国际内审师经营分析和信息技术知识点：控制框架

http://zige.eol.cn　　来源：　　作者：网络　　2012-09-04　　大　中　小

　　E01控制框架

　　该部分大纲主要涉及的就是两个主要控制框架：COBIT和SAC(eSAC)

　　1.COBIT的含义

　　COBIT(ControlObjectivesforInformationandrelatedTechnology，信息及相关技术的控制目标)由ITGI(信息技术治理协会)提出，其最新版的COBIT4.1产品家族分三个层次，分别为执行管理层和董事会，业务和IT经理层，治理、鉴证、控制和安全专家提供支持。可见，COBIT已从一个审计师的工具，演变为IT治理框架，它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。

　　COBIT将IT过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。

　　其中，信息准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。

　　COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。COBIT的优点有：

　　通过实施COBIT，增加了管理层对控制的感知及支持。

　　COBIT使IT管理工作简易并量化。

　　COBIT提供了一种国际通用的IT管理及问题解决方案。

　　COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。

　　COBIT框架可以帮助决定过程责任，提高IT治理水平。通过采用该框架作为对一个责任矩阵分析的基础，可以做到基于角色的IT管理，定义过程措施，确保客户利益。

　　1.2eSAC

　　SAC的概念在1977年由国际内审研究院(theInstituteofInternalAuditors-IIA)第一次明确提出，当时SAC是指系统审计与控制(systemsauditabilityandcontrol)。1991年和1994由国际内审研究基金会进行较大更新后，SAC是指系统鉴证与控制(systemsassuranceandcontrol)。SAC已成为IT审计师在信息技术安全、控制与审计领域中的重要指南。

　　在电子商务时代，随着互联网技术的飞速发展，系统中的控制及相互依赖性已经没有组织与地理位置的限制，普遍存在于各种组织中。不管是什么规模的组织，都需要有一套控制指南来有效地管理信息系统和技术，并随着业务环境的变化和新技术的发展及时更新系统。信息系统审计师及IT安全从业人员必须知道威胁来自何处，如何管理这些威胁带来的风险，而且也要知道如何与不同层次的管理人员共同讨论安全问题。我们在考虑信息与系统安全时，着重要回答以下关键问题：“如何管理IT风险？”“如何判断安全与控制措施是否完备？”“谁可以为IT安全提供鉴证？”“鉴证可以说明什么？”等。这就是制订SAC控制规范的主要原因。

　　SAC通过提供及时更新的信息，帮助我们理解、监测、评估及降低技术风险。SAC检查业务系统各个组成部分的风险，包括客户、竞争对手、监管部门及合作伙伴。

　　新版本SAC的一个重要特征就是提出的eSAC控制模型。建立此模型有利于讨论在电子商务环境中的目标、风险及减轻威胁造成的风险的措施三者的关系。目前有许多不同的风险与控制模型，任何一种模型都有其特定的适用对象及范围，组织必须进行合理剪裁，以适合组织的实际情况。eSAC模型可以较好地反映快速变化的技术环境及电子商务模式所带来的风险，并给出如何管理这些风险的建议。

　　模型中的左边箭头表示的是组织的任务，包括组织的价值取向、企业战略、主要目标等。右边箭头表示的是组织获得所期望的回报，同时满足组织形象与声望的完善，及获得进一步提高绩效的学习能力。

　　从目标到结果需要建立合理的控制环境，包括系统运营的效果与效率(operating)，财务及管理的报告(reporting)，法律、法规的符合性(compliance)，对信息资产的保护(safeguarding)。

　　控制的效果要用与电子商务相关的各种控制属性来描述，如可用性(availability)、实际能力(capability)、机能性(functionality)、可保护性(protectability)、责任性(accountability)，这些属性都可被称作业务鉴证目标，为人们正确看待各种控制提供了更广宽而准确的框架。对任何业务的控制都可以通过这些控制属性的组合来实现。例如：对隐私问题的控制可以通过可保护性和责任性的组合来实现。

　　要实现有效控制，需要利用各种资源，如人员(people)、技术(technology)、流程(processes)、投资(investment)、沟通(communication)。

　　影响内部控制环境的外部因素主要有两种，如多方向的箭头表述了与外部实体(供应商、合作伙伴、代理商)之间的交互作用及相互依赖性，单方向箭关表述了外部市场力量(如客户、竞争对手、监管者、共同体、股东)和不断变化的环境对内部控制的影响。

　　椭圆形区域表示动态的控制内外部环境，为保证控制环境相对稳定和可控，就必须对环境进行监测与预测，使相关风险被控制在一个组织可以接受的水平。