IIA實(shí)務(wù)公告2100-11:廣泛性信息系統(tǒng)控制的效果

字號(hào):

《國(guó)際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》中第2100條標(biāo)準(zhǔn)的解釋
    相關(guān)標(biāo)準(zhǔn):第2100條標(biāo)準(zhǔn)
    工作性質(zhì)
    內(nèi)部審計(jì)活動(dòng)應(yīng)當(dāng)通過應(yīng)用系統(tǒng)的、規(guī)范的方法,評(píng)價(jià)并改善風(fēng)險(xiǎn)管理、控制和治理過程。
    本實(shí)務(wù)公告源自國(guó)際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)指引——廣泛性信息系統(tǒng)控制的效果,文件G11。該信息系統(tǒng)審計(jì)指引由ISACA于2000年3月發(fā)布。引用該文件經(jīng)過ISACA的許可和確認(rèn)。本實(shí)務(wù)公告與ISACA指引的任何差異,ISACA不保證其準(zhǔn)確性或支持這些改變。
    本實(shí)務(wù)公告性質(zhì):內(nèi)部審計(jì)師實(shí)施信息系統(tǒng)控制檢查時(shí)應(yīng)當(dāng)考慮以下建議。本實(shí)務(wù)公告無意囊括實(shí)施信息系統(tǒng)審計(jì)所需要的所有程序,僅推薦一系列高層次審計(jì)師責(zé)任,作為制定詳細(xì)審計(jì)計(jì)劃的補(bǔ)充。
    1 控制框架
    概述
    COBIT將“控制”定義為“政策、程序、實(shí)務(wù)及組織結(jié)構(gòu)的設(shè)計(jì),用來合理確保組織目標(biāo)的實(shí)現(xiàn),并確保不希望發(fā)生的事件被預(yù)防或發(fā)現(xiàn)并糾正?!贬槍?duì)每一項(xiàng)信息系統(tǒng)審計(jì),內(nèi)部審計(jì)師應(yīng)當(dāng)區(qū)分影響所有信息系統(tǒng)和運(yùn)營(yíng)的一般控制(廣泛性信息系統(tǒng)控制),以及在更為特定的層次運(yùn)行的控制(詳細(xì)信息系統(tǒng)控制),以便將審計(jì)力量集中在與審計(jì)目標(biāo)相關(guān)的風(fēng)險(xiǎn)領(lǐng)域。以下描述的控制框架有助于內(nèi)部審計(jì)師達(dá)成這一重點(diǎn)。
    廣泛性信息系統(tǒng)控制
    廣泛性信息系統(tǒng)控制的例子包括COBIT“計(jì)劃和組織”范疇及“監(jiān)督”范疇所定義的信息系統(tǒng)過程控制,如,“PO1—訂立IT戰(zhàn)略性計(jì)劃”及“M1——監(jiān)督各項(xiàng)流程”。廣泛性信息系統(tǒng)控制是一般控制的一個(gè)子集合,即側(cè)重于信息系統(tǒng)管理和監(jiān)控的一般控制。
    廣泛性信息系統(tǒng)控制的效果并不局限于財(cái)務(wù)系統(tǒng)應(yīng)用控制的可靠性,廣泛性信息系統(tǒng)控制也影響下列詳細(xì)信息系統(tǒng)控制的可靠性,例如,
    l 程序開發(fā)
    l 系統(tǒng)實(shí)施
    l 安全管理
    l 備份程序
    薄弱的信息系統(tǒng)管理和監(jiān)控(例如,薄弱的廣泛性信息系統(tǒng)控制)應(yīng)當(dāng)警示內(nèi)部審計(jì)師一項(xiàng)高風(fēng)險(xiǎn),即設(shè)計(jì)用于詳細(xì)層次運(yùn)行的控制可能失效。
    詳細(xì)信息系統(tǒng)控制
    詳細(xì)信息系統(tǒng)控制是由應(yīng)用控制和未包含于廣泛性信息系統(tǒng)控制的一般控制所組成的。在COBIT框架中,詳細(xì)信息系統(tǒng)控制是指與信息系統(tǒng)和服務(wù)的取得、實(shí)施、交付和支持有關(guān)的控制,例如對(duì)以下事項(xiàng)的控制:
    l 成套軟件的安裝
    l 系統(tǒng)安全參數(shù)
    l 災(zāi)難恢復(fù)計(jì)劃
    l 數(shù)據(jù)輸入驗(yàn)證
