IT治理与企业内控

1、 2009. Information Systems Audit and Control Association. All Rights Reserved.IT治理与企业内控 Dixon Ho主席 ISACA 国际资讯系统审计协会（北京委员会）副主任中国信息化推进联盟 - 信息安全专业委员会信息安全及基础架构总监Microsoft 微软大中华区国际信息系统审计协会国际信息系统审计协会 2009. Information Systems Audit and Control Association. All Rights Reserved.ISACA的背景ISACA (国际资讯系统审计师协会)是于

2、1969年成立全球会员遍布140多个国家，人数达47,000多名其网址为()ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。 ISACA提供全面之会员服务，主办各种国际会议，出版资讯科技管治刊物，开发国际资讯系统审计和控制标准。监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯保安经理(CISM)等资格认证。前者从1978年开始至今已获发超过四万多个专业资格，而后者则由2002年起开始已获发超过5200个专业资格。 2009. Information Systems Audit and Control Associat

3、ion. All Rights Reserved.目录 SOX概述-第404条款及IT治理 为什么要进行IT治理 什么是IT治理 IT治理框架-COBIT 中国的SOX（C-SOX）及其面临的挑战 2009. Information Systems Audit and Control Association. All Rights Reserved.SOX法案2002年，美国爆发了一系列的财务和管理丑闻，如安然和世通事件，这些丑闻严重破坏了美国金融证券制度，彻底打击了投资者对美国资本市场的信心。为了扭转这一局面，美国国会通过了2002年公众公司会计改革和投资者保护法案。该法案由美国参议院银行委

4、员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被称作2002年萨班斯奥克斯利法案(SarbanesOxley Act 2002，以下简称“SOX法案”)。2002年7月，美国总统布什将此法案签署为法律。SOX法案共分11章第1至第6章主要涉及对会计职业及公司行为的监管,包括:建立一个独立的公众公司会计监管委员会(Public Company Accounting Oversight Board, PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司的报告责任;加强财务

5、报告的披露;通过增加拨款和雇员等来提高SEC的执法能力.第8至第11章主要是提高对公司高管及白领犯罪的刑事责任,比如,针对安达信销毁安然审计档案事件,专门制订相关法律,规定了销毁审计档案最高可判10年监禁,在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就提供不实财务报告分别设定了10年或20年的刑事责任. 2009. Information Systems Audit and Control Association. All Rights Reserved.第404条款及IT治理 SOX法案第404条款的合规性实践，展

6、示了改善IT治理和判断IT治理成效的一种有效方法。虽然SOX法案第404条款合规性的要求有其特有的局限性，因为其主要关注的是和财务报告相关的信息系统，但是由此产生的方法论和合规性实践，对IT治理的理论发展和实践很有借鉴意义 SOX法案促进IT治理的完善 2009. Information Systems Audit and Control Association. All Rights Reserved.为什么需要IT治理：在中国，我们的调查显示的被调查者认为他们的信息安全事件与数据开发有关，全球范围内该比例为16%。预计平均每起信息安全事件造成的经济损失为美元，相对整个亚洲（744,471.

7、2美元）和印度（308,720.9美元）要高很多。在中国，仅的被调查者采用了集中式的安全信息管理流程，全球范围内该比例为51%。 IT对企业至关重要 IT对企业具有战略性意义 期望与现实存在差距 IT没有得到应有的重视 IT涉及巨大的投资与大风险 企业对信息安全的责任 监管的需求 2009. Information Systems Audit and Control Association. All Rights Reserved.举例：为什么需要IT治理： -网上交易安全现状 ebay是全球知名的电子商务公司，据统计ebay的仿冒网站竟达到333个，汇丰银行（HSBC）的仿冒网站也达到128

