該審計步驟用來將控制目標下的相關活動用文檔記錄下來,對組織聲稱已實施的控制措施與程序進行識別,並且確認其存在。?
與相關的管理者和員工進行會見,以理解:
業務需求好相關的風險;
組織結構;
角色和職責;
政策和程序;
法律和法規;
已有的控制措施;
管理報告(狀態、性能、行動項目)。?
用文檔記錄與過程相關的IT資源,特別是那些被審計的IT流程所影響的IT資源。確認理解了審核的過程、過程的關鍵性能指標(KPI)、實際的控制狀況。例如,可以通過對過程的抽查來進行了解。 ?
二、評價控制?該審計步驟用來評估當前已有控制措施的有效性或達到控制目標的程度,主要是決定測試什麽、是否測試及如何測試的問題。?
通過對比已確定的標準及行業最佳實踐、控制方法的關鍵成功要素(CSF)和利用審計師的職業判斷,來評價待審核過程所應用的控制措施的適宜性。
存在已文檔化的過程
存在適宜的輸出
職責和責任是明確的、有效的
在必要時,存在補償控制
對實現控制目標的程度做出結論。 ?
三、評估符合性?該審計步驟用來確定已建立的控制措施是按組織規定的方式,持續地、壹致地在起作用,並且對控制環境的適宜性做出結論。 ·得到所選項目和階段的直接或間接的證據,使用直接和間接的證據來保證待審核的項目和階段壹直遵守相關控制程序的要求。?
對過程輸出結果的充分性進行有限的審核。?
為了證明IT流程是分的,確定需要進行實質性測試的程度和其他需要進行的工作。 ?
四、證實風險?該審計步驟通過使用分析技術和可選的咨詢資源,證實控制目標沒有被實現時所帶來的風險。目標是支持其審計判斷,並督促管理者采取行動。審計師要創造性地尋找和提出通常是敏感的和機密的信息。?
用文檔記錄下控制弱點及其引起的威脅和漏洞。?
識別並記錄實際的影響和潛在的影響,例如,利用因果分析的方法。 ·提供比較信息。例如,通過基準比較的方法。