1、信息系统审计基础培训1课程目录信息系统审计基础通用计算机控制审计应用系统控制审计计算机辅助审计技术介绍信息技术控制缺陷的评估对外包服务商内部控制的考虑交流与回答信息系统审计基础培训2信息系统审计基础 信息系统审计基础培训3IT审计的定义v为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。vIT审计的要点:独立性综合性IT审计师资格IT审计报告促进信息系统安全、可靠与有效信息系统审计基础培训4IT审计 vs.财务审计Assess Engagement Qualit
2、y(Ch.27)Perform Post-Engagement ActivitiesEngagement Reporting(Ch.26)Prepare Audit Summary Memorandum(Ch.24)Obtain Management Representations(Ch.23)Perform Subsequent Events Review(Ch.22)Conclude&ReportPerform Financial Statement Review(Ch.21)Overall Evaluation of Misstatements&the Scope of our Audi
3、t(Ch.20)Perform Tests of Operating Effectiveness of Controls(Ch.17)Perform the Audit PlanDetermine Planning Materiality(Ch.11)Perform Preliminary Analytical Review(Ch.10)Understand the Accounting Process(Ch.9)Understanding Internal Control(Ch.8)Understand the Entity and Its Environment(Ch.7.)Strateg
4、ic Audit Planning(Ch.6)Perform Preliminary PlanningEstablish Terms of Engagement(Ch.5)Select the Engagement Team(Ch.4)Assess&Respond to Engagement Risk(Ch.3)Perform Pre-Engagement ActivitiesPrepare,Review and Control Working Papers(Ch.25)Assess and Manage RiskAudit QualityManage the Audit Engagement
5、(Ch.2)Plan an intermediate level of substantive procedures(Ch.15)Plan to obtain audit evidence about the operating effectiveness of controls,in the current audit period or together with our work performed in the prior 2 audits,&plan a basic level of sub-stantive procedures(Ch.14&15)Plan to obtain au
6、dit evidence about the operating effectiveness of controls,in the current audit period,&plan a moderate level of substantive procedures(Ch.14&15)Plan a focused level of substantive procedures(Ch.15)Develop the Audit PlanSummarize&Communicate the Audit Plan(Ch 16)Plan to Rely on Operating Effectivene
7、ss of Controls(Ch.13)Specific Identified Risk(Ch.12)YesNoYesNoYesNo3.01.70.72.0.Perform Substantive Procedures SAP(Ch.18)&/or Tests of Details(Ch.19)No Specific Identified Risk(Ch.12)Assess Risk at the Potential-Error Level(Ch.12)Design&implementation of controls was adequate(Ch.9)No信息系统审计基础培训5内部控制构
