IT治理與企業(yè)內(nèi)控

IT治理與企業(yè)內(nèi)控

何迪生DixonHo主席｜ISACA國際資訊系統(tǒng)審計協(xié)會（北京委員會）副主任｜中國信息化推動聯(lián)盟-信息平安專業(yè)委員會信息平安及基礎架構總監(jiān)｜Microsoft微軟大中華區(qū)

國際信息系統(tǒng)審計協(xié)會ISACA?

ISACA的背景ISACA(國際資訊系統(tǒng)審計師協(xié)會)是于1969年成立全球會員遍布140多個國家，人數(shù)達47,000多名其網(wǎng)址為()ISACA是一個被公認為對資訊系統(tǒng)管理、限制、平安及審計扮演領導角色的國際性組織。ISACA供應全面之會員服務，主辦各種國際會議，出版資訊科技管治刊物，開發(fā)國際資訊系統(tǒng)審計和限制標準。監(jiān)管全球性受敬重的國際公認資訊系統(tǒng)審計師(CISA)及國際公認資訊保安經(jīng)理(CISM)等資格認證。前者從1978年起先至今已獲發(fā)超過四萬多個專業(yè)資格，而后者則由2002年起起先已獲發(fā)超過5200個專業(yè)資格。書目SOX概述-第404條款及IT治理為什么要進行IT治理什么是IT治理IT治理框架-COBIT中國的SOX（C-SOX）及其面臨的挑戰(zhàn)SOX法案2002年，美國爆發(fā)了一系列的財務和管理丑聞，如平穩(wěn)和世通事務，這些丑聞嚴峻破壞了美國金融證券制度，徹底打擊了投資者對美國資本市場的信念。為了扭轉這一局面，美國國會通過了《2002年公眾公司會計改革和投資者疼惜法案》。該法案由美國參議院銀行委員會主席薩班斯和眾議院金融服務委員會主席奧克斯利聯(lián)合提出，又被稱作《2002年薩班斯—奧克斯利法案》(Sarbanes—OxleyAct2002，以下簡稱“SOX法案”)。2002年7月，美國總統(tǒng)布什將此法案簽署為法律。SOX法案共分11章 第1至第6章主要涉及對會計職業(yè)及公司行為的監(jiān)管,包括:建立一個獨立的"公眾公司會計監(jiān)管委員會"(PublicCompanyAccountingOversightBoard,PCAOB),對上市公司審計進行監(jiān)管;通過負責合伙人輪換制度以及詢問與審計服務不兼容等提高審計的獨立性;對公司高管人員的行為進行限定以及改善公司治理結構等,以增進公司的報告責任;加強財務報告的披露;通過增加撥款和雇員等來提高SEC的執(zhí)法實力. 第8至第11章主要是提高對公司高管及白領犯罪的刑事責任,比如,針對安達信銷毀平穩(wěn)審計檔案事務,特地制訂相關法律,規(guī)定了銷毀審計檔案最高可判10年監(jiān)禁,在聯(lián)邦調查及破產(chǎn)事務中銷毀檔案最高可判20年監(jiān)禁;為強化公司高管層對財務報告的責任,要求公司高管對財務報告的真實性宣誓,并就供應不實財務報告分別設定了10年或20年的刑事責任.

第404條款及

IT治理SOX法案第404條款的合規(guī)性實踐，展示了改善IT治理和推斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規(guī)性的要求有其特有的局限性，因為其主要關注的是和財務報告相關的信息系統(tǒng)，但是由此產(chǎn)生的方法論和合規(guī)性實踐，對IT治理的理論發(fā)展和實踐很有借鑒意義SOX法案促進IT治理的完善為什么須要IT治理：在中國，我們的調查顯示44%的被調查者認為他們的信息平安事務與數(shù)據(jù)開發(fā)有關，全球范圍內(nèi)該比例為16%。預料平均每起信息平安事務造成的經(jīng)濟損失為982,941.2美元，相對整個亞洲（744,471.2美元）和印度（308,720.9美元）要高很多。在中國，僅44%的被調查者接受了集中式的平安信息管理流程，全球范圍內(nèi)該比例為51%。IT對企業(yè)至關重要IT對企業(yè)具有戰(zhàn)略性意義期望與現(xiàn)實存在差距IT沒有得到應有的重視IT涉及巨大的投資與大風險企業(yè)對信息平安的責任監(jiān)管的需求舉例：為什么須要IT治理：

