IT通用控制过时了吗? 财务报告的数据保护和内部控制

对于从事会计业务的IT审计员来说, IT一般控制的重要性, 特别是在财务报表的访问管理领域, 是明确的. 十多年来，IT的一般控制几乎没有改变, 而诸如美国注册会计师协会(AICPA)的信托服务标准和云安全联盟(CSA)的云控制矩阵等框架也在不断发展. 国际标准化组织(ISO)标准ISO 27002的信息安全框架也在进行重大升级, 包括新的控件. 是否可能数据生命周期内的财务报告风险因素几乎没有变化? 数据保存在诸如数据库之类的系统中, 功能确保数据可以被访问和处理. 然而, 随着信息系统的外包和(虚拟)硬件的使用，IT环境发生了重大变化. 确定IT通用控制是否需要更新，或者它们是否仍然足以覆盖大多数IT环境, 检查应用于数据安全性(主要是完整性和机密性)的控制是很有用的。. 然后, 可以将选择的IT一般控制与服务组织保证报告及其数据保护控制中经常使用和普遍接受的框架进行比较.

IT一般控制

审计师使用一套基本的(建议的)IT一般控制来识别控制，例如国际审计与鉴证准则理事会(IAASB)在《澳门赌场官方下载》中发布的指南中定义的控制。.¹ 所标识的控件可以根据其应用程序和IT环境的其他方面而有所不同. 有关数据安全的IT一般控制在ISA 315的附录6中定义.²

在访问管理领域，可能影响数据保护的控制包括:

• 验证控件确保访问IT应用程序或IT环境其他方面的用户不使用其他用户的登录凭据.
• 授权控制-允许用户访问其工作职责所需的信息，仅此而已, 这有助于适当的职责分离.
• 配置控制-授权新用户和修改现有用户的访问权限.
• 资源供应的控制-在终止或转移时删除用户访问权限.
• 特权访问控制-授权管理或强大的用户访问.
• 用户访问审查控制-随着时间的推移对正在进行的授权的用户访问进行重新认证或评估.
• 安全配置控制-每种技术通常都有有助于限制对环境访问的关键配置设置.
• 物理访问控制-授权对数据中心和硬件的物理访问, 这样的访问可以用来覆盖其他控件.³

在变更管理领域，可能影响数据保护的控制包括:

• 数据转换控件-授权在开发过程中转换数据, 实现或升级到IT环境. ⁴

在IT运营管理领域，可能影响数据保护的控制包括:

• 入侵检测控制-监控IT环境中的漏洞和/或入侵.⁵

ISA 315提到这些控制是审计师可能考虑的IT一般控制. 审核员必须进行风险评估，并使用专业判断来确定IT环境中的风险因素和适当的控制措施来减轻风险. ISA 315中定义的IT一般控制列表与其他组织定义的IT一般控制指南相似.⁶ 因此，ISA标准是IT审计员使用的IT一般控制的适当反映.

除了IT一般 控件，这些控件需要 依靠信息系统 财务报告，大多数服务 组织提供保证 向他们的客户报告 证明他们的合规性 使用控制框架.

用于外包的控制框架

除了IT一般控制, 财务报告需要依赖哪些信息系统, 大多数服务组织向其客户提供保证报告，以证明其对控制框架的遵从性. 控制框架, 比如由美国注册会计师协会和CSA制定的标准, 包含比熟悉的IT通用控件更多的控件. 当来自其他框架的控制被认为无效时, 或者鉴证报告是否有保留意见, 进行影响评估以确定缺陷是否会对财务报告产生负面影响. 服务组织控制(SOC)报告通常涵盖的不仅仅是IT一般控制, 会计和IT审计人员必须确定附加控制的影响，这些控制在仅测试IT一般控制时通常不会被评估.

识别排除在IT一般控制之外的与数据保护相关的控制, 对信托服务标准和云控制矩阵进行了差距分析. 对于信托服务标准，确定了额外的数据保护控制措施:

• 实体选择, 开发和执行持续的或单独的评估，以确定内部控制的组成部分是否存在并发挥作用.
• 实体实现逻辑访问安全软件, 用于保护信息资产免受安全事件影响的基础设施和体系结构.
• 实体限制传输, 向授权的内部和外部用户和流程移动和删除信息, 并在传播过程中起到保护作用, 移动或移除.
• 实体实施控制措施，以防止或检测未经授权或恶意软件的引入并采取行动.
• 实体使用检测和监控程序来识别导致引入新漏洞的配置更改以及对新发现漏洞的易感性.
• 该实体监视系统组件和这些组件的操作，以发现指示恶意行为的异常情况, natural disasters and errors affecting the entity’s ability to meet its objectives; anomalies are analyzed to determine whether they represent security events.
• 澳门赌场官方下载处置保密信息的目的是为了实现与保密有关的澳门赌场官方下载目标.⁷

对于云控制矩阵, 确定了额外的数据保护控制(因为矩阵具有特定的细粒度控制), 有些是分组的), 包括:

• 自动化应用程序安全测试
• 应用程序漏洞修复
• 密码学，加密和密钥管理
• 安全处理/数据保留和删除
• 敏感数据传输
• 保障日志完整性
• 安全监控和警报
• 审计日志访问和问责制
• 记录和监视(包括故障和异常)
• 渗透测试
• 通用端点管理(例如.g.、存储加密、防火墙)
• 防止数据丢失⁸

ISO/IEC 27001/27002是一个不常用于为财务报告提供保证的流行信息安全框架. ISO 27002已更新，并将转移到新的ISO 27001框架.⁹ 引入了一些控制措施，以满足IT环境中信息安全的当前需求, 包括:

• 威胁情报
• 物理安全监控
• 配置管理(包括安全配置)
• 信息删除
• 数据屏蔽
• 防止数据泄露
• 监控活动
• 网络过滤¹⁰

在云控制矩阵和信托服务标准的差距分析中也确定了这些控制. 这强调了需要额外的控制来保护数据和管理数据安全风险.

