信息系统与内部控制

1、企业内部控制规范体系培训 第三部分：内部控制体系建设实务 2011年9月.南宁 3.3 信息系统控制 信息系统与内部控制 信息系统控制的内容 信息系统一般控制 信息系统应用控制 利用信息技术提升内控水平 page 3 搭建或整合全面风险管 理及内部控制体系的要 点 常见的erp系统 这些erp系统通常涉及的模块包括： 物料管理模块 销售模块 财务会计模块 管理会计模块 生产计划模块 人力资源模块 sap oracle 用友erp系统 金蝶erp系统 信息系统与内部控制信息系统与内部控制 目前企业的信息化程度越来越高，企业的业务、财务流程对信息系统的依赖日益加 深，众多企业实施了erp系统，由于

2、erp系统的集成度较高，因此无论在erp的实施 阶段还是在后期系统运行维护阶段均为企业的信息化管理带来了新的挑战。 page 4 搭建或整合全面风险管 理及内部控制体系的要 点 公司的所有信息、数据 it应用系统数据存储 业务处理财务处理公司管理 第三方/关联方 外部用户/客户 内部用户 itit内部控制内部控制 访问 业务运行业务运行 风险风险 财务财务/ /舞弊舞弊 风险风险 管理风险管理风险 授权访问授权访问 风险风险 数据安全数据安全 风险风险 信息系统与内部控制（续）信息系统与内部控制（续） 信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、 外部、第三方等用户对公司信

3、息的访问。 page 5 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统与内部控制（续）信息系统与内部控制（续） 如果缺乏适当的信息系统内部控制，公司将面临业务、财务等方面的风险， 例如： 舞弊风险： 信息化加快了公司的效率，提供方便的业务处理 同时必须注意到在信息化的公司环境中，舞弊也因为信息系统而变得更加容易 如果缺乏适当的it控制，例如没有严格责任分离或者不适当的用户授权，都将增加舞 弊现象存在的可能性 未授权数据修改的风险： 公司最重要的资产之一就是信息和数据 如果没有适当的it内部控制，例如对数据修改的严格管理或对数据库访问用户不合适 授权、没有使用入侵检测系统等，业务、财

4、务、客户数据信息则有可能被未授权的用 户或者入侵者修改、删除、复制，从而给公司带来巨大的损失 page 6 搭建或整合全面风险管 理及内部控制体系的要 点 根据一家国际机构的数据统计，自2004年至2008年6月30日，在内控无 效的美国上市公司中，大约17%25%的公司在it内部控制方面存在重 大缺陷： 根据统计和分析，导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型： 程序控制上的缺陷 软件开发/实施 职责分离 用户对系统的访问授权 对数据访问的监管和控制 信息系统与内部控制（续）信息系统与内部控制（续） 2004年年2005年年2006年年2007年年2008年年 存在信息系统内

5、控缺陷公司个数存在信息系统内控缺陷公司个数1019570767 当年内控无效公司个数当年内控无效公司个数43847639530928 比例比例23.06%19.96%17.72%24.60%25.00% page 7 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统控制的内容（续）信息系统控制的内容（续） 公司层面公司层面 应用层面应用层面一般控制层面一般控制层面 内容内容信息系统内部控制领域信息系统内部控制领域 信息系统一般控制 信息系统应用控制 管理层控制 与与itit公司治理相关的控制：公司治理相关的控制： itit组织，组织，itit规划规划 it it 风险管理风险管理 it

6、it管理制度体系管理制度体系 itit内部审计等内部审计等 itit一般控制：一般控制： 系统开发与程序变更管理系统开发与程序变更管理 系统访问安全管理系统访问安全管理 itit日常操作管理日常操作管理 物理安全管理等物理安全管理等 业务流程中通过系统实现的应用程序业务流程中通过系统实现的应用程序 控制：控制： 输入控制输入控制 验证控制验证控制 接口控制接口控制 权限控制，职责分工等权限控制，职责分工等 page 8 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统控制的内容（续）信息系统控制的内容（续） 公司层面的信息系统控制 itit战略规划战略规划 itit组织与组织与职责分工

7、职责分工 itit风险风险管理管理 itit管理制度体系管理制度体系 itit内审内审 it公司层面 公司层面 内部环境内部环境 风险评估风险评估 控制活动控制活动 信息与沟通信息与沟通 内部监督内部监督 合合 规规 经经 营营 战战 略略 财财 务务 公司层面公司层面 业务单元业务单元 子公司子公司 业务分部业务分部 page 9 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统控制的内容（续）信息系统控制的内容（续） 信息系统一般控制与应用控制之间的关系 应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制， 例如： 许多应用系统中根据业务的需求（“业务规则”）设置了很多

