评价内容
评价等级
权重
得分
所涉及审计业务在组织中的地位
信息系统建设的成熟度
系统数据情况
所涉及业务的社会影响度
审计事项
审计方式
工作底稿
1.了解企业的IT 战略和规划的制定、实施情况
访谈信息科技部门负责人及相关技术人员
2.评价岗位分工和职责划分是否合理,是否有明确规定的流程,是否在实际作业活动中认真执行
通过检查IT部门组织机构和管理流程,可以通过调阅岗位分析与描述文件,检查角色的授权、职责情况进行
3.相关职位需要的技能和经验满足程度
可以抽查部分人员,检查其岗位和职责、本人经验和技能与岗位的要求是否一致
4.环境安全情况
实地检查机房环境,关注是否通过相关部门的验收,选址是否足够安全,是否制定了火灾应急计划等,相关安全管理制度是否得到落实等
1.系统的用户满意度、对核心业务流程的覆盖程度、设备利用合理性、性能价格比
了解选择开展审计的信息系统在企业总体信息化建设和ERP系统建设中的地位,建设背景,推广、上线使用情况
2.关注软件系统安全性
关注操作系统安全性、数据库安全性、应急计划的制订和落实情况、灾难备份恢复有效性。可以通过发放系统环境安全性控制调查表、检查故障处理手册等予以完成。
评价事项
评价方式
1.评价业务流程设计与实际业务需求的吻合性,评价业务流程设计规划的完备性
调阅系统各业务流程设计文档
2.评价职责分离的合理性
理解应用系统关键流程,确定应分离职责,建立不相容职责分离矩阵
3.评价用户权限授权审批管理制度
访谈安全主管和业务部门主管
4.评价用户权限审批制度是否严格执行、权限申请是否得到业务部门和IT部门主管审批,用户权限是否基于用户工作岗位和职责
调阅用户权限申请表;运行权限系统报表,或执行SQL语句从权限表中直接取出权限数据;现场观察应用程序操作,核查是否严格按相关规定执行业务流程
1.评价系统是否为业务流程风险提供合理人工或自动化控制措施
2.评价相关控制点执行的有效性
现场观察业务流程关键环节的操作
3.评价接口规划是否符合法律法规要求、接口规划是否涵盖数据采集、转换、传输、系统容错处理和访问权限等方面内容。
调阅系统业务接口规划
4.评价接口数据处理完整性
综合采用接口规划文档审阅,接口程序测试以及接口数据分析
5.评价接口容错机制有效性
查阅系统接口处理日志
6.评价接口用户的系统访问权限是否经过严格授权和审批,其所拥有的权限是否与其工作职责相匹配
调阅接口权限分配文件,获得权限实际配置数据