發(fā)表時(shí)間:2014/4/15 17:00:00 來源:中大網(wǎng)校
點(diǎn)擊關(guān)注微信:
本文導(dǎo)航
E01 控制框架
該部分大綱主要涉及的就是兩個(gè)主要控制框架:COBIT和SAC(eSAC)
1.COBIT的含義
COBIT(Control Objectives for Information and related Technology����,信息及相關(guān)技術(shù)的控制目標(biāo))由ITGI(信息技術(shù)治理協(xié)會(huì))提出���,其最新版的COBIT4.1產(chǎn)品家族分三個(gè)層次���,分別為執(zhí)行管理層和董事會(huì)���,業(yè)務(wù)和IT經(jīng)理層,治理���、鑒證���、控制和安全專家提供支持?���?梢姡珻OBIT已從一個(gè)審計(jì)師的工具���,演變?yōu)镮T治理框架���,它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁���,以滿足管理的多方面需要���。
COBIT將IT過程���,IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來,形成一個(gè)三維的體系結(jié)構(gòu)����。
其中,信息準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)����,主要從質(zhì)量、成本����、時(shí)間、資源利用率���、系統(tǒng)效率、保密性����、完整性、可用性等方面來保證信息的安全性���、可靠性���、有效性���;IT資源維主要包括以人、應(yīng)用系統(tǒng)����、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源����,這是IT治理過程的主要對(duì)象;IT過程維則是在IT準(zhǔn)則的指導(dǎo)下����,對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理,從信息技術(shù)的規(guī)劃與組織���、采集與實(shí)施����、交付與支持���、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過程���,每個(gè)處理過程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過程進(jìn)行評(píng)估����。
COBIT是一個(gè)非常有用的工具���,也非常易于理解和實(shí)施���,可以幫助在管理層、IT與審計(jì)之間交流的鴻溝上搭建橋梁���,提供了彼此之間溝通的共同語言����。所有的信息系統(tǒng)審計(jì)����、控制及安全專業(yè)人員應(yīng)該考慮采用COBIT原則。COBIT的優(yōu)點(diǎn)有:
通過實(shí)施COBIT���,增加了管理層對(duì)控制的感知及支持����。
COBIT使IT管理工作簡(jiǎn)易并量化���。
COBIT提供了一種國(guó)際通用的IT管理及問題解決方案����。
COBIT有助于提高信息系統(tǒng)審計(jì)師的影響力����,依據(jù)COBIT出具的信息系統(tǒng)審計(jì)報(bào)告更容易得到管理層的肯定。
COBIT框架可以幫助決定過程責(zé)任����,提高IT治理水平。通過采用該框架作為對(duì)一個(gè)責(zé)任矩陣分析的基礎(chǔ)����,可以做到基于角色的IT管理,定義過程措施����,確保客戶利益。
1.2 eSAC
SAC的概念在1977年由國(guó)際內(nèi)審研究院(the Institute of Internal Auditors-IIA)第一次明確提出���,當(dāng)時(shí)SAC是指系統(tǒng)審計(jì)與控制(systems auditability and control)����。1991年和1994由國(guó)際內(nèi)審研究基金會(huì)進(jìn)行較大更新后����,SAC是指系統(tǒng)鑒證與控制(systems assurance and control)。SAC已成為IT審計(jì)師在信息技術(shù)安全����、控制與審計(jì)領(lǐng)域中的重要指南。
