iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 15
0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 15

[Day 15] 稽核技巧 (Audit sampling)

  • 分享至 

  • xImage
  •  

前言

稽核程序中,如何查出問題有執行上的技巧

首先確認本次稽核的目標

  • 符合性測試: 合法合規
    • 用戶訪問權限、變更控制
  • 實質性測試: 數據正確性
    • 交易清單

查核期間因為數量很多,會採用抽樣(Audit sampling)的方式
https://ithelp.ithome.com.tw/upload/images/20191001/20077752tGPNHGVQiO.png


抽樣通常優先考慮風險較高、重點專案、金額較高的項目

抽樣方法 Sampling Methodology

  1. 符合性測試 Compliance testing
    評估控制措施在預防或檢測和糾正重大缺陷方面的操作有效性的審核程序

  2. 實質性測試 Substantive testing
    實質性測試證實了實際處理的完整性,例如財務報表上的餘額。

統計抽樣
依照統計學方式,以達到較客觀的方式
  1. 計算抽樣量
  2. 選擇樣本項目
  3. 評估樣本結果並推論
非統計抽樣
按照稽核員自己經驗判斷進行樣本設計和實施抽樣的技術

屬性抽樣(Attribute sampling)
三種類型

  1. 發現抽樣(Discovery Sampling)
    用於查找重大舞弊事件或極少出現的例外事件。

  2. 屬性抽樣(Attribute sampling/frequency-estimating sampling)
    為了測定總體特性的發生頻率而採用的一種方法。

  3. 停-走抽樣(Stop-or-go sampling)
    目的為減少抽樣樣本數來避免過度抽樣,先一定量的樣本進行審查,如果結果可以接受,就停止抽樣得出結論,如果結果不能接受,就擴大樣本量繼續審查直至得出結論

變量抽樣(Variable sampling)

  1. 分層抽樣法(Stratified mean per unit)
    分組抽樣

  2. 不分層抽樣法(Unstratified mean per unit)
    樣本均值

  3. 差異估計抽樣法(Difference estimation)
    前後樣本差異值


上一篇
[Day 14] 業務流程應用與控制 (ICS)
下一篇
[Day 16] 稽核技巧 (Interviewing)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言