8、编辑检查来帮 助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数 字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合 理性检查（如：最大支付金额） 如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能 拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之 中，留待后续跟进和处理 如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用 控制的有效性必须建立在信息系统一般控制的基础之上 page 10 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制信息系统一般控制 信息系统一般信息系统一般 性控制性控制 控制环境 系统开

9、发 程序变更 系统访问权限 信息系统运营 应用控制应用控制 完整性 准确性 有效性 访问控制 等 page 11 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制信息系统一般控制 信息系统一般信息系统一般 性控制性控制 控制环境 系统开发 程序变更 系统访问权限 信息系统运营 有效的信息系 统一般性控制 增加对信息系 统应用控制的 信心 有效的信息系 统应用控制增 加对系统支持 处理交易的信 心 对信息系统的 信心增加，使 得管理层可以 更放心的依赖 系统生成的数 据和报告 page 12 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制信息系统一般控制 如果计

10、算机环境发现了信息系统一般控制的缺陷，则会影 响系统整体的可信程度 例如： 程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的 编程逻辑进行修改，导致系统接受不准确的录入数据 与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过 合理性检查，而该合理性检查在其他方面将使系统无法处理金额超 过最大容差范围的支付操作 page 13 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制（续）信息系统一般控制（续） 信息系统一般控制所包括的范围 信息系统的开发和实施： 开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和质 量保证、数据转换、上

11、线、文档与培训等 信息系统的变更和维护： 维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环 境的授权、文档和培训等 信息系统的操作和运行： 对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、 用户帮助部门的功能、服务水平协议等 程序和数据的接触安全： 安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络 安全、边界网络安全、物理安全等 page 14 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制（续）信息系统一般控制（续） 信息系统的开发和实施 目标是确保系统的开发、配置

12、和实施能够实现管理层的应用控制目标，包括考 虑： 程序开发活动的全面管理 项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制 目标 具体控制领域包括： 用户需求 测试和质量确保 数据迁移 程序实施 记录和培训 职责分离 page 15 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制（续）信息系统一般控制（续） 信息系统的变更和维护 目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测 试和实施的，以达到管理层的应用控制目标 具体控制领域包括： 对维护活动的管理 对变更请求的规范、授权与跟踪 对程序变更实施过程的控制 测试和质量确保 程序实施

13、记录和培训 职责分离 page 16 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制（续）信息系统一般控制（续） 信息系统的操作和运行 目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运 行问题被完整准确地识别并解决，以维护财务数据的完整性 具体控制领域包括： 计算机运行活动的总体管理 批处理 实时处理 备份和问题管理 灾难恢复 重要电子表格 page 17 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制（续）信息系统一般控制（续） 程序和数据的接触安全 目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授 权的 具体控制领域包括： 安

14、全活动管理 安全管理 数据安全 操作系统安全 网络安全 物理安全 page 18 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制举例： 1.1系统开发和重大变更流程: 控制点： 用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保存。 变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。 系统的开发和测试环境必须与生产环境分离；相冲突的职责被适当分离。 制定并保存详细的数据迁移计划，计划应涵盖具体的数据迁移步骤。数据迁移的过程 应当在原始位置和目的地之间进行测试，确保数据的完整，准确和有效。 对于外包的it项目，公司的项目管理组应该对服务商的运作

15、以及控制的有效性进行检 查。 管理层应在系统上线前对其进行检查和审批。 信息系统一般控制（续）信息系统一般控制（续） page 19 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制举例： 1.2 系统日常变更流程： 控制点： 一般的程序变更请求需要由用户部门管理层审批并存档保留。 在移植到生产环境前，应当对程序变更进行测试。测试的级别与变更的大小 相当。 在程序变更过程中对相冲突的职责实施有效的分离。 程序变更上线之前需要经过管理层的检查和审批。 开发和测试环境在逻辑或物理上与生产环境分离。 信息系统一般控制（续）信息系统一般控制（续） page 20 搭建或整合全面风险管

