一般控制
一般控制是保證計算機信息系統能夠以持續����、正確的方式運行的政策與程序�����,包括數據中心運營、系統軟件獲取與維護、訪問安全、應用系統開發和維護等內容����。一般控制能對通過編程實現的應用系統控制機能提供支持����,一般控制有時也稱為一般計算機控制和信息技術控制���。一般控制過程主要包括:
安全管理
應用系統變更控制
數據管理
災難恢復
數據中心運營
問題管理
資產管理
應用控制
應用控制是為保證業務過程的正常運行�,而設計在應用系統中控制措施,以防止和檢測錯誤的和非授權的交易��,保證交易處理的完整性�、準確性、合法性及適當授權����。一般在應用系統中的以下環節建立應用控制:
進行計算時;
實施數據合法性驗證和編輯檢查時;
與其他系統有數據接口時;
管理層需要依靠應用系統進行完整�����、準確的排序、匯總和報告關鍵信息時;
限制對交易和數據訪問時�。
IT風險管理的過程也類似于企業風險的過程���,主要有以下風險識別���、風險分析����、風險處理���、風險監督���、風險報告及改進的過程:
以上三個層次的IT風險管理�����,在組織中可以分階段地通過一個個的IT風險控制項目���,例如COBIT����、ISMS���、ITSM�、BCP、CMMI等進行實施����,也可以選擇其中的某些過程進行整合后實施�。
對于所建立IT內部控制措施是否能有效地控制風險�����,還需要通過第三方對組織內部措施的有效性進行獨立審計��,出具審計報告,以證明內部控制措施完備性�����。
以上過程是許多上市公司在建立符合薩班斯法要求的IT風險控制框架時的主要方法��,這種方法的主要優點是把IT風險放在企業風險的高度進行管理����,容易得到管理層的理解與支持�,涉及的風險較全面��,控制與改進的方法較完備���。缺點是控制的粒度還較粗�,還不能適當對IT進行精細控制的要求���。
