ITGC Guidance 中文

1、CE:Understand, evaluate and validate control components other than control activities IT本步驟旨在補(bǔ)充而非重復(fù)“領(lǐng)域 2000”中所記錄的總體內(nèi)部控制框架分析。本部分的目的在于記錄我們對(duì)客戶建立和維持一個(gè)強(qiáng)有力的 IT 控制環(huán)境和有效的信息技術(shù)一般控制（ ITGC）的了解和考慮。針對(duì)處理有重大財(cái)務(wù)影響的應(yīng)用或數(shù)據(jù)的公司整體以及各個(gè)獨(dú)立管理的 IT 機(jī)構(gòu)或 IT 附屬單位，實(shí)施以下程序：a) 了解、評(píng)估和記錄與各內(nèi)部控制要素相關(guān)的 IT 控制的設(shè)計(jì)和執(zhí)行情況。 b) 如果審計(jì)中計(jì)劃信賴內(nèi)部控制，要對(duì)確定的客戶

2、內(nèi)部控制框架中與審計(jì)相關(guān)的各個(gè)方面進(jìn)行驗(yàn)證。 c) 在確定對(duì)四個(gè) ITGC 領(lǐng)域中的各個(gè)領(lǐng)域所要實(shí)施的審計(jì)工作的性質(zhì)、時(shí)間和范圍時(shí)，考慮已經(jīng)實(shí)施的審計(jì)工作的結(jié)果。 d) 確保將已發(fā)現(xiàn)的內(nèi)部控制要素的缺陷與管理層進(jìn)行溝通，并在評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)和確定審計(jì)策略及審計(jì)計(jì)劃時(shí)予以考慮。確保已對(duì)審計(jì)信賴矩陣（）和/或?qū)徲?jì)信賴匯總表（）進(jìn)行更新。PBC1 主要應(yīng)用系統(tǒng)列表（見附表1）2 重要主機(jī)列表，指出主要應(yīng)用系統(tǒng)相應(yīng)的應(yīng)用服務(wù)器，數(shù)據(jù)庫(kù)服務(wù)器（見附表2）3 主要系統(tǒng)在2006年的開發(fā)，變更，升級(jí)情況（見附表3）系統(tǒng)架構(gòu)圖（描述系統(tǒng)間接口情況和通過接口傳遞的重要數(shù)據(jù)）4 IT 部門組織架構(gòu)圖5 IT 部門

3、職責(zé)說明書和IT崗位說明書6 IT 計(jì)劃（未來1年內(nèi)和5年內(nèi)）7 IT 年度預(yù)算 8 IT 管理制度和規(guī)定（包括系統(tǒng)變更流程，系統(tǒng)開發(fā)流程和技術(shù)規(guī)范，系統(tǒng)運(yùn)維制度，信息安全相關(guān)規(guī)章制度如操作系統(tǒng)安全規(guī)范，數(shù)據(jù)（庫(kù)）安全規(guī)范，應(yīng)用系統(tǒng)安全規(guī)范，內(nèi)外網(wǎng)絡(luò)安全規(guī)范，機(jī)房安全規(guī)范，終端用戶相關(guān)安全規(guī)范要求等）9 IT 部門人員招聘流程（如有）10 IT 部門人員培訓(xùn)計(jì)劃及培訓(xùn)記錄（如有）11 IT 部門人員考核紀(jì)錄（如年度績(jī)效評(píng)估）（如有）12 審計(jì)期間系統(tǒng)、服務(wù)器、機(jī)房發(fā)生有無發(fā)生過緊急情況時(shí)，向管理層的匯報(bào)及向用戶部門的通知13 IT 部門向管理層定期報(bào)告IT 部門與其他部門或供應(yīng)商之間的服務(wù)水平

4、協(xié)議或服務(wù)合同1.控制環(huán)境A.信息系統(tǒng)主要管理2007年x月x日, 通過對(duì)xxxx的訪談, 我們了解到xx信息技術(shù)部門管理范圍如下: 主要應(yīng)用系統(tǒng)清單: 重要主機(jī)列表:在信息技術(shù)部門的主要政策方面,xxx建立一系列IT 部門的有關(guān)制度和規(guī)定,規(guī)定包括: xxxxxxx xxxxxx xxxxxxx相關(guān)規(guī)定如何傳達(dá)到所有需要遵守的員工？B. 信息技術(shù)部門的組織架構(gòu) 信息部門的主要架構(gòu) 信息部門的職責(zé)分工和崗位職責(zé)說明 這些架構(gòu)信息如何傳達(dá)到員工以規(guī)范工作職責(zé)C.信息技術(shù)部門人力資源方面以及相應(yīng)培訓(xùn) 培訓(xùn)情況 招聘情況2.信息溝通 信息部門內(nèi)部溝通方式(溝通留下的證據(jù),如會(huì)議記錄等) 信息部門與其

5、他部門,高級(jí)管理層的溝通方式(溝通留下的證據(jù),如會(huì)議記錄等) 人員考核情況 重大IT問題的溝通方式3.風(fēng)險(xiǎn)評(píng)估 如何識(shí)別IT中的風(fēng)險(xiǎn) 年度工作計(jì)劃,年度工作總結(jié) 年度預(yù)算計(jì)劃4.監(jiān)控 高級(jí)管理層如何監(jiān)控信息部門的工作有效性,如考核等？ 是否聘請(qǐng)外部公司共同監(jiān)控IT各個(gè)方面安全？PC:Understand, evaluate and validate: program changes變更大致有以下類型：由業(yè)務(wù)發(fā)展引起的正常變更；由于系統(tǒng)存在bug引起的變更；由于一些緊急需求和情況引起的變更；一些ERP系統(tǒng)的參數(shù)變更（SAP，Oracle等）。程序修改領(lǐng)域的目標(biāo)是：“確保對(duì)程序和相關(guān)基礎(chǔ)組件的修改

