發(fā)表時間:2011/11/3 16:03:43 來源:互聯(lián)網(wǎng)
點擊關(guān)注微信:
2011年內(nèi)審師考試經(jīng)營分析和信息技術(shù)輔導(dǎo)資料
1.2 eSAC
關(guān)于eSAC需要了解的內(nèi)容
國際內(nèi)審研究院(IIA)在1977年第一次明確提出SAC的概念�����。當(dāng)時SAC指的是系統(tǒng)審計和控制(systems auditability and control)��。由國際內(nèi)審研究基金會在1991年和1994年進行較大更新后���,SAC是指系統(tǒng)鑒證與控制(systemas surance and control)�����。目前���,SAC已成為IT審計師在信息技術(shù)安全、控制與審計領(lǐng)域中的重要指南���。
在新版本中,可審計性(audit ability)一詞已被鑒證(assurance)替代.這是因為我們逐漸認識到治理(governance)和融合(alliance)的重要性,要在組織內(nèi)部及與業(yè)務(wù)伙伴的合作中,保證對信息系統(tǒng)有足夠的控制,以保護系統(tǒng)的安全性�、可審計性。
在電子商務(wù)時代��,隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展��,系統(tǒng)中的控制及相互依賴性已經(jīng)沒有組織與地理位置的限制�����,普遍存在于各種組織中.不管是什么規(guī)模的組織�����,都需要有一套控制指南來有效地管理信息系統(tǒng)和技術(shù)���,并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時更新系統(tǒng)。信息系統(tǒng)審計師及IT安全從業(yè)人員必須知道威脅來自何處�,如何管理這些威脅帶來的風(fēng)險,而且也要知道如何與不同層次的管理人員共同討論安全問題��。我們在考慮信息與系統(tǒng)安全時��,著重要回答以下關(guān)鍵問題:"如何管理IT風(fēng)險?""如何判斷安全與控制措施是否完備?""誰可以為IT安全提供鑒證?""鑒證可以說明什么?"等�。這就是制訂SAC控制規(guī)范的主要原因。
SAC通過提供及時更新的信息,幫助我們理解��、監(jiān)測�����、評估及降低技術(shù)風(fēng)險�����。SAC檢查業(yè)務(wù)系統(tǒng)各個組成部分的風(fēng)險�����,包括客戶�����、競爭對手��、監(jiān)管部門及合作伙伴����。
在新版本SAC中,一個重要特征就是提出了eSAC控制模型�。該模型的建立有利于對在電子商務(wù)環(huán)境中的目標����、風(fēng)險及減輕威脅造成的風(fēng)險的措施三者的關(guān)系進行討論�。
2011年內(nèi)審師考試經(jīng)營分析和信息技術(shù)輔導(dǎo)資料
目前有許多不同的風(fēng)險與控制模型,任何一種模型都有其特定的適用對象及范圍,組織必須進行合理剪裁,以適合組織的實際情況.eSAC模型可以較好地反映快速變化的技術(shù)環(huán)境及電子商務(wù)模式所帶來的風(fēng)險,并給出如何管理這些風(fēng)險的建議
模型中的左邊箭頭表示的是組織的任務(wù),包括組織的價值取向��、企業(yè)戰(zhàn)略���、主要目標等�。右邊箭頭表示的是組織獲得所期望的回報�,同時滿足組織形象與聲望的完善,及獲得進一步提高績效的學(xué)習(xí)能力��。
從目標到結(jié)果需要建立合理的控制環(huán)境,包括系統(tǒng)運營的效果和效率(operating),財務(wù)及管理的報告(reporting),法律���、法規(guī)的符合性(compliance),對信息資產(chǎn)的保護(safeguarding)��。
控制的效果要用與電子商務(wù)相關(guān)的各種控制屬性來描述,如可用性(availability)、實際能力(capability)����、機能性(functionality)、可保護性(protect ability)���、責(zé)任性(accountability),這些屬性都可被稱作業(yè)務(wù)鑒證目標,為人們正確看待各種控制提供了更廣闊而準確的框架,對任何業(yè)務(wù)的控制都可以通過控制屬性的組合來實現(xiàn).例如,對隱私問題的控制可以通過可保護性和責(zé)任性的組合來實現(xiàn)�����。
要實現(xiàn)有效控制�,需要利用各種資源,如人員(people)�����、技術(shù)(technology)��、流程(processes)�、投資(investment)、溝通(communication)���。
影響內(nèi)部控制環(huán)境的外部因素主要有兩種��,如多方向的箭頭表述了與外部實體(供應(yīng)商�����、合作伙伴����、代理商)之間的交互作用及相互依賴性,單方向箭頭表述了外部市場力量(如客戶�����、競爭對手���、監(jiān)管者����、共同體��、股東)和不斷變化的環(huán)境對內(nèi)部控制的影響
橢圓形區(qū)域表示動態(tài)的控制內(nèi)外部環(huán)境�,為保證控制環(huán)境相對穩(wěn)定和可控,就必須對環(huán)境進行監(jiān)測與預(yù)測��,使相關(guān)風(fēng)險被控制在一個組織可以接受的水平���。
相關(guān)文章
2011年國際內(nèi)審師考試輔導(dǎo):控制框架匯總
更多內(nèi)審師模擬試題查看 中大網(wǎng)校內(nèi)審師考試頻道
編輯推薦:
2011年內(nèi)部審計師考試免費短信提醒
2011年內(nèi)部審計師考試免費在線模擬考試
2011年內(nèi)部審計師考試歷年試題
(責(zé)任編輯:中大編輯)
共2頁,當(dāng)前第1頁 第一頁 前一頁 下一頁