8、成要素(COSO)确保相关信息得到及时识别与传达的程序确保相关信息得到及时识别与传达的程序来自高管的信息来自高管的信息政策与程序政策与程序培训培训道德准则道德准则组织的控制意识。组织的控制意识。“高层论调高层论调”道德准则道德准则成文的政策与程序成文的政策与程序文化评估文化评估对影响组织绩效的内外部因素的评估对影响组织绩效的内外部因素的评估业务风险管理业务风险管理程序风险管理程序风险管理内部审计风险评估内部审计风险评估确定内部控制是否得到正确地设计、有效和因确定内部控制是否得到正确地设计、有效和因地制宜地执行的程序地制宜地执行的程序管理分析管理分析披露委员会披露委员会内部审计内部审计确保风险管
9、理措施得到及时执行的政策与程序确保风险管理措施得到及时执行的政策与程序授权审批授权审批普通程序和系统普通程序和系统职责分隔职责分隔客户对帐客户对帐信息技术控制信息技术控制信息系统审计基础培训6IT穿插在企业内部控制的各个环节控制环境控制环境vIT控制环境是公司整体控制环境的重要组成部分v在公司“老总”层面要听得到关于信息技术的声音 v信息技术的控制职责和签字权力必须明确v信息技术的控制政策和规程必须成文 风险评估风险评估v应当有专门的信息技术风险评估程序v应当对信息技术内控计划的制定加以监督v信息技术风险包括安全、运行、可用性等,都会影响财务报告的可靠性v管理层必须意识到信息技术的风险与信息技
10、术的控制息息相关信息与沟通信息与沟通部署用以支持沟通的架构、标准和流程信息能够准确、及时地向上传递方便地获取信息技术相关的政策、流程、职位描述和职责定义准确地对财务数据和报告进行整理和沟通监督监督对信息技术内控进行持续监督,确保其实质有效实际并运行对信息技术文档的充分性进行监督 信息技术内审复核.对弥补和升级程序进行监控.持续的安全监督信息系统审计基础培训7了解企业内部控制的程序 识别主要活动,程序和控制,以应对内控的各实体层次构成要素。了解监管负责人员如何应对风险评估控制的设计与执行对以下作出结论:对实现有效内部控制和可靠财务信息处理的帮助。它是否提高或降低内部控制的有效性信息系统审计基础培
11、训8IT控制是内部控制的重要组成部分Entity Level ControlsEntity-level controls set the tone and culture of the organization.IT entity-level controls are part of a companys overall control environment.Controls include:Strategies and plans Policies and procedures Risk assessment activities Training and education Qualit
12、y assurance Internal auditIT General ControlsIT General ControlsControls embedded within IT processes that provide a reliable operating environment and support the effective operation of application controls.Controls include:Controls include:Program development Program changes Access to programs and
13、 data Computer operationsApplication ControlsApplication ControlsControls embedded within business process applications directly support financial control objectives.Controls include:Controls include:Control objectives/assertions include:Completeness Accuracy Existence/authorization Presentation/dis