16、理及内部控制体系的要 点 信息系统一般控制举例： 2.1 用户账号管理用户创建/修改/删除的授权审批： 控制点： 重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批； 关于删除离职或调职用户的权限，被评估机构确立了正式的流程； 2.2 用户账号管理权限定期检查： 控制点： 用户部门管理层应该定期检查系统中用户帐号和授权，并根据检查结果进行帐 号清理。 信息系统一般控制（续）信息系统一般控制（续） page 21 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统一般控制举例： 3.1 备份管理-备份检查： 控制点： 对重要数据（包括支持重要财务信息和应用程序的数据）进行适当的

17、备份，并 及时检查备份完成情况。 3.2问题及应急事件处理： 控制点： it运行问题或事件应该及时进行识别、解决、审核和分析。 信息系统一般控制（续）信息系统一般控制（续） page 22 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统应用控制信息系统应用控制 应用系统是提供业务功能的软件，从而用户可以： 与电脑之间产生互动 输入和取出数据 执行业务处理功能等 应用系统能够支持业务活动，并且允许用户更加有效率地 履行他们的职责 有些应用系统可以被用于访问和修改业务及财务信息，因 此，保护对于这些应用程序的访问权限至关重要，从而降 低任何与对于关键业务与财务相关数据拥有不合理的访问 权

18、限相关的风险 page 23 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统应用控制类型的划分信息系统应用控制类型的划分 信息系统应用控制（续）信息系统应用控制（续） page 24 搭建或整合全面风险管 理及内部控制体系的要 点 实时校验和编辑检查 也称为系统录入控制，此类控制主要是系统自动控制。这类控制点的主要作 用是确保录入到系统中的数据的准确性，在进行业务录入时系统会对重要字 段的合理性、合规性和准确性进行检查，以防止一些非法的或不真实的数据 被系统接受，造成系统数据的不真实和大量垃圾数据的产生。 应用程序控制类型实时校验和编辑检查应用程序控制类型实时校验和编辑检查 举例：

19、会计科目维护时系统存在录入控制，对科目代码进行校验，限制过 长或过短的科目代码。 系统设定了录入信息模板，只能按照模板规定的格式录入信息。 信息系统应用控制（续）信息系统应用控制（续） page 25 搭建或整合全面风险管 理及内部控制体系的要 点 登录权限/岗位分离 应用系统中用户的权限设置是否合理，是否按照职责需要进行授权，是否考虑到 岗位分离的情况。 应用程序控制类型登陆权限应用程序控制类型登陆权限/ /岗位分离岗位分离 举例： 会计凭证在金蝶k/3系统中的录入，一般此项操作需要一人制单， 一人复核及过账。 信息系统应用控制（续）信息系统应用控制（续） page 26 搭建或整合全面风险

20、管 理及内部控制体系的要 点 计算机计算 系统根据设定的业务逻辑进行自动计算，此类控制多为系统自动控制。此类控 制一般在程序开发时已经嵌入到系统中 举例： 金蝶k/3系统正确计算物料的当月采购平均单价。 k/3系统每月将当月所有入库单自动汇总成本计算单_汇总显示。 应用程序控制类型计算机计算应用程序控制类型计算机计算 信息系统应用控制（续）信息系统应用控制（续） page 27 搭建或整合全面风险管 理及内部控制体系的要 点 配置控制： 主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处 理的正确性起着非常重要的作用，此类控制多属于人工依赖系统控制 举例： 财务管理部会计

21、进行采购发票勾稽并做外购入库暂估冲回后，k/3系统自动将对 应的暂估应付账款进行冲回。 系统能根据预先的设置根据科目余额表余额生成资产负债表和利润表。 应用程序控制类型配置控制应用程序控制类型配置控制 信息系统应用控制（续）信息系统应用控制（续） page 28 搭建或整合全面风险管 理及内部控制体系的要 点 自动系统接口/对账例行程序: 主要关注不同应用系统之间传输数据的准确性和完整性，一般属于系统自动控制 举例： 仓管员根据k/3系统销售出库单的出库或退库指令在仓库系统进行出库 或退库操作，确认信息由仓库系统上传到k/3系统。 应用程序控制类型自动系统接口应用程序控制类型自动系统接口/ /

22、对账例行程序对账例行程序 信息系统应用控制（续）信息系统应用控制（续） page 29 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统应用控制（续）信息系统应用控制（续） 信息系统应用控制需要考虑的因素 应用系统的复杂程度 复杂的计算需求或业务规则 跨国或复杂的信息系统架构 应用技术的采用 信息系统所提供的功能 信息系统在企业应用的广泛程度 信息系统在企业的应用 所支持的业务交易 业务对系统的依赖程度 系统之间的链接 page 30 搭建或整合全面风险管 理及内部控制体系的要 点 信息系统应用控制（续）信息系统应用控制（续） 每个应用系统的控制都有所区别： 企业的业务性质 企业的组织

