- ข้อความ
- ประวัติศาสตร์
The Role of ControlsOne of the main
The Role of Controls
One of the main reasons for a control is to mitigate some identified risk. The way to deal with an inherent risk that is at a level higher than what is acceptable is to implement an effectual control to mitigate that risk to an acceptable level.
That being said, there are some points to remember about controls and the role they play in IT auditing, or auditing in general. First, IT auditors need to be wary of false security by a control that is effective enough to mitigate the risk to an acceptable level. While experienced IT auditors are generally good at this exercise, management and others may not be as adept at understanding the reality of a control.
On the other hand, IT auditors should remember and keep in mind that controls introduce a cost and a benefit. The cost is almost always in real dollars—cost of identifying, designing, implementing and managing the control. The cost can also be an impact cost of inconvenience or operational efficiency in slowing down a process. Some of the latter is not so much a concrete observation as it is an understanding of, and taking into account, the impact of a control. A key for IT auditors has been seeking a balance between these costs (real/concrete and impact) and benefits. Benefits can also be real and concrete—understanding the relative difference in having the control operate effectively and doing without it. That balance is easier to describe than to discern effectually.
For instance, an organization wants to implement an effective password policy for the length of life for passwords. The common wisdom is that the life should be inversely correlated with the amount of risk associated with unauthorized access. That is, if there is a high risk associated with unauthorized access, the life should be short (e.g., 90 days for an online bank account). However, once that policy is implemented, there could be an unintended cost associated with forgotten passwords due to the frequency of changes in them. The result could be users frequently forgetting passwords and having to use entity resources for assistance in obtaining access—a cost that includes delays and frustration, among other results. Thus, the key is due diligence in assessing the real net benefit of a control.
Another consideration is that an entity has a business or purpose for which it is in operation. That purpose needs to be part of the consideration. It is easy to lose sight of the unintended impact on operations.
Generally speaking, the higher the inherent risk, the higher the interest should be in a control to mitigate that risk. IT auditors need to, therefore, consider the level of inherent and residual risk when conveying recommendations for controls.
Last, controls are often embedded in technologies or systems. That fact alone suggests that IT auditors need to be involved in assisting with the design where independence allows it. It also suggests a high importance for using IT auditors to assess the effectiveness of the internal control system. How can the control embedded in IT be properly assessed without an IT subject-matter expert providing assistance in understanding how effectively the control operates?
Understanding the Real Residual Risk
One of the issues with analyzing risk is that it is usually relative and subject to judgment. All constituents want controls to be “good enough” so that things will be “okay.” But, what is “good enough” and what is “okay”? Risk is not usually subject to an absolute measurement.
Bad managers have a tendency to misjudge or misapply controls and risk. Concerned with surviving and making a profit, they sometimes do not see the reality of residual risk and rush ahead only to encounter a bad result. Or, they get paranoid and avoid a perfectly acceptable risk and take no action to their detriment. Good managers, however, understand the reality of residual risk, and usually make the right decisions and often have a contingency plan should the risk come to the forefront. One of the challenges for IT auditors is to help managers be good or great managers by understanding the real residual risk and taking the appropriate action related to it.
One of the main reasons for a control is to mitigate some identified risk. The way to deal with an inherent risk that is at a level higher than what is acceptable is to implement an effectual control to mitigate that risk to an acceptable level.
That being said, there are some points to remember about controls and the role they play in IT auditing, or auditing in general. First, IT auditors need to be wary of false security by a control that is effective enough to mitigate the risk to an acceptable level. While experienced IT auditors are generally good at this exercise, management and others may not be as adept at understanding the reality of a control.
On the other hand, IT auditors should remember and keep in mind that controls introduce a cost and a benefit. The cost is almost always in real dollars—cost of identifying, designing, implementing and managing the control. The cost can also be an impact cost of inconvenience or operational efficiency in slowing down a process. Some of the latter is not so much a concrete observation as it is an understanding of, and taking into account, the impact of a control. A key for IT auditors has been seeking a balance between these costs (real/concrete and impact) and benefits. Benefits can also be real and concrete—understanding the relative difference in having the control operate effectively and doing without it. That balance is easier to describe than to discern effectually.
For instance, an organization wants to implement an effective password policy for the length of life for passwords. The common wisdom is that the life should be inversely correlated with the amount of risk associated with unauthorized access. That is, if there is a high risk associated with unauthorized access, the life should be short (e.g., 90 days for an online bank account). However, once that policy is implemented, there could be an unintended cost associated with forgotten passwords due to the frequency of changes in them. The result could be users frequently forgetting passwords and having to use entity resources for assistance in obtaining access—a cost that includes delays and frustration, among other results. Thus, the key is due diligence in assessing the real net benefit of a control.
Another consideration is that an entity has a business or purpose for which it is in operation. That purpose needs to be part of the consideration. It is easy to lose sight of the unintended impact on operations.
Generally speaking, the higher the inherent risk, the higher the interest should be in a control to mitigate that risk. IT auditors need to, therefore, consider the level of inherent and residual risk when conveying recommendations for controls.
Last, controls are often embedded in technologies or systems. That fact alone suggests that IT auditors need to be involved in assisting with the design where independence allows it. It also suggests a high importance for using IT auditors to assess the effectiveness of the internal control system. How can the control embedded in IT be properly assessed without an IT subject-matter expert providing assistance in understanding how effectively the control operates?
Understanding the Real Residual Risk
One of the issues with analyzing risk is that it is usually relative and subject to judgment. All constituents want controls to be “good enough” so that things will be “okay.” But, what is “good enough” and what is “okay”? Risk is not usually subject to an absolute measurement.
