应用GAIT方法_原创文档.pdf

应用GAIT方法

为了帮助你应用GAIT,这一部分分为下表5中的几个部分。

表1:应用GAIT

标题内容参见

GAIT简介GAIT方法的实质下文

记录GAIT结果如何记录GAIT结果第1页

制定GAIT如何为组织制定GAIT第2页

组成GAIT评估团队应用GAIT需要哪些小组成员第2页

GAIT方法的步骤应用GAIT方法的每一个步第2页

骤

GAIT简介

GAIT方法检查财务上重要的所有应用程序，以确定每一层中的ITGC过程的

故障是否会威胁到应用程序关键功能的持续运作。一旦发生故障，GAIT将仔细

识别ITGC过程风险和相关的ITGC控制目标，这些目标完成时，可以降低风险。

COBIT和其他方法能够识别关键控制点，以确定ITGC控制目标。

总之，GAIT方法通过依次询问以下三个问题来指导读者：

1．哪些具有财务重要性的应用程序的信息技术功能,对于防止/发现重大错

报的企业流程关键控制的正常运作是重要的（例如，关键的信息技术功能是什么）

2．对每一层的IT过程来讲，是否有这样一种可能性，即一个进程故障会引

起关键功能的失败——间接地表现为重大错报风险（例如，如果某一层上的进程

发生故障，会对关键功能上产生什么影响它会引起功能失效，以至于有重大错报

风险的可能吗）

3．如果这样的ITGC过程风险存在，相关的信息技术控制目标是什么（例如，

为了确保关键功能的实现，需要达到哪些信息技术控制目标）

例如

·风险（在应用层的变更管理过程中）：未测试的应用程序变化会导致关键

功能失效。

·控制目标：所有程序变更都要进行适当的测试，并且在运行前对测试结果

进行检验和审批。

·关键控制点：

·程序变更的测试在一个独立的测试环境下进行。

·所有测试结果由一名经理检验和审批

·对所有较大的变更进行使用者测试，且测试结果由一名经理审批。

·由高级IT管理者对突发变更进行检验和审批。

记录GAIT结果

本文提供了两种记录GAIT结果的方法：如下所述的GAIT矩阵和GAIT模板

（参见错误!未定义书签。页的“GAIT模板”）。然而，不管选择哪种方法，应该

详细记录GAIT结果，以使检查者理解形成该结果的基本原理。

GAIT矩阵（见下表6）描述了这个方法，记录具有财务重要性的应用程序的

结果。你可以在每个空格中记录对某一层的企业流程关键功能是否存在风险的评

估，并识别相关的IT控制目标。

表2:空白GAIT矩阵

层面变更管理操作安全

应用层

数据层

操作系统

网络基础

制定GAIT

GAIT是灵活的。使用者可以根据专业术语的含义和IT控制框架制定步骤。

尤其是，使用者可以在GAIT矩阵的堆栈中使用自己对ITGC过程和标准的定义—

—如添加使用者访问和特权访问到现有的变动管理，运作，安全中。有关堆栈的

更多信息，参见“原则3”。

组成GAIT评估小组

经验表明，企业使用者通常不能完全理解屏幕上的IT功能及他们使用的报

告，并且IT专家也不能完全理解企业流程及其基础。GAIT评估应当由一个具备

企业和IT知识的内部控制专家组成的小组进行。

GAIT起初是由商务专家执行的自上而下的、基于风险的一种方法。GAIT基

于对关键IT功能的理解，依靠这些功能，可以保证企业流程潜在失败点评估中

识别出来的企业流程关键控制点（预防和发现财务重大错报）适当运作。

随着GAIT评估的进行，访问IT基