2008年國際注冊內(nèi)部審計師考試輔導(dǎo)501

1、.TOPIC01控制框架該部分大綱主要涉及的就是兩個主要控制框架：COBIT和SAC（eSAC）。1.COBIT的含義COBIT（Control Objectives for Information and related Technology）是目前國際上通用的信息系統(tǒng)審計的標準，由信息系統(tǒng)審計與控制協(xié)會在1996年公布。這是一個在國際上公認的、權(quán)威的安全與信息技術(shù)管理和控制的標準，目前已經(jīng)更新至第三版。它在商業(yè)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。該標準體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。C

2、OBIT將IT過程、IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。其中，IT準則維集中反映了企業(yè)的戰(zhàn)略目標，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是IT治理過程的主要對象；IT過程維則是在IT準則的指導(dǎo)下，對信息及相關(guān)資源進行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面確定了34個信息技術(shù)處理過程，每個處理過程還包括更加詳細的控制目標和審計方針對IT處理過程進行評估。COBIT是一個非常有用的工具，也

3、非常易于理解和實施，可以幫助在管理層、IT與審計之間交流的鴻溝上搭建橋梁，提供了彼此之間溝通的共同語言。幾乎每個機構(gòu)都可以從COBIT中獲益，來決定基于IT過程及他們所支持的商業(yè)功能的合理控制。當(dāng)我們知道這些商業(yè)功能是什么，其對企業(yè)的關(guān)鍵到什么程度時，就能對這些事件進行良好的分類。所有的信息系統(tǒng)審計、控制及安全專業(yè)人員應(yīng)該考慮采用COBIT原則。COBIT的優(yōu)點 通過實施COBIT，增加了管理層對控制的感知及支持。COBIT幫助管理層懂得控制如何影響商業(yè)功能。COBIT提供的實施工具集包括優(yōu)秀的案例資料（提供模板商業(yè)過程，使得優(yōu)秀范例能夠迅速移植），幫助向管理層很好地表述IT管理概念。管理層在

4、基于最佳控制實踐基礎(chǔ)上做出正確決策的能力亦得到了提高。 COBIT使IT管理工作簡易并量化，減輕對復(fù)雜信息系統(tǒng)管理工作的難度，并且可以應(yīng)用在每天都在發(fā)生的各種新問題中。對于那些不具有廣博IT知識的人來講，是一個認清信息技術(shù)的有價值的工具。它也使得信息系統(tǒng)審計師具有與IT專業(yè)人員相同的專業(yè)廣度，并且可以詢問IT工程相關(guān)的問題。 COBIT提供了一種國際通用的IT管理及問題解決方案，普遍適用于各種不同的商業(yè)項目和審計，并且它既包容了當(dāng)前的情況，也提供將來可能會使用到的指導(dǎo)方針。 COBIT有助于提高信息系統(tǒng)審計師的影響力，依據(jù)COBIT出具的信息系統(tǒng)審計報告更容易得到管理層的肯定。 COBIT框架

5、可以幫助決定過程責(zé)任，提高IT治理水平。通過采用該框架作為對一個責(zé)任矩陣分析的基礎(chǔ)，可以做到基于角色的IT管理，定義過程措施,確?？蛻衾妗?.關(guān)于eSAC需要了解的內(nèi)容國際內(nèi)審研究院（IIA）在1977年第一次明確提出SAC的概念。當(dāng)時SAC指的是系統(tǒng)審計和控制（systems auditability and control）。由國際內(nèi)審研究基金會在1991年和1994年進行較大更新后，SAC是指系統(tǒng)鑒證與控制（system assurance and control）。目前，SAC已成為IT審計師在信息技術(shù)安全、控制與審計領(lǐng)域中的重要指南。在新版本中,可審計性（auditability）

6、一詞已被鑒證（assurance）替代.這是因為我們逐漸認識到治理（governance）和融合（alliance）的重要性,要在組織內(nèi)部及與業(yè)務(wù)伙伴的合作中，保證對信息系統(tǒng)有足夠的控制，以保護系統(tǒng)的安全性、可審計性。在電子商務(wù)時代，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，系統(tǒng)中的控制及相互依賴性已經(jīng)沒有組織與地理位置的限制，普遍存在于各種組織中.不管是什么規(guī)模的組織，都需要有一套控制指南來有效地管理信息系統(tǒng)和技術(shù)，并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時更新系統(tǒng)。信息系統(tǒng)審計師及IT安全從業(yè)人員必須知道威脅來自何處，如何管理這些威脅帶來的風(fēng)險，而且也要知道如何與不同層次的管理人員共同討論安全問題。我們在考慮

7、信息與系統(tǒng)安全時，著重要回答以下關(guān)鍵問題：“如何管理lT風(fēng)險?”，“如何判斷安全與控制措施是否完備?”，“誰可以為IT安全提供鑒證?”，“鑒證可以說明什么?”等。這就是制訂SAC控制規(guī)范的主要原因。SAC通過提供及時更新的信息，幫助我們理解、監(jiān)測、評估及降低技術(shù)風(fēng)險。SAC檢查業(yè)務(wù)系統(tǒng)各個組成部分的風(fēng)險，包括客戶、競爭對手、監(jiān)管部門及合作伙伴。在新版本SAC中，一個重要特征就是提出了eSAC控制模型。該模型的建立有利于對在電子商務(wù)環(huán)境中的目標、風(fēng)險及減輕威脅造成的風(fēng)險的措施三者的關(guān)系進行討論。目前有許多不同的風(fēng)險與控制模型,任何一種模型都有其特定的是用對象及范圍,組織必須進行合理剪裁,以適合組