6、經(jīng)過請(qǐng)求、授權(quán)、執(zhí)行、測(cè)試和實(shí)施，達(dá)到管理層應(yīng)用控制的目標(biāo)。”程序修改的一般要素包括：對(duì)維護(hù)活動(dòng)的管理對(duì)修改請(qǐng)求的規(guī)范、授權(quán)與跟蹤對(duì)程序修改實(shí)施過程的控制測(cè)試和質(zhì)量保證程序執(zhí)行記錄和培訓(xùn)職責(zé)分離對(duì)程序修改這一領(lǐng)域進(jìn)行了解、評(píng)估，如果擬對(duì)該領(lǐng)域的控制予以信賴時(shí),驗(yàn)證對(duì)生成財(cái)務(wù)報(bào)表賬戶余額的系統(tǒng)進(jìn)行程序修改的控制。在實(shí)施程序修改的控制時(shí)，客戶會(huì)采取多種措施。以下側(cè)重點(diǎn)可能會(huì)有助于識(shí)別需要評(píng)估和驗(yàn)證的控制活動(dòng)。僅需考慮與客戶財(cái)務(wù)報(bào)告相關(guān)的側(cè)重點(diǎn)。在修訂審計(jì)程序時(shí),參考記錄在信息技術(shù)一般控制范圍的步驟中關(guān)于確定范圍的決策。PBC14 審計(jì)期間系統(tǒng)變更的列表（見附表3）15 管理層對(duì)系統(tǒng)變更狀態(tài)和優(yōu)先順

7、序的跟蹤紀(jì)錄16 經(jīng)用戶部門批準(zhǔn)的系統(tǒng)變更請(qǐng)求(如有)17 測(cè)試計(jì)劃（如系統(tǒng)測(cè)試計(jì)劃，用戶測(cè)試計(jì)劃等）18 用戶測(cè)試結(jié)果與測(cè)試驗(yàn)收?qǐng)?bào)告 (如有)19 經(jīng)批準(zhǔn)的上線申請(qǐng)與上線計(jì)劃(如有)20 上線紀(jì)錄 (如有)21 技術(shù)文檔、用戶文檔以及用戶培訓(xùn)紀(jì)錄(如有)對(duì)系統(tǒng)變更的外包商的監(jiān)督紀(jì)錄(如有)對(duì)維護(hù)活動(dòng)的管理管理層應(yīng)當(dāng)建立程序修改的控制流程并對(duì)該流程的有效性進(jìn)行監(jiān)督?？紤]以下內(nèi)容：1. 管理層如何確保對(duì)包括應(yīng)用程序、基礎(chǔ)組件、經(jīng)營(yíng)管理單位和系統(tǒng)所在地的所有系統(tǒng)修改都遵守了控制流程的規(guī)定？2. 管理層如何記錄和溝通關(guān)于管理政策和程序的修改？3. 管理層如何記錄和溝通關(guān)于管理層角色和職責(zé)的變化？4.

8、 管理層如何對(duì)已執(zhí)行的程序控制的遵守情況進(jìn)行監(jiān)督？(變更的監(jiān)督，如變更列表，每月會(huì)議的討論當(dāng)月的變更效果之類的，以確保管理層和用戶及時(shí)掌握變更情況)對(duì)修改請(qǐng)求的規(guī)范、授權(quán)與跟蹤需求提出：由業(yè)務(wù)部門提出；由IT人員由于IT環(huán)境發(fā)生的變化和緊急情況提出。對(duì)修改請(qǐng)求的控制應(yīng)當(dāng)確保用戶請(qǐng)求被接收、經(jīng)過授權(quán)和區(qū)分優(yōu)先順序，以支持管理層實(shí)現(xiàn)應(yīng)用控制的目標(biāo)。考慮以下內(nèi)容：1. 管理層如何確保所有要求修改用戶的請(qǐng)求被接收？（管理變更的小組啊，OA系統(tǒng)之類的，變更是怎么被提出，怎么到達(dá)指定執(zhí)行人的）2. 管理層如何確保所有修改用戶的請(qǐng)求都保留有適當(dāng)管理層授權(quán)的證據(jù)？（變更的審批流程）3. 管理層如何確保在處理修

9、改用戶的請(qǐng)求時(shí)會(huì)識(shí)別有問題的管理活動(dòng)同上？4. 管理層如何考慮修改請(qǐng)求對(duì)有關(guān)財(cái)務(wù)報(bào)表的內(nèi)部控制產(chǎn)生的潛在影響？對(duì)程序修改實(shí)施過程的控制對(duì)修改實(shí)施過程的控制應(yīng)當(dāng)確保修改發(fā)生、實(shí)施的過程可以支持管理層實(shí)現(xiàn)應(yīng)用控制的目標(biāo)?？紤]以下內(nèi)容： 1. 管理層如何確保對(duì)內(nèi)部開發(fā)的應(yīng)用程序使用程序編制標(biāo)準(zhǔn)版本和代碼的控制和管理，編程的規(guī)范和代碼的一致。？2. 管理層如何確保所有系統(tǒng)均存在版本控制？ 3. 管理層如何確保已對(duì)集成應(yīng)用程序和數(shù)據(jù)文件之間的相關(guān)性進(jìn)行識(shí)別和考慮？接口的處理和開發(fā)，變更設(shè)計(jì)到的話。測(cè)試和質(zhì)量保證用戶測(cè)試，測(cè)試環(huán)境和正式環(huán)境的版本和數(shù)據(jù)轉(zhuǎn)移等。測(cè)試和質(zhì)量保證控制應(yīng)當(dāng)確保適當(dāng)人員實(shí)施了充分測(cè)

