任何一个组织,无论其行业或规模,在计算机系统运行和控制,计算机、程序和数据的存储及使用方式等方面,都需要遵守来自政府和行业的若干要求,另外,行业规章也能影响数据处理、传输和存储的方式(如:证券交易、中央银行)。
  应当特别注意那些在以往已经受到管理的行业问题,如:各国银行业对由于数据备份和恢复程序不符合标准而造成的服务水平不达标,都将给以严厉处罚。再如:在有些国家中,要求互联网服务提供商(ISP)必须遵守机密性和服务可用性方面的相关法律。
  IS审计师应当检查管理层的隐私保护政策并确定这些政策中是否已考虑了适用的隐私法律、法规的要求,以保护个人隐私和跨国界的数据流动。如:世界经济合作与发展组织(OECD)的保密政策等跨界数据流规定。
  由于对信息系统及相关技术的依赖性日益增加,一些国家正在制定IS审计方面的法律、法规,这些法律、法规的内容涉及:
  建立监管要求
  相关实体的职责分配
  财务、运营和IT审计职
  组织各级管理层(也包括审计管理层)都应当了解与组织目标和规划相关的外部法规要求,也要了解与组织的信息服务部门、职能和活动相关的法规要求。
  有两个方面要着重考虑:一是规范审计或IS审计的法律要求(法律、法规及合同协议),另一个是与被审计人及其系统、数据管理和报告等方面相关的法律要求。这些将影响审计的范围和目标。后者在内、外部审计中都很重要。法规也影响组织的业务运营,约束其符合工作环境方面的法规要求,如:美国健康保险携带和责任法案(HIPAA)、欧盟个人数据保护和电子商务法规、金融舞弊预防等。
  一个强控制实务的例子是美国《萨班斯-奥可斯利法案2002》,它对评估组织的IT控制提出了要求。该法案对美国证券交易委员会(SEC)的上市公司提出了新的公司治理法则、规定和标准。由于SEC强制要求上市公司使用公认的内部控制框架,萨班斯法案也要求组织选择并实施适用的内部控制框架,使得来自反虚假财务报告委员会之发起人委员会(COSO)的内部控制整体框架成为了许多上市公司所采纳的最流行的控制框架。萨班斯法案把增强业务流程及支持它们的信息系统的内部控制水平作为目标,因此,IS审计师也必须把萨班斯法案的影响作为审计计划的一部分予以考虑。
  另外一个类似的例子是巴塞尔协议(Basel II),它基于金融组织所面临的风险水平对组织提出了最低资本量的要求。除此之外,巴塞尔银行监管委员会建议还应该包括全面的风险管理要求,这些要求将有利于改善:
  信用风险
  运营风险
  市场风险
  IS审计师可以采用以下步骤来确定组织对外部监管要求的符合程度:
  找出涉及以下内容的政府或其他外部监管要求:
  电子数据、私人数据、版权、电子商务、电子签名等
  计算机系统运行及控制
  计算机、程序及数据的存储方式
  信息技术服务的组织或活动
  信息系统审计
  记录有关的法律和法规
  评估组织管理层和IS职能在制定计划、政策、标准、程序以及业务应用特性时是否考虑了相关的外部监管要求
  检查内部IS部门、职能、活动是否在正式文件中落实了遵守行业法规的要求
  确定组织是否已建立程序来落实这些要求
  确定是否存在程序以确保组织与外部IT服务提供商所签订的合同或协议中与责任相关的法律要求
  组织*4能设立合规职能为IS控制人员提供支持。
  小编温馨寄语:梦想不知道在哪里,但你要一直在路上。

 USCPA官方微信
扫一扫微信,*9时间获取USCPA考试时间提醒,体验全新备考方式
 
高顿网校特别提醒:已经报名2014年USCPA 考试的考生可按照复习计划有效进行!另外,高顿网校2013年USCPA考试辅导高清课程已经开通,通过针对性地讲解、训练、答疑、模考,对学习过程进行全程跟踪、分析、指导,可以帮助考生全面提升备考效果。
 
  报考指南:2014年USCPA报考指南 
  考前冲刺:USCPA 考试试题   考试辅导
  高清网课:USCPA网络课程