CISA笔记
预防性控制职责分工,物理访问控制
检查性控制审计轨迹
纠正性控制备份程序
IS审计了解审计环境---进行风险评估---编制审计计划
符合性测试:属性抽样
符合性测试是对内部控制的完整性、有效性和实施情况进行的测试。
用以确定内部控制制度是否落实执行的审计测试。
实质性测试:
一种审计测试的方法,用来保证在足够的内部控制的基础上,可以避免发生严重错误或诈欺行为。
变量抽样、分层单位平均估计法、差额估计法
1固有风险评估2控制风险评估3控制测试评估4实质性测试评估符合性测试与实质性测试的区别主要有以下6点:
1)测试目的不同:前者是为确定实质性测试性质,范围,时间;后者是为了对被审核单位内控制度发表审核意见。
2)测试范围不同,前者只对拟信赖的内控进行测试;后者视委托目的而定。
3)测试依据不同,前者依据《独立审计准则》;后者依据《内部控制审核指导意见》。
4)测试时间不同,前者和报表审计期间相同;后者视委托目的而定。
5)测试结果不同,前者形成审计工作底稿;后者形成内部控制审核报告。
6)内部控制审核要求被审核单位提供有关内控情况的书面声明,而符合性测试不需要。
第一章信息系统审计过程
审计计划包括短期计划和长期计划。短期年度内需要实施,长期考虑IT战略方针对IT环境造成的影响所带来的相关风险问题。
制定审计计划时:必须理解整体被审计环境。包括了解审计对象的各项业务流程和职能。
审计计划步骤:
1了解业务使命,目标、目的和流程
2找出相关规定(政策、标准等)
3风险分析
4执行IT相关内部控制检查
5确定审计目标和审计范围
6制定审计方法或策略
7为审计事项分配人力资源
8关注项目后勤保障
了解业务的步骤
1巡检设施
2阅读背景资料(出版物,报告)
3检察业务及IT长期战略规划
4访谈关键管理人
5审阅以往审计报告或相关报告
6识别适用于IT的具体规章
7识别已外包的IT职能和相关活动。
审计程序列表:
1风险评估方法
2数字签名
3入侵检测
4病毒和其他恶意代码
5控制风险自评估
6防火墙
7违规和非法行为
8安全评估——穿透测试和脆弱性分析
9评估加密方法的管理控制
10业务应用系统变更控制
11电子资金转账(EFT)
风险分析
风险分析是帮助IS审计师识别风险和脆弱性并确定降低风险所需的控制。
风险评估:
1识别业务目标、信息资产、支持系统或相关信息资源。(风险评估)2识别选择风险减缓所需的控制(风险减缓)
3监控所管理的风险水平(风险在评估)
内部控制
内部控制由能够降低组织风险的政策、规程、实务和组织结构组成。目地是使风险事件能够被预防、检测和纠正,业务目标能够达成。
控制分类
预防性、检测性和纠正性。
一般控制
适用于组织的所有领域
IS控制程序:
1战略和方针2全面的组织和管理3IT资源的访问4系统开发方法和
变更控制5运行规程6系统编程和技术支持职能7质量保证QA流程8物理访问控制9业务持续计划(BCP)灾难恢复计划(DRP)10网络和通讯11数据库管理12对内、外部攻击的检查和保护机制
审计方法:
基于风险的审计
`````````````````````````````````````````````````````````````````````````````````` 第二章
定量的风险管理方法
年预期损失方法ALE
暴露因子EF
单一损失期望SLE
年度发生率ARO
年度损失期望ALE/EAC 资产V
SLE = V * EF ALE = SLE * ARO
信息部门的组织结构
信息处理设施IPF
控制组Control Group
负责输入的收集、转换和控制,核对结果向用户分配输出。
系统分析员System Analysts
基于用户需求来设计系统的专家。
应用程序员Applications Programmers
开发新系统和维护生产中使用的系统。不能访问生产程序,只能在测试环境中开展。帮助台Helpdesk
面向用户,解决技术问题和困难。
