應(yīng)用GAIT方法

1、應(yīng)用GAIT方法為了幫助你應(yīng)用GAIT,這一部分分為下表5中的幾個(gè)部分。表 1:應(yīng)用GAIT標(biāo)題內(nèi)容參見(jiàn)GAIT簡(jiǎn)介GAIT方法的實(shí)質(zhì)下文記錄GAIT結(jié)果如何記錄GAIT結(jié)果第15頁(yè)制定GAIT如何為組織制定GAIT第15頁(yè)組成GAIT評(píng)估團(tuán)隊(duì)?wèi)?yīng)用GAIT需要哪些小組成員第15頁(yè)GAIT 方法的步驟應(yīng)用GAIT 方法的每一個(gè)步驟第16頁(yè)GAIT簡(jiǎn)介GAIT方法檢查財(cái)務(wù)上重要的所有應(yīng)用程序，以確定每一層中的ITGC過(guò)程的故障是否會(huì)威脅到應(yīng)用程序關(guān)鍵功能的持續(xù)運(yùn)作。一旦發(fā)生故障，GAIT將仔細(xì)識(shí)別ITGC過(guò)程風(fēng)險(xiǎn)和相關(guān)的ITGC控制目標(biāo)，這些目標(biāo)完成時(shí)，可以降低風(fēng)險(xiǎn)。COBIT和其他方法能夠識(shí)別關(guān)

2、鍵控制點(diǎn)，以確定ITGC控制目標(biāo)?？傊珿AIT方法通過(guò)依次詢問(wèn)以下三個(gè)問(wèn)題來(lái)指導(dǎo)讀者：1哪些具有財(cái)務(wù)重要性的應(yīng)用程序的信息技術(shù)功能,對(duì)于防止/發(fā)現(xiàn)重大錯(cuò)報(bào)的企業(yè)流程關(guān)鍵控制的正常運(yùn)作是重要的（例如，關(guān)鍵的信息技術(shù)功能是什么）？2對(duì)每一層的IT過(guò)程來(lái)講，是否有這樣一種可能性，即一個(gè)進(jìn)程故障會(huì)引起關(guān)鍵功能的失敗間接地表現(xiàn)為重大錯(cuò)報(bào)風(fēng)險(xiǎn)？（例如，如果某一層上的進(jìn)程發(fā)生故障，會(huì)對(duì)關(guān)鍵功能上產(chǎn)生什么影響？它會(huì)引起功能失效，以至于有重大錯(cuò)報(bào)風(fēng)險(xiǎn)的可能嗎？）3如果這樣的ITGC過(guò)程風(fēng)險(xiǎn)存在，相關(guān)的信息技術(shù)控制目標(biāo)是什么？（例如，為了確保關(guān)鍵功能的實(shí)現(xiàn)，需要達(dá)到哪些信息技術(shù)控制目標(biāo)？）例如風(fēng)險(xiǎn)（在應(yīng)用層的變

3、更管理過(guò)程中）：未測(cè)試的應(yīng)用程序變化會(huì)導(dǎo)致關(guān)鍵功能失效。控制目標(biāo)：所有程序變更都要進(jìn)行適當(dāng)?shù)臏y(cè)試，并且在運(yùn)行前對(duì)測(cè)試結(jié)果進(jìn)行檢驗(yàn)和審批。關(guān)鍵控制點(diǎn)：程序變更的測(cè)試在一個(gè)獨(dú)立的測(cè)試環(huán)境下進(jìn)行。所有測(cè)試結(jié)果由一名經(jīng)理檢驗(yàn)和審批對(duì)所有較大的變更進(jìn)行使用者測(cè)試，且測(cè)試結(jié)果由一名經(jīng)理審批。由高級(jí)IT管理者對(duì)突發(fā)變更進(jìn)行檢驗(yàn)和審批。記錄GAIT結(jié)果本文提供了兩種記錄GAIT結(jié)果的方法：如下所述的GAIT矩陣和GAIT模板（參見(jiàn)26頁(yè)的“GAIT模板”）。然而，不管選擇哪種方法，應(yīng)該詳細(xì)記錄GAIT結(jié)果，以使檢查者理解形成該結(jié)果的基本原理。GAIT矩陣（見(jiàn)下表6）描述了這個(gè)方法，記錄具有財(cái)務(wù)重要性的應(yīng)用程序

4、的結(jié)果。你可以在每個(gè)空格中記錄對(duì)某一層的企業(yè)流程關(guān)鍵功能是否存在風(fēng)險(xiǎn)的評(píng)估，并識(shí)別相關(guān)的IT 控制目標(biāo)。表 2:空白GAIT矩陣層面變更管理操作安全應(yīng)用層數(shù)據(jù)層操作系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)制定GAITGAIT是靈活的。使用者可以根據(jù)專業(yè)術(shù)語(yǔ)的含義和IT 控制框架制定步驟。尤其是，使用者可以在GAIT矩陣的堆棧中使用自己對(duì)ITGC過(guò)程和標(biāo)準(zhǔn)的定義如添加使用者訪問(wèn)和特權(quán)訪問(wèn)到現(xiàn)有的變動(dòng)管理，運(yùn)作，安全中。有關(guān)堆棧的更多信息，參見(jiàn)“原則3”。組成GAIT評(píng)估小組經(jīng)驗(yàn)表明，企業(yè)使用者通常不能完全理解屏幕上的IT功能及他們使用的報(bào)告，并且IT專家也不能完全理解企業(yè)流程及其基礎(chǔ)。GAIT評(píng)估應(yīng)當(dāng)由一個(gè)具備企業(yè)和IT知

