A2ITGC培訓筆記_v4〔圓滿版〕經(jīng)驗分享人：CyrusHuang：msn：短信)更新版本：2008.11.17日。修改局部內(nèi)容，增加新技術點，增加Paper索引。嚴重免責申明：以下僅為ITGC較常見要求，僅供A2前半年使用其他Paper要求各個地方不同，以Job、Senior、Manager和客戶為準強烈建議參考去年同Job的paper切勿將此文檔作為標準，僅增加ITGCsense切記切記一、COSO方面根本十個控制點，有的可以不需要控制點，描述即可一般6個左右即可controlcomponentsotherthancontrolactivities?？刂骗h(huán)境1,組織架構圖，如果客戶沒有準備可以自己畫。同時可以了解后面Paper要問誰和2,Policy政策文檔，為后續(xù)做其他step做準備。可能第一天和客戶開完會，就可以做COSO，為后面的Job做準備。每個step,PC、PD。。都會有一個要求Policy的控制點3,職責劃分，IT沒有可以問HR部門獲取，拿到JD可以作為組織架構圖的補充。補充：人力資源相關局部的控制點，包括performanceapprisal和培訓，也可以有招聘相關背景調(diào)查的了解。同時關于內(nèi)外部培訓有專門的寫法Risk，風險評估：4，IT的目標和風險。風險評估報告2007展望，2006年總結(jié)報告〔如果客戶沒有正式的報告和文件，可以根據(jù)客戶口述自己描述風險〕補充：包括總體戰(zhàn)略，IT部門的未來要求，審計的年度方案等5，了解審計期間PC，PD情況，為后續(xù)同事做準備?！灿斜葦M通用的寫法，可以不增加控制點，加一個link就可以了。比擬好的做法是可以增加一下變更的總體描述，有個系統(tǒng)變更的總體概念〕Information，信息與溝通：〔IT部門內(nèi)部的、IT與業(yè)務部門的日常溝通和交流。包括mail，開會、報告等〕6，系統(tǒng)數(shù)據(jù)所有權〔根據(jù)客戶描述自己寫，提供審計范圍內(nèi)應用系統(tǒng)的名字和所屬部門〕7，會議紀要〔不一定會有完整的會議紀要提供，但是可以根據(jù)客戶會議實際情況在客戶電腦上截屏mail或等審計證據(jù)獲取〕補充：溝通包括IT部門和業(yè)務部門的日常溝通Monitor，監(jiān)控：〔ITleader對staff的監(jiān)控，包括公司高層對IT經(jīng)理的監(jiān)控〕8，會議紀要，報告。高層的報告和監(jiān)控的郵件9，內(nèi)審報告〔看看即可，客戶不一定會提供，可以考慮截屏〕10，SLA，外包協(xié)議，如果沒有不必勉強，客戶不一定提供?？捎锌蔁o的控制點COSO總體原那么：能拿到文檔的就拿文檔，為后面同事做準備。如果沒有可以選擇截屏封面、目錄頁和關鍵頁等方法。COSOInterviewChallenge如果客戶號稱忙，那么需要預約〔我們可以在Kickoffmeeting的時候約〕和客戶保持聯(lián)系，讓客戶前期準備資料?！睯ob前senior會準備好〕客戶不給東西〔退而求其次獲取截屏＋交流、交流再交流〕Coso，了解到如果客戶確實有這個控制，但僅僅缺乏標準文檔時，可以讓客戶在審計外勤工作中現(xiàn)場制作一些文檔，如：職責描述，組織架構等。PC方面，格式很統(tǒng)一，經(jīng)典格式：一個樣本帶4個測試點僅供參考根本要求，各Job要求不一，參考去年paper為主?？傮w政策控制：獲取COSO時候獲取的政策文檔，并且了解PC政策流程關鍵點，出Q處，很多M會關注：當無法獲取PC總樣本，需要在paper里面描述：通過獨立開發(fā)人員的第三方處獲取了經(jīng)過事先維護好的PC變更列表，如經(jīng)理、PC管理員、秘書。也可以讓客戶在第一天第二天的時候準備整理一份。在這個測試點中，需要貼一個總體變更樣本表變更申請和審批：由于無法從系統(tǒng)層面獲知PC次數(shù)，那么需要了解申請審批流程，從流程中確定變更樣本量，并開始抽樣〔4424準那么〕檢查PC對應需求表。

