www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 六個(gè)忠實(shí)的仆人 帶你走進(jìn)IT審計(jì)

    2014-11-08 22:27:08 大云網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
    我有六個(gè)忠實(shí)的仆人,他們教會(huì)了我一切,他們是:&lsquo;是什么&rsquo;、&lsquo;為什么&rsquo;、&lsquo;何時(shí)&rsquo;、&lsquo;如何&rsquo;、&lsquo;何地&rsquo;和&lsquo;誰(shuí)&rsquo;。——拉迪亞德 吉卜林,引自Ju
    “我有六個(gè)忠實(shí)的仆人,他們教會(huì)了我一切,他們是:‘是什么’、‘為什么’、‘何時(shí)’、‘如何’、‘何地’和‘誰(shuí)’。”——拉迪亞德 吉卜林,引自Just So Stories 中《大象的孩子》
      隨著科技的發(fā)展,信息系統(tǒng)在當(dāng)今社會(huì)所扮演的角色已經(jīng)從幕后走到了臺(tái)前,IT技術(shù)不再是僅僅用來(lái)提高計(jì)算速率的加分項(xiàng),而是作為保證單位/企業(yè)順利地開(kāi)展業(yè)務(wù)、實(shí)現(xiàn)目標(biāo)、獲得利益的基礎(chǔ)條件。IT審計(jì)迅速發(fā)展,仿佛突然之間成為高檢索率的熱門(mén)詞匯陣營(yíng)。我國(guó)IT審計(jì)的發(fā)展相對(duì)遲緩,對(duì)于IT審計(jì)的認(rèn)識(shí)目前仍然主要停留在計(jì)算機(jī)輔助工具層面,認(rèn)為IT審計(jì)只是通過(guò)使用計(jì)算機(jī)技術(shù)提高傳統(tǒng)審計(jì)的效率,卻很少或沒(méi)有從審計(jì)對(duì)象的角度審視信息系統(tǒng)。因此,當(dāng)身邊的人們反復(fù)提起IT審計(jì)時(shí),我們很自然會(huì)產(chǎn)生困惑:IT審計(jì)究竟是什么、有何特點(diǎn)、為什么要開(kāi)展IT審計(jì)、如何開(kāi)展IT審計(jì)、由誰(shuí)執(zhí)行IT審計(jì)、開(kāi)展IT審計(jì)需要滿足哪些條件,等等。本文將為讀者一一解開(kāi)這些謎團(tuán)。
      IT審計(jì)是什么
      IT審計(jì)(Information Technology Audit),也稱作信息系統(tǒng)審計(jì)。很多研究人員認(rèn)為,IT審計(jì)的概念源于在20世紀(jì)60年代。1960年起,IBM公司相繼出版了《The Auditor Encounters Electronic Data Processing》、《In-line Electronic Processing and Audit Trail》等一系列文獻(xiàn),介紹了電子數(shù)據(jù)環(huán)境下的內(nèi)部審計(jì)規(guī)則和組織方法,并首次將計(jì)算機(jī)審計(jì)的概念帶入人們的認(rèn)識(shí)中;1968年,美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)出版了《會(huì)計(jì)審計(jì)與計(jì)算機(jī)》,指導(dǎo)會(huì)計(jì)師事務(wù)所對(duì)利用計(jì)算機(jī)較早、較為深入的金融行業(yè)開(kāi)展審計(jì)。嚴(yán)格來(lái)講,電子數(shù)據(jù)處理審計(jì)或計(jì)算機(jī)審計(jì)并非真正意義上的信息系統(tǒng)審計(jì),計(jì)算機(jī)審計(jì)的定位是擴(kuò)展傳統(tǒng)財(cái)務(wù)審計(jì)的一種技術(shù)資源,為審計(jì)師開(kāi)展涉及到電子數(shù)據(jù)的財(cái)務(wù)審計(jì)業(yè)務(wù)時(shí)提供必要的技術(shù)支持。
