COBIT信息技术审计指南(34个控制目标)
计划和组织(选择3/6/11)
1 定义战略性的信息技术规划(PO1)PO域
控制的IT过程:
定义战略性的IT规划
满足的业务需求:
既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成
实现路线:
在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划
需要考虑的事项:
企业的业务发展战略
IT如何支持业务目标的明确定义
技术解决方案和当前基础设施的详细清单
追踪技术市场
适时的可行性研究和现实性检查
已有系统的评估
在风险、进入市场的时机、质量方面,企业所处的位置
需要高级管理层出钱、支持和必不可少的检查
信息规范 IT资源
P 效果 * 人员
S 效率 * 应用
保密 * 技术
完整 * 设施
可用 * 数据
遵从
可靠
1.1 作为机构长期和短期计划一部分的IT
高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应
确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期
计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划
IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,
采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构
对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。
1.4 IT 长期计划的变更
IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。
1.5 IT 功能的短期计划编制
IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。
1.6 IT 计划的交流
管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。
1.7 IT 计划的监控和评估
管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。
1.8 现有系统的评估
在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层和人力服务职员
获得:
与计划编制过程想关联的政策和程序
高级管理层的指导角色和责任
机构的目标和长短期的计划
IT的目标和长短期的计划
状况的报告和计划/指导委员会的会议纪要
评估控制:
考虑是否:
IT或者业务的企业政策和程序选择了一种结构化的计划编制方法
方法到位,以便明确地表达并能够修改计划,起码它们要包括:
? 机构的使命和目的
? 支持机构使命和目的的IT初始
? IT初始的机遇
? IT初始的可行性的研究
? IT初始的风险评估
? 当前和未来IT的最佳投资
? 反映企业使命和目的变化的IT初始的再造
? 数据应用、技术和机构可选择战略的评估
机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包,等等被考虑,并在计划编制过程中充分地从事
长短期的IT计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门
IT项目由IT计划编制方法中确定的适当文档所支持
确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在
由过程所有者和高级管理层评价和结束的IT计划发生
根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT计划评估现有的信息系统
对信息系统及其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业的目标和业务的过程,或者不能提供适当的完整、安全和控制
评定遵从性:
测试:
来自反映计划编制过程的IT计划编制/指导委员会的会议纪要
计划编制方法的可交付使用物的存在,作为预先的规定
相关IT的初始被包括在IT长短期的计划当中(也就是硬件的变化、容量计划编制、
信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装,等等)
IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求
IT初始的技术含义已经被确定
最优化当前和将来IT投资的考虑已经给出
IT长短期计划与机构的长短期计划和组织的需求保持一致
计划已经发生改变,以反映正在变化的条件
IT长期计划定期转化成短期计划
存在实现计划的任务
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准确保IT初始反映机构的使命和目的的IT计划的详细评价
决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT计划的详细评价
确定:
满足机构使命和目的的IT失败
与长期计划相匹配的短期计划的IT失败
满足短期计划的IT项目的失败
满足成本和时间准则的IT失败
错过的业务机遇
错过的IT机遇
2 定义信息体系结构(PO2)
控制的IT过程:
定义信息体系结构
满足的业务需求:
优化信息系统的机构
实现路线:
创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用
需要考虑的事项:
自动化的数据存贮和字典
数据语法规则
数据所有权和关键性/安全性程度分类
表述业务的信息模型
企业信息体系结构标准信息
信息规范 IT资源
P 效果人员
S 效率 * 应用
S 保密技术
S 完整设施
可用 * 数据
遵从
可靠
2.1 信息体系结构模型
信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些格式和期限能使人们及时、有效地履行他们的职责。相应地,围绕企业的数据模型和相关的信息系统,IT的职能应是建立并有规律地更新信息体系结构模型。信息体系结构模型应与IT长期计划保持一致。
2.2 企业数据字典和数据语法规则
IT的职能应确保包含机构数据语法规则的企业数据字典的建立以及持续的更新。
2.3 数据分类方案
在按信息类别(如安全类)进行分类的数据放置以及所有权分配方面,应建立一个总体的分类框架,应适当定义各类别的访问规则。
2.4 安全等级
对于上述确定的每一个“不需要保护”级别以上的数据分类,管理层应定义、执行和维护这些安全等级。对于每一个分类来讲,这些安全等级应描述适当的(最小的)一套安全和控制尺度,应定期进行再评估并做相应的修改。对于区域范围广阔的企业,应建立支持不同安全等级的标准,以适应正在发展的电子商务、移动计算和远程办公环境的需要。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层
安全官
获得:
与信息体系结构相关的政策和程序
信息体系结构模型
支持信息体系结构模型的文档,包括企业数据模型
企业数据字典
数据所有者政策
高级管理层指导的角色和责任
IT的目标和长短期计划
状况报告和计划编制/指导委员会会议纪要
评估控制:
考虑是否:
IT政策和程序选择了数据字典的开发和维护
用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和风险,并且该模型变化之前,要确保高级管理层同意
有一个过程用来保持数据字典和数据语法规则处于最新状态
有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化
IT政策和过程要选择数据的分类,包括安全种类和数据所有者,数据分类的访问规则要被清晰和适当地定义
要为那些不包含数据分类标识符的数据资产定义缺省的分类标准
IT政策和程序要选择以下内容:
? 需要数据所有者(在数据所有者政策上定义)的授权过程要到位,以便批准该数据的所有访问以及数据的安全属性
? 每一个数据分类的安全等级要被定义
? 访问等级被定义,并且对于数据分类来说是适当的
? 访问敏感数据需要清楚的访问级别,数据的提供要以“需要知道”为基础
评定遵从性:
测试:
信息体系结构模型上的变化,确定这些变化反映了IT长短期计划及其所确定的成本和风险
评估数据字典的任何修改以及数据字典上变化的影响,确保它们被有效地沟通各种运作的应用系统和开发项目,以确定数据字典被用作数据定义
足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全等级
数据分类、安全等级、访问等级和缺省的适当性
每一个数据分类都要清晰地定义:
? 谁可以访问
? 谁对决定适当的访问级别负责
? 所需访问的明确批准
? 访问的特定需求(也就是非披露或者保密性协议)
证实没有满足业务目标的风险:
执行:
依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准针对关键元素的完整性,数据字典的详细评价
对定义为敏感数据的安全等级的详细评价,以校验访问的适当授权被获得,被许
可的访问与定义在IT政策和程序中的一致
确定:
信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以及IT长短期计划中的矛盾
过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则???
