执行程序和测试控制

执行程序(工作计划工作流)或执行排查和测试(内部控制工作流),以验证控制是否得到适当的设计以及控制的运行有效性。

说明

  • 界面术语均可自定义,而且字段和选项卡均可配置。在 Diligent One 实例中,某些术语、字段和选项卡可能有所不同。
  • 如果必填字段留空,您会看到一则警告消息:此字段是必填项。某些自定义字段可能包含默认值。

工作原理

您可以记录已执行程序的结果,执行排查以评估控制的设计,执行测试以评估控制的有效性。您也可以更新测试计划以确定测试方法或获得的事件类型,指定全部样本大小(在测试周期中分割),或者记录测试步骤或属性。

如果控制是在框架中创建并导入到项目中的,则可以在项目中对其进行编辑,并且对框架具有同步访问权限的用户可以将这些更改同步回框架和使用该框架的其他项目。

指定需要执行的测试轮数

创建或前滚与内部控制工作流相关联的项目时,可以配置测试控制有效性所需的测试轮数:

说明

第一次创建或前滚一个项目时,选择的测试轮数将被锁定。保存项目后不能更改测试轮数。

外勤工作选项卡下,测试轮选项卡位于测试计划选项卡的右边。可用选项卡的名称取决于项目的测试轮数:

测试轮数 选项卡标签
一个 测试
临时,最终
Q1, Q2, Q3, Q4

测试计划中的样本大小逻辑

样本大小在首次创建测试计划时设定,这会在您定义控制时发生。下表说明用于基于两个控制属性字段自动设置样本大小字段的逻辑:频率类型。定义控制时,您可以指定这两个字段的值。

说明

如果手动更新测试计划中的样本大小,并随后更新控制的频率类型值,则测试计划中的样本大小不会被覆写。

如果 然后

类型 = 应用程序/系统控制

最大样本大小被设置为 1

类型 <> 应用程序/系统控制

AND

频率列于右侧

样本大小被设置为对应的值:

  • 持续的 1
  • 每周 6
  • 每两周 3
  • 每月 2
  • 每季 1
  • 每半年 1
  • 每年 1

不满足以上任一条件

使用了在项目级定义的最大样本量设置

说明

如果将控制从框架导入到项目或其他框架,则最大样本大小在框架级别定义(测试计划 > 总样本数)。

保障

在执行程序或进行排查和测试时,项目应用程序自动汇总测试结果和问题,并实时计算保障。随着控制通过,保障会增加,如果控制失败,则保障减少。

有关详细信息,请参阅风险保障入门

示例

说明

此面板中的示例已被连接。第一个选项卡表示场景的开始。

场景

您是负责整个 IT 一般控制审计(IA 上下文)项目的审计经理。您之前从项目模板创建了一个项目。现在,您需要测试物理安全目标中的其中一个控制,以评估控制的设计。

流程

您执行排查并确定排查通过。

结果

您如下记录排查:

  • 排查结果 2018 年 5 月 24 日,询问 Mark Manning(经理)以确定存在策略并已将其传达给员工。根据调查,策略文件已被分发给员工,且每半年举行一次经常性的物理安全培训课程,以确保员工了解其责任。
  • 控制的设计是否合理? 设计合理

场景

您已进行了排查,能更好地了解控制被如何设计以缓解风险。

流程

在开始测试控制的有效性之前,您需要制定一个测试计划,以确定测试控制的方式。您定义测试方法、总样本数(在测试周期中分割)以及测试控制所需执行的测试步骤。

结果

您如下记录测试计划:

  • 测试方法 检查
  • 总样本数 1

  • 测试步骤/测试属性

    1. 获取组织的物理安全策略文件的副本。
    2. 针对以下评估文件:
      1. 涵盖组织计划和程序的重要部分
      2. 事故的记录

场景

由于您记录了测试计划中的测试方法和步骤,所以您知道将如何测试控制。

流程

您开展测试来评估控制的操作有效性及确定测试通过。

结果

您如下记录测试:

