某四大-A2-ITGC培訓(xùn)筆記

A2ITGC培訓(xùn)筆記_v4〔圓滿版〕經(jīng)驗分享人：CyrusHuang：msn：短信)更新版本：2008.11.17日。修改局部內(nèi)容，增加新技術(shù)點，增加Paper索引。嚴(yán)重免責(zé)申明：以下僅為ITGC較常見要求，僅供A2前半年使用其他Paper要求各個地方不同，以Job、Senior、Manager和客戶為準(zhǔn)強烈建議參考去年同Job的paper切勿將此文檔作為標(biāo)準(zhǔn)，僅增加ITGCsense切記切記一、COSO方面根本十個控制點，有的可以不需要控制點，描述即可一般6個左右即可controlcomponentsotherthancontrolactivities?？刂骗h(huán)境1,組織架構(gòu)圖，如果客戶沒有準(zhǔn)備可以自己畫。同時可以了解后面Paper要問誰和2,Policy政策文檔，為后續(xù)做其他step做準(zhǔn)備?？赡艿谝惶旌涂蛻糸_完會，就可以做COSO，為后面的Job做準(zhǔn)備。每個step,PC、PD。。都會有一個要求Policy的控制點3,職責(zé)劃分，IT沒有可以問HR部門獲取，拿到JD可以作為組織架構(gòu)圖的補充。補充：人力資源相關(guān)局部的控制點，包括performanceapprisal和培訓(xùn)，也可以有招聘相關(guān)背景調(diào)查的了解。同時關(guān)于內(nèi)外部培訓(xùn)有專門的寫法Risk，風(fēng)險評估：4，IT的目標(biāo)和風(fēng)險。風(fēng)險評估報告2007展望，2006年總結(jié)報告〔如果客戶沒有正式的報告和文件，可以根據(jù)客戶口述自己描述風(fēng)險〕補充：包括總體戰(zhàn)略，IT部門的未來要求，審計的年度方案等5，了解審計期間PC，PD情況，為后續(xù)同事做準(zhǔn)備?！灿斜葦M通用的寫法，可以不增加控制點，加一個link就可以了。比擬好的做法是可以增加一下變更的總體描述，有個系統(tǒng)變更的總體概念〕Information，信息與溝通：〔IT部門內(nèi)部的、IT與業(yè)務(wù)部門的日常溝通和交流。包括mail，開會、報告等〕6，系統(tǒng)數(shù)據(jù)所有權(quán)〔根據(jù)客戶描述自己寫，提供審計范圍內(nèi)應(yīng)用系統(tǒng)的名字和所屬部門〕7，會議紀(jì)要〔不一定會有完整的會議紀(jì)要提供，但是可以根據(jù)客戶會議實際情況在客戶電腦上截屏mail或等審計證據(jù)獲取〕補充：溝通包括IT部門和業(yè)務(wù)部門的日常溝通Monitor，監(jiān)控：〔ITleader對staff的監(jiān)控，包括公司高層對IT經(jīng)理的監(jiān)控〕8，會議紀(jì)要，報告。高層的報告和監(jiān)控的郵件9，內(nèi)審報告〔看看即可，客戶不一定會提供，可以考慮截屏〕10，SLA，外包協(xié)議，如果沒有不必勉強，客戶不一定提供?？捎锌蔁o的控制點COSO總體原那么：能拿到文檔的就拿文檔，為后面同事做準(zhǔn)備。如果沒有可以選擇截屏封面、目錄頁和關(guān)鍵頁等方法。COSOInterviewChallenge如果客戶號稱忙，那么需要預(yù)約〔我們可以在Kickoffmeeting的時候約〕和客戶保持聯(lián)系，讓客戶前期準(zhǔn)備資料?！睯ob前senior會準(zhǔn)備好〕客戶不給東西〔退而求其次獲取截屏＋交流、交流再交流〕Coso，了解到如果客戶確實有這個控制，但僅僅缺乏標(biāo)準(zhǔn)文檔時，可以讓客戶在審計外勤工作中現(xiàn)場制作一些文檔，如：職責(zé)描述，組織架構(gòu)等。PC方面，格式很統(tǒng)一，經(jīng)典格式：一個樣本帶4個測試點僅供參考根本要求，各Job要求不一，參考去年paper為主。