14、closure信息系统审计基础培训9控制 vs.风险v风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害,风险的严重程度与资产价值程度及威胁发生的频度成正比v为了将风险控制在管理层可接受的程度,就必须对识别出的各类风险实施相关的控制。在实施时须考虑如下因素:比较控制成本与减少风险所得的收益管理层的风险喜好(如,管理层准备接受的残余风险水平)愿意采取的风险降低的方式(如,终止风险、减少发生的可能、减少影响、转移或保险)信息系统审计基础培训10控制的分类v预防性控制在事情发生前监测问题监控运营和输入在问题发生前预测潜在问题避免错误、疏忽或蓄意行为的发生v检测性控制使用控制检查和报告发生的
15、错误、疏漏或蓄意行为的发生v纠正性控制减少危害影响修复检查性控制发现的问题找出问题原因,纠正问题衍生出的错误,修改处理系统以减少未来问题发生的可能性信息系统审计基础培训11内部控制目标v内部控制就是要通过实施一系列特定的控制活动,达到所预期的结果或目的。通常包括:内部会计控制主要针对会计操作,即资产安全、财务资料准确可靠运营控制针对日常运营、职能和活动,用于确保运营达到企业目标管理控制关注职能部门的运作效率及运营控制符合管理政策的程度,是以提高经营效率和保证管理方针、政策的实施为目标的控制技术环境控制保护信息资产,符合组织的方针策略及法律法规的要求,信息输入输出,交易处理的准确性及完整性,数据
16、处理的可靠性,备份与恢复,业务经营的效率与效果信息系统审计基础培训12信息系统控制目标v内部控制目标可以运用在所有人工及自动化控制部分,常见的信息系统控制目标如:保护信息系统以防止不当存取,并确保及时更新保护计算机操作系统及网络操作系统的完整性保护敏感的、重要的应用系统(如财务及管理应用系统)的机密性和完整性:保证信息系统的运营效率与效果符合用户的需求、组织的方针、策略与程序,并遵守法律法规的要求制定业务持续计划及灾难恢复计划制定应急响应及处理程序信息系统审计基础培训13实施信息系统审计v信息系统审计是检查评估自动化信息处理系统、与其有关的非自动化程序和两者之间的接口等。实施信息系统审计需要如
17、下几个步骤:充分的审计计划(短期、长期)为有效地利用审计资源,审计机构必须评估所有风险(一般控制与应用控制领域)制定审计计划,包括审计目标与审计程序搜集证据、对现有控制进行评估与测试编写审计报告,并与管理层沟通审计发现信息系统审计基础培训14测试和评估信息系统控制的方法v信息系统审计师必须理解和掌握测试评估信息系统控制的方法:使用通用审计软件调查数据文件的内容(包括系统日志)使用专用软件来评估操作系统参数文件(如测试系统参数设置漏洞)用流程图的方式来图示业务流程及应用系统使用操作系统中内置的审计报告进行文档检查观察信息系统审计基础培训15符合性测试 vs.实质性测试v符合性测试确定控制的执行符
18、合管理层制定的方针政策的程度。测试目的是为信息系统审计师提供保证其在初步评价中确定的关键控制点是可以信赖的。v实质性测试验证实际处理的完整性。例如对于贷款利息计算,信息系统审计师可能采取详细的利息计算测试,也可能采取统计抽样技术,得出全部贷款利息正确的结论。v需要进行实质性测试的数量与内部控制水平直接相关。(德勤的方法中样本数量可相差10倍)信息系统审计基础培训16审计证据v证据是审计师安全审计标准及目标的要求,在对某一实体或数据进行审计时所采用的信息。审计证据包括审计人员的观察、询问的记录、从内部文件或信件中获取的资料、审计测试程序所产生的结果。审计证据的可靠性取决于以下因素:提供审计证据人
19、员的独立性提供审计信息或证据人员的资格审计证据的客观性审计证据的实效性信息系统审计基础培训17审计证据的获得v获取审计证据的技术有:检查信息系统组织结构检查信息系统方针政策检查信息系统标准检查信息系统文件约见相关人员并进行会谈观察处理过程和员工的实际表现审计工作不仅仅包括查询程序,还包括对控制和审计证据的审计工作不仅仅包括查询程序,还包括对控制和审计证据的测试验证,得出审计测试的结论测试验证,得出审计测试的结论信息系统审计基础培训18通用计算机控制审计 信息系统审计基础培训19通用计算机审计涵盖的领域v信息系统运作v信息安全v应用系统的实施及维护v数据库的实施及维护v网络支持v系统软件支持v信