所有者不清楚和/或没有适当定义的数据项
没有被适当定义的数据分类
与“需要才能知道”的原则不一致的数据安全等级
3 决定技术方向(PO3)
控制的IT过程:
决定技术方向
满足的业务需求:
利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能
实现路线:
建立并维护技术基础设施计划,该计划,依据产品、服务和交付机制,建立并管理技术能够提供的清晰和现实的预期
需要考虑的事项:
当前基础设施的容量
通过可靠的来源,监测技术发展
引导概念的检验
风险、约束和机遇
获取的计划
移植战略和路线
与供应商的关系
独立的技术再评估
硬件和软件的性能/价格比的变化
信息规范 IT资源
P 效果人员
S 效率应用
保密 * 技术
完整 * 设施
可用数据
遵从
可靠
3.1 技术基础设施计划编制
IT的职能部门应建立并有规律地更新与IT长期和短期计划保持一致的技术基础
设施计划。这样的计划应围绕诸如系统体系结构、技术方向和移植策略等方面。
3.2 监测未来的趋势和法规
IT的职能部门应能够确保对未来趋势和法规环境的持续监测,以便这些因素能够在技术基础设施计划的开发和维护期间被考虑在内。
3.3 技术基础设施的不确定事件
技术基础设施计划应在偶然事件方面(即基础设施的冗余、恢复、充足性和发展能力)进行系统地评估。
3.4 硬件和软件获取计划
IT管理层应确保制定硬件和软件的获取计划,并要反映在所确定的技术基础设施计划的需求中。
3.5 技术标准
以技术基础设施计划为基础,IT管理层应定义技术规范以培养标准化的意识。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层
获得:
与技术基础设施计划编制和监控相联系的政策和程序
高级管理层指导角色和责任
机构目标和长短期计划
IT目标和长短期计划
IT硬件和软件获取计划
技术基础设施计划
技术标准
状况报告和计划编制/指导委员会会议纪要
评估控制:
考虑是否:
为确认被提议的变化首先被检查以评估相关联的成本和风险,为确认高级管理层的批准先于计划的变化被获得,有一个创造并有规律地更新的技术基础设施计划
技术基础设施计划与IT长短期计划相比较
有一个过程来评估机构的当前技术状态,确保环绕诸如系统体系结构、技术方向和移植战略等方面
IT政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求,并且在技术基础设施
计划的开发和维护期间被考虑
技术获取的后勤和环境影响要被计划
IT政策和程序确保选择了系统地评估技术计划意外的需求(也就是基础设施的冗余、恢复力、足够性和发展能力)
IT管理层评估正在出现的技术,并将适当的技术合并到当前的IT基础设施之中对于硬件和软件的获取计划来讲,它是遵从技术基础设施计划中所确定的要求并被适当地批准的实践在技术基础设施计划中所描述的技术组成的技术标准是到位的
评定遵从性:
测试:
IT管理层理解并使用技术基础设施计划
技术基础设施计划上的变化,以确定相关的成本和风险,这些变化要反映在IT 长短期计划的变化中
IT管理层要理解监控和评估正在出现技术的过程,并要将适当的技术合并到当前的IT基础设施之中
IT管理层要理解系统评估技术计划意外的过程(也就是说,基础设施的冗余、恢复力、充足性和发展能力)
为了充分地适应目前的已安装的硬件/软件以及在当前被批准的增加的新的硬件/软件,IT职能部门现有的物理环境
硬件和软件获取计划遵从IT长短期计划,并要反映技术基础设施计划中所确认的需求
技术基础设施计划选择利用当前和将来的技术
技术标准被遵循,并作为开发过程的一部分而被合成一体
被允许的访问与IT政策和程序中所定义的安全等级相一致,到位的访问要经过适当的授权
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的技术基础设施计划编制的基准
针对关键元素的完整性,数据字典的详细评价
为敏感数据而定义的安全等级的详细评价
确定:
信息系统和IT长短期计划相关的信息体系结构模型和企业数据模型、企业数据字
企业数据字典条款和数据语法规则的过时
没有在技术基础设施计划中选择的以外方面
没能反映技术基础设施计划需求的IT硬件和软件的获取计划
与技术标准不一致的技术基础设施计划或IT硬件和软件获取计划
数据字典中丢失的关键元素
没有按照同样标准分类或者没有安全等级的敏感数据
4 定义信息技术的机构及关系(PO4)
控制的IT过程:
定义IT的机构及关系
满足的业务需求:
提供正确的IT服务
实现路线:
定义一个数量上相配、具有角色和职责所要求技能的机构,与业务部门沟通、联合在一起,促进战略的实现,并规定有效的方向和适当的控制
需要考虑的事项:
董事会层面上的IT职责
管理层对于IT的指导和监督
IT与业务的结合
关键决策过程中IT的参与
机构的灵活性
清晰的角色和职责
平衡授权与监督
工作岗位的描述
人员级别和关键的人员
在安全、质量和内部控制功能方面的机构配置
职责的分离
信息规范 IT资源
P 效果 * 人员
S 效率应用
保密技术
完整设施
可用数据
遵从
可靠
4.1 IT 计划或指导委员会
机构的高级管理层应指定一个计划或者指导委员会,来检查IT的职能及其活动。
委员会的会员应包括来自高级管理层、用户管理层和IT职能方面的代表。委员会应实行例会制度,并向高级管理层报告。
4.2 IT 职能的机构设置
在整个机构机构设置IT职能过程中,高级管理层应确保其权力、关键时刻以及与用户部门的独立性到必要的程度,以便在执行时能够保证有效的IT解决方案和充分的进展,并要建立与顶级管理层的伙伴关系,以便在确定和解决IT问题时,能够帮助他们增强意识、理解和技能。
4.3 机构绩效的评价
应设置一个框架来评价机构的机构,以不断地满足目标和变化的环境。
4.4 角色和责任
管理层应确保机构中所有人员都具有并理解他们在相关信息系统中的角色和责任。所有的人员应具有足够的权力来行使分派给他们的角色和责任。角色的设置应考虑适当的职责分离。没有那个人能够控制一个交易或事件的所有关键环节。每个人都应认识到他们在内部控制和安全方面具有一定的责任。因此,应机构并承担起有规律的一些活动,以增强这方面的意识和纪律。
4.5 质量保证的责任
管理层应为IT职能部门的成员分配质量保证职能履行的责任,并确保适当的质量保证、系统、控制和存在于IT职能质量保证小组中的专家们的交流。IT职能内机构的布置以及质量保证小组的职责和规模应满足机构的需求。
4.6 逻辑和物理安全的责任
管理层应为信息安全经理正式地分配确保机构信息资产物理和逻辑安全的责任,并负责向高级管理层报告。最起码,安全管理职责应建立在整个机构范围的层次上,以便能够处理一个机构内的全部安全问题。如果需要,系统细节层次上的附加安全管理责任也应被分配,以应对相关的安全问题。
4.7 所有者和管理者
管理层应正式建立一个指定数据所有者和管理者的结构。他们的角色和责任应清楚地定义。
4.8 数据和系统的所有者
管理层应确保所有信息资产(数据和系统)都已指定了所有者,他们对信息资产的分类和访问权限具有决策的权利。典型地,系统所有者可以将日常管理委派给系统的交付/操作小组,将安全职责委派给安全管理员。然而,所有者仍然要保留对适当安全尺度维护的责任。
4.9 监督
高级管理层应执行适当的IT职能的监督实践,以保证角色和责任被完全地行使,评估所有的个人是否有足够的权力和资源完成他们的角色和职责,并要全面地评价关键的绩效指标。
4.10 职责分离
高级管理层应实施角色和职责的分离,避免单独的个人扰乱某个关键的过程。管理层还应确定每个人仅执行其工作和职位规定的各自的职责。尤其是下列职责之间责任分离的应维护。
信息系统使用
数据录入
计算机操作
网络管理
系统管理
系统开发和维护
变更管理
安全管理
安全审计
4.11 IT 人员配备
员工需求评估应有规律地执行,以保证履行IT职能所需足够数量能胜任的IT员工。员工需求应至少每年评估一次,或根据业务、运作及IT环境的主要变化而执行。评估结果应尽快执行,以确保现在和将来员工的充足。
