會見相關經理和員工以了解:
與良好業務需求相關的風險;
組織結構;
角色和職責;
政策和程序;
法律法規;
現有控制措施;
管理報告(狀態、績效、行動項目)。?
記錄與流程相關的IT資源,尤其是受審核的IT流程影響的資源。確認對審核流程、流程關鍵績效指標(KPI)和實際控制狀態的理解。比如可以通過抽查了解流程。?
二、評價控制?該審核步驟用於評估現有控制措施的有效性或實現控制目標的程度,主要決定測試什麽、是否測試以及如何測試。?
通過將已建立的標準與行業最佳實踐、控制方法的關鍵成功因素(CSF)和審核員的專業判斷進行比較,評估在待審核流程中應用的控制措施的適用性。
有記錄在案的流程。
有合適的輸出
職責明確有效。
必要時,有補償控制。
得出控制目標實現程度的結論。?
第三,評估合規性?此審核步驟用於確保已建立的控制措施以組織指定的方式持續壹致地工作,並得出控制環境適用性的結論。獲取選定項目和階段的直接或間接證據,並利用直接和間接證據確保被審核的項目和階段始終符合相關控制程序的要求。?
對過程輸出結果的充分性進行有限的審核。?
為了證明IT流程是分離的,確定實質性測試和其他需要完成的工作的程度。?
四、確認風險?此審核步驟通過使用分析技術和可選的咨詢資源來確認未實現控制目標時的風險。目標是支持其審計判斷,並敦促管理者采取行動。審計人員應該創造性地尋找和呈現通常敏感和機密的信息。?
記錄控制弱點及其導致的威脅和漏洞。?
識別和記錄實際影響和潛在影響,例如,使用因果分析的方法。提供比較信息。比如通過標桿管理。