ZKIZ Archives


如何編寫Audit Program Bittermelon 苦中作樂

http://bittermelon2009.blogspot.com/2012/01/audit-program.html

最近有朋友問如何去編寫Audit Program(APG),我將答覆用中文整理以及補充了一下作為日後參考。

就我以前所見,APG分General和Specific兩類。前者主要是根據Best Practice而寫成,一般比較「大路」,可以用於不同企業。雖則如此,但由於不是度身訂造,未必完全適合Auditee的實際情況,所以使用時要加倍 小心,特別是一些企業獨有的地方可能被忽略。至於後者,就是根據Auditee的實際情況而寫成,今天要講就是如何編寫這種APG。

先旨聲明,以下這個方法主要是Risk-based approach,經某大MNC的內審廣泛採用,我學了以後曾在幾家企業試用並改良而成。由於沒有跟教科書對照過,所以此法未必是最好,不過就頗為實用。

首先,我們需要為被審的範圍編制一下風險列表(Risk Chart),將當中涉及的主要風險主開列出來。由於風險可能會有很多,為免遺漏,最好是按照流程的順序找出來。例如審核倉庫流程,可以先由收貨 (Stock receiving)開始,將其風險列出,例如收錯貨、多收、少收、貨不對版等等。之後再將存貨管理(Stock maintenance),發貨(Stock issuing)等流程的風險詳細列出來。

在準備風險列表的同時,我們研究和記錄Auditee的現有流程和主要內部控制。我們可以透過Flowchart或Narrative note來做記錄。

完成上述兩個步驟以後,接下來為每個風險與相應的內控做配對。例如發貨單的其中一個風險是有遺漏,其相應的內控就是所有發貨單均有一個序號,而且有專人定 期檢查,以及跟進遺漏和跳號的發貨單。完成配對後,那些沒有相應內控的風險就是問題所在,之後尋找證據或實例,並訂出合適的改善建議。

對那些已配對上內控的風險,我們需要設計測試以證實相應的內控是否存在和有效。如上述發貨單的序號,我們可以利用審計軟件,去測試所有單號都是順序而且沒 有遺漏和跳號。另外,亦檢查是否有專人定期為序號做檢查。若果測試結果是合格,我們則可以相信相應的內控的確存在和有效。倘若結果是不合格,這就是審計發 現,找出實證後,就訂出合適的改善建議。

以下是一個APG的格式,我認為既簡單又實用,大家不妨參考一下。

PermaLink: https://articles.zkiz.com/?id=30730

涉編寫惡意木馬程式並放售破WannaCry英雄被捕

1 : GS(14)@2017-08-06 11:38:33

■哈欽斯因涉編寫惡意程式被捕,由網絡英雄變疑犯。美聯社



三個月前智破勒索軟件WannaCry、獲封為網絡英雄的英國青年哈欽斯(Marcus Hutchins),涉嫌編寫一個針對銀行賬戶資料的惡意程式「Kronos」,前日於美國拉斯維加斯被拘控。網絡保安和法律界表示震驚。網名「MalwareTech」的23歲網絡保安研究員哈欽斯,前日在拉斯維加斯出席「Black Hat and Def Con」年度網絡保安會議後,準備乘搭飛機返回倫敦時被捕,隨即被傳召出庭。法官在庭上宣讀六項控罪後,將審訊押後,讓被告決定是否聘請律師辯護。據前日公開、7月12日批出的司法部文件,哈欽斯涉編寫木馬程式Kronos,並於2014年7月至2015年7月期間,與另一名未公佈身份的被告,在暗網交易平台「AlphaBay」放售Kronos。程式曾以最高價7,000美元(54,600港元)出售,控罪文件指以2,000美元(15,600港元)和3,000美元(23,400港元)售出。哈欽斯於5月WannaCry肆虐全球時,誤打誤撞以註冊域名方式,成功阻止WannaCry擴散,成為網絡英雄,更獲歐洲網絡保安表揚。英雄淪為疑犯,專家卡倫貝爾質疑,因網絡保安研究員與黑客界線模糊,研究員須接觸犯罪軟件和黑客,「FBI很易誤將研究當成參與Kronos編寫」。


專家:難證出於犯罪目的

網絡保安公司主席威廉斯指,程式常由很多程式員編寫,惡意編碼可由其他人插入。美國法律教授克爾認為案件罕見,因指控針對編寫和兜售惡意程式的人,而非程式使用者,檢方將難證明被告是出於犯罪目的。英國《衞報》報道,該身份未明的被告於7月13日曾分享一段Kronos示範短片,而哈欽斯同日發推文徵求Kronos樣本供分析之用。哈欽斯的業界好友馬博特表示:「哈欽斯致力制止惡意程式,而非編寫它們。」美聯社/法新社




