù)此清單盤點(diǎn)終端設(shè)備，以確認(rèn)所有終端都記錄在案。內(nèi)部審計(jì)人員還應(yīng)抽樣調(diào)查終端設(shè)備，確認(rèn)其在網(wǎng)絡(luò)上確實(shí)存在。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)登錄賬號(hào)和口令為了測(cè)試登錄口令的安全性，內(nèi)部審計(jì)人員應(yīng)試圖猜測(cè)一些員工登錄的口令，但應(yīng)謹(jǐn)慎行事，以免打擾員工。內(nèi)部審計(jì)人員應(yīng)巡視用戶和程序員的工作環(huán)境，觀察是否有人將口令貼在終端設(shè)備上、存放在抽屜中或記錄在卡片文件中；另一個(gè)需要檢查的地方就是辦公室的垃圾桶，看是否能找到口令或其他機(jī)密信息；內(nèi)部審計(jì)人員還可以測(cè)試使用社交工程的方法從員工那里獲得口令信息。一般來說，員工不允許隨意泄漏口令信息，除非得到管理層特殊授權(quán)或者組織安全政策許可。(哈氏急智)SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（2）網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的安全審計(jì)1、審計(jì)遠(yuǎn)程訪問----內(nèi)部審計(jì)人員應(yīng)確定組織已為所有的遠(yuǎn)程訪問提供了控制措施；審核現(xiàn)有的遠(yuǎn)程訪問結(jié)構(gòu)；測(cè)試訪問控制。2、網(wǎng)絡(luò)穿透測(cè)試----內(nèi)部審計(jì)人員利用黑客技術(shù)，對(duì)組織的網(wǎng)絡(luò)進(jìn)行測(cè)試。3、網(wǎng)絡(luò)綜合評(píng)估----對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的漏洞進(jìn)行綜合性的審核，確保信息資產(chǎn)的機(jī)密性、完整性和可用性。4、對(duì)局域網(wǎng)的評(píng)估----對(duì)局域網(wǎng)絡(luò)環(huán)境及其訪問控制進(jìn)行評(píng)估，并對(duì)局域網(wǎng)環(huán)境下的主機(jī)操作系統(tǒng)和應(yīng)用系統(tǒng)的訪問控制進(jìn)行評(píng)估。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)五、業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)審計(jì)保持業(yè)務(wù)持續(xù)運(yùn)行最根本最終目標(biāo)恢復(fù)關(guān)鍵應(yīng)用的數(shù)據(jù)和制定、應(yīng)用災(zāi)難恢復(fù)計(jì)劃，保護(hù)過程中的人員、處理過程以及信息處理場(chǎng)所使業(yè)務(wù)操作持續(xù)運(yùn)行，保持在任何情形下可以持續(xù)運(yùn)行的能力。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（一）數(shù)據(jù)備份備份是一種數(shù)據(jù)安全策略，通過備份軟件把數(shù)據(jù)備份到磁帶上，在原始數(shù)據(jù)丟失或遭到破壞的情況下，利用備份數(shù)據(jù)把原始數(shù)據(jù)恢復(fù)出來，使系統(tǒng)能夠正常工作。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)備份策略備份策略主要包括全備份、差分備份、增量備份、備份介質(zhì)輪換。全備份是將系統(tǒng)中所有的數(shù)據(jù)信息全部備份，增量備份是只備份上次備份后系統(tǒng)中變化過的數(shù)據(jù)信息，差分備份則只備份上次完全備份以后變化過的數(shù)據(jù)信息，備份介質(zhì)輪換是輪流使用備份介質(zhì)的策略，好的輪換策略能夠避免備份介質(zhì)被過于頻繁地使用、以提高備份介質(zhì)的壽命。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)備份方式備份方式的選擇可以分為3種方式：硬件備份、軟件備份和人工備份。硬件備份指用冗余的硬件來保證系統(tǒng)的連續(xù)運(yùn)行，比如磁盤鏡像等方式。軟件備份是指將系統(tǒng)數(shù)據(jù)保存到其他介質(zhì)上，當(dāng)出現(xiàn)錯(cuò)誤時(shí)可以將系統(tǒng)恢復(fù)到備份時(shí)的狀態(tài)。由于這種備份是由軟件來完成的，所以稱為軟件備份。人工級(jí)的備份最為原始，也最簡(jiǎn)單和有效。但用手工方式從頭恢復(fù)所有數(shù)據(jù)，耗費(fèi)的時(shí)間過長(zhǎng)。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)備份場(chǎng)所備份解決方案必須確定另一個(gè)備份場(chǎng)所，也就是備份中心。備份中心必須滿足以下條件：具備與生產(chǎn)中心相似的網(wǎng)絡(luò)和通信設(shè)置；具備業(yè)務(wù)應(yīng)用運(yùn)行的基本系統(tǒng)配置；具備穩(wěn)定、高效的通訊線路連接中心，例如光纖等，確保數(shù)據(jù)的實(shí)時(shí)備份；具備日常維護(hù)條件；與生產(chǎn)中心相距足夠安全的距離；備份中心應(yīng)避免與生產(chǎn)中心遭受同樣的災(zāi)難。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)（二）災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)性計(jì)劃（BCP）災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性計(jì)劃(BCP)是組織為避免關(guān)鍵業(yè)務(wù)功能中

斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程，它包括了對(duì)支持組織關(guān)鍵功能的人力、物力需求和關(guān)鍵功能所需的最小級(jí)別服務(wù)水平的連續(xù)性保證。BCP關(guān)注的是組織日常風(fēng)險(xiǎn)管理程序所不能完全消除的剩余風(fēng)險(xiǎn)，BCP的目標(biāo)就是要把組織的剩余風(fēng)險(xiǎn)和因意外事件產(chǎn)生的風(fēng)險(xiǎn)降到組織可接受的程度。

BCP應(yīng)當(dāng)主要是組織最高管理層的職責(zé)，因?yàn)樽罡吖芾韺訉?duì)組織的資產(chǎn)和生存負(fù)有最高責(zé)任。BCP制定與推行后，最高管理層還敦促組織中的各個(gè)部門在進(jìn)行業(yè)務(wù)恢復(fù)時(shí)，都要嚴(yán)格遵照BCP的要求。BCP的制定應(yīng)當(dāng)涵蓋組織為生存和達(dá)成業(yè)務(wù)目標(biāo)所需的重要業(yè)務(wù)功能與資產(chǎn)，通過建立規(guī)范的BCP程序來最小化業(yè)務(wù)中斷的風(fēng)險(xiǎn)，以實(shí)現(xiàn)組織的持續(xù)發(fā)展。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)全自動(dòng)恢復(fù)系統(tǒng)它配合區(qū)域集群等高可靠性軟件可在災(zāi)害發(fā)生時(shí)自動(dòng)實(shí)現(xiàn)：生產(chǎn)中心的應(yīng)用切換到遠(yuǎn)程的災(zāi)難備份中心，并把生產(chǎn)中心的數(shù)據(jù)切換到遠(yuǎn)程的災(zāi)難恢復(fù)站點(diǎn)。并且它在生產(chǎn)中心修復(fù)后，把在災(zāi)難恢復(fù)站點(diǎn)運(yùn)行的應(yīng)用，返回給生產(chǎn)中心，操作非常簡(jiǎn)單。在災(zāi)害發(fā)生時(shí)，全自動(dòng)恢復(fù)系統(tǒng)可達(dá)到不中斷響應(yīng)的切換，很好地保證了重要業(yè)務(wù)應(yīng)用的持續(xù)性。這種方法大大地減少了系統(tǒng)管理員在災(zāi)害發(fā)生后的工作量，但是—些次要因素，如服務(wù)器死機(jī)、通信聯(lián)絡(luò)中斷等，也隨時(shí)有可能引發(fā)主生產(chǎn)系統(tǒng)切換到災(zāi)難恢復(fù)站點(diǎn)的操作。SSoouutthhwweesstteerrnn

UUnniivveerrssiittyy

ooff

FFiinnaannccee

aanndd

EEccoonnoommiiccss信息化與內(nèi)部審計(jì)手動(dòng)恢復(fù)系統(tǒng)在這種應(yīng)用中，如果生產(chǎn)中心全部被破壞掉，在災(zāi)難恢復(fù)站點(diǎn)利用手動(dòng)方法把應(yīng)用加載到服務(wù)器上，并且手動(dòng)完成將生產(chǎn)中心的數(shù)據(jù)切換到遠(yuǎn)程的災(zāi)難恢復(fù)站點(diǎn)的操作，以繼續(xù)開展業(yè)務(wù)處理。在這種方法下，整個(gè)系統(tǒng)的安全性非常好，不會(huì)因?yàn)榉?wù)