IT审计标准以及原则

ITGC主要审以下内容：

一、ELC（entity level control）控制。就是看看客户在IT治理方面的相关组织架构是否合理，书面的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

二、系统开发和变更。就是关注系统开发和系统后续小变更中的一些控制，具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看，再看系统开发是否经过了需求提出、可行性研究、领导层审批，系统上线之前是不是经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，然后变更方面比较重要的就是《变更审批单》，这个一般来说还要进行抽样，而上面的开发流程一般来说做一两个穿行测试就行了。

三、 *** 作系统及数据库控制。这一块呢具体就是看 *** 作系统和数据库登录是不是要密码，然后把登录界面截个屏作为审计证据K进底稿里，蛮弱智的。然后呢就是调出 *** 作系统及数据库中的一些安全配置，如密码复杂度的要求，密码是不是强制一个月改一次，对系统的敏感 *** 作是否有日志记录，日志是否有人去复核，再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方面 *** 作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多，数据库就是SAP，ORACLE,SQL server等，银行DB2用得也比较多。审计的时候呢，对于安全配置，就是输入一些命令，调出相关配置，四大像安永会有团队专门设计脚本 ，只要放到客户机器上那么一跑，结果自动就出来了，高度傻瓜式，流程化机械化，IT审计师的可替代性更强了，价值更低了。再就是把所有用户的权限列表拉出来，看是不是合理合规，后点关注超级管理员的权限。

四、应用系统控制。关注点同 *** 作系统及数据库。不过应用系统千变万化，比如银行里面比较大的应用系统就有综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综，这些系统做ITGC思路都是一样的，就看安全配置和用户权限。如果要支持财审进行ITAC的审计，则要具体情况具体分析设计，因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方，光做ITGC是没有前途的

五、接口控制与信息安全。各种系统之前会有接口，那么数据从一个系统传输到另一系统中数据的准确性完整性要得到保证。审计程序一般首先看系统中是不是有自动核对的机制，比如银行的核心业务系统基本与每个重要的业务系统都有接口并且每天会进行大量的数据交互，做的好的会有一个核对机制，加入一些校验机制，确认数据的准确完整，有的银行测没有。信息安全就是看看网络管理相关的制度，看看防火墙的结构，内外网是不是分离啊等等，无聊至极。

ITSM系统是IT运维管理的最佳实践，通过对IT资产、人员以及流程的全面管理，以保证IT服务的合规，风险管控。通过Servicehot ITSM这样的系统，才能帮助企业实现IT治理好管理的工作落地。

在这一节中，我们将介绍在IT审计的实施流程、组织形式等过程中应该遵循的一些标准和准则。

我们在前面的131提到，IT审计是独立的IT审计师采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整、有效的检查和评估的过程。那么，为了保证审计结果的客观性和权威性，IT审计师必须采用一套公认的、权威的审计标准，作为实施IT审计的基本准则和实施依据。

制定或者采用权威的、公认的IT审计标准，是实现IT审计工作规范化、明确IT审计责任、保证IT审计质量的可靠保障。

目前在国际上较为流行的是美国的ISACA协会的审计标准。ISACA于1996年推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology)，即信息系统和技术控制目标。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为4个控制域：IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)，以及信息系统运行性能监控(Monitoring)。目前，COBIT已成为国际公认的IT管理与控制标准。

1321 基本框架

IT审计标准是IT审计的纲领性规范，它列举了IT审计的事实过程中必须包含的审计项目。一般来说，一个IT审计标准的框架应该包含如下三个层次。

1 基本准则

规定了IT审计行为和审计报告必须达到的基本要求，是IT审计的总纲，也是制定其他相关标准、规范、准则和指南的基本依据。

2 具体准则

依据基本准则制定，对如何遵循IT审计的基本标准提供了详细规定和具体说明，是IT审计师实施审计业务、出具审计报告的具体规范。

3 实施指南

依据基本准则和具体准则制定，是IT审计的 *** 作规程和方法，为IT审计师实施审计业务提供可 *** 作性的指导。

IT审计标准是针对以计算机为核心的信息系统而制定的。其适用范围涵盖了信息系统的整个生命周期，包括可行性分析、需求分析、系统设计、开发、测试、运行维护等全部过程的每个环节。

1322 基本准则

作为IT审计的总纲，IT审计基本准则指明了IT审计的基本标准和要求，我们这里摘录了ISACA对于IT审计的基本准则的描述。

1 审计合同

IT审计应该由审计方与委托方签署IT审计合同，信息系统审计职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。

2 独立性

(1)职业独立性

在所有与审计相关的事物中，信息系统审计师均应在态度和表现上与被审计单位保持独立。

(2)组织关系

信息系统的审计职能应与被审计领域保持充分独立，以确保审计工作的客观完成。

3职业道德和标准

(1)职业道德准则

信息系统审计师须严格遵守信息系统审计与控制协会颁发的职业道德准则。

(2)敬业精神

信息系统审计师在各方面的工作中，均应具备敬业精神，并严格遵守相应的职业审计标准。

4专业技能

(1)技能与知识

信息系统审计师必须在技术上胜任，具备从事审计工作所必需的专业技能与知识。

(2)职业继续教育

信息系统审计师应通过相应的职业继续教育来保持其技术胜任能力。

以上就是关于it审计 怎么做全部的内容，包括:it审计 怎么做、ITSM系统 对 IT审计 有何帮助、IT审计标准以及原则等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！