IT治理與企業(yè)內(nèi)控課件

1、IT治理與企業(yè)內(nèi)控 何迪生 Dixon Ho主席 ISACA 國際資訊系統(tǒng)審計(jì)協(xié)會(huì)（北京委員會(huì)）副主任中國信息化推進(jìn)聯(lián)盟 - 信息安全專業(yè)委員會(huì)信息安全及基礎(chǔ)架構(gòu)總監(jiān)Microsoft 微軟大中華區(qū)國際信息系統(tǒng)審計(jì)協(xié)會(huì) ISACA 第1頁，共22頁。ISACA的背景ISACA (國際資訊系統(tǒng)審計(jì)師協(xié)會(huì))是于1969年成立全球會(huì)員遍布140多個(gè)國家，人數(shù)達(dá)47,000多名其網(wǎng)址為()ISACA是一個(gè)被公認(rèn)為對(duì)資訊系統(tǒng)管理、控制、安全及審計(jì)扮演領(lǐng)導(dǎo)角色的國際性組織。 ISACA提供全面之會(huì)員服務(wù)，主辦各種國際會(huì)議，出版資訊科技管治刊物，開發(fā)國際資訊系統(tǒng)審計(jì)和控制標(biāo)準(zhǔn)。監(jiān)管全球性受尊敬的國際公認(rèn)資訊

2、系統(tǒng)審計(jì)師(CISA)及國際公認(rèn)資訊保安經(jīng)理(CISM)等資格認(rèn)證。前者從1978年開始至今已獲發(fā)超過四萬多個(gè)專業(yè)資格，而后者則由2002年起開始已獲發(fā)超過5200個(gè)專業(yè)資格。第2頁，共22頁。目錄SOX概述-第404條款及IT治理為什么要進(jìn)行IT治理什么是IT治理IT治理框架-COBIT中國的SOX（C-SOX）及其面臨的挑戰(zhàn)第3頁，共22頁。SOX法案2002年，美國爆發(fā)了一系列的財(cái)務(wù)和管理丑聞，如安然和世通事件，這些丑聞嚴(yán)重破壞了美國金融證券制度，徹底打擊了投資者對(duì)美國資本市場(chǎng)的信心。為了扭轉(zhuǎn)這一局面，美國國會(huì)通過了2002年公眾公司會(huì)計(jì)改革和投資者保護(hù)法案。該法案由美國參議院銀行委員會(huì)

3、主席薩班斯和眾議院金融服務(wù)委員會(huì)主席奧克斯利聯(lián)合提出，又被稱作2002年薩班斯奧克斯利法案(SarbanesOxley Act 2002，以下簡稱“SOX法案”)。2002年7月，美國總統(tǒng)布什將此法案簽署為法律。SOX法案共分11章第1至第6章主要涉及對(duì)會(huì)計(jì)職業(yè)及公司行為的監(jiān)管,包括:建立一個(gè)獨(dú)立的公眾公司會(huì)計(jì)監(jiān)管委員會(huì)(Public Company Accounting Oversight Board, PCAOB),對(duì)上市公司審計(jì)進(jìn)行監(jiān)管;通過負(fù)責(zé)合伙人輪換制度以及咨詢與審計(jì)服務(wù)不兼容等提高審計(jì)的獨(dú)立性;對(duì)公司高管人員的行為進(jìn)行限定以及改善公司治理結(jié)構(gòu)等,以增進(jìn)公司的報(bào)告責(zé)任;加強(qiáng)財(cái)務(wù)報(bào)告