Bad managers have a tendency to misjudge or misapply controls and risk. Concerned with surviving and making a profit, they sometimes do not see the reality of residual risk and rush ahead only to encounter a bad result. Or, they get paranoid and avoid a perfectly acceptable risk and take no action to their detriment. Good managers, however, understand the reality of residual risk, and usually make the right decisions and often have a contingency plan should the risk come to the forefront. One of the challenges for IT auditors is to help managers be good or great managers by understanding the real residual risk and taking the appropriate action related to it.
0/5000
บทบาทของตัวควบคุมหนึ่งในเหตุผลหลักสำหรับตัวควบคุมคือการลดความเสี่ยงที่ระบุ วิธีการจัดการกับความเสี่ยงโดยธรรมชาติที่อยู่ในระดับที่สูงกว่าที่เป็นที่ยอมรับ คือการ ใช้ตัวควบคุม effectual เพื่อลดความเสี่ยงที่ระดับการยอมรับที่ถูกกล่าวว่า มีบางอย่างที่ควรจำเกี่ยวกับควบคุมและบทบาทเล่นตรวจสอบ หรือตรวจสอบโดยทั่วไป ครั้งแรก เป็นผู้ตรวจสอบบัญชีจำเป็นต้องระมัดระวังความปลอดภัยเท็จโดยตัวควบคุมที่มีประสิทธิภาพพอที่จะลดความเสี่ยงในระดับยอมรับได้ ในขณะที ผู้สอบบัญชีดีโดยทั่วไปที่ออกกำลังกายนี้ จัดการและอื่น ๆ อาจไม่เข้าใจความเป็นจริงของตัวควบคุมเป็นคุณหญิงบนมืออื่น ๆ สอบได้ควรจำ และเก็บไว้ในใจว่า ตัวควบคุมแนะนำต้นทุนและสวัสดิการ ต้นทุนเป็นจริงดอลลาร์เกือบตลอดเวลาคือต้นทุน ออกแบบ การใช้ และการจัดการตัวควบคุม ต้นทุนยังสามารถเป็นต้นทุนการผลกระทบของความไม่สะดวกหรือประสิทธิภาพการดำเนินงานในการชะลอการกระบวนการ บางหลังไม่มากเป็นคอนกรีตการสังเกตซึ่งเป็นการเข้าใจ และการพิจารณา ผลกระทบของตัวควบคุม คีย์สำหรับผู้สอบบัญชีได้มีการหาสมดุลระหว่างต้นทุน (จริง/คอนกรีตและผลกระทบ) และผลประโยชน์เหล่านี้ ประโยชน์สามารถจริง และคอนกรีต — ทำความเข้าใจเกี่ยวกับความแตกต่างสัมพัทธ์มีตัวควบคุมที่มีประสิทธิภาพ และทำโดยไม่ได้ ยอดดุลที่จะง่ายต่อการอธิบายมากกว่า การมองเห็น effectuallyตัวอย่าง องค์กรที่ต้องการใช้นโยบายรหัสผ่านที่มีประสิทธิภาพมีความยาวของรหัสผ่าน ภูมิปัญญาทั่วไปได้ว่า ชีวิตควรจะ inversely correlated กับจำนวนความเสี่ยงที่เกี่ยวข้องกับการเข้า นั่นคือ ถ้ามีความเสี่ยงสูงที่เกี่ยวข้องกับการเข้าถึง ชีวิตควรสั้น (เช่น 90 วันสำหรับบัญชีธนาคารออนไลน์) อย่างไรก็ตาม เมื่อมีดำเนินนโยบายที่ อาจมีต้นทุนไม่ต้องเกี่ยวข้องกับลืมรหัสผ่านเนื่องจากความถี่ของการเปลี่ยนแปลงในการ ผลจะเป็นผู้ใช้ลืมรหัสผ่านบ่อย ๆ และมีการใช้ทรัพยากรของเอนทิตีสำหรับความช่วยเหลือในการเข้ารับ – ต้นทุนที่มีความล่าช้าและแห้ว ระหว่างผลอื่น ๆ ได้ ดังนั้น สำคัญคือครบกำหนดทุนในการประเมินประโยชน์สุทธิแท้จริงของตัวควบคุมพิจารณาอีกได้ว่า เอนทิตีมีธุรกิจหรือวัตถุประสงค์ที่อยู่ในการดำเนินงาน วัตถุประสงค์ที่ต้องการเป็นส่วนหนึ่งของการพิจารณา ซึ่งง่ายต่อการสูญเสียของผลกระทบต่อการดำเนินงานโดยไม่ได้ตั้งใจโดยทั่วไปการพูด สูงโดยธรรมชาติความเสี่ยง ดอกเบี้ยสูงควรอยู่ในตัวควบคุมเพื่อลดความเสี่ยงดังกล่าว ต้องการสอบเป็นไป ดังนั้น พิจารณาระดับความเสี่ยงโดยธรรมชาติ และส่วนที่เหลือเมื่อส่งคำแนะนำสำหรับตัวควบคุมล่าสุด ควบคุมถูกมักจะฝังอยู่ในเทคโนโลยีหรือระบบ ความจริงที่คนเดียวแนะนำว่า สอบได้ต้องมีส่วนร่วมในการให้ความช่วยเหลือด้วยการออกแบบที่เป็นอิสระทำ มันยังชี้ให้เห็นความสำคัญสูงสำหรับใช้สอบได้เพื่อประเมินประสิทธิภาพของระบบการควบคุมภายใน วิธีสามารถควบคุมที่ฝังตัวในถูกประเมิน โดยผู้เชี่ยวชาญเรื่องเรื่อง IT ให้ความช่วยเหลือในการทำความเข้าใจว่ามีประสิทธิภาพการทำงานของตัวควบคุมหรือไม่ทำความเข้าใจเกี่ยวกับความเสี่ยงที่เหลือจริงประเด็นด้วยการวิเคราะห์ความเสี่ยงคือว่า มันมักจะสัมพันธ์กัน และต้องคำพิพากษา ทั้งหมด constituents ต้องควบคุมให้ได้ "ดีพอ" ให้สิ่งที่จะเป็น "ไร" แต่ "ดีพอ" และเป็น "ไร" คืออะไร ความเสี่ยงไม่ได้มักจะ มีการวัดแน่นอนผู้จัดการไม่ดีมีแนวโน้มที่จะ misjudge หรือ misapply ควบคุมและความเสี่ยง เกี่ยวข้องกับรอด และทำกำไร พวกเขาบางครั้งไม่เห็นความเสี่ยงส่วนที่เหลือและวิ่งไปข้างหน้าเท่ากับพบผลเสียจริง ขึ้น พวกเขาได้ระแวง และหลีกเลี่ยงความเสี่ยงที่ยอมรับได้อย่างสมบูรณ์ และไม่ดำเนินการให้ร้ายของพวกเขา ผู้จัดการดี ไร เข้าใจความจริงของความเสี่ยงส่วนที่เหลือ มักจะทำการตัดสินใจ และมักจะมีแผนฉุกเฉินควรเสี่ยงมารวดเร็ว หนึ่งในความท้าทายสำหรับผู้สอบบัญชีซึ่งจะช่วยให้ผู้จัดการได้ดี หรือผู้จัดการที่ดี โดยทำความเข้าใจเกี่ยวกับความเสี่ยงที่เหลือจริง และการกระทำที่เหมาะสมที่เกี่ยวข้องกับมัน
การแปล กรุณารอสักครู่..
บทบาทของการควบคุม
หนึ่งในเหตุผลหลักสำหรับการควบคุมคือการลดความเสี่ยงระบุบางส่วน วิธีที่จะจัดการกับความเสี่ยงที่อยู่ในระดับสูงกว่าสิ่งที่เป็นที่ยอมรับคือการใช้การควบคุมมีผลบังคับใช้เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ที่. ที่ถูกกล่าวว่ามีบางจุดที่ต้องจำไว้เกี่ยวกับการควบคุมและบทบาทที่พวกเขาเล่น ในการตรวจสอบหรือการตรวจสอบโดยทั่วไป ครั้งแรกที่ผู้ตรวจสอบด้านไอทีจะต้องระมัดระวังในการรักษาความปลอดภัยที่เป็นเท็จโดยการควบคุมที่มีประสิทธิภาพมากพอที่จะลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ในขณะที่ผู้สอบบัญชีที่มีประสบการณ์ที่ดีในการออกกำลังกายโดยทั่วไปการจัดการและอื่น ๆ อาจจะไม่เก่ง ณ วันที่การทำความเข้าใจความเป็นจริงของการควบคุม. ในทางกลับกันผู้ตรวจสอบด้านไอทีควรจำไว้และเก็บไว้ในใจว่าการควบคุมแนะนำค่าใช้จ่ายและผลประโยชน์ ค่าใช้จ่ายอยู่เกือบตลอดเวลาในสกุลเงินดอลลาร์ค่าใช้จ่ายในการระบุจริงการออกแบบ, การดำเนินการและการจัดการการควบคุม ค่าใช้จ่ายนอกจากนี้ยังสามารถส่งผลกระทบต่อค่าใช้จ่ายที่ไม่สะดวกหรือประสิทธิภาพการดำเนินงานในขั้นตอนการชะลอตัวลง บางส่วนของหลังเป็นไม่มากสังเกตคอนกรีตในขณะที่มันเป็นความเข้าใจของและคำนึงถึงผลกระทบของการควบคุม ที่สำคัญสำหรับไอทีผู้สอบบัญชีได้รับการแสวงหาความสมดุลระหว่างค่าใช้จ่ายเหล่านี้ (จริง / คอนกรีตและผลกระทบ) และผลประโยชน์ ประโยชน์ที่ได้รับนอกจากนี้ยังสามารถที่แท้จริงและความเข้าใจคอนกรีตแตกต่างเมื่อเทียบกับในมีการควบคุมอย่างมีประสิทธิภาพและทำงานโดยไม่ได้ทำ ยอดเงินที่ง่ายต่อการอธิบายมากกว่าที่จะมองเห็นความพอเพียง. ยกตัวอย่างเช่นองค์กรต้องการที่จะดำเนินการตามนโยบายรหัสผ่านที่มีประสิทธิภาพสำหรับความยาวของชีวิตสำหรับรหัสผ่าน ภูมิปัญญาที่พบบ่อยคือว่าชีวิตควรจะมีความสัมพันธ์ผกผันกับจำนวนของความเสี่ยงที่เกี่ยวข้องกับการไม่ได้รับอนุญาต นั่นคือถ้ามีความเสี่ยงสูงที่เกี่ยวข้องกับการเข้าถึงชีวิตที่ควรจะสั้น (เช่น 90 วันสำหรับบัญชีธนาคารออนไลน์) แต่เมื่อนโยบายที่จะดำเนินการอาจจะมีค่าใช้จ่ายที่ไม่ได้ตั้งใจที่เกี่ยวข้องกับรหัสผ่านที่ลืมเนื่องจากความถี่ของการเปลี่ยนแปลงในพวกเขา