23、和人员 企业的管理需求 所采用的技术 其他的考虑，如监管要求等 应用控制要持续有效，必需有相关的配套支持： 政策、制度 人员（业务和信息技术） 检查和维护机制（包括信息系统一般性控制） page 31 搭建或整合全面风险管 理及内部控制体系的要 点 应用系统规划图应用系统规划图 流程编号流程编号 系统名称系统名称金蝶金蝶k/3系统系统sap系统系统 是否为关键系统是否为关键系统是是 流程名称流程名称 1财务报表关账 2生成与存货流程 3销售流程 应用系统规划图的主要目的是为了匹配业务财务流程与系统的对应关系，以确 定评估范围内的系统，样例如下： 信息系统应用控制（续）信息系统应用控制（续） p

24、age 32 搭建或整合全面风险管 理及内部控制体系的要 点 通过信息技术提高内控水平通过信息技术提高内控水平 手工流程手工流程 手工流程是指由某个特定的人员手工所执行 的步骤或程序，例如：当存在补提折旧的情 况时，资产管理岗必须编制当月补提折旧的 总额及明细汇总表交稽核岗进行审查，只有 符合公司财务会计政策的补提折旧才能进行 账务处理。 由于人为操作处理错误可能性的存在，手工 流程往往比自动流程更容易出错。 人工业务流程与自动业务流程 流程是指为了实现特定的业务目标和经营成果所实施的一系列工作、任 务或活动的集合。流程从执行方式上可以分为以下三种： 手工 手工依赖系统 自动 page 33

25、搭建或整合全面风险管 理及内部控制体系的要 点 自动流程自动流程 自动流程是完全依赖信息系统架构所支 持的流程 (例如：固定资产折旧额是由 系统按照各项固定资产的原值、预计可 使用年限、残值率及折旧方法自动计算 生成的)。 自动流程的一大优点在于，如果自动流 程得到合理的保障，将大幅度地降低人 为操作处理错误的风险。 手工 手工依赖系统 自动 通过信息技术提高内控水平通过信息技术提高内控水平（续）（续） 人工业务流程与自动业务流程（续） page 34 搭建或整合全面风险管 理及内部控制体系的要 点 手工依赖系统的流程手工依赖系统的流程 一个手工依赖系统的流程是指虽然某个活动 是由特定人员手工

26、执行的，但在一定程度上 必须依赖于信息系统才能完成。例如，稽核 岗每季度将系统中进行补提折旧操作的日志 记录与经过审批的补提折旧总额及明细汇总 表进行一一核对，检查该季度是否存在未经 稽核却进行补提折旧操作的情况。 尽管这个活动由稽核岗手工核对执行，但核 对是必须基于系统自动生成的日志记录来完 成的。 手工 手工依赖系统 自动 通过信息技术提高内控水平通过信息技术提高内控水平（续）（续） 人工业务流程与自动业务流程（续） page 35 搭建或整合全面风险管 理及内部控制体系的要 点 手工流程存在多方面的限制，如： 判断失误 执行偏差 适当利用信息技术可以提升对业务的管理，如： 减少人为判断

27、增加执行的一致性 固化业务规则 加强对数据的分析能力 加强对业务情况的掌握 加快对信息的掌握及分析 通过信息技术提高内控水平（续）通过信息技术提高内控水平（续） 但业务流程的信息化仍然 存在一定的限制： 人员越权 合伙同谋 page 36 搭建或整合全面风险管 理及内部控制体系的要 点 通过信息技术提高内控水平（续）通过信息技术提高内控水平（续） 需要注意的是： 并非每个业务流程都能做到自动化，而有些业务流程也不需要做到 自动化 对整个企业实施技术提升的最终目的是为了促进企业经营目标的实 现，并不仅仅是为了内控 并不意味需要实施一个全新的系统，可能通过现有系统和管理平台 的接合来实现 技术的应

28、用不一定意味着内部控制一定得到落实而不会出现缺陷 信息技术的应用比会带来新的风险，需要相应的内部控制手段去进 行管理 page 37 搭建或整合全面风险管 理及内部控制体系的要 点 系统自动控制 人工控制 成本 效率 综合 效果 控制 成本 人工 控制 效率 系统 控制 通过信息技术提高内控水平（续）通过信息技术提高内控水平（续） 企业在建立内部控制时，控制类型的选择直接影响到企业的成本和控制效率的综合 效果： 人工控制：需要企业投入较多的人力成本，控制实施的效率较低，并且易出错 系统自动控制：可以帮助企业节约更多人力成本，并提高控制的效率和可依赖程 度 因此，企业在内控建设过程中，必须根据自

