1. Характер общих средств ИТ-контроля, обычно используемых для каждого из аспектов ИТ-среды

(a) Приложения

Общие средства ИТ-контроля на уровне ИТ-приложения будут соответствовать характеру и объему функционала приложения, а также путям доступа, разрешенным технологией. Например, для высокоинтегрированных ИТ-приложений со сложными параметрами безопасности будет актуально больше средств контроля, чем для устаревшего ИТ-приложения, обрабатывающего небольшое количество остатков по счетам с применением метода доступа путем использования операций.

(b) База данных

Общие средства ИТ-контроля на уровне базы данных обычно реагируют на риски, возникающие вследствие использования ИТ в связи с несанкционированным обновлением информации для финансовой отчетности в базе данных посредством прямого доступа к базе данных или выполнения сценария или программы.

(c) Операционная система

Общие средства ИТ-контроля на уровне операционной системы обычно реагируют на риски, возникающие вследствие использования ИТ в части административного доступа, что может способствовать обходу других средств контроля. Это включает такие действия, как получение несанкционированного доступа к учетным данным другого пользователя, добавление новых, несанкционированных пользователей, загрузка вредоносного программного обеспечения или выполнение сценариев или других несанкционированных программ.

(d) Сеть

Общие средства ИТ-контроля на уровне сети обычно реагируют на риски, возникающие вследствие использования ИТ в отношении сегментации сети, удаленного доступа и аутентификации. Сетевые средства контроля могут быть применимыми в случаях, когда у организации имеются приложения с выходом в интернет, используемые при составлении финансовой отчетности. Сетевые средства контроля также могут быть уместными в случаях, когда организация имеет значительные отношения с партнерами по бизнесу или операции, переданные на аутсорсинг третьим лицам, что может привести к увеличению объема передаваемых данных и необходимости удаленного доступа.