5、識(shí)的內(nèi)部控制專家組成的小組進(jìn)行。GAIT起初是由商務(wù)專家執(zhí)行的自上而下的、基于風(fēng)險(xiǎn)的一種方法。GAIT基于對(duì)關(guān)鍵IT功能的理解，依靠這些功能，可以保證企業(yè)流程潛在失敗點(diǎn)評(píng)估中識(shí)別出來(lái)的企業(yè)流程關(guān)鍵控制點(diǎn)（預(yù)防和發(fā)現(xiàn)財(cái)務(wù)重大錯(cuò)報(bào)）適當(dāng)運(yùn)作。隨著GAIT評(píng)估的進(jìn)行，訪問(wèn) IT基礎(chǔ)和IT過(guò)程的更多技術(shù)方面，IT專家越來(lái)越重要。專家應(yīng)能充分理解和識(shí)別關(guān)鍵IT功能（包括關(guān)鍵的自動(dòng)化控制、關(guān)鍵報(bào)告和其他功能）、相關(guān)ITGC過(guò)程中的潛在失敗點(diǎn)，以及適當(dāng)?shù)腎TGC控制目標(biāo)和關(guān)鍵控制點(diǎn)。一個(gè)完整的小組應(yīng)該檢驗(yàn)和確認(rèn)GAIT評(píng)估結(jié)果，確保其適當(dāng)性和合理性。GAIT方法步驟為了應(yīng)用GAIT方法，應(yīng)當(dāng)遵守下列程序中列

6、示的步驟。程序 1：應(yīng)用GAIT方法第一步 識(shí)別（必要時(shí)核實(shí)）關(guān)鍵信息技術(shù)的功能。第二步 識(shí)別需要測(cè)試的ITGC的重要應(yīng)用程序。第三步 識(shí)別ITGC過(guò)程的風(fēng)險(xiǎn)和相關(guān)控制目標(biāo)。這是GAIT方法的核心。第四步 識(shí)別滿足控制目標(biāo)的關(guān)鍵ITGC。第五步 由“合適人員”進(jìn)行檢驗(yàn)。更多使用GAIT的信息（包括應(yīng)用方案），見(jiàn)IIA網(wǎng)站： 步驟1 識(shí)別（必要時(shí)核實(shí)）關(guān)鍵信息技術(shù)的功能GAIT方法首先評(píng)價(jià)關(guān)鍵的人工和自動(dòng)企業(yè)控制點(diǎn)，以及其他關(guān)鍵系統(tǒng)功能。（下表2說(shuō)明本步驟及下一步驟）。對(duì)企業(yè)流程進(jìn)行自上而下的評(píng)估，需要先識(shí)別這些關(guān)鍵的人工和自動(dòng)控制點(diǎn)。GAIT通過(guò)確定GA

7、IT評(píng)估基礎(chǔ)的目錄，繼續(xù)這種自上而下的評(píng)估過(guò)程，并確保所有關(guān)鍵IT功能已識(shí)別。在步驟2中使用此目錄去識(shí)別具有財(cái)務(wù)重要性的應(yīng)用程序，例如，哪些應(yīng)用程序包括在404條款評(píng)估和測(cè)試的范圍之內(nèi)。圖表2：步驟1和2AS/2識(shí)別控制點(diǎn)，以便及時(shí)進(jìn)行錯(cuò)誤或舞弊的預(yù)防/發(fā)現(xiàn)的測(cè)試步驟1識(shí)別/證實(shí)關(guān)鍵IT功能步驟2識(shí)別需要測(cè)試的ITGC（重要）應(yīng)用程序程序 2：檢查關(guān)鍵手動(dòng)和自動(dòng)控制點(diǎn)及關(guān)鍵功能1、檢查公司財(cái)務(wù)過(guò)程中的關(guān)鍵控制點(diǎn)、主要報(bào)告和其他功能，并確定哪些是手動(dòng)的，哪些是自動(dòng)的。2、列出所依賴的關(guān)鍵IT功能表。這里包括自動(dòng)控制（見(jiàn)下面的第3步）及其他主要的IT功能（見(jiàn)下面的第5步）。自動(dòng)控制點(diǎn)包括：完全自動(dòng)

8、的控制點(diǎn)（例如，匹配或更新總分類賬中的賬戶）人工控制依賴ISACA的薩奧法案的IT控制目標(biāo)描述其為“依賴IT的人工控制”或“混合控制”。的應(yīng)用程序功能。這個(gè)功能中的錯(cuò)誤可能不會(huì)被發(fā)現(xiàn)（參見(jiàn)16頁(yè)的“關(guān)鍵報(bào)告”）。這些人工控制有時(shí)也稱為“混合控制”。比如，為發(fā)現(xiàn)重復(fù)接收的關(guān)鍵控制可能包括檢查系統(tǒng)報(bào)告?？刂频娜斯げ糠謶?yīng)當(dāng)能夠發(fā)現(xiàn)報(bào)告中的錯(cuò)誤，但無(wú)法保證報(bào)告的完整性。因此，關(guān)鍵報(bào)告應(yīng)該確定一個(gè)范圍。相反，銀行余額調(diào)節(jié)表可能需要使用企業(yè)總分類賬系統(tǒng)中的報(bào)告，顯示當(dāng)前余額、收入及支出。然而，余額調(diào)節(jié)控制的正常運(yùn)作會(huì)及時(shí)發(fā)現(xiàn)報(bào)告中的錯(cuò)誤。所以控制的自動(dòng)部分不是關(guān)鍵，人工部分才是關(guān)鍵。3、確定關(guān)鍵的自動(dòng)控制