總體政策控制：獲取COSO時候獲取的政策文檔，并且了解PC政策流程關(guān)鍵點，出Q處，很多M會關(guān)注：當(dāng)無法獲取PC總樣本，需要在paper里面描述：通過獨立開發(fā)人員的第三方處獲取了經(jīng)過事先維護(hù)好的PC變更列表，如經(jīng)理、PC管理員、秘書。也可以讓客戶在第一天第二天的時候準(zhǔn)備整理一份。在這個測試點中，需要貼一個總體變更樣本表變更申請和審批：由于無法從系統(tǒng)層面獲知PC次數(shù)，那么需要了解申請審批流程，從流程中確定變更樣本量，并開始抽樣〔4424準(zhǔn)那么〕檢查PC對應(yīng)需求表。

制作測試表格〔測試點1〕程序編寫：一般不進(jìn)行測試，了解即可。了解內(nèi)容：系統(tǒng)開發(fā)是否有標(biāo)準(zhǔn)的開發(fā)手冊和命名規(guī)那么。同時外包的開發(fā)需要有維護(hù)合同。測試與質(zhì)量保證，測試分為兩種，IT的測試和用戶的測試UNIT單元測試和集成測試，屬于IT測試〔開發(fā)部門進(jìn)行，一般從了解中即認(rèn)為有〕。如果是外包的，可以描述由供給商特定開發(fā)團(tuán)隊進(jìn)行測試。UAT報告，即用戶測試：通?？蛻魰紤]到且時做時不做，小的就忽略了。也可能缺乏審計證據(jù)，通過和客戶溝通讓他意識到risk〔issue點〕制作測試表格〔測試點2〕系統(tǒng)上線，由管理層進(jìn)行上線審批〔包括IT和業(yè)務(wù)部門〕，拿到相對應(yīng)的證據(jù)。制作測試表格〔測試點3〕培訓(xùn)文檔和操作手冊：對應(yīng)每個樣本了解這個PC的培訓(xùn)和操作手冊，如果沒有跟客戶確認(rèn)是不是PC不是很復(fù)雜，未涉及業(yè)務(wù)流程變更〔需要變通〕那么不需要培訓(xùn)和手冊，在測試表中可以標(biāo)N/A。或加注明：〔1，跟業(yè)務(wù)系統(tǒng)管理員確認(rèn)后了解到，上述系統(tǒng)變更未涉及流程更改，故無須提供系統(tǒng)變更操作文檔和培訓(xùn)手冊?！持谱鳒y試表格〔測試點4〕職責(zé)別離：考慮2點：思路是開發(fā)人員開發(fā)，交給測試人員，并有專人將PC放到生產(chǎn)環(huán)境。>人員別離――有開發(fā)團(tuán)隊的客戶考慮：開發(fā)、測試和生產(chǎn)必須別離?！睸AP系統(tǒng)比擬常見〕。如果外包那么可以描述由開發(fā)商進(jìn)行開發(fā)和測試，本地IT配合上線。>系統(tǒng)別離即環(huán)境別離，截屏IP地址，實質(zhì)點是在于網(wǎng)段別離，但是控制點在于一個環(huán)境無法簡單容易的訪問到另一個環(huán)境，同時可以考慮到賬號的管理〔如開發(fā)人員沒有生產(chǎn)環(huán)境的管理員賬號〕。常見2種情況：1，由于開發(fā)團(tuán)隊外包，故開發(fā)和上線肯定不是同一批人2，由于內(nèi)部開發(fā)人員獨立開發(fā)團(tuán)隊不是IT技術(shù)支持人員總體原那么〔paper如何doc，一個樣本帶4個測試點〕：其中PCstep制作一個抽樣表，抽樣表放在變更審批step，隨后的變更審批、測試、系統(tǒng)上線審批、培訓(xùn)文檔和操作手冊均組成樣本中的抽樣屬性。下面的step在描述完流程的情況下，貼相應(yīng)一個樣本的樣張，其他PC樣本的測試全部refer上面的samplesheet表。PD方面比PCdomain多兩個step，一個是工程立項和一個是數(shù)據(jù)遷移。理論上工程立項客戶肯定會有，因為PD均是大的工程，肯定會保存工程立項，爭取向獲取，可以有合同或者文件。數(shù)據(jù)遷移考慮內(nèi)容較多，和senior討論，重點關(guān)注：數(shù)據(jù)遷移流程控制