ผลที่ได้อาจจะเป็นผู้ใช้ลืมรหัสผ่านบ่อยครั้งและมีการใช้ทรัพยากรนิติบุคคลเพื่อขอความช่วยเหลือในการได้รับการเข้าถึงค่าใช้จ่ายที่มีความล่าช้าและความไม่พอใจในหมู่ผลอื่น ๆ ดังนั้นที่สำคัญคือเนื่องจากความขยันในการประเมินผลประโยชน์สุทธิที่แท้จริงของการควบคุม. พิจารณาก็คือว่ากิจการที่มีธุรกิจหรือวัตถุประสงค์ที่มันเป็นในการดำเนินงาน จุดประสงค์ที่ต้องการจะเป็นส่วนหนึ่งของการพิจารณา มันง่ายที่จะสูญเสียสายตาของผลกระทบที่ไม่ได้ตั้งใจในการดำเนินงาน. โดยทั่วไปที่สูงกว่าความเสี่ยงที่สูงกว่าดอกเบี้ยควรจะอยู่ในการควบคุมเพื่อลดความเสี่ยงที่ ผู้สอบบัญชีไอทีจำเป็นต้องจึงพิจารณาระดับความเสี่ยงโดยธรรมชาติและที่เหลือเมื่อการถ่ายทอดคำแนะนำสำหรับการควบคุม. ที่ผ่านมาการควบคุมที่ฝังตัวอยู่บ่อยครั้งในเทคโนโลยีหรือระบบ ความจริงที่ว่าคนเดียวแสดงให้เห็นว่าผู้สอบบัญชีไอทีจำเป็นต้องมีส่วนร่วมในการให้ความช่วยเหลือด้วยการออกแบบที่ช่วยให้เป็นอิสระ นอกจากนี้ยังแสดงให้เห็นถึงความสำคัญสูงสำหรับการใช้ไอทีผู้สอบบัญชีในการประเมินประสิทธิภาพของระบบการควบคุมภายใน วิธีการควบคุมที่ฝังตัวอยู่ในด้านไอทีได้รับการประเมินอย่างถูกต้องโดยผู้เชี่ยวชาญด้านไอทีเรื่องของการให้ความช่วยเหลือในการทำความเข้าใจวิธีการที่มีประสิทธิภาพในการควบคุมการดำเนินงานของ? การทำความเข้าใจความเสี่ยงที่เหลือจริงประเด็นหนึ่งที่มีการวิเคราะห์ความเสี่ยงก็คือว่ามันเป็นเรื่องปกติที่สัมพันธ์กันและอาจมีการตัดสิน องค์ประกอบทุกคนต้องการการควบคุมที่จะ "ดีพอ" เพื่อให้สิ่งที่จะเป็น "โอเค." แต่สิ่งที่ "ดีพอ" และสิ่งที่เป็น "โอเค"? ความเสี่ยงไม่ปกติอาจมีการวัดที่แน่นอน. ผู้จัดการไม่ดีมีแนวโน้มที่จะพิจารณาผิดหรือผิดการควบคุมและความเสี่ยง ที่เกี่ยวข้องกับการมีชีวิตรอดและการทำกำไรบางครั้งพวกเขาไม่เห็นความเป็นจริงของความเสี่ยงที่เหลือและวิ่งไปข้างหน้าเพียงเพื่อจะพบผลที่ไม่ดี หรือพวกเขาจะได้รับความหวาดระแวงและหลีกเลี่ยงความเสี่ยงที่ยอมรับได้อย่างสมบูรณ์และไม่ดำเนินการใดเพื่อความเสียหายของพวกเขา ผู้จัดการที่ดี แต่เข้าใจความเป็นจริงของความเสี่ยงที่เหลืออยู่และมักจะทำให้การตัดสินใจที่ถูกต้องและมักจะมีแผนฉุกเฉินควรจะมีความเสี่ยงมาแถวหน้า หนึ่งในความท้าทายสำหรับ IT ผู้สอบบัญชีคือการช่วยให้ผู้จัดการเป็นผู้จัดการที่ดีหรือดีโดยการทำความเข้าใจความเสี่ยงที่เหลือจริงและการดำเนินการที่เหมาะสมที่เกี่ยวข้องกับมัน
หนึ่งในเหตุผลหลักสำหรับการควบคุมคือการลดความเสี่ยงระบุบางส่วน วิธีที่จะจัดการกับความเสี่ยงที่อยู่ในระดับสูงกว่าสิ่งที่เป็นที่ยอมรับคือการใช้การควบคุมมีผลบังคับใช้เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ที่. ที่ถูกกล่าวว่ามีบางจุดที่ต้องจำไว้เกี่ยวกับการควบคุมและบทบาทที่พวกเขาเล่น ในการตรวจสอบหรือการตรวจสอบโดยทั่วไป ครั้งแรกที่ผู้ตรวจสอบด้านไอทีจะต้องระมัดระวังในการรักษาความปลอดภัยที่เป็นเท็จโดยการควบคุมที่มีประสิทธิภาพมากพอที่จะลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ในขณะที่ผู้สอบบัญชีที่มีประสบการณ์ที่ดีในการออกกำลังกายโดยทั่วไปการจัดการและอื่น ๆ อาจจะไม่เก่ง ณ วันที่การทำความเข้าใจความเป็นจริงของการควบคุม. ในทางกลับกันผู้ตรวจสอบด้านไอทีควรจำไว้และเก็บไว้ในใจว่าการควบคุมแนะนำค่าใช้จ่ายและผลประโยชน์ ค่าใช้จ่ายอยู่เกือบตลอดเวลาในสกุลเงินดอลลาร์ค่าใช้จ่ายในการระบุจริงการออกแบบ, การดำเนินการและการจัดการการควบคุม ค่าใช้จ่ายนอกจากนี้ยังสามารถส่งผลกระทบต่อค่าใช้จ่ายที่ไม่สะดวกหรือประสิทธิภาพการดำเนินงานในขั้นตอนการชะลอตัวลง