在電子商務(wù)時(shí)代���,隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展����,系統(tǒng)中的控制及相互依賴性已經(jīng)沒有組織與地理位置的限制���,普遍存在于各種組織中����。不管是什么規(guī)模的組織,都需要有一套控制指南來有效地管理信息系統(tǒng)和技術(shù)����,并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新系統(tǒng)����。信息系統(tǒng)審計(jì)師及IT安全從業(yè)人員必須知道威脅來自何處,如何管理這些威脅帶來的風(fēng)險(xiǎn)���,而且也要知道如何與不同層次的管理人員共同討論安全問題���。我們?cè)诳紤]信息與系統(tǒng)安全時(shí),著重要回答以下關(guān)鍵問題:“如何管理IT風(fēng)險(xiǎn)����?”“如何判斷安全與控制措施是否完備?”“誰可以為IT安全提供鑒證���?”“鑒證可以說明什么����?”等���。這就是制訂SAC控制規(guī)范的主要原因����。
SAC通過提供及時(shí)更新的信息,幫助我們理解���、監(jiān)測(cè)���、評(píng)估及降低技術(shù)風(fēng)險(xiǎn)。SAC檢查業(yè)務(wù)系統(tǒng)各個(gè)組成部分的風(fēng)險(xiǎn)���,包括客戶����、競(jìng)爭(zhēng)對(duì)手����、監(jiān)管部門及合作伙伴。
新版本SAC的一個(gè)重要特征就是提出的eSAC控制模型���。建立此模型有利于討論在電子商務(wù)環(huán)境中的目標(biāo)���、風(fēng)險(xiǎn)及減輕威脅造成的風(fēng)險(xiǎn)的措施三者的關(guān)系���。目前有許多不同的風(fēng)險(xiǎn)與控制模型,任何一種模型都有其特定的適用對(duì)象及范圍����,組織必須進(jìn)行合理剪裁,以適合組織的實(shí)際情況���。eSAC模型可以較好地反映快速變化的技術(shù)環(huán)境及電子商務(wù)模式所帶來的風(fēng)險(xiǎn),并給出如何管理這些風(fēng)險(xiǎn)的建議���。
模型中的左邊箭頭表示的是組織的任務(wù)����,包括組織的價(jià)值取向����、企業(yè)戰(zhàn)略、主要目標(biāo)等����。右邊箭頭表示的是組織獲得所期望的回報(bào),同時(shí)滿足組織形象與聲望的完善����,及獲得進(jìn)一步提高績(jī)效的學(xué)習(xí)能力����。
從目標(biāo)到結(jié)果需要建立合理的控制環(huán)境����,包括系統(tǒng)運(yùn)營(yíng)的效果與效率(operating),財(cái)務(wù)及管理的報(bào)告(reporting)���,法律���、法規(guī)的符合性(compliance),對(duì)信息資產(chǎn)的保護(hù)(safeguarding)����。
控制的效果要用與電子商務(wù)相關(guān)的各種控制屬性來描述,如可用性( availability)����、實(shí)際能力(capability)、機(jī)能性(functionality)����、可保護(hù)性(protectability)����、責(zé)任性(accountability)���,這些屬性都可被稱作業(yè)務(wù)鑒證目標(biāo)����,為人們正確看待各種控制提供了更廣寬而準(zhǔn)確的框架���。對(duì)任何業(yè)務(wù)的控制都可以通過這些控制屬性的組合來實(shí)現(xiàn)。例如:對(duì)隱私問題的控制可以通過可保護(hù)性和責(zé)任性的組合來實(shí)現(xiàn)����。
要實(shí)現(xiàn)有效控制,需要利用各種資源���,如人員( people)���、技術(shù)(technology)、流程( processes)����、投資(investment)����、溝通(communication)���。
影響內(nèi)部控制環(huán)境的外部因素主要有兩種����,如多方向的箭頭表述了與外部實(shí)體(供應(yīng)商����、合作伙伴、代理商)之間的交互作用及相互依賴性���,單方向箭關(guān)表述了外部市場(chǎng)力量(如客戶����、競(jìng)爭(zhēng)對(duì)手���、監(jiān)管者����、共同體、股東)和不斷變化的環(huán)境對(duì)內(nèi)部控制的影響���。
橢圓形區(qū)域表示動(dòng)態(tài)的控制內(nèi)外部環(huán)境���,為保證控制環(huán)境相對(duì)穩(wěn)定和可控,就必須對(duì)環(huán)境進(jìn)行監(jiān)測(cè)與預(yù)測(cè)���,使相關(guān)風(fēng)險(xiǎn)被控制在一個(gè)組織可以接受的水平����。
本文導(dǎo)航
典型試題
1.根據(jù)IIA的SAC控制框架����,除了以下哪一條外,其他都是對(duì)來自技術(shù)挑戰(zhàn)的有效反應(yīng)?