9、點(diǎn)：檢查自動(dòng)控制點(diǎn)，確保這些控制點(diǎn)是關(guān)鍵的在權(quán)衡可靠性和進(jìn)行人工和自動(dòng)控制測(cè)試時(shí)，需要考慮總成本。有人認(rèn)為自動(dòng)控制比人工控制更有效，更節(jié)約成本。理由是人工控制需要抽取較多樣本進(jìn)行測(cè)試，成本較高，而自動(dòng)控制僅需測(cè)試一次。然而，后者假定ITGC是有效的，保證自動(dòng)控制持續(xù)運(yùn)作，樣本量可以為1。依靠自動(dòng)控制的成本包括評(píng)估和測(cè)試相關(guān)IT常規(guī)控制過(guò)程的關(guān)鍵控制點(diǎn)的成本。許多組織可能更多地受益于自動(dòng)控制，如何決策應(yīng)當(dāng)謹(jǐn)慎，考慮所有成本和涉及的風(fēng)險(xiǎn)。即使自動(dòng)控制是關(guān)鍵控制，在評(píng)估與自動(dòng)控制有關(guān)的IT常規(guī)控制過(guò)程風(fēng)險(xiǎn)時(shí)，人工關(guān)鍵控制也會(huì)有價(jià)值。由不同部門識(shí)別人工和自動(dòng)過(guò)程中的風(fēng)險(xiǎn)和相關(guān)控制的組織，尤其是使用清單

10、或其他自上而下方法的組織，可能把本不是關(guān)鍵控制的自動(dòng)控制點(diǎn)作為關(guān)鍵控制點(diǎn)。 如果自動(dòng)控制失敗，評(píng)估是否至少存在一個(gè)重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)的可能性。有時(shí)，一些人工關(guān)鍵控制可以在導(dǎo)致重大錯(cuò)誤之前察覺(jué)自動(dòng)控制的失敗，或發(fā)現(xiàn)對(duì)重要數(shù)據(jù)的未授權(quán)變更。這些人工控制點(diǎn)應(yīng)確認(rèn)為關(guān)鍵控制點(diǎn)，并且將這些自動(dòng)控制點(diǎn)從關(guān)鍵控制點(diǎn)目錄中刪去。4、確定在應(yīng)用程序中是否還有其他關(guān)鍵IT功能沒(méi)有被確認(rèn)為關(guān)鍵控制，這可能導(dǎo)致故障沒(méi)有被發(fā)現(xiàn)，從而發(fā)生財(cái)務(wù)報(bào)表的重大錯(cuò)報(bào)。許多進(jìn)行計(jì)算和依靠財(cái)務(wù)事項(xiàng)過(guò)程和相關(guān)會(huì)計(jì)記錄的應(yīng)用程序 有些IT審計(jì)師使用“設(shè)定的程序”或“設(shè)定的會(huì)計(jì)程序”進(jìn)行計(jì)算，分類賬更新等。沒(méi)有嚴(yán)格的控制（參見(jiàn)附錄的“控制”

11、定義）。然而，如果功能失效，關(guān)鍵的人工或自動(dòng)控制都不能發(fā)現(xiàn)重大錯(cuò)誤。因此，你需要將任何這樣的程序包括進(jìn)來(lái)，作為關(guān)鍵功能，并考慮其風(fēng)險(xiǎn)。因此，應(yīng)當(dāng)確認(rèn)所有的關(guān)鍵IT功能為具有財(cái)務(wù)重要性的應(yīng)用程序。步驟2：識(shí)別需要測(cè)試的ITGC的重要應(yīng)用程序一旦確定了關(guān)鍵IT功能，就能識(shí)別出具有財(cái)務(wù)重要性的應(yīng)用程序。具有財(cái)務(wù)重要性的應(yīng)用程序是具有潛在ITGC過(guò)程風(fēng)險(xiǎn)的程序，因?yàn)樗鼈儼P(guān)鍵IT功能或數(shù)據(jù)（參見(jiàn)附錄的專有名詞）。財(cái)務(wù)事項(xiàng)過(guò)程中的應(yīng)用程序不包括關(guān)鍵IT功能和未經(jīng)授權(quán)變更的數(shù)據(jù)（可能導(dǎo)致重大錯(cuò)誤）不在404條款的范圍之內(nèi)；相關(guān)的ITGC不需要測(cè)試。程序 3：識(shí)別需要測(cè)試的ITGC應(yīng)用程序1、根據(jù)應(yīng)用程序

12、對(duì)關(guān)鍵IT功能進(jìn)行分類。具有重要功能的應(yīng)用程序結(jié)果列表是將要評(píng)估ITGC過(guò)程風(fēng)險(xiǎn)的具有財(cái)務(wù)重要性的應(yīng)用程序列表。2、對(duì)基于關(guān)鍵IT功能的財(cái)務(wù)上不是很重要的應(yīng)用程序，這是一個(gè)附加步驟。該步驟評(píng)估直接對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)行未授權(quán)的修改，是否會(huì)導(dǎo)致不能發(fā)現(xiàn)的重大錯(cuò)誤(參見(jiàn)“原則1”)。該步驟確定數(shù)據(jù)的修改是否繞過(guò)正常的程序和控制（有時(shí)稱為“走后門”），是否導(dǎo)致正常的控制程序不能發(fā)現(xiàn)的財(cái)務(wù)上的重大錯(cuò)誤。如果可能，應(yīng)當(dāng)使用GAIT，把應(yīng)用程序作為具有財(cái)務(wù)重要性的應(yīng)用程序來(lái)評(píng)估。如果不行，則該應(yīng)用軟件不在考慮范圍之內(nèi)。應(yīng)該注意，有些計(jì)算和其他功能使用在優(yōu)先程序中生成的數(shù)據(jù)。數(shù)據(jù)的修改會(huì)導(dǎo)致不能發(fā)現(xiàn)的重大錯(cuò)誤，