8、織的實際情況.eSAC模型可以較好地反映快速變化的技術(shù)環(huán)境及電子商務(wù)模式所帶來的風(fēng)險,并給出如何管理這些風(fēng)險的建議.模型中的左邊箭頭表示的是組織的任務(wù)，包括組織的價值取向、企業(yè)戰(zhàn)略、主要目標等。右邊箭頭表示的是組織獲得所期望的回報，同時滿足組織形象與聲望的完善，及獲得進一步提高績效的學(xué)習(xí)能力。從目標到結(jié)果需要建立合理的控制環(huán)境,包括系統(tǒng)運營的效果和效率（operating）,財務(wù)及管理的報告（reporting）,法律、法規(guī)的符合性（compliance）,對信息資產(chǎn)的保護（safeguarding）.控制的效果要用與電子商務(wù)相關(guān)的各種控制屬性來描述,如可用性（availability）、實際

9、能力（capability）、機能性（functionality）、可保護性（protectability）、責(zé)任性（accountability）,這些屬性都可被稱作業(yè)務(wù)鑒證目標,為人們正確看待各種控制提供了更廣闊而準確的框架,對任何業(yè)務(wù)的控制都可以通過控制屬性的組合來實現(xiàn).例如,對隱私問題的控制可以通過可保護性和責(zé)任性的組合來實現(xiàn).要實現(xiàn)有效控制，需要利用各種資源，如人員（people）、技術(shù)（technology）、流程（processes）、投資（investment）、溝通（communication）。影響內(nèi)部控制環(huán)境的外部因素主要有兩種，如多方向的箭頭表述了與外部實體（供應(yīng)商、合

10、作伙伴、代理商）之間的交互作用及相互依賴性，單方向箭關(guān)表述了外部市場力量（如客戶、競爭對手、監(jiān)管者、共同體、股東）和不斷變化的環(huán)境對內(nèi)部控制的影響.橢圓形區(qū)域表示動態(tài)的控制內(nèi)外部環(huán)境，為保證控制環(huán)境相對穩(wěn)定和可控，就必須對環(huán)境進行監(jiān)測與預(yù)測，使相關(guān)風(fēng)險被控制在一個組織可以接受的水平。典型試題【例題】根據(jù)IIA的SAC控制框架，除了以下（）條外，其他都是對來自技術(shù)挑戰(zhàn)的有效反應(yīng)。A.風(fēng)險評估B.內(nèi)部控制C.變更最小化D.電子鑒證服務(wù)答疑編號811050101【答案】C【解析】A.不正確。SAC描述了一系列對技術(shù)挑戰(zhàn)的有效反應(yīng)，這些反應(yīng)包括對電子商務(wù)的風(fēng)險評估、內(nèi)部控制目標和電子鑒證服務(wù)。B.不正

11、確。見題解A。C.正確。SAC控制框架中，對來自技術(shù)挑戰(zhàn)的有效反應(yīng)不包括變更最小化。D.不正確。見題解A?！纠}】根據(jù)IIA的SAC控制框架，責(zé)任是指（）。A.與商業(yè)機密和其他知識產(chǎn)權(quán)相關(guān)的屬性B.可以確定交易來源的控制屬性C.對數(shù)據(jù)處理設(shè)備和存儲設(shè)備的訪問限制D.與員工和客戶的個人信息相關(guān)的屬性答疑編號811050102【答案】B【解析】A.不正確。與商業(yè)機密和其他知識產(chǎn)權(quán)相關(guān)的屬性與機密性相關(guān)。B.正確?！柏?zé)任”是一種可以確定交易來源的控制屬性。它確定員工的角色、行動和責(zé)任。用戶責(zé)任屬性可以由數(shù)據(jù)的所有者關(guān)系、訪問者的身份與驗證來確定。C.不正確。對數(shù)據(jù)處理設(shè)備和存儲設(shè)備的訪問限制與物理安

12、全相關(guān)。D.不正確。與員工和客戶的個人信息相關(guān)的屬性與個人隱私相關(guān)?！纠}】COBIT是（）。A.對IT流程實施有效控制的輔助指南B.對風(fēng)險及對技術(shù)挑戰(zhàn)的反應(yīng)C.對以前的“系統(tǒng)審計與控制框架”SAC的升級D.由COSO委員會出版發(fā)行答疑編號811050103【答案】A 【解析】A.正確。COBIT是由信息系統(tǒng)審計與控制基金會制定的一種IT控制框架。COBIT提供了一套指南來協(xié)助管理人員和業(yè)務(wù)人員對IT流程和資源實施控制。COBIT被設(shè)計成一種IT治理工具，有助于理解和管理組織中的信息及與IT相關(guān)的風(fēng)險與利益。B.不正確。對風(fēng)險及對技術(shù)挑戰(zhàn)的反應(yīng)是SAC的特征。C.不正確。Systems Assurance and Control才是對SystemsAuditability and Control的升級。D.不正確。COBIT是由ISACA出版發(fā)行的。 【例題】COBIT的目標用戶不包括以下（）類人員?A.管理人員B.用戶C.股東D.審計師答疑編號811050104【答案】C【解析】A.不