บางส่วนของหลังเป็นไม่มากสังเกตคอนกรีตในขณะที่มันเป็นความเข้าใจของและคำนึงถึงผลกระทบของการควบคุม ที่สำคัญสำหรับไอทีผู้สอบบัญชีได้รับการแสวงหาความสมดุลระหว่างค่าใช้จ่ายเหล่านี้ (จริง / คอนกรีตและผลกระทบ) และผลประโยชน์ ประโยชน์ที่ได้รับนอกจากนี้ยังสามารถที่แท้จริงและความเข้าใจคอนกรีตแตกต่างเมื่อเทียบกับในมีการควบคุมอย่างมีประสิทธิภาพและทำงานโดยไม่ได้ทำ ยอดเงินที่ง่ายต่อการอธิบายมากกว่าที่จะมองเห็นความพอเพียง. ยกตัวอย่างเช่นองค์กรต้องการที่จะดำเนินการตามนโยบายรหัสผ่านที่มีประสิทธิภาพสำหรับความยาวของชีวิตสำหรับรหัสผ่าน ภูมิปัญญาที่พบบ่อยคือว่าชีวิตควรจะมีความสัมพันธ์ผกผันกับจำนวนของความเสี่ยงที่เกี่ยวข้องกับการไม่ได้รับอนุญาต นั่นคือถ้ามีความเสี่ยงสูงที่เกี่ยวข้องกับการเข้าถึงชีวิตที่ควรจะสั้น (เช่น 90 วันสำหรับบัญชีธนาคารออนไลน์) แต่เมื่อนโยบายที่จะดำเนินการอาจจะมีค่าใช้จ่ายที่ไม่ได้ตั้งใจที่เกี่ยวข้องกับรหัสผ่านที่ลืมเนื่องจากความถี่ของการเปลี่ยนแปลงในพวกเขา ผลที่ได้อาจจะเป็นผู้ใช้ลืมรหัสผ่านบ่อยครั้งและมีการใช้ทรัพยากรนิติบุคคลเพื่อขอความช่วยเหลือในการได้รับการเข้าถึงค่าใช้จ่ายที่มีความล่าช้าและความไม่พอใจในหมู่ผลอื่น ๆ ดังนั้นที่สำคัญคือเนื่องจากความขยันในการประเมินผลประโยชน์สุทธิที่แท้จริงของการควบคุม. พิจารณาก็คือว่ากิจการที่มีธุรกิจหรือวัตถุประสงค์ที่มันเป็นในการดำเนินงาน จุดประสงค์ที่ต้องการจะเป็นส่วนหนึ่งของการพิจารณา มันง่ายที่จะสูญเสียสายตาของผลกระทบที่ไม่ได้ตั้งใจในการดำเนินงาน. โดยทั่วไปที่สูงกว่าความเสี่ยงที่สูงกว่าดอกเบี้ยควรจะอยู่ในการควบคุมเพื่อลดความเสี่ยงที่ ผู้สอบบัญชีไอทีจำเป็นต้องจึงพิจารณาระดับความเสี่ยงโดยธรรมชาติและที่เหลือเมื่อการถ่ายทอดคำแนะนำสำหรับการควบคุม. ที่ผ่านมาการควบคุมที่ฝังตัวอยู่บ่อยครั้งในเทคโนโลยีหรือระบบ ความจริงที่ว่าคนเดียวแสดงให้เห็นว่าผู้สอบบัญชีไอทีจำเป็นต้องมีส่วนร่วมในการให้ความช่วยเหลือด้วยการออกแบบที่ช่วยให้เป็นอิสระ นอกจากนี้ยังแสดงให้เห็นถึงความสำคัญสูงสำหรับการใช้ไอทีผู้สอบบัญชีในการประเมินประสิทธิภาพของระบบการควบคุมภายใน วิธีการควบคุมที่ฝังตัวอยู่ในด้านไอทีได้รับการประเมินอย่างถูกต้องโดยผู้เชี่ยวชาญด้านไอทีเรื่องของการให้ความช่วยเหลือในการทำความเข้าใจวิธีการที่มีประสิทธิภาพในการควบคุมการดำเนินงานของ? การทำความเข้าใจความเสี่ยงที่เหลือจริงประเด็นหนึ่งที่มีการวิเคราะห์ความเสี่ยงก็คือว่ามันเป็นเรื่องปกติที่สัมพันธ์กันและอาจมีการตัดสิน องค์ประกอบทุกคนต้องการการควบคุมที่จะ "ดีพอ" เพื่อให้สิ่งที่จะเป็น "โอเค." แต่สิ่งที่ "ดีพอ" และสิ่งที่เป็น "โอเค"? ความเสี่ยงไม่ปกติอาจมีการวัดที่แน่นอน. ผู้จัดการไม่ดีมีแนวโน้มที่จะพิจารณาผิดหรือผิดการควบคุมและความเสี่ยง ที่เกี่ยวข้องกับการมีชีวิตรอดและการทำกำไรบางครั้งพวกเขาไม่เห็นความเป็นจริงของความเสี่ยงที่เหลือและวิ่งไปข้างหน้าเพียงเพื่อจะพบผลที่ไม่ดี หรือพวกเขาจะได้รับความหวาดระแวงและหลีกเลี่ยงความเสี่ยงที่ยอมรับได้อย่างสมบูรณ์และไม่ดำเนินการใดเพื่อความเสียหายของพวกเขา ผู้จัดการที่ดี แต่เข้าใจความเป็นจริงของความเสี่ยงที่เหลืออยู่และมักจะทำให้การตัดสินใจที่ถูกต้องและมักจะมีแผนฉุกเฉินควรจะมีความเสี่ยงมาแถวหน้า หนึ่งในความท้าทายสำหรับ IT ผู้สอบบัญชีคือการช่วยให้ผู้จัดการเป็นผู้จัดการที่ดีหรือดีโดยการทำความเข้าใจความเสี่ยงที่เหลือจริงและการดำเนินการที่เหมาะสมที่เกี่ยวข้องกับมัน
การแปล กรุณารอสักครู่..