10、試，確保程序按照預(yù)期運(yùn)行，以實(shí)現(xiàn)管理層應(yīng)用控制的目標(biāo)。考慮以下內(nèi)容： 1. 管理層如何確定各項(xiàng)修改的測(cè)試性質(zhì)和范圍（即單位測(cè)試、用戶測(cè)試、回歸測(cè)試）？2. 管理層如何確保實(shí)施的測(cè)試不但應(yīng)對(duì)已作出的修改，還要確保測(cè)試系統(tǒng)中的重要功能不應(yīng)發(fā)生變化？3. 管理層如何確保適當(dāng)?shù)挠脩艉凸芾韺訁⑴c測(cè)試，對(duì)程序修改可能對(duì)財(cái)務(wù)報(bào)告的內(nèi)部控制產(chǎn)生的影響進(jìn)行了適當(dāng)?shù)膽?yīng)對(duì)？4. 在修改被推廣之前，管理層如何獲取用戶接受修改的證據(jù)？5. 管理層如何確保邏輯環(huán)境間的代碼遷移受到控制？6. 管理層如何確保修改后的配置選項(xiàng)可以繼續(xù)滿足業(yè)務(wù)和控制的要求？程序執(zhí)行用戶部門和管理層的sign off程序執(zhí)行控制應(yīng)當(dāng)確保只有在進(jìn)行

11、充分測(cè)試并且獲得業(yè)務(wù)用戶管理層的適當(dāng)批準(zhǔn)之后，才能由適當(dāng)?shù)娜藛T將修改后的程序在實(shí)際環(huán)境中付諸實(shí)施?？紤]以下內(nèi)容：1. 管理層如何確保所有程序修改在實(shí)施之前經(jīng)過適當(dāng)?shù)臉I(yè)務(wù)用戶及/或 IT 管理層的批準(zhǔn)？2. 管理層如何確保將修改應(yīng)用于生產(chǎn)流程時(shí)遵守控制流程的規(guī)定？3. 管理層如何確保將修改應(yīng)用于生產(chǎn)流程之后發(fā)生的緊急修改被接受、經(jīng)過記錄和批準(zhǔn)？4. 管理層如何確保只有適當(dāng)?shù)慕?jīng)過授權(quán)的人員有權(quán)限限制，可以將程序修改應(yīng)用到生產(chǎn)環(huán)境之中？5. 管理層如何確保生產(chǎn)流程中運(yùn)行的程序是已經(jīng)過測(cè)試的最新版本，并得到了業(yè)務(wù)用戶管理層的批準(zhǔn)？6. 如果程序在多個(gè)地點(diǎn)運(yùn)行，管理層如何確保程序的所有副本已升級(jí)至正確的

12、版本？記錄和培訓(xùn)記錄和培訓(xùn)控制應(yīng)當(dāng)確保在實(shí)施程序修改的同時(shí)，對(duì)終端用戶和 IT 支持的文件記錄和培訓(xùn)進(jìn)行更新?？紤]以下內(nèi)容： 1. 管理層如何確保對(duì)系統(tǒng)發(fā)生的重大變化，用戶和技術(shù)性文件記錄得以及時(shí)更新？2. 管理層如何確保對(duì)系統(tǒng)發(fā)生的重大變化，包括導(dǎo)致財(cái)務(wù)報(bào)告內(nèi)部控制發(fā)生的變化，用戶和 IT 人員能夠得到適當(dāng)?shù)呐嘤?xùn)？職責(zé)分離職責(zé)分離控制應(yīng)當(dāng)確保整個(gè)程序修改過程中的角色和職責(zé)已得到適當(dāng)?shù)南拗坪头蛛x?？紤]以下內(nèi)容： 1. 管理層如何確保對(duì)整個(gè)程序修改過程中的角色和職責(zé)作出適當(dāng)?shù)姆蛛x崗位說明書等。？2. 管理層如何確保對(duì)開發(fā)、測(cè)試和生產(chǎn)流程保持獨(dú)立的環(huán)境，并且只有適當(dāng)?shù)娜藛T方可訪問這些環(huán)境環(huán)境的分離