制作測試表格〔測試點1〕程序編寫：一般不進行測試，了解即可。了解內(nèi)容：系統(tǒng)開發(fā)是否有標準的開發(fā)手冊和命名規(guī)那么。同時外包的開發(fā)需要有維護合同。測試與質(zhì)量保證，測試分為兩種，IT的測試和用戶的測試UNIT單元測試和集成測試，屬于IT測試〔開發(fā)部門進行，一般從了解中即認為有〕。如果是外包的，可以描述由供給商特定開發(fā)團隊進行測試。UAT報告，即用戶測試：通常客戶會考慮到且時做時不做，小的就忽略了。也可能缺乏審計證據(jù)，通過和客戶溝通讓他意識到risk〔issue點〕制作測試表格〔測試點2〕系統(tǒng)上線，由管理層進行上線審批〔包括IT和業(yè)務部門〕，拿到相對應的證據(jù)。制作測試表格〔測試點3〕培訓文檔和操作手冊：對應每個樣本了解這個PC的培訓和操作手冊，如果沒有跟客戶確認是不是PC不是很復雜，未涉及業(yè)務流程變更〔需要變通〕那么不需要培訓和手冊，在測試表中可以標N/A。或加注明：〔1，跟業(yè)務系統(tǒng)管理員確認后了解到，上述系統(tǒng)變更未涉及流程更改，故無須提供系統(tǒng)變更操作文檔和培訓手冊?！持谱鳒y試表格〔測試點4〕職責別離：考慮2點：思路是開發(fā)人員開發(fā)，交給測試人員，并有專人將PC放到生產(chǎn)環(huán)境。>人員別離――有開發(fā)團隊的客戶考慮：開發(fā)、測試和生產(chǎn)必須別離?！睸AP系統(tǒng)比擬常見〕。如果外包那么可以描述由開發(fā)商進行開發(fā)和測試，本地IT配合上線。>系統(tǒng)別離即環(huán)境別離，截屏IP地址，實質(zhì)點是在于網(wǎng)段別離，但是控制點在于一個環(huán)境無法簡單容易的訪問到另一個環(huán)境，同時可以考慮到賬號的管理〔如開發(fā)人員沒有生產(chǎn)環(huán)境的管理員賬號〕。常見2種情況：1，由于開發(fā)團隊外包，故開發(fā)和上線肯定不是同一批人2，由于內(nèi)部開發(fā)人員獨立開發(fā)團隊不是IT技術支持人員總體原那么〔paper如何doc，一個樣本帶4個測試點〕：其中PCstep制作一個抽樣表，抽樣表放在變更審批step，隨后的變更審批、測試、系統(tǒng)上線審批、培訓文檔和操作手冊均組成樣本中的抽樣屬性。下面的step在描述完流程的情況下，貼相應一個樣本的樣張，其他PC樣本的測試全部refer上面的samplesheet表。PD方面比PCdomain多兩個step，一個是工程立項和一個是數(shù)據(jù)遷移。理論上工程立項客戶肯定會有，因為PD均是大的工程，肯定會保存工程立項，爭取向獲取，可以有合同或者文件。數(shù)據(jù)遷移考慮內(nèi)容較多，和senior討論，重點關注：數(shù)據(jù)遷移流程控制

數(shù)據(jù)遷移方案表和日程安排數(shù)據(jù)遷移比對結(jié)果，由業(yè)務部門確認證據(jù)如果需要，那么可以由SPA重新進行數(shù)據(jù)遷移的比對工作。CO方面：系統(tǒng)日常操作管理流程〔COSO里面的文檔，了解文檔〕同時會考慮相關職責分工和別離的issue，具體如果出現(xiàn)三崗混合的issue和同事討論，如果無其他異?？梢詒efercoso內(nèi)容批處理原那么在Job中不常做到，但傳說中是意義比擬大，和Interface相結(jié)合，且與業(yè)務相關有寫什么批處理，通過客戶截屏驗證業(yè)務用途，了解系統(tǒng)中的批處理都是做什么的〔關鍵中的關鍵〕修改相關的定義方式〔誰可以增刪改――可以結(jié)合OSreview：UNIX，windows，一般批處理制定完畢很少修改〕監(jiān)控，主要保證批處理是否完成，保證數(shù)據(jù)的準確性，完整性。檢查日志客戶一般可以接受解釋：當出現(xiàn)錯誤時，會跟進解決批處理錯誤情況，大致了解出錯情況和解決方法。實時處理〔一般不會在ITGC進行測試，通常會無，一般在AC里面會涉及〕備份情況〔沒批處理重要，但在job中非常及其以及特別的常見，再小的Job都有備份控制〕：小故事學備份――你如何備份自己電腦里面的數(shù)據(jù)不定時做rar打包，放在本地D盤〔備份軟件進行備份，定時，全備or增量〕每次備份時，檢查備份是否成功，錯誤會彈出錯誤框〔備份檢查，比對文件大小和文件名，客戶最好是有檢查表?？梢愿鶕?jù)檢查情況抽樣測試。