ITGC主要审以下内容: 一、ELC(entity level control)控制。就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。 二、系统开发和变更。就是关注系统开发和系统后续小变更中的一些控制,具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看,再看系统开发是否经过了需求提出、可行性研究、领导层审批,系统上线之前是不是经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,然后变更方面比较重要的就是《变更审批单》,这个一般来说还要进行抽样,而上面的开发流程一般来说做一两个穿行测试就行了。 三、操作系统及数据库控制。这一块呢具体就是看操作系统和数据库登录是不是要密码,然后把登录界面截个屏作为审计证据K进底稿里,蛮弱智的。然后呢就是调出操作系统及数据库中的一些安全配置,如密码复杂度的要求,密码是不是强制一个月改一次,对系统的敏感操作是否有日志记录,日志是否有人去复核,再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方面操作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多,数据库就是SAP,ORACLE,SQL server等,银行DB2用得也比较多。审计的时候呢,对于安全配置,就是输入一些命令,调出相关配置,四大像安永会有团队专门设计脚本 ,只要放到客户机器上那么一跑,结果自动就出来了,高度傻瓜式,流程化机械化,IT审计师的可替代性更强了,价值更低了。再就是把所有用户的权限列表拉出来,看是不是合理合规,后点关注超级管理员的权限。 四、应用系统控制。关注点同操作系统及数据库。不过应用系统千变万化,比如银行里面比较大的应用系统就有综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综,这些系统做ITGC思路都是一样的,就看安全配置和用户权限。如果要支持财审进行ITAC的审计,则要具体情况具体分析设计,因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方,光做ITGC是没有前途的 五、接口控制与信息安全。各种系统之前会有接口,那么数据从一个系统传输到另一系统中数据的准确性完整性要得到保证。审计程序一般首先看系统中是不是有自动核对的机制,比如银行的核心业务系统基本与每个重要的业务系统都有接口并且每天会进行大量的数据交互,做的好的会有一个核对机制,加入一些校验机制,确认数据的准确完整,有的银行测没有。信息安全就是看看网络管理相关的制度,看看防火墙的结构,内外网是不是分离啊等等,无聊至极。