บทบาทของการควบคุม
หนึ่งในเหตุผลหลักสำหรับการควบคุมเพื่อลดบางส่วนระบุความเสี่ยง วิธีจัดการกับความเสี่ยงนั้นอยู่ในระดับที่สูงกว่าสิ่งที่เป็นที่ยอมรับเพื่อใช้ควบคุม effectual เพื่อลดความเสี่ยงที่ระดับ
อย่างที่บอก มีบางจุดที่ต้องจำเกี่ยวกับการควบคุมและบทบาทพวกเขาเล่นในการตรวจสอบหรือการตรวจสอบทั่วไปแรก ผู้สอบบัญชีต้องระมัดระวังความปลอดภัยเท็จโดยการควบคุมที่มีประสิทธิภาพเพียงพอที่จะลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ในขณะที่มีประสบการณ์ผู้สอบบัญชีโดยทั่วไปที่ดีในการออกกำลังกายนี้ การจัดการ และคนอื่น ๆอาจไม่เก่ง เข้าใจความเป็นจริงของการควบคุม
บนมืออื่น ๆ , ผู้สอบบัญชีควรจำและเก็บไว้ในใจว่าการควบคุมแนะนำต้นทุนและผลประโยชน์ค่าใช้จ่ายเป็นเกือบตลอดเวลาในดอลลาร์ค่าใช้จ่ายที่แท้จริงของการการออกแบบ การใช้งาน และการจัดการควบคุม ต้นทุนยังสามารถเสียค่าใช้จ่ายที่มีประสิทธิภาพการดำเนินงานในความไม่สะดวกหรือช้าลงกระบวนการ บางหลังไม่มาก คอนกรีต สังเกตที่เป็นความเข้าใจ และคำนึงถึงผลกระทบของการควบคุมกุญแจสำหรับผู้สอบบัญชีได้รับการแสวงหาความสมดุลระหว่างต้นทุนและผลกระทบ / คอนกรีตจริง ) และผลประโยชน์ ประโยชน์ยังสามารถเข้าใจความแตกต่างสัมพัทธ์มีการควบคุมการใช้งานได้อย่างมีประสิทธิภาพ และทำโดยไม่ได้จริงและเป็นรูปธรรม ที่สมดุลเป็นเรื่องง่ายที่จะอธิบายมากกว่าการมองเห็นพอเพียง
สำหรับอินสแตนซ์องค์กรต้องการที่จะใช้นโยบายรหัสผ่านที่มีความยาวของชีวิตสำหรับรหัสผ่าน ภูมิปัญญาทั่วไปคือ ว่า ชีวิตควรมีความสัมพันธ์ผกผันกับปริมาณของความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงไม่ได้รับอนุญาต นั่นคือ หากมีความเสี่ยงสูงที่เกี่ยวข้องกับการเข้าถึงชีวิตที่ควรจะสั้น ( เช่น 90 วันสำหรับบัญชีธนาคารออนไลน์ ) อย่างไรก็ตามเมื่อนโยบายที่ดำเนินการ อาจมีต้นทุนที่เกี่ยวข้องกับการลืมรหัสผ่านที่ไม่ได้ตั้งใจเนื่องจากความถี่ของการเปลี่ยนแปลงของพวกเขา ผลที่ได้อาจจะเป็นผู้ใช้มักลืมรหัสผ่าน และมีการใช้ทรัพยากรขององค์กรเพื่อขอความช่วยเหลือในการขอรับค่าใช้จ่าย access-a ที่มีความล่าช้าและความยุ่งยากของผลการอื่น ๆ ดังนั้นที่สำคัญคือความขยันเนื่องจากในการประเมินประโยชน์สุทธิที่แท้จริงของการควบคุม
พิจารณาว่าองค์กรมีธุรกิจหรือวัตถุประสงค์ที่เป็นในการดำเนินงาน นั้นมีความต้องการที่จะเป็นส่วนหนึ่งของการพิจารณา มันง่ายที่จะสูญเสียการมองเห็นผลกระทบที่ไม่ได้ตั้งใจในการดําเนินงาน
โดยทั่วไปแล้วสูงกว่าความเสี่ยงโดยธรรมชาติสูงกว่าอัตราดอกเบี้ยควรจะอยู่ในการควบคุมเพื่อลดความเสี่ยงนั้น ให้ผู้สอบบัญชีต้องจึงพิจารณาระดับของความเสี่ยงโดยธรรมชาติและตกค้างเมื่อถ่ายทอดแนวทางการควบคุม
สุดท้ายการควบคุมมักจะฝังตัวในระบบเทคโนโลยี หรือ ความเป็นจริงเพียงอย่างเดียว แสดงให้เห็นว่ามันผู้สอบบัญชีต้องมีส่วนร่วมในการช่วยเหลือ ด้วยการออกแบบที่เป็นอิสระช่วยให้มันมันยังแสดงให้เห็นความสำคัญสูงสำหรับใช้ตรวจสอบเพื่อประเมินประสิทธิผลของระบบการควบคุมภายใน วิธีสามารถควบคุมฝังตัวอยู่ในนั้นจะถูกประเมินโดย IT ผู้เชี่ยวชาญเรื่องเรื่องการให้ความช่วยเหลือในการทำความเข้าใจวิธีการอย่างมีประสิทธิภาพการควบคุมการประกอบธุรกิจ ?