13、，物理分離和邏輯分離等；還有進(jìn)入各個(gè)環(huán)境的權(quán)限分配。？3. 如何長(zhǎng)期維持對(duì)職責(zé)分離的控制維護(hù)SOD和權(quán)限，如果在ATPD cover到的話可以refer。？PD:Understand, evaluate and validate: program development程序開發(fā)領(lǐng)域的目標(biāo)是：“確保系統(tǒng)的開發(fā)、配置和執(zhí)行能夠?qū)崿F(xiàn)管理層應(yīng)用控制的目標(biāo)?！背绦蜷_發(fā)控制的一般要素包括：對(duì)開發(fā)和執(zhí)行活動(dòng)的管理項(xiàng)目啟動(dòng)、分析和設(shè)計(jì)對(duì)程序開發(fā)實(shí)施過程的控制/軟件包選擇測(cè)試和質(zhì)量保證數(shù)據(jù)轉(zhuǎn)換程序執(zhí)行記錄和培訓(xùn)職責(zé)分離注：只有當(dāng)存在或預(yù)期會(huì)發(fā)生重大開發(fā)、執(zhí)行或轉(zhuǎn)換項(xiàng)目時(shí)，才和該程序開發(fā)領(lǐng)域的控制相關(guān)。在確定本領(lǐng)

14、域的工作性質(zhì)、時(shí)間和范圍時(shí)，需要根據(jù)各個(gè)具體項(xiàng)目的實(shí)際情況作出重要的判斷。隨著開發(fā)項(xiàng)目接近實(shí)施階段，關(guān)于程序開發(fā)的信息技術(shù)一般控制對(duì)于財(cái)務(wù)報(bào)告內(nèi)部控制的重要性和相關(guān)性也會(huì)增加。一般最關(guān)鍵的控制會(huì)在項(xiàng)目周期的后期產(chǎn)生，例如對(duì)系統(tǒng)測(cè)試、用戶承接和數(shù)據(jù)轉(zhuǎn)換的控制。 對(duì)程序開發(fā)這一領(lǐng)域進(jìn)行了解、評(píng)估，如果擬對(duì)該領(lǐng)域的控制予以信賴時(shí)，驗(yàn)證對(duì)當(dāng)前審計(jì)期間已經(jīng)運(yùn)行或正在進(jìn)行中的與財(cái)務(wù)報(bào)告系統(tǒng)相關(guān)的所有重大系統(tǒng)開發(fā)而實(shí)施的程序開發(fā)控制。 在實(shí)施程序開發(fā)控制時(shí)，客戶會(huì)采取多種措施。以下側(cè)重點(diǎn)可能會(huì)有助于識(shí)別需要評(píng)估和驗(yàn)證的控制活動(dòng)。僅需考慮與客戶財(cái)務(wù)報(bào)告相關(guān)的側(cè)重點(diǎn)。針對(duì)SAP系統(tǒng)實(shí)施1 系統(tǒng)開發(fā)可行性分析報(bào)告

15、2 系統(tǒng)開發(fā)合同或系統(tǒng)開發(fā)項(xiàng)目計(jì)劃書3 系統(tǒng)開發(fā)需求分析4 系統(tǒng)測(cè)試報(bào)告5 系統(tǒng)驗(yàn)收?qǐng)?bào)告6 系統(tǒng)上線計(jì)劃7 系統(tǒng)上線前的培訓(xùn)紀(jì)錄8 系統(tǒng)用戶手冊(cè)9 系統(tǒng)開發(fā)過程的階段性報(bào)告10 IT 部門與用戶部門的會(huì)議紀(jì)錄 11 遷移數(shù)據(jù)收集模板和數(shù)據(jù)檢查記錄12. 數(shù)據(jù)遷移結(jié)果檢查記錄對(duì)開發(fā)和執(zhí)行活動(dòng)的全面管理管理層應(yīng)當(dāng)建立包括加強(qiáng)主要系統(tǒng)在內(nèi)的程序開發(fā)活動(dòng)的控制流程，并監(jiān)督該流程的有效性?？紤]以下內(nèi)容：1. 公司是否采用了正式的方法和/或明確的政策和程序來管理程序開發(fā)活動(dòng)？2. 管理層如何確保所有重大項(xiàng)目都制定和執(zhí)行了綜合全面的實(shí)施計(jì)劃，包括考慮所希望具有的系統(tǒng)功能、對(duì)財(cái)務(wù)報(bào)告的內(nèi)部控制以及適當(dāng)?shù)陌踩?/p>

16、權(quán)限控制？3. 管理層如何記錄和向參與程序開發(fā)活動(dòng)的個(gè)人溝通他們的角色和職責(zé)分工？4. 管理層如何確保適當(dāng)?shù)臉I(yè)務(wù)部門協(xié)調(diào)人和 IT 項(xiàng)目負(fù)責(zé)人參與制訂需要滿足的業(yè)務(wù)要求、測(cè)試計(jì)劃和測(cè)試結(jié)果？5. 管理層如何監(jiān)督程序開發(fā)活動(dòng)和相關(guān)控制？項(xiàng)目啟動(dòng)、分析和設(shè)計(jì)項(xiàng)目啟動(dòng)控制應(yīng)當(dāng)確保項(xiàng)目的計(jì)劃、資源配置和啟動(dòng)可以支持管理層應(yīng)用控制目標(biāo)的實(shí)現(xiàn)。考慮以下內(nèi)容： 1. 管理層如何確保為程序開發(fā)作出的努力與總體業(yè)務(wù)目標(biāo)和內(nèi)部控制目標(biāo)保持一致？2. 管理層如何確保各項(xiàng)目小組擁有必要的業(yè)務(wù)和技術(shù)技能，包括內(nèi)部控制知識(shí)？3. 管理層如何確保所有項(xiàng)目都已指派業(yè)務(wù)部門協(xié)調(diào)人和數(shù)據(jù)所有者？4. 管理層如何確保對(duì)系統(tǒng)要求進(jìn)行

