《某四大 A2 ITGC培训笔记.doc.doc》由会员分享,可在线阅读,更多相关《某四大 A2 ITGC培训笔记.doc.doc(10页珍藏版)》请在三一文库上搜索。
1、A2 ITGC培训笔记_v4(圆满版)经验分享人:Cyrus Huang:msn: , Tel:13816152471 (短信)更新版本:2008.11.17日。修改部分内容,增加新技术点,增加Paper索引。严重免责申明:以下仅为ITGC较常见要求,仅供A2前半年使用其他Paper要求各个地方不同,以Job、Senior、Manager和客户为准强烈建议参考去年同Job的paper切勿将此文档作为标准,仅增加ITGC sense 切记切记一、COSO方面基本十个控制点,有的可以不需要控制点,描述即可一般6个左右即可control components other than control a
2、ctivities。控制环境1,组织架构图,如果客户没有准备可以自己画。同时可以了解后面Paper要问谁和电话2,Policy政策文档,为后续做其他step做准备。可能第一天和客户开完会,就可以做COSO,为后面的Job做准备。每个step,PC、PD。都会有一个要求Policy的控制点3,职责划分,IT没有可以问HR部门获取,拿到JD可以作为组织架构图的补充。补充:人力资源相关部分的控制点,包括performance apprisal和培训,也可以有招聘相关背景调查的了解。同时关于内外部培训有专门的写法Risk,风险评估:4,IT的目标和风险。风险评估报告2007展望,2006年总结报告(如
3、果客户没有正式的报告和文件,可以根据客户口述自己描述风险)补充:包括总体战略,IT部门的未来要求,审计的年度计划等5,了解审计期间PC,PD情况,为后续同事做准备。(有比较通用的写法,可以不增加控制点,加一个link就可以了。比较好的做法是可以增加一下变更的总体描述,有个系统变更的总体概念)Information,信息与沟通:(IT部门内部的、IT与业务部门的日常沟通和交流。包括mail,开会、报告等)6,系统数据所有权(根据客户描述自己写,提供审计范围内应用系统的名字和所属部门)7,会议纪要(不一定会有完整的会议纪要提供,但是可以根据客户会议实际情况在客户电脑上截屏mail或等审计证据获取)
4、补充:沟通包括IT部门和业务部门的日常沟通Monitor,监控:(IT leader对staff的监控,包括公司高层对IT经理的监控)8,会议纪要,报告。高层的报告和监控的邮件9,内审报告(看看即可,客户不一定会提供,可以考虑截屏)10,SLA,外包协议,如果没有不必勉强,客户不一定提供。可有可无的控制点COSO总体原则:能拿到文档的就拿文档,为后面同事做准备。如果没有可以选择截屏封面、目录页和关键页等方法。COSO Interview Challenge 如果客户号称忙,则需要预约(我们可以在Kick off meeting的时候约) 和客户保持联系,让客户前期准备资料。(Job前senio
5、r会准备好) 客户不给东西(退而求其次获取截屏交流、交流再交流) Coso,了解到如果客户确实有这个控制,但仅仅缺乏规范文档时,可以让客户在审计外勤工作中现场制作一些文档,如:职责描述,组织架构等。PC方面,格式很统一,经典格式:一个样本带4个测试点仅供参考基本要求,各Job要求不一,参考去年paper为主。1, 总体政策控制:获取COSO时候获取的政策文档,并且了解PC政策流程关键点,出Q处,很多M会关注:当无法获取PC总样本,需要在paper里面描述:通过独立开发人员的第三方处获取了经过事先维护好的PC 变更列表,如经理、PC管理员、秘书。也可以让客户在第一天第二天的时候准备整理一份。在这