4.12 IT 员工工作和职位的描述
管理层应确保建立IT员工的职位描述,并有规律地被更新。这些职位描述应清楚地描绘权力和责任两方面,包括相关职位要求的技能和经验的详细说明,并要适合在绩效评估中使用。
4.13 关键的IT 人员
IT管理层应详细说明和识别关键的IT人员。
4.14 与员工签约的政策和程序
为了IT职能部门控制咨询和其它签约个人的活动,确保机构的信息资产处于保护之中,管理层应详细说明和执行相关的政策和程序。
4.15 关系
IT管理层应采取必要的行动,在IT职能部门和其它各种有利害关系的内外部IT 职能部门(即用户、供应商、安全官员、风险管理者)之间,建立并维持一个最佳的协调、交流、联络的结构。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
质量保证官
安全官
IT计划/指导委员会成员、人力资源和高级管理层
获得:
高级管理层计划/指导角色和责任
机构目标和长短期计划
IT目标和长短期计划
展示IT职能部门与及其它职能部门关系的机构机构图
与IT机构和关系相关联的政策和程序
与质量保证相关联的政策和程序
用来决定IT人员需求的政策和程序
IT职能部门的机构机构图
IT职能部门的角色和责任
IT关键位置(工作)的描述
状况报告和计划/指导委员会会议纪要
评估控制:
考虑是否:
来自高级管理层的政策声明和沟通确保IT职能部门的独立和权威
IT计划/指导委员会的成员和职能部门已经被定义,责任已经被确定
IT计划/指导委员会的章程使委员会的目的与机构的目标和长短期计划以及IT的目标和长短期计划联盟
增强确定和解决信息管理问题的意识、理解和技能的过程到位
政策选择了满足正在变化着的目标和环境的机构机构的评估和修改的要求
决定IT职能部门效果和承诺的过程和绩效指标存在
高级管理层要确保角色和责任被执行
勾画机构内所有个人有关信息系统内部控制和安全的角色和责任的政策存在
增加内部控制和安全意识以及纪律的有规律的活动存在
质量保证的职能部门和政策存在
质量保证职能部门要充分地独立于系统开发人员,并要有执行其责任的适当人员和专门技术
确定时间资源并确保质量保证测试的完成以及系统或者系统变化被执行前的审批的质量保证之内的过程要到位
为了安全官的内部控制和安全(逻辑和物理两者)政策和程序的明确表达,管理层应正式地分配机构范围内的责任
安全官的职位的角色和责任的了解被充分地理解,并被证明与机构的信息安全政策一致机构的安全政策清晰地定义每一个信息资产的所有者(如,用户、管理层和安全管理员)被要求执行的信息安全的责任
含盖数据和系统所有者所有主要数据源和系统的政策和程序存在
有规律地评价并维护数据和系统所有者变化的程序存在
描述监督实践,确保角色和责任被适当地行使,并且所有的人员有足够的权威和资源执行其角色和责任的政策和程序存在
下列一对职责要分离:
? 系统开发和维护
? 系统开发和运行
? 系统开发/维护和信息安全
? 运行和数据控制
? 运行和用户
? 运行和信息安全
IT的人员安置和能力被维护,以确保其具有提供有效技术解决方案的能力
IT职位(工作)描述的评估和再评估的政策和程序存在
对于关键的过程,包括系统开发生命周期活动(需求、设计、开发、测试)、信息安全、获取和容量的计划编制,适当的角色和责任存在
在实现机构的目标方面,使用适当和有效的关键绩效指标和/或关键成功因素测量IT职能部门的结果
控制咨询者和其它契约人员活动的IT政策和程序存在,从而确保机构的资产的保护
适用于已签约IT服务的适当性的过程,并要与机构的获取政策一致
调整、沟通和归档IT职能部门高级职员会内外部兴趣的过程存在
评定遵从性:
测试:
IT计划/指导委员会检查IT职能部门及其活动以及解决行动条款
IT职能部门报告层次的适当性
在机构关于为顶级管理层提供合作伙伴关系方面,IT职能部门的位置的有效性高级IT管理层了解用来监控、测量和报告IT职能部门绩效的过程
用来评估绩效的关键指标
当实际结果不能满足目标水平,依照目标水平,决定所采取的校正行动的分析实际结果的过程
为了来自期望的绩效水平的任何重大差异,由管理层所采取的行动
用户/所有者管理层评估IT职能部门提供满足用户/所有者需求的信息技术解决方案的反应速度和能力
IT管理层知道其角色和责任
涉及IT项目计划的测试和审批的质量保证
安全人员评价核心操作系统和应用系统
到位或正在开发的评估信息安全(逻辑和物理两者)的安全职能部门报告或文档的适当性
信息安全政策和程序的充分了解和一致应用
出席信息安全和内部控制培训的人员
对于所有的信息资产,数据和系统所有权被定义
数据和系统所有者审批数据和系统制造的变化
所有的数据和系统具有一个所有者或者管理人,他们负责控制数据和系统的水平所有数据和系统资产的访问由资产的所有者审批
与职位(工作)相联系的权利和监督的直线要与在职者的义务相称
职位(工作)描述清楚地描绘权利和责任两者
职位(工作)描述清楚地描述所需的业务、相关的和技术的资格
职位(工作)已经被精确地沟通,并由个人所理解
IT职能部门的职位(工作)描述包含已经沟通给个人的关键绩效指标
IT职员的义务和责任要对应于已经公布的职位(工作)描述和机构的机构图两者关键职位的职位(工作)描述到位,包括机构关于信息系统、内部控制和安全的训令
职位(工作)描述的精确性要与这些职位在职者的当前责任相比较
遵从IT职能部门内有意的职责分离以及职责限制的种类和范围
IT人员安置的维持能力
作为责任、权利和绩效标准的适当性和透明度的基础,职位(工作)描述的适当性
合同管理的责任分配给了适当的人员
合同的术语与正常的机构合同的标准相一致,标准契约术语和条件已经由法律的律师评价和评估,它们的同意意见要获得
合同包含适当的有关遵从性的条款:法人的安全和内部控制政策、信息技术标准过程和/或结构规定成功关系所必须的有效果和有效率的协调
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的机构和关系的基准决定由无效的IT计划/指导委员会所引起的机构方面影响的详细评价
在处理信息系统问题和执行技术解决方案方面,测量IT职能部门进步的详细评价评估机构的机构、人员和个人能力、分配的角色和责任、数据和系统所有权、监督、职责分离等的详细评价
决定在满足机构需求的有效性方面的质量保证职能部门的详细评价
决定在提供机构范围内信息安全(逻辑和物理两者)和信息安全意识培训有效性方面的安全职能的详
细评价
确定这些合同已经由交易双方适当地执行并且遵从机构的标准合同术语的合同实例的详细评价
确定:
由于IT计划/指导委员会无效监督所引起的IT职能及其活动的弱点
导致IT职能无效果或无效率的机构机构的缝隙、重叠,等等
不适当的机构机构、缺少的职能、不充足的人员、能力不足、不适当的角色和责任、数据和系统所有权的混乱、监督的问题、缺乏职责分离,等等
确实满足质量保证要求的正在开发、修改或者执行的系统
确实满足安全(或者是逻辑的,或者是物理的,或者是两者兼顾)需求的正在开发、修改或者执行的系统
不能满足机构的合同要求的合同
IT职能部门和各种各样其它有兴趣的IT职能部门的内外之间的无效协调和沟通
5 管理信息技术投资(PO5)
控制的IT过程:
管理IT投资
满足的业务需求:
保证资金并控制财务资源的支出
实现路线:
由业务决定的定期投资和运作预算的建立和审批
需要考虑的事项:
资金的选择
清晰的预算所有者
实际支出的控制
成本的合理性和所有者总成本的意识
收益的合理性和收益实现的责任制
技术和应用软件的生命周期
要与企业的业务战略相结合
效果的评估
资产管理
信息规范 IT资源
P 效果 * 人员
P 效率 * 应用
保密 * 技术
完整 * 设施
可用数据
遵从
S 可靠
5.1 年度IT 运营预算
高级管理层应执行预算编制过程,按照机构的长期和短期计划以及IT的长期和短期计划,保证年度IT运作预算的建立和批准。应调查资金的选择。
5.2 成本和收益的监控