最终用户Ender User
IT产品服务的使用者。
数据录入员Data Entry
对各部门的原始文件的保管、批量录入的准备、日程安排和作业准备、日志检验、输出结果的分发。
计算机操作员Computer Operator
负责对IPF中的设备进行日常操作和管理,管理控制科备份为:
1 物理安全控制
2 数据安全控制
3 处理控制
数据库管理员Database Administrator(DBA)
其职责是定义和维护公司数据库系统的数据结构。拥有建立数据库控制的工具和绕过这些控制的能力,也能访问所有数据库,包括生产数据。通常无法禁止或完全预防DBA对生产数据的访问。
因此,信息系统部门必须通过以下手段对数据库管理实施严格的控制: 1 职责分离。2 DBA活动需要得到管理层的审批3由主管对数据库的访问日志和有关活动进行审核。4 对使用数据库工具的情况进行检查性控制。
网络管理员Network Manager
负责网络基础设施中的关键组成部分(路由器、交换机、防火墙、分段,运行管理、远程访问)负责局域网的技术和管理控制。在小规模组织中,,可以负责局域网的安全管理,不应赋予局域网管理员应用系统编程的责任,可以使其承担最终用户的责任。
系统管理员System Administrator
负责维护主要的多用户计算机系统。(增加配置新工作站,设置帐号,安装系统软件,杀毒,分配存储空间)安全管理员Security Administrator
可以由IT管理人员担任。
1维护对数据和其他IT资源的访问规则。
2 在分配和维护授权用户的ID和口令时,保护其安全性和保密性。
3 监督违法南拳规定的行为并采取纠正行动。
4 定期审查和评估安全政策。
5 安全知识宣传
6 测试安全架构发现可能的威胁。
系统程序员System Programmers
负责维护系统软件,可能需要给与他们无限制的访问整个系统的权限。信息系统管理人员要密切监督,要求sp保留工作日志,只能访问负责维护的特定软件的系统库。
质量保证人员QA
执行两种不同的任务
1 质量保证QA:帮助信息系统部门,确保其人员遵守了规定
2 质量控制QC :进行测试和审查,验证和确保软件不存在缺陷并满足用户的预期。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
* 战略规划为企业达成目标奠定基础。IS政策、程序、标准和指引用来支持战略规划。
* IS指导委员会职责:编制和监督系统实施计划
* 自动化系统中实施有效成本控制的最终责任人是业务单位管理层。* 数据和系统所有者承担对适当的信息资产安全措施的维护。系统所有者通常将日常保管责任交给系统运行小组,将系统安全责任交给安全管理员,但所有者要承担适当的安全措施的维护责任。
* IS部门应当专门考虑短期内分配资源的方式。IT投资应当与最高管理层的战略保持一致。
*
第三章IT基础设施和应用系统的生命周期管理
业务效益分析(business case)是项目工作中的第一步。是项目生命周期中各个决策过程的关键因素。
项目管理4要素:环境、资源、目标、组织
网络分析技术:
1.项目评审技术PERT
2.关键路径法CPM
传统的系统开发生命周期法SDLC
用户接受性测试--- 需求定义阶段
各种测试134页
单元测试针对程序模块
接口测试/集成测试:在单元测试的基础上将所有模块按设计要求组
装成系统。
系统测试:将测试的软件作为整个基于计算机系统的一个元素。
最终接受测试:用户和质量保证人员
集成测试工具(ITF):测试的数据是输入到现场运行系统中进行的
与软件看法相关的风险:系统不符合用户业务的需要;设计和开发系统的项目活动超过了财务资源的限制,项目就会被推迟.
其他的系统开发方法
增量开发/渐进开发:1个版本1个版本的更新,系统功能内嵌到各个阶段的版本.
迭代开发:迭代+增量的模式.处理软件开发项目中的复杂性和相关风险最佳方法.
