《國際內(nèi)部審計專業(yè)實務(wù)標(biāo)準(zhǔn)》中第2100條標(biāo)準(zhǔn)的解釋
    相關(guān)標(biāo)準(zhǔn)：第2100條標(biāo)準(zhǔn)
    工作性質(zhì)
    內(nèi)部審計活動應(yīng)當(dāng)通過應(yīng)用系統(tǒng)的、規(guī)范的方法，評價并改善風(fēng)險管理、控制和治理過程。
    本實務(wù)公告源自國際信息系統(tǒng)審計和控制協(xié)會（ISACA）指引——廣泛性信息系統(tǒng)控制的效果，文件G11。該信息系統(tǒng)審計指引由ISACA于2000年3月發(fā)布。引用該文件經(jīng)過ISACA的許可和確認。本實務(wù)公告與ISACA指引的任何差異，ISACA不保證其準(zhǔn)確性或支持這些改變。
    本實務(wù)公告性質(zhì)：內(nèi)部審計師實施信息系統(tǒng)控制檢查時應(yīng)當(dāng)考慮以下建議。本實務(wù)公告無意囊括實施信息系統(tǒng)審計所需要的所有程序，僅推薦一系列高層次審計師責(zé)任，作為制定詳細審計計劃的補充。
    1 控制框架
    概述
    COBIT將“控制”定義為“政策、程序、實務(wù)及組織結(jié)構(gòu)的設(shè)計，用來合理確保組織目標(biāo)的實現(xiàn)，并確保不希望發(fā)生的事件被預(yù)防或發(fā)現(xiàn)并糾正?！贬槍γ恳豁椥畔⑾到y(tǒng)審計，內(nèi)部審計師應(yīng)當(dāng)區(qū)分影響所有信息系統(tǒng)和運營的一般控制（廣泛性信息系統(tǒng)控制），以及在更為特定的層次運行的控制（詳細信息系統(tǒng)控制），以便將審計力量集中在與審計目標(biāo)相關(guān)的風(fēng)險領(lǐng)域。以下描述的控制框架有助于內(nèi)部審計師達成這一重點。
    廣泛性信息系統(tǒng)控制
    廣泛性信息系統(tǒng)控制的例子包括COBIT“計劃和組織”范疇及“監(jiān)督”范疇所定義的信息系統(tǒng)過程控制，如，“PO1—訂立IT戰(zhàn)略性計劃”及“M1——監(jiān)督各項流程”。廣泛性信息系統(tǒng)控制是一般控制的一個子集合，即側(cè)重于信息系統(tǒng)管理和監(jiān)控的一般控制。
    廣泛性信息系統(tǒng)控制的效果并不局限于財務(wù)系統(tǒng)應(yīng)用控制的可靠性，廣泛性信息系統(tǒng)控制也影響下列詳細信息系統(tǒng)控制的可靠性，例如，
    l 程序開發(fā)
    l 系統(tǒng)實施
    l 安全管理
    l 備份程序
    薄弱的信息系統(tǒng)管理和監(jiān)控（例如，薄弱的廣泛性信息系統(tǒng)控制）應(yīng)當(dāng)警示內(nèi)部審計師一項高風(fēng)險，即設(shè)計用于詳細層次運行的控制可能失效。
    詳細信息系統(tǒng)控制
    詳細信息系統(tǒng)控制是由應(yīng)用控制和未包含于廣泛性信息系統(tǒng)控制的一般控制所組成的。在COBIT框架中，詳細信息系統(tǒng)控制是指與信息系統(tǒng)和服務(wù)的取得、實施、交付和支持有關(guān)的控制，例如對以下事項的控制：
    l 成套軟件的安裝
    l 系統(tǒng)安全參數(shù)
    l 災(zāi)難恢復(fù)計劃
    l 數(shù)據(jù)輸入驗證
    l 例外報告的產(chǎn)生
    l 鎖定試圖無效存取的用戶帳號
    應(yīng)用控制是詳細信息系統(tǒng)控制的一個子集合，例如數(shù)據(jù)輸入驗證，既是詳細信息系統(tǒng)控制又是一項應(yīng)用控制。安裝及確認系統(tǒng)（AI5）屬于詳細信息系統(tǒng)控制，但并非應(yīng)用控制。
    信息系統(tǒng)控制之間的關(guān)系如下列大綱所示：
    l 信息系統(tǒng)控制
    l 一般控制
    l 廣泛性信息系統(tǒng)控制
    l 詳細信息系統(tǒng)控制
    l 應(yīng)用控制
    內(nèi)部審計師應(yīng)當(dāng)考慮非信息系統(tǒng)控制對審計范圍和程序的影響。
    廣泛性信息系統(tǒng)控制和詳細信息系統(tǒng)控制之間的互動
    COBIT框架將信息系統(tǒng)控制區(qū)分為四個范疇：
    l 計劃與組織
    l 取得與實施
    l 交付與支持
    l 監(jiān)控
    “取得與實施（AI）”和“交付與支持（DS）”兩個范疇的控制效果受到“計劃與組織（PO）”以及“監(jiān)控（M）”兩個范疇的控制運營效果的影響。管理層的不當(dāng)計劃、組織和監(jiān)督，意味著取得、實施、服務(wù)交付及支持方面的控制將失效。相反，強有力的計劃、組織和監(jiān)控可以識別并糾正關(guān)于取得、實施、服務(wù)交付及支持方面的無效控制。
    例如，“取得和維護應(yīng)用軟件”（COBIT 流程索引AI2）流程的有效詳細信息系統(tǒng)控制受到下列廣泛性信息系統(tǒng)控制的充分性的影響：
    l 訂立IT戰(zhàn)略性計劃（COBIT流程索引PO1）
    l 項目管理（COBIT流程索引PO10）
    l 質(zhì)量管理（COBIT流程索引PO11）
    l 監(jiān)督各項流程（COBIT流程索引M1）
    應(yīng)用系統(tǒng)取得的審計應(yīng)當(dāng)包括確認信息系統(tǒng)戰(zhàn)略的作用，項目管理方法，質(zhì)量管理以及監(jiān)督的方法。例如，當(dāng)項目管理不當(dāng)時，內(nèi)部審計師應(yīng)當(dāng)考慮：
    l 開展額外的工作，以保證該項目屬于有效管理；
    l 向管理層報告廣泛性信息系統(tǒng)控制的缺陷
    另一個例子為，“確保系統(tǒng)安全”（COBIT流程索引DS5）流程的有效詳細信息系統(tǒng)控制受到下列廣泛性信息系統(tǒng)控制的充分性的影響：
    l 定義信息技術(shù)組織及關(guān)系（COBIT流程索引PO4）
    l 溝通管理目的和方向（COBIT流程索引PO6）
    l 評估風(fēng)險（COBIT流程索引PO9）
    l 監(jiān)控流程（COBIT流程索引M1）
    對系統(tǒng)安全參數(shù)適當(dāng)性的審計，例如，UNIX，WINDOWS NT，RACF，應(yīng)當(dāng)考慮管理層的安全政策（PO6），安全責(zé)任的分派（PO4），風(fēng)險評估程序（PO9），安全政策遵循情況的監(jiān)督程序（M1）。即使這些參數(shù)與內(nèi)部審計師“實務(wù)”的觀點不一致，在考慮管理層認識到風(fēng)險，以及指引如何應(yīng)特定風(fēng)險水平的管理政策的情況下，這些參數(shù)可能被評估為適當(dāng)?shù)?。審計建議應(yīng)針對風(fēng)險管理或政策，以及詳細的系統(tǒng)安全參數(shù)本身。