เข้าใจความเสี่ยงที่แท้จริงที่เหลืออยู่หนึ่งในปัญหากับการวิเคราะห์ความเสี่ยง คือ มันมักจะเป็นญาติและการพิพากษา ทั้งหมดส่วนประกอบต้องการการควบคุมให้ " ดีพอ " ดังนั้นสิ่งที่จะได้รับ " โอเค " แต่เป็น " ดีพอ " และอะไรคือ " ตกลง " ความเสี่ยงไม่ได้มักจะต้องมีการวัดแน่นอน
ไม่ดีผู้จัดการมีแนวโน้มที่จะพิจารณาผิดหรือใช้ผิดวัตถุประสงค์และการควบคุมความเสี่ยงเกี่ยวข้องกับความอยู่รอด และการทํากําไร บางครั้งพวกเขาก็ไม่เห็นความจริงของความเสี่ยงที่ยอมรับได้และวิ่งข้างหน้าเท่านั้นที่จะพบผลลัพธ์ที่ไม่ดี หรือ จะระแวง และหลีกเลี่ยงความเสี่ยงที่ยอมรับได้อย่างสมบูรณ์แบบและจะไม่กระทำเพื่อความเสียหายของพวกเขา ผู้บริหารที่ดี อย่างไรก็ตาม เข้าใจความเป็นจริงของความเสี่ยงที่ตกค้างและมักจะทำให้การตัดสินใจด้านขวาและมักจะมีแผนสำรองควรเสี่ยงมาที่หน้า หนึ่งในความท้าทายสำหรับผู้สอบบัญชีคือการช่วยให้ผู้จัดการจะดีหรือผู้จัดการที่ดีโดยความเข้าใจความเสี่ยงส่วนที่เหลือจริงและการกระทำที่เหมาะสมที่เกี่ยวข้อง .
หนึ่งในเหตุผลหลักสำหรับการควบคุมเพื่อลดบางส่วนระบุความเสี่ยง วิธีจัดการกับความเสี่ยงนั้นอยู่ในระดับที่สูงกว่าสิ่งที่เป็นที่ยอมรับเพื่อใช้ควบคุม effectual เพื่อลดความเสี่ยงที่ระดับ
อย่างที่บอก มีบางจุดที่ต้องจำเกี่ยวกับการควบคุมและบทบาทพวกเขาเล่นในการตรวจสอบหรือการตรวจสอบทั่วไปแรก ผู้สอบบัญชีต้องระมัดระวังความปลอดภัยเท็จโดยการควบคุมที่มีประสิทธิภาพเพียงพอที่จะลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ในขณะที่มีประสบการณ์ผู้สอบบัญชีโดยทั่วไปที่ดีในการออกกำลังกายนี้ การจัดการ และคนอื่น ๆอาจไม่เก่ง เข้าใจความเป็นจริงของการควบคุม
บนมืออื่น ๆ , ผู้สอบบัญชีควรจำและเก็บไว้ในใจว่าการควบคุมแนะนำต้นทุนและผลประโยชน์ค่าใช้จ่ายเป็นเกือบตลอดเวลาในดอลลาร์ค่าใช้จ่ายที่แท้จริงของการการออกแบบ การใช้งาน และการจัดการควบคุม ต้นทุนยังสามารถเสียค่าใช้จ่ายที่มีประสิทธิภาพการดำเนินงานในความไม่สะดวกหรือช้าลงกระบวนการ บางหลังไม่มาก คอนกรีต สังเกตที่เป็นความเข้าใจ และคำนึงถึงผลกระทบของการควบคุมกุญแจสำหรับผู้สอบบัญชีได้รับการแสวงหาความสมดุลระหว่างต้นทุนและผลกระทบ / คอนกรีตจริง ) และผลประโยชน์ ประโยชน์ยังสามารถเข้าใจความแตกต่างสัมพัทธ์มีการควบคุมการใช้งานได้อย่างมีประสิทธิภาพ และทำโดยไม่ได้จริงและเป็นรูปธรรม ที่สมดุลเป็นเรื่องง่ายที่จะอธิบายมากกว่าการมองเห็นพอเพียง
สำหรับอินสแตนซ์องค์กรต้องการที่จะใช้นโยบายรหัสผ่านที่มีความยาวของชีวิตสำหรับรหัสผ่าน ภูมิปัญญาทั่วไปคือ ว่า ชีวิตควรมีความสัมพันธ์ผกผันกับปริมาณของความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงไม่ได้รับอนุญาต นั่นคือ หากมีความเสี่ยงสูงที่เกี่ยวข้องกับการเข้าถึงชีวิตที่ควรจะสั้น ( เช่น 90 วันสำหรับบัญชีธนาคารออนไลน์ ) อย่างไรก็ตามเมื่อนโยบายที่ดำเนินการ อาจมีต้นทุนที่เกี่ยวข้องกับการลืมรหัสผ่านที่ไม่ได้ตั้งใจเนื่องจากความถี่ของการเปลี่ยนแปลงของพวกเขา ผลที่ได้อาจจะเป็นผู้ใช้มักลืมรหัสผ่าน และมีการใช้ทรัพยากรขององค์กรเพื่อขอความช่วยเหลือในการขอรับค่าใช้จ่าย access-a ที่มีความล่าช้าและความยุ่งยากของผลการอื่น ๆ ดังนั้นที่สำคัญคือความขยันเนื่องจากในการประเมินประโยชน์สุทธิที่แท้จริงของการควบคุม