  • 是否将此控制作为测试轮的一部分进行测试?
  • 分配的用户 yourName
  • 测试结果 有了正式记录和传达的物理安全政策和控制结构。
  • 此控制措施是否有效运行? 有效运行

权限

只有专业经理和专业用户才能执行程序、进行排查和测试以及更新测试计划。如果贡献者测试者被指定为控制所有者,则他/她们拥有对控制、排查和测试的读取/写入权限。如果您只希望由贡献者测试者来处理测试,则请为他/她们分配控制测试,然后确保在项目应用程序的设置中,关闭允许贡献者测试者管理排查的切换按钮。有关切换按钮的详细信息,请参阅项目应用程序设置

如果测试计划是在框架中创建并导入到项目中,然后进行修改,则项目管理员、项目创建者和在框架中分配了专业经理或专业用户角色的用户可以将这些更改同步回框架,以便应用到其他项目中。

借助控制透视或流程透视,获取控制或程序的上下文信息

如果您的团队执行常规测试,您可能需要在缺乏背景知识的情况下执行程序或测试控制。类似以前的测试结果和关键属性这样的信息将有助于您更全面地了解您正在进行的工作。

以下上下文信息可用。

  • 程序或控制的链接
  • 指向源框架的链接(如果适用)
  • 其属性
  • 之前的测试结果和样本量
  • 相关风险(如果已关联至此控制或程序)
  • 之前的问题(如果有的话);如果问题未发布或不是在相关的程序或控制页上创建,则不会显示问题
  • 相关注解(如果已链接至此控制或程序)
  • 相关合规地图(如果此程序或控制已映射到任何要求)
  • 相关资产(如果您订阅了 IT 风险管理,请将资产与项目中的风险类别相关联,并查看与该风险类别相关联的控制)。

查看并导航到项目应用程序中的控制和结果

在项目应用程序中,在“控制”选项卡上,您可以看到分配给您或与分配给您的控制测试或目标相关联的控制概述。您也可以导航到与这些控制相关联的程序或排查以及测试计划,一目了然地查看结果。

可以在项目类型设置中显示或隐藏“控制”选项卡。有关详细信息,请参阅风险和控制选项卡

控制选项卡由两部分组成:

  • 饼图 查看与控制相关联的程序分解,或排查和测试计划。
  • 控制表 包含控制并显示与其相关联的结果的可自定义表。您可以直接从表导航到控制或结果。

    说明

    在存档的项目中,控制在表中不显示。

执行程序

在有工作计划工作流的项目中,您可以记录已执行程序的结果。

  1. 从启动面板主页 (www.highbond.com) 中,选择项目应用程序以将其打开。

    如果您已经进入 Diligent One,可以使用左侧导航菜单切换到项目应用程序。

    项目主页打开。

  2. 打开项目。项目仪表盘打开。
  3. 单击外勤工作选项卡。
  4. 单击您要处理的目标旁的转到,并选择执行程序
  5. 单击相应程序旁的查看/编辑
  6. 若要获取有关此程序的更多上下文,请单击程序透视
  7. 输入相关信息,然后单击保存
    字段描述

    计划的里程碑日期

    可选

    指定与执行程序相关联的计划的里程碑日期

    项目管理员和项目类型管理员可以在管理项目类型下启用和自定义此字段(请参见项目应用程序设置)。

    实际的里程碑日期

    可选

    指定与执行程序相关联的实际里程碑日期

    项目管理员和项目类型管理员可以在管理项目类型下启用和自定义此字段(请参见项目应用程序设置)。

    属性

    可选

    指定与执行程序相关联的属性

    项目管理员和项目类型管理员可以在管理项目类型下启用和自定义此字段(请参见项目应用程序设置)。

    程序结果

    可选

    关于程序结果的描述

    说明

    富文本字段不能超过 524,288 个字符。

    提示

    要对富文本字段启用拼写检查,请执行以下操作之一:

    • Chrome、Firefox 或 Safari Windows 字段中 CTRL + 右键单击,或 Mac 上 Command + 右键单击
    • Internet Explorer 或 Microsoft Edge 打开浏览器设置,打开拼写检查/突出显示拼写错误的单词

    当完成此程序时,是否发现了问题?

