安全審計

一般而言，應用程序控制是對數據管理，業務流程的分離，匹配和平衡以及錯誤報告的應用程序系統範圍的全部控制。 換句話說，執行應用程序控制以確保：

• 輸入系統的信息準確，完整，準確，僅由授權人員創建。
• 信息以可接受的時間和目標方式輸入系統。
• 系統中保存的信息完整準確
• 系統輸出完整準確
• 將信息輸入系統，在系統中存儲和打印過程

有許多方法用於執行應用程序控制。 例如，執行輸入控制以檢查在系統中輸入的信息的完整性以及它是如何被污染的。 該信息可以由員工或遠程合作夥伴直接輸入系統，也可以通過互聯網輸入。 執行數據處理控制以確保輸入系統的信息是完整，準確和授權的。 執行輸出控制以確定如何使用從系統接收的信息。 執行完整性檢查以確保信息的一致性和完整性。 執行管理跟踪控制的目的是跟踪用於輸入，處理和打印信息的應用程序的歷史痕跡。

基本上，應用程序控制在兩個方向上執行：預防控制和檢測控制。 兩種類型的應用程序控制都旨在防止應用程序中的錯誤。 但是，執行預防性檢查以確保輸入的信息符合軟件的邏輯。 在這種情況下，只能將正確的數據輸入系統。 在輸入時阻止了不正確的信息。 在確定性控制中，隨後檢查輸入系統的信息是否適合於軟件的邏輯。

應用程序控件特定於特定應用程序。 但是，信息技術的一般控制是特定於系統中所有記錄的完整性，準確性和完整性。

我們的組織 在審計服務範圍內提供應用程序控制服務。 在這些研究中， 按照相關法律法規，國內外組織公佈的標準和普遍接受的審計方法運作。

進行信息技術審計的目的是確保預期收益是否來自基礎設施和流程。 這些好處可以列舉如下：

• 基礎設施和流程能夠在多大程度上滿足業務需求？ （功效）
• 資源的使用效率如何？ （效率）
• 在多大程度上保護了信息資產的機密性，完整性和連續性？ （安全）
• 最後，在這些問題上遵循了多少法律規定？

要進行的信息技術審計是一個獨立的專業領域。 但是，它不應與一般審計原則和標準完全分開; 在這方面，IT安全審計還需要基於風險和客觀的基於證據的審計流程。

組織，流程和技術控制構成了信息技術審計的基礎。 此外，不應忽視支持保護信息技術基礎設施免受安全漏洞影響的物理控制。

除了這些一般原則之外，還可以根據企業的活動領域和服務條件進行特殊的安全審核。 在這些檢查中可以使用許多不同的方法。 但是，每種方法本身都有不同的效果標準。 根據Krum的活動，一些關鍵的可控區域可能具有不同的特徵。 某些領域也可能在某些時期變得重要，具體取決於業務目標的差異。 重要的是要實現這些優先級，並在審計計劃中優先考慮這些差異。

不同的應用和標準可以應用於信息技術審計。 例如，

·         COBIT（信息及相關技術的控制目標）

·         TS ISO / IEC 27001信息技術 - 安全技術 - 信息安全管理系統 - 要求

·         TS ISO / IEC 27002信息技術 - 安全技術 - 信息安全控制的應用原則

·         PRINCE（受控環境中的項目）

·         CMMI（能力成熟度模型集成，容量成熟度模型集成）

·         ITIL（信息技術基礎設施庫）

我們的組織 在審計服務範圍內。 在這些研究中， 按照相關法律法規，國內外組織公佈的標準和普遍接受的審計方法運作。

在企業中手動執行業務流程會導致準備錯誤的財務報表，更多的員工，每天更大的操作風險以及可能的惡意行為。 因此，擁有可靠的信息技術基礎設施並建立強大的控制環境以增加企業的力量極為重要。

通常，企業中信息技術的一般控制在各個方面都很重要。 通過這種方式，支持基於系統的控制和業務流程，並最大限度地降低財務和運營風險。 此外，連接到系統的控制和過程的效率已經提高，最重要的是，已經為它們提供了保證。 此外，還保證了信息的完整性，完整性和準確性。

一般而言，信息技術的一般控制分為三個階段。 檢查這些區域是為了識別控制點並測試這些控制點的有效性。 這些字段是：

• 訪問數據（信息安全，授權，物理訪問，訪問管理和監控過程在此區域受到控制）
• 程序和應用程序開發（應用程序開發方法，數據轉換，開發，測試，批准和應用程序流程在此領域受到控制）
• 軟件變更（軟件開發，測試和批准，軟件到生產環境的轉移，配置工作和緊急變更流程在此領域得到控制）
• 信息技術操作（操作跟進，備份和返回操作以及問題管理過程在此字段中受到控制）

對信息技術的一般控制對業務流程產生了積極影響。 如今，這些控制是業務流程的支柱。 如果這些一般控制措施不夠強大，則很難在任何業務流程的監督下依賴基於系統的控制和流程。 一般控制確保系統中保存的數據的完整性，準確性和完整性。 因此，使用該系統的所有業務流程都受到信息技術的一般控制的影響。

我們的組織 在審計服務範圍內提供信息技術的一般控制。 在這些研究中， 按照相關法律法規，國內外組織公佈的標準和普遍接受的審計方法運作。

COBIT代表英語信息及相關技術的控制目標，代表信息及相關技術的控制目標。 在信息技術領域運營的公司開發信息技術管理模型，並試圖保護其業務的資產。 但是，COBIT不僅是一種控制工具，而且是一種管理工具。 然而，它更側重於監督。 通過這種方式，它旨在為企業的管理人員和信息技術領域的員工提供企業的存在和成功。

COBIT的重要性，特別是在我國的金融部門，已經得到認可，並且近年來已在許多領域出現過。 COBIT闡述了信息技術管理要實現的目標。 COBIT提供涵蓋所有信息技術功能的框架。 COBIT包括四組過程域和34過程，所有這些過程都涵蓋整個IT管理。 事實上，COBIT專注於信息技術管理，而不是信息技術流程。 它首次在COBIT 1996上發布。

在我國，有些銀行首次接受了BRSA的COBIT特別審計。 此類審計已擴展到2006中的所有銀行，並且是強制性的。 它現在每兩年重複一次。 儘管過去存在一些問題，但如今銀行仍按照該標準管理其信息技術流程，並更有效地管理其流程。

事實上，甚至在BRSA規定之前，一些銀行就按照COBIT管理其信息技術流程。 但是，銀行業務並不是COBIT應用的唯一領域。 金融和製造業的許多公司都使用COBIT進行流程管理。

信息技術過程的審計不再是基於信息技術的工程領域，而是包括商業科學範圍內的會計和報告。 與信息技術審計相結合的獨立審計變得更加重要，特別是當商業生活變得更加可靠並考慮到銀行業的發展時。

我們的組織 COBIT在審計服務範圍內進行審計。 在這些研究中， 按照相關法律法規，國內外組織公佈的標準和普遍接受的審計方法運作。