管理层应建立成本监测的过程,将实际支出与预算进行比较。此外,由IT活动衍生出来的可能存在的收益应被确定和报告。对于费用监测来讲,实际数据的来源应以机构的会计系统为基础,该系统应例行公事地纪录、处理并报告与IT职能部门的活动相关的成本。对于收益的监测来讲,高层次的绩效指标应被详细地说明,有规率地进行报告并对其适当性进行评价。
5.3 成本和收益的合理性
管理控制应设置到位,以保证IT职能部门交付服务的成本是合理的并符合行业标准。由IT活动衍生出来的收益也应做同样应的分析。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席财务官(CFO)
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层
获得:
与预算和成本核算相联系的机构的政策、方法和程序
与预算和成本核算相联系的IT政策和程序
当前和最近的以前年度IT职能部门的年度运作预算
机构目标和长短期计划
IT目标和长短期计划
高级管理层计划/指导的角色和责任
与差异监控和控制相连接的差异报告及其它沟通
状况报告和计划/指导委员会会议纪要
评估控制:
考虑是否:
IT预算的过程与机构的过程一致
确保与机构的预算、机构的长短期计划、IT长短期计划相一致的年度IT运作预算的准备和适当审批的
政策和程序的到位
预算过程要与在准备阶段起作用的IT职能部门的主要单位的管理层分享
有规律地监控实际成本,并将其与计划的成本相比较的政策和程序要到位,实际的成本是以机构的成
本会计系统为基础的
保证IT职能部门的服务交付具有合理的成本并遵守行业成本的政策和程序到位
评定遵从性:
测试:
在证明IT年度运作计划是合理的方面,IT预算的支持是适当的
IT支出的种类是全面的、适当的并进行了适当的分类
日常记录、处理和报告与IT职能部门活动相联系的成本的系统是适当的
成本监控过程充分地比较实际的预算
由受影响的用户组的管理层、IT职能部门以及机构的高级管理层所进行的成本/
效益分析被充分地评价
用来监控成本的工具是有效的并适当地使用
证实没有满足业务目标的风险:
执行:
依照类似的机构或者适当的国际标准/公认的行业最好实践的预算和成本的基准最近的过去和当前的年度预算,及与之相对的结果、差异和所采取的校正行动的详细评价
确定:
没有按照机构的预算和长短期计划、IT长短期计划懂得IT预算
没有被捕捉到的IT职能部门的实际成本
6 沟通管理的目标和方向(PO6)
控制的IT过程:
沟通管理的目标和方向
满足的业务需求:
确保用户知晓并理解这些目标
实现路线:
建立政策并与用户团体进行交流;此外,需要建立标准,以便将战略性选择转化为实际及便于使用的
用户规则
需要考虑的事项:
清晰统一的使命
连接业务目标的技术方针
行为/道德规范的法规
质量承诺
安全和内部控制政策
安全和内部控制实践
实例引导
持续的沟通程序
提供指导和遵从性检查
信息规范 IT资源
P 效果 * 人员
效率应用
保密技术
完整设施
可用数据
S 遵从
可靠
6.1 积极的信息控制环境
为了给正确的行为提供指导,消除不道德行为的诱惑并严肃纪律,管理层应建立一个全机构范围内培育积极控制环境的框架和认知程序。这些框架和程序应专注于员工的诚信、伦理价值和能力以及管理哲学、操作风格和义务。针对IT的各方面,包括安全和业务持续性计划,要给予具体的考虑。
6.2 管理层在政策方面的责任
对于覆盖总体目标和方针的政策而言,管理层应对政策的阐明、开发、声明、公布和控制承担全部责任。政策适当性的评价应有规率地进行。撰写的政策及其程序的复杂性应总是与机构的规模和管理风格相一致。
6.3 机构政策的沟通
管理层应确保机构政策在机构内的所有层次上被清晰地沟通、理解并被接受。沟通过程应由一套使用灵活多变沟通手段的有效计划所支持。
6.4 政策执行资源
为了政策的执行,为了确保政策的遵循,管理层应对适当的资源做出计划,以使它们构筑到并成为运作的一个完整组成部分。管理层还应监控政策执行的及时性。
6.5 政策的维护
政策应被有规率地调整,以适应变化的条件。政策起码应按年或者根据运行或业务环境的重大变化而进行重新评估,评估它们的充分性和适当性,并做必要的修改。对于定期的评价以及标准、政策、方针和程序的审批,管理层应提供一个框架和过程。
6.6 遵从政策、程序和标准
管理层应确保合适的程序设置到位,以判定每个人是否理解了执行的政策和程序,以及这些程序和政策是否被遵循。伦理道德、安全和内部控制标准的遵从程序应由最高管理层来建立,并由实例来促进其贯彻执行。
6.7 质量义务
管理层应定义、形成文件并维护与企业价值观和政策相一致的质量价值观、政策和目标,这些质量价值观、政策和目标应被IT职能部门的所有层次所理解、执行和维持。
6.8 安全和内部控制框架政策
管理层应对开发并维护框架的政策付全部责任,这个框架设立机构的总体安全和内部控制的方法,以建立并改善IT资源的保护和IT系统的完整。政策应服从总体业务目标,目标是:通过预防性措施、及时辨识不规范行为、限制损失和及时恢复,使风险最小化。这种措施应以成本/收益分析为基础,并应区分优先顺序。另外,管理层应确保这些高层次的安全和内部控制政策详细说明了目的和目标、
管理结构、机构内的适用范围、在所有层次上执行的责任的定义和分配以及对违背安全和内部控制政策行为的处罚的定义。应详细说明框架定期再评估的标准,以对正在变化着的机构、环境和技术需求做出支持响应。
6.9 知识产权
管理层应规定并执行有关自行开发和签约开发软件的知识产权方面的书面政策。
6.10 特定问题政策
措施应设置到位,确保细节问题政策的建立,以便在从事特殊的活动、应用、系统或技术时,归档管理决策。
6.11 IT 安全意识的沟通
应通过一个IT安全意识教程,将IT安全政策沟通给每一个IT用户,并保证对IT 安全重要性的完整理解。
这个教程应传达这样一种信息,那就是IT安全将使它的机构、它的所有雇员受益,每个人对此都负有责任。IT安全意识教程应代表管理层的观点并被他们所支持。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
安全官
IT高级管理层
IT计划/指导委员会成员
获得:
与管理层的积极控制框架、认知程序、安全和内部控制框架、IT质量程序相关的政策和程序
高级管理层的指导角色和责任
机构的目标和长短期计划
IT的目标和长短期计划
状况报告和计划/指导委员会会议纪要
沟通程序
评估控制:
考虑是否:
机构的政策和程序创造了一个框架和程序,给予信息技术以特别的关注,培育一个积极的控制环境,并选择如下的方面:
涉密计算机信息系统的安全审计 来源:CIO时代网 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该
信息系统审计标准 S1-审计章程 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 04 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释 05 对于内部信息系统审计职能,应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化,则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查,以确保(审计的)目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息,应参考下列指南: 信息系统审计指南G5,审计章程 COBIT 框架,监控目标M4 实施日期 09 此ISACA 标准适用于所有信息系统的审计,于2005 年1 月1 日起(之后)实施。 信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以 实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业贡献的基础。信息系统审计标准的框架提供了多层次的指引: 标准为信息系统审计和报告定义了强制性的要求。它们宣告: –根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。 –管理层和其他利益方对执业者在专业工作上的期待。 –认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离 标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及 实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