來源: http://hk.apple.nextmedia.com/international/art/20170805/20112223
PermaLink: https://articles.zkiz.com/?id=339760

由拖拉方塊 到自行編寫程式碼 港企創過渡程式平台助學生「升呢」

1 : GS(14)@2018-02-12 07:10:16

【明報專訊】創新科技公司近幾年在世界各地崛起,間接令IT教育為之升溫。有本地初創公司研發出一套程式語言和編程平台,協助小學生由拖拉方塊設計程式學起,日後可「順利過渡」學習編寫程式碼。兩者推出一年多,已吸引了逾百間中小學使用。

明報記者 薛偉傑

IOT Solution平台獲逾百中小學使用

「數碼港培育計劃」科技公司IOT Solution Ltd行政總裁梁偉健表示,現時市場上讓小學生學習編程的最流行產品,是由美國麻省理工學院媒體實驗室(MIT Media Lab)推出的Scratch。Scratch是一套圖像化的程式語言,只需拖拉一些方塊,就能夠開始學習編程。其好處是上手容易,但卻有一個缺點,那就是當學生上到中學,要學習其他較為實用、完全是以編寫程式碼為基礎的程式語言時,會出現斷層,較難銜接和過渡。

因此,他們在2016年夏季用了幾個月自創一套程式語言和一個編程平台,目的是要讓學生可由拖拉方塊,「順利過渡」到學習編寫程式碼時,其自創程式語言除了可用拖拉方塊形式來編程,亦可以用純粹編寫程式碼的方式來編程。因此,學生可以從兩種模式的對照,逐漸學習程式指令的編寫方法。此外,他們的編程平台還可將他們自創的程式語言的程式碼,翻譯成C++、Java或Python等主流程式語言的程式碼。這樣,當學生要轉學這些商業應用的程式語言時,亦較容易適應和過渡。

辦學界電動車賽機械人賽 宣傳自家程式

IOT Solution在2016年8月成立後,舉辦了兩場工作坊,介紹該公司的程式語言和編程平台,分別有50人和100人出席,可見學界對該公司的解決方案感興趣。同年9月,該公司在數碼港舉辦第一屆「全港學界電動車程式賽」吸引80間本地中小學的學生參賽。至去年底,本地有逾百間中小學使用該公司的程式語言和編程平台來教授編程。

今年5月底,該公司將舉辦第二屆全港學界電動車程式賽。他們估計參加人數多達數百。該公司現時正從市面購入大批玩具遙控車,並改裝成可以載入該公司的程式語言的程式碼來控制。而第二屆比賽的玩法亦會更進一步,該公司正和香港應用科技研究院合作開發其程式語言的第二版,以加入人工智能(AI)功能。

與應科院合作程式語言加AI功能

香港應用科技研究院副總監(智能軟件與系統)羅家泳博士表示,整項合作開發計劃需要21個月,但在5月底之前,就可以加入一些簡單的人工智能功能,讓學生應用於比賽之中,例如讓幾部玩具車同場行駛,而玩具車之間懂得遵循一些駕駛規則(如小路讓大路等),以自動化的溝通互動避免碰撞。梁偉健透露,第二屆學界電動車程式賽將擴大至在香港、深圳、佛山、廣州4個城市舉行,合稱「大灣區盃」。現時該公司正籌備在深圳開設分公司,而佛山和廣州兩地則已經有合作伙伴。

伙邊境購物城建STEAM中心 吸深港生

該公司早前和理工大學及另一公司,於1月20日合作舉辦的「全港中、小學生機械人挑戰賽」,亦吸引到超過300名高小和初中學生組隊參賽,還吸引到「阿里雲」等大機構贊助。而且,該公司偕新田購物城合作,在那裏設立STEAM(Science「科學」、Technology「科技」、Engineering「工程」、Art「藝術」、Mathematics「數學」)和VR(虛擬實境)體驗中心。第一期的STEAM體驗中心面積為7000平方呎,今個月內啟用;第二期體驗中心面積有6000平方呎,亦計劃今年內啟用,兩者將可讓本地和深圳的中小學組團使用。


來源: http://www.mpfinance.com/fin/dai ... 2501&issue=20180205
PermaLink: https://articles.zkiz.com/?id=348079

Next Page

ZKIZ Archives @ 2019