29、身情况，平衡成本效率和风险控制要求， 选择合理的控制组合。 page 38 搭建或整合全面风险管 理及内部控制体系的要 点 总结总结 两家公司不会以完全相同的方式通过实施信息系统控制来强化内部控制， 必须结合企业的实际情况，不存在标准的控制 信息系统一般控制与保持数据完整性和财务报告内部控制中的关键应用 控制是相关联的 参考国际上的先进框架（如cobit）来完善企业的信息系统一般控制 由于企业往往使用多个信息系统，加上系统之间存在很多链接，因此建 设和评价信息技术控制有效性时需要考虑不同控制组件之间的相互影响， 而不是仅仅评价个别控制活动的有效性 在确定信息系统一般控制测试的性质、时间和范围时

30、，应考虑这些信息 系统层面程序或控制的质量和有效性（结合其他因素，如固有风险和关 键自动控制的范围等） 第 39 页 附件：附件：cobit cobit 简介简介 page 40 搭建或整合全面风险管 理及内部控制体系的要 点 信息技术治理：信息技术治理：cobitcobit框架框架 商业目标及it治理目标 效率 应用系统 信息 基础架构 人力 交付与支持 监控与评估 获得与实施 信息 it资源 cobit框架 效果 保密性 完整性 可用性 合规性 ds1 定义和管理服务水平 ds2 管理第三方服务 ds3 性能管理和容量管理 ds4 确保服务的连续性 ds5 确保系统安全 ds6 确定并分配

31、成本 ds7 教育和培训用户 ds8 服务台和紧急事件管理 ds9 配置管理 ds10 问题管理 ds11 数据管理 ds12 物理环境管理 ds13 运营管理 me1 监控和评价it绩效 me2 监控和评价内部控制 me3 确保与法律的符合性 me4 提供it治理 p01 定义it战略计划 p02 定义it信息架构 p03 确定技术导向 p04 定义it过程/组织和关系 p05 it投资管理 p06 传递管理目标和方向 p07 it人力资源管理 p08 质量管理 p09 it风险评估及管理 p10 项目管理 ai1 识别自动化解决方案 ai2 获取并维护应用软件 ai3 获取并维护技术基础设

32、施 ai4 保障运营和使用 ai5 获取it资源 ai6 变革管理 ai7 安装/授权解决方案和变更 计划与组织 可靠性 page 41 搭建或整合全面风险管 理及内部控制体系的要 点 cobitcobit简介简介 cobit的全称是：control objectives for information and related technology（信息及相关技术的控制目标） cobit的控制模型已得到全球一百多个国家的大型企业的实践验证，成为国 际上信息及相关技术控制的实践标准 cobit的控制模型涵盖现行的有关it 的国际性准则与规定，cobit 4.1 版 本包含了涉及 34 个和信息系

33、统管理相关流程的 210 个控制目标， 并区 分为以下四个控制域： 策划和组织 （planning and organization） 获取与实施 （acquisition and implementation） 交付与支持 （delivery and support） 监控与评价 （monitoring & evaluate） page 42 搭建或整合全面风险管 理及内部控制体系的要 点 cobit cobit it it治理框架治理框架 cobit可作为连接业务风险、控制需求和技术问题的纽带，并以控制领域和it业务 流程的形式对it治理进行了结构化描述，使其成为可衡量的管理活动 cobi

34、t: 源自业务需求 it流程导向的描述，容易被人接受 识别了需要进行管理的主要it资源 定义了需要进行管理的控制目标 能够与其它主流标准相对应，如coso、iso27000 是目前主流的it管理及控制标准 it资源需要用普遍接受的it管理流程体系进行管理， 而cobit提供了一套具备可实施性的管理框架 page 43 搭建或整合全面风险管 理及内部控制体系的要 点 cobit cobit it it治理框架（续）治理框架（续） cobit结合了众多it管理模型、标准及最佳实践，可以和众多 主流标准结合并保持一致 coso cobit iso9000 iso27000 itil/iso20000

