發(fā)表時間:2011/11/3 16:03:43 來源:互聯(lián)網(wǎng)
點擊關注微信:
2011年內審師考試經(jīng)營分析和信息技術輔導資料
1.2 eSAC
關于eSAC需要了解的內容
國際內審研究院(IIA)在1977年第一次明確提出SAC的概念。當時SAC指的是系統(tǒng)審計和控制(systems auditability and control)���。由國際內審研究基金會在1991年和1994年進行較大更新后,SAC是指系統(tǒng)鑒證與控制(systemas surance and control)�����。目前�,SAC已成為IT審計師在信息技術安全、控制與審計領域中的重要指南���。
在新版本中,可審計性(audit ability)一詞已被鑒證(assurance)替代.這是因為我們逐漸認識到治理(governance)和融合(alliance)的重要性,要在組織內部及與業(yè)務伙伴的合作中,保證對信息系統(tǒng)有足夠的控制,以保護系統(tǒng)的安全性、可審計性���。
在電子商務時代�����,隨著互聯(lián)網(wǎng)技術的飛速發(fā)展����,系統(tǒng)中的控制及相互依賴性已經(jīng)沒有組織與地理位置的限制,普遍存在于各種組織中.不管是什么規(guī)模的組織����,都需要有一套控制指南來有效地管理信息系統(tǒng)和技術,并隨著業(yè)務環(huán)境的變化和新技術的發(fā)展及時更新系統(tǒng)��。信息系統(tǒng)審計師及IT安全從業(yè)人員必須知道威脅來自何處�,如何管理這些威脅帶來的風險,而且也要知道如何與不同層次的管理人員共同討論安全問題�����。我們在考慮信息與系統(tǒng)安全時�����,著重要回答以下關鍵問題:"如何管理IT風險?""如何判斷安全與控制措施是否完備?""誰可以為IT安全提供鑒證?""鑒證可以說明什么?"等����。這就是制訂SAC控制規(guī)范的主要原因。
SAC通過提供及時更新的信息�,幫助我們理解、監(jiān)測、評估及降低技術風險��。SAC檢查業(yè)務系統(tǒng)各個組成部分的風險�,包括客戶、競爭對手���、監(jiān)管部門及合作伙伴���。
在新版本SAC中,一個重要特征就是提出了eSAC控制模型���。該模型的建立有利于對在電子商務環(huán)境中的目標�、風險及減輕威脅造成的風險的措施三者的關系進行討論����。
2011年內審師考試經(jīng)營分析和信息技術輔導資料
目前有許多不同的風險與控制模型,任何一種模型都有其特定的適用對象及范圍,組織必須進行合理剪裁,以適合組織的實際情況.eSAC模型可以較好地反映快速變化的技術環(huán)境及電子商務模式所帶來的風險,并給出如何管理這些風險的建議
模型中的左邊箭頭表示的是組織的任務,包括組織的價值取向�、企業(yè)戰(zhàn)略、主要目標等����。右邊箭頭表示的是組織獲得所期望的回報���,同時滿足組織形象與聲望的完善�,及獲得進一步提高績效的學習能力。
從目標到結果需要建立合理的控制環(huán)境,包括系統(tǒng)運營的效果和效率(operating),財務及管理的報告(reporting),法律�、法規(guī)的符合性(compliance),對信息資產的保護(safeguarding)。
控制的效果要用與電子商務相關的各種控制屬性來描述,如可用性(availability)��、實際能力(capability)�、機能性(functionality)、可保護性(protect ability)����、責任性(accountability),這些屬性都可被稱作業(yè)務鑒證目標,為人們正確看待各種控制提供了更廣闊而準確的框架,對任何業(yè)務的控制都可以通過控制屬性的組合來實現(xiàn).例如,對隱私問題的控制可以通過可保護性和責任性的組合來實現(xiàn)。
要實現(xiàn)有效控制�,需要利用各種資源,如人員(people)����、技術(technology)、流程(processes)��、投資(investment)��、溝通(communication)���。
影響內部控制環(huán)境的外部因素主要有兩種�����,如多方向的箭頭表述了與外部實體(供應商��、合作伙伴���、代理商)之間的交互作用及相互依賴性�,單方向箭頭表述了外部市場力量(如客戶��、競爭對手�����、監(jiān)管者�、共同體、股東)和不斷變化的環(huán)境對內部控制的影響
橢圓形區(qū)域表示動態(tài)的控制內外部環(huán)境���,為保證控制環(huán)境相對穩(wěn)定和可控�����,就必須對環(huán)境進行監(jiān)測與預測���,使相關風險被控制在一個組織可以接受的水平。
相關文章
2011年國際內審師考試輔導:控制框架匯總
更多內審師模擬試題查看 中大網(wǎng)校內審師考試頻道
編輯推薦:
2011年內部審計師考試免費短信提醒
2011年內部審計師考試免費在線模擬考試
2011年內部審計師考試歷年試題
(責任編輯:中大編輯)