17、的開發(fā)一致而詳盡？5. 管理層如何確保項(xiàng)目小組能夠考慮到每個(gè)項(xiàng)目的系統(tǒng)及接口依存關(guān)系、內(nèi)部控制的要求和安全方面的要求？6. 管理層如何確保在進(jìn)入項(xiàng)目實(shí)施階段之前獲得業(yè)務(wù)部門協(xié)調(diào)人的批準(zhǔn)？對(duì)程序開發(fā)實(shí)施過程的控制/軟件包選擇對(duì)程序開發(fā)實(shí)施過程的控制和對(duì)軟件包選擇的控制應(yīng)當(dāng)確保進(jìn)行的內(nèi)部程序開發(fā)活動(dòng)和軟件包的選擇可以支持管理層應(yīng)用控制目標(biāo)的實(shí)現(xiàn)。考慮以下內(nèi)容： 1. 管理層如何確保對(duì)內(nèi)部開發(fā)的應(yīng)用程序使用程序編制標(biāo)準(zhǔn)？2. 管理層如何確保對(duì)外購(gòu)軟件包的選擇、定制（用戶化）和執(zhí)行進(jìn)行統(tǒng)一的應(yīng)用控制？3. 管理層如何確保所有系統(tǒng)均存在版本控制？ 4. 管理層如何確保已對(duì)集成應(yīng)用程序和數(shù)據(jù)文件之間的相關(guān)

18、性進(jìn)行識(shí)別和考慮？測(cè)試和質(zhì)量保證測(cè)試和質(zhì)量保證控制應(yīng)當(dāng)確保適當(dāng)人員實(shí)施了充分測(cè)試，確保新系統(tǒng)的功能按照預(yù)期運(yùn)行，以實(shí)現(xiàn)管理層應(yīng)用控制的目標(biāo)?？紤]以下內(nèi)容：1. 管理層如何確保測(cè)試計(jì)劃適當(dāng)，能夠應(yīng)對(duì)分析和設(shè)計(jì)階段提出的要求？2. 管理層如何確定測(cè)試的性質(zhì)和范圍（即單位測(cè)試、用戶測(cè)試、回歸測(cè)試）？3. 管理層如何確保相關(guān) IT 和/或經(jīng)營(yíng)單位人員實(shí)施并批準(zhǔn)了適當(dāng)?shù)臏y(cè)試？4. 管理層如何確保在測(cè)試中充分應(yīng)對(duì)了對(duì)新的或修改過的有關(guān)財(cái)務(wù)報(bào)告的內(nèi)部控制的設(shè)計(jì)和運(yùn)行的有效性？5. 管理層如何確保經(jīng)過測(cè)試的程序在投入生產(chǎn)運(yùn)營(yíng)之前不被修改？6. 管理層如何確保邏輯環(huán)境間的代碼遷移受到控制？7. 管理層如何確保選

19、擇的應(yīng)用軟件包的配置選項(xiàng)達(dá)到了業(yè)務(wù)和控制的要求？數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)轉(zhuǎn)換控制應(yīng)當(dāng)確保數(shù)據(jù)被完整、準(zhǔn)確地轉(zhuǎn)入到新系統(tǒng)。考慮以下內(nèi)容：1. 管理層如何確保數(shù)據(jù)字段從原有系統(tǒng)正確地聯(lián)接到目標(biāo)系統(tǒng)？2. 管理層如何確保轉(zhuǎn)換后數(shù)據(jù)的完整性、準(zhǔn)確性和有效性？3. 管理層如何確保在數(shù)據(jù)轉(zhuǎn)換計(jì)劃中考慮了關(guān)鍵的系統(tǒng)接口？程序執(zhí)行程序執(zhí)行控制應(yīng)當(dāng)確保只有在進(jìn)行了充分測(cè)試，獲取了業(yè)務(wù)部門協(xié)調(diào)人的批準(zhǔn)，并且制定了適當(dāng)?shù)膱?zhí)行和取消計(jì)劃之后，才能將新系統(tǒng)在實(shí)際環(huán)境中付諸實(shí)施?？紤]以下內(nèi)容：1. 管理層如何確保所有程序執(zhí)行均經(jīng)過適當(dāng)?shù)臉I(yè)務(wù)部門協(xié)調(diào)人和 IT 管理層的批準(zhǔn)？2. 管理層如何確保按照一致的流程作出系統(tǒng)投入使用的決策（即

20、執(zhí)行計(jì)劃、取消程序等）？3. 管理層如何確保生產(chǎn)流程中運(yùn)行的程序是已經(jīng)過測(cè)試的最新版本，并得到了業(yè)務(wù)部門協(xié)調(diào)人的批準(zhǔn)？4. 如果程序在多個(gè)站點(diǎn)運(yùn)行，管理層如何確保程序的所有副本已升級(jí)至正確的版本？5. 管理層如何確保在程序執(zhí)行后的期間能夠應(yīng)對(duì)重大的執(zhí)行風(fēng)險(xiǎn)，尤其是對(duì)復(fù)雜系統(tǒng)的執(zhí)行風(fēng)險(xiǎn)（例如運(yùn)行后復(fù)核、運(yùn)行終結(jié)過程的詳細(xì)控制等）？ 記錄和培訓(xùn)記錄和培訓(xùn)控制應(yīng)當(dāng)確保在程序執(zhí)行的同時(shí)向終端用戶和技術(shù)支持人員提供充分的文件記錄和培訓(xùn)?？紤]以下內(nèi)容：1. 管理層如何確保對(duì)所有新系統(tǒng)的用戶和技術(shù)文件的記錄得以及時(shí)編制和溝通？2. 管理層如何確保對(duì)所有新系統(tǒng)和相關(guān)的內(nèi)部控制，用戶和 IT 人員能夠得到適當(dāng)?shù)?/p>