      業(yè)界始終沒(méi)有就IT審計(jì)的定義達(dá)成統(tǒng)一的意見(jiàn),目前使用較廣的是美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA 給出的描述。ISACA認(rèn)為,IT審計(jì)是一個(gè)過(guò)程,在這個(gè)過(guò)程中IT審計(jì)師(CISA )通過(guò)獲取和評(píng)價(jià)相關(guān)證據(jù),判斷被審查的信息系統(tǒng)能否保證單位或企業(yè)的資產(chǎn)安全、數(shù)據(jù)完整,以及能否有效地利用資源并高效地實(shí)現(xiàn)目標(biāo)。除ISACA的定義外,國(guó)際上認(rèn)可度相對(duì)高的IT審計(jì)定義包括,國(guó)際權(quán)威的IT審計(jì)專家Ron Weber在《Information Systems Audit and Control》一書(shū)中對(duì)IT審計(jì)的定義,他認(rèn)為IT審計(jì)是一個(gè)搜集并評(píng)價(jià)證據(jù),以判斷計(jì)算機(jī)系統(tǒng)(信息系統(tǒng))能否在經(jīng)濟(jì)劃算地利用資源的情況下,有效保護(hù)資產(chǎn)安全、維護(hù)數(shù)據(jù)完整并實(shí)現(xiàn)組織目標(biāo)的過(guò)程;日本通產(chǎn)省情報(bào)處理開(kāi)發(fā)協(xié)會(huì)信息系統(tǒng)審計(jì)委員會(huì)于1996年修訂該協(xié)會(huì)11年前對(duì)計(jì)算機(jī)審計(jì)的定義,描述信息系統(tǒng)審計(jì)是“為保證信息系統(tǒng)安全、可靠、有效,由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合檢查與評(píng)價(jià),并向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)層指出系統(tǒng)存在的問(wèn)題及改進(jìn)建議的一組連續(xù)的活動(dòng)”。由于IT審計(jì)在我國(guó)的發(fā)展相對(duì)遲緩,目前尚未形成被普遍認(rèn)可的IT審計(jì)定義。
      雖然對(duì)IT審計(jì)的描述沒(méi)有達(dá)成統(tǒng)一,但是我們不難發(fā)現(xiàn),專家們對(duì)IT審計(jì)的理解至少在以下幾個(gè)方面是一致的:首先,IT審計(jì)是一個(gè)過(guò)程,這個(gè)過(guò)程需要由獲得CISA認(rèn)證的IT審計(jì)師,以獨(dú)立客觀的身份執(zhí)行;其次,IT審計(jì)的過(guò)程中,IT審計(jì)師需要獲取證據(jù)并分析證據(jù),目的是檢查信息系統(tǒng)的安全性、可靠性、有效性以及高效性;第三,審計(jì)師得到結(jié)果并不意味IT審計(jì)過(guò)程的完結(jié),還需要向被審計(jì)單位報(bào)告審計(jì)結(jié)果,指明審查過(guò)程中發(fā)現(xiàn)的、信息系統(tǒng)存在的問(wèn)題,以及針對(duì)這些問(wèn)題向被審計(jì)單位的高層提供改進(jìn)的建議。
      IT審計(jì)由誰(shuí)審