4、的披露;通過增加撥款和雇員等來提高SEC的執(zhí)法能力.第8至第11章主要是提高對(duì)公司高管及白領(lǐng)犯罪的刑事責(zé)任,比如,針對(duì)安達(dá)信銷毀安然審計(jì)檔案事件,專門制訂相關(guān)法律,規(guī)定了銷毀審計(jì)檔案最高可判10年監(jiān)禁,在聯(lián)邦調(diào)查及破產(chǎn)事件中銷毀檔案最高可判20年監(jiān)禁;為強(qiáng)化公司高管層對(duì)財(cái)務(wù)報(bào)告的責(zé)任,要求公司高管對(duì)財(cái)務(wù)報(bào)告的真實(shí)性宣誓,并就提供不實(shí)財(cái)務(wù)報(bào)告分別設(shè)定了10年或20年的刑事責(zé)任. 第4頁，共22頁。第404條款及IT治理SOX法案第404條款的合規(guī)性實(shí)踐，展示了改善IT治理和判斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規(guī)性的要求有其特有的局限性，因?yàn)槠渲饕P(guān)注的是和財(cái)務(wù)報(bào)告相關(guān)的信

5、息系統(tǒng)，但是由此產(chǎn)生的方法論和合規(guī)性實(shí)踐，對(duì)IT治理的理論發(fā)展和實(shí)踐很有借鑒意義SOX法案促進(jìn)IT治理的完善第5頁，共22頁。為什么需要IT治理：在中國，我們的調(diào)查顯示44%的被調(diào)查者認(rèn)為他們的信息安全事件與數(shù)據(jù)開發(fā)有關(guān)，全球范圍內(nèi)該比例為16%。預(yù)計(jì)平均每起信息安全事件造成的經(jīng)濟(jì)損失為982,941.2美元，相對(duì)整個(gè)亞洲（744,471.2美元）和印度（308,720.9美元）要高很多。在中國，僅44%的被調(diào)查者采用了集中式的安全信息管理流程，全球范圍內(nèi)該比例為51%。IT對(duì)企業(yè)至關(guān)重要IT對(duì)企業(yè)具有戰(zhàn)略性意義期望與現(xiàn)實(shí)存在差距IT沒有得到應(yīng)有的重視IT涉及巨大的投資與大風(fēng)險(xiǎn)企業(yè)對(duì)信息安全的

6、責(zé)任監(jiān)管的需求第6頁，共22頁。舉例：為什么需要IT治理： -網(wǎng)上交易安全現(xiàn)狀仿冒網(wǎng)站層出不窮ebay是全球知名的電子商務(wù)公司，據(jù)統(tǒng)計(jì)ebay的仿冒網(wǎng)站竟達(dá)到333個(gè)，匯豐銀行（HSBC）的仿冒網(wǎng)站也達(dá)到128個(gè)，而美聯(lián)銀行（WACHOVIA Bank）其仿冒網(wǎng)站數(shù)量為22個(gè)。雅虎（Yahoo）、西班牙銀行則各自有擁有21個(gè)“山寨版”網(wǎng)站。據(jù)中國國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2007年上半年公布的數(shù)據(jù)顯示，07上半年，網(wǎng)絡(luò)仿冒事件已超出06年全年總數(shù)的14.6%。另據(jù)統(tǒng)計(jì)，2008年，我國被篡改的網(wǎng)站數(shù)量為5.4萬個(gè)，其中政府網(wǎng)站為數(shù)不少。木馬病毒活動(dòng)猖獗木馬程序已經(jīng)成為黑客攻擊最主要的手

7、段之一，應(yīng)用也最為廣泛。2008年，國內(nèi)約有430萬個(gè)IP地址被植入木馬程序，6月份為其最高峰約15萬個(gè)IP，7月份13萬個(gè)賬戶的盜用-股票賬戶被盜 60萬元權(quán)證成廢紙根據(jù)南京日?qǐng)?bào)報(bào)道，南京一股民因?yàn)楣善辟Y金賬號(hào)和交易密碼被盜，賬戶內(nèi)的60萬元遭受直接損失。該男子發(fā)現(xiàn)，自己賬戶上的全部資金被他人購買為上百萬股的權(quán)證。根據(jù)當(dāng)日走勢(shì)這只權(quán)證跌幅高達(dá)79.81%，按照發(fā)行條件，這只認(rèn)沽權(quán)證當(dāng)日將到期，這些權(quán)證在收盤后就成為一堆“廢紙”。第7頁，共22頁。 8COBIT簡介COBIT：ControlObjectivesforInformationandrelatedTechnology是由信息系統(tǒng)審計(jì)

8、與控制學(xué)會(huì)：ISACA在1996年所公布的控制框架當(dāng)前版本：目前已經(jīng)更新至第4.1版COBIT的主要目的及方向：研究、發(fā)展、宣傳權(quán)威的、最新的國際化的公認(rèn)信息技術(shù)控制目標(biāo)以供企業(yè)經(jīng)理、IT專業(yè)人員和審計(jì)專業(yè)人員日常使用COBIT框架：34個(gè)IT的流程、四個(gè)領(lǐng)域：PO（計(jì)劃與組織）、AI（獲取與實(shí)施）、DS（交付與支持）、和ME（監(jiān)控與評(píng)估）第8頁，共22頁。 9COBIT： IT治理框架前提是IT 需要傳遞企業(yè)所需的實(shí)現(xiàn)其目標(biāo)的信息推進(jìn)流程集中與流程所有權(quán)將IT劃分為34個(gè)步驟，這些步驟分屬于4個(gè)階段，為每個(gè)步驟提供高級(jí)別的控制目標(biāo)提供7個(gè)標(biāo)準(zhǔn)，用于定義業(yè)務(wù)對(duì)IT的要求由一套超過 200多個(gè)詳

9、細(xì)的控制目標(biāo)提供支持效果效率完整性保密性可靠性可用性法規(guī)遵從規(guī)劃獲取與執(zhí)行交付與支持監(jiān)控第9頁，共22頁。 10COBIT涉及領(lǐng)域商業(yè)目標(biāo)及IT治理目標(biāo)效率應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人力交付與支持監(jiān)控與評(píng)估獲得與實(shí)施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1 定義和管理服務(wù)水平DS2 管理第三方服務(wù)DS3 性能管理和容量管理DS4 確保服務(wù)的連續(xù)性DS5 確保系統(tǒng)安全DS6 確定并分配成本DS7 教育和培訓(xùn)用戶DS8 服務(wù)臺(tái)和緊急事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運(yùn)營管理ME1 監(jiān)控和評(píng)價(jià)IT績效ME2 監(jiān)控和評(píng)價(jià)內(nèi)部控制M

10、E3 確保與法律的符合性ME4 提供IT治理P01 定義IT戰(zhàn)略計(jì)劃P02 定義IT信息架構(gòu)P03 確定技術(shù)導(dǎo)向P04 定義IT過程/組織和關(guān)系P05 IT投資管理P06 傳遞管理目標(biāo)和方向P07 IT人力資源管理P08 質(zhì)量管理P09 IT風(fēng)險(xiǎn)評(píng)估及管理P10 項(xiàng)目管理AI1 識(shí)別自動(dòng)化解決方案AI2 獲取并維護(hù)應(yīng)用軟件AI3 獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4 保障運(yùn)營和使用AI5 獲取IT資源AI6 變革管理AI7 安裝/授權(quán)解決方案和變更計(jì)劃與組織可靠性第10頁，共22頁?？刂瓶蚣蹸ontrol Framework第11頁，共22頁。SOX法案第404條款要求的IT一般性控制的合規(guī)性實(shí)踐往往

11、采用下列的方法首先是做一次IT一般性控制的現(xiàn)狀分析。然后參照COBIT的要求建立公司的IT控制目標(biāo)以便進(jìn)行差距分析，并在此基礎(chǔ)上找出和確定能涵蓋這些控制目標(biāo)的IT一般性控制的關(guān)鍵控制點(diǎn)。每個(gè)關(guān)鍵控制點(diǎn)的控制活動(dòng)都被清晰地描述和文檔化，同時(shí)這些控制活動(dòng)還必須具備可操作性和可檢驗(yàn)性，最終形成所謂的IT控制矩陣(IT Control Matrix)。相關(guān)公司都必須完成一整套與IT控制相關(guān)的文檔，即所謂的SOX法案合規(guī)性文檔，如IT政策、IT控制矩陣、IT控制活動(dòng)描述、IT控制的測(cè)試方法等。隨后通過細(xì)致扎實(shí)的工作落實(shí)已被確定的IT控制點(diǎn)，從而使IT控制得到貫徹實(shí)施。根據(jù)SOX法案第404條款的要求，管