注意要寫明樣本量選擇要求，總量、頻率、風險、樣本量，4424等〕每月，把文件刻盤，放在電腦旁邊柜子里〔磁帶備份和光盤備份〕每半年，把盤送到外婆家〔異地備份，高要求異地距離3公里以外的保險柜，一般要求隔壁辦公室――一般不在機房即可〕每年，把外婆家盤拿到爺爺家的電腦看看數(shù)據(jù)是否能讀嗎？〔數(shù)據(jù)恢復測試〕jasmine問為什么不在外婆家看，答因為外婆家沒有電腦啊，只是個保險柜呀每2年考慮一下如下情況：盤壞了，系統(tǒng)壞了，電腦壞了，外婆家和爺爺家燒了怎么辦，獲取外婆爺爺〔傳說中的災難恢復方案，和業(yè)務持續(xù)性方案〕災難備份，參考上面的小故事，一般有的會有的很好〔IBM咨詢公司幫助制定的文檔，演練等〕，沒有會沒有的很徹底〔Issue點〕不要急于考慮災備方案，慢慢理解，體會，通過Job和CISA，大致好的要求如下：-災難定義-各類故障及災難的分類-期望的系統(tǒng)恢復相應時間-系統(tǒng)恢復的具體流程-災備演習測試〔drilltest〕-恢復工作相關人員的職責描述-緊急情況時的工作人員聯(lián)系清單Issue跟senior討論建議給客戶的要求如下，經(jīng)典中的經(jīng)典：建議IT部門和業(yè)務部門共同參與，建立一套公司層面的詳盡的災難恢復方案/持續(xù)業(yè)務經(jīng)營方案，主要內(nèi)容應包括：1) 對災難狀況的定義以及根據(jù)災難嚴重程度劃分的災難等級；2) 對主要系統(tǒng)〔效勞器和應用程序〕進行業(yè)務影響分析，以及對系統(tǒng)掛機時間〔downtime〕的容忍度；3) 應災緊急領導小組的名單以及聯(lián)系方法；4) 在系統(tǒng)無法正常運行情況時，業(yè)務部門通過手工操作保證核心業(yè)務的正常運作的方案；5) 系統(tǒng)資源受到限制時，信息部門對系統(tǒng)資源的分配原那么以及系統(tǒng)運行恢復方案；6) 上述恢復方案的培訓與演練方案等。該方案應與所有公司管理層和員工溝通，并視需要進行書面演練或?qū)嶋H演練以加強公司對該方案的認知度及可實施性?？傮w原那么〔paper如何doc〕：先設計備份情況匯總表，開始可以讓客戶協(xié)助填寫現(xiàn)場查看備份設置〔系統(tǒng)截屏或備份工具截屏〕和備份文件檢查匯總表關于備份檢查，可以詢問檢查方法，查看機房檢查日志獲取信息，記得如果客戶定期檢查那么需要進行抽樣關于異地、數(shù)據(jù)恢復乃至災備，issue方面詢問客戶和客戶交流、交流再交流。三個常見issue點。切記，issue要和senior還有客戶多交流Access方面Access相關部門L&E內(nèi)容總體政策控制：獲取COSO時候獲取的政策文檔，并且了解政策流程，整體平安Policy，貼policy不要一股腦的貼，分門別類集中應用系統(tǒng)管理usermaintenance：賬號，密碼〔應用系統(tǒng)〕，測試方面使用5步法：應用程序密碼〔最小長度，密碼周期，密碼復雜度，三個最關鍵的〕，如果系統(tǒng)沒有特別的配置，可以通過在線找客戶嘗試的方法進行測試。應用程序賬號增刪改流程：進行抽樣測試驗證流程冗余賬號測試定期賬號與權限審查超級用戶管理特別注意要具體靈活使用vlookup方法，參見后面測試練習，不懂的人可以去操作一下。應用系統(tǒng)賬號測試〔A2必修課，需要做的非常及其以及特別的熟練，活用4424抽樣準那么〕具體Job具體的測試方法。關注點：如何獲取總樣本，正抽好還是反抽差，如何Doc，博大精深?！矔泻芏嗪芏嗟腝〕。可以借助HR的工作。關鍵，某些M的要求：如果無法獲取今年的新增列表，即賬號沒有新增日期。那么需要在總表中抽樣，和客戶確認哪些樣本是今年的或者以往年度的，今年的拿申請表，以往年度確實認賬號分配合理性。根據(jù)申請表反抽做測試是無意義的做法rubbish。關于HR的做法的弱點。某M的要求：rubbishagain，因為HR是無法登記換崗，換崗需要增加賬號的樣本無法cover，是有漏洞的。小故事：如lavender可以協(xié)助Lydia填timesheet了，那么擁有了新的崗位職責，但不會在HR中標志。但是這個權限的新增很關鍵。數(shù)據(jù)平安：數(shù)據(jù)庫考慮以下幾點1．數(shù)據(jù)庫賬號均要有實際業(yè)務用途，測試方法：找數(shù)據(jù)庫管理員訪談賬號用途。記住2．