IT一般控制已經過時了嗎？——數據保護和財務報告內部控制

對于從事會計業務的IT審計師來說，IT一般控制的重要性是顯而易見的，尤其是在財務報表的訪問管理領域。十多年來，IT一般控制幾乎沒有變化，而美國注冊會計師協會（AICPA）的信托服務標準和云安全聯盟（CSA）的云控制矩陣等框架卻在不斷發展。國際標準化組織（ISO）標準ISO 27002的信息安全框架也在進行重大升級，包括新的控制措施。數據生命周期內的財務報告風險因素幾乎沒有變化，這可能嗎？數據被保存在一個系統內，如數據庫，其功能確保數據可以被訪問和處理。然而，隨著信息系統的外包和（虛擬）硬件的使用，IT環境已經發生了重大變化。為了確定IT一般控制是否需要更新，或者它們是否仍然足以覆蓋大多數IT環境，檢查這些適用于數據安全（主要是完整性和機密性）的控制是非常有用的。然后，可以將選取的IT一般控制與服務組織鑒證報告中經常使用和普遍接受的框架及其數據保護控制進行比較。

審計師使用一套基本的（建議的）IT一般控制措施來確定控制措施，如國際審計與鑒證準則委員會（IAASB）在《國際審計準則》（ISA）315（2019年修訂版）中公布的準則中所定義的控制措施。確定的控制措施可以根據其應用和IT環境的其他方面而有所不同。有關數據安全的IT一般控制措施在《國際審計準則》315附錄6中定義。

(資料圖片僅供參考)

在訪問管理領域，能夠影響數據保護的控制措施包括：

身份驗證控制-確保訪問IT應用或IT環境其他方面的用戶沒有使用其他用戶的登錄憑證。

授權控制-允許用戶只能訪問其工作職責所需的信息，這有利于適當的職責分離。

配置控制-授權新用戶和修改現有用戶的訪問權限。

撤消控制-在終止或（崗位）調動時撤消用戶訪問權限。

特權訪問控制-授權管理員用戶或高級用戶的訪問。

用戶訪問審查控制-驗證或評估用戶訪問權限，以便在一段時間內持續授權。

安全配置控制-每種技術一般都有關鍵的配置設置，幫助限制對環境的訪問。

物理訪問控制-授權對數據中心和硬件的物理訪問，因為這種訪問可能會凌駕于其他控制之上。

在變更管理領域，可能影響數據保護的控制措施包括：

數據轉換控制-授權在開發、實施或升級IT環境期間進行數據轉換。

在IT運營管理領域，能夠影響數據保護的控制措施包括：

入侵檢測控制-監測IT環境中的漏洞和/或入侵行為。

《國際審計準則》（ISA）315（2019年修訂版）中提到這些控制是審計師可能考慮的IT一般控制。審計員必須進行風險評估，并使用專業判斷來確定IT環境中的風險因素和適當的控制措施來緩解這些風險。ISA315中定義的IT一般控制清單與其他組織定義的IT一般控制準則相似。因此，ISA標準是IT審計師使用的IT一般控制的適當反映。

除了依靠信息系統進行財務報告所需的IT一般控制之外，大多數服務組織還向客戶提供鑒證報告，以證明其符合控制框架?？刂瓶蚣?，比如那些由AICPA和CSA制定的框架，包含了比我們熟悉的IT一般控制更多的控制。當其他框架的控制被認為是無效的，或者如果鑒證報告有保留意見，就會進行影響評估，以確定這些缺陷是否會對財務報告產生負面影響。由于服務機構控制（SOC）報告通常不只涵蓋IT一般控制，會計師和IT審計師必須確定額外控制的影響，而這些控制在只測試IT一般控制時一般不會被評估。