13、這種風(fēng)險(xiǎn)可能不僅存在于使用數(shù)據(jù)的應(yīng)用程序，而且還存在于其他程序中（例如，生成數(shù)據(jù)的應(yīng)用程序及任何其他存儲(chǔ)數(shù)據(jù)的程序，因此具有風(fēng)險(xiǎn)）。如果在這里沒(méi)有發(fā)現(xiàn)對(duì)數(shù)據(jù)進(jìn)行的修改，那么那些上游程序可以認(rèn)為在財(cái)務(wù)上很重要。3、具有財(cái)務(wù)重要性的應(yīng)用程序繼續(xù)要點(diǎn)： 如果應(yīng)用程序中不存在以下內(nèi)容，那么，它在財(cái)務(wù)上不重要，且不能信賴ITGC：a.關(guān)鍵自動(dòng)（程序）控制b.關(guān)鍵報(bào)告或其他混合控制（依靠IT功能、屏幕、報(bào)告等的人工控制） c.其他關(guān)鍵IT功能d.能夠?qū)е玛P(guān)鍵控制失?。梢杂绊懴掠慰刂疲┗蚱渌卮箦e(cuò)誤的數(shù)據(jù)修改（即便只是掠過(guò)）。這些數(shù)據(jù)可以是處理數(shù)據(jù)或參考數(shù)據(jù)（例如，價(jià)格、信用額度等） 步驟3識(shí)別ITGC過(guò)

14、程的風(fēng)險(xiǎn)和相關(guān)控制目標(biāo)。該步驟主要有兩件事：獲取每個(gè)重要應(yīng)用程序的其他信息評(píng)估每個(gè)重要應(yīng)用程序的ITGC過(guò)程風(fēng)險(xiǎn)：每層的ITGC過(guò)程下圖說(shuō)明該步驟是如何適應(yīng)GAIT的。 圖3：步驟3第二步 識(shí)別需要測(cè)試的ITGC的重要應(yīng)用程序第三步 識(shí)別ITGC過(guò)程的風(fēng)險(xiǎn)和相關(guān)控制目標(biāo)第四步 識(shí)別滿足控制目標(biāo)的關(guān)鍵ITGC在自上而下過(guò)程中面向企業(yè)流程的部分，你會(huì)對(duì)財(cái)務(wù)信息處理的每個(gè)應(yīng)用程序有一個(gè)廣泛的理解。該步驟要識(shí)別企業(yè)流程中需要測(cè)試的適當(dāng)控制。完成相關(guān)ITGC過(guò)程的每個(gè)重要應(yīng)用程序的風(fēng)險(xiǎn)評(píng)估，通常需要其他信息。 程序4：拓展對(duì)范圍內(nèi)的應(yīng)用程序及其基礎(chǔ)的理解完成GAIT評(píng)估所需要的信息分為三類：應(yīng)用程序基礎(chǔ)

15、、相關(guān)ITGC過(guò)程和風(fēng)險(xiǎn)指標(biāo)。表 3:附加應(yīng)用軟件基礎(chǔ)構(gòu)造和風(fēng)險(xiǎn)信息類別內(nèi)容應(yīng)用程序基礎(chǔ)理解和評(píng)估應(yīng)用程序堆棧每一層風(fēng)險(xiǎn)的典型信息如下：支持應(yīng)用程序的基礎(chǔ)要素（例如，數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)中心）自動(dòng)控制是結(jié)構(gòu)設(shè)置而非應(yīng)用程序代碼的結(jié)果的程度使用的數(shù)據(jù)庫(kù)技術(shù)。理解其性質(zhì)和數(shù)據(jù)庫(kù)要素變化的頻率，如數(shù)據(jù)庫(kù)模式，這對(duì)關(guān)鍵的自動(dòng)控制十分重要操作系統(tǒng)（例如，應(yīng)用程序使用什么操作系統(tǒng)，變化頻率如何）重要界面及其人工控制。如果它們未被列為關(guān)鍵控制，你需要將其添加到關(guān)鍵自動(dòng)控制的列表中，如果其故障沒(méi)有被正常的關(guān)鍵控制發(fā)現(xiàn)，就有可能導(dǎo)致重大錯(cuò)誤。網(wǎng)絡(luò)基礎(chǔ)及其潛在失敗點(diǎn)（例如，應(yīng)用程序及其關(guān)鍵自動(dòng)控制需要依靠

16、網(wǎng)絡(luò)的傳遞，網(wǎng)絡(luò)失敗或網(wǎng)絡(luò)安全缺口極有可能導(dǎo)致財(cái)務(wù)報(bào)表中存在未能發(fā)現(xiàn)的重大錯(cuò)誤）應(yīng)用軟件是自己研發(fā)的，還是購(gòu)買的？應(yīng)用軟件由自己維護(hù)，還是外包？如何支持應(yīng)用軟件及其基礎(chǔ)：主要是通過(guò)共享服務(wù)器還是企業(yè)各部門獨(dú)占服務(wù)器？數(shù)據(jù)中心是由自己運(yùn)作，還是外包？哪些網(wǎng)絡(luò)和技術(shù)基礎(chǔ)運(yùn)作由自己運(yùn)作，哪些外包？IT是如何組織的？它的關(guān)鍵功能是相互獨(dú)立的嗎？風(fēng)險(xiǎn)指標(biāo)某些指標(biāo)在IT過(guò)程中顯示高風(fēng)險(xiǎn)。評(píng)估風(fēng)險(xiǎn)時(shí)應(yīng)考慮以下方面：404條款測(cè)試前期或內(nèi)部審計(jì)期間有多少關(guān)鍵控制失效？是哪些關(guān)鍵控制？應(yīng)用軟件的壽命是多少？多久進(jìn)行一次修正？程序或數(shù)據(jù)有已知的問(wèn)題嗎？財(cái)務(wù)上重要的任何應(yīng)用程序功能有已知的問(wèn)題嗎？購(gòu)買的應(yīng)用軟件在多