关于对商业银行开展信息系统审计的思考 现代信息技术已普遍应用于商业银行的所有机构,并涵盖其业务和过程。审计机关目前应用的主要金融审计模式是数据式审计,即对商业银行静态数据进行分析和测试。从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。为有效解决上述问题,审计机关应当尽快对商业银行开展信息系统审计。一、商业银行信息系统的特点、架构与一般业务流程(一)商业银行信息系统的特点现代商业银行的信息系统一般具有下列特点:系统结构复杂,对硬件、软件的质量和安全性能要求高;数据量大(各行数据普遍实行总行大集中);本外币一体化的统一会计核算方式;以客户为中心、面向服务的设计理念;衍生金融新产品多;业务实时性强,支持24小时服务等。目前,商业银行系统中业务网操作系统基本是UNIX操作系统,办公网基本是WINDOWS操作系统,并根据不同类型的操作系统配备相应的客户端防病毒系统;网上银行、电子商务、网上交易系统都是通过INTERNET公网。另外,银行的中间代理业务需要同相关单位的局域网互联。商业银行业务系统基本采用Client/Server模式,并配备相应的备份与灾难恢复系统。(二)商业银行信息系统的框架结构商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。信息管理类系统
与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、授权和授信系统、征信系统、客户管理系统、数据仓库系统、资产负债管理系统、办公自动化系统、后督系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计帐查询系统、信贷审批系统等);电子渠道分为自助服务系统(电话银行、手机银行、网上银行和企业银行)和自助服务终端(ATM和POS);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算结算类系统是指有外部接口的系统,包括行间资金转账系统SHIFT(主要有大额清算系统、小额清算系统、区域性专项业务清算系统)、同城交换系统、央行往来清算系统、同业往来清算系统和第三方存管清算系统。(三)商业银行核心业务系统一般流程商业银行信息系统有业务核心系统和外围系统两部分。业务核心系统主要包括存款系统、贷款系统、国际业务系统、支付清算系统、资金交易系统和衍生业务系统等,其余为外围系统,主要包括内部后台系统和连接外部系统两部分。业务核心系统一般分为基础支持、业务处理和管理分析三个部分,基础支持是指依据核心业务支撑平台(数据逻辑和数据),来完成基本指令(包括账务体系、权限和机构管理等);业务处理是指商业银行各应用系统完成核心业务逻辑,包括相关的各类银行业务(如存款、信贷、结售汇和柜面服务等);管理分析包括会计报表和
审计管理信息系统解决方案
一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展,内部审计已成为现代企业管理的重要组成部分,对完善企业内部自我约束机制,深化企业改革,建立现代企业制度作出了巨大贡献。但是,目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题,主要表如下: 资源压力,效率低下 目前,大多数集团型企业面临多种审计需求,工作量巨大,审计工作面临多组织、多地域问题,难以组织协调,无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一,存在一个组织,多种方法的问题。审计标准不统一,风险难以被有效控制。业务的不断变化,而审计业务没有创新和改变,难以应对变化。 审计能力不能持续提升 审计过程中,不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享,导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案,审计发现问题后,没有有效的监督整改机制。 风险意识薄弱
审计方式以事后审计为主,大多为“补救式”管理,审计质量提升不明显,导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司(以下简称:慧点科技)的审计管理信息系统,为集团型企业的审计部门借助信息化手段,助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能,并且在实施审计项目、进行审计管理的过程中,对相关的审计业务操作与各类管理信息进行过程留痕,使客户能够更加方便的对审计过程中的各类信息进行统计分析,实现审计知识的积累,为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制,建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块,功能和整合能力达到国际领先水平,不仅实现了集团型企业信息化的跨越式发展,为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次,包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面,身份和授权管理贯穿于各个层面, 如下图所示:
能源审计基本知识 第一节能源审计的概念和特点 一、能源审计的概念 根据《企业能源审计技术通则》(GB/T17166—1997)的规定,能源审计是指:审计单位依据国家有关的节能法规和标准,对企业和其他用能单位能源利用的物理过程和财务过程进行的检验、核查和分析评价。 能源审计是对用能单位的能源利用和损失的综合调查,也是对用能单位能源情况进行全面的审查、统计、计量、计策、计算和评审.它是审计单位按照国家的能源政策、能源法规、法令,各种能源标准、技术评价指标,并结合现场设备测试,对企业、地方或部门能源生产、转换和消费的整个物理过程和财务过程进行的检验、核查和分析评价。 根据建设部《国家机关办公建筑和大型公共建筑能源审计导则》的定义,能源审计是指用能单位或主管部门自己或委托专业机构,根据国家有关节能法规和标准,对能源使用的物理过程和财务过程进行检测、核查、分析和评价并提出改进建议的活动。
二、能源审计的特点 不论是《企业能源审计技术通则》(GB/T17166—1997)的定义,还是《国家机关办公建筑和大型公共建筑能源审计导则》的定义,能源审计都具有如下的特点: (1)合法性和科学性。能源审计必须是“依据国家有关的节能法规和标准”进行,以保证审计工作的合法性、科学性; (2)客观性和独立性。能源审计作为审计的一个分支,也是一种科学管理的方法,具有很强的监督和管理作用。审计单位是由节能主管部门授权的、具有合法资格的审计机构,审计单位必须保证其在审计过程中的客观性、中立性、独立性,以确保审计工作的公平、公正。 (3)分项计量和独立核算。“用能单位”是指具有必需的能源计量及进行独立核算的单位,包括能源使用经济性的独立核算。这是进行能源设计的必要条件。 (4)物理过程审计.“物理过程"是指用效率、单耗、能源密度、能力等物理量表示的能源消费指标; (5)财务过程审计。“财务过程”是专指以用能单位经营活动中能源的收入、支出的财务账目