數(shù)據(jù)遷移方案表和日程安排數(shù)據(jù)遷移比對結(jié)果，由業(yè)務(wù)部門確認(rèn)證據(jù)如果需要，那么可以由SPA重新進(jìn)行數(shù)據(jù)遷移的比對工作。CO方面：系統(tǒng)日常操作管理流程〔COSO里面的文檔，了解文檔〕同時會考慮相關(guān)職責(zé)分工和別離的issue，具體如果出現(xiàn)三崗混合的issue和同事討論，如果無其他異常可以refercoso內(nèi)容批處理原那么在Job中不常做到，但傳說中是意義比擬大，和Interface相結(jié)合，且與業(yè)務(wù)相關(guān)有寫什么批處理，通過客戶截屏驗證業(yè)務(wù)用途，了解系統(tǒng)中的批處理都是做什么的〔關(guān)鍵中的關(guān)鍵〕修改相關(guān)的定義方式〔誰可以增刪改――可以結(jié)合OSreview：UNIX，windows，一般批處理制定完畢很少修改〕監(jiān)控，主要保證批處理是否完成，保證數(shù)據(jù)的準(zhǔn)確性，完整性。檢查日志客戶一般可以接受解釋：當(dāng)出現(xiàn)錯誤時，會跟進(jìn)解決批處理錯誤情況，大致了解出錯情況和解決方法。實時處理〔一般不會在ITGC進(jìn)行測試，通常會無，一般在AC里面會涉及〕備份情況〔沒批處理重要，但在job中非常及其以及特別的常見，再小的Job都有備份控制〕：小故事學(xué)備份――你如何備份自己電腦里面的數(shù)據(jù)不定時做rar打包，放在本地D盤〔備份軟件進(jìn)行備份，定時，全備or增量〕每次備份時，檢查備份是否成功，錯誤會彈出錯誤框〔備份檢查，比對文件大小和文件名，客戶最好是有檢查表。可以根據(jù)檢查情況抽樣測試。注意要寫明樣本量選擇要求，總量、頻率、風(fēng)險、樣本量，4424等〕每月，把文件刻盤，放在電腦旁邊柜子里〔磁帶備份和光盤備份〕每半年，把盤送到外婆家〔異地備份，高要求異地距離3公里以外的保險柜，一般要求隔壁辦公室――一般不在機房即可〕每年，把外婆家盤拿到爺爺家的電腦看看數(shù)據(jù)是否能讀嗎？〔數(shù)據(jù)恢復(fù)測試〕jasmine問為什么不在外婆家看，答因為外婆家沒有電腦啊，只是個保險柜呀每2年考慮一下如下情況：盤壞了，系統(tǒng)壞了，電腦壞了，外婆家和爺爺家燒了怎么辦，獲取外婆爺爺〔傳說中的災(zāi)難恢復(fù)方案，和業(yè)務(wù)持續(xù)性方案〕災(zāi)難備份，參考上面的小故事，一般有的會有的很好〔IBM咨詢公司幫助制定的文檔，演練等〕，沒有會沒有的很徹底〔Issue點〕不要急于考慮災(zāi)備方案，慢慢理解，體會，通過Job和CISA，大致好的要求如下：-災(zāi)難定義-各類故障及災(zāi)難的分類-期望的系統(tǒng)恢復(fù)相應(yīng)時間-系統(tǒng)恢復(fù)的具體流程-災(zāi)備演習(xí)測試〔drilltest〕-恢復(fù)工作相關(guān)人員的職責(zé)描述-緊急情況時的工作人員聯(lián)系清單Issue跟senior討論建議給客戶的要求如下，經(jīng)典中的經(jīng)典：建議IT部門和業(yè)務(wù)部門共同參與，建立一套公司層面的詳盡的災(zāi)難恢復(fù)方案/持續(xù)業(yè)務(wù)經(jīng)營方案，主要內(nèi)容應(yīng)包括：1) 對災(zāi)難狀況的定義以及根據(jù)災(zāi)難嚴(yán)重程度劃分的災(zāi)難等級；2) 對主要系統(tǒng)〔效勞器和應(yīng)用程序〕進(jìn)行業(yè)務(wù)影響分析，以及對系統(tǒng)掛機時間〔downtime〕的容忍度；3) 應(yīng)災(zāi)緊急領(lǐng)導(dǎo)小組的名單以及聯(lián)系方法；4) 在系統(tǒng)無法正常運行情況時，業(yè)務(wù)部門通過手工操作保證核心業(yè)務(wù)的正常運作的方案；5) 系統(tǒng)資源受到限制時，信息部門對系統(tǒng)資源的分配原那么以及系統(tǒng)運行恢復(fù)方案；6) 上述恢復(fù)方案的培訓(xùn)與演練方案等。