8、个，而美联银行（WACHOVIA Bank）其仿冒网站数量为22个。雅虎（Yahoo）、西班牙银行则各自有拥有21个“山寨版”网站。 据中国国家计算机网络应急技术处理协调中心2007年上半年公布的数据显示，07上半年，网络仿冒事件已超出06年全年总数的14.6%。另据统计，2008年，我国被篡改的网站数量为5.4万个，其中政府网站为数不少。仿冒网站层出不穷 木马程序已经成为黑客攻击最主要的手段之一，应用也最为广泛。2008年，国内约有430万个IP地址被植入木马程序，6月份为其最高峰约15万个IP，7月份13万个木马病毒活动猖獗 根据南京日报报道，南京一股民因为股票资金账号和交易密码被盗，账户

9、内的60万元遭受直接损失。该男子发现，自己账户上的全部资金被他人购买为上百万股的权证。根据当日走势这只权证跌幅高达79.81%，按照发行条件，这只认沽权证当日将到期，这些权证在收盘后就成为一堆“废纸”。账户的盗用-股票账户被盗 60万元权证成废纸 2009. Information Systems Audit and Control Association. All Rights Reserved. 8COBIT简介 COBIT： Control Objectives for Information and related Technology是由信息系统审计与控制学会：ISACA在1996年

10、所公布的控制框架 当前版本： 目前已经更新至第4.1版 COBIT的主要目的及方向： 研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用 COBIT框架： 34个IT的流程、四个领域：PO（计划与组织）、AI（获取与实施）、DS（交付与支持）、和ME（监控与评估） 2009. Information Systems Audit and Control Association. All Rights Reserved. 9COBIT： IT治理框架前提是IT 需要传递企业所需的实现其目标的信息推进流程集中与流程所有权将IT划分为34个步骤，

11、这些步骤分属于4个阶段，为每个步骤提供高级别的控制目标提供7个标准，用于定义业务对IT的要求由一套超过 200多个详细的控制目标提供支持效果效率完整性保密性可靠性可用性法规遵从规划获取与执行交付与支持监控 2009. Information Systems Audit and Control Association. All Rights Reserved. 10COBIT涉及领域商业目标及IT治理目标效率应用系统信息基础架构人力交付与支持监控与评估获得与实施信息IT资源CobiT框架效果保密性完整性可用性合规性DS1 定义和管理服务水平DS2 管理第三方服务DS3 性能管理和容量管理DS4

12、确保服务的连续性DS5 确保系统安全DS6 确定并分配成本DS7 教育和培训用户DS8 服务台和紧急事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理ME1 监控和评价IT绩效ME2 监控和评价内部控制ME3 确保与法律的符合性ME4 提供IT治理P01 定义IT战略计划P02 定义IT信息架构P03 确定技术导向P04 定义IT过程/组织和关系P05 IT投资管理P06 传递管理目标和方向P07 IT人力资源管理P08 质量管理P09 IT风险评估及管理P10 项目管理AI1 识别自动化解决方案AI2 获取并维护应用软件AI3 获取并维护技术

13、基础设施AI4 保障运营和使用AI5 获取IT资源AI6 变革管理AI7 安装/授权解决方案和变更计划与组织可靠性 2009. Information Systems Audit and Control Association. All Rights Reserved.控制框架Control Framework 2009. Information Systems Audit and Control Association. All Rights Reserved.SOX法案第404条款要求的IT一般性控制的合规性实践往往采用下列的方法首先是做一次IT一般性控制的现状分析。然后参照COBIT的要

14、求建立公司的IT控制目标以便进行差距分析，并在此基础上找出和确定能涵盖这些控制目标的IT一般性控制的关键控制点。每个关键控制点的控制活动都被清晰地描述和文档化，同时这些控制活动还必须具备可操作性和可检验性，最终形成所谓的IT控制矩阵(IT Control Matrix)。相关公司都必须完成一整套与IT控制相关的文档，即所谓的SOX法案合规性文档，如IT政策、IT控制矩阵、IT控制活动描述、IT控制的测试方法等。随后通过细致扎实的工作落实已被确定的IT控制点，从而使IT控制得到贯彻实施。根据SOX法案第404条款的要求，管理层必须每年对这些控制点进行测试和评估，对测试得出的控制缺陷，则需要增设补