第1页(共3页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制 制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家 的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息 技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素 进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序 是否科学合理,是否受到恰当的控制;
第2页(共3页)二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示 有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模 块结构图中,用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。 二.培训的及要求培训目的 安全生产目标责任书
COBIT信息技术审计指南(34个控制目标) 计划和组织(选择3/6/11) 1 定义战略性的信息技术规划(PO1)PO域 控制的IT过程: 定义战略性的IT规划 满足的业务需求: 既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成 实现路线: 在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项: 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面,企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规 IT资源 P 效果 * 人员 S 效率 * 应用 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应 确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采
用一种结构化的方法,并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计: 获得了解: 访谈:
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水
平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
认证认可基本常识 1、什么是认证? 认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。 2、什么是认可? 认可是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。 3、常见的认证包括哪些? 认证通常分为产品、服务和管理体系认证。大家较为熟悉的CCC认证就是强制性产品认证。而体系认证包括:以ISO9001标准为依据开展的质量管理体系认证;以ISO14001标准为依据开展的环境管理体系认证;以GB/T28001标准为依据开展的职业健康安全管理体系认证;食品安全管理体系认证(HACCP)认证等。还有以体育场所服务标志为依据开展的体育服务认证等。 4、什么是强制性产品认证? 强制性产品认证,又称CCC认证,是中国政府为保护广大消费者的人身健康和安全,保护环境、保护国家安全,依照法律法规实施的一种产品评价制度,它要求产品必须符合国家标准和相关技术规范。强制性产品认证,通过制定强制
性产品认证的产品目录和强制性产品认证实施规则,对列入《目录》中的产品实施强制性的检测和工厂检查。凡列入强制性产品认证目录内的产品,没有获得指定认证机构颁发的认证证书,没有按规定加施认证标志,一律不得出厂、销售、进口或者在其他经营活动中使用。 5、管理体系认证的分类 管理体系认证又分为质量管理体系、环境管理体系,职业健康安全管理体系,测量管理体系,以及良好农业规范(GAP)、良好性规范(GMP)危害分析与关键控制点体系(HACCP)等。 6、产品认证的分类 产品认证分为自愿性产品认证和强制性产品认证两类。 强制性产品认证,又称CCC认证,是中国政府为保护广大消费者的人身健康和安全,保护环境、保护国家安全,依照法律法规实施的一种产品评价制度,它要求产品必须符合国家标准和相关技术规范。强制性产品认证,通过制定强制性产品认证的产品目录和强制性产品认证实施规则,对列入《目录》中的产品实施强制性的检测和工厂检查。凡列入强制性产品认证目录内的产品,没有获得指定认证机构颁发的认证证书,没有按规定加施认证标志,一律不得出厂、销售、进口或者在其他经营活动中使用。
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员职责 1.制定信息安全审计的范围和曰程; 2.管理详尽的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员甶审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计拫告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订 第四条审计计划应包括以下内容:
1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行巨大变更后(如架抅、业务方向等),需要进行一次涵盖所有部门的审计。 第三草安全审计实施 第六条审计的准备 1 .评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: (1)需要访问的人员和调查的问题; (2)需要查看的文档和记录(包括日志); (3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括: 1,评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等); 2.向受审员说明审计通过抽查的方式来进行。
《中华人民共和国节约能源法》全国知识竞赛参考答案 上海节能减排机制法律政策研究中心莫神星 《人民日报》(2008年6月16日14 版) 一、选择题 1.《中华人民共和国节约能源法》(以下简称《节约能源法》)由第十届全国人民代表大会常务委员会第三十次会议修订通过,自_______________起施行。D A.1998年1月1日 B.2007年10月28日 C.2008年1月1日 D.2008年4月1日 2.《节约能源法》所称能源,是指_______________和电力、热力以及其他直接或者通过加工、转换而取得有用能的各种资源。A A.煤炭、石油、天然气、生物质能 B.太阳能、风能 C.煤炭、水电、核能 D.可再生能源和新能源 3.《节约能源法》所指节约能源,是指加强用能管理,采取技术上可行、经济上合理以及环境和社会可以承受的措施,从能源_______________,降低消耗、减少损失和污染物排放、制止浪费,有效、合理地利用能源。 A.生产到使用的各个环节 B.开采到消费的各个环节 C.消费到回收的各个环节 D.生产到消费的各个环节D 4.国家实行有利于节能和环境保护的产业政策,_______________,发展节能环保型产业。 A.鼓励发展重化工业 B.鼓励发展第三产业 C.限制发展高耗能、资源性行业
D.限制发展高耗能、高污染行业D 5.国务院和省、自治区、直辖市人民政府应当加强节能工作,合理调整产业结构、企业结构、产品结构和能源消费结构,推动企业_______________,淘汰落后的生产能力,改进能源的开发、加工、转换、输送、储存和供应,提高能源利用效率。 A.实行节能目标责任制 B.实行节能考核评价制度 C.实行能源效率标识管理 D.降低单位产值能耗和单位产品能耗D 6.国家开展节能宣传和教育,将节能知识纳入国民教育和培训体系,普及节能科学知识,增强全民的节能意识,提倡_______________的消费方式。C A.清洁型 B.循环型 C.节约型 D.环保型 7.节约资源是我国的基本国策。国家实施_______________的能源发展战略。 A.开发为主,合理利用D B.利用为主,加强开发 C.开发与节约并举,把开发放在首位 D.节约与开发并举,把节约放在首位 8.国务院_______________主管全国的节能监督管理工作,国务院有关部门在各自的职责范围内负责节能监督管理工作,并接受国务院管理节能工作的部门的指导。 A.国家能源局 B.国家环境保护部 C.工业信息化部 D.管理节能工作的部门D 9.国务院和县级以上地方各级人民政府每年向本级_______________报告节能工作。 A.人民代表大会或者其常务委员会
