IT内审那点事 之 审计要点
1.在审计员作审计之前先考虑在期待着什么,审计的目标,在审计前制作一份审计清单。审计清单中应包括所要讯问的问题列表,讯问对象、所要抽查的日志痕迹清单、抽样数量等。
2.确保列出你能预期到各种风险。分门别类,按降序排列,把风险最大的排在第一位,顺便附上要降低这些风险你所想到的控制管理方法。
3.确保你拥有预防性控制,以及在适当的位置有侦探性的控制来指示他们在工作。确保变动管理进程。对于每个认证过的变动,通过探测性的控制来记录这些结构的变化,保证这些变化在工作次序的范围之内。对收集来的变化请求数据进行归档,并且随时可以取得。
4.选择使用变动咨询桌会议记录来指示有人正在参加会议以及管理各种变动。
5.保持做出一个连续的并且准确的硬件和软件的资产详细目录
6.确保所有的内部审计程序运行正常。比如你的路线表明你的防火墙日志是由可以回顾例外的系统控制的,那么你必须能够通过其中的一个日志来验证下一个路线。
7.弄清所有的储运损耗和系统中的不在计划内的停工期,附上采取的矫正行动。
8. 保持连续的记录,记录下所有的政策外的特殊情况
9.列出任何安全事件,附上采取的矫正行动。
10. 确保能够出示以前的审计结果,能够对所得结果做出分析,经过矫正行动后结果取得了什么进步
“更多的控制并补等同于更多的机构组织和更多的工作。事实表明,那些带有控制的可以做得更多,而只需要跟少的机构和工作,可以更快的完成`工作,而且质量更为优越”。
|