國際注冊內部審計師

• 第1頁：控制框架相關知識

• 第2頁：典型試題

E01　控制框架

該部分大綱主要涉及的就是兩個主要控制框架:COBIT和SAC（eSAC）
1.COBIT的含義
COBIT（Control Objectives for Information and related Technology，信息及相關技術的控制目標）由ITGI（信息技術治理協(xié)會）提出，其最新版的COBIT4.1產品家族分三個層次，分別為執(zhí)行管理層和董事會，業(yè)務和IT經理層，治理、鑒證、控制和安全專家提供支持?？梢姡珻OBIT已從一個審計師的工具，演變?yōu)镮T治理框架，它在商業(yè)風險、控制需要和技術問題之間架起了一座橋梁，以滿足管理的多方面需要。

COBIT將IT過程，IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，形成一個三維的體系結構。
其中，信息準則維集中反映了企業(yè)的戰(zhàn)略目標，主要從質量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源維主要包括以人、應用系統(tǒng)、技術、設施及數(shù)據在內的信息相關的資源，這是IT治理過程的主要對象；IT過程維則是在IT準則的指導下，對信息及相關資源進行規(guī)劃與處理，從信息技術的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面確定了34個信息技術處理過程，每個處理過程還包括更加詳細的控制目標和審計方針對IT處理過程進行評估。
COBIT是一個非常有用的工具，也非常易于理解和實施，可以幫助在管理層、IT與審計之間交流的鴻溝上搭建橋梁，提供了彼此之間溝通的共同語言。所有的信息系統(tǒng)審計、控制及安全專業(yè)人員應該考慮采用COBIT原則。COBIT的優(yōu)點有：
通過實施COBIT，增加了管理層對控制的感知及支持。
COBIT使IT管理工作簡易并量化。
COBIT提供了一種國際通用的IT管理及問題解決方案。
COBIT有助于提高信息系統(tǒng)審計師的影響力，依據COBIT出具的信息系統(tǒng)審計報告更容易得到管理層的肯定。
COBIT框架可以幫助決定過程責任，提高IT治理水平。通過采用該框架作為對一個責任矩陣分析的基礎，可以做到基于角色的IT管理，定義過程措施，確保客戶利益。
1.2 eSAC
SAC的概念在1977年由國際內審研究院（the Institute of Internal Auditors-IIA）第一次明確提出，當時SAC是指系統(tǒng)審計與控制（systems auditability and control）。1991年和1994由國際內審研究基金會進行較大更新后，SAC是指系統(tǒng)鑒證與控制（systems assurance and control）。SAC已成為IT審計師在信息技術安全、控制與審計領域中的重要指南。
在電子商務時代，隨著互聯(lián)網技術的飛速發(fā)展，系統(tǒng)中的控制及相互依賴性已經沒有組織與地理位置的限制，普遍存在于各種組織中。不管是什么規(guī)模的組織，都需要有一套控制指南來有效地管理信息系統(tǒng)和技術，并隨著業(yè)務環(huán)境的變化和新技術的發(fā)展及時更新系統(tǒng)。信息系統(tǒng)審計師及IT安全從業(yè)人員必須知道威脅來自何處，如何管理這些威脅帶來的風險，而且也要知道如何與不同層次的管理人員共同討論安全問題。我們在考慮信息與系統(tǒng)安全時，著重要回答以下關鍵問題：“如何管理IT風險？”“如何判斷安全與控制措施是否完備？”“誰可以為IT安全提供鑒證？”“鑒證可以說明什么？”等。這就是制訂SAC控制規(guī)范的主要原因。
SAC通過提供及時更新的信息，幫助我們理解、監(jiān)測、評估及降低技術風險。SAC檢查業(yè)務系統(tǒng)各個組成部分的風險，包括客戶、競爭對手、監(jiān)管部門及合作伙伴。
新版本SAC的一個重要特征就是提出的eSAC控制模型。建立此模型有利于討論在電子商務環(huán)境中的目標、風險及減輕威脅造成的風險的措施三者的關系。目前有許多不同的風險與控制模型，任何一種模型都有其特定的適用對象及范圍，組織必須進行合理剪裁，以適合組織的實際情況。eSAC模型可以較好地反映快速變化的技術環(huán)境及電子商務模式所帶來的風險，并給出如何管理這些風險的建議。

