發(fā)表時(shí)間:2011/11/3 16:03:43 來(lái)源:互聯(lián)網(wǎng)
點(diǎn)擊關(guān)注微信:
2011年內(nèi)審師考試經(jīng)營(yíng)分析和信息技術(shù)輔導(dǎo)資料
1.2 eSAC
關(guān)于eSAC需要了解的內(nèi)容
國(guó)際內(nèi)審研究院(IIA)在1977年第一次明確提出SAC的概念。當(dāng)時(shí)SAC指的是系統(tǒng)審計(jì)和控制(systems auditability and control)。由國(guó)際內(nèi)審研究基金會(huì)在1991年和1994年進(jìn)行較大更新后,SAC是指系統(tǒng)鑒證與控制(systemas surance and control)。目前�,SAC已成為IT審計(jì)師在信息技術(shù)安全��、控制與審計(jì)領(lǐng)域中的重要指南�����。
在新版本中,可審計(jì)性(audit ability)一詞已被鑒證(assurance)替代.這是因?yàn)槲覀冎饾u認(rèn)識(shí)到治理(governance)和融合(alliance)的重要性,要在組織內(nèi)部及與業(yè)務(wù)伙伴的合作中,保證對(duì)信息系統(tǒng)有足夠的控制,以保護(hù)系統(tǒng)的安全性�、可審計(jì)性�。
在電子商務(wù)時(shí)代�,隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,系統(tǒng)中的控制及相互依賴(lài)性已經(jīng)沒(méi)有組織與地理位置的限制�,普遍存在于各種組織中.不管是什么規(guī)模的組織�����,都需要有一套控制指南來(lái)有效地管理信息系統(tǒng)和技術(shù),并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新系統(tǒng)���。信息系統(tǒng)審計(jì)師及IT安全從業(yè)人員必須知道威脅來(lái)自何處,如何管理這些威脅帶來(lái)的風(fēng)險(xiǎn)�,而且也要知道如何與不同層次的管理人員共同討論安全問(wèn)題��。我們?cè)诳紤]信息與系統(tǒng)安全時(shí),著重要回答以下關(guān)鍵問(wèn)題:"如何管理IT風(fēng)險(xiǎn)?""如何判斷安全與控制措施是否完備?""誰(shuí)可以為IT安全提供鑒證?""鑒證可以說(shuō)明什么?"等���。這就是制訂SAC控制規(guī)范的主要原因。
SAC通過(guò)提供及時(shí)更新的信息��,幫助我們理解��、監(jiān)測(cè)�、評(píng)估及降低技術(shù)風(fēng)險(xiǎn)����。SAC檢查業(yè)務(wù)系統(tǒng)各個(gè)組成部分的風(fēng)險(xiǎn)����,包括客戶(hù)����、競(jìng)爭(zhēng)對(duì)手、監(jiān)管部門(mén)及合作伙伴。
在新版本SAC中�,一個(gè)重要特征就是提出了eSAC控制模型��。該模型的建立有利于對(duì)在電子商務(wù)環(huán)境中的目標(biāo)、風(fēng)險(xiǎn)及減輕威脅造成的風(fēng)險(xiǎn)的措施三者的關(guān)系進(jìn)行討論。
2011年內(nèi)審師考試經(jīng)營(yíng)分析和信息技術(shù)輔導(dǎo)資料
目前有許多不同的風(fēng)險(xiǎn)與控制模型,任何一種模型都有其特定的適用對(duì)象及范圍,組織必須進(jìn)行合理剪裁,以適合組織的實(shí)際情況.eSAC模型可以較好地反映快速變化的技術(shù)環(huán)境及電子商務(wù)模式所帶來(lái)的風(fēng)險(xiǎn),并給出如何管理這些風(fēng)險(xiǎn)的建議
模型中的左邊箭頭表示的是組織的任務(wù)�,包括組織的價(jià)值取向��、企業(yè)戰(zhàn)略�、主要目標(biāo)等。右邊箭頭表示的是組織獲得所期望的回報(bào)�,同時(shí)滿(mǎn)足組織形象與聲望的完善�����,及獲得進(jìn)一步提高績(jī)效的學(xué)習(xí)能力。
從目標(biāo)到結(jié)果需要建立合理的控制環(huán)境,包括系統(tǒng)運(yùn)營(yíng)的效果和效率(operating),財(cái)務(wù)及管理的報(bào)告(reporting),法律��、法規(guī)的符合性(compliance),對(duì)信息資產(chǎn)的保護(hù)(safeguarding)��。
控制的效果要用與電子商務(wù)相關(guān)的各種控制屬性來(lái)描述,如可用性(availability)��、實(shí)際能力(capability)、機(jī)能性(functionality)����、可保護(hù)性(protect ability)��、責(zé)任性(accountability),這些屬性都可被稱(chēng)作業(yè)務(wù)鑒證目標(biāo),為人們正確看待各種控制提供了更廣闊而準(zhǔn)確的框架,對(duì)任何業(yè)務(wù)的控制都可以通過(guò)控制屬性的組合來(lái)實(shí)現(xiàn).例如,對(duì)隱私問(wèn)題的控制可以通過(guò)可保護(hù)性和責(zé)任性的組合來(lái)實(shí)現(xiàn)。
要實(shí)現(xiàn)有效控制���,需要利用各種資源,如人員(people)���、技術(shù)(technology)、流程(processes)����、投資(investment)�����、溝通(communication)。
影響內(nèi)部控制環(huán)境的外部因素主要有兩種�����,如多方向的箭頭表述了與外部實(shí)體(供應(yīng)商��、合作伙伴、代理商)之間的交互作用及相互依賴(lài)性,單方向箭頭表述了外部市場(chǎng)力量(如客戶(hù)、競(jìng)爭(zhēng)對(duì)手��、監(jiān)管者�����、共同體��、股東)和不斷變化的環(huán)境對(duì)內(nèi)部控制的影響
橢圓形區(qū)域表示動(dòng)態(tài)的控制內(nèi)外部環(huán)境,為保證控制環(huán)境相對(duì)穩(wěn)定和可控,就必須對(duì)環(huán)境進(jìn)行監(jiān)測(cè)與預(yù)測(cè)����,使相關(guān)風(fēng)險(xiǎn)被控制在一個(gè)組織可以接受的水平��。
相關(guān)文章
2011年國(guó)際內(nèi)審師考試輔導(dǎo):控制框架匯總
更多內(nèi)審師模擬試題查看 中大網(wǎng)校內(nèi)審師考試頻道
編輯推薦:
2011年內(nèi)部審計(jì)師考試免費(fèi)短信提醒
2011年內(nèi)部審計(jì)師考試免費(fèi)在線模擬考試
2011年內(nèi)部審計(jì)師考試歷年試題
(責(zé)任編輯:中大編輯)
共2頁(yè),當(dāng)前第1頁(yè) 第一頁(yè) 前一頁(yè) 下一頁(yè)