    可选

    • 发现问题说明程序已经失败
    • 无问题说明程序已通过测试

    您可以使用问题面板记录问题。

    提示

    您可以根据结果应用程序度量自动填充字段值。有关详细信息,请参阅自动执行控制评估

  8. 可选。在支持文件下,上传任何必要的文件。有关详细信息,请参阅使用附件

    说明

    出于安全原因,Diligent One 不接受具有以下扩展名的文件附件:.bat.com.dmg.exe.src

  9. 可选。将证据链接到程序。有关详细信息,请参阅链接来自结果应用程序的证据

执行排查

在具有内部控制工作流的项目中,您可以评估控制的设计。

  1. 从启动面板主页 (www.highbond.com) 中,选择项目应用程序以将其打开。

    如果您已经进入 Diligent One,可以使用左侧导航菜单切换到项目应用程序。

    项目主页打开。

  2. 打开项目。项目仪表盘打开。
  1. 单击外勤工作选项卡。
  2. 单击适当流程旁的转到,然后选择排查
  3. 单击相应排查旁的查看/编辑
  4. 若要获取有关此控制的更多上下文,请单击控制透视

  5. 输入相关信息,然后单击保存

    字段 描述

    计划的里程碑日期

    可选

    指定与排查相关联的计划里程碑日期。

    项目管理员和项目类型管理员可以在管理项目类型下启用和自定义此字段。

    实际的里程碑日期

    可选

    指定与排查相关联的实际里程碑日期。

    项目管理员和项目类型管理员可以在管理项目类型下启用和自定义此字段。

    属性

    可选

    指定与排查相关联的属性。

    项目管理员和项目类型管理员可以在管理项目类型下定义排查的自定义属性。

    排查结果

    可选

    关于排查结果的描述

    说明

    富文本字段不能超过 524,288 个字符。

    提示

    要对富文本字段启用拼写检查,请执行以下操作之一:

    • Chrome、Firefox 或 Safari Windows 字段中 CTRL + 右键单击,或 Mac 上 Command + 右键单击
    • Internet Explorer 或 Microsoft Edge 打开浏览器设置,打开拼写检查/突出显示拼写错误的单词

    控制的设计是否合理?

    可选

    从贵组织设置的最多 10 个选项中任选一个。每个选项对应一种“通过”或“失败”状态。例如:

    • 设计合理说明控制设计已通过
    • 设计失败说明控制设计已失败

    您可以使用问题面板记录问题。

    提示

    您可以根据结果应用程序度量自动填充字段值。有关详细信息,请参阅自动执行控制评估
  6. 可选。在支持文件下,上传任何必要的文件。有关详细信息,请参阅使用附件

    说明

    出于安全原因,Diligent One 不接受具有以下扩展名的文件附件:.bat.com.dmg.exe.src

  7. 可选。将证据链接到排查。有关详细信息,请参阅链接来自结果应用程序的证据

更新测试计划

在具有内部控制工作流的项目中,您可以确定测试方法或所获得证据的类型,指定总样本量(分配到测试轮中),或者记录测试步骤或属性。

如果已在框架中创建测试计划并将其导入到项目中,则可以在项目中编辑测试计划;对框架具有同步访问权限的用户可以将这些更改同步回框架以及使用该框架的其他项目。

  1. 从启动面板主页 (www.highbond.com) 中,选择项目应用程序以将其打开。

    如果您已经进入 Diligent One,可以使用左侧导航菜单切换到项目应用程序。

    项目主页打开。

  2. 打开项目。项目仪表盘打开。
  3. 单击外勤工作选项卡,或在框架中单击选项卡。
  4. 单击适当流程旁的转到,并选择测试计划
  5. 单击相应的测试计划旁的编辑计划
  6. 若要获取有关此控制的更多上下文,请单击控制透视
  7. 输入相关信息,然后单击保存
    字段描述