a.風(fēng)險(xiǎn)評(píng)估
b.內(nèi)部控制
c.變更最小化
d.電子鑒證服務(wù)
『正確答案』c
『解題思路』
a.不正確���。SAC描述了一系列對(duì)技術(shù)挑戰(zhàn)的有效反應(yīng),這些反應(yīng)包括對(duì)電子商務(wù)的風(fēng)險(xiǎn)評(píng)估����、內(nèi)部控制目標(biāo)和電子鑒證服務(wù)。
b.不正確����。見題解a����。
c.正確����。SAC控制框架中,對(duì)來自技術(shù)挑戰(zhàn)的有效反應(yīng)不包括變更最小化����。
d.不正確。見題解a���。
2.根據(jù)IIA的SAC控制框架���,“責(zé)任”是指:
a.與商業(yè)機(jī)密和其他知識(shí)產(chǎn)權(quán)相關(guān)的屬性。
b.可以確定交易來源的控制屬性���。
c.對(duì)數(shù)據(jù)處理設(shè)備和存儲(chǔ)設(shè)備的訪問限制���。
d.與員工和客戶的個(gè)人信息相關(guān)的屬性。
『正確答案』b
『解題思路』
a.不正確���。與商業(yè)機(jī)密和其他知識(shí)產(chǎn)權(quán)相關(guān)的屬性與機(jī)密性相關(guān)����。
b.正確?���!柏?zé)任”是一種可以確定交易來源的控制屬性。它確定員工的角色���、行動(dòng)和責(zé)任����。用戶責(zé)任屬性可以由數(shù)據(jù)的所有者關(guān)系���、訪問者的身份與驗(yàn)證來確定����。
c.不正確���。對(duì)數(shù)據(jù)處理設(shè)備和存儲(chǔ)設(shè)備的訪問限制與物理安全相關(guān)。
d.不正確���。與員工和客戶的個(gè)人信息相關(guān)的屬性與個(gè)人隱私相關(guān)����。
3.COBIT是:
a.對(duì)IT流程實(shí)施有效控制的輔助指南。
b.對(duì)風(fēng)險(xiǎn)及對(duì)技術(shù)挑戰(zhàn)的反應(yīng)
c.對(duì)以前的“系統(tǒng)審計(jì)與控制框架”——SAC的升級(jí)����。
d.由COSO委員會(huì)出版發(fā)行。
『正確答案』a
『解題思路』
a.正確����。COBIT是由信息系統(tǒng)審計(jì)與控制基金會(huì)制定的一種IT控制框架。COBIT提供了一套指南來協(xié)助管理人員和業(yè)務(wù)人員對(duì)IT流程和資源實(shí)施控制����。COBIT被設(shè)計(jì)成一種IT治理工具,有助于理解和管理組織中的信息及與IT相關(guān)的風(fēng)險(xiǎn)與利益���。
b.不正確����。對(duì)風(fēng)險(xiǎn)及對(duì)技術(shù)挑戰(zhàn)的反應(yīng)是SAC的特征���。
c.不正確���。Systems Assurance and Control才是對(duì)Systems Auditability and Control的升級(jí)���。
d.不正確。COBIT是由ISACA出版發(fā)行的����。
4.COBIT的目標(biāo)用戶不包括以下哪一類人員?
a.管理人員。
b.用戶���。
e.股東���。
d.審計(jì)師。
『正確答案』c
『解題思路』
a.不正確����。COBIT的目標(biāo)用戶有三類:管理人員、用戶及審計(jì)師���。管理人員必須在風(fēng)險(xiǎn)與控制成本之間進(jìn)行平衡����;用戶需要得到內(nèi)部及外部IT服務(wù)的安全和控制的有效保證���;審計(jì)師需要在獲得足夠的證據(jù)的情況下���,對(duì)內(nèi)部控制的狀態(tài)進(jìn)行評(píng)估,并把審計(jì)結(jié)論傳遞給管理人員及其他相關(guān)人員����。
b.不正確。見題解a����。
c.正確。股東并不直接與組織日常管理中的IT服務(wù)相關(guān)���,他們不是COBIT的目標(biāo)用戶
d.不正確����。見題解a���。
相關(guān)推薦:國(guó)際注冊(cè)內(nèi)審師考試《經(jīng)營(yíng)分析和信息技術(shù)》講義匯總
新添考試應(yīng)用:
①資訊訂閱����,查詢最新考試信息②章節(jié)習(xí)題 海量套題全免費(fèi)體驗(yàn)?��?���!
(責(zé)任編輯:中大編輯)
共2頁,當(dāng)前第1頁 第一頁 前一頁 下一頁