基于CobiT的信息系统内部控制及审计 随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率,改进服务。会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,使企业面临着前所未有的信息风险,信息系统的安全、可靠、效率也日益重要。 基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。面对信息系统审计具有的专业性、技术性和复杂性,信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准---CobiT,即信息及相关技术控制目标。这样以CobiT为基础进行信息系统控制和审计成为了可能。 一、信息系统内部控制、审计的理论框架 企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。IT控制所关注的对象是企业IT资产的整个运维状况,它与整个企业的内部控制应该是子集与全集的关系。COSO通常作为企业的整体内部控制框架,CobiT则是通用的IT控制框架。COSO框架已广为人知,在此主要介绍CobiT理论框架。 1、CobiT简介 CobiT---信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来,形成一个三维的体系结构(图1)。其中,信息准则维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面。IT资源维描述了IT治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。IT过程维是对信息及相关资源进行规划与处理的过程,从信息系统生命周期的4个域确定了3 4个信息技术处理过程,每个处理过程包括详细的控制目标(215个)和与控制目标相联系的审计指南。CobiT框架从整体上把企业对IT标准的要求和对IT资源的需求紧密地融入到各个IT过程中。从CobiT的组成成分来看,不仅有管理指南,更有审计指南和具体的控制目标。管理指南提供了管理工具,对IT业务活动进行有效控制,以使IT与业务活动保持一致,并通过传送组织所需信息而使业务活动得以进行。管理指南给出了度量信息系统全生命周期各过程安全、可
商业银行信息系统审计 [摘要]巴塞尔委员会指定的《有效银行监管的核心原则》指出:“银行监管体系应包括某种形式的现场和非现场监督”。因此,依靠信息系统审计实现现场与非现场相结合的内部审计体系,是商业银行提高内部审计,内部控制质量和效率的必然选择。 [关键词]信息系统审计;商业银行;信息化 在信息化大潮中,信息技术不断改变人们工作生活的行为方式和思维方式。现代信息技术已经在各行各业及其机构和业务中普遍开来,因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。传统审计暴露出了很大的弊端,已不能满足人们的需求,不能适应新形势的发展需要,这就使得信息系统审计在商业银行中的应用成为必然。 一、信息系统审计的概念及其对商业银行审计的影响 1985年日本通产省情报处理开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为核心的信息系统进行综合的检查、评价, 向有关人员提出问题与劝告, 追求系统的有效利用和故障排除, 使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源”。这一定义既包括信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证, 又包含内部审计的管理目标) ) ) 即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。 审计是在信息系统下执行财务会计报表审计,并不改变审计的总体目标和范围。但是,计算机的使用改变了财务资料的处理和存储,并可能影响被审计银行为达到适当的内部控制而采用的组织和程序。 1.对审计对象的载体产生的影响。在手工操作下,作为审计对象的载体是
广东环境保护工程职业学院Guangdong Vocational College of Environmental Protection Engineering 能源审计报告 Energy Audit Report 2014年12月31日 仲彪节能科技有限公司
目录 第一章能源审计概况...................................................................... - 1 - 1.1 审计目的............................................................................. - 1 - 1.2 审计依据............................................................................. - 2 - 1.3 审计内容............................................................................. - 3 - 1.4 审计团队............................................................................. - 4 -第二章建筑及用能系统概况 ............................................................ - 1 - 2.1建筑概况 ............................................................................. - 1 - 2.2用能系统情况 ....................................................................... - 1 - 2.3主要用能设备清单................................................................. - 1 - 2.4用电分项计量监测系统........................................................... - 2 -第三章建筑物能源管理................................................................... - 3 - 3.1建筑物能源管理机构.............................................................. - 3 - 3.2建筑物能源管理现状.............................................................. - 3 -第四章建筑能耗分析 ....................................................................... - 1 - 4.1能耗评价指标的构成简介.................................. 错误!未定义书签。 4.2基于现场巡视和文件审查的节能评价........................................ - 1 - 4.3基于能源账单数据的分析.................................. 错误!未定义书签。 4.3.1建筑能耗总量情况......................................................... - 1 - 4.3.2常规能耗、特殊区域能耗和水耗指标.......... 错误!未定义书签。 4.3.3能源费账单分析...................................... 错误!未定义书签。