      IT審計(jì)要求執(zhí)行者必須具備CISA資格認(rèn)證。作為一門(mén)跨領(lǐng)域的邊緣性學(xué)科,信息系統(tǒng)審計(jì)與控制協(xié)會(huì)嚴(yán)格考核從業(yè)者的知識(shí)和技能,從傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計(jì)算機(jī)科學(xué)等四個(gè)領(lǐng)域的要求,綜合評(píng)價(jià)申請(qǐng)者知識(shí)技能的掌握程度,判斷是否認(rèn)可申請(qǐng)者的IT審計(jì)從業(yè)資格。IT審計(jì)是一個(gè)對(duì)從業(yè)者無(wú)論知識(shí)技能還是實(shí)際經(jīng)驗(yàn),要求均非常高的專業(yè)領(lǐng)域。我們知道,信息系統(tǒng)本身具有很強(qiáng)的復(fù)雜性,當(dāng)把多個(gè)復(fù)雜的對(duì)象糅合在一起,其結(jié)果很明顯:正如一團(tuán)亂麻,要求梳理這團(tuán)亂麻的人員必須具備足夠的素質(zhì)才能獲得期望中的結(jié)果,否則,結(jié)局只會(huì)是使眼前復(fù)雜的問(wèn)題變得更加復(fù)雜。因此,IT審計(jì)師必須具備專業(yè)的能力和良好的素質(zhì),才能針對(duì)審計(jì)對(duì)象做出合理有效的評(píng)價(jià)。
      IT審計(jì)要求審計(jì)師必須以獨(dú)立客觀的身份執(zhí)行審查。獨(dú)立客觀,強(qiáng)調(diào)IT審計(jì)師執(zhí)行某項(xiàng)IT審計(jì)任務(wù)時(shí),必須與被審計(jì)信息系統(tǒng)不存在任何的利益關(guān)系。此處的利益關(guān)系,既包含不參與(包括不曾參與)信息系統(tǒng)生命周期的有關(guān)活動(dòng),信息系統(tǒng)生命周期包括設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、部署、維護(hù)等環(huán)節(jié);也包含不涉及被審計(jì)信息系統(tǒng)的業(yè)務(wù)和經(jīng)濟(jì)利益。
      傳統(tǒng)財(cái)務(wù)審計(jì)活動(dòng)中,明確要求審計(jì)師具有獨(dú)立客觀的性質(zhì),目的是避免因?qū)徲?jì)師舞弊風(fēng)險(xiǎn),導(dǎo)致結(jié)果失去公平公正的基本原則,損害到被審計(jì)對(duì)象的利益相關(guān)者的合法利益。但是,如何將這一要求與IT審計(jì)師的獨(dú)立客觀性進(jìn)行合理的關(guān)聯(lián)?
      信息技術(shù)的應(yīng)用是一把雙刃劍,在提高效率的同時(shí),引入大量安全威脅。我們都很清楚,法律上明令要求,電子數(shù)據(jù)不能作為證據(jù)。這是由于電子數(shù)據(jù)具有易于修改的特征,正如筆者此刻假若修改本文的某一處字詞,是非常容易的事情;尤其對(duì)于安全保護(hù)措施不完善的信息系統(tǒng),其遭遇黑客攻擊、蒙受損失的可能性要遠(yuǎn)高于其他部署了良好的信息安全防護(hù)手段并定期接受專家查驗(yàn)的系統(tǒng)。IT審計(jì)師作為第三方人員,負(fù)責(zé)檢查信息系統(tǒng)情況,IT審計(jì)師具有比較大的權(quán)限,可以這樣設(shè)想:如果,IT審計(jì)師與信息系統(tǒng)業(yè)務(wù)有關(guān),則無(wú)法排除IT審計(jì)師利用其擁有的高權(quán)限,對(duì)業(yè)務(wù)信息進(jìn)行修改,或者隱藏系統(tǒng)中的部分漏洞以便于利用這些漏洞竊取機(jī)密信息,為自己謀取福利,等等。這一系列行為的發(fā)生,哪怕只是發(fā)生其中的一件,足以導(dǎo)致企業(yè)蒙受巨大的損失。