12、理層必須每年對(duì)這些控制點(diǎn)進(jìn)行測(cè)試和評(píng)估，對(duì)測(cè)試得出的控制缺陷，則需要增設(shè)補(bǔ)救和改進(jìn)措施，并再次測(cè)試。如果在規(guī)定的期限內(nèi)，控制缺陷還是不能得到改正，外部審計(jì)師將根據(jù)情況，針對(duì)控制缺陷和程度發(fā)表審計(jì)意見。第404條款及COBIT第12頁，共22頁。中國的SOX（C-SOX）及其面臨的挑戰(zhàn)內(nèi)部控制基本規(guī)范C-SOX財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布發(fā)布單位：自2009年7月1日起先在上市公司范圍內(nèi)施行，鼓勵(lì)非上市的其他大中型企業(yè)執(zhí)行執(zhí)行范圍及時(shí)間：根據(jù)這一基本規(guī)范，執(zhí)行基本規(guī)范的上市公司，應(yīng)當(dāng)對(duì)本公司內(nèi)部控制的有效性進(jìn)行自我評(píng)價(jià)，披露年度自我評(píng)價(jià)報(bào)告，并可聘請(qǐng)具有證券、期貨業(yè)務(wù)資格的中介

13、機(jī)構(gòu)對(duì)內(nèi)部控制的有效性進(jìn)行審計(jì)。基本標(biāo)準(zhǔn)的目的是加強(qiáng)對(duì)上市公司的管理，其內(nèi)容主要參照美國薩班斯（Sarbanes - Oxley）法案，也稱C-SOXC-SOX 概述大多數(shù)中國企業(yè)對(duì)IT治理中的架構(gòu)、流程、標(biāo)準(zhǔn)及需求并不熟悉中國本土缺乏相關(guān)的咨詢經(jīng)驗(yàn)許多審計(jì)人員對(duì)IT審計(jì)并不十分熟悉沒有規(guī)定具體處罰內(nèi)容，很可能造成有法不依，違法不究，執(zhí)法不嚴(yán)的情況財(cái)務(wù)部門、審計(jì)部門與IT部門的整合C-SOX所面臨的挑戰(zhàn)：大多數(shù)中國企業(yè)對(duì)IT治理中的架構(gòu)、流程、標(biāo)準(zhǔn)及需求并不熟悉中國本土缺乏相關(guān)的咨詢經(jīng)驗(yàn)許多審計(jì)人員對(duì)IT審計(jì)并不十分熟悉沒有規(guī)定具體處罰內(nèi)容，很可能造成有法不依，違法不究，執(zhí)法不嚴(yán)的情況財(cái)務(wù)部門

14、、審計(jì)部門與IT部門的整合C-SOX所面臨的挑戰(zhàn)：第13頁，共22頁。 14IT是業(yè)務(wù)的組成部分IT治理是公司治理的組成部分總結(jié)第14頁，共22頁。何迪生 Dixon HoEmail: dixonho.hkPhone: 86-10-58968079第15頁，共22頁。附錄第16頁，共22頁。什么是SOXSOXSarbanes-Oxley Act, 簡稱SOX 法案發(fā)布單位：美國國會(huì)執(zhí)行范圍及時(shí)間：2002年開始，SOX 法案不僅適用美國的所有在市場(chǎng)上進(jìn)行公開交易的公司，還適用于在美國證券交易所登記的非美國公司。也就是說，凡在美國上市的公司都要受此法案約束。SOX 概述該法案要求組織機(jī)構(gòu)使用文檔