數(shù)據(jù)庫賬號的密碼控制很難測試，通過詢問即可。密碼策略控制，有一篇很雷的Oracle數(shù)據(jù)庫強制密碼策略的文檔，保存文檔，真的很雷。。。。。參考網(wǎng)頁：3．重點測試數(shù)據(jù)直接修改〔很重點的局部〕，可以進行抽樣測試一般三種issue情況：外包商有權限修改數(shù)據(jù)――在客戶知曉的情況下訪問客戶生產(chǎn)環(huán)境數(shù)據(jù)庫即可開發(fā)人員可以訪問數(shù)據(jù)庫，但最好不允許直接訪問生產(chǎn)庫?？蛻粲袛?shù)據(jù)修改，但沒有很好保存數(shù)據(jù)修改申請文檔小故事：J問：數(shù)據(jù)直接修改是什么意思？C：比方保險業(yè)的前臺保單數(shù)據(jù)，里面有客戶身份證好，保單提交后發(fā)現(xiàn)身份證號key錯了，身份證號很關鍵那么前臺不能修改。只能業(yè)務部門領導提交申請至IT，由數(shù)據(jù)庫管理員直接在后臺修改并保存申請表。那么可以抽樣申請表，可以反抽，從數(shù)據(jù)修改申請表出發(fā)進行抽樣看業(yè)務部門簽字。有些Job，還可以把數(shù)據(jù)修改包括在PC局部進行操作，PC分成改程序和改數(shù)據(jù)操作系統(tǒng)平安〔OSReview〕小故事：現(xiàn)在很少有特別關注Tech的M和Job，等某些Senior當了M之后大興技術風，重點關注技術型paper。OS，有workingprogram，最主要看前人paper：公司網(wǎng)址可以獲取各種系統(tǒng)文檔和PracticeAid。OSReview：涉及很多操作系統(tǒng)，控制點通常萬變不離開重點關注6points1，Auditlog(審計日志)2，usermanagement〔用戶管理〕3，passwd〔密碼策略〕4，root賬號相關控制和效勞的使用5，關鍵目錄權限和財務數(shù)據(jù)權限6，相關network方面和遠程效勞等other〔各個系統(tǒng)不一〕具體細節(jié)包括，相關效勞，信任關系有如下系統(tǒng)：Windows〔2000，2003，NT，DM＝StandAlone，DC＝domaincontrol，MS＝域效勞器組的成員效勞器memberserver等〕UNIX分為：AIX、HPUX、SCOUNIX、SUNsolaris和Linux等〕特別注意：AIX、HPUX、SCOUNIX有簡化腳本，可以查看，SUNsolaris和Linux有公司腳本可以查看〕OS400，〔特別復雜，很少遇到〕相關Manual有：Windows、AIX、HPUX、Linux和OS400等。大型機等，也不是很清楚，銀行可以碰到，計算機速度越來越快數(shù)據(jù)量不大那么大型機但漸漸被取代……網(wǎng)絡平安網(wǎng)絡有問題，具體討論，不累述網(wǎng)絡平安獲取如下內(nèi)容：1，拓撲圖，和客戶交流、交流再交流〔關注拓撲圖里面的防火墻和核心路由，特別關鍵。某M特別關注〕。2，評估網(wǎng)絡平安，防火墻，路由器。關注點：從外到內(nèi)只能訪問特殊數(shù)據(jù)和系統(tǒng)，千萬不能直接由外網(wǎng)訪問到生產(chǎn)環(huán)境應用系統(tǒng)效勞器。關注點只有2個。1，內(nèi)網(wǎng)：公司內(nèi)網(wǎng)訪問核心效勞器，分網(wǎng)段限制內(nèi)部用戶訪問核心設備。2，外網(wǎng)：外部Internet網(wǎng)絡對內(nèi)部網(wǎng)段的攻擊，限制外網(wǎng)訪問內(nèi)網(wǎng)。有關于網(wǎng)絡防火墻查看的詳細Paper。最關鍵的是在于防火墻規(guī)那么中有Denyall，拒絕所有未授權的規(guī)那么。3，進一步內(nèi)容可以檢查網(wǎng)絡監(jiān)控，IDS，評估軟件，截屏了解上述軟件的控制流程，看看監(jiān)控日志，特別了解一下網(wǎng)絡問題的處理機制，有可能需要對網(wǎng)絡問題處理或者日志檢查進行抽樣測試。4，VPN：關于VPN的內(nèi)部控制，遠程登錄訪問，和客戶研究VPN的風險門店營銷所，使用VPN訪問公司總部網(wǎng)絡〔硬件VPN〕一般用戶，領導審批文檔和在外辦公〔密碼方式