發(fā)表時間:2011/11/3 16:03:43 來源:互聯(lián)網(wǎng)
點擊關(guān)注微信:
2011年內(nèi)審師考試經(jīng)營分析和信息技術(shù)輔導(dǎo)資料
1.2 eSAC
關(guān)于eSAC需要了解的內(nèi)容
國際內(nèi)審研究院(IIA)在1977年第一次明確提出SAC的概念。當(dāng)時SAC指的是系統(tǒng)審計和控制(systems auditability and control)���。由國際內(nèi)審研究基金會在1991年和1994年進(jìn)行較大更新后���,SAC是指系統(tǒng)鑒證與控制(systemas surance and control)。目前,SAC已成為IT審計師在信息技術(shù)安全��、控制與審計領(lǐng)域中的重要指南。
在新版本中,可審計性(audit ability)一詞已被鑒證(assurance)替代.這是因為我們逐漸認(rèn)識到治理(governance)和融合(alliance)的重要性,要在組織內(nèi)部及與業(yè)務(wù)伙伴的合作中,保證對信息系統(tǒng)有足夠的控制,以保護(hù)系統(tǒng)的安全性、可審計性。
在電子商務(wù)時代����,隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展���,系統(tǒng)中的控制及相互依賴性已經(jīng)沒有組織與地理位置的限制����,普遍存在于各種組織中.不管是什么規(guī)模的組織��,都需要有一套控制指南來有效地管理信息系統(tǒng)和技術(shù),并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時更新系統(tǒng)�。信息系統(tǒng)審計師及IT安全從業(yè)人員必須知道威脅來自何處,如何管理這些威脅帶來的風(fēng)險���,而且也要知道如何與不同層次的管理人員共同討論安全問題��。我們在考慮信息與系統(tǒng)安全時�����,著重要回答以下關(guān)鍵問題:"如何管理IT風(fēng)險?""如何判斷安全與控制措施是否完備?""誰可以為IT安全提供鑒證?""鑒證可以說明什么?"等����。這就是制訂SAC控制規(guī)范的主要原因�����。
SAC通過提供及時更新的信息,幫助我們理解�����、監(jiān)測���、評估及降低技術(shù)風(fēng)險�。SAC檢查業(yè)務(wù)系統(tǒng)各個組成部分的風(fēng)險���,包括客戶、競爭對手、監(jiān)管部門及合作伙伴。
在新版本SAC中��,一個重要特征就是提出了eSAC控制模型。該模型的建立有利于對在電子商務(wù)環(huán)境中的目標(biāo)、風(fēng)險及減輕威脅造成的風(fēng)險的措施三者的關(guān)系進(jìn)行討論。
2011年內(nèi)審師考試經(jīng)營分析和信息技術(shù)輔導(dǎo)資料
目前有許多不同的風(fēng)險與控制模型,任何一種模型都有其特定的適用對象及范圍,組織必須進(jìn)行合理剪裁,以適合組織的實際情況.eSAC模型可以較好地反映快速變化的技術(shù)環(huán)境及電子商務(wù)模式所帶來的風(fēng)險,并給出如何管理這些風(fēng)險的建議
模型中的左邊箭頭表示的是組織的任務(wù)�,包括組織的價值取向、企業(yè)戰(zhàn)略、主要目標(biāo)等��。右邊箭頭表示的是組織獲得所期望的回報�,同時滿足組織形象與聲望的完善��,及獲得進(jìn)一步提高績效的學(xué)習(xí)能力�����。
從目標(biāo)到結(jié)果需要建立合理的控制環(huán)境,包括系統(tǒng)運營的效果和效率(operating),財務(wù)及管理的報告(reporting),法律、法規(guī)的符合性(compliance),對信息資產(chǎn)的保護(hù)(safeguarding)����。
控制的效果要用與電子商務(wù)相關(guān)的各種控制屬性來描述,如可用性(availability)�、實際能力(capability)、機能性(functionality)���、可保護(hù)性(protect ability)、責(zé)任性(accountability),這些屬性都可被稱作業(yè)務(wù)鑒證目標(biāo),為人們正確看待各種控制提供了更廣闊而準(zhǔn)確的框架,對任何業(yè)務(wù)的控制都可以通過控制屬性的組合來實現(xiàn).例如,對隱私問題的控制可以通過可保護(hù)性和責(zé)任性的組合來實現(xiàn)����。
要實現(xiàn)有效控制,需要利用各種資源���,如人員(people)、技術(shù)(technology)、流程(processes)、投資(investment)���、溝通(communication)。
影響內(nèi)部控制環(huán)境的外部因素主要有兩種�����,如多方向的箭頭表述了與外部實體(供應(yīng)商�����、合作伙伴、代理商)之間的交互作用及相互依賴性�����,單方向箭頭表述了外部市場力量(如客戶����、競爭對手、監(jiān)管者����、共同體、股東)和不斷變化的環(huán)境對內(nèi)部控制的影響
橢圓形區(qū)域表示動態(tài)的控制內(nèi)外部環(huán)境��,為保證控制環(huán)境相對穩(wěn)定和可控��,就必須對環(huán)境進(jìn)行監(jiān)測與預(yù)測����,使相關(guān)風(fēng)險被控制在一個組織可以接受的水平。
相關(guān)文章
2011年國際內(nèi)審師考試輔導(dǎo):控制框架匯總
更多內(nèi)審師模擬試題查看 中大網(wǎng)校內(nèi)審師考試頻道
編輯推薦:
2011年內(nèi)部審計師考試免費短信提醒
2011年內(nèi)部審計師考試免費在線模擬考試
2011年內(nèi)部審計師考試歷年試題
(責(zé)任編輯:中大編輯)
共2頁,當(dāng)前第1頁 第一頁 前一頁 下一頁