6、个测试点中,需要贴一个总体变更样本表2, 变更申请和审批:由于无法从系统层面获知PC次数,则需要了解申请审批流程,从流程中确定变更样本量,并开始抽样(4424准则)检查PC对应需求表。制作测试表格(测试点1)3, 程序编写:一般不进行测试,了解即可。了解内容:系统开发是否有规范的开发手册和命名规则。同时外包的开发需要有维护合同。4, 测试与质量保证,测试分为两种,IT的测试和用户的测试UNIT单元测试和集成测试,属于IT测试(开发部门进行,一般从了解中即认为有)。如果是外包的,可以描述由供应商特定开发团队进行测试。UAT报告,即用户测试:通常客户会考虑到且时做时不做,小的就忽略了。也可能缺乏审
7、计证据,通过和客户沟通让他意识到risk(issue点)制作测试表格(测试点2)5, 系统上线,由管理层进行上线审批(包括IT和业务部门),拿到相对应的证据。制作测试表格(测试点3)6, 培训文档和操作手册:对应每个样本了解这个PC的培训和操作手册,如果没有跟客户确认是不是PC不是很复杂,未涉及业务流程变更(需要变通)则不需要培训和手册,在测试表中可以标N/A。或加注明:(1,跟业务系统管理员确认后了解到,上述系统变更未涉及流程更改,故无须提供系统变更操作文档和培训手册。)制作测试表格(测试点4)7, 职责分离:考虑2点:思路是开发人员开发,交给测试人员,并有专人将PC放到生产环境。 人员分离
8、有开发团队的客户考虑:开发、测试和生产必须分离。(SAP系统比较常见)。如果外包则可以描述由开发商进行开发和测试,本地IT配合上线。 系统分离即环境分离,截屏IP地址,实质点是在于网段分离,但是控制点在于一个环境无法简单容易的访问到另一个环境,同时可以考虑到账号的管理(如开发人员没有生产环境的管理员账号)。常见2种情况:1,由于开发团队外包,故开发和上线肯定不是同一批人 2,由于内部开发人员独立开发团队不是IT技术支持人员总体原则(paper如何doc,一个样本带4个测试点): 其中PC step制作一个抽样表,抽样表放在变更审批step,随后的变更审批、测试、系统上线审批、培训文档和操作手册
9、均组成样本中的抽样属性。 下面的step在描述完流程的情况下,贴相应一个样本的样张,其他PC样本的测试全部refer上面的sample sheet表。PD方面1, 比PC domain多两个step,一个是项目立项和一个是数据迁移。2, 理论上项目立项客户肯定会有,因为PD均是大的项目,肯定会保留项目立项,争取向获取,可以有合同或者文件。3, 数据迁移考虑内容较多,和senior讨论,重点关注:数据迁移流程控制数据迁移计划表和日程安排数据迁移比对结果,由业务部门确认证据如果需要,则可以由SPA重新进行数据迁移的比对工作。CO方面: 系统日常操作管理流程(COSO里面的文档,了解文档)同时会考虑
10、相关职责分工和分离的issue,具体如果出现三岗混合的issue和同事讨论,如果无其他异常可以refer coso内容 批处理原则在Job中不常做到,但传说中是意义比较大,和Interface相结合,且与业务相关1, 有写什么批处理,通过客户截屏验证业务用途,了解系统中的批处理都是做什么的(关键中的关键)2, 修改相关的定义方式(谁可以增删改可以结合OS review:UNIX,windows,一般批处理制定完毕很少修改)3, 监控,主要保证批处理是否完成,保证数据的准确性,完整性。检查日志客户一般可以接受解释:当出现错误时,会跟进解决批处理错误情况,大致了解出错情况和解决方法。 实时处理(一
11、般不会在ITGC进行测试,通常会无,一般在AC里面会涉及) 备份情况(没批处理重要,但在job中非常及其以及特别的常见,再小的Job都有备份控制):小故事学备份你如何备份自己电脑里面的数据1. 不定时做rar打包,放在本地D盘(备份软件进行备份,定时,全备or增量)2. 每次备份时,检查备份是否成功,错误会弹出错误框(备份检查,比对文件大小和文件名,客户最好是有检查表。可以根据检查情况抽样测试。注意要写明样本量选择要求,总量、频率、风险、样本量,4424等)3. 每月,把文件刻盘,放在电脑旁边柜子里(磁带备份和光盘备份)4. 每半年,把盘送到外婆家(异地备份,高要求异地距离3公里以外的保险柜,