迭代开发有很多变种:
演化式开发---原型设计是构建一个可工作的模型
螺旋式开发---一个原型不行,要是用一系列原型
敏捷开发-----快速声传出可工作的产品(原型法)
F 过程改进实务(174)
F1 业务过程
业务过程重组(BPR)
F2 ISO9126
软件质量衡量:功能性、可靠性、可用性、效率性、可维护性、可移植性。
F3 软件能力成熟度模型(CMM)
1初始级。
2可重复级:建立基本的项目管理控制。
3已定义级:既关注项目问题,也关注组织问题,因为组织建立起了使高效率软件工程制度化的基本架构和跨项目的管理过程。
可以开始使用平衡计分卡
4 已管理级:对软件开发过程和软件产品都有一个定量的理解。
5 优化级:不论组织还是项目必须追求可持续的,可度量的过程改进。包括缺陷预防、技术更新和流程改造管理。
F4 软件能力成熟度模型集成(CMMI)
G 应用控制(181)
目标:保证记录的完整性和准确性及数据录入的准确性。
G1 输入控制/源头控制
输入授权:1表格/源文件上签字。2在线访问控制。3唯一性口令。4终端/客户工作站识别。5源文件。
批控制和批平衡
批控制可以基于:总金额、总项目数、总文件数、杂数总合等控制手段。
批平衡:能够通过人工或自动的对帐来执行。类型:批注册、控
制帐户、计算机一致。
错误报告和错误处理方法
联机系统或数据库系统中的批输入完整性
G2 处理程序和控制
用于保证应用程序处理的可靠性。
数据确认和编辑检查程序
顺序检查、极限检查、范围检查、有效性检查、合理性检查、查表、存在性检查、击键校验、校验数位、完整性检查、重复检查、逻辑检查。
处理控制程序----保证数据的完整性和准确性
人工重新计算、编辑、运行到运行的总计、计算机的合理性检查、计算机的极限检查、文件总数核对、例外报告。
数据文件控制程序---确保数据只有授权的程序才能进行处理
处理前后的数据映像报告;错误报告的维护和操作;源文件保存期;内、外部标签;版本使用;数据文件安全;一对一检查;预录输入;事务日志;文件更新和维护授权;奇偶校验。
数据文件或数据库的表分为四类:系统控制参数、常备数据、主数据或平衡数据、事务文件。
G3 输出控制
保证交付给用户的数据是符合格式要求的、可交付的,并以一致和安全的方式递交给用户。
类型:在安全的地方登记和存储重要表单、计算机生成可流通的通知
表单和签名、报告分发、平衡和核对、输出错误处理、输出报告管理、报告接受确认。
G4 对业务过程控制的保证
要考虑的特定因素:流程图、流程控制、在流程中评估业务风险、对最佳实践进行标杆管理、角色与责任、活动与任务、数据限制。
G5 应用控制的审计
信息系统审计师的任务:
1识别重要的应用程序组件和贯穿系统的事务流,通过评价可利用的文件和与适当的人员面谈,获得对应用程序的详细理解。
2 确定应用控制的强度,评价控制弱点的影响,通过积累的信息分析来开发测试策略。
3 审核应用系统文件议价生对应用程序的理解。
贯穿系统的事务流程的分析
事务流程图提供了关键处理控制的相关信息。应当审核系统中的事物进入点、处理点和输出点,已发现控制弱点。
准备风险评价模型以及分析应用控制
观察和测试用户操作程序
用户活动报告提供用户的详细活动时间,应当对活动报告进行审核,以确保活动的发生仅仅是在授权的操作时间内。
数据完整性测试
它是一种实质性测试程序,检查保留在系统中的当前数据的准确性、完整性、一致性和授权。文件定期的循环检查,这种控制技术成为循环校验。
通用类型2种:关系完整性测试、参照完整性测试。
联机事务处理系统中的数据完整性
四个重要特征---ACID:A原子性C一致性I隔离性D持久性。