      可以如此理解IT審計(jì)對(duì)于審計(jì)師具備獨(dú)立客觀屬性的要求:當(dāng)IT審計(jì)師以不獨(dú)立于被審計(jì)對(duì)象身份執(zhí)行審計(jì)任務(wù)時(shí),其帶給被審計(jì)組織的價(jià)值就會(huì)發(fā)生變化,不但無(wú)法保證其針對(duì)信息系統(tǒng)使用和維護(hù)過(guò)程中相關(guān)控制有效評(píng)價(jià),促進(jìn)組織管理結(jié)構(gòu)和控制框架完善,而是組織產(chǎn)生高系數(shù)的IT風(fēng)險(xiǎn)。
      IT審計(jì)審什么
      信息系統(tǒng)審計(jì)不同于傳統(tǒng)的財(cái)務(wù)審計(jì)。當(dāng)提及財(cái)務(wù)審計(jì)的時(shí)候,目標(biāo)很明確,就是審查組織的財(cái)務(wù)報(bào)表,識(shí)別組織經(jīng)濟(jì)活動(dòng)中的舞弊行為。可是,IT審計(jì)要審什么?也許會(huì)有部分讀者認(rèn)為:IT審計(jì)既然也稱為信息系統(tǒng)審計(jì),那么審計(jì)對(duì)象自然是信息系統(tǒng)。這個(gè)回答,然,亦不然。
      然,是因?yàn)榧热环Q作信息系統(tǒng)審計(jì),必然與信息系統(tǒng)有著莫大的聯(lián)系,至少I(mǎi)T審計(jì)必然是圍繞信息系統(tǒng)展開(kāi);不然,是由于這個(gè)回答并不準(zhǔn)確。審計(jì)作為獨(dú)立于組織業(yè)務(wù)鏈之外的結(jié)構(gòu),監(jiān)督并客觀評(píng)價(jià)與業(yè)務(wù)相關(guān)的控制在設(shè)計(jì)和執(zhí)行方面的效果、效率,為完善組織內(nèi)控框架提供建議,確保組織的利益相關(guān)者的利益不遭受損害并能夠順利獲得。我們不難發(fā)現(xiàn),審計(jì)是圍繞著組織的控制而設(shè)計(jì)并開(kāi)展的一項(xiàng)活動(dòng),其價(jià)值最直接地表現(xiàn)在對(duì)于控制的監(jiān)督和評(píng)價(jià)上。所以,當(dāng)對(duì)審計(jì)業(yè)務(wù)細(xì)化并指明針對(duì)信息系統(tǒng)審查時(shí),其內(nèi)容也必須得到同等程度的明確,即,IT審計(jì)需要針對(duì)IT控制的設(shè)計(jì)和執(zhí)行情況進(jìn)行監(jiān)督及評(píng)估。
      對(duì)于IT控制的定義,相關(guān)的權(quán)威機(jī)構(gòu)或最佳實(shí)踐分別從不同的角度進(jìn)行描述。例如,IT管理最佳實(shí)踐框架COBIT從IT控制的形態(tài)及功能的角度進(jìn)行描述,認(rèn)為IT控制是為了確保實(shí)現(xiàn)企業(yè)目標(biāo)、預(yù)防或發(fā)現(xiàn)和糾正意外事件的各種政策、程序、做法和組織結(jié)構(gòu);而ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則從信息系統(tǒng)階段生命周期的角度進(jìn)行描述,將IT控制概括為在IT系統(tǒng)和服務(wù)購(gòu)買(mǎi)、實(shí)施、交付和支持方面的控制。
