iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 19
0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 19

[Day 19] 稽核技巧 (CAATs)

  • 分享至 

  • xImage
  •  

電腦輔助稽核技術 Computer-assisted audit techniques(CAAT)
應用電腦來進行稽核程序的自動化,蒐集和分析數據的工具。可達到提高稽核效率、持續監控、舞弊偵測、法規遵循(ACL運用)、資料安全(唯讀)、容易與其他團隊合作

https://ithelp.ithome.com.tw/upload/images/20191004/20077752CvDIuBUlxl.png


CAAT包括工具和技術、通用審計軟體(GAS)、工具軟體、掃描軟體、測試數據、應用軟體跟蹤、專家系統

通用審計軟體 (Generalized Audit Software)

文件存取、文件重組、數據選擇、統計功能、算術功能
ACL,IDEA,Excel

工具軟體

資料庫管理 : dBASE, Paradox
滲透測試
代碼掃描
分析審查程序
符合性測試

持續審計監控

https://ithelp.ithome.com.tw/upload/images/20210122/200777527XOVeIAQIQ.jpg
圖片來源:https://www.journalofaccountancy.com/issues/2017/mar/continuous-auditing.html

可以用來避免詐欺、監控權限、落實SoD,監控用戶活動,在處理大量交易的time-sharing 環境時有效提高系統安全性,雖然有自動化工具,但仍需要稽核員持續驗證,是需要花更多人力。

1.Systems Control Audit Review File and Embedded Audit Modules (SCARF/EAM):嵌入程式,監控程序
2.快照
3.Audit hooks:特定條件觸發
4.Integrated Test Facilities (ITF):測試與實時數據
5.Continuous and Intermittent Simulation (CIS):輸入交易時,模擬是否合於標準,符合才可通過 ex.交易記錄

類型 | SCARF | 快照 | Audit hooks | ITF | CIS
------------- | -------------| -------------| -------------| -------------
難度 | 很高 | 中 | 低 | 高 | 中
場合 | 無法中斷處理 | 需要審計軌跡 | 檢查特定交易 | 難以使用測試數據 | 衡量標準交易

持續監控

防毒
IDS

電腦輔助稽核技術的其他用途

電子工作底稿 : 以電子方式規範的審計形式和格式,這樣可以提高質量和審計工作底稿的一致性
舞弊偵測 : 識別數據可能存在欺詐意外或不明原因的模式
分析測試 : 通過學習財務和非財務數據之間的合理關係


上一篇
[Day 18] 稽核技巧 (Checklist)
下一篇
[Day 20] 稽核報告 (Report)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言