20、息资源战略及规划v与外包供应商的关系v业务连续性计划v硬件支持信息系统审计基础培训20信息系统运作v所有进行批处理和在线作业及产生报表之生产程序均能及时运行并正常完成v仅执行有效的生产程序v依照法律,法规或公司政策保存数据,以便必要时可随时取得v计算机处理环境的服务水平达到或超过管理当局的期望v用户得到有关应用系统使用的适当培训v用户获得适当的支持以确保应用系统的功能依照其预定的目标运行信息系统审计基础培训21信息系统运作v所有进行批处理和在线作业及产生报表之生产程序均能及时运行并正常完成管理当局应监督计算机处理(包括复核及解决任何例外情形)以确保处理成功和及时地完成非正常处理的例外情形应记入
21、日志、经管理当局复核并立即解决对批次及在线处理程序进行定义,以确保该工作和/或交易被正常地处理及完成、或被恢复及重新处理信息系统审计基础培训22信息系统运作v仅执行有效的生产程序自动化编排工具(scheduling tool)已被执行以确保处理流程经授权及完整对生产处理控制语言和可执行程序的访问权限进行定义,使得只有适当人员才能具有执行、修改、删除或创建的能力管理当局或用户复核完成的处理以确保其正确性、完整性及已经授权信息系统审计基础培训23信息系统运作v依照法律,法规或公司政策保存数据,以便必要时可随时取得通过恢复或其他方法定期测试备份和保留数据的持续可读性管理当局和用户制定数据备份和保留的
22、计划及时间;对不再需要保留的数据应进行删除并释放介质的储存空间。管理当局定期复核数据保留及释放的记录所有介质(磁带、手册、指引等)都存放在安全的、可进行环境调控的地点可移动的介质应贴上标签以便适当识别自动化数据保留储存工具经管理当局的批准并得到实施以管理数据备份及保留的计划和时间对数据进行异地备份存档(archived off-site)以便最大限度减少数据丢失信息系统审计基础培训24信息系统运作v计算机处理环境的服务水平达到或超过管理当局的期望对服务水平的衡量准则进行定义,该定义应征得受影响的人员同意管理当局监督信息系统的服务水平,且当服务表现未达到期望的服务水平时制定修正措施对计算机处理环
23、境的性能和能力的利用应被衡量、报告和经管理当局复核信息系统审计基础培训25信息系统运作v用户得到有关应用系统使用的适当培训系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训用户可随时访问应用系统中现有的用户文件对支持的申请应定期向管理当局汇总并报告。管理当局监督支持申请的性质及频率以确定是否需要改善用户培训、支持的资源和/或文件信息系统审计基础培训26信息系统运作v用户获得适当的支持以确保应用系统的功能依照其预定的目标运行管理当局监督问题的统计及趋势,以识别及消除该问题重复出现的根
24、本原因信息系统架构应包括帮助中心(helpdesk)的功能以便用户进行有关系统的查询。所提出的问题应记录在中央问题日志之中。帮助中心(helpdesk)工作人员应监督日志以确保及时解决所有用户的查询用户可随时访问应用系统中现有的用户文件对支持的申请应定期向管理当局汇总并报告。管理当局监督支持申请的性质及频率以确定是否需要改善用户培训、支持的资源和/或文件信息系统审计基础培训27信息安全逻辑安全物理安全信息系统政策信息系统审计基础培训28信息安全须保护的计算机设备信息系统审计基础培训29信息安全面临的威胁信息系统审计基础培训30信息安全物理安全UPS信息系统审计基础培训31信息安全逻辑安全Pub
25、licNetwork信息系统审计基础培训32信息安全逻辑安全PublicNetwork信息系统审计基础培训33信息安全v实施及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息资源的访问v逻辑安全管理工具和技术得到适当管理,以限制对程序、数据和其他信息资源的访问v实施和管理物理访问限制,以确保仅有经适当的授权人员可以访问和使用信息资源v所有信息资源均配备必要的实体和逻辑安全措施v实体的程序、数据及其他信息资源均受到保护以防病毒侵害v实体计算机系统中软件的安装和/或使用遵循授权协议的规定及经管理当局授权v保护信息资源免受环境灾害及相关损害的影响信息系统审计基础培训34信息安全v实施及配置逻辑