    l 例外報(bào)告的產(chǎn)生
    l 鎖定試圖無效存取的用戶帳號(hào)
    應(yīng)用控制是詳細(xì)信息系統(tǒng)控制的一個(gè)子集合,例如數(shù)據(jù)輸入驗(yàn)證,既是詳細(xì)信息系統(tǒng)控制又是一項(xiàng)應(yīng)用控制。安裝及確認(rèn)系統(tǒng)(AI5)屬于詳細(xì)信息系統(tǒng)控制,但并非應(yīng)用控制。
    信息系統(tǒng)控制之間的關(guān)系如下列大綱所示:
    l 信息系統(tǒng)控制
    l 一般控制
    l 廣泛性信息系統(tǒng)控制
    l 詳細(xì)信息系統(tǒng)控制
    l 應(yīng)用控制
    內(nèi)部審計(jì)師應(yīng)當(dāng)考慮非信息系統(tǒng)控制對(duì)審計(jì)范圍和程序的影響。
    廣泛性信息系統(tǒng)控制和詳細(xì)信息系統(tǒng)控制之間的互動(dòng)
    COBIT框架將信息系統(tǒng)控制區(qū)分為四個(gè)范疇:
    l 計(jì)劃與組織
    l 取得與實(shí)施
    l 交付與支持
    l 監(jiān)控
    “取得與實(shí)施(AI)”和“交付與支持(DS)”兩個(gè)范疇的控制效果受到“計(jì)劃與組織(PO)”以及“監(jiān)控(M)”兩個(gè)范疇的控制運(yùn)營(yíng)效果的影響。管理層的不當(dāng)計(jì)劃、組織和監(jiān)督,意味著取得、實(shí)施、服務(wù)交付及支持方面的控制將失效。相反,強(qiáng)有力的計(jì)劃、組織和監(jiān)控可以識(shí)別并糾正關(guān)于取得、實(shí)施、服務(wù)交付及支持方面的無效控制。
    例如,“取得和維護(hù)應(yīng)用軟件”(COBIT 流程索引AI2)流程的有效詳細(xì)信息系統(tǒng)控制受到下列廣泛性信息系統(tǒng)控制的充分性的影響:
    l 訂立IT戰(zhàn)略性計(jì)劃(COBIT流程索引PO1)
    l 項(xiàng)目管理(COBIT流程索引PO10)
    l 質(zhì)量管理(COBIT流程索引PO11)
    l 監(jiān)督各項(xiàng)流程(COBIT流程索引M1)
    應(yīng)用系統(tǒng)取得的審計(jì)應(yīng)當(dāng)包括確認(rèn)信息系統(tǒng)戰(zhàn)略的作用,項(xiàng)目管理方法,質(zhì)量管理以及監(jiān)督的方法。例如,當(dāng)項(xiàng)目管理不當(dāng)時(shí),內(nèi)部審計(jì)師應(yīng)當(dāng)考慮:
    l 開展額外的工作,以保證該項(xiàng)目屬于有效管理;
    l 向管理層報(bào)告廣泛性信息系統(tǒng)控制的缺陷
    另一個(gè)例子為,“確保系統(tǒng)安全”(COBIT流程索引DS5)流程的有效詳細(xì)信息系統(tǒng)控制受到下列廣泛性信息系統(tǒng)控制的充分性的影響:
    l 定義信息技術(shù)組織及關(guān)系(COBIT流程索引PO4)
    l 溝通管理目的和方向(COBIT流程索引PO6)
    l 評(píng)估風(fēng)險(xiǎn)(COBIT流程索引PO9)
    l 監(jiān)控流程(COBIT流程索引M1)
    對(duì)系統(tǒng)安全參數(shù)適當(dāng)性的審計(jì),例如,UNIX,WINDOWS NT,RACF,應(yīng)當(dāng)考慮管理層的安全政策(PO6),安全責(zé)任的分派(PO4),風(fēng)險(xiǎn)評(píng)估程序(PO9),安全政策遵循情況的監(jiān)督程序(M1)。即使這些參數(shù)與內(nèi)部審計(jì)師“實(shí)務(wù)”的觀點(diǎn)不一致,在考慮管理層認(rèn)識(shí)到風(fēng)險(xiǎn),以及指引如何應(yīng)特定風(fēng)險(xiǎn)水平的管理政策的情況下,這些參數(shù)可能被評(píng)估為適當(dāng)?shù)?。審?jì)建議應(yīng)針對(duì)風(fēng)險(xiǎn)管理或政策,以及詳細(xì)的系統(tǒng)安全參數(shù)本身。