17、大程度上進(jìn)行了修正、定制和安裝？高優(yōu)先級(jí)變更要求的存儲(chǔ)是什么？程序問(wèn)題發(fā)生的頻率？突發(fā)變化發(fā)生的頻率？關(guān)鍵職位上的員工流動(dòng)水平是多少？員工有多少經(jīng)驗(yàn)，以及他們接受過(guò)足夠的培訓(xùn)嗎？ GAIT評(píng)估的核心現(xiàn)在開(kāi)始。對(duì)于每個(gè)具有財(cái)務(wù)重要性的應(yīng)用程序，GAIT經(jīng)過(guò)堆棧的每一層中的每一個(gè)IT過(guò)程，并且識(shí)別IT過(guò)程風(fēng)險(xiǎn)和相關(guān)控制目標(biāo)。與企業(yè)流程中的風(fēng)險(xiǎn)相比，評(píng)估這一水平上的風(fēng)險(xiǎn)的挑戰(zhàn)，就是ITGC過(guò)程僅與財(cái)務(wù)報(bào)表間接相關(guān)。在GAIT中，IT過(guò)程風(fēng)險(xiǎn)的評(píng)估是基于關(guān)鍵IT功能適當(dāng)運(yùn)作的風(fēng)險(xiǎn)的。影響風(fēng)險(xiǎn)評(píng)估的另一個(gè)因素是，相對(duì)于一般企業(yè)流程的失敗，ITGC過(guò)程中的許多失敗更有可能是作為正常運(yùn)行的一部分被發(fā)現(xiàn)。例如

18、，如果安全措施失效，蠕蟲(chóng)或病毒侵入網(wǎng)絡(luò)，很有可能立刻顯示并使其影響最小化。因此，事件發(fā)生就存在風(fēng)險(xiǎn)。然而，如果事件的性質(zhì)是會(huì)被及時(shí)發(fā)現(xiàn)，沒(méi)有及時(shí)發(fā)現(xiàn)關(guān)鍵功能失敗的風(fēng)險(xiǎn)極小因此，這不可能成為發(fā)生財(cái)務(wù)報(bào)表重大錯(cuò)誤的原因。評(píng)估風(fēng)險(xiǎn)應(yīng)考慮：IT過(guò)程發(fā)生失敗的可能性及其潛在影響。這項(xiàng)評(píng)估中包括以下幾個(gè)步驟：在引起關(guān)鍵IT功能失效的方式下，IT程序失敗的可能性有多大？關(guān)鍵功能失效沒(méi)有被及時(shí)發(fā)現(xiàn)、從而導(dǎo)致財(cái)務(wù)報(bào)表出現(xiàn)重大錯(cuò)誤，這可能嗎？404 條款的目的，主要是在可能導(dǎo)致（通過(guò)影響關(guān)鍵IT功能）重大錯(cuò)誤，而非任何錯(cuò)誤的IT程序失敗上。包括僅在理論上可能但不可行的IT程序風(fēng)險(xiǎn)，也會(huì)導(dǎo)致404 條款的范圍無(wú)效。

19、 錯(cuò)誤是舞弊（目的是欺詐或其他破壞）還是過(guò)失（偶然的）。對(duì)于舞弊（例如，故意插入未授權(quán)的代碼，或不經(jīng)授權(quán)修改數(shù)據(jù)），記?。?04條款關(guān)注的風(fēng)險(xiǎn)是至少相當(dāng)可能發(fā)生的風(fēng)險(xiǎn)。本文不提供評(píng)估舞弊風(fēng)險(xiǎn)的指南，但建議使用評(píng)估企業(yè)流程中的舞弊風(fēng)險(xiǎn)的方法。換句話說(shuō)，應(yīng)當(dāng)不僅評(píng)估舞弊發(fā)生的可能性，還要評(píng)估是否存在讓其成為可能的因素（像流動(dòng)資源的接近，經(jīng)理制造虛假事件的動(dòng)機(jī)，以及在評(píng)估控制環(huán)境時(shí)發(fā)現(xiàn)的其他風(fēng)險(xiǎn)）。在這一步驟，你開(kāi)始完成GAIT矩陣這一討論假設(shè)你正在使用GAIT矩陣。如果你使用該模塊，則可以用來(lái)證明所有步驟。然而，在你進(jìn)入填寫(xiě)GAIT矩陣的步驟前（參見(jiàn)“評(píng)估ITGC過(guò)程失敗的風(fēng)險(xiǎn)”），理解ITGC過(guò)

20、序在堆棧的每一層中如何變化是十分重要的：“應(yīng)用層IT常規(guī)控制過(guò)程”。見(jiàn)下面?！皵?shù)據(jù)庫(kù)層IT常規(guī)控制過(guò)程”。見(jiàn)21頁(yè)。“操作系統(tǒng)層IT常規(guī)控制過(guò)程”。見(jiàn)21頁(yè)?！熬W(wǎng)絡(luò)基礎(chǔ)層IT常規(guī)控制過(guò)程”。見(jiàn)22頁(yè)。應(yīng)用程序?qū)覫T常規(guī)控制過(guò)程下表8描述應(yīng)用程序?qū)拥腎TGC過(guò)程和應(yīng)考慮的風(fēng)險(xiǎn)。表 4：應(yīng)用軟件層IT總控制程序和典型的風(fēng)險(xiǎn)IT常規(guī)控制過(guò)程變更管理變更管理包括許多潛在的風(fēng)險(xiǎn)領(lǐng)域，包括是否：新的或改變了的功能被適當(dāng)設(shè)計(jì)和審批變更被充分測(cè)試，以確保正確運(yùn)作使用者接受變化，需要時(shí)證實(shí)其功能未授權(quán)變更被阻止運(yùn)作運(yùn)作具有潛在風(fēng)險(xiǎn)領(lǐng)域，包括：確保應(yīng)用軟件按照預(yù)期目標(biāo)運(yùn)作的控制（如，按要求的速度運(yùn)行，使用當(dāng)前參考