26、安全管理工具和技术来限制对程序,数据及其他信息资源的访问应修改应用程序、系统和通信及网络软件中的厂商默认密码要求用户拥有唯一的用户识别代码(identifier)以便对不同的用户加以区分及确立可追踪性终端设备和工作站应设有保护程序,该保护程序在经过一段设备预设的闲置时间之后会自动激活敏感数据在传输过程中应作加密处理信息安全工具与技术用于限制对信息资源(如:数据文件、公用程式(utility)、交易、程序)的访问权限。管理当局应复核及核准信息安全工具与技术的实施和配置信息系统审计基础培训35信息安全v实施及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息资源的访问系统应通过密码或其他识别机
27、制识别(本地或远程的)用户。应制定有关密码使用的政策-定期修改密码、保密性和密码格式(如:密码长度、字母与数字混合的内容)应制定安全政策为信息安全的总体方向及执行提供指引只有适当的人员才有能力修改整体系统的安全参数应激活信息安全工具的功能以便记录及报告信息安全政策所规定的安全事项(如安全违规报告);应定期复核该工具所产生的报告并采取必要的行动信息系统审计基础培训36信息安全v逻辑安全管理工具和技术得到适当管理,以限制对程序、数据和其他信息资源的访问要求用户拥有唯一的用户识别代码(identifier)以便对不同的用户加以区分及确立可追踪性应用程序所有者对用户访问特权的性质和程度进行授权,且应用
28、程序所有者应定期复核该访问特权以确保维持其适当性。用户的访问权限应通过密码或其他机制加以限制。密码应定期修改对未授权的企图访问信息资源的行为应记入日志并在安全违规报告中记录;应定期复核该日志及报告并采取必要的行动对敏感数据(如人事记录)经授权的访问应记入日志;应定期复核该日志以评估对该数据的访问及使用是否适当信息系统审计基础培训37信息安全v逻辑安全管理工具和技术得到适当管理,以限制对程序、数据和其他信息资源的访问应激活信息安全工具的功能以便记录及报告信息安全政策所规定的安全事项(如安全违规报告);应定期复核该工具所产生的报告并采取必要的行动定义并指派与信息安全管理相关的职位和责任只有适当的人
29、员才有权限管理信息安全只有适当的人员才有特许的访问权限(所谓超级用户),对该权限的使用应记入日志并进行复核信息系统审计基础培训38信息安全v实施和管理物理访问限制,以确保仅有经适当的授权人员可以访问和使用信息资源应监督存放计算机设备的楼层及区域的人员进出,且应限制只有相关工作职责的人员才可进入该区域;在经管理当局核准后才可获准进入该区域已执行涉及商业信息资源评估、以及识别与评估现有风险水平的风险评估来确定适当的具合理成本的信息安全架构。该风险评估应定期更新,且管理当局已实施合适的信息安全架构以确保适当的人员进出和逻辑安全控制信息系统审计基础培训39信息安全v所有信息资源均配备必要的实体和逻辑安
30、全措施应用程序所有者对用户访问特权的性质和程度进行授权,且应用程序所有者应定期复核该访问特权以确保维持其适当性。用户的访问权限应通过密码或其他机制加以限制。密码应定期修改应监督存放计算机设备的楼层及区域的人员进出,且应限制只有相关工作职责的人员才可进入该区域;在经管理当局核准后才可获准进入该区域已执行涉及商业信息资源评估、以及识别与评估现有风险水平的风险评估来确定适当的具合理成本的信息安全架构。该风险评估应定期更新,且管理当局已实施合适的信息安全架构以确保适当的人员进出和逻辑安全控制信息系统审计基础培训40信息安全v实体的程序、数据及其他信息资源均受到保护以防病毒侵害所有软件和数据在载入实体的
31、系统之前应先进行查毒所有实体的计算机及任何连接实体网络的计算机应安装防病毒软件。该防病毒软件应设置为当下载数据或程序、打开数据文件或执行程序时都须进行病毒扫描。应监督该政策的遵循情况定期对网络上或有可能感染病毒的程序和数据文件进行病毒扫描要求用户更新其防病毒软件中的病毒定义列表,且所有外部的程序和数据在下载到他们的计算机之前都须进行病毒扫描应定期复核病毒扫描的结果,并对发现的问题采取适当的解决方案信息系统审计基础培训41信息安全v实体计算机系统中软件的安装和/或使用遵循授权协议的规定及经管理当局授权管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环
32、境作修改之前,已联系所有受影响的人员并与其协调该修改的时间安排,从而最大限度降低该修改对其他处理活动的影响存在正式的软件政策及标准,并传达给所有员工应定期把安装到实体计算机中的软件与授权软件的明细表相核对。如发现未经许可或未授权安装的软件,应获得该软件的授权许可或对软件进行删除在购买新软件之前应核实该软件的购买及安装以遵循公司的授权许可要求信息系统审计基础培训42信息安全v保护信息资源免受环境灾害及相关损害的影响管理当局定期监督环境控制机制的有效性,并评估对实体信息资源的潜在威胁的商业影响管理当局提供备用电源(如:不间断电源(UPS)、发电机)管理当局应确保有充足的烟雾/火警探测器和灭火设备数