該方案應(yīng)與所有公司管理層和員工溝通，并視需要進(jìn)行書面演練或?qū)嶋H演練以加強公司對該方案的認(rèn)知度及可實施性。總體原那么〔paper如何doc〕：先設(shè)計備份情況匯總表，開始可以讓客戶協(xié)助填寫現(xiàn)場查看備份設(shè)置〔系統(tǒng)截屏或備份工具截屏〕和備份文件檢查匯總表關(guān)于備份檢查，可以詢問檢查方法，查看機房檢查日志獲取信息，記得如果客戶定期檢查那么需要進(jìn)行抽樣關(guān)于異地、數(shù)據(jù)恢復(fù)乃至災(zāi)備，issue方面詢問客戶和客戶交流、交流再交流。三個常見issue點。切記，issue要和senior還有客戶多交流Access方面Access相關(guān)部門L&E內(nèi)容總體政策控制：獲取COSO時候獲取的政策文檔，并且了解政策流程，整體平安Policy，貼policy不要一股腦的貼，分門別類集中應(yīng)用系統(tǒng)管理usermaintenance：賬號，密碼〔應(yīng)用系統(tǒng)〕，測試方面使用5步法：應(yīng)用程序密碼〔最小長度，密碼周期，密碼復(fù)雜度，三個最關(guān)鍵的〕，如果系統(tǒng)沒有特別的配置，可以通過在線找客戶嘗試的方法進(jìn)行測試。應(yīng)用程序賬號增刪改流程：進(jìn)行抽樣測試驗證流程冗余賬號測試定期賬號與權(quán)限審查超級用戶管理特別注意要具體靈活使用vlookup方法，參見后面測試練習(xí)，不懂的人可以去操作一下。應(yīng)用系統(tǒng)賬號測試〔A2必修課，需要做的非常及其以及特別的熟練，活用4424抽樣準(zhǔn)那么〕具體Job具體的測試方法。關(guān)注點：如何獲取總樣本，正抽好還是反抽差，如何Doc，博大精深?！矔泻芏嗪芏嗟腝〕?？梢越柚鶫R的工作。關(guān)鍵，某些M的要求：如果無法獲取今年的新增列表，即賬號沒有新增日期。那么需要在總表中抽樣，和客戶確認(rèn)哪些樣本是今年的或者以往年度的，今年的拿申請表，以往年度確實認(rèn)賬號分配合理性。根據(jù)申請表反抽做測試是無意義的做法rubbish。關(guān)于HR的做法的弱點。某M的要求：rubbishagain，因為HR是無法登記換崗，換崗需要增加賬號的樣本無法cover，是有漏洞的。小故事：如lavender可以協(xié)助Lydia填timesheet了，那么擁有了新的崗位職責(zé)，但不會在HR中標(biāo)志。但是這個權(quán)限的新增很關(guān)鍵。數(shù)據(jù)平安：數(shù)據(jù)庫考慮以下幾點1．?dāng)?shù)據(jù)庫賬號均要有實際業(yè)務(wù)用途，測試方法：找數(shù)據(jù)庫管理員訪談賬號用途。記住2．?dāng)?shù)據(jù)庫賬號的密碼控制很難測試，通過詢問即可。密碼策略控制，有一篇很雷的Oracle數(shù)據(jù)庫強制密碼策略的文檔，保存文檔，真的很雷。。。。。參考網(wǎng)頁：3．重點測試數(shù)據(jù)直接修改〔很重點的局部〕，可以進(jìn)行抽樣測試一般三種issue情況：外包商有權(quán)限修改數(shù)據(jù)――在客戶知曉的情況下訪問客戶生產(chǎn)環(huán)境數(shù)據(jù)庫即可開發(fā)人員可以訪問數(shù)據(jù)庫，但最好不允許直接訪問生產(chǎn)庫。客戶有數(shù)據(jù)修改，但沒有很好保存數(shù)據(jù)修改申請文檔小故事：J問：數(shù)據(jù)直接修改是什么意思？C：比方保險業(yè)的前臺保單數(shù)據(jù)，里面有客戶身份證好，保單提交后發(fā)現(xiàn)身份證號key錯了，身份證號很關(guān)鍵那么前臺不能修改。