IT治理与企业内控

IT治理与企业内控

何迪生DixonHo主席｜ISACA国际资讯系统审计协会（北京委员会）副主任｜中国信息化推动联盟-信息平安专业委员会信息平安及基础架构总监｜Microsoft微软大中华区

国际信息系统审计协会ISACA®

ISACA的背景ISACA(国际资讯系统审计师协会)是于1969年成立全球会员遍布140多个国家，人数达47,000多名其网址为()ISACA是一个被公认为对资讯系统管理、限制、平安及审计扮演领导角色的国际性组织。ISACA供应全面之会员服务，主办各种国际会议，出版资讯科技管治刊物，开发国际资讯系统审计和限制标准。监管全球性受敬重的国际公认资讯系统审计师(CISA)及国际公认资讯保安经理(CISM)等资格认证。前者从1978年起先至今已获发超过四万多个专业资格，而后者则由2002年起起先已获发超过5200个专业资格。书目SOX概述-第404条款及IT治理为什么要进行IT治理什么是IT治理IT治理框架-COBIT中国的SOX（C-SOX）及其面临的挑战SOX法案2002年，美国爆发了一系列的财务和管理丑闻，如平稳和世通事务，这些丑闻严峻破坏了美国金融证券制度，彻底打击了投资者对美国资本市场的信念。为了扭转这一局面，美国国会通过了《2002年公众公司会计改革和投资者疼惜法案》。该法案由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被称作《2002年萨班斯—奥克斯利法案》(Sarbanes—OxleyAct2002，以下简称“SOX法案”)。2002年7月，美国总统布什将此法案签署为法律。SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管,包括:建立一个独立的"公众公司会计监管委员会"(PublicCompanyAccountingOversightBoard,PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以及询问与审计服务不兼容等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法实力. 第8至第11章主要是提高对公司高管及白领犯罪的刑事责任,比如,针对安达信销毁平稳审计档案事务,特地制订相关法律,规定了销毁审计档案最高可判10年监禁,在联邦调查及破产事务中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就供应不实财务报告分别设定了10年或20年的刑事责任.

第404条款及

IT治理SOX法案第404条款的合规性实践，展示了改善IT治理和推断IT治理成效的一种有效方法。虽然SOX法案第404条款合规性的要求有其特有的局限性，因为其主要关注的是和财务报告相关的信息系统，但是由此产生的方法论和合规性实践，对IT治理的理论发展和实践很有借鉴意义SOX法案促进IT治理的完善为什么须要IT治理：在中国，我们的调查显示44%的被调查者认为他们的信息平安事务与数据开发有关，全球范围内该比例为16%。预料平均每起信息平安事务造成的经济损失为982,941.2美元，相对整个亚洲（744,471.2美元）和印度（308,720.9美元）要高很多。在中国，仅44%的被调查者接受了集中式的平安信息管理流程，全球范围内该比例为51%。IT对企业至关重要IT对企业具有战略性意义期望与现实存在差距IT没有得到应有的重视IT涉及巨大的投资与大风险企业对信息平安的责任监管的需求举例：为什么须要IT治理：

--网上交易平安现状

8COBIT简介COBIT：Control

Objectives

for

Information

and

related

Technology是由信息系统审计与限制学会：ISACA在1996年所公布的限制框架当前版本：目前已经更新至第4.1版COBIT的主要目的及方向：探讨、发展、宣扬权威的、最新的国际化的公认信息技术限制目标以供企业经理、IT专业人员和审计专业人员日常运用COBIT框架：34个IT的流程、四个领域：PO（支配与组织）、AI（获得与实施）、DS（交付与支持）、和ME（监控与评估）

9COBIT：

IT治理框架前提是IT须要传递企业所需的实现其目标的信息推动流程集中与流程全部权将IT划分为34个步骤，这些步骤分属于4个阶段，为每个步骤供应高级别的限制目标供应7个标准，用于定义业务对IT的要求由一套超过200多个具体的限制目标供应支持效果效率完整性保密性牢靠性可用性法规遵从规划获得与执行交付与支持监控

10COBIT涉及领域商业目标及IT治理目标效率应用系统信息基础架构人力交付与支持监控与评估获得与实施信息IT资源CobiT框架效果保密性完整性可用性合规性DS1定义和管理服务水平DS2管理第三方服务DS3性能管理和容量管理DS4确保服务的连续性DS5确保系统安全DS6确定并分配成本DS7教育和培训用户DS8服务台和紧急事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运营管理ME1监控和评价IT绩效ME2监控和评价内部控制ME3确保与法律的符合性ME4提供IT治理P01定义IT战略计划P02定义IT信息架构P03确定技术导向P04定义IT过程/组织和关系P05IT投资管理P06传递管理目标和方向P07IT人力资源管理P08质量管理P09IT风险评估及管理P10项目管理AI1识别自动化解决方案AI2获取并维护应用软件AI3获取并维护技术基础设施AI4保障运营和使用AI5获取IT资源AI6变革管理AI7安装/授权解决方案和变更计划与组织可靠性限制框架