33、据中心的环境状况(如:温度、湿度)应被监督及调控计算机设施的所在地及其设计应尽量避免受外部环境(如:风、水、火)威胁信息系统审计基础培训43应用系统的实施及维护信息系统审计基础培训44应用系统的实施及维护信息系统审计基础培训45应用系统的实施及维护信息系统审计基础培训46应用系统的实施及维护信息系统审计基础培训47应用系统的实施及维护vProduction Turnoverv(Program Change Controls)vDocumentation信息系统审计基础培训48应用系统的实施及维护v新的应用系统的购买、开发均符合管理当局的意愿v新应用系统得到适当地实施且其功能符合管理当局的意愿v
34、当新应用系统实施完成后,原系统的数据能完整、准确且有效地转入新系统v应用系统可得到有效的维护与技术支持v现有系统的必要修改均能及时实施v正确实施现有应用系统的修改且其修改后的功能符合管理当局的意愿信息系统审计基础培训49应用系统的实施及维护v新的应用系统的购买、开发均符合管理当局的意愿管理当局核准所有购买或开发应用系统的决策,以确保系统的购买和开发与公司的系统规划和战略保持一致对项目进行优先顺序区分及指派,以确保有限的信息资源被适当利用且与公司的业务目标保持一致使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引信息系统审计基础培训50应用系统的实施及维护v
35、新应用系统得到适当地实施且其功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前,已联系所有受影响的人员并与其协调该修改的时间安排,从而最大限度降低该修改对其他处理活动的影响依照测试计划(包括(如适当):系统和单元测试、界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的应用系统和现行应用系统的修改进行测试已确立的执行程序包括确保操作、技术和用户文件保持适时性及可供适当人员获取系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为
36、新聘用的员工及实体内调职的员工提供相关应用系统的正式培训信息系统审计基础培训51应用系统的实施及维护v新应用系统得到适当地实施且其功能符合管理当局的意愿应在独立于生产环境之外的环境中开发、修改及测试应用系统适当限制对测试和生产环境的访问权限使用完整和具代表性的一组测试数据,而不是生产数据来执行测试维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件,以确保生产程序的可执行性应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估;在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰信息系统审计基础培训52应用系统的实施及维护v应用系统可得到有效的维护与技术支持实
37、体对外部承包商和/或软件厂商获得的应用程序或技术支持有正式的协议,以确保能获得该支持。管理当局应监督该协议的遵循情况已确立的执行程序包括确保操作、技术和用户文件保持适时性及可供适当人员获取管理当局监督所购买的应用系统、网络和通信软件及系统软件的支持版已投入使用,且新的版本正被应用使用管理当局已核准的一套通用准则来进行软件开发与维护,以确保实体内的开发与维护活动保持一致开发人员经充分培训且熟悉公司所使用的通用准则、技术和工具更改管理程序以确保源代码与可执行代码的同步维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件,以确保生产程序的可执行性信息系统审计基础培训53应用系统的实施及维护
38、v现有系统的必要修改均能及时实施管理当局复核系统性能报告并监督确保识别出低效率的性能时已立即采取足够的措施,且制定及执行相应的解决方案用户和其他对应用系统修改的申请(包括系统更新和厂商定期发布的补丁程序)应经管理当局核准,且如果该修改符合信息系统的规划及管理当局的意愿,应予以执行使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引对于现有硬件、应用系统、数据库结构、网络和通信软件及系统软件修改的执行,管理当局应监督该项目已达到原定的目标且符合预算及时间的要求信息系统审计基础培训54应用系统的实施及维护v正确实施现有应用系统的修改且其修改后的功能符合管理当局的