21、培訓(xùn)？職責(zé)分離職責(zé)分離控制應(yīng)當(dāng)確保整個(gè)程序開發(fā)過程中的角色和職責(zé)已得到適當(dāng)?shù)南拗坪头蛛x?？紤]以下內(nèi)容：1. 管理層如何確保對(duì)整個(gè)程序開發(fā)過程中的責(zé)任作出適當(dāng)?shù)姆蛛x？2. 管理層如何確保對(duì)開發(fā)、測(cè)試和生產(chǎn)流程保持獨(dú)立的環(huán)境，并且只有適當(dāng)?shù)娜藛T方可訪問這些環(huán)境？ATPD:Understand, evaluate and validate: access to progams and data程序和數(shù)據(jù)的訪問權(quán)限領(lǐng)域的控制目標(biāo)是：“確保只有通過身份認(rèn)證的用戶有權(quán)訪問程序和數(shù)據(jù)。”程序和數(shù)據(jù)的訪問權(quán)限一般包括下列子項(xiàng)：安全活動(dòng)管理、安全管理、數(shù)據(jù)安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、實(shí)物安全對(duì)程序和數(shù)據(jù)的訪問

22、權(quán)限這一領(lǐng)域進(jìn)行了解、評(píng)估，如果擬對(duì)該領(lǐng)域的控制予以信賴,驗(yàn)證生成財(cái)務(wù)報(bào)表賬戶余額的系統(tǒng)的安全控制。在實(shí)施安全控制時(shí)，客戶會(huì)采取多種措施。以下側(cè)重點(diǎn)可能會(huì)有助于識(shí)別需要評(píng)估和驗(yàn)證的控制活動(dòng)。僅需考慮與客戶財(cái)務(wù)報(bào)告相關(guān)的側(cè)重點(diǎn)。在修訂審計(jì)程序時(shí),參考記錄在信息技術(shù)一般控制范圍的步驟中關(guān)于確定范圍的決策。 除了下列側(cè)重點(diǎn)，還可考慮使用 Guardian 中任何適用的技術(shù)平臺(tái)輔助手段和工作程序，以協(xié)助評(píng)估對(duì)程序和數(shù)據(jù)的訪問權(quán)限的控制。PBC1 公司信息安全策略2 計(jì)算機(jī)安全培訓(xùn)紀(jì)錄及相關(guān)講義（對(duì)IT人員和一般用戶）3 重要應(yīng)用系統(tǒng)，操作系統(tǒng)，數(shù)據(jù)庫(kù)用戶帳號(hào)維護(hù)流程4 有用戶部門管理層審批的用戶帳號(hào)維

23、護(hù)申請(qǐng)表或電子郵件5 定期復(fù)核應(yīng)用系統(tǒng)和操作系統(tǒng)層面用戶權(quán)限的證據(jù) (如有)6 使用防病毒軟件和定期更新病毒定義的證據(jù)7 網(wǎng)絡(luò)拓?fù)鋱D8 網(wǎng)絡(luò)變更流程9 網(wǎng)絡(luò)變更，升級(jí)紀(jì)錄 (如有)10 網(wǎng)絡(luò)安全監(jiān)控日志11 防火墻日志樣本/ 入侵警報(bào)訊息 (如有)12 數(shù)據(jù)庫(kù)管理流程13 數(shù)據(jù)庫(kù)升級(jí)紀(jì)錄 (如有)14 直接訪問數(shù)據(jù)庫(kù)行為的audit trail (例如，紀(jì)錄數(shù)據(jù)庫(kù)管理員所有活動(dòng)的活動(dòng)日志)15 數(shù)據(jù)庫(kù)管理員修改數(shù)據(jù)庫(kù)數(shù)據(jù)的紀(jì)錄及相關(guān)審批文檔16 數(shù)據(jù)庫(kù)用戶權(quán)限列表17 主機(jī)操作系統(tǒng)和用戶機(jī)操作系統(tǒng)安裝和升級(jí)流程及記錄18 服務(wù)器操作系統(tǒng)參數(shù)變更流程19 服務(wù)器操作系統(tǒng)用戶權(quán)限列表20 防病毒軟

24、件安裝記錄和監(jiān)控記錄21. 機(jī)房訪問日志安全活動(dòng)管理P&P應(yīng)當(dāng)設(shè)計(jì)和執(zhí)行一個(gè)安全功能及相關(guān)的政策和程序以支持客戶的信息整合目標(biāo)?？紤]以下內(nèi)容：1. 管理層如何從數(shù)據(jù)所有者的角度確保將經(jīng)營(yíng)單位的管理適當(dāng)?shù)丶{入到信息的安全功能中？2. 管理層如何記錄和溝通關(guān)于安全的角色和職責(zé)分工？ 3. 管理層如何定義、記錄和溝通適用于所有相關(guān)技術(shù)部分的安全政策和程序？4. 管理層如何確保定期及在技術(shù)部分發(fā)生變化時(shí)對(duì)安全政策和程序進(jìn)行更新？5. 管理層如何對(duì) IT 和業(yè)務(wù)用戶定期培訓(xùn)有關(guān)安全責(zé)任及相關(guān)的政策和程序？安全管理權(quán)限管理都放在這個(gè)section中寫。安全管理活動(dòng)應(yīng)當(dāng)確保只有經(jīng)過授權(quán)的人員才有權(quán)訪