15、化的財(cái)務(wù)政策和流程來改善可審計(jì)性，并更快地拿出財(cái)務(wù)報(bào)告。SOX要求企業(yè)針對(duì)產(chǎn)生財(cái)務(wù)交易的所有作業(yè)流程，都做到能見度/透明度、控制、通訊、風(fēng)險(xiǎn)管理和詐欺防治，且這些流程必須詳加記錄到可追查交易源頭的地步。主要內(nèi)容有（1）成立獨(dú)立的上市公司會(huì)計(jì)監(jiān)管委員會(huì)；（2）要求加強(qiáng)審計(jì)師的獨(dú)立性；（3）要求加大公司的財(cái)務(wù)報(bào)告責(zé)任；（4）要求強(qiáng)化財(cái)務(wù)披露義務(wù)；（5）加重對(duì)違法行為的處罰措施；（5）增加經(jīng)費(fèi)撥款，強(qiáng)化美國證券管理委員會(huì)的監(jiān)管職能；（6）要求美國審計(jì)總署加強(qiáng)調(diào)查研究法案等目標(biāo)及方向： 提高上市公司的治理水平，恢復(fù)投資者的信心，保護(hù)投資者的利益以及使上市公司的公開報(bào)告更透明第17頁，共22頁。ISAC

16、A的背景ISACA (國際資訊系統(tǒng)審計(jì)師協(xié)會(huì))是于1969年成立全球會(huì)員遍布140多個(gè)國家，人數(shù)達(dá)47,000多名其網(wǎng)址為()ISACA是一個(gè)被公認(rèn)為對(duì)資訊系統(tǒng)管理、控制、安全及審計(jì)扮演領(lǐng)導(dǎo)角色的國際性組織。 ISACA提供全面之會(huì)員服務(wù)，主辦各種國際會(huì)議，出版資訊科技管治刊物，開發(fā)國際資訊系統(tǒng)審計(jì)和控制標(biāo)準(zhǔn)。監(jiān)管全球性受尊敬的國際公認(rèn)資訊系統(tǒng)審計(jì)師(CISA)及國際公認(rèn)資訊保安經(jīng)理(CISM)等資格認(rèn)證。前者從1978年開始至今已獲發(fā)超過四萬多個(gè)專業(yè)資格，而后者則由2002年起開始已獲發(fā)超過5200個(gè)專業(yè)資格。第18頁，共22頁。ISACA及CISM的目標(biāo)及價(jià)值 在ISACA創(chuàng)立的三十年來，

17、它已成為一個(gè)為信息管理、控制、安全和審計(jì)專業(yè)設(shè)定規(guī)范的全球性組織。 CISM認(rèn)證可以用來衡量個(gè)人在信息安全領(lǐng)域的管理能力，而不是簡單的實(shí)踐技巧。 越來越多的企業(yè)要求或建議自己的員工獲得此項(xiàng)認(rèn)證 諸如：CISM成為美國國防部特別授權(quán)的商業(yè)認(rèn)證，并且國防部 命令其信息安全部成員通過此認(rèn)證 CISM認(rèn)證促進(jìn)了國際化實(shí)踐，并提供了有效的管理，以確保那些擁有CISM認(rèn)證的成員具備必需的經(jīng)驗(yàn)和知識(shí)實(shí)現(xiàn)有效的安全管理和咨詢服務(wù). 第19頁，共22頁。企業(yè)為什么需要ISACA企業(yè) 計(jì)劃實(shí)施的與信息技術(shù)有關(guān)的十大要?jiǎng)?wù)是： . 運(yùn)行中的故障 . 高成本/低投資回報(bào) . 未能解決的對(duì)無法直接控制的實(shí)體的依賴性 . 信息技術(shù)人才問題 . 關(guān)鍵系統(tǒng)產(chǎn)生的錯(cuò)誤 . 難題和事故較多 . 缺乏對(duì)關(guān)鍵系統(tǒng)的知識(shí) . 數(shù)據(jù)的可管理性 . 信息技術(shù)策略與商業(yè)策略之間的脫節(jié) . 對(duì)信息技術(shù)運(yùn)行現(xiàn)狀的看法不充分、不準(zhǔn)確通過ISACA先進(jìn)的管理理念及流程，幫助企業(yè)解決這些問題。ISACA（ ）在全球140 多個(gè)國家擁有超過65000 名成員獲得公認(rèn)的IT管理、控制、安全及保證上的全球領(lǐng)先者制定國際信息系統(tǒng)查核和控制標(biāo)準(zhǔn)負(fù)責(zé)CISA、CISM 和CGEIT 認(rèn)證。第20