返回
国际注册内部审计师考试辅导501

国际注册内部审计师考试辅导501

ID:41633072

大小:180.84 KB

页数:5页

时间:2019-08-29

国际注册内部审计师考试辅导501_第1页
国际注册内部审计师考试辅导501_第2页
国际注册内部审计师考试辅导501_第3页
国际注册内部审计师考试辅导501_第4页
国际注册内部审计师考试辅导501_第5页
资源描述:

《国际注册内部审计师考试辅导501》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、TOPIC01控制框架该部分大纲主要涉及的就是两个主要控制框架:COBIT和SAC(eSAC)。1.COBIT的含义COBIT(ControlObjectivesforInformationandrelatedTechnology)是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在簡业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系己在世界一百多个国

2、家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。COBIT将1T过程、IT资源及信息与企业的策略与目标联系起來,形成一个三维的体系结构。其中,IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对彖;IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术

3、的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁,提供了彼此之I'可沟通的共同语言。几乎每个机构都可以从COBIT屮获益,来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些商业功能是什么,其对企业的关键到什么程度时,就能对这些事件进行良好的分类。所有的信息系统审计、控制及安

4、全专业人员应该考虑釆用COBIT原则。COBIT的优点•通过实施C0B1T,增加了管理层对控制的感知及支持。COBIT帮助管理层懂得控制如何影响商业功能。COBIT提供的实施工具集包插优秀的案例资料(提供模板商业过程,使得优秀范例能够迅速移植),帮助向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。•COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度,并且可以应用在每天都在发生的各种新问题中。对于那些不具有广博1T知识的人來讲,是一个

5、认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度,并且可以询问IT工程相关的问题。•COBIT提供了一种国际通用的IT管理及问题解决方案,普遍适用于各种不同的商业项目和审计,并且它既包容了当前的情况,也提供将来可能会使用到的指导方针。•COBIT有助于提高信息系统审计师的影响力,依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。•COBIT框架可以帮助决定过程责任,提高IT治理水平。通过采用该框架作为对一个责任矩阵分析的基础,可以做到基于角色的IT管理

6、,定义过程措施,确保客户利益。丿念手写板图示0501-032•关于eSAC需要了解的内容国际内审研究:院(IIA)在1977年第一次明确提II!SAC的概念。当时SAC指的是系统审计和控制(systemsaudilabililyandconlrol)。由国际内审研究基金会在1991年和1994年进行较人更新后,SAC是指系统鉴证与控制(systemassuranceandcontrol)。目前,SAC已成为IT审计师在信息技术安全、控制与审计领域屮的重要指南。在新版本中,可审计性(auditab

7、ility)一词己被鉴证(assurance)替代.这是因为我们逐渐认识到治理(govcmance)和融合(alliance)的重要性,要在组织内部及与业务伙伴的合作屮,保证对信息系统有足够的控制,以保护系统的安全性、可审计性。在电子商务吋代,随着互联网技术的飞速发展,系统中的控制及相互依赖性已经没有组织与地理位置的限制,普遍存在于各种组织中.不管是什么规模的组织,都需要有一套控制指南來有效地管理信息系统和技术,并随着业务环境的变化和新技术的发展及时更新系统。信息系统审计师及IT安全从业人员必须

8、知道威胁来自何处,如何管理这些威胁带来的风险,而且也要知道如何与不同层次的管理人员共同讨论安全问题。我们在考虑信息与系统安全时,着重要冋答以下关键问题:“如何管理1T风险厂,“如何判断安全与控制措施是否完备厂,“谁可以为IT安全提供鉴证厂,“鉴证可以说明什么厂等。这就是制订SAC控制规范的主要原因。SAC通过提供及时更新的信息,帮助我们理解、监测、评估及降低技术风险。SAC检查业务系统各个组成部分的风险,包括客户、竞争对手、监管部门及合作伙伴。在新版本SAC中,一个重要特征就是提出了eSAC控制

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。