--網(wǎng)上交易平安現(xiàn)狀

8COBIT簡介COBIT：Control

Objectives

for

Information

and

related

Technology是由信息系統(tǒng)審計與限制學會：ISACA在1996年所公布的限制框架當前版本：目前已經(jīng)更新至第4.1版COBIT的主要目的及方向：探討、發(fā)展、宣揚權威的、最新的國際化的公認信息技術限制目標以供企業(yè)經(jīng)理、IT專業(yè)人員和審計專業(yè)人員日常運用COBIT框架：34個IT的流程、四個領域：PO（支配與組織）、AI（獲得與實施）、DS（交付與支持）、和ME（監(jiān)控與評估）

9COBIT：

IT治理框架前提是IT須要傳遞企業(yè)所需的實現(xiàn)其目標的信息推動流程集中與流程全部權將IT劃分為34個步驟，這些步驟分屬于4個階段，為每個步驟供應高級別的限制目標供應7個標準，用于定義業(yè)務對IT的要求由一套超過200多個具體的限制目標供應支持效果效率完整性保密性牢靠性可用性法規(guī)遵從規(guī)劃獲得與執(zhí)行交付與支持監(jiān)控

10COBIT涉及領域商業(yè)目標及IT治理目標效率應用系統(tǒng)信息基礎架構人力交付與支持監(jiān)控與評估獲得與實施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1定義和管理服務水平DS2管理第三方服務DS3性能管理和容量管理DS4確保服務的連續(xù)性DS5確保系統(tǒng)安全DS6確定并分配成本DS7教育和培訓用戶DS8服務臺和緊急事件管理DS9配置管理DS10問題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運營管理ME1監(jiān)控和評價IT績效ME2監(jiān)控和評價內(nèi)部控制ME3確保與法律的符合性ME4提供IT治理P01定義IT戰(zhàn)略計劃P02定義IT信息架構P03確定技術導向P04定義IT過程/組織和關系P05IT投資管理P06傳遞管理目標和方向P07IT人力資源管理P08質量管理P09IT風險評估及管理P10項目管理AI1識別自動化解決方案AI2獲取并維護應用軟件AI3獲取并維護技術基礎設施AI4保障運營和使用AI5獲取IT資源AI6變革管理AI7安裝/授權解決方案和變更計劃與組織可靠性限制框架

ControlFrameworkSOX法案第404條款要求的IT一般性限制的合規(guī)性實踐往往接受下列的方法首先是做一次IT一般性限制的現(xiàn)狀分析。然后參照COBIT的要求建立公司的IT限制目標以便進行差距分析，并在此基礎上找出和確定能涵蓋這些限制目標的IT一般性限制的關鍵限制點。每個關鍵限制點的限制活動都被清晰地描述和文檔化，同時這些限制活動還必需具備可操作性和可檢驗性，最終形成所謂的IT限制矩陣(ITControlMatrix)。相關公司都必需完成一整套與IT限制相關的文檔，即所謂的SOX法案合規(guī)性文檔，如IT政策、IT限制矩陣、IT限制活動描述、IT限制的測試方法等。隨后通過細致扎實的工作落實已被確定的IT限制點，從而使IT限制得到貫徹實施。依據(jù)SOX法案第404條款的要求，管理層必需每年對這些限制點進行測試和評估，對測試得出的限制缺陷，則須要增設補救和改進措施，并再次測試。假如在規(guī)定的期限內(nèi)，限制缺陷還是不能得到改正，外部審計師將依據(jù)狀況，針對限制缺陷和程度發(fā)表審計看法。第404條款及COBIT中國的SOX（C-SOX）

及其面臨的挑戰(zhàn)

《內(nèi)部控制基本規(guī)范》C-SOX 財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布發(fā)布單位：