21、文檔，處理所有輸入文檔）程序錯(cuò)誤和異常情況的及時(shí)解決關(guān)鍵應(yīng)用程序和數(shù)據(jù)文檔的備份接觸的物理安全性。（注意：在過(guò)去，進(jìn)入計(jì)算機(jī)機(jī)房里的操作控制臺(tái)被認(rèn)為有重大風(fēng)險(xiǎn)?，F(xiàn)在，這種情況變得不再重要，因?yàn)楦锌赡芡ㄟ^(guò)網(wǎng)絡(luò)破壞系統(tǒng)安全性，操縱數(shù)據(jù)）安全安全包括數(shù)據(jù)風(fēng)險(xiǎn)和應(yīng)用程序代碼風(fēng)險(xiǎn)。IT常規(guī)控制過(guò)程主要包括：應(yīng)用程序安全、訪問(wèn)權(quán)的準(zhǔn)予和撤回，以及應(yīng)用程序代碼的訪問(wèn)。注意：在實(shí)施404條款評(píng)估的第一年里，一個(gè)普遍的缺陷是，程序員能訪問(wèn)程序的源代碼（尤其是網(wǎng)絡(luò)應(yīng)用程序）。理論上，程序員能夠進(jìn)行未授權(quán)的變更。然而，進(jìn)一步的分析和評(píng)估通常指出，這種情況導(dǎo)致重大錯(cuò)誤（評(píng)估對(duì)自動(dòng)控制的影響之后，等）的風(fēng)險(xiǎn)較低。程序

22、員通常沒(méi)有進(jìn)行未授權(quán)變更的動(dòng)機(jī)（例如，他們不能接觸流動(dòng)資產(chǎn)），并且未發(fā)現(xiàn)重大錯(cuò)誤的可能性較小。在控制測(cè)試前，GAIT允許考慮潛在風(fēng)險(xiǎn)，這是一個(gè)更有效的方法：評(píng)估風(fēng)險(xiǎn)和僅對(duì)可能發(fā)生的風(fēng)險(xiǎn)測(cè)試，而不是先測(cè)試，再?zèng)Q定風(fēng)險(xiǎn)是否有可能發(fā)生。數(shù)據(jù)庫(kù)層IT常規(guī)控制過(guò)程：一般來(lái)講，應(yīng)用層或數(shù)據(jù)庫(kù)層確認(rèn)的風(fēng)險(xiǎn)越低，那么在較低層風(fēng)險(xiǎn)存在的可能性就越小。例如，當(dāng)操作層或網(wǎng)絡(luò)基礎(chǔ)層的變更管理缺陷理論上可能會(huì)導(dǎo)致自動(dòng)控制功能損壞時(shí)，自動(dòng)控制失敗、導(dǎo)致重大錯(cuò)誤的可能性相當(dāng)小。下表9描述了數(shù)據(jù)層的ITGC過(guò)程：表 5：數(shù)據(jù)庫(kù)層計(jì)算機(jī)常規(guī)控制程序和典型風(fēng)險(xiǎn)IT常規(guī)控制過(guò)程內(nèi)容變更管理這一層的變更管理考慮的是非數(shù)據(jù)部分的變更風(fēng)

23、險(xiǎn)（如數(shù)據(jù)庫(kù)模式）。經(jīng)常忽視或?qū)?shù)據(jù)庫(kù)軟件發(fā)送數(shù)據(jù)到應(yīng)用層的方式進(jìn)行不正確的變更，會(huì)導(dǎo)致不完整或不正確的計(jì)算和報(bào)告。操作該層中的操作風(fēng)險(xiǎn)識(shí)別程序和應(yīng)用層操作風(fēng)險(xiǎn)識(shí)別是相同的。安全這里提到未經(jīng)授權(quán)直接獲取數(shù)據(jù)。當(dāng)傳統(tǒng)的數(shù)據(jù)安全被視為ITGC中最關(guān)鍵的領(lǐng)域之一時(shí)，你就被鼓勵(lì)運(yùn)用你對(duì)整個(gè)企業(yè)流程的判斷和知識(shí)，包括關(guān)鍵人工控制，去識(shí)別安全性風(fēng)險(xiǎn)，并關(guān)注那些至少有可能發(fā)生和導(dǎo)致重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)的風(fēng)險(xiǎn)（直接或間接通過(guò)其對(duì)關(guān)鍵IT功能的影響）。操作系統(tǒng)層IT常規(guī)控制過(guò)程操作系統(tǒng)層的缺陷不太可能導(dǎo)致重大錯(cuò)誤（無(wú)論是直接通過(guò)對(duì)數(shù)據(jù)的未授權(quán)修改，還是間接通過(guò)其對(duì)關(guān)鍵IT功能正確發(fā)揮的影響），因?yàn)槠溆绊懗３Ａ⒖田@

24、現(xiàn)出來(lái)以使用損耗或程序處理失敗的形式。然而，許多組織及其審計(jì)師對(duì)操作層的控制進(jìn)行記錄和測(cè)試，好像缺陷對(duì)自動(dòng)控制帶來(lái)不利影響的風(fēng)險(xiǎn)確實(shí)存在一樣。你應(yīng)當(dāng)運(yùn)用你的判斷和對(duì)技術(shù)及關(guān)鍵控制（不僅是在ITGC過(guò)程中，而且是在整個(gè)企業(yè)流程中，包括高層次的監(jiān)督控制）的廣泛理解去檢查這一層的風(fēng)險(xiǎn)，以確保適當(dāng)?shù)?04條款關(guān)注點(diǎn)。表10描述了操作層的IT常規(guī)控制過(guò)程。表 6：操作層IT常規(guī)控制過(guò)程和典型風(fēng)險(xiǎn)IT常規(guī)控制過(guò)程內(nèi)容變更管理該層的變更管理考慮的是操作系統(tǒng)環(huán)境的變化風(fēng)險(xiǎn)，如修護(hù)。操作該層中的操作風(fēng)險(xiǎn)識(shí)別程序和應(yīng)用層操作風(fēng)險(xiǎn)識(shí)別是相同的。安全這里提到未經(jīng)授權(quán)訪問(wèn)操作系統(tǒng)。你被鼓勵(lì)運(yùn)用你對(duì)整個(gè)企業(yè)流程的判斷和知

