IT审计实务沟通与实践讨论之二IT审计实务操作细节

1、IT审计思想方面。
    说到思想,可能会让很多人打哈欠。其实真正会讲这些东西的人,能分析的如醍醐灌顶,可惜咱口拙。
    单从审计角度出发,审计可以笼统说成就是针对某条业务流程,检查是否有恰当的内部控制措施能实现保证这个流程按照或接近理想的想法顺顺当当走完。
    IT审计的应用控制检查也一样,针对各个系统中某条数据流或业务流,从输入,到内部处理,到输出,检查是否都有足够的内部控制保证维持它顺利按照既定路线走完,就是这个思想的核心了。
    至于发现了某个节点出现了重大内控风险点以后,到底怎么对待,怎么沟通,那是之后的事情了。
2、IT审计流程方面。
    我发现大部分IT审计的书籍课件都只是重点描述检查哪些风险点,而对于怎么开始着手从接项目到入手检查这中间一段,详细探讨的甚少,我就根据自己的经验抛砖引玉一次。不只是涉及到应用控制,对整个IT审计项目流程都适用。
    应用控制怎么查,领导某天说,小某某,我们对XXX系统做个项目吧,你能做吗?肯定耳闻拍胸脯啪啪响。
    顶着这么简单的一条指令,回头肯定要做那么复杂的一堆事情。
    首先,我们得理清思路,为啥做这个项目。领导想得到的结果是什么:确认资金系统是否有漏洞?确认核心系统是否业务能够正常来往?还是对接下来要改造的目标系统摸摸是否值得继续投资的底?这个是搞IT审计的第一条,了解要开战的重点。除了领导需求之外,还有几条,比如这个系统你已知它有问题的地方(比如太多人抱怨哪个环节总报错,卡死)、这个系统据你判断可能出问题的地方(比如与外部系统接口处的逻辑判断),还有这个系统本身最重点功能的地方(比如资金系统的支付逻辑判断、审批流判断)。
    其次,我们在知道要做啥的前提下,收集阅读详细需求开发文档、运维变更文档、数据结构、业务及逻辑流程图、拓扑图、用户说明书、生产环境前台账号、最好还有测试系统的各个环节账号以及测试系统的后台数据库权限,以方便穿行测试以及白盒测试。这些拿到,开始最痛苦的了解系统。这一环节需要把前台实际操作、后台数据逻辑、所涉及业务实务掰碎揉合。
    第三,把目标系统功能大卸八块。按照各个功能模块细细的洗了拆开,分放在excel的每一行。有各种功能混杂在一个模块同时实现的也表明细分。这样的好处是方便设计风险矩阵。
    第四,开始设计风险矩阵,简单说就是在了解以上各条的前提下,在业务重点、风险大小、风险可能性等方面对拆开的各个功能块打分,最终会拿到一份这次要重点检查哪块的矩阵图。
    第五,根据矩阵,开工。
    如果有时间,最好再设计一份详细的每个要检查的模块所涉及的风险点。然后按照风险点一个个检查。
    接下来就需要用到审计知识了。比如要检查某个审批流的内控设立、执行情况。首先得看下是否设置了审批流,从用户说明书、概要设计上看这条审批流是否完整、满足业务需求。用以判断是否业务逻辑本身有问题。然后我们需要查看系统中所开发内置的审批流功能的实现是否与详细需求文档一致。用以判断系统内的控制是否与设计一致。这时就看到有后台数据库权限的好处了,前台边输入数据、处理、输出数据进行操作,后台则每一步都查看分析数据。最后我们检查生产环境下用户根据审批流的功能所配置的具体业务审批数据是否足以满足之前需求文档中理想的业务需要。穿行测试、符合性测试、白盒、黑盒都可以用。

IT审计实务沟通与实践讨论之二IT审计实务操作细节

时间: 2024-11-08 11:53:33

IT审计实务沟通与实践讨论之二IT审计实务操作细节的相关文章

IT审计实务沟通与实践讨论之三IT审计中IT与财务的角度转换

IT审计的大部分人都是从IT转换而来,或者IT角度看问题的熟练程度高于财务业务角度.故写此文,与大家一起沟通两者的区别,以便于互转和融会贯通. 首先,it审计的概念:通俗的讲,是对it相关系统. 事项进行检查评估,从而判断是否足够支持业务目标.我相信,大部分人都对前半句--“对it相关系统.事项进行检查评估”耳熟能详,也认为这个就是it审 计的实质,实际上,都有些偏了,真正it审计,甚至审计的神韵恰恰在于后半句--“判断是否足够支持业务目标”.如果你弄透了这半句,足够足够了.业务就 是业务,公司