自2009年7月1日起先在上市公司范圍內(nèi)施行，鼓勵非上市的其他大中型企業(yè)執(zhí)行執(zhí)行范圍及時間：根據(jù)這一基本規(guī)范，執(zhí)行基本規(guī)范的上市公司，應當對本公司內(nèi)部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業(yè)務資格的中介機構對內(nèi)部控制的有效性進行審計?；緲藴实哪康氖羌訌妼ι鲜泄镜墓芾?，其內(nèi)容主要參照美國薩班斯（Sarbanes-Oxley）法案，也稱C-SOXC-SOX概述大多數(shù)中國企業(yè)對IT治理中的架構、流程、標準及需求并不熟悉中國本土缺乏相關的咨詢經(jīng)驗許多審計人員對IT審計并不十分熟悉沒有規(guī)定具體處罰內(nèi)容，很可能造成有法不依，違法不究，執(zhí)法不嚴的情況財務部門、審計部門與IT部門的整合C-SOX所面臨的挑戰(zhàn)：大多數(shù)中國企業(yè)對IT治理中的架構、流程、標準及需求并不熟悉中國本土缺乏相關的咨詢經(jīng)驗許多審計人員對IT審計并不十分熟悉沒有規(guī)定具體處罰內(nèi)容，很可能造成有法不依，違法不究，執(zhí)法不嚴的情況財務部門、審計部門與IT部門的整合C-SOX所面臨的挑戰(zhàn)：

14IT是業(yè)務的組成部分IT治理是公司治理的組成部分總結

何迪生DixonHoEmail:dixonho@.hkPhone:86-10-58968079附錄什么是SOXISACA的背景ISACA(國際資訊系統(tǒng)審計師協(xié)會)是于1969年成立全球會員遍布140多個國家，人數(shù)達47,000多名其網(wǎng)址為()ISACA是一個被公認為對資訊系統(tǒng)管理、限制、平安及審計扮演領導角色的國際性組織。ISACA供應全面之會員服務，主辦各種國際會議，出版資訊科技管治刊物，開發(fā)國際資訊系統(tǒng)審計和限制標準。監(jiān)管全球性受敬重的國際公認資訊系統(tǒng)審計師(CISA)及國際公認資訊保安經(jīng)理(CISM)等資格認證。前者從1978年起先至今已獲發(fā)超過四萬多個專業(yè)資格，而后者則由2002年起起先已獲發(fā)超過5200個專業(yè)資格。ISACA及CISM的

目標及價值在ISACA創(chuàng)立的三十年來，它已成為一個為信息管理、限制、平安和審計專業(yè)設定規(guī)范的全球性組織。CISM認證可以用來衡量個人在信息平安領域的管理實力，而不是簡潔的實踐技巧。越來越多的企業(yè)要求或建議自己的員工獲得此項認證諸如：CISM成為美國國防部特殊授權的商業(yè)認證，并且國防部叮囑其信息平安部成員通過此認證CISM認證促進了國際化實踐，并供應了有效的管理，以確保那些擁有CISM認證的成員具備必需的閱歷和學問實現(xiàn)有效的平安管理和詢問服務.企業(yè)為什么須要ISACA企業(yè)支配實施的與信息技術有關的十大要務是：１.運行中的故障２.高成本/低投資回報３.未能解決的對無法干脆限制的實體的依靠性４.信息技術人才問題５.關鍵系統(tǒng)產(chǎn)生的錯誤６.難題和事故較多７.缺乏對關鍵系統(tǒng)的學問８.數(shù)據(jù)的可管理性９.信息技術策略與商業(yè)策略之間的脫節(jié)１０.對信息技術運行現(xiàn)狀的看法不充分、不精確通過ISACA先進的管理理念及流程，幫助企業(yè)解決這些問題。ISACA（）在全球140多個國家擁有超過65000名成員獲得公認的IT管理、限制、平安及保證上的全球領先者制定國際信息系統(tǒng)查核和限制標準負責CISA、CISM和CGEIT認證。SecurityMeasurement