為了確定與數據保護相關的、不在IT一般控制范圍內的控制措施，對可信服務標準和云控制矩陣進行了差距分析。對于可信服務標準，確定了額外的數據保護控制措施。

該實體選擇、制定并執行持續或單獨的評價，以確定內部控制的組成部分是否存在并發揮作用。

該實體為信息資產實施邏輯訪問安全軟件、基礎設施和架構，以保護它們免受安全事件的影響。

該實體將信息的傳輸、移動和移除限制在經授權的內部和外部用戶和流程中，并在傳輸、移動或移除過程中對其進行保護。

該實體實施控制措施，以防止或檢測未經授權或惡意軟件的引入并采取行動。

該實體使用檢測和監控程序來識別導致引入新漏洞以及對新發現漏洞的敏感性的配置變更。

該實體監測系統組件和這些組件的運行情況，以發現表明惡意行為、自然災害和影響該實體實現其目標的錯誤的異常情況；對異常情況進行分析，以確定它們是否意味著安全事件。

該實體處置機密信息以實現該實體與機密性相關的目標。

對于云控制矩陣，確定了額外的數據保護控制措施（因為該矩陣有具體和細化的控制措施，其中一些被分組），包括：

自動化應用安全測試

應用程序的漏洞修復

密碼學、加密和密鑰管理

安全處置/數據保留和刪除

敏感數據傳輸

保護日志的完整性

安全監測和警報

審計日志訪問和問責

記錄和監測（包括故障和異常情況）。

滲透測試

通用端點管理（如存儲加密、防火墻）

數據丟失防護

圖片來源于公共圖片庫

ISO/IEC 27001/27002是一個流行的信息安全框架，但不常被用來為財務報告提供保證。ISO 27002已經更新，并將被轉移到新的ISO 27001框架中。為了滿足IT環境中的信息安全的最新要求，已經引入了一些控制措施，包括：

威脅情報

物理安全監控

配置管理(包括安全配置)

信息刪除

數據屏蔽

防止數據泄漏

監控活動

WEB過濾

在云控制矩陣和可信服務標準的差距分析中也發現了這些控制措施。這里強調需要額外的控制措施來確保數據安全和管理數據安全風險。

檢查可信服務標準和云控制矩陣中存在的、但未反映在IT一般控制中的控制措施，可以看出審計師還需要考慮的一些其他IT一般控制（圖1）。

在測試IT環境中的應用程序、數據庫、操作系統和網絡組件時，應考慮傳統的IT一般控制和新建議的控制。

在審計IT一般控制以確保信息系統在財務報告中的可靠性時，數據的完整性是很重要的，但機密性是否同樣重要，則值得商榷。如果強大的身份驗證控制已經到位，并且對數據的直接訪問被嚴格限制在適當的個人身上，那么新的控制是否有必要？在這種情況下，未經授權的個人獲取和修改數據的風險似乎很低。為了了解這些控制措施的相關性，需要仔細研究欺詐和缺乏數據完整性的風險。

在對信息系統執行IT審計時，關鍵的風險因素是數據不安全和欺詐。2016年，美國國家標準與技術研究所（NIST）描述了三種可能導致數據完整性問題的網絡攻擊場景：勒索軟件、數據破壞和數據操縱（內部威脅）。最近的另一項研究描述了云中的多種攻擊，可能導致數據完整性問題。在連接到互聯網或云的信息系統中，攻擊面要大得多；因此，數據安全是一個重要問題。

云平臺使用的增加以及與之相關的風險因素的增加，反映在所實施的欺詐數量上。在最近的一項調查中，“近70%的遭遇欺詐的組織報告說，最具破壞性的事件來自外部攻擊或內外的勾結?！蓖徽{查表明，網絡欺詐比資產挪用更常見。

IT一般控制已經過時了嗎？盡管專業審計師總是可以根據正在進行的風險評估來定義他們自己的控制，但IT一般控制指南已經過時了。隨著IT環境的不斷變化，對數據保護的要求也需要不斷發展。為了解決這個問題，隨著時間的推移，可信服務標準、云控制矩陣和ISO/IEC 27002等框架已經被開發出來。

在測試IT一般控制時，應考慮對IT環境中的相關應用、數據庫、操作系統和網絡組件進行與安全評估、數據資產保護、安全數據傳輸、端點保護、漏洞監測、安全監測和安全處置有關的額外控制措施。

作者：Jouke Albeda

來源：ISACA

編輯：孫哲

標簽：