35、 page 44 搭建或整合全面风险管 理及内部控制体系的要 点 itit治理成熟度模型治理成熟度模型 it成熟度模型制定了一个基准，企业可能根据这基准明确自己 的等级，从而了解自身目前的管理成熟度： page 45 搭建或整合全面风险管 理及内部控制体系的要 点 itit治理成熟度模型治理成熟度模型 涉及经营需求的各个方面，是一种进行实用性比较的等级制，能以简单方式测 定差异，有助于确定有关信息技术管理、安全性 使管理部门相对容易地依据等级制对现有的管理体系定位，并确认需要改善管 理的地方；企业对自身进行差距分析以确定需要做哪些工作来达到所选级别 成熟度等级（ 0-5）体现出管理体系如何从不

36、存在级发展到优化级的管理过程； 增加成熟度意味着增强风险管理与提高管理效率 it 治理成熟度是测量管理处理发展程度的一种方法，应该发展到什么程度取决 于企业的经营需求，体现各个成熟层次的典型模式，协助企业将主要精力投入 到关键的管理方面 it 治理成熟度模型等级有助于专业人员向管理层解释it 管理存在的缺陷，并 把他们组织的控制惯例与最佳惯例对照起来，从而确定企业的发展目标 page 46 搭建或整合全面风险管 理及内部控制体系的要 点 cobitcobit框架的目的框架的目的 cobit框架关注于业务需求的信息上并且合理组织企业it资源，以帮助 企业将it与业务融合在一起 cobit提供了实

37、施it治理的框架指南 it资源/流程 i 信息 业务流程 业务目标 提供提供 为了为了 以达到以达到 page 47 搭建或整合全面风险管 理及内部控制体系的要 点 cobitcobit框架的原则框架的原则 框架的原则是将管理层的it管理职责与其对it管理的期望结合 在一起，目标是为了协助it治理实现管理风险的同时交付预期 it价值 信息信息 it资源资源 it业务流程业务流程 企业战略企业战略 page 48 搭建或整合全面风险管 理及内部控制体系的要 点 信息技术治理：信息技术治理：cobitcobit框架框架 商业目标及it治理目标 效率 应用系统 信息 基础架构 人力 交付与支持 监控

38、与评估 获得与实施 信息 it资源 cobit框架 效果 保密性 完整性 可用性 合规性 ds1 定义和管理服务水平 ds2 管理第三方服务 ds3 性能管理和容量管理 ds4 确保服务的连续性 ds5 确保系统安全 ds6 确定并分配成本 ds7 教育和培训用户 ds8 服务台和紧急事件管理 ds9 配置管理 ds10 问题管理 ds11 数据管理 ds12 物理环境管理 ds13 运营管理 me1 监控和评价it绩效 me2 监控和评价内部控制 me3 确保与法律的符合性 me4 提供it治理 p01 定义it战略计划 p02 定义it信息架构 p03 确定技术导向 p04 定义it过程/

39、组织和关系 p05 it投资管理 p06 传递管理目标和方向 p07 it人力资源管理 p08 质量管理 p09 it风险评估及管理 p10 项目管理 ai1 识别自动化解决方案 ai2 获取并维护应用软件 ai3 获取并维护技术基础设施 ai4 保障运营和使用 ai5 获取it资源 ai6 变革管理 ai7 安装/授权解决方案和变更 计划与组织 可靠性 page 49 搭建或整合全面风险管 理及内部控制体系的要 点 cobitcobit框架的原理：框架的原理：cobitcobit方块方块 cobit框架描述了it流程如何为业务需求的实现提供相应信息， 为了清晰阐述这一过程，cobit框架提供

40、了3个重要关键要素， 构成了下面的cobit魔方 业务对信息处理要求 it资源 it流程 page 50 搭建或整合全面风险管 理及内部控制体系的要 点 cobitcobit框架的原理：框架的原理：cobitcobit方块方块 it流程 业务需求 控制方式 考虑因素 . 信息处理要求信息处理要求 有效性 效率性 保密性 完整性 可用性 合规性 可靠性 it流程流程 控制领域4 流程34 活动215 it资源资源 应用系统 信息 基础架构 人员 page 51 搭建或整合全面风险管 理及内部控制体系的要 点 cobitcobit框架的组成框架的组成 page 52 搭建或整合全面风险管 理及内部控制体系的要 点 cobitcobit框架的组成及利用框架的组成及利用cobitcobit建立建立itit治理治理 cobit四个控制域： 策划和组织 （planning and organization） 获取与实施 （acquisition and implementation） 交付与支持 （delivery and support） 监控与评价 （monitoring & evaluate） page 53 搭建或整合全面风险管 理