E01控制框架

该部分大纲主要涉及的就是两个主要控制框架：COBIT和SAC(eSAC)

1.COBIT的含义

COBIT(ControlObjectivesforInformationandrelatedTechnology，信息及相关技术的控制目标)由ITGI(信息技术治理协会)提出，其最新版的COBIT4.1产品家族分三个层次，分别为执行管理层和董事会，业务和IT经理层，治理、鉴证、控制和安全专家提供支持。可见，COBIT已从一个审计师的工具，演变为IT治理框架，它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。

COBIT将IT过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。

其中，信息准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。

COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。COBIT的优点有：

通过实施COBIT，增加了管理层对控制的感知及支持。

COBIT使IT管理工作简易并量化。

COBIT提供了一种国际通用的IT管理及问题解决方案。

COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。

COBIT框架可以帮助决定过程责任，提高IT治理水平。通过采用该框架作为对一个责任矩阵分析的基础，可以做到基于角色的IT管理，定义过程措施，确保客户利益。

1.2eSAC

SAC的概念在1977年由国际内审研究院(theInstituteofInternalAuditors-IIA)第一次明确提出，当时SAC是指系统审计与控制(systemsauditabilityandcontrol)。1991年和1994由国际内审研究基金会进行较大更新后，SAC是指系统鉴证与控制(systemsassuranceandcontrol)。SAC已成为IT审计师在信息技术安全、控制与审计领域中的重要指南。

在电子商务时代，随着互联网技术的飞速发展，系统中的控制及相互依赖性已经没有组织与地理位置的限制，普遍存在于各种组织中。不管是什么规模的组织，都需要有一套控制指南来有效地管理信息系统和技术，并随着业务环境的变化和新技术的发展及时更新系统。信息系统审计师及IT安全从业人员必须知道威胁来自何处，如何管理这些威胁带来的风险，而且也要知道如何与不同层次的管理人员共同讨论安全问题。我们在考虑信息与系统安全时，着重要回答以下关键问题：“如何管理IT风险？”“如何判断安全与控制措施是否完备？”“谁可以为IT安全提供鉴证？”“鉴证可以说明什么？”等。这就是制订SAC控制规范的主要原因。

SAC通过提供及时更新的信息，帮助我们理解、监测、评估及降低技术风险。SAC检查业务系统各个组成部分的风险，包括客户、竞争对手、监管部门及合作伙伴。

新版本SAC的一个重要特征就是提出的eSAC控制模型。建立此模型有利于讨论在电子商务环境中的目标、风险及减轻威胁造成的风险的措施三者的关系。目前有许多不同的风险与控制模型，任何一种模型都有其特定的适用对象及范围，组织必须进行合理剪裁，以适合组织的实际情况。eSAC模型可以较好地反映快速变化的技术环境及电子商务模式所带来的风险，并给出如何管理这些风险的建议。

模型中的左边箭头表示的是组织的任务，包括组织的价值取向、企业战略、主要目标等。右边箭头表示的是组织获得所期望的回报，同时满足组织形象与声望的完善，及获得进一步提高绩效的学习能力。

从目标到结果需要建立合理的控制环境，包括系统运营的效果与效率(operating)，财务及管理的报告(reporting)，法律、法规的符合性(compliance)，对信息资产的保护(safeguarding)。

控制的效果要用与电子商务相关的各种控制属性来描述，如可用性(availability)、实际能力(capability)、机能性(functionality)、可保护性(protectability)、责任性(accountability)，这些属性都可被称作业务鉴证目标，为人们正确看待各种控制提供了更广宽而准确的框架。对任何业务的控制都可以通过这些控制属性的组合来实现。例如：对隐私问题的控制可以通过可保护性和责任性的组合来实现。

要实现有效控制，需要利用各种资源，如人员(people)、技术(technology)、流程(processes)、投资(investment)、沟通(communication)。

影响内部控制环境的外部因素主要有两种，如多方向的箭头表述了与外部实体(供应商、合作伙伴、代理商)之间的交互作用及相互依赖性，单方向箭关表述了外部市场力量(如客户、竞争对手、监管者、共同体、股东)和不断变化的环境对内部控制的影响。

椭圆形区域表示动态的控制内外部环境，为保证控制环境相对稳定和可控，就必须对环境进行监测与预测，使相关风险被控制在一个组织可以接受的水平。

典型试题

1.根据IIA的SAC控制框架，除了以下哪一条外，其他都是对来自技术挑战的有效反应？

a.风险评估

b.内部控制

c.变更最小化

d.电子鉴证服务

『正确答案』c

『解题思路』

a.不正确。SAC描述了一系列对技术挑战的有效反应，这些反应包括对电子商务的风险评估、内部控制目标和电子鉴证服务。

b.不正确。见题解a。

c.正确。SAC控制框架中，对来自技术挑战的有效反应不包括变更最小化。

d.不正确。见题解a。

2.根据IIA的SAC控制框架，“责任”是指：

a.与商业机密和其他知识产权相关的属性。

b.可以确定交易来源的控制属性。

c.对数据处理设备和存储设备的访问限制。

d.与员工和客户的个人信息相关的属性。

『正确答案』b

『解题思路』

a.不正确。与商业机密和其他知识产权相关的属性与机密性相关。

b.正确。“责任”是一种可以确定交易来源的控制属性。它确定员工的角色、行动和责任。用户责任属性可以由数据的所有者关系、访问者的身份与验证来确定。

c.不正确。对数据处理设备和存储设备的访问限制与物理安全相关。

d.不正确。与员工和客户的个人信息相关的属性与个人隐私相关。

3.COBIT是：

a.对IT流程实施有效控制的辅助指南。

b.对风险及对技术挑战的反应

c.对以前的“系统审计与控制框架”——SAC的升级。

d.由COSO委员会出版发行。

『正确答案』a

『解题思路』

a.正确。COBIT是由信息系统审计与控制基金会制定的一种IT控制框架。COBIT提供了一套指南来协助管理人员和业务人员对IT流程和资源实施控制。COBIT被设计成一种IT治理工具，有助于理解和管理组织中的信息及与IT相关的风险与利益。

b.不正确。对风险及对技术挑战的反应是SAC的特征。

c.不正确。SystemsAssuranceandControl才是对SystemsAuditabilityandControl的升级。

d.不正确。COBIT是由ISACA出版发行的。

4.COBIT的目标用户不包括以下哪一类人员？

a.管理人员。

b.用户。

e.股东。

d.审计师。

『正确答案』c

『解题思路』

a.不正确。COBIT的目标用户有三类：管理人员、用户及审计师。管理人员必须在风险与控制成本之间进行平衡；用户需要得到内部及外部IT服务的安全和控制的有效保证；审计师需要在获得足够的证据的情况下，对内部控制的状态进行评估，并把审计结论传递给管理人员及其他相关人员。

b.不正确。见题解a。

c.正确。股东并不直接与组织日常管理中的IT服务相关，他们不是COBIT的目标用户

d.不正确。见题解a。