พิจารณาว่าองค์กรมีธุรกิจหรือวัตถุประสงค์ที่เป็นในการดำเนินงาน นั้นมีความต้องการที่จะเป็นส่วนหนึ่งของการพิจารณา มันง่ายที่จะสูญเสียการมองเห็นผลกระทบที่ไม่ได้ตั้งใจในการดําเนินงาน
โดยทั่วไปแล้วสูงกว่าความเสี่ยงโดยธรรมชาติสูงกว่าอัตราดอกเบี้ยควรจะอยู่ในการควบคุมเพื่อลดความเสี่ยงนั้น ให้ผู้สอบบัญชีต้องจึงพิจารณาระดับของความเสี่ยงโดยธรรมชาติและตกค้างเมื่อถ่ายทอดแนวทางการควบคุม
สุดท้ายการควบคุมมักจะฝังตัวในระบบเทคโนโลยี หรือ ความเป็นจริงเพียงอย่างเดียว แสดงให้เห็นว่ามันผู้สอบบัญชีต้องมีส่วนร่วมในการช่วยเหลือ ด้วยการออกแบบที่เป็นอิสระช่วยให้มันมันยังแสดงให้เห็นความสำคัญสูงสำหรับใช้ตรวจสอบเพื่อประเมินประสิทธิผลของระบบการควบคุมภายใน วิธีสามารถควบคุมฝังตัวอยู่ในนั้นจะถูกประเมินโดย IT ผู้เชี่ยวชาญเรื่องเรื่องการให้ความช่วยเหลือในการทำความเข้าใจวิธีการอย่างมีประสิทธิภาพการควบคุมการประกอบธุรกิจ ?
เข้าใจความเสี่ยงที่แท้จริงที่เหลืออยู่หนึ่งในปัญหากับการวิเคราะห์ความเสี่ยง คือ มันมักจะเป็นญาติและการพิพากษา ทั้งหมดส่วนประกอบต้องการการควบคุมให้ " ดีพอ " ดังนั้นสิ่งที่จะได้รับ " โอเค " แต่เป็น " ดีพอ " และอะไรคือ " ตกลง " ความเสี่ยงไม่ได้มักจะต้องมีการวัดแน่นอน
ไม่ดีผู้จัดการมีแนวโน้มที่จะพิจารณาผิดหรือใช้ผิดวัตถุประสงค์และการควบคุมความเสี่ยงเกี่ยวข้องกับความอยู่รอด และการทํากําไร บางครั้งพวกเขาก็ไม่เห็นความจริงของความเสี่ยงที่ยอมรับได้และวิ่งข้างหน้าเท่านั้นที่จะพบผลลัพธ์ที่ไม่ดี หรือ จะระแวง และหลีกเลี่ยงความเสี่ยงที่ยอมรับได้อย่างสมบูรณ์แบบและจะไม่กระทำเพื่อความเสียหายของพวกเขา ผู้บริหารที่ดี อย่างไรก็ตาม เข้าใจความเป็นจริงของความเสี่ยงที่ตกค้างและมักจะทำให้การตัดสินใจด้านขวาและมักจะมีแผนสำรองควรเสี่ยงมาที่หน้า หนึ่งในความท้าทายสำหรับผู้สอบบัญชีคือการช่วยให้ผู้จัดการจะดีหรือผู้จัดการที่ดีโดยความเข้าใจความเสี่ยงส่วนที่เหลือจริงและการกระทำที่เหมาะสมที่เกี่ยวข้อง .
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- Lhepe island has beauty and abundance .i
- Since, the problem definition tells us t
- ทำสิ่งที่ชอบ อย่าฝืน
- รูปปั้นหน้าโรงแรม
- ฉันใกล้จะหายป่วยแล้ว
- Since, the problem definition tells us t
- portray
- สวยใสไร้สมอง
- ควันไฟ
- หมดคำบรรยาย
- Else
- เพราะว่าจะเข้าสู่ประชาคมอาเซียนต้องใช้ภา
- ส้มตำ
- hi you looking so cute
- direction for future
- นานเท่าไหร่แล้วที่เราไม่ได้เจอกัน
- The size that we inform you
- smog
- ฉันรบกวนคุณเยอะแล้ว
- Got a new toy
- เพราะว่าต้องแจ้งตึกก่อนถึงจะเดินสายได้
- Stay strong
- Evergreen Line, as a known global carrie
- แม่จะได้รับข้อความอวยพรจากลูก