25、問應(yīng)用程序、數(shù)據(jù)和操作系統(tǒng)，他們的訪問權(quán)限與其工作職責(zé)和管理層的控制目標(biāo)相匹配?？紤]以下內(nèi)容：1. 訪問權(quán)限是否由適當(dāng)級(jí)別的 IT 和經(jīng)營(yíng)單位管理層定義和建立,以實(shí)現(xiàn)相關(guān)的控制目標(biāo)，包括 IT 和業(yè)務(wù)流程中的職責(zé)分離？ 2. 管理層如何設(shè)計(jì)安全管理控制，以確保只有經(jīng)過適當(dāng)管理人員的批準(zhǔn)才能根據(jù)需要授予、變更和取消訪問權(quán)限？3. 安全管理功能如何協(xié)助經(jīng)營(yíng)單位管理層進(jìn)行用戶權(quán)限的定期復(fù)核，以確保經(jīng)過一段時(shí)間后訪問權(quán)限依舊保持與工作職責(zé)相匹配？4. 管理層如何定義業(yè)務(wù)流程中的職責(zé)分離目標(biāo)并將其與訪問權(quán)限的批準(zhǔn)和定期復(fù)核相結(jié)合？數(shù)據(jù)安全數(shù)據(jù)安全控制應(yīng)當(dāng)確保對(duì)數(shù)據(jù)的直接訪問僅限于經(jīng)過適當(dāng)授權(quán)的人員，監(jiān)督

26、對(duì)數(shù)據(jù)的訪問以防止?jié)撛诘奈唇?jīng)授權(quán)的訪問?？紤]以下內(nèi)容：1. 管理層如何確保在設(shè)計(jì)安全管理和安全監(jiān)督控制時(shí)定義和考慮了所有直接的數(shù)據(jù)訪問方法（即從應(yīng)用程序之外進(jìn)行訪問）？考慮： 可用于修改數(shù)據(jù)文件或數(shù)據(jù)庫(kù)信息的操作系統(tǒng)命令 可用于修改數(shù)據(jù)但不會(huì)顯示在清單中的操作系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員以及其他超級(jí)用戶名 識(shí)別有權(quán)訪問特定數(shù)據(jù)文件或數(shù)據(jù)庫(kù)的用戶， 可用于授權(quán)訪問特定數(shù)據(jù)文件或數(shù)據(jù)庫(kù)的操作系統(tǒng)和數(shù)據(jù)庫(kù)安全管理性能， 可用于在應(yīng)用系統(tǒng)外修改數(shù)據(jù)的報(bào)告書寫器和其他有用程序？2. 管理層如何確保將數(shù)據(jù)環(huán)境與以下適當(dāng)?shù)臋?quán)限限制進(jìn)行配置： 有重要財(cái)務(wù)影響的應(yīng)用數(shù)據(jù)文件和數(shù)據(jù)庫(kù)， 可用于修改數(shù)據(jù)文件或數(shù)據(jù)庫(kù)信息

27、的操作系統(tǒng)命令， 可用于修改數(shù)據(jù)但不會(huì)顯示在清單中的操作系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員以及其他超級(jí)用戶名 識(shí)別有權(quán)訪問特定數(shù)據(jù)文件或數(shù)據(jù)庫(kù)的用戶， 可用于授權(quán)訪問特定數(shù)據(jù)文件或數(shù)據(jù)庫(kù)的操作系統(tǒng)和數(shù)據(jù)庫(kù)安全管理性能， 可用于在應(yīng)用系統(tǒng)外修改數(shù)據(jù)的報(bào)告書寫器和其他有用程序？3. 管理層如何確保對(duì)數(shù)據(jù)訪問權(quán)限設(shè)置（即數(shù)據(jù)文件許可）的修改在受到控制的情況下完成，包括批準(zhǔn)經(jīng)營(yíng)單位所有者對(duì)數(shù)據(jù)進(jìn)行訪問？ 4. 考慮上述識(shí)別的訪問方法，管理層如何復(fù)核對(duì)數(shù)據(jù)的直接訪問權(quán)限，以確保訪問權(quán)限與工作職責(zé)相匹配？5. 如果使用特別的系統(tǒng)功能來控制對(duì)數(shù)據(jù)的直接訪問，那么管理層如何確保對(duì)此類功能的使用情況定期進(jìn)行記錄、錄入日志