25、識(shí)，包括關(guān)鍵人工控制，去識(shí)別安全性風(fēng)險(xiǎn)，并關(guān)注那些至少有可能發(fā)生和導(dǎo)致重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)的風(fēng)險(xiǎn)（直接或間接通過(guò)其對(duì)關(guān)鍵IT功能的影響）。典型的是，操作層面的風(fēng)險(xiǎn)很少延伸到基本權(quán)限之外和涉及其他特殊權(quán)限。網(wǎng)絡(luò)基礎(chǔ)層IT常規(guī)控制過(guò)程一般來(lái)講，組織在這一層的風(fēng)險(xiǎn)很少。這一層的問(wèn)題產(chǎn)生的影響不太直接，因此，也不太可能導(dǎo)致關(guān)鍵控制功能的失效或沒(méi)有能夠發(fā)現(xiàn)引起財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)的數(shù)據(jù)的變更。從其他各層的風(fēng)險(xiǎn)評(píng)估所獲得的信息將有助于該層的風(fēng)險(xiǎn)評(píng)估。要想對(duì)這一層進(jìn)行恰當(dāng)?shù)姆秶鷦澏ǎ托枰獙?duì)應(yīng)用程序的技術(shù)基礎(chǔ)有一定的了解（在第二步中了解），并對(duì)企業(yè)流程和高層次監(jiān)督程序中的關(guān)鍵控制強(qiáng)弱有一定的認(rèn)識(shí)。GAIT建議，風(fēng)

26、險(xiǎn)的識(shí)別應(yīng)盡可能關(guān)注ITGC程序的關(guān)鍵控制點(diǎn)。例如，如果一項(xiàng)高度復(fù)雜的應(yīng)用程序接受并驗(yàn)證信用卡網(wǎng)上支付，那么你就應(yīng)該識(shí)別出潛在的網(wǎng)絡(luò)失敗點(diǎn)，以限制所需測(cè)試的范圍。程序5：評(píng)估ITGC程序失敗的風(fēng)險(xiǎn)1、 對(duì)于每一個(gè)具有財(cái)務(wù)重要性的應(yīng)用程序，識(shí)別具體的ITGC程序風(fēng)險(xiǎn)以及IT基礎(chǔ)中每一層的相關(guān)控制目標(biāo)。簡(jiǎn)言之，經(jīng)過(guò)GAIT矩陣的每一個(gè)單元，回答適當(dāng)?shù)膯?wèn)題，在下表11中列示。每個(gè)問(wèn)題的重心都在重大錯(cuò)誤風(fēng)險(xiǎn)。就如早先討論的，ITGC程序風(fēng)險(xiǎn)并不直接導(dǎo)致財(cái)務(wù)報(bào)表中的重大錯(cuò)誤，它們也許會(huì)導(dǎo)致關(guān)鍵自動(dòng)控制的失敗和其他一些關(guān)鍵IT功能（例如，關(guān)鍵報(bào)告）一如既往地如所要求的那樣運(yùn)行，進(jìn)而導(dǎo)致不能預(yù)防和發(fā)現(xiàn)財(cái)務(wù)報(bào)

27、表中的重大錯(cuò)誤。2、 記錄下GAIT矩陣（參見(jiàn)26頁(yè)的“GAIT矩陣模板”）或GAIT模板（參見(jiàn)27頁(yè)的“GAIT模板”）的結(jié)果。在必要的時(shí)候利用補(bǔ)充方法，如COBIT，以保證評(píng)估的完整性。表 7：GAIT矩陣每個(gè)單元要問(wèn)的問(wèn)題層級(jí)變更管理操作安全應(yīng)用層是否存在至少有可能影響關(guān)鍵功能的變更管理失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序代碼相關(guān)的變更管理控制不在范圍之內(nèi)。我們認(rèn)為，這種情況不太可能發(fā)生的。是否存在至少有可能影響關(guān)鍵功能的操作失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是

28、，與應(yīng)程序代碼相關(guān)的操作控制不在范圍之內(nèi)。是否存在至少有可能影響關(guān)鍵功能的安全性失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？或者說(shuō)，是否存在至少有可能導(dǎo)致未經(jīng)授權(quán)進(jìn)行某個(gè)程序中數(shù)據(jù)的變更的安全性失敗，以致財(cái)務(wù)報(bào)表重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序代碼相關(guān)的安全性控制不在范圍之內(nèi)。數(shù)據(jù)庫(kù)層是否存在至少有可能影響關(guān)鍵功能的變更管理失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序數(shù)據(jù)庫(kù)相關(guān)的變更管理控制不在范圍之內(nèi)。是否存在至少有可能影響關(guān)鍵功能的操作失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)

29、有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序數(shù)據(jù)庫(kù)相關(guān)的操作控制不在范圍之內(nèi)。是否存在至少有可能影響關(guān)鍵功能的安全性失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？或者說(shuō)，是否存在至少有可能導(dǎo)致未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)和其他部分（如數(shù)據(jù)庫(kù)模式）的變更的安全性失敗，以致財(cái)務(wù)報(bào)表重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序數(shù)據(jù)庫(kù)相關(guān)的安全性控制不在范圍之內(nèi)。操作系統(tǒng)層是否存在至少有可能影響關(guān)鍵功能的變更管理失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序操作系統(tǒng)相關(guān)的變更管理控制不在范圍之內(nèi)。是否

