IT内审IT审计IT内控问卷中英文版.docx
《IT内审IT审计IT内控问卷中英文版.docx》由会员分享,可在线阅读,更多相关《IT内审IT审计IT内控问卷中英文版.docx(34页珍藏版)》请在冰豆网上搜索。
IT内审IT审计IT内控问卷中英文版
InformationTechnologyAudit
IT审核
InternalControlQuestionnaire
ForInformationTechnology(“IT”)
IT内控问卷
Company:
_____________Date:
____
Completedby:
_Signature:
_________________
[Name,titleanddepartment]
Pleasecompletethisquestionnaire(inEnglishorChinese)accordingtothefollowinginstructions:
∙Answeralltheyes/noquestionsbymarkinga“x”inthecolumnof“Yes”,“No”or“N/A”;
∙Writethecommentsoradditionalinformationaccordingtotheinstruction(initalic)ofeachquestioninthecolumnof“Comments”;and
∙Attachreferencedocumentsinsoftorhardcopiesandwritetheirnamesinthecolumnof“Namesofdocumentsattached”.
Questions
Yes
No
N/A
Comments
Nameofdocumentsattached
A
ITenvironmentIT环境
1
Isaccesstosystemprogramlibraries,applicationsystemdocumentation,testfiles,etcrestrictedtoauthorizedpersonnel?
是否访问系统程序数据库、应用系统文档、测试文件,等,是否仅限于授权人访问?
Statetheauthorizedpersonnelforsystemprogramlibraries,applicationsystemdocumentation,testfiles,etc.请列出程序数据库、应用系统文件,测试文件,等等的授权个人
Statethemajorsystemsusedinyourcompany.请列出贵公司使用的主要系统
2
Areallprogramsandsystemsandtheirchangessufficientlydocumentsforpropermaintenance?
所有程序和系统及他们的改变是否有足够的文档用于正常维护?
3
Areallchangestoprogramsandsystemdesignproperlyapproved?
所有针对程序和系统设计上的变化是否有严格的批核?
Describetheapprovalprocessforchangestoprogramsandsystemdesign.请描述有关程序和系统设计变化上的批核程序
4
Arechangestoprogramsandsystemdesignreviewedonatimelybasisbyaresponsibleindividualforimproperchanges?
所有程序和系统设计上的变化是否有相关负责人就不适当的变化进行及时地审查?
Statewhoisresponsibleforreviewingchangestoprogramsandsystemdesign.请列明负责审查程序和系统设计的负责人
5
Areusersconsultedonallnewsystemprogrammingorrevisionstoexistingprogrammingregardinguserneeds,layout,testdata,etc?
所有的新系统程序或者关于用户需要,设计,测试数据等等的针对现有程序的修正是否有与用户商议过?
Statethemajorchannelsofconsultationandtheireffectiveness.列明商议的主要渠道和他们的效果
6
Areallnewsystemsorsystemrevisionsrunside-by-sidewithexistingsystemsorextensivelytestedwithrealistictestdatapriortotheirexclusiveusefortransactionprocessing?
所有的新系统或者系统修正与现有系统一起运行,或者被广泛用实际的测试数据测试,优先于他们在事务处理上的专门用途。
7
Iscurrentcomputercapacityandresponsetimeperiodicallyreviewedforadequacyagainstpresentandexpectedfutureneeds?
是否有周期性地检查当前电脑的能力和反应时间是否有能充分地和满足目前和未来预期需要?
Statethefrequencyofreview.Provideareport/recordofthemostrecentreview.列出检查的频率。
提供一份最近期的检查报告/记录
8
IsIThardwarephysicallysecured(fromfire,floodandotherhazards)andaccessrestrictedtoauthorizedpersonnelviacard,keys,lockeddoors,etc?
IT硬件的物理可靠性和访问限止是否通过卡片,钥匙授权给指定的授权人员。
9
Areusers'PCprotectedfromunwarrantedexposuretotheft?
所有用户的电脑是否受到免于被剽窃者非法暴光的保护?
StatetheinternalcontrolsforthephysicalsecurityofPC.列出关于个人电脑的物理安全上的内部管控
10
Areadequateinternalcontrolstopreventemployeesfromusing/copyingillegalsoftware?