28、和復(fù)核？6. 管理層如何監(jiān)督數(shù)據(jù)環(huán)境以防止?jié)撛诘奈唇?jīng)授權(quán)的訪問活動(dòng)？操作系統(tǒng)安全操作系統(tǒng)安全控制應(yīng)當(dāng)確保對(duì)操作系統(tǒng)的直接訪問僅限于經(jīng)過適當(dāng)授權(quán)的人員，監(jiān)督對(duì)操作系統(tǒng)的直接訪問以防止?jié)撛诘奈唇?jīng)授權(quán)的訪問?？紤]以下內(nèi)容： 1. 管理層如何確保對(duì)安全設(shè)置的修改得到控制，并與預(yù)期設(shè)計(jì)（即全局安全參數(shù)、密碼參數(shù)、服務(wù)的運(yùn)行等）保持一致？ 2. 管理層如何定期復(fù)核對(duì)操作系統(tǒng)的訪問權(quán)限，以確保安全管理流程按照預(yù)期運(yùn)行，對(duì)操作系統(tǒng)的訪問權(quán)限與工作職責(zé)相匹配？3. 管理層如何監(jiān)督操作系統(tǒng)環(huán)境以防止?jié)撛诘奈唇?jīng)授權(quán)的訪問活動(dòng)？網(wǎng)絡(luò)安全內(nèi)部和外部網(wǎng)絡(luò)安全控制可能是必要的，以防止對(duì)有重大財(cái)務(wù)影響的系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪問

29、。取決于對(duì)程序和數(shù)據(jù)訪問權(quán)限的其他控制的有效性，還可以考慮以下各項(xiàng)：1. 網(wǎng)絡(luò)設(shè)計(jì)（例如領(lǐng)域的邏輯分離、信任關(guān)系、外部網(wǎng)絡(luò)連接等）如何確保對(duì)有重大財(cái)務(wù)影響的系統(tǒng)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，以防止未經(jīng)授權(quán)的訪問（例如越過防火墻）？2. 管理層如何確保將驗(yàn)證控制（即密碼控制、用戶分組、遠(yuǎn)程訪問等）植入網(wǎng)絡(luò)配置之中？3. 管理層如何確保對(duì)內(nèi)部和外部網(wǎng)絡(luò)設(shè)計(jì)作出的所有修改都考慮了適當(dāng)?shù)陌踩刂疲?. 管理層如何監(jiān)督和應(yīng)對(duì)內(nèi)部和外部網(wǎng)絡(luò)中潛在的安全事項(xiàng)？實(shí)物安全實(shí)物安全控制在某些環(huán)境下是必要的，以確保客戶的系統(tǒng)免受未經(jīng)授權(quán)的實(shí)物接觸。相關(guān)時(shí)，考慮管理層如何對(duì)向有重大財(cái)務(wù)影響的系統(tǒng)提供邏輯訪問的設(shè)施進(jìn)行實(shí)物安全方面的

30、限制。C0: Understand, evaluate and validate: computer operations系統(tǒng)維護(hù)活動(dòng)的規(guī)程和標(biāo)準(zhǔn)；系統(tǒng)出現(xiàn)問題時(shí)的解決方式和流程。計(jì)算機(jī)運(yùn)行領(lǐng)域的目標(biāo)是：“確保生產(chǎn)系統(tǒng)按照管理層的控制目標(biāo)完全、正確地運(yùn)行，運(yùn)行過程中發(fā)現(xiàn)的問題得以完全、正確地解決，以保持財(cái)務(wù)數(shù)據(jù)的完整性?！睂?duì)計(jì)算機(jī)運(yùn)行這一領(lǐng)域進(jìn)行了解、評(píng)估，如果擬對(duì)該領(lǐng)域的控制予以信賴時(shí),驗(yàn)證處理交易和生成財(cái)務(wù)報(bào)表賬戶余額的系統(tǒng)的計(jì)算機(jī)運(yùn)行控制。在實(shí)施計(jì)算機(jī)運(yùn)行控制時(shí)，客戶會(huì)采取多種措施。以下側(cè)重點(diǎn)可能會(huì)有助于識(shí)別需要評(píng)估和驗(yàn)證的控制活動(dòng)。僅需考慮與客戶財(cái)務(wù)報(bào)告相關(guān)的側(cè)重點(diǎn)。在修訂審計(jì)程序時(shí),

31、參考記錄在信息技術(shù)一般控制范圍的步驟中關(guān)于確定范圍的決策。PBC1 備份流程2 備份磁帶輪換時(shí)間表3 備份日志(系統(tǒng)日志或手工日志)4 批處理作業(yè)變更流程5 批處理運(yùn)行紀(jì)錄6 系統(tǒng)性能監(jiān)控證據(jù)7 網(wǎng)絡(luò)性能監(jiān)控證據(jù)8 Helpdesk 流程(如有)9 事故處理流程 (如有)10 事故報(bào)告 (如有)11 災(zāi)難恢復(fù)計(jì)劃/ 持續(xù)經(jīng)營(yíng)計(jì)劃12 軟硬件以及其他設(shè)施的維護(hù)制度以及維護(hù)報(bào)告13 . 機(jī)房/重要服務(wù)器所在區(qū)域的物理環(huán)境規(guī)定對(duì)計(jì)算機(jī)運(yùn)行活動(dòng)的整體管理管理層應(yīng)當(dāng)建立計(jì)算機(jī)運(yùn)行的控制流程并對(duì)該流程的有效性進(jìn)行監(jiān)督?？紤]以下內(nèi)容：1. 管理層如何記錄和溝通計(jì)算機(jī)運(yùn)行的政策和程序？2. 管理層如何記錄和溝通計(jì)算機(jī)運(yùn)行中的角色和職責(zé)分工？3. 管理層如何組織計(jì)算機(jī)運(yùn)行的功能以確保職責(zé)分離？4. 管理層如何確保計(jì)算機(jī)運(yùn)行人員具有履行職責(zé)的必要技能？5. 管理層如何監(jiān)督計(jì)算機(jī)運(yùn)行環(huán)境以確保識(shí)別和解決潛在的運(yùn)行問