IT一般控制已經(jīng)過(guò)時(shí)了嗎？——數據保護和財務(wù)報告內部控制

對于從事會(huì )計業(yè)務(wù)的IT審計師來(lái)說(shuō)，IT一般控制的重要性是顯而易見(jiàn)的，尤其是在財務(wù)報表的訪(fǎng)問(wèn)管理領(lǐng)域。十多年來(lái)，IT一般控制幾乎沒(méi)有變化，而美國注冊會(huì )計師協(xié)會(huì )（AICPA）的信托服務(wù)標準和云安全聯(lián)盟（CSA）的云控制矩陣等框架卻在不斷發(fā)展。國際標準化組織（ISO）標準ISO 27002的信息安全框架也在進(jìn)行重大升級，包括新的控制措施。數據生命周期內的財務(wù)報告風(fēng)險因素幾乎沒(méi)有變化，這可能嗎？數據被保存在一個(gè)系統內，如數據庫，其功能確保數據可以被訪(fǎng)問(wèn)和處理。然而，隨著(zhù)信息系統的外包和（虛擬）硬件的使用，IT環(huán)境已經(jīng)發(fā)生了重大變化。為了確定IT一般控制是否需要更新，或者它們是否仍然足以覆蓋大多數IT環(huán)境，檢查這些適用于數據安全（主要是完整性和機密性）的控制是非常有用的。然后，可以將選取的IT一般控制與服務(wù)組織鑒證報告中經(jīng)常使用和普遍接受的框架及其數據保護控制進(jìn)行比較。

審計師使用一套基本的（建議的）IT一般控制措施來(lái)確定控制措施，如國際審計與鑒證準則委員會(huì )（IAASB）在《國際審計準則》（ISA）315（2019年修訂版）中公布的準則中所定義的控制措施。確定的控制措施可以根據其應用和IT環(huán)境的其他方面而有所不同。有關(guān)數據安全的IT一般控制措施在《國際審計準則》315附錄6中定義。

(資料圖片僅供參考)

在訪(fǎng)問(wèn)管理領(lǐng)域，能夠影響數據保護的控制措施包括：

身份驗證控制-確保訪(fǎng)問(wèn)IT應用或IT環(huán)境其他方面的用戶(hù)沒(méi)有使用其他用戶(hù)的登錄憑證。

授權控制-允許用戶(hù)只能訪(fǎng)問(wèn)其工作職責所需的信息，這有利于適當的職責分離。

配置控制-授權新用戶(hù)和修改現有用戶(hù)的訪(fǎng)問(wèn)權限。

撤消控制-在終止或（崗位）調動(dòng)時(shí)撤消用戶(hù)訪(fǎng)問(wèn)權限。

特權訪(fǎng)問(wèn)控制-授權管理員用戶(hù)或高級用戶(hù)的訪(fǎng)問(wèn)。

用戶(hù)訪(fǎng)問(wèn)審查控制-驗證或評估用戶(hù)訪(fǎng)問(wèn)權限，以便在一段時(shí)間內持續授權。

安全配置控制-每種技術(shù)一般都有關(guān)鍵的配置設置，幫助限制對環(huán)境的訪(fǎng)問(wèn)。

物理訪(fǎng)問(wèn)控制-授權對數據中心和硬件的物理訪(fǎng)問(wèn)，因為這種訪(fǎng)問(wèn)可能會(huì )凌駕于其他控制之上。

在變更管理領(lǐng)域，可能影響數據保護的控制措施包括：

數據轉換控制-授權在開(kāi)發(fā)、實(shí)施或升級IT環(huán)境期間進(jìn)行數據轉換。

在IT運營(yíng)管理領(lǐng)域，能夠影響數據保護的控制措施包括：

入侵檢測控制-監測IT環(huán)境中的漏洞和/或入侵行為。

《國際審計準則》（ISA）315（2019年修訂版）中提到這些控制是審計師可能考慮的IT一般控制。審計員必須進(jìn)行風(fēng)險評估，并使用專(zhuān)業(yè)判斷來(lái)確定IT環(huán)境中的風(fēng)險因素和適當的控制措施來(lái)緩解這些風(fēng)險。ISA315中定義的IT一般控制清單與其他組織定義的IT一般控制準則相似。因此，ISA標準是IT審計師使用的IT一般控制的適當反映。

除了依靠信息系統進(jìn)行財務(wù)報告所需的IT一般控制之外，大多數服務(wù)組織還向客戶(hù)提供鑒證報告，以證明其符合控制框架?？刂瓶蚣?，比如那些由AICPA和CSA制定的框架，包含了比我們熟悉的IT一般控制更多的控制。當其他框架的控制被認為是無(wú)效的，或者如果鑒證報告有保留意見(jiàn)，就會(huì )進(jìn)行影響評估，以確定這些缺陷是否會(huì )對財務(wù)報告產(chǎn)生負面影響。由于服務(wù)機構控制（SOC）報告通常不只涵蓋IT一般控制，會(huì )計師和IT審計師必須確定額外控制的影響，而這些控制在只測試IT一般控制時(shí)一般不會(huì )被評估。

為了確定與數據保護相關(guān)的、不在IT一般控制范圍內的控制措施，對可信服務(wù)標準和云控制矩陣進(jìn)行了差距分析。對于可信服務(wù)標準，確定了額外的數據保護控制措施。

