2010國(guó)際內(nèi)審師《經(jīng)營(yíng)分析和信息技術(shù)》知識(shí)講義:第五章(1)

字號(hào):

IC01 控制框架
    該部分大綱主要涉及的就是兩個(gè)主要控制框架:COBIT和SAC(eSAC)。
    1.COBIT的含義
    COBIT(Control Objectives for Information and related Technology)是目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn),由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)在1996年公布。這是一個(gè)在國(guó)際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn),目前已經(jīng)更新至第三版。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁,以滿足管理的多方面需要。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用,指導(dǎo)這些組織有效利用信息資源,有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。
    COBIT將IT過(guò)程、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來(lái),形成一個(gè)三維的體系結(jié)構(gòu)。
    其中,IT準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo),主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性;IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源,這是IT治理過(guò)程的主要對(duì)象;IT過(guò)程維則是在IT準(zhǔn)則的指導(dǎo)下,對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理,從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過(guò)程,每個(gè)處理過(guò)程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過(guò)程進(jìn)行評(píng)估。
    COBIT是一個(gè)非常有用的工具,也非常易于理解和實(shí)施,可以幫助在管理層、IT與審計(jì)之間交流的鴻溝上搭建橋梁,提供了彼此之間溝通的共同語(yǔ)言。幾乎每個(gè)機(jī)構(gòu)都可以從COBIT中獲益,來(lái)決定基于IT過(guò)程及他們所支持的商業(yè)功能的合理控制。當(dāng)我們知道這些商業(yè)功能是什么,其對(duì)企業(yè)的關(guān)鍵到什么程度時(shí),就能對(duì)這些事件進(jìn)行良好的分類。所有的信息系統(tǒng)審計(jì)、控制及安全專業(yè)人員應(yīng)該考慮采用COBIT原則。
    COBIT的優(yōu)點(diǎn)
    ● 通過(guò)實(shí)施COBIT,增加了管理層對(duì)控制的感知及支持。COBIT幫助管理層懂得控制如何影響商業(yè)功能。COBIT提供的實(shí)施工具集包括優(yōu)秀的案例資料(提供模板商業(yè)過(guò)程,使得優(yōu)秀范例能夠迅速移植),幫助向管理層很好地表述IT管理概念。管理層在基于控制實(shí)踐基礎(chǔ)上做出正確決策的能力亦得到了提高。
    ● COBIT使IT管理工作簡(jiǎn)易并量化,減輕對(duì)復(fù)雜信息系統(tǒng)管理工作的難度,并且可以應(yīng)用在每天都在發(fā)生的各種新問(wèn)題中。對(duì)于那些不具有廣博IT知識(shí)的人來(lái)講,是一個(gè)認(rèn)清信息技術(shù)的有價(jià)值的工具。它也使得信息系統(tǒng)審計(jì)師具有與IT專業(yè)人員相同的專業(yè)廣度,并且可以詢問(wèn)IT工程相關(guān)的問(wèn)題。
    ● COBIT提供了一種國(guó)際通用的IT管理及問(wèn)題解決方案,普遍適用于各種不同的商業(yè)項(xiàng)目和審計(jì),并且它既包容了當(dāng)前的情況,也提供將來(lái)可能會(huì)使用到的指導(dǎo)方針。
    ● COBIT有助于提高信息系統(tǒng)審計(jì)師的影響力,依據(jù)COBIT出具的信息系統(tǒng)審計(jì)報(bào)告更容易得到管理層的肯定。
    ● COBIT框架可以幫助決定過(guò)程責(zé)任,提高IT治理水平。通過(guò)采用該框架作為對(duì)一個(gè)責(zé)任矩陣分析的基礎(chǔ),可以做到基于角色的IT管理,定義過(guò)程措施,確??蛻衾妗?BR>    2.關(guān)于eSAC需要了解的內(nèi)容
    國(guó)際內(nèi)審研究院(IIA)在1977年第一次明確提出SAC的概念。當(dāng)時(shí)SAC指的是系統(tǒng)審計(jì)和控制(systems auditability and control)。由國(guó)際內(nèi)審研究基金會(huì)在1991年和1994年進(jìn)行較大更新后,SAC是指系統(tǒng)鑒證與控制(system assurance and control)。目前,SAC已成為IT審計(jì)師在信息技術(shù)安全、控制與審計(jì)領(lǐng)域中的重要指南。
