《IT治理与企业内控》由会员分享,可在线阅读,更多相关《IT治理与企业内控(23页珍藏版)》请在金锄头文库上搜索。
1、ITIT治理与企业内控治理与企业内控 2009. Information Systems Audit and Control Association. All Rights Reserved.ISACA的背景ISACA(国际资讯系统审计师协会)是于1969年成立全球会员遍布140多个国家,人数达47,000多名其网址为(www.isaca.org)ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。ISACA提供全面之会员服务,主办各种国际会议,出版资讯科技管治刊物,开发国际资讯系统审计和控制标准。监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯
2、保安经理(CISM)等资格认证。前者从1978年开始至今已获发超过四万多个专业资格,而后者则由2002年起开始已获发超过5200个专业资格。 2009. Information Systems Audit and Control Association. All Rights Reserved.目录SOX概述-第404条款及IT治理为什么要进行IT治理什么是IT治理IT治理框架-COBIT中国的SOX(C-SOX)及其面临的挑战 2009. Information Systems Audit and Control Association. All Rights Reserved.SOX法案2
3、002年,美国爆发了一系列的财务和管理丑闻,如安然和世通事件,这些丑闻严重破坏了美国金融证券制度,彻底打击了投资者对美国资本市场的信心。为了扭转这一局面,美国国会通过了2002年公众公司会计改革和投资者保护法案。该法案由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出,又被称作2002年萨班斯奥克斯利法案(SarbanesOxleyAct2002,以下简称“SOX法案”)。2002年7月,美国总统布什将此法案签署为法律。SOX法案共分11章第1至第6章主要涉及对会计职业及公司行为的监管,包括:建立一个独立的公众公司会计监管委员会(PublicCompanyAccount
4、ingOversightBoard,PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法能力.第8至第11章主要是提高对公司高管及白领犯罪的刑事责任,比如,针对安达信销毁安然审计档案事件,专门制订相关法律,规定了销毁审计档案最高可判10年监禁,在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就提供不实财务报告分别设定了10年或20年的刑事责
5、任. 2009. Information Systems Audit and Control Association. All Rights Reserved.第404条款及IT治理SOX法案第404条款的合规性实践,展示了改善IT治理和判断IT治理成效的一种有效方法。虽然SOX法案第404条款合规性的要求有其特有的局限性,因为其主要关注的是和财务报告相关的信息系统,但是由此产生的方法论和合规性实践,对IT治理的理论发展和实践很有借鉴意义SOX法案促进IT治理的完善 2009. Information Systems Audit and Control Association. All Rig
6、hts Reserved.为什么需要IT治理:在中国,我们的调查显示44%44%的被调查者认为他们的信息安全事件与数据开发有关,全球范围内该比例为16%。预计平均每起信息安全事件造成的经济损失为982,941.2982,941.2美元,相对整个亚洲(744,471.2美元)和印度(308,720.9美元)要高很多。在中国,仅44%44%的被调查者采用了集中式的安全信息管理流程,全球范围内该比例为51%。IT对企业至关重要IT对企业具有战略性意义期望与现实存在差距IT没有得到应有的重视IT涉及巨大的投资与大风险企业对信息安全的责任监管的需求 2009. Information Systems A
7、udit and Control Association. All Rights Reserved.举例:为什么需要IT治理:-网上交易安全现状 2009. Information Systems Audit and Control Association. All Rights Reserved.COBIT简介COBIT:ControlObjectivesforInformationandrelatedTechnology是由信息系统审计与控制学会:ISACA在1996年所公布的控制框架当前版本:目前已经更新至第4.1版COBIT的主要目的及方向:研究、发展、宣传权威的、最新的国际化的公认信
8、息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用COBIT框架:34个IT的流程、四个领域:PO(计划与组织)、AI(获取与实施)、DS(交付与支持)、和ME(监控与评估)8 2009. Information Systems Audit and Control Association. All Rights Reserved.COBIT:IT治理框架前提是IT需要传递企业所需的实现其目标的信息推进流程集中与流程所有权将IT划分为34个步骤,这些步骤分属于4个阶段,为每个步骤提供高级别的控制目标提供7个标准,用于定义业务对IT的要求由一套超过200多个详细的控制目标提供支持效果效
9、率完整性保密性可靠性可用性法规遵从规划获取与执行交付与支持监控9 2009. Information Systems Audit and Control Association. All Rights Reserved.COBIT涉及领域商业目标及IT治理目标效率应用系统信息基础架构人力交付与支持监控与评估获得与实施信息IT资源CobiT框架效果保密性完整性可用性合规性DS1定义和管理服务水平DS2管理第三方服务DS3性能管理和容量管理DS4确保服务的连续性DS5确保系统安全DS6确定并分配成本DS7教育和培训用户DS8服务台和紧急事件管理DS9配置管理DS10问题管理DS11数据管理DS12
10、物理环境管理DS13运营管理ME1监控和评价IT绩效ME2监控和评价内部控制ME3确保与法律的符合性ME4提供IT治理P01定义IT战略计划P02定义IT信息架构P03确定技术导向P04定义IT过程/组织和关系P05IT投资管理P06传递管理目标和方向P07IT人力资源管理P08质量管理P09IT风险评估及管理P10项目管理AI1识别自动化解决方案AI2获取并维护应用软件AI3获取并维护技术基础设施AI4保障运营和使用AI5获取IT资源AI6变革管理AI7安装/授权解决方案和变更计划与组织可靠性10 2009. Information Systems Audit and Control Ass