原子性:我们把这种要么一起成功(A帐户成功减少1000,同时B帐户成功增加1000),要么一起失败(A帐户回到原来状态,B帐户也回到原来状态)的操作叫原子性操作。
如果把一个事务可看作是一个程序,它要么完整的被执行,要么完全不执行。这种特性就叫原子性
测试应用系统
测试应用控制的有效性包括:1分析计算机应用程序。2测试计算机应用控制程序。3选择和监控数据处理事务。
连续在线审计
联机审计技术
五种适用于连续在线审计的自动化评价技术:
1系统控制审计检查文件和内嵌审计模型(SCARF/EAM)。应用系统中内嵌的特别编写的审计软件来监控应用系统的使用。
复杂性非常高,适用于正常处理不能被中断时
2整体测试(ITF)对审计的对象设置虚构的事务,运行得出的数据与独立计算出的数据进行比对。
复杂性高,适用于采用测试数据没有益处时。
3快照(Snapshots)记录事务从输入到输出的处理轨迹,一边后续检查。
复杂性中等,适用于需要审计踪迹时。
4持续和间接性模拟(CIS)计算机系统模拟程序指令的执行,检查事务是否符合预定义的标准。
复杂性中等,适用于检查符合标准的事务。
5审计钩(Hooks)在应用系统中设置钩(标识符号),在错误或不规范事务失去控制前,提醒审计师采取行动。
复杂性低,适用于只有选择的事务或过程需要被检查时。
H对系统开发、获取与维护进行审计
H1 项目管理审计
信息系统审计师应当审查以下项目管理活动的充分性:
1项目指导委员会的监督级别。2采用的风险管理方法。3项目成本管理。4项目计划管理的流程。5向管理层汇报的流程。6变更控制的流程。7利益相关者参与管理。
另外,各阶段要有完整充分的文档作为证据:
1各阶段要完成的目标定义文件。2各阶段要交付的成果以及关键项目成员所需要负责的任务。3着重指出关键成果交付期的项目进度表。4各阶段需要的资源极其成本预测分析。5至少要有负责系统成本的管理层批准该阶段系统开发的核准文件
沟通
建议
审计报告
H2 可行性研究阶段的审计(196)H3 需求定义阶段的审计
H4 软件获取过程的审计
H5 队详细设计和开发的审计
H6 测试阶段的审计
H7 实施阶段的审计
H8 实施后评审
H9 对系统变更过程和程序移植的审计
I 业务应用系统
I1 电子商务
电子商务的风险
机密性、完整性、可用性、身份鉴别和无否定、选择权转移到了消费者手中。
电子商务的审计和控制问题(P202)
习题中的要点
IS审计人员介入系统需求定义的首要理由是保证有充分的控制。
接受测试--由用户在系统签收前进行的,从用户的角度来证实系统确实具备了要求的功能。
综合测试--保证应用中的所有程序工作正确而且信息的流动也正确。
第四章IT服务提供与服务支持
A 信息系统运行(IS Operations)
A1 IS运行管理
IS管理层对IS部门的全面运行负全部责任。运行管理的功能包括:资源分配、标准和程序、信息系统运行过程监控。
控制功能(control functions) P249
A2 IT服务管理ITSM
IT服务管理的概述及应用
IT服务管理包括用于有效支付和支持各种IT功能的处理和程序,主要目标是提高服务质量,降低服务成本、满足企业不断变化的需求。服务管理通过服务水平协议得到更好的贯彻,服务水平协议的基础是所要提供的服务品种。
服务水平Service Level
用来监控IS人员服务效率和效果的工具:
1异常作业终止报告2操作员问题报告3输出分发报告4控制台日志5操作员工作日程表6服务水平协议(SLAs)
服务水平被界定为包括硬件和软件性能指标,在IS部门功能被外包场合,IS审计师应确保有规定可以完成独立的、涵盖所有必要领域的审计报告,并且用户拥有足够的审计权限。
A3 计算机基础设施的运行P252
LIGHT-OUT运行(自动的无人值守运行)
输入输出控制功能