只能業(yè)務(wù)部門領(lǐng)導(dǎo)提交申請至IT，由數(shù)據(jù)庫管理員直接在后臺修改并保存申請表。那么可以抽樣申請表，可以反抽，從數(shù)據(jù)修改申請表出發(fā)進(jìn)行抽樣看業(yè)務(wù)部門簽字。有些Job，還可以把數(shù)據(jù)修改包括在PC局部進(jìn)行操作，PC分成改程序和改數(shù)據(jù)操作系統(tǒng)平安〔OSReview〕小故事：現(xiàn)在很少有特別關(guān)注Tech的M和Job，等某些Senior當(dāng)了M之后大興技術(shù)風(fēng)，重點關(guān)注技術(shù)型paper。OS，有workingprogram，最主要看前人paper：公司網(wǎng)址可以獲取各種系統(tǒng)文檔和PracticeAid。OSReview：涉及很多操作系統(tǒng)，控制點通常萬變不離開重點關(guān)注6points1，Auditlog(審計日志)2，usermanagement〔用戶管理〕3，passwd〔密碼策略〕4，root賬號相關(guān)控制和效勞的使用5，關(guān)鍵目錄權(quán)限和財務(wù)數(shù)據(jù)權(quán)限6，相關(guān)network方面和遠(yuǎn)程效勞等other〔各個系統(tǒng)不一〕具體細(xì)節(jié)包括，相關(guān)效勞，信任關(guān)系有如下系統(tǒng)：Windows〔2000，2003，NT，DM＝StandAlone，DC＝domaincontrol，MS＝域效勞器組的成員效勞器memberserver等〕UNIX分為：AIX、HPUX、SCOUNIX、SUNsolaris和Linux等〕特別注意：AIX、HPUX、SCOUNIX有簡化腳本，可以查看，SUNsolaris和Linux有公司腳本可以查看〕OS400，〔特別復(fù)雜，很少遇到〕相關(guān)Manual有：Windows、AIX、HPUX、Linux和OS400等。大型機等，也不是很清楚，銀行可以碰到，計算機速度越來越快數(shù)據(jù)量不大那么大型機但漸漸被取代……網(wǎng)絡(luò)平安網(wǎng)絡(luò)有問題，具體討論，不累述網(wǎng)絡(luò)平安獲取如下內(nèi)容：1，拓?fù)鋱D，和客戶交流、交流再交流〔關(guān)注拓?fù)鋱D里面的防火墻和核心路由，特別關(guān)鍵。某M特別關(guān)注〕。2，評估網(wǎng)絡(luò)平安，防火墻，路由器。關(guān)注點：從外到內(nèi)只能訪問特殊數(shù)據(jù)和系統(tǒng)，千萬不能直接由外網(wǎng)訪問到生產(chǎn)環(huán)境應(yīng)用系統(tǒng)效勞器。關(guān)注點只有2個。1，內(nèi)網(wǎng)：公司內(nèi)網(wǎng)訪問核心效勞器，分網(wǎng)段限制內(nèi)部用戶訪問核心設(shè)備。2，外網(wǎng)：外部Internet網(wǎng)絡(luò)對內(nèi)部網(wǎng)段的攻擊，限制外網(wǎng)訪問內(nèi)網(wǎng)。有關(guān)于網(wǎng)絡(luò)防火墻查看的詳細(xì)Paper。最關(guān)鍵的是在于防火墻規(guī)那么中有Denyall，拒絕所有未授權(quán)的規(guī)那么。3，進(jìn)一步內(nèi)容可以檢查網(wǎng)絡(luò)監(jiān)控，IDS，評估軟件，截屏了解上述軟件的控制流程，看看監(jiān)控日志，特別了解一下網(wǎng)絡(luò)問題的處理機制，有可能需要對網(wǎng)絡(luò)問題處理或者日志檢查進(jìn)行抽樣測試。4，VPN：關(guān)于VPN的內(nèi)部控制，遠(yuǎn)程登錄訪問，和客戶研究VPN的風(fēng)險門店營銷所，使用VPN訪問公司總部網(wǎng)絡(luò)〔硬件VPN〕一般用戶，領(lǐng)導(dǎo)審批文檔和在外辦公〔密碼方式