    在新版本中,可審計(jì)性(auditability)一詞已被鑒證(assurance)替代.這是因?yàn)槲覀冎饾u認(rèn)識(shí)到治理(governance)和融合(alliance)的重要性,要在組織內(nèi)部及與業(yè)務(wù)伙伴的合作中,保證對(duì)信息系統(tǒng)有足夠的控制,以保護(hù)系統(tǒng)的安全性、可審計(jì)性。
    在電子商務(wù)時(shí)代,隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,系統(tǒng)中的控制及相互依賴性已經(jīng)沒(méi)有組織與地理位置的限制,普遍存在于各種組織中.不管是什么規(guī)模的組織,都需要有一套控制指南來(lái)有效地管理信息系統(tǒng)和技術(shù),并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新系統(tǒng)。信息系統(tǒng)審計(jì)師及IT安全從業(yè)人員必須知道威脅來(lái)自何處,如何管理這些威脅帶來(lái)的風(fēng)險(xiǎn),而且也要知道如何與不同層次的管理人員共同討論安全問(wèn)題。我們?cè)诳紤]信息與系統(tǒng)安全時(shí),著重要回答以下關(guān)鍵問(wèn)題:“如何管理lT風(fēng)險(xiǎn)?”,“如何判斷安全與控制措施是否完備?”,“誰(shuí)可以為IT安全提供鑒證?”,“鑒證可以說(shuō)明什么?”等。這就是制訂SAC控制規(guī)范的主要原因。
    SAC通過(guò)提供及時(shí)更新的信息,幫助我們理解、監(jiān)測(cè)、評(píng)估及降低技術(shù)風(fēng)險(xiǎn)。SAC檢查業(yè)務(wù)系統(tǒng)各個(gè)組成部分的風(fēng)險(xiǎn),包括客戶、競(jìng)爭(zhēng)對(duì)手、監(jiān)管部門及合作伙伴。
    在新版本SAC中,一個(gè)重要特征就是提出了eSAC控制模型。該模型的建立有利于對(duì)在電子商務(wù)環(huán)境中的目標(biāo)、風(fēng)險(xiǎn)及減輕威脅造成的風(fēng)險(xiǎn)的措施三者的關(guān)系進(jìn)行討論。
    目前有許多不同的風(fēng)險(xiǎn)與控制模型,任何一種模型都有其特定的是用對(duì)象及范圍,組織必須進(jìn)行合理剪裁,以適合組織的實(shí)際情況.eSAC模型可以較好地反映快速變化的技術(shù)環(huán)境及電子商務(wù)模式所帶來(lái)的風(fēng)險(xiǎn),并給出如何管理這些風(fēng)險(xiǎn)的建議.
    模型中的左邊箭頭表示的是組織的任務(wù),包括組織的價(jià)值取向、企業(yè)戰(zhàn)略、主要目標(biāo)等。右邊箭頭表示的是組織獲得所期望的回報(bào),同時(shí)滿足組織形象與聲望的完善,及獲得進(jìn)一步提高績(jī)效的學(xué)習(xí)能力。
    從目標(biāo)到結(jié)果需要建立合理的控制環(huán)境,包括系統(tǒng)運(yùn)營(yíng)的效果和效率(operating),財(cái)務(wù)及管理的報(bào)告(reporting),法律、法規(guī)的符合性(compliance),對(duì)信息資產(chǎn)的保護(hù)(safeguarding).
    控制的效果要用與電子商務(wù)相關(guān)的各種控制屬性來(lái)描述,如可用性(availability)、實(shí)際能力(capability)、機(jī)能性(functionality)、可保護(hù)性(protectability)、責(zé)任性(accountability),這些屬性都可被稱作業(yè)務(wù)鑒證目標(biāo),為人們正確看待各種控制提供了更廣闊而準(zhǔn)確的框架,對(duì)任何業(yè)務(wù)的控制都可以通過(guò)控制屬性的組合來(lái)實(shí)現(xiàn).例如,對(duì)隱私問(wèn)題的控制可以通過(guò)可保護(hù)性和責(zé)任性的組合來(lái)實(shí)現(xiàn).
    要實(shí)現(xiàn)有效控制,需要利用各種資源,如人員(people)、技術(shù)(technology)、流程(processes)、投資(investment)、溝通(communication)。
    影響內(nèi)部控制環(huán)境的外部因素主要有兩種,如多方向的箭頭表述了與外部實(shí)體(供應(yīng)商、合作伙伴、代理商)之間的交互作用及相互依賴性,單方向箭關(guān)表述了外部市場(chǎng)力量(如客戶、競(jìng)爭(zhēng)對(duì)手、監(jiān)管者、共同體、股東)和不斷變化的環(huán)境對(duì)內(nèi)部控制的影響.
    橢圓形區(qū)域表示動(dòng)態(tài)的控制內(nèi)外部環(huán)境,為保證控制環(huán)境相對(duì)穩(wěn)定和可控,就必須對(duì)環(huán)境進(jìn)行監(jiān)測(cè)與預(yù)測(cè),使相關(guān)風(fēng)險(xiǎn)被控制在一個(gè)組織可以接受的水平。