30、存在至少有可能影響關(guān)鍵功能的操作失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序操作系統(tǒng)相關(guān)的操作控制不在范圍之內(nèi)。是否存在至少有可能影響關(guān)鍵功能的安全性失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序操作系統(tǒng)相關(guān)的安全性控制不在范圍之內(nèi)。網(wǎng)絡(luò)基礎(chǔ)層是否存在至少有可能影響關(guān)鍵功能的變更管理失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序網(wǎng)絡(luò)基礎(chǔ)相關(guān)的變更管理控制不在范圍之內(nèi)。是否存在至少有可能影響關(guān)鍵功能的操作失敗，以致一

31、種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序網(wǎng)絡(luò)基礎(chǔ)相關(guān)的操作控制不在范圍之內(nèi)。是否存在至少有可能影響關(guān)鍵功能的安全性失敗，以致一種或多種功能失效，以及重大錯(cuò)誤沒(méi)有被發(fā)現(xiàn)？如果是，確認(rèn)風(fēng)險(xiǎn)及相關(guān)控制目標(biāo)。如果不是，與應(yīng)用程序網(wǎng)絡(luò)基礎(chǔ)相關(guān)的安全性控制不在范圍之內(nèi)。步驟4 識(shí)別滿足控制目標(biāo)的關(guān)鍵ITGC 所有風(fēng)險(xiǎn)和相關(guān)IT控制目標(biāo)確定之后，就能夠確定ITGC中的具體關(guān)鍵控制點(diǎn)?？蚣芙Y(jié)構(gòu)，例如COBIT，有很大的幫助。這種GAIT方法論并不延伸到404條款測(cè)試的下一步。我們唯一能夠提供的建議就是，每一個(gè)ITGC關(guān)鍵控制點(diǎn)都應(yīng)該與通過(guò)GAIT確定的IT

32、控制目標(biāo)相聯(lián)系，從而與有風(fēng)險(xiǎn)的關(guān)鍵IT功能的適當(dāng)操作相聯(lián)系。這一部分提供的信息是關(guān)于：“評(píng)估ITGC的存在性”。見(jiàn)下文?！斑x擇可以信賴的關(guān)鍵控制，并測(cè)試”。見(jiàn)30頁(yè)。評(píng)估ITGC的存在性ITGC常常被認(rèn)為很普遍，因?yàn)镮TGC過(guò)程中的控制傾向于影響不止一項(xiàng)自動(dòng)控制，并且很多控制影響不止一個(gè)應(yīng)用程序。到了這一步，方法是：識(shí)別，對(duì)于大多數(shù)組織，相同風(fēng)險(xiǎn)，當(dāng)對(duì)多個(gè)應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)。例如，不同的應(yīng)用程序可能會(huì)使用相同的操作系統(tǒng)或數(shù)據(jù)庫(kù)。不用識(shí)別合計(jì)風(fēng)險(xiǎn)，當(dāng)在多個(gè)具有財(cái)務(wù)重要性的應(yīng)用程序中的關(guān)鍵IT功能風(fēng)險(xiǎn)受到單個(gè)ITGC程序失敗的影響時(shí)。那就是說(shuō)，關(guān)鍵功能的潛在失敗可能會(huì)累積成很可能發(fā)生重大錯(cuò)誤的

33、風(fēng)險(xiǎn)。單個(gè)ITGC程序控制的缺陷會(huì)影響不同具有財(cái)務(wù)重要性的應(yīng)用程序中的關(guān)鍵IT功能或復(fù)雜數(shù)據(jù)庫(kù)。盡管單獨(dú)一個(gè)缺陷不會(huì)有高風(fēng)險(xiǎn)，但I(xiàn)TGC程序缺陷的累積影響會(huì)產(chǎn)生高風(fēng)險(xiǎn)。GAIT利用之前階段的結(jié)果去引導(dǎo)你進(jìn)行獨(dú)立評(píng)估。這個(gè)獨(dú)立評(píng)估測(cè)試單個(gè)ITGC程序或風(fēng)險(xiǎn)是否會(huì)影響多個(gè)應(yīng)用程序，以及是否很有可能導(dǎo)致多個(gè)關(guān)鍵控制失敗，這些失敗合計(jì)起來(lái)至少有可能產(chǎn)生重大錯(cuò)誤。在這些情況下，要把風(fēng)險(xiǎn)加到那些需要識(shí)別的ITGC程序關(guān)鍵控制中。程序6：評(píng)估ITGC的存在性考慮以下列在表12中的問(wèn)題。表 8：評(píng)估存在性每個(gè)問(wèn)題評(píng)價(jià)下面的有關(guān)于：應(yīng)用層，是否存在至少有可能影響多個(gè)應(yīng)用程序及其關(guān)鍵IT功能的變更管理風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)或安全風(fēng)險(xiǎn)？數(shù)據(jù)庫(kù)，是否存在至少有可能影響多個(gè)應(yīng)用程序及其關(guān)鍵IT功能的變更管理風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)或安全風(fēng)險(xiǎn)？操作系統(tǒng)，是否存在至少有可能影響多個(gè)應(yīng)用程序及其關(guān)鍵IT功能的變更管理風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)或安全風(fēng)險(xiǎn)？網(wǎng)絡(luò)基礎(chǔ)，是否存在至少有可能影響多個(gè)應(yīng)用程序及其關(guān)鍵IT功能的變更管理風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)或安全風(fēng)險(xiǎn)？整個(gè)IT環(huán)境，是否存在影響各層多個(gè)應(yīng)用程序的風(fēng)險(xiǎn)？例如，同一安全暴露是否至少有可能會(huì)導(dǎo)致應(yīng)用程序代碼和數(shù)據(jù)出現(xiàn)未經(jīng)授權(quán)的數(shù)據(jù)，以致重大錯(cuò)誤很有可能沒(méi)有被發(fā)現(xiàn)？如果答案是“否”，則IT程序不在應(yīng)用層的范圍之