12、一般要求隔壁办公室一般不在机房即可)5. 每年,把外婆家盘拿到爷爷家的电脑看看数据是否能读吗?(数据恢复测试)jasmine问为什么不在外婆家看,答因为外婆家没有电脑啊,只是个保险柜呀6. 每2年考虑一下如下情况:盘坏了,系统坏了,电脑坏了,外婆家和爷爷家烧了怎么办,获取外婆爷爷电话(传说中的灾难恢复计划,和业务持续性计划) 灾难备份,参考上面的小故事,一般有的会有的很好(IBM咨询公司帮助制定的文档,演练等),没有会没有的很彻底(Issue点)不要急于考虑灾备计划,慢慢理解,体会,通过Job和CISA,大致好的要求如下:- 灾难定义- 各类故障及灾难的分类- 期望的系统恢复相应时间- 系统恢
13、复的具体流程- 灾备演习测试(drill test)- 恢复工作相关人员的职责描述- 紧急情况时的工作人员联系清单Issue跟senior讨论建议给客户的要求如下,经典中的经典:建议IT部门和业务部门共同参与,建立一套公司层面的详尽的灾难恢复计划/持续业务经营计划,主要内容应包括:1)对灾难状况的定义以及根据灾难严重程度划分的灾难等级;2)对主要系统(服务器和应用程序)进行业务影响分析,以及对系统挂机时间(downtime)的容忍度;3)应灾紧急领导小组的名单以及联系方法;4)在系统无法正常运行情况时,业务部门通过手工操作保证核心业务的正常运作的计划;5)系统资源受到限制时,信息部门对系统资源
14、的分配原则以及系统运行恢复计划;6)上述恢复计划的培训与演练方案等。该计划应与所有公司管理层和员工沟通,并视需要进行书面演练或实际演练以加强公司对该计划的认知度及可实施性。总体原则(paper如何doc): 先设计备份情况汇总表,开始可以让客户协助填写 现场查看备份设置(系统截屏或备份工具截屏)和备份文件检查汇总表 关于备份检查,可以询问检查方法,查看机房检查日志获取信息,记得如果客户定期检查则需要进行抽样 关于异地、数据恢复乃至灾备,issue方面询问客户和客户交流、交流再交流。三个常见issue点。切记,issue要和senior还有客户多交流Access方面Access相关部门L&E内容
15、总体政策控制:获取COSO时候获取的政策文档,并且了解政策流程,整体安全Policy,贴policy不要一股脑的贴,分门别类集中应用系统管理user maintenance :账号,密码(应用系统),测试方面使用5步法:1, 应用程序密码(最小长度,密码周期,密码复杂度,三个最关键的),如果系统没有特别的配置,可以通过在线找客户尝试的方法进行测试。2, 应用程序账号增删改流程:进行抽样测试验证流程3, 冗余账号测试4, 定期账号与权限审查5, 超级用户管理特别注意要具体灵活使用vlookup方法,参见后面测试练习,不懂的人可以去操作一下。应用系统账号测试(A2必修课,需要做的非常及其以及特别的
16、熟练,活用4424抽样准则)具体Job具体的测试方法。关注点:如何获取总样本,正抽好还是反抽差,如何Doc,博大精深。(会有很多很多的Q)。可以借助HR的工作。关键,某些M的要求:如果无法获取今年的新增列表,即账号没有新增日期。则需要在总表中抽样,和客户确认哪些样本是今年的或者以往年度的,今年的拿申请表,以往年度的确认账号分配合理性。根据申请表反抽做测试是无意义的做法rubbish。关于HR的做法的弱点。某M的要求:rubbish again,因为HR是无法登记换岗,换岗需要增加账号的样本无法cover,是有漏洞的。小故事:如lavender 可以协助Lydia填timesheet了,则拥有了
17、新的岗位职责,但不会在HR中标志。但是这个权限的新增很关键。数据安全:数据库考虑以下几点1数据库账号均要有实际业务用途,测试方法:找数据库管理员访谈账号用途。记住2数据库账号的密码控制很难测试,通过询问即可。密码策略控制,有一篇很雷的Oracle数据库强制密码策略的文档,保留文档,真的很雷。参考网页:3重点测试数据直接修改(很重点的部分),可以进行抽样测试一般三种issue情况:1. 外包商有权限修改数据在客户知晓的情况下访问客户生产环境数据库即可2. 开发人员可以访问数据库,但最好不允许直接访问生产库。3. 客户有数据修改,但没有很好保留数据修改申请文档小故事:J问:数据直接修改是什么意思?