需要考虑的新IT一般控制

通过检查信托服务标准和云控制矩阵中存在的、但未反映在IT一般控制中的控制，审计师可以考虑其他IT一般控制(图1).

传统的IT通用控制和 应考虑新的建议控制措施 用于测试应用程序、数据库、操作 系统和网络中的组件 它的环境.

在测试应用程序时，应该同时考虑传统的IT通用控件和新的建议控件, 数据库, IT环境中的操作系统和网络组件.

审计时对IT进行一般控制，以确保财务报告中信息系统的可靠性, 数据完整性很重要, 但保密是否同样重要，这是有争议的. 如果有强身份验证控制，并且对数据的直接访问严格限制在适当的个人, 新的控制措施有必要吗? 在这种情况下, 似乎未经授权的个人访问和修改数据的风险很低. 理解这些控制的相关性, 需要密切关注欺诈风险和缺乏数据完整性.

附加IT一般控制的相关性

在对信息系统进行IT审计时, 关键的风险因素是数据不安全和欺诈. In 2016, 美国国家标准与技术研究院(NIST)描述了三种可能导致数据完整性问题的网络攻击场景:勒索软件, 数据破坏和数据操纵(内部威胁).¹¹ 最近的另一项研究描述了云中的多重攻击可能导致数据完整性问题.¹² 在连接到互联网或云的信息系统中, the attack surface is much bigger; therefore, 数据安全是一个重要的问题.

云平台使用的增加以及与之相关的风险因素的增加反映在欺诈行为的数量上. 最近的一项调查显示, “近70%经历过欺诈的组织报告称，最具破坏性的事件来自外部攻击或外部和内部来源的勾结.”¹³ 同一项调查显示，网络欺诈比资产盗用更常见.

结论

IT一般控制是否过时? 尽管专业审核员总是可以根据正在执行的风险评估来定义他们自己的控制, IT通用控制指南已经过时. 随着IT环境的不断变化，数据保护的需求也需要不断发展. 为了解决这个问题, 框架，如信托服务标准, 云控制矩阵和ISO/IEC 27002已经发展了一段时间.

测试IT通用控件时, 与安全评估相关的附加控制, 数据资产保护, 安全数据传输, 端点保护, 脆弱性监测, 应考虑对相关应用进行安全监控和安全处置, 数据库, IT环境中的操作系统和网络组件.

尾注

¹ 国际审计与鉴证准则委员会， 国际审计准则(ISA) 315(2019年修订): 识别和评估重大错报的风险2019年12月19日，美国; http://www.iaasb.org/publications/isa-315-revised-2019-identifying-and-assessing-risks-material-misstatement
² 同前.
³ 同前.
⁴ 同前.
⁵ 同前.
⁶ 德勤 通用IT控制(GITC)风险和影响2018年11月，印度， http://www2.Deloitte,.com/content/dam/Deloitte/in/Documents/risk/in-ra-auditing-the-rpa-environment-noexp.pdf
⁷ 美国注册会计师协会(AICPA) TSP第100节2017安全信任服务标准, 可用性, 处理完整性, 保密, 和隐私2020年3月，美国; http://us.aicpa.org/content/dam/aicpa/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/trust-services-criteria.pdf
⁸ 云安全联盟(CSA)，“STAR级别和方案要求”，美国，2019年9月4日; http://cloudsecurityalliance.org/artifacts/star-level-and-scheme-requirements/
⁹ 国际标准化组织(ISO)/国际电工委员会(IEC), ISO / IEC 27002:2022 信息安全、网络安全和隐私保护——信息安全控制，瑞士，2022年2月; http://www.iso.org/standard/75652.html
¹⁰ 同前.
¹¹ 托宾,D.; M. J. Stone; A. Townsend; H. Perper; S. 周; 数据完整性:从破坏性恶意软件攻击中恢复, 美国国家标准与技术研究院(NIST)和国家网络安全卓越中心(NCCOE), 美国, 2016年5月, http://www.nccoe.nist.gov/sites/default/files/legacy-files/data-integrity-project-description-final.pdf
¹² Kaja D.; A. B. Mailewa; Y. Fatima; “Data Integrity Attacks in Cloud Computing: A Review of Identifying and Protecting Techniques,” 国际研究出版与评论杂志,卷. 3,国际空间站. 2, 2022, http://ijrpr.com/uploads/V3ISSUE2/ijrpr2704-data-integrity-attacks-in-cloud-computing.pdf
¹³ 普华永道(PwC); 普华永道《澳门赌场官方下载》，英国，2022年; http://www.pwc.com/gx/en/forensics/gecsm-2022/PwC-Global-Economic-Crime-and-Fraud-Survey-2022.pdf

Jouke Albeda bbb10 CISA, CISSP, RE

有经验的IT审计员和主管在3angles吗. 他为澳门赌场官方下载提供审计、风险和合规方面的支持. 此前，他曾在Datacenter担任风险和合规经理.曾就职于BDO和Ernst & Young (EY)内部的外部IT审计实践. 他的文章已在 审计杂志，de it审计师 和 ISACA^® 杂志.