IT审计实务沟通与实践讨论之一IT审计思路

1.不要照搬国外IT审计流程及思路. 国外讲制度,国内讲人情及实务.尤其对面是整个公司的脉络--IT部门,小问题,提示下即可:大问题,则不仅与具体被审计人员及时沟通,而更多的建议及时与IT的高层反馈.这个既是一种及时确认问题的态度,同时也是一种尊重,更是一种树立国内特有人情味的思路.但是及时沟通完毕不代表不上报告.紧急且重大问题上最好树立好你身为IT审计人员的威信,把事情沟通完,再尽快出一份正式高风险提 示函给对方,给出之前当然得给自己领导审阅一番了.而且及时与IT高层沟通,而不是等到后来直接把

机器学习算法与Python实践之(二)支持向量机(SVM)初级

机器学习算法与Python实践之(二)支持向量机(SVM)初级 机器学习算法与Python实践之(二)支持向量机(SVM)初级 [email protected] http://blog.csdn.net/zouxy09 机器学习算法与Python实践这个系列主要是参考<机器学习实战>这本书.因为自己想学习Python,然后也想对一些机器学习算法加深下了解,所以就想通过Python来实现几个比较常用的机器学习算法.恰好遇见这本同样定位的书籍,所以就参考这本书的过程来学习了. 在这一节我们主要是

敏捷团队管理实践纪实(二)

今天的晨会得到确切的数据证实,新入职的同事工作效率极低,一天大约只有100行左右的HTML+JS+CS的结果,并且没有将自己测试的时间和沟通的时间计算进去,导致下午的进度被延迟到了今天上午.这位同事的计划内容是第两小时,做一件什么事情,但是并没有详细分拆事情的细节,该同事的表达能力也存在较大问题. 针对这一问题我调整了策略,要对于新人给予的要求是极其细致的分解其工作内容,引导他考虑到数据库数据变化,构架变化,界面改动,逻辑变更,沟通时间和测试时间的总时间,而过程中需要及时询问,直至他自己可以制定

菜鸟Scrum敏捷实践系列(二)用户故事验收

菜鸟Scrum敏捷实践系列索引 菜鸟Scrum敏捷实践系列(一)用户故事概念 菜鸟Scrum敏捷实践系列(二)用户故事验收(本篇) 菜鸟Scrum敏捷实践系列(三)用户故事的组织(即将到来) 一.用户故事的状态: 用户故事推荐定义五种状态,分别是“构思”.“已批准”.“开发中”.“已完成”.“已验收”. 只有符合项目组规定的验收标准,才能置为“已验收”状态. 二.用户故事验收标准  由团队决定验收标准. 该标准可包括: •已完成所有任务(开发.测试和记录) •正在运行和通过所有验收测试 •无开放

微软云计算介绍与实践(实践之十二)

今天主要实践使用远程 SMB 存储共享保存 VHD.由于周末要看球等原因,内容不多,有料就行.(^_^) 接前面,公司私有云管理员小张已经执行了迁移,他还需要在最近已部署的 Virtual Machine Manager 环境中检查虚拟机设置.所以下一步小张需要确认 Guest01 的存储已经位于 HyperV02 上的 SMB 3.0 共享中,并且虚拟机通过 EvalCluster 群集运行. 1.打开 Virtual Machine Management 控制台,输入用户名 CONTOSO\

夏季学期软工综合实践小记(二)

短学期的软工实践前五天的学习结束了,虽然在课堂中我们学到了很多以前从未接触过的如:JDBC.Java Servlet等框架,XML语言和简单的网页制作语句的浅析,亦或是通过编程语言实现网页与数据库内容的桥接和使用等内容,但时间上总体来讲还是较为紧迫,加上很多基础的知识如网页制作技术.语句的使用和语法规则并未先修相关课程,这就造成很多基础内容都需要讲师在课堂上现场普及.虽然编程语句和逻辑与之前所学的相差不多,但一天的学习下来因为内容量大,并且整个工程在实际运作时会在多个文件之间跳转调用,实际理解起

微软云计算介绍与实践(实践之三十二)

好,今晚的工作很简单,就是创建.NET应用程序监视器.操作步骤如下: 1.单击监视,然后浏览到应用程序监控-.NET监视 2.点击IIS8.0的ASP.NET Web应用程序清单,等待销售(人员)的应用出现在此窗口中.这可能要15分钟左右才出现 3.当出现后,点击制作 4.右键单击管理包模板,然后选择添加监视向导 5.选择.NET应用程序性能监控,然后点击下一步 6.在名称字段中键入Sales应用程序监视器 7.单击新建按钮旁的目标管理包 8.在Name字段中输入Contoso管理,然后单击下一

蓝鸥Unity开发基础—— 实践课程源代码二

蓝鸥Unity开发基础-- 实践课程源代码二 using System; namespace MyFirstGame{    class MainClass    {        public static void Main (string[] args)        {            //游戏即将启动时做一些操作            const int mapW=46;//地图宽度            const int mapH = 16;//地图高度 //定义常量