ControlFrameworkSOX法案第404条款要求的IT一般性限制的合规性实践往往接受下列的方法首先是做一次IT一般性限制的现状分析。然后参照COBIT的要求建立公司的IT限制目标以便进行差距分析，并在此基础上找出和确定能涵盖这些限制目标的IT一般性限制的关键限制点。每个关键限制点的限制活动都被清晰地描述和文档化，同时这些限制活动还必需具备可操作性和可检验性，最终形成所谓的IT限制矩阵(ITControlMatrix)。相关公司都必需完成一整套与IT限制相关的文档，即所谓的SOX法案合规性文档，如IT政策、IT限制矩阵、IT限制活动描述、IT限制的测试方法等。随后通过细致扎实的工作落实已被确定的IT限制点，从而使IT限制得到贯彻实施。依据SOX法案第404条款的要求，管理层必需每年对这些限制点进行测试和评估，对测试得出的限制缺陷，则须要增设补救和改进措施，并再次测试。假如在规定的期限内，限制缺陷还是不能得到改正，外部审计师将依据状况，针对限制缺陷和程度发表审计看法。第404条款及COBIT中国的SOX（C-SOX）

及其面临的挑战

《内部控制基本规范》C-SOX 财政部、证监会、审计署、银监会、保监会联合发布发布单位：

自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行执行范围及时间：根据这一基本规范，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。基本标准的目的是加强对上市公司的管理，其内容主要参照美国萨班斯（Sarbanes-Oxley）法案，也称C-SOXC-SOX概述大多数中国企业对IT治理中的架构、流程、标准及需求并不熟悉中国本土缺乏相关的咨询经验许多审计人员对IT审计并不十分熟悉没有规定具体处罚内容，很可能造成有法不依，违法不究，执法不严的情况财务部门、审计部门与IT部门的整合C-SOX所面临的挑战：大多数中国企业对IT治理中的架构、流程、标准及需求并不熟悉中国本土缺乏相关的咨询经验许多审计人员对IT审计并不十分熟悉没有规定具体处罚内容，很可能造成有法不依，违法不究，执法不严的情况财务部门、审计部门与IT部门的整合C-SOX所面临的挑战：

14IT是业务的组成部分IT治理是公司治理的组成部分总结

何迪生DixonHoEmail:dixonho@.hkPhone:86-10-58968079附录什么是SOXISACA的背景ISACA(国际资讯系统审计师协会)是于1969年成立全球会员遍布140多个国家，人数达47,000多名其网址为()ISACA是一个被公认为对资讯系统管理、限制、平安及审计扮演领导角色的国际性组织。ISACA供应全面之会员服务，主办各种国际会议，出版资讯科技管治刊物，开发国际资讯系统审计和限制标准。监管全球性受敬重的国际公认资讯系统审计师(CISA)及国际公认资讯保安经理(CISM)等资格认证。前者从1978年起先至今已获发超过四万多个专业资格，而后者则由2002年起起先已获发超过5200个专业资格。ISACA及CISM的

目标及价值在ISACA创立的三十年来，它已成为一个为信息管理、限制、平安和审计专业设定规范的全球性组织。CISM认证可以用来衡量个人在信息平安领域的管理实力，而不是简洁的实践技巧。越来越多的企业要求或建议自己的员工获得此项认证诸如：CISM成为美国国防部特殊授权的商业认证，并且国防部叮嘱其信息平安部成员通过此认证CISM认证促进了国际化实践，并供应了有效的管理，以确保那些拥有CISM认证的成员具备必需的阅历和学问实现有效的平安管理和询问服务.企业为什么须要ISACA企业支配实施的与信息技术有关的十大要务是：１.运行中的故障２.高成本/低投资回报３.未能解决的对无法干脆限制的实体的依靠性４.信息技术人才问题５.关键系统产生的错误６.难题和事故较多７.缺乏对关键系统的学问８.数据的可管理性９.信息技术策略与商业策略之间的脱节１０.对信息技术运行现状的看法不充分、不精确通过ISACA先进的管理理念及流程，帮助企业解决这些问题。ISACA（）在全球140多个国家拥有超过65000名成员获得公认的IT管理、限制、平安及保证上的全球领先者制定国际信息系统查核和限制标准负责CISA、CISM和CGEIT认证。SecurityMeasurement