15、救和改进措施，并再次测试。如果在规定的期限内，控制缺陷还是不能得到改正，外部审计师将根据情况，针对控制缺陷和程度发表审计意见。第404条款及COBIT 2009. Information Systems Audit and Control Association. All Rights Reserved.中国的SOX（C-SOX）及其面临的挑战内部控制基本规范C-SOX财政部、证监会、审计署、银监会、保监会联合发布发布单位：自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行执行范围及时间：根据这一基本规范，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评

16、价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。基本标准的目的是加强对上市公司的管理，其内容主要参照美国萨班斯（Sarbanes - Oxley）法案，也称C-SOXC-SOX 概述大多数中国企业对IT治理中的架构、流程、标准及需求并不熟悉中国本土缺乏相关的咨询经验许多审计人员对IT审计并不十分熟悉没有规定具体处罚内容，很可能造成有法不依，违法不究，执法不严的情况财务部门、审计部门与IT部门的整合C-SOX所面临的挑战：大多数中国企业对IT治理中的架构、流程、标准及需求并不熟悉中国本土缺乏相关的咨询经验许多审计人员对IT审计并不十分熟悉没有规定具体

17、处罚内容，很可能造成有法不依，违法不究，执法不严的情况财务部门、审计部门与IT部门的整合C-SOX所面临的挑战： 2009. Information Systems Audit and Control Association. All Rights Reserved. 14总结 2009. Information Systems Audit and Control Association. All Rights Reserved. 2009. Information Systems Audit and Control Association. All Rights Reserved.附录 20

18、09. Information Systems Audit and Control Association. All Rights Reserved.什么是SOXSarbanes-Oxley Act, 简称SOX 法案SOX美国国会发布单位：2002年开始，SOX 法案不仅适用美国的所有在市场上进行公开交易的公司，还适用于在美国证券交易所登记的非美国公司。也就是说，凡在美国上市的公司都要受此法案约束。执行范围及时间：该法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。SOX要求企业针对产生财务交易的所有作业流程，都做到能见度/透明度、控制、通讯、风险管理和诈欺防治

19、，且这些流程必须详加记录到可追查交易源头的地步。主要内容有（1）成立独立的上市公司会计监管委员会；（2）要求加强审计师的独立性；（3）要求加大公司的财务报告责任；（4）要求强化财务披露义务；（5）加重对违法行为的处罚措施；（5）增加经费拨款，强化美国证券管理委员会的监管职能；（6）要求美国审计总署加强调查研究法案等SOX 概述 提高上市公司的治理水平，恢复投资者的信心，保护投资者的利益以及使上市公司的公开报告更透明目标及方向： 2009. Information Systems Audit and Control Association. All Rights Reserved.ISACA的背

20、景ISACA (国际资讯系统审计师协会)是于1969年成立全球会员遍布140多个国家，人数达47,000多名其网址为()ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。 ISACA提供全面之会员服务，主办各种国际会议，出版资讯科技管治刊物，开发国际资讯系统审计和控制标准。监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯保安经理(CISM)等资格认证。前者从1978年开始至今已获发超过四万多个专业资格，而后者则由2002年起开始已获发超过5200个专业资格。 2009. Information Systems Audi

21、t and Control Association. All Rights Reserved.ISACA及CISM的目标及价值 在ISACA创立的三十年来，它已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。 CISM认证可以用来衡量个人在信息安全领域的管理能力，而不是简单的实践技巧。 越来越多的企业要求或建议自己的员工获得此项认证 诸如：CISM成为美国国防部特别授权的商业认证，并且国防部 命令其信息安全部成员通过此认证 CISM认证促进了国际化实践，并提供了有效的管理，以确保那些拥有CISM认证的成员具备必需的经验和知识实现有效的安全管理和咨询服务. 2009. Information Systems Audit and Control Association. All Rights Reserved.企业为什么需要ISACA