18、C:比如保险业的前台保单数据,里面有客户身份证好,保单提交后发现身份证号key错了,身份证号很关键则前台不能修改。只能业务部门领导提交申请至IT,由数据库管理员直接在后台修改并保留申请表。则可以抽样申请表,可以反抽,从数据修改申请表出发进行抽样看业务部门签字。有些Job,还可以把数据修改包括在PC 部分进行操作,PC分成改程序和改数据操作系统安全(OS Review)小故事:现在很少有特别关注Tech的M和Job,等某些Senior当了M之后大兴技术风,重点关注技术型paper。OS,有working program,最主要看前人paper:http:/ Aid。OS Review:涉及很多操
19、作系统,控制点通常万变不离开重点关注6 points1,Audit log(审计日志)2,user management(用户管理)3,passwd(密码策略)4,root账号相关控制和服务的使用5,关键目录权限和财务数据权限6,相关network方面和远程服务等other(各个系统不一)具体细节包括,相关服务,信任关系有如下系统:Windows(2000,2003,NT,DMStand Alone ,DCdomain control,MS域服务器组的成员服务器member server等)UNIX分为:AIX、HPUX、SCOUNIX、SUN solaris和Linux等)特别注意:AIX、
20、HPUX、SCOUNIX有简化脚本,可以查看,SUN solaris和Linux有公司脚本secng-1.56.tar可以查看)OS 400,(特别复杂,很少遇到)相关Manual有:Windows、AIX、HPUX、Linux和OS 400等。大型机等,也不是很清楚,银行可以碰到,计算机速度越来越快数据量不大则大型机但渐渐被取代网络安全网络有问题,具体讨论,不累述网络安全获取如下内容:1,拓扑图,和客户交流、交流再交流(关注拓扑图里面的防火墙和核心路由,特别关键。某M特别关注)。2,评估网络安全,防火墙,路由器。关注点:从外到内只能访问特殊数据和系统,千万不能直接由外网访问到生产环境应用系统
21、服务器。关注点只有2个。1,内网:公司内网访问核心服务器,分网段限制内部用户访问核心设备。2,外网:外部Internet网络对内部网段的攻击,限制外网访问内网。有关于网络防火墙查看的详细Paper。最关键的是在于防火墙规则中有Deny all,拒绝所有未授权的规则。3,进一步内容可以检查网络监控,IDS,评估软件,截屏了解上述软件的控制流程,看看监控日志,特别了解一下网络问题的处理机制,有可能需要对网络问题处理或者日志检查进行抽样测试。4,VPN:关于VPN的内部控制,远程登录访问,和客户研究VPN的风险 门店营销所,使用VPN访问公司总部网络(硬件VPN) 一般用户,领导审批文档和在外办公(
22、密码方式VPN) 验证VPN用户增删改审批文件,进行抽样测试。 机房物理安全(人员访问和保护服务器安全)1. 门禁(门禁,门锁,看门的老头)2. 访问日志,机房巡检3. 提升的地板 (防尘土,防静电)4. 温度,湿度感应器,温度计,湿度计5. 二氧化碳灭火器(二氟氯丙烷)6. 24小时独立空调(不要中央空调)7. UPS(12小时)特别注意抽样门禁账号或出入登记文档Doc方面:做Job的关键,要审计证据。推荐做法:在Narrative里面描述整个流程在验证和测试步骤中。需要描述时间,访问者。了解到什么情况贴截屏证据,做sample sheet testing(在抽样时,需要写明确定样本量的原则
23、)给出结果关于和客户访谈方面的技巧:1, 特别和客户强调的是,我们的审计报告仅提供给财务审计,为财务审计工作提供指导方向,特别强调的是和IT管理层的治理没有客户想象的那么严重,我们不是内审,不会去打小报告告小黑状的。2, 对于特别好的客户,其他一些有建设性的issue会提供管理建议书,但也要等了财务审计年终出报告时候一起给,所以如果你们很想要我这个建议的话,我们以现在的交流为主,然后有可能提供一个draft版本。两个Job相关Tech基本技巧:技巧1技巧2使用Vlookup进行access的用户维护测试小练习:附件中,有2006年和2007年的ABC系统账号列表,测试要求:非常常见的测试,特别适合A2一,新增测试1, 比对确定2007年新增用户2, 查看用户申请表,确定是否样本中的账号均有申请表3, 制作user maintenance新增测试二,冗余测试1, 比对2007年账号列表和人事离职名单2, 确定系统中冗余账号3, 制作user maintenance冗余账号测试