是否有足够的控制,预防止员工使用/复制非法软件?
Statetherelevantinternalcontrols.列出相关的内部管控
11
DoestheITDepartmentconductperiodicreviewofITsecurityandcommunicatetheresultstothemanagement?
IT部是否有执行周期性的IT安全检查,且将结果传给管理部门
Statethefrequencyofreviewandprovideacopyoftherecentreviewreport/record.列出检查的频率和提供一份近期的检查报告/记录
12
ArerolesandresponsibilitiesoftheITorganizationdefined,documentedandunderstood?
IT部的角色和职责是否有被定义,文件化和理解?
13
HasITmanagementcommunicatedpoliciesandproceduresgoverningtheITorganization'sactivitiestoallrelevantparties?
IT管理是否已传达有关监管IT部与所有相关方的政策和流程?
B
Computeraccesssecurity电脑访问安全
1
Isaccesstocomputerterminalsandequipmentlimitedtoauthorizedpersonnel?
访问电脑终端和设备是否限制于授权人员?
2
Doproceduresexistandaretheyfollowedtoensurethatallusersareauthenticatedtothesystemtosupportthevalidityoftransactions?
否存在这样的流程?
他们用于确保所有用户被用于支持处理有效性的系统鉴定的流程?
Statethenamesanddocumentnumbersoftheprocedures.列出流程的名称和文件序号
3
Doproceduresexistandaretheyfollowedtoensuretimelyactionrelatingtorequesting,establishing,issuing,suspendingandclosinguseraccounts?
是否存在这样的流程?
他们用于保证对要求、建立、发放、中止和关闭用户帐号作出及时的反映的流程?
Statethenamesanddocumentnumbersoftheprocedures.列出流程的名称和文件序号
4
Doesaformalapprovalprocessexistforgrantingaccesstosystemsanddata?
是否存在一个允许进入系统和数据库的正式的确认流程?
Brieflydescribetheapprovalprocess.简单描述确认流程
5
Isthereaprocesstoperiodicallyreviewaccessrights?
是否有一个周期性审查访问权限的流程?
Brieflydescribethereviewprocessincludingthefrequencyandscopeofreview.简单描述包括频率和范围在内的审查流程
6
Areprocessesinplacetoensurealldevices:
includingservers,mainframehardware,routersandswitchesareproperlyconfiguredtopreventunauthorizedaccess?
是否确保所有装置到位?
包括服务器,主机架硬件,路由器和转换器是否正常地装备以防止非法入侵?
7
Aresecurityviolationsandotherincidents(inallsystemsincludingOracle)automaticallyloggedandreviewed?
安全违规和其它意外事件(包括Oracle在内的所有系统)是否能自动记录和审查?
8
Arethecurrentcomputeraccesssecuritycontrolsadequate?
Ifsomepasswordsofsystems(suchastheOraclesystem)aresharedbyusers,statethecompensatingcontrolstominimizetheriskofunauthorizedaccess.当目前电脑的访问安全控制是否充足?
如果一些系统的密码(例如Oracle系统)被用户分享,请列出用于减小非法入侵的补偿性管控
C
Networksecurity互联网安全
1
Issensitiveandconfidentialdataonnetworks,personnelcomputersandbackuptapes/disksprotectedbyrestrictedaccessorothercontrols?
是否有对网络、用户电脑和备份磁带/磁盘中的敏感的和机密的数据进行限制访问或者其它控制。
Brieflydescribethecontrols.简述管控
1,
2
Haveproceduresbeenestablishedtocheckalldisks,filesattachedtoemail,anddownloadedsoftwareforcomputerviruses?
是否有建立起检测所有为防电脑病毒的与电邮、下载软件相关的磁盘、文件的程序?
Brieflydescribetheprocedures.简述流程
3
Doappropriatecontrols,includingfirewalls,intrusiondetectionandvulnerabilityassessmentsexistandaretheyusedtopreventunauthorizedaccess?
是否有包括防火墙,入侵检测和弱性评估上的合适管控?
并且它们是用于阻止非授权入侵的?
Statethecontrolsused.列出所使用的管控
4
Haveallunnecessaryservicesandpartsbeendisabledonalldevicesconnectedtothenetwork?
所有不必要的服务和部分在与网络有关的所有设施上是否被禁用?
