任何一個組織,無論其行業(yè)或規(guī)模,在計算機系統(tǒng)運行和控制,計算機、程序和數(shù)據(jù)的存儲及使用方式等方面,都需要遵守來自政府和行業(yè)的若干要求,另外,行業(yè)規(guī)章也能影響數(shù)據(jù)處理、傳輸和存儲的方式(如:證券交易、中央銀行)。
  應當特別注意那些在以往已經(jīng)受到管理的行業(yè)問題,如:各國銀行業(yè)對由于數(shù)據(jù)備份和恢復程序不符合標準而造成的服務水平不達標,都將給以嚴厲處罰。再如:在有些國家中,要求互聯(lián)網(wǎng)服務提供商(ISP)必須遵守機密性和服務可用性方面的相關法律。
  IS審計師應當檢查管理層的隱私保護政策并確定這些政策中是否已考慮了適用的隱私法律、法規(guī)的要求,以保護個人隱私和跨國界的數(shù)據(jù)流動。如:世界經(jīng)濟合作與發(fā)展組織(OECD)的保密政策等跨界數(shù)據(jù)流規(guī)定。
  由于對信息系統(tǒng)及相關技術的依賴性日益增加,一些國家正在制定IS審計方面的法律、法規(guī),這些法律、法規(guī)的內容涉及:
  建立監(jiān)管要求
  相關實體的職責分配
  財務、運營和IT審計職
  組織各級管理層(也包括審計管理層)都應當了解與組織目標和規(guī)劃相關的外部法規(guī)要求,也要了解與組織的信息服務部門、職能和活動相關的法規(guī)要求。
  有兩個方面要著重考慮:一是規(guī)范審計或IS審計的法律要求(法律、法規(guī)及合同協(xié)議),另一個是與被審計人及其系統(tǒng)、數(shù)據(jù)管理和報告等方面相關的法律要求。這些將影響審計的范圍和目標。后者在內、外部審計中都很重要。法規(guī)也影響組織的業(yè)務運營,約束其符合工作環(huán)境方面的法規(guī)要求,如:美國健康保險攜帶和責任法案(HIPAA)、歐盟個人數(shù)據(jù)保護和電子商務法規(guī)、金融舞弊預防等。
  一個強控制實務的例子是美國《薩班斯-奧可斯利法案2002》,它對評估組織的IT控制提出了要求。該法案對美國證券交易委員會(SEC)的上市公司提出了新的公司治理法則、規(guī)定和標準。由于SEC強制要求上市公司使用公認的內部控制框架,薩班斯法案也要求組織選擇并實施適用的內部控制框架,使得來自反虛假財務報告委員會之發(fā)起人委員會(COSO)的內部控制整體框架成為了許多上市公司所采納的最流行的控制框架。薩班斯法案把增強業(yè)務流程及支持它們的信息系統(tǒng)的內部控制水平作為目標,因此,IS審計師也必須把薩班斯法案的影響作為審計計劃的一部分予以考慮。
  另外一個類似的例子是巴塞爾協(xié)議(Basel II),它基于金融組織所面臨的風險水平對組織提出了最低資本量的要求。除此之外,巴塞爾銀行監(jiān)管委員會建議還應該包括全面的風險管理要求,這些要求將有利于改善:
  信用風險
  運營風險
  市場風險
  IS審計師可以采用以下步驟來確定組織對外部監(jiān)管要求的符合程度:
  找出涉及以下內容的政府或其他外部監(jiān)管要求:
  電子數(shù)據(jù)、私人數(shù)據(jù)、版權、電子商務、電子簽名等
  計算機系統(tǒng)運行及控制
  計算機、程序及數(shù)據(jù)的存儲方式
  信息技術服務的組織或活動
  信息系統(tǒng)審計
  記錄有關的法律和法規(guī)
  評估組織管理層和IS職能在制定計劃、政策、標準、程序以及業(yè)務應用特性時是否考慮了相關的外部監(jiān)管要求
  檢查內部IS部門、職能、活動是否在正式文件中落實了遵守行業(yè)法規(guī)的要求
  確定組織是否已建立程序來落實這些要求
  確定是否存在程序以確保組織與外部IT服務提供商所簽訂的合同或協(xié)議中與責任相關的法律要求
  組織*4能設立合規(guī)職能為IS控制人員提供支持。
  小編溫馨寄語:夢想不知道在哪里,但你要一直在路上。

 USCPA官方微信
掃一掃微信,*9時間獲取USCPA考試時間提醒,體驗全新備考方式
 
高頓網(wǎng)校特別提醒:已經(jīng)報名2014年USCPA 考試的考生可按照復習計劃有效進行!另外,高頓網(wǎng)校2013年USCPA考試輔導高清課程已經(jīng)開通,通過針對性地講解、訓練、答疑、???,對學習過程進行全程跟蹤、分析、指導,可以幫助考生全面提升備考效果。
 
  報考指南:2014年USCPA報考指南 
  考前沖刺:USCPA 考試試題   考試輔導
  高清網(wǎng)課:USCPA網(wǎng)絡課程