39、意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前,已联系所有受影响的人员并与其协调该修改的时间安排,从而最大限度降低该修改对其他处理活动的影响依照测试计划(包括(如适当):系统和单元测试、界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的应用系统和现行应用系统的修改进行测试已确立的执行程序包括确保操作、技术和用户文件保持适时性及可供适当人员获取应在独立于生产环境之外的环境中开发、修改及测试应用系统管理当局保留应用系统和/或数据先前的版本以备发生处理问题时进行系统/数据恢复信息系统审计基础培训55
40、应用系统的实施及维护v正确实施现有应用系统的修改且其修改后的功能符合管理当局的意愿在生产环境中对应用系统的修改申请应进行存档并经管理当局核准。管理当局应监督所有该修改的执行更改管理程序以确保源代码与可执行代码的同步信息系统审计基础培训56数据库的实施及支持v数据库管理系统(或同等系统)所定义的数据结构已适当实施且其功能符合管理当局的意愿v现有数据结构的必要修改均能及时实施v现有数据结构的修改实施正确且修改后的数据结构功能符合管理当局的意愿信息系统审计基础培训57数据库的实施及支持v数据库管理系统(或同等系统)所定义的数据结构已适当实施且其功能符合管理当局的意愿管理当局已确立正式的政策以确保在对
41、应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前,已联系所有受影响的人员并与其协调该修改的时间安排,从而最大限度降低该修改对其他处理活动的影响在安装和/或维护数据库和/或使用该数据库的应用系统时,应提供及使用现有的数据库和数据库管理系统文件实体的数据结构应遵循信息系统规划及管理当局的意愿进行定义及执行数据结构的修改在执行之前应在测试环境中进行评估依照测试计划(包括(如适当):界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的数据结构和现行的数据结构的修改进行测试信息系统审计基础培训58数据库的实施及支持v数据库管理系统(或同等系统)
42、所定义的数据结构已适当实施且其功能符合管理当局的意愿系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训实体的数据库管理系统应包括自动对任何数据库的变更进行更新的活动数据字典(Active Data Dictionary)适当限制对测试和生产环境的访问权限负责管理及定义数据库组件(database compenents)的职责应指派给适当的人员维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件,以确保生产程序的可执行性应对硬件、应用系统、数据结构、和系统软件的修改建议的影
43、响进行评估;在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰信息系统审计基础培训59数据库的实施及支持v现有数据结构的必要修改均能及时实施管理当局复核系统性能报告并监督确保识别出低效率的性能时已立即采取足够的措施,且制定及执行相应的解决方案用户和其他对应用系统修改的申请(包括系统更新和厂商定期发布的补丁程序)应经管理当局核准,且如果该修改符合信息系统的规划及管理当局的意愿,应予以执行用户和其他对数据结构修改的申请(包括更新和厂商定期发布的补丁程序)应经管理当局核准,且如果该修改符合信息系统的规划及管理当局的意愿,应予以执行对于现有硬件、应用系统、数据库结构、网络和通信软件及系
44、统软件修改的执行,管理当局应监督该项目已达到原定的目标且符合预算及时间的要求信息系统审计基础培训60数据库的实施及支持v现有数据结构的修改实施正确且修改后的数据结构功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前,已联系所有受影响的人员并与其协调该修改的时间安排,从而最大限度降低该修改对其他处理活动的影响执行的方式应容许必要时可将系统还原至原来的环境在安装和/或维护数据库和/或使用该数据库的应用系统时,应提供及使用现有的数据库和数据库管理系统文件数据结构的修改在执行之前应在测试环境中进行评估依照测试计划(包括(如