D
BackupandITdisasterrecovery备份和IT灾难修复
1
Havethesystemsbeenprioritizedforback-upandrecoverypurposes?
系统是否有备份和修复目的上的优先?
Areback-upprocessesperformedonascheduledbasis?
备份程序是否在一定的排期上执行的?
Providethescheduleforbackup.请提供备份排期
2
Arebackupfilesofalloperational/financialdata,systemprograms,andotherirreplaceablefileskeptoff-siteorinareasecurefromfireandotherdamage?
是否有关于所有操作性/财务数据,系统程序,和其它保持界外或现场防火安全和避免其它损坏的不可替换文件上的备份文件?
Statethelocationforkeepingthebackupfiles.列明保留备份文件的位置
3
DoesaBusinessContinuationPlanexistwhichidentifiescriticalactivities,containsplansforcontinuedoperationsforshortandlongtermemergenciesandidentificationofbackupfiles,programs,documentationandalternativeprocessingsites?
是否存在一份应对紧急情况(包括长短期的突发事件和备份文件、程序、可转换处理点证明的持续作业计划)的业务持续计划
Provideacopyofthebusinesscontinuationplan.提供一份IT灾难修复计划
4
IsthereanITdisasterrecoveryplanwhichalignswiththeoverallbusinesscontinuityplan?
是否有与总体业务持续计划相关联的IT灾难修复计划?
ProvideacopyoftheITdisasterrecoveryplan.提供一份IT灾难修复计划的副本
5
IsitensuredthattheITdisasterrecoveryplanisadequatelytested,atleastannually,andthatanydeficienciesarecorrected?
IT灾难修复计划是否确保有充分测验过,或者至少每年一次,及任何缺陷可以纠正的?
StatethefrequencyoftestingfortheITdisasterrecoveryplan.列出为IT灾难修复计划而进行的测试频率
E
Managementofthirdpartyservices(PleasecompletethispartifthirdpartyITservicesareusedinthecompany)第三方服务管理(请完成此部分,如果公司有用到第三方IT服务)
1
Haveservicelevelagreements(SLAs)beencreatedandagreeduponbytheITDepartmentandusersfortheavailability,performance,andcapacityoftheapplicationenvironment?
是否有由IT部门和用户基于实用、职能和应用环境能力而生成和许可的服务等级协议)。
Providealistofinformation(includingagreementdates,servicesprovided,nameofserviceproviders,etc)alltheservicelevelagreements.提供一份信息清单(包括协议日期,所提供的服务,服务提供者名字,等等)
2
Areservicelevelagreements(SLAs)usedformonitoringthedatabaseperformance?
(是否有用于监测数据库职能的服务等级协议)
3
HavenetworkdatatransmissionsecuritystandardsbeenadheredtoandapprovedbytheITsecurityteam?
(网络数据传送安全标准是否有经由IT安全小组批核)
F
Input/outputcontrols信息输入/输出管控
1
Arethereadequatecontrolstoensurethatallinputdataisprocessedtimelyandcompletelybythesystems(eg,sequentialbatchnumbers,batchtotals,documentcounts,reasonablenesstests,hashtotals,checkfigures,etc)?
(是否有足够的控制来确保所有的数据录入按流程及时完整地通过系统进行,例如:
充足的批次数,分批序列总,文件计数,合理性测试,数字总和,检查数据,等等)
2
Areproceduresadequatetoensurethatallrequiredoutputreportsaredeliveredonatimelybasis(eg,reportlogorschedule)?
(程序是否足以确保所有要求的输出报告能够传准确传达,例如,报告日志或者进度表)
3
Areproceduresinplacetoensurethatconfidentialorproprietyoutputisdeliveredonlytoauthorizedpersonnel?
(这些程序是否适当,能确保机密的或者适当的信息输出仅仅只传达给被受权的个人)
Describetheproceduresforeachsystem.(简单描述一下各系统的程序)
4
Isthereamechanismtoensuretheprocessownersandtheirsubordinatescompliedwithallestablishedpoliciesandproceduresofthecompany?
(是否有一套机制来确保流程所有人及其下属依照公司所有政策和流程来做事)
Brieflydescribethemechanism.(简单描述此机制)
1,