IT的使用及其复杂性在过去十年中发生了巨大的变化. 使用IT带来的风险和保护IT环境的可能性已经发生了变化, 框架正在努力跟上行业中最新的最佳实践. 例如:
- 国际标准化组织(ISO) 27001和27002于2022年更新,包括威胁情报等控制措施, 数据屏蔽和数据泄漏防护.
- 云安全联盟(CSA) STAR云控制矩阵(CCM) 是否在2021年进行了更新,以包括与加密、数据保护和威胁防护相关的控制.
- ISACA COBIT的® 2019 作为COBIT 5的更新于2018年发布.
- 服务组织控制(SOC)类型2框架在2017年更新,参考了COBIT.
在财务报表审计中更多地关注IT
因为IT可以对组织的连续性和财务数据产生重大影响, 财务报表审计员必须更加注意在组织内部使用IT的风险. 因此, 国际会计师联合会(IFAC)对国际审计准则(ISA)进行了一些重大更新。 315, 最大的变化之一是对IT的关注增加了, 包括关于IT一般控制的指导. 具体来说,会计师必须考虑在财务报表审计中使用IT的风险. 因此, 一定要问, 关于对会计师事务所执行的信息技术评估的信息技术一般控制:信息技术一般控制是否过时?
IT通用控制需要更新
使用一组有限的关键控制和测试来覆盖IT上最大的风险似乎是一个合适的计划. 然而, IT的使用及其复杂性已经发生了巨大的变化,而使用的IT通用控制列表几乎没有变化. 这不可能是对的,对的?
IT工作的方式仍然是一样的. 访问管理, 变更管理和IT操作不应该从IT一般控制领域中消失. 然而, 因为使用面向internet的应用程序和应用程序编程接口(api)来让软件协作, 更多可能影响数据完整性的风险在现场被识别出来, 包括欺诈.
框架会定期更新新的控件和标准, 因为利用IT的风险有很大的影响. 类似的, IT一般控制不应该是要考虑的风险和控制的静态集合. 必须定期审查IT一般控制指南,以评估财务报表的重大风险是否仍然包括在内. 控制应该像执行安全评估和安全监控一样被考虑, 哪些是保护数据完整性所必需的.
编者按: 要进一步了解这个话题,请阅读Jouke Albeda最近在《澳门赌场官方软件》上发表的文章, “IT通用控制过时了吗?? 财务报告的数据保护和内部控制 ISACA杂志,第6卷2022.
