1.4.4 控制与风险的关系

风险与控制之间存在直接关系，这表明风险可以通过控制来加以解决，而控制则通过其所解决的风险来证明其合理性。图1.10描述了这种关系。

信息系统审计师应充分了解所评估控制的适用风险。这不仅为将要使用的总体审计程序提供信息，还有助于确定在进行信息系统审计时可能发现的任何控制弱点的总体重要性。

在评估控制时，信息系统审计师应确保管理层确定的控制措施能够映射回适用的风险。管理层负责确保根据风险评估记录并实施控制措施。

图1.10 控制与风险的关系

资料来源：ISACA，IT Risk Fundamentals Study Guide，USA，2020

如果实施的控制措施不能将风险降低到可接受水平（根据组织的风险容忍度），则应实施额外的控制措施。如果由于系统或业务限制无法实施适当或所需的对策，则可考虑补偿性控制。然而，任何补偿性控制都必须实现表现不佳的控制所要达到的结果。将未受保护的系统置于隔离但具有较强边界安全的网络分段中，以及向不支持单一登录账户的设备添加第三方挑战响应机制，均为补偿性控制的示例。虽然以下章节中的示例特定于IT，但也可以采用非IT补偿性控制。