|
作者:惠普IT管理学院高级顾问,资深审计专家 宋琳
一、审计的定义 系统的、独立的和文件化的获取证据,并进行客观的评估,判断审核标准的范围得到履行。 - 审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
- 每个人不能审核自己所从事的工作(独立的)
- 审核一定要查验到文件及记录(文件化的)
- 审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。
二、IT审计的应用 企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的: 国际视角 - SOX与COSO –塞班斯法案与COSO企业内部控制框架
- COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
- 其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等
国内标准 三、各类审核标准之间的关系及范围 - ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
- ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
- Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
- COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。
[ ttp://photo.blog.sina.com.cn/showpic.html#blogid=7ebc432501017qzd& ttp://s9.sinaimg.cn/orignal/7ebc4325g7b1545b68118] [/url]
来自: 惠普IT管理学院 博客
| 
转播
分享
淘帖
()