該實(shí)體選擇、制定并執行持續或單獨的評價(jià)，以確定內部控制的組成部分是否存在并發(fā)揮作用。

該實(shí)體為信息資產(chǎn)實(shí)施邏輯訪(fǎng)問(wèn)安全軟件、基礎設施和架構，以保護它們免受安全事件的影響。

該實(shí)體將信息的傳輸、移動(dòng)和移除限制在經(jīng)授權的內部和外部用戶(hù)和流程中，并在傳輸、移動(dòng)或移除過(guò)程中對其進(jìn)行保護。

該實(shí)體實(shí)施控制措施，以防止或檢測未經(jīng)授權或惡意軟件的引入并采取行動(dòng)。

該實(shí)體使用檢測和監控程序來(lái)識別導致引入新漏洞以及對新發(fā)現漏洞的敏感性的配置變更。

該實(shí)體監測系統組件和這些組件的運行情況，以發(fā)現表明惡意行為、自然災害和影響該實(shí)體實(shí)現其目標的錯誤的異常情況；對異常情況進(jìn)行分析，以確定它們是否意味著(zhù)安全事件。

該實(shí)體處置機密信息以實(shí)現該實(shí)體與機密性相關(guān)的目標。

對于云控制矩陣，確定了額外的數據保護控制措施（因為該矩陣有具體和細化的控制措施，其中一些被分組），包括：

自動(dòng)化應用安全測試

應用程序的漏洞修復

密碼學(xué)、加密和密鑰管理

安全處置/數據保留和刪除

敏感數據傳輸

保護日志的完整性

安全監測和警報

審計日志訪(fǎng)問(wèn)和問(wèn)責

記錄和監測（包括故障和異常情況）。

滲透測試

通用端點(diǎn)管理（如存儲加密、防火墻）

數據丟失防護

圖片來(lái)源于公共圖片庫

ISO/IEC 27001/27002是一個(gè)流行的信息安全框架，但不常被用來(lái)為財務(wù)報告提供保證。ISO 27002已經(jīng)更新，并將被轉移到新的ISO 27001框架中。為了滿(mǎn)足IT環(huán)境中的信息安全的最新要求，已經(jīng)引入了一些控制措施，包括：

威脅情報

物理安全監控

配置管理(包括安全配置)

信息刪除

數據屏蔽

防止數據泄漏

監控活動(dòng)

WEB過(guò)濾

在云控制矩陣和可信服務(wù)標準的差距分析中也發(fā)現了這些控制措施。這里強調需要額外的控制措施來(lái)確保數據安全和管理數據安全風(fēng)險。

檢查可信服務(wù)標準和云控制矩陣中存在的、但未反映在IT一般控制中的控制措施，可以看出審計師還需要考慮的一些其他IT一般控制（圖1）。

在測試IT環(huán)境中的應用程序、數據庫、操作系統和網(wǎng)絡(luò )組件時(shí)，應考慮傳統的IT一般控制和新建議的控制。

在審計IT一般控制以確保信息系統在財務(wù)報告中的可靠性時(shí)，數據的完整性是很重要的，但機密性是否同樣重要，則值得商榷。如果強大的身份驗證控制已經(jīng)到位，并且對數據的直接訪(fǎng)問(wèn)被嚴格限制在適當的個(gè)人身上，那么新的控制是否有必要？在這種情況下，未經(jīng)授權的個(gè)人獲取和修改數據的風(fēng)險似乎很低。為了了解這些控制措施的相關(guān)性，需要仔細研究欺詐和缺乏數據完整性的風(fēng)險。

在對信息系統執行IT審計時(shí)，關(guān)鍵的風(fēng)險因素是數據不安全和欺詐。2016年，美國國家標準與技術(shù)研究所（NIST）描述了三種可能導致數據完整性問(wèn)題的網(wǎng)絡(luò )攻擊場(chǎng)景：勒索軟件、數據破壞和數據操縱（內部威脅）。最近的另一項研究描述了云中的多種攻擊，可能導致數據完整性問(wèn)題。在連接到互聯(lián)網(wǎng)或云的信息系統中，攻擊面要大得多；因此，數據安全是一個(gè)重要問(wèn)題。

云平臺使用的增加以及與之相關(guān)的風(fēng)險因素的增加，反映在所實(shí)施的欺詐數量上。在最近的一項調查中，“近70%的遭遇欺詐的組織報告說(shuō)，最具破壞性的事件來(lái)自外部攻擊或內外的勾結?！蓖徽{查表明，網(wǎng)絡(luò )欺詐比資產(chǎn)挪用更常見(jiàn)。

IT一般控制已經(jīng)過(guò)時(shí)了嗎？盡管專(zhuān)業(yè)審計師總是可以根據正在進(jìn)行的風(fēng)險評估來(lái)定義他們自己的控制，但IT一般控制指南已經(jīng)過(guò)時(shí)了。隨著(zhù)IT環(huán)境的不斷變化，對數據保護的要求也需要不斷發(fā)展。為了解決這個(gè)問(wèn)題，隨著(zhù)時(shí)間的推移，可信服務(wù)標準、云控制矩陣和ISO/IEC 27002等框架已經(jīng)被開(kāi)發(fā)出來(lái)。

在測試IT一般控制時(shí)，應考慮對IT環(huán)境中的相關(guān)應用、數據庫、操作系統和網(wǎng)絡(luò )組件進(jìn)行與安全評估、數據資產(chǎn)保護、安全數據傳輸、端點(diǎn)保護、漏洞監測、安全監測和安全處置有關(guān)的額外控制措施。

作者：Jouke Albeda

來(lái)源：ISACA

編輯：孫哲

標簽：