    测试方法

    可选

    指定如何获取证据。

    总样本数

    可选

    指定一个数值,用于定义总样本数(在测试轮中拆分)。有关详细信息,请参阅测试计划中的样本大小逻辑

    测试步骤/测试属性

    可选

    指定与测试计划相关联的步骤或属性。

    说明

    富文本字段不能超过 524,288 个字符。

    提示

    要对富文本字段启用拼写检查,请执行以下操作之一:

    • Chrome、Firefox 或 Safari Windows 字段中 CTRL + 右键单击,或 Mac 上 Command + 右键单击
    • Internet Explorer 或 Microsoft Edge 打开浏览器设置,打开拼写检查/突出显示拼写错误的单词

执行测试

在具有内部控制工作流的项目中,您可以评估控制的运行有效性。

  1. 从启动面板主页 (www.highbond.com) 中,选择项目应用程序以将其打开。

    如果您已经进入 Diligent One,可以使用左侧导航菜单切换到项目应用程序。

    项目主页打开。

  2. 打开项目。

    项目仪表盘打开。

  3. 单击外勤工作选项卡。
  4. 单击相应的流程旁边的转到,并选择所需的测试选项:临时测试最终测试
  5. 请务必选中您要使用的测试轮的选项卡。
  6. 单击相应的测试旁边的更新测试
  7. 若要获取有关此控制的更多上下文,请单击控制透视
  8. 输入相关信息,然后单击保存
    字段描述

    作为本轮测试的一部分,您是否正在测试此关键控制措施?

    • - 说明测试结果适用于测试轮
    • 说明测试结果不适用于测试轮

    分配的用户

    可选

    列明负责测试控件的团队成员

    单击更新任务将向指定的团队成员发送电子邮件通知。

    说明

    只有专业经理、专业用户和贡献者测试者可以分配控制测试,并且从此字段只能选择专业经理、专业用户和贡献者测试者。

    计划的里程碑日期

    可选

    指定与测试相关联的里程碑事件的计划实现日期(如果已在“项目类型”中配置)

    项目管理员和项目类型管理员可以在管理项目类型下启用和自定义此字段。

    实际的里程碑日期

    可选

    指定与测试相关联的里程碑事件的实际实现日期(如果已在“项目类型”中配置)

    项目管理员和项目类型管理员可以在管理项目类型下启用和自定义此字段。

    属性

    可选

    指定与测试相关联的属性(如果已在“项目类型”中配置)

    项目管理员和项目类型管理员可以在管理项目类型下定义测试的自定义属性。

    测试样本量是多少?所有测试轮的总样本数是 0。添加拆分在各测试轮的总样本数。

    测试结果

    可选

    列明有关测试结果的详细信息

    说明

    富文本字段不能超过 524,288 个字符。

    提示

    要对富文本字段启用拼写检查,请执行以下操作之一:

    • Chrome、Firefox 或 Safari Windows 字段中 CTRL + 右键单击,或 Mac 上 Command + 右键单击
    • Internet Explorer 或 Microsoft Edge 打开浏览器设置,打开拼写检查/突出显示拼写错误的单词

    此控制是否有效运行?

    测试结论

    可选

    选择一个值。

    您可以使用问题面板记录问题。

    提示

    您可以根据结果应用程序度量自动填充字段值。有关详细信息,请参阅自动执行控制评估

  9. 可选。在支持文件下,上传任何必要的文件。有关详细信息,请参阅使用附件

    说明

    出于安全原因,Diligent One 不接受具有以下扩展名的文件附件:.bat.com.dmg.exe.src

  10. 可选。将证据链接到测试。有关详细信息,请参阅链接来自结果应用程序的证据