45、适当):界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的数据结构和现行的数据结构的修改进行测试信息系统审计基础培训61数据库的实施及支持v现有数据结构的修改实施正确且修改后的数据结构功能符合管理当局的意愿实体的数据库管理系统应包括自动对任何数据库的变更进行更新的活动数据字典(Active Data Dictionary)在生产环境中对数据结构的修改申请应进行存档并经管理当局核准。管理当局应监督所有该修改的执行信息系统审计基础培训62网络支持v新的网络和通信软件的购买符合管理当局的意愿v新的网络和通信软件得到适当地实施且其功能符合管理当局的意愿v网络和通信软
46、件可得到有效的维护与技术支持v现有网络和通信软件的必要修改均能及时实施v正确实施现有网络和通信软件的修改且修改后的功能符合管理当局的意愿信息系统审计基础培训63网络支持v新的网络和通信软件的购买符合管理当局的意愿管理当局核准对网络和通信软件及系统的购买,以确保该购买和开发符合公司的系统规划及战略对项目进行优先顺序区分及指派,以确保有限的信息资源被适当利用且与公司的业务目标保持一致使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引信息系统审计基础培训64网络支持v新的网络和通信软件得到适当地实施且其功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用
47、系统、数据结构、网络及通信软件、和系统软件及硬件或其操作环境作修改之前,已联系所有受影响的人员并与其协调该修改的时间安排,从而最大限度降低该修改对其他处理活动的影响网络和通信软件及硬件在执行之前应首先在测试环境中进行安装与评估在安装和/或维护网络时,应提供及使用现有的网络软件、通信软件、和网络拓朴(Network Topology)文件依照测试计划(包括(如适当):系统和单元测试、界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的网络和通信软件与现行的网络和通信软件修改进行测试信息系统审计基础培训65网络支持v新的网络和通信软件得到适当地实施且其功能符合管理
48、当局的意愿系统实施的程序应包括对用户提供有关新系统或经大幅度修改的系统的使用培训。管理当局应监督该程序的执行情况。应为新聘用的员工及实体内调职的员工提供相关应用系统的正式培训适当限制对测试和生产环境的访问权限使用完整和具代表性的一组测试数据,而不是生产数据来执行测试维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件,以确保生产程序的可执行性应对硬件、应用系统、数据结构、和系统软件的修改建议的影响进行评估;在该建议实施到生产之前应经管理当局的复核以最大限度减少对营运的干扰信息系统审计基础培训66网络支持v网络和通信软件可得到有效的维护与技术支持实体对外部承包商和/或软件厂商获得的应用
49、程序或技术支持有正式的协议,以确保能获得该支持。管理当局应监督该协议的遵循情况在安装和/或维护网络时,应提供及使用现有的网络软件、通信软件、和网络拓朴(Network Topology)文件管理当局监督所购买的应用系统、网络和通信软件及系统软件的支持版已投入使用,且新的版本正被应用使用管理当局已核准的一套通用准则来进行软件开发与维护,以确保实体内的开发与维护活动保持一致维护源代码及技术文件-包括有关数据库和数据库管理系统的现有文件,以确保生产程序的可执行性信息系统审计基础培训67网络支持v现有网络和通信软件的必要修改均能及时实施管理当局复核系统性能报告并监督确保识别出低效率的性能时已立即采取足
50、够的措施,且制定及执行相应的解决方案用户和其他对网络基础设施及通信软件修改的申请(包括更新和厂商定期发布的补丁程序)应经管理当局核准,且如果该修改符合信息系统的规划及管理当局的意愿,应予以执行使用正式的方法或程序为硬件、应用系统、网络和通信软件及系统软件的购买、开发或维护提供指引对于现有硬件、应用系统、数据库结构、网络和通信软件及系统软件修改的执行,管理当局应监督该项目已达到原定的目标且符合预算及时间的要求信息系统审计基础培训68网络支持v正确实施现有网络和通信软件的修改且修改后的功能符合管理当局的意愿管理当局已确立正式的政策以确保在对应用系统、数据结构、网络及通信软件、和系统软件及硬件或其操