11、ociation. All Rights Reserved.控制框架Control Framework 2009. Information Systems Audit and Control Association. All Rights Reserved.SOX法案第404条款要求的IT一般性控制的合规性实践往往采用下列的方法首先是做一次IT一般性控制的现状分析。然后参照COBIT的要求建立公司的IT控制目标以便进行差距分析,并在此基础上找出和确定能涵盖这些控制目标的IT一般性控制的关键控制点。每个关键控制点的控制活动都被清晰地描述和文档化,同时这些控制活动还必须具备可操作性和可检验性,最终
12、形成所谓的IT控制矩阵(ITControlMatrix)。相关公司都必须完成一整套与IT控制相关的文档,即所谓的SOX法案合规性文档,如IT政策、IT控制矩阵、IT控制活动描述、IT控制的测试方法等。随后通过细致扎实的工作落实已被确定的IT控制点,从而使IT控制得到贯彻实施。根据SOX法案第404条款的要求,管理层必须每年对这些控制点进行测试和评估,对测试得出的控制缺陷,则需要增设补救和改进措施,并再次测试。如果在规定的期限内,控制缺陷还是不能得到改正,外部审计师将根据情况,针对控制缺陷和程度发表审计意见。第404条款及COBIT 2009. Information Systems Audit
13、 and Control Association. All Rights Reserved.中国的SOX(C-SOX)及其面临的挑战内部控制基本规范C-SOX财政部、证监会、审计署、银监会、保监会联合发布发布单位:自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行执行范围及时间:根据这一基本规范,执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。基本标准的目的是加强对上市公司的管理,其内容主要参照美国萨班斯(Sarbanes - Oxley)法案,也称C-SOXC
14、-SOX 概述大多数中国企业对IT治理中的架构、流程、标准及需求并不熟悉中国本土缺乏相关的咨询经验许多审计人员对IT审计并不十分熟悉没有规定具体处罚内容,很可能造成有法不依,违法不究,执法不严的情况财务部门、审计部门与IT部门的整合C-SOX所面临的挑战:大多数中国企业对IT治理中的架构、流程、标准及需求并不熟悉中国本土缺乏相关的咨询经验许多审计人员对IT审计并不十分熟悉没有规定具体处罚内容,很可能造成有法不依,违法不究,执法不严的情况财务部门、审计部门与IT部门的整合C-SOX所面临的挑战: 2009. Information Systems Audit and Control Associ
15、ation. All Rights Reserved.pIT是业务的组成部分pIT治理是公司治理的组成部分总结14 2009. Information Systems Audit and Control Association. All Rights Reserved.何迪生何迪生 DixonHoDixonHoEmail:dixonhoisaca.org.hkEmail:dixonhoisaca.org.hkPhone:86-10-58968079Phone:86-10-58968079 2009. Information Systems Audit and Control Associati
16、on. All Rights Reserved.附录 2009. Information Systems Audit and Control Association. All Rights Reserved.什么是SOX 2009. Information Systems Audit and Control Association. All Rights Reserved.ISACA的背景ISACA(国际资讯系统审计师协会)是于1969年成立全球会员遍布140多个国家,人数达47,000多名其网址为(www.isaca.org)ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角
17、色的国际性组织。ISACA提供全面之会员服务,主办各种国际会议,出版资讯科技管治刊物,开发国际资讯系统审计和控制标准。监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯保安经理(CISM)等资格认证。前者从1978年开始至今已获发超过四万多个专业资格,而后者则由2002年起开始已获发超过5200个专业资格。 2009. Information Systems Audit and Control Association. All Rights Reserved.ISACA及CISM的目标及价值在ISACA创立的三十年来,它已成为一个为信息管理、控制、安全和审计专业设定规范的全球性
18、组织。CISM认证可以用来衡量个人在信息安全领域的管理能力,而不是简单的实践技巧。越来越多的企业要求或建议自己的员工获得此项认证诸如:CISM成为美国国防部特别授权的商业认证,并且国防部命令其信息安全部成员通过此认证CISM认证促进了国际化实践,并提供了有效的管理,以确保那些拥有CISM认证的成员具备必需的经验和知识实现有效的安全管理和咨询服务. 2009. Information Systems Audit and Control Association. All Rights Reserved.企业为什么需要ISACA企业计划实施的与信息技术有关的十大要务是:.运行中的故障.高成本/低投资
19、回报.未能解决的对无法直接控制的实体的依赖性.信息技术人才问题.关键系统产生的错误.难题和事故较多.缺乏对关键系统的知识.数据的可管理性.信息技术策略与商业策略之间的脱节.对信息技术运行现状的看法不充分、不准确通过ISACA先进的管理理念及流程,帮助企业解决这些问题。ISACA(www.isaca.org)在全球140多个国家拥有超过65000名成员获得公认的IT管理、控制、安全及保证上的全球领先者制定国际信息系统查核和控制标准负责CISA、CISM和CGEIT认证。 2009. Information Systems Audit and Control Association. All Ri
20、ghts Reserved.SecurityMeasurementEvolutionInitiateStakeholderSecurityProgramSecurityArchitectureandSecurityControlsSecurityAssuranceSecurityMonitoringSecurityStrategyEnablementSecurityCapability安全管理流程BusinessRiskAssessmentSecurityOrganizationalStructure 2009. Information Systems Audit and Control Association. All Rights Reserved.
