任何一個組織,無論其行業(yè)或規(guī)模,在計算機系統(tǒng)運行和控制,計算機、程序和數(shù)據(jù)的存儲及使用方式等方面,都需要遵守來自政府和行業(yè)的若干要求,另外,行業(yè)規(guī)章也能影響數(shù)據(jù)處理、傳輸和存儲的方式(如:證券交易、中央銀行)。
  應(yīng)當(dāng)特別注意那些在以往已經(jīng)受到管理的行業(yè)問題,如:各國銀行業(yè)對由于數(shù)據(jù)備份和恢復(fù)程序不符合標(biāo)準(zhǔn)而造成的服務(wù)水平不達標(biāo),都將給以嚴(yán)厲處罰。再如:在有些國家中,要求互聯(lián)網(wǎng)服務(wù)提供商(ISP)必須遵守機密性和服務(wù)可用性方面的相關(guān)法律。
  IS審計師應(yīng)當(dāng)檢查管理層的隱私保護政策并確定這些政策中是否已考慮了適用的隱私法律、法規(guī)的要求,以保護個人隱私和跨國界的數(shù)據(jù)流動。如:世界經(jīng)濟合作與發(fā)展組織(OECD)的保密政策等跨界數(shù)據(jù)流規(guī)定。
  由于對信息系統(tǒng)及相關(guān)技術(shù)的依賴性日益增加,一些國家正在制定IS審計方面的法律、法規(guī),這些法律、法規(guī)的內(nèi)容涉及:
  建立監(jiān)管要求
  相關(guān)實體的職責(zé)分配
  財務(wù)、運營和IT審計職
  組織各級管理層(也包括審計管理層)都應(yīng)當(dāng)了解與組織目標(biāo)和規(guī)劃相關(guān)的外部法規(guī)要求,也要了解與組織的信息服務(wù)部門、職能和活動相關(guān)的法規(guī)要求。
  有兩個方面要著重考慮:一是規(guī)范審計或IS審計的法律要求(法律、法規(guī)及合同協(xié)議),另一個是與被審計人及其系統(tǒng)、數(shù)據(jù)管理和報告等方面相關(guān)的法律要求。這些將影響審計的范圍和目標(biāo)。后者在內(nèi)、外部審計中都很重要。法規(guī)也影響組織的業(yè)務(wù)運營,約束其符合工作環(huán)境方面的法規(guī)要求,如:美國健康保險攜帶和責(zé)任法案(HIPAA)、歐盟個人數(shù)據(jù)保護和電子商務(wù)法規(guī)、金融舞弊預(yù)防等。
  一個強控制實務(wù)的例子是美國《薩班斯-奧可斯利法案2002》,它對評估組織的IT控制提出了要求。該法案對美國證券交易委員會(SEC)的上市公司提出了新的公司治理法則、規(guī)定和標(biāo)準(zhǔn)。由于SEC強制要求上市公司使用公認(rèn)的內(nèi)部控制框架,薩班斯法案也要求組織選擇并實施適用的內(nèi)部控制框架,使得來自反虛假財務(wù)報告委員會之發(fā)起人委員會(COSO)的內(nèi)部控制整體框架成為了許多上市公司所采納的最流行的控制框架。薩班斯法案把增強業(yè)務(wù)流程及支持它們的信息系統(tǒng)的內(nèi)部控制水平作為目標(biāo),因此,IS審計師也必須把薩班斯法案的影響作為審計計劃的一部分予以考慮。
  另外一個類似的例子是巴塞爾協(xié)議(Basel II),它基于金融組織所面臨的風(fēng)險水平對組織提出了最低資本量的要求。除此之外,巴塞爾銀行監(jiān)管委員會建議還應(yīng)該包括全面的風(fēng)險管理要求,這些要求將有利于改善:
  信用風(fēng)險
  運營風(fēng)險
  市場風(fēng)險
  IS審計師可以采用以下步驟來確定組織對外部監(jiān)管要求的符合程度:
  找出涉及以下內(nèi)容的政府或其他外部監(jiān)管要求:
  電子數(shù)據(jù)、私人數(shù)據(jù)、版權(quán)、電子商務(wù)、電子簽名等
  計算機系統(tǒng)運行及控制
  計算機、程序及數(shù)據(jù)的存儲方式
  信息技術(shù)服務(wù)的組織或活動
  信息系統(tǒng)審計
  記錄有關(guān)的法律和法規(guī)
  評估組織管理層和IS職能在制定計劃、政策、標(biāo)準(zhǔn)、程序以及業(yè)務(wù)應(yīng)用特性時是否考慮了相關(guān)的外部監(jiān)管要求
  檢查內(nèi)部IS部門、職能、活動是否在正式文件中落實了遵守行業(yè)法規(guī)的要求
  確定組織是否已建立程序來落實這些要求
  確定是否存在程序以確保組織與外部IT服務(wù)提供商所簽訂的合同或協(xié)議中與責(zé)任相關(guān)的法律要求
  組織*4能設(shè)立合規(guī)職能為IS控制人員提供支持。
  小編溫馨寄語:夢想不知道在哪里,但你要一直在路上。

 USCPA官方微信
掃一掃微信,*9時間獲取USCPA考試時間提醒,體驗全新備考方式
 
高頓網(wǎng)校特別提醒:已經(jīng)報名2014年USCPA 考試的考生可按照復(fù)習(xí)計劃有效進行!另外,高頓網(wǎng)校2013年USCPA考試輔導(dǎo)高清課程已經(jīng)開通,通過針對性地講解、訓(xùn)練、答疑、???,對學(xué)習(xí)過程進行全程跟蹤、分析、指導(dǎo),可以幫助考生全面提升備考效果。
 
  報考指南:2014年USCPA報考指南 
  考前沖刺:USCPA 考試試題   考試輔導(dǎo)
  高清網(wǎng)課:USCPA網(wǎng)絡(luò)課程