目前商业银行审计需解决的几个难点问题 近年来,随着商业银行审计由财务收支审计发展到“风险、管理、效益”审计,实际工作中遇到许多难点问题,需要加以研究和解决。 一、商业银行审计需解决的难点问题 (一)商业银行案件频发,审计力量不足,审计风险不断加大 一方面,商业银行案件频发,经营风险巨大。商业银行与社会各领域联系广泛,是一个高风险的行业。近年来在审计中发现,不法分子时刻关注商业银行管理漏洞进行金融诈骗活动,或与银行员工内外勾结联手作案,如诈骗贷款、挪用客户存款和伪造票据等重大案件时有发生。在审计工作中,尽管审计人员实施了必要的审计程序和审计方法,但仍然存在较大的审计风险。另一方面,审计机关整体力量不足,审计时间有限,违规问题未能发现和披露的潜在风险较大。一般对省级分行系统审计由十几名审计人员在几个月时间内完成,面对商业银行众多的分支机构、大量数据和资料,存在应发现而未发现重大违法违纪问题或典型性、倾向性问题的情况,使商业银行审计面临较大风险。 (二)商业银行业务复杂,不断扩展和创新,给审计工作带来新的挑战 近年来,对商业银行审计采取轮流的方式进行,几年循环一次,审计人员很难全面掌握各商业银行内部经营管理等情况。加之商业银行
不断推出新业务,现有审计人员专业素质、知识结构不能完全适应审计发展的需要。目前,审计机关中既有较高的金融知识水平,又有多年金融审计工作经验的人员所占比例很小。部分从事金融审计的人员,虽然具有长期从事金融审计工作的经验,但对金融新业务了解不多,只能对商业银行财务收支或原有业务进行审计,对其不断出现的新业务无法开展审计。 (三)审计技术方法滞后于金融业信息化的步伐,难以满足审计发展的需要 商业银行审计的目标是防范风险、促进管理、提高效益,要实现这一目标,就需要审计人员对商业银行进行全面了解和审计,做出客观公正的评价。而面对商业银行庞大的金融数据,传统的审计方法已经不能适应信息化审计发展的需求。目前,虽然开展了计算机辅助审计,但审计软件技术开发很慢,同商业银行的数据接口没有实现,对后台数据的下载速度慢,影响了审计的效率。在实际工作中,由于商业银行机构庞大、点多面广,审计机关不能对其进行全面审计,只能选择部分分支机构进行抽查,且在审计中,判断抽样贯穿审计过程的始终,这样就可能以偏概全,做出错误的审计评价。如,在审计报告中,对商业银行某项业务或某一方面工作进行审计评价时,很难做出“符合”、“基本符合”、“不符合”的评价。即使是“基本符合”的评价,也存在较大的审计风险。 (四)商业银行与审计机关信息不对称,且存在向审计机关提供虚假信息的问题
《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》,本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统,充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容,给用户提供丰富、完整、方便的功能,正确处理企业日常工作中的各种常规事务,如收文、发文、信息管理、信访管理、档案管理等,通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程,提高办公效率,保证日常工作高效、规范的进行,实现无纸化办公。 本系统主要以审计项目的实施与管理为核心,同时提供人事管理和各科室之间的信息交换功能,方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台,能适应用户在不同环境和条件下的需求,有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件,稍加改进即可与其他企事业单位自身组织机构相配置,用户单位无需更改现有组织机构,可快速部署整个系统,迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动,操作员单击[开始]→[程序]→[Lotus 应用程序]→[Lotus Notes],系统会出现一对话框(如图2-1),输入正确的口令,系统就会进入审计信息管理系统主界面。 图2-1
如果操作员要选择其它的人员的ID(即以其他人员的身份登录,前提是直到其他人员的密码),操作员可单击[取消],系统会弹出(如图2-2)的对话框,操作员从中挑选需要的ID,再输入正确的口令,系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes,《审计信息管理系统》的主界面(如图2-3)自动作为缺省首页出现。主界面上有8个标题,分别是打开以下8个功能模块的链接:人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统,用户只需单[退出]即可。
能源管理体系基础知识 1、依据GB/T19011-2013标准中( A )的要求,应为每次审核确定审核目标、范围和准则5.1 A.审核方案 B审核计划 C审核报告 D审核实施 2、依据GB/T19011-2013标准的要求,针对向导和观察员,以下错误的是( D )6.4.5 A.他们可以陪同审核组 B.他们不应影响或干扰审核的进行 C.审核组长有权拒绝观察员参加特定的审核活动 D.他们可以代表受审核方对审核进行见证 3、根据GB/T19011-2013标准的要求,风险是指(C)3.16 A.审核不规范给认证机构可能带来的信誉和经济上的损失 B.审核过程中审核员可能受到的意外伤害 C.不确定性对目标的影响 D.审核通不过可能给申请认证的组织带来的损失 4、能源管理过程中PDCA中的“C”可以理解为(D)引言 A.实施能源评审 B.实行能源管理实施方案 C.改进能源管理体系 D.对运行的关键特性和过程继续监视和测量 5、对能源基准理解错误的是(B)3.6 A.反映的是特定时间段的能源状况 B.定量或不定量 C.采用影响能源使用、能源消耗的变量来规范 D.能源绩效改进方案实施前后的参照来计算节能量 6、能源消耗的含义是(A)3.7 A.使用能源的量 B.由组织确定,可量化能源绩效的数值或量度 C.与能源供应、能源利用有关的活动及其结果 D.使用能源的方式 7、能源绩效参数的含义是(B)3.13 A.使用能源的量 B.由组织确定,可量化能源绩效的数值或量度 C.与能源供应,能源利用有关的活动及其结果 D.使用能源的方式 8.能源服务的含义是(C)3.16 A.使用能源的量 B.由组织确定,可量化能源绩效的数值或量度 C.与能源供应、能源利用有关的活动及其结果 D.使用能源的方式 9.能源使用的含义是(D)3.18 A. 使用能源的量 B. 由组织确定,可量化能源绩效的数值或量度 C. 与能源供应、能源利用有关的活动及其结果 D.使用能源的方式和种类 10.(A)负责确定能源管理体系的范围和边界4.2.1 A.最高管理者 B.管理者代表 C.当地政府 D.以上都对 11.依据CNAS-CC01:2011,以下哪项不属于认证机构对客户做出的与认证有关的决定(D)5.1.3 A.授予证书 B.保持证书 C.更新、扩大、缩小、暂停和撤销证书 D.特殊审核通知 12.第三方认证,监督审核的目的(A) A.是确定体系是否持续满足要求,是否保持认证注册 B.是确定是否采取纠正措施、预防措施