模型中的左邊箭頭表示的是組織的任務，包括組織的價值取向、企業(yè)戰(zhàn)略、主要目標等。右邊箭頭表示的是組織獲得所期望的回報，同時滿足組織形象與聲望的完善，及獲得進一步提高績效的學習能力。
從目標到結果需要建立合理的控制環(huán)境，包括系統(tǒng)運營的效果與效率（operating），財務及管理的報告（reporting），法律、法規(guī)的符合性（compliance），對信息資產的保護（safeguarding）。
控制的效果要用與電子商務相關的各種控制屬性來描述，如可用性（ availability）、實際能力（capability）、機能性（functionality）、可保護性（protectability）、責任性（accountability），這些屬性都可被稱作業(yè)務鑒證目標，為人們正確看待各種控制提供了更廣寬而準確的框架。對任何業(yè)務的控制都可以通過這些控制屬性的組合來實現(xiàn)。例如：對隱私問題的控制可以通過可保護性和責任性的組合來實現(xiàn)。
要實現(xiàn)有效控制，需要利用各種資源，如人員（ people）、技術（technology）、流程（ processes）、投資（investment）、溝通（communication）。
影響內部控制環(huán)境的外部因素主要有兩種，如多方向的箭頭表述了與外部實體（供應商、合作伙伴、代理商）之間的交互作用及相互依賴性，單方向箭關表述了外部市場力量（如客戶、競爭對手、監(jiān)管者、共同體、股東）和不斷變化的環(huán)境對內部控制的影響。
橢圓形區(qū)域表示動態(tài)的控制內外部環(huán)境，為保證控制環(huán)境相對穩(wěn)定和可控，就必須對環(huán)境進行監(jiān)測與預測，使相關風險被控制在一個組織可以接受的水平。

• 第1頁：控制框架相關知識

• 第2頁：典型試題

典型試題
1.根據IIA的SAC控制框架，除了以下哪一條外，其他都是對來自技術挑戰(zhàn)的有效反應?
a.風險評估
b.內部控制
c.變更最小化
d.電子鑒證服務
『正確答案』c
『解題思路』
a.不正確。SAC描述了一系列對技術挑戰(zhàn)的有效反應，這些反應包括對電子商務的風險評估、內部控制目標和電子鑒證服務。
b.不正確。見題解a。
c.正確。SAC控制框架中，對來自技術挑戰(zhàn)的有效反應不包括變更最小化。
d.不正確。見題解a。
2.根據IIA的SAC控制框架，“責任”是指：
a.與商業(yè)機密和其他知識產權相關的屬性。
b.可以確定交易來源的控制屬性。
c.對數(shù)據處理設備和存儲設備的訪問限制。
d.與員工和客戶的個人信息相關的屬性。
『正確答案』b
『解題思路』
a.不正確。與商業(yè)機密和其他知識產權相關的屬性與機密性相關。
b.正確?！柏熑巍笔且环N可以確定交易來源的控制屬性。它確定員工的角色、行動和責任。用戶責任屬性可以由數(shù)據的所有者關系、訪問者的身份與驗證來確定。
c.不正確。對數(shù)據處理設備和存儲設備的訪問限制與物理安全相關。
d.不正確。與員工和客戶的個人信息相關的屬性與個人隱私相關。
3.COBIT是：
a.對IT流程實施有效控制的輔助指南。
b.對風險及對技術挑戰(zhàn)的反應
c.對以前的“系統(tǒng)審計與控制框架”——SAC的升級。
d.由COSO委員會出版發(fā)行。
『正確答案』a
『解題思路』
a.正確。COBIT是由信息系統(tǒng)審計與控制基金會制定的一種IT控制框架。COBIT提供了一套指南來協(xié)助管理人員和業(yè)務人員對IT流程和資源實施控制。COBIT被設計成一種IT治理工具，有助于理解和管理組織中的信息及與IT相關的風險與利益。
b.不正確。對風險及對技術挑戰(zhàn)的反應是SAC的特征。
c.不正確。Systems Assurance and Control才是對Systems Auditability and Control的升級。
d.不正確。COBIT是由ISACA出版發(fā)行的。
4.COBIT的目標用戶不包括以下哪一類人員?
a.管理人員。
b.用戶。
e.股東。
d.審計師。
『正確答案』c
『解題思路』
a.不正確。COBIT的目標用戶有三類：管理人員、用戶及審計師。管理人員必須在風險與控制成本之間進行平衡；用戶需要得到內部及外部IT服務的安全和控制的有效保證；審計師需要在獲得足夠的證據的情況下，對內部控制的狀態(tài)進行評估，并把審計結論傳遞給管理人員及其他相關人員。
b.不正確。見題解a。
c.正確。股東并不直接與組織日常管理中的IT服務相關，他們不是COBIT的目標用戶
d.不正確。見題解a。

相關推薦：國際注冊內審師考試《經營分析和信息技術》講義匯總
新添考試應用：
①資訊訂閱，查詢最新考試信息②章節(jié)習題 海量套題全免費體驗??！ 

（責任編輯：中大編輯）

共2頁,當前第1頁  第一頁  前一頁  下一頁