基于风险的审计方法:审计阶段

日期: 2010-06-17 作者:Marcos Christodonte II翻译:Sean 来源:TechTarget中国 英文

建立基于风险的审计方法:包含六个阶段的过程   每年在确定风险和风险排名、建立审计计划之后,审计团队就可以“卷起袖子”,开始审计活动了。审计过程分成不同的阶段,以风险为基础可分为六个阶段,其中包括准备、评估、风险减轻、报告以及后续阶段。每个阶段现阐述如下:   准备阶段   准备阶段包括审计计划开始之前的个人参与安排。在这个阶段中,审计团队重新审视之前的工作文档、风险评估发现,并且确定个人参与的范围和目标。

审计团队将听取管理层以及操作人员的意见,然后跟他们的评估结果相比较。审计团队的工作重点是理解公司的业务目标和功能,以便做出最明智的评估。   评估阶段   评估阶段包括分析系统和过程、确定漏……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

建立基于风险的审计方法:包含六个阶段的过程

  每年在确定风险和风险排名、建立审计计划之后,审计团队就可以“卷起袖子”,开始审计活动了。审计过程分成不同的阶段,以风险为基础可分为六个阶段,其中包括准备、评估、风险减轻、报告以及后续阶段。每个阶段现阐述如下:

  准备阶段

  准备阶段包括审计计划开始之前的个人参与安排。在这个阶段中,审计团队重新审视之前的工作文档、风险评估发现,并且确定个人参与的范围和目标。审计团队将听取管理层以及操作人员的意见,然后跟他们的评估结果相比较。审计团队的工作重点是理解公司的业务目标和功能,以便做出最明智的评估。

  评估阶段

  评估阶段包括分析系统和过程、确定漏洞并记录顾虑。在这个阶段中,审计人员可能会使用一个清单,但是主要依靠经验和判断来解释结果,并确定那些不太明显的异常现象。在这个阶段中,与操作人员协作来验证风险的严重性非常重要。某些“教科书”式的发现第一眼看起来似乎挺严重,但是却有着存在的充分理由(比如某些应用程序就需要特殊的操作要求)。因此,在把风险写进最后报告造成不必要的混乱之前,验证某些审计结果是否属实非常重要。

  根据被审计系统、网络、或者过程的不同,必须要有些基础控制,以便评估的时候可以作为参考标准。比如,SANS研究所就列出了一份具有优先级的基础安全控制和措施清单。这些控制是由SANS公司联合美国联邦机构、民间渗透测试人员以及法律专家一起制定出来的,一些控制包括详细记录授权的以及未授权的设备、边界防护、应用程序安全、恶意软件防护、数据丢失防护、账户控制、无线控制以及数据恢复能力等。除了审计需要参考的基础控制以外,确保有到位的、能够保证业务功能正常的控制也很重要。

  风险减轻阶段

  风险减轻阶段包括采用合适的控制,以减轻风险。这个过程包括与公司沟通各种要求并建立风险减轻计划。有些控制的实施时间可能长达几周或者几个月,而有些则可以当场调整。这个阶段需要记录下可能的控制,以及操作人员为减轻风险而当场采取的行动。

  报告阶段

  在报告阶段,审计团队给管理层提供一份全面的报告,概述其调查结果。审计团队将分享风险减轻计划(正在进行的控制),并列出最重要的发现。这个阶段需要建立一个执行摘要,记录各种关键信息,以便管理人员做安全决策。执行摘要是高级别的概述,“简洁明了”地解释了企业的安全情况以及需要加强控制的后续步骤。

  后续阶段

  在后续阶段中,审计团队与公司进行协作,确保公司实施各种控制。在资源有限的环境中,公司可能缺少实施某些控制机制的技能。因此,审计人员要提供各种控制的深入见解,继续跟进各种控制,以确保他们得到实施。对于审计团队来说,跟踪过期的或者即将来临的风险减轻控制的实施过程很重要。审计团队应该建立一套含有清晰易懂图表的跟踪系统,用来显示各种控制的实施状态以及它们的期限。

  基于风险的审计方法:风险评估

  基于风险的审计方法:模拟案例研究

翻译

Sean
Sean

相关推荐

  • 基于风险的审计方法:模拟案例研究

    从风险评估以及风险排名过程,一直到评估和报告发现,重要的是要采取着重实现业务目标的风险基础态度。这个模型可以重塑并不断发展……

  • 基于风险的审计方法:风险评估

    “基于风险的审计”这个话题涉及的范围很广泛,它可以应用到许多领域,比如金融以及信息技术(IT)等。本文将从企业IT的角度来介绍基于风险的审计。