發表時間:2011/11/3 16:03:43 來源:互聯網
點擊關注微信:
2011年內審師考試經營分析和信息技術輔導資料
1.2 eSAC
關于eSAC需要了解的內容
國際內審研究院(IIA)在1977年第一次明確提出SAC的概念�����。當時SAC指的是系統審計和控制(systems auditability and control)�。由國際內審研究基金會在1991年和1994年進行較大更新后�����,SAC是指系統鑒證與控制(systemas surance and control)。目前�����,SAC已成為IT審計師在信息技術安全����、控制與審計領域中的重要指南。
在新版本中,可審計性(audit ability)一詞已被鑒證(assurance)替代.這是因為我們逐漸認識到治理(governance)和融合(alliance)的重要性,要在組織內部及與業務伙伴的合作中,保證對信息系統有足夠的控制,以保護系統的安全性、可審計性。
在電子商務時代����,隨著互聯網技術的飛速發展����,系統中的控制及相互依賴性已經沒有組織與地理位置的限制����,普遍存在于各種組織中.不管是什么規模的組織,都需要有一套控制指南來有效地管理信息系統和技術,并隨著業務環境的變化和新技術的發展及時更新系統����。信息系統審計師及IT安全從業人員必須知道威脅來自何處�����,如何管理這些威脅帶來的風險�����,而且也要知道如何與不同層次的管理人員共同討論安全問題�。我們在考慮信息與系統安全時,著重要回答以下關鍵問題:"如何管理IT風險?""如何判斷安全與控制措施是否完備?""誰可以為IT安全提供鑒證?""鑒證可以說明什么?"等�。這就是制訂SAC控制規范的主要原因�。
SAC通過提供及時更新的信息����,幫助我們理解、監測、評估及降低技術風險����。SAC檢查業務系統各個組成部分的風險�����,包括客戶、競爭對手�����、監管部門及合作伙伴����。
在新版本SAC中,一個重要特征就是提出了eSAC控制模型�。該模型的建立有利于對在電子商務環境中的目標�����、風險及減輕威脅造成的風險的措施三者的關系進行討論。
2011年內審師考試經營分析和信息技術輔導資料
目前有許多不同的風險與控制模型,任何一種模型都有其特定的適用對象及范圍,組織必須進行合理剪裁,以適合組織的實際情況.eSAC模型可以較好地反映快速變化的技術環境及電子商務模式所帶來的風險,并給出如何管理這些風險的建議
模型中的左邊箭頭表示的是組織的任務�,包括組織的價值取向�、企業戰略�、主要目標等。右邊箭頭表示的是組織獲得所期望的回報����,同時滿足組織形象與聲望的完善����,及獲得進一步提高績效的學習能力�����。
從目標到結果需要建立合理的控制環境,包括系統運營的效果和效率(operating),財務及管理的報告(reporting),法律、法規的符合性(compliance),對信息資產的保護(safeguarding)�����。
控制的效果要用與電子商務相關的各種控制屬性來描述,如可用性(availability)�、實際能力(capability)、機能性(functionality)�、可保護性(protect ability)����、責任性(accountability),這些屬性都可被稱作業務鑒證目標,為人們正確看待各種控制提供了更廣闊而準確的框架,對任何業務的控制都可以通過控制屬性的組合來實現.例如,對隱私問題的控制可以通過可保護性和責任性的組合來實現����。
要實現有效控制,需要利用各種資源�����,如人員(people)����、技術(technology)、流程(processes)�����、投資(investment)、溝通(communication)�����。
影響內部控制環境的外部因素主要有兩種�����,如多方向的箭頭表述了與外部實體(供應商、合作伙伴�����、代理商)之間的交互作用及相互依賴性�����,單方向箭頭表述了外部市場力量(如客戶�、競爭對手����、監管者、共同體、股東)和不斷變化的環境對內部控制的影響
橢圓形區域表示動態的控制內外部環境�����,為保證控制環境相對穩定和可控����,就必須對環境進行監測與預測,使相關風險被控制在一個組織可以接受的水平。
相關文章
2011年國際內審師考試輔導:控制框架匯總
更多內審師模擬試題查看 中大網校內審師考試頻道
編輯推薦:
2011年內部審計師考試免費短信提醒
2011年內部審計師考試免費在線模擬考試
2011年內部審計師考試歷年試題
(責任編輯:中大編輯)