      IT控制有多種不同的分類方式。例如,從普適性和針對(duì)性角度區(qū)分,IT控制可以分成一般控制和應(yīng)用控制。其中,一般控制用以降低廣義層面上信息系統(tǒng)軟、硬件及方案整體的風(fēng)險(xiǎn),強(qiáng)調(diào)適用于全部信息系統(tǒng)的通用的一類控制,這些控制與信息系統(tǒng)的具體業(yè)務(wù)沒(méi)有直接聯(lián)系;而應(yīng)用控制強(qiáng)調(diào)集成在應(yīng)用程序中的、具有明確針對(duì)性的控制手段,需要與信息系統(tǒng)的功能目標(biāo)相符合。IT控制涉及信息系統(tǒng)的獲取、實(shí)施、交付、支持等過(guò)程,需要從整個(gè)生命周期對(duì)信息系統(tǒng)的運(yùn)行環(huán)境、組成要素、核心數(shù)據(jù)、功能應(yīng)用及運(yùn)作流程等進(jìn)行全面的管理和監(jiān)督。IT控制的作用范圍既涉及到所有信息系統(tǒng)的共性需求,也必須滿足其特有的功能目標(biāo),因此必須綜合運(yùn)用信息系統(tǒng)的一般控制與應(yīng)用控制,才能確保信息系統(tǒng)處于安全、可靠、高效、可控的狀態(tài),確保系統(tǒng)的功能和效果與預(yù)期目標(biāo)統(tǒng)一。
      再如,依據(jù)控制的設(shè)計(jì)及效果進(jìn)行區(qū)別,IT控制又可以分成預(yù)防性控制、檢查性控制和糾正性控制。預(yù)防性控制是為了防止錯(cuò)誤、遺漏或安全事故發(fā)生;檢查性控制則用以檢查繞過(guò)預(yù)防控制的錯(cuò)誤或事故;而糾正性控制則是為了糾正被檢測(cè)出的錯(cuò)誤、遺漏及安全事故。預(yù)防性控制屬于事前防范措施,有效部署預(yù)防性控制可以避免事故或問(wèn)題發(fā)生,使危害或損失為零。檢查性控制屬于事中舉措,雖然預(yù)防性控制的效果是最理想的,但是由于錯(cuò)誤、遺漏及安全事故形態(tài)特征多樣,無(wú)法確保一組控制措施足夠完整可以對(duì)所有的問(wèn)題做到有效地預(yù)防,因此在錯(cuò)誤或事故發(fā)生的時(shí)刻能夠及時(shí)對(duì)其識(shí)別是非常必要的。檢查性措施和糾正性措施通常組合部署,這是由于僅僅識(shí)別出問(wèn)題并沒(méi)有完成控制的目標(biāo),在無(wú)法規(guī)避風(fēng)險(xiǎn)的條件下,只能退而求其次,采取措施使危害或損失的程度降至最低,這也是糾正性控制的作用;同時(shí),糾正性控制能夠有效發(fā)揮作用需要基于準(zhǔn)確識(shí)別問(wèn)題的前提,即,糾正性控制需要以檢查性控制作為條件,二者不可分割。
      對(duì)于IT控制的理解,還存在其他一些分類方式,例如,從組織架構(gòu)的角度、基于IT控制設(shè)計(jì)和實(shí)施的相關(guān)角色的職責(zé)進(jìn)行分類,IT控制又可以分成治理控制、管理控制和技術(shù)控制。治理層的IT控制涉及確保有效的信息管理與安全的方針、政策和過(guò)程是恰當(dāng)?shù)模⑶彝ㄟ^(guò)對(duì)績(jī)效的合規(guī)性指標(biāo)進(jìn)行度量,表明對(duì)框架的持續(xù)支持。在一個(gè)組織中,其治理控制的實(shí)體通常表現(xiàn)為組織的政策,體現(xiàn)組織的戰(zhàn)略目標(biāo)及宗旨。管理控制用以確保IT控制能夠?qū)崿F(xiàn)組織的既定目標(biāo),并且所有適用的IT控制具備可靠性及連續(xù)性。管理控制在組織中的實(shí)體通常以標(biāo)準(zhǔn)、組織和管理、物理與環(huán)境控制的形式存在。技術(shù)控制與設(shè)計(jì)、實(shí)現(xiàn)及維護(hù)信息系統(tǒng)功能和效果聯(lián)系最緊密,是確保其他IT控制具備可靠性的基礎(chǔ),例如信息系統(tǒng)軟件控制、獲取和實(shí)施控制、基于應(yīng)用的控制等等。
      對(duì)于組織而言,引入并應(yīng)用IT控制的目標(biāo)集中在滿足以下四個(gè)方面的要求:
      (1)有效地交付可靠信息,確保安全的IT服務(wù)符合本組織的戰(zhàn)略、政策、外部需求和風(fēng)險(xiǎn)偏好;
      (2)保障利益相關(guān)者的利益;
      (3)實(shí)現(xiàn)客戶、商業(yè)伙伴和其他外部各方完成業(yè)務(wù)目標(biāo)的互惠互利關(guān)系;
      (4)適當(dāng)?shù)刈R(shí)別并應(yīng)對(duì)威脅和潛在的情況。
      IT審計(jì)作為監(jiān)督評(píng)估IT控制的角色,需要在理解了IT控制的目標(biāo)之后,有針對(duì)性的取證分析,做出客觀的判斷并向管理層匯報(bào),同時(shí)針對(duì)不當(dāng)?shù)目刂铺岢龈倪M(jìn)建議。
      ISACA編訂并發(fā)布COBIT指導(dǎo)信息系統(tǒng)實(shí)施單位和IT審計(jì)人員更清晰地了解和把握IT控制。COBIT(Control Object of Information related Technologies)作為IT管理和IT審計(jì)的最佳實(shí)踐框架,目前的已發(fā)行到版本4.1。COBIT將包含IT基礎(chǔ)設(shè)施、IT應(yīng)用、人員和信息四類要素的IT資源分配到信息系統(tǒng)生命周期的4個(gè)域、34個(gè)流程的控制中,并針對(duì)每個(gè)流程依據(jù)包含機(jī)密、完整、可靠、合規(guī)、效果、效率、可用等七個(gè)屬性的業(yè)務(wù)目標(biāo)分別定義了各流程的IT控制目標(biāo)及活動(dòng)目標(biāo)。COBIT的4個(gè)域包括:規(guī)劃與組織PO(Planning and Organization)、獲取與實(shí)施AI(Acquisition and Implementation)、交付與支持DS(Delivery and Support)、監(jiān)控與評(píng)估ME(Monitoring and Evaluation);每個(gè)域中包含一定數(shù)量的IT流程。
      COBIT利用目標(biāo)和指標(biāo)的關(guān)系,實(shí)現(xiàn)信息系統(tǒng)與單位業(yè)務(wù)目標(biāo)的完美融合。COBIT建議按照業(yè)務(wù)、信息系統(tǒng)整體、IT流程、流程活動(dòng)的順序自上而下的對(duì)業(yè)務(wù)目標(biāo)進(jìn)行分解,從而確保IT目標(biāo)與業(yè)務(wù)目標(biāo)的關(guān)聯(lián);同時(shí)按照從流程活動(dòng)、IT流程、信息系統(tǒng)整體、業(yè)務(wù)的順序自下而上的進(jìn)行指標(biāo)的衡量,以保證及時(shí)發(fā)現(xiàn)并糾正IT控制中的偏差,確保IT控制與業(yè)務(wù)目標(biāo)的一致性。COBIT不僅適合指導(dǎo)單位依據(jù)IT控制目標(biāo)對(duì)IT進(jìn)行管理,同時(shí)也適合IT審計(jì)人員參考進(jìn)行IT控制的審核。COBIT建議使用CMM模型描述被審計(jì)單位的IT控制情況,把IT控制流程作為基本對(duì)象分別進(jìn)行成熟度的評(píng)價(jià),以展現(xiàn)被審計(jì)單位在IT控制的現(xiàn)狀及急需提升的環(huán)節(jié)。
     
    大云網(wǎng)官方微信售電那點(diǎn)事兒
    免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
    我要收藏
    個(gè)贊
    ?
    青柠影视最新免费观看电视剧| 无码AAAAV久久久| 无码视频一区二区三区在线观看| 国产成人麻豆亚洲综合无码精品| 日韩毛片无码永久免费看| 夜夜添无码一区二区三区| 高清欧美性猛交xxxx黑人猛交| 成全免费看高清电影| 精品精品国产理论在线观看| 国产综合内射日韩久|