IT治理与企业内控.ppt

IT治理与企业内控 何迪生 Dixon Ho 主席 ISACA 国际资讯系统审计协会（北京委员会） 副主任中国信息化推进联盟 - 信息安全专业委员会 信息安全及基础架构总监Microsoft 微软大中华区 国际信息系统审计协会 ISACA ,ISACA的背景,ISACA (国际资讯系统审计师协会)是于1969年成立 全球会员遍布140多个国家，人数达47,000多名 其网址为() ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。 ISACA提供全面之会员服务，主办各种国际会议，出版资讯科技管治刊物，开发国际资讯系统审计和控制标准。 监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯保安经理(CISM)等资格认证。前者从1978年开始至今已获发超过四万多个专业资格，而后者则由2002年起开始已获发超过5200个专业资格。,目录,SOX概述-第404条款及IT治理 为什么要进行IT治理 什么是IT治理 IT治理框架-COBIT 中国的SOX（C-SOX）及其面临的挑战,SOX法案,2002年，美国爆发了一系列的财务和管理丑闻，如安然和世通事件，这些丑闻严重破坏了美国金融证券制度，彻底打击了投资者对美国资本市场的信心。为了扭转这一局面，美国国会通过了2002年公众公司会计改革和投资者保护法案。该法案由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被称作2002年萨班斯奥克斯利法案(SarbanesOxley Act 2002，以下简称“SOX法案”)。2002年7月，美国总统布什将此法案签署为法律。 SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管, 包括:建立一个独立的“公众公司会计监管委员会“(Public Company Accounting Oversight Board, PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法能力. 第8至第11章主要是提高对公司高管及白领犯罪的刑事责任, 比如,针对安达信销毁安然审计档案事件,专门制订相关法律,规定了销毁审计档案最高可判10年监禁,在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就提供不实财务报告分别设定了10年或20年的刑事责任.,第404条款及 IT治理,SOX法案第404条款的合规性实践，展示了改善IT治理和判断IT治理成效的一种有效方法。虽然SOX法案第404条款合规性的要求有其特有的局限性，因为其主要关注的是和财务报告相关的信息系统，但是由此产生的方法论和合规性实践，对IT治理的理论发展和实践很有借鉴意义 SOX法案促进IT治理的完善,为什么需要IT治理：,在中国，我们的调查显示44%的被调查者认为他们的信息安全事件与数据开发有关，全球范围内该比例为16%。,预计平均每起信息安全事件造成的经济损失为982,941.2美元，相对整个亚洲（744,471.2美元）和印度（308,720.9美元）要高很多。,在中国，仅44%的被调查者采用了集中式的安全信息管理流程，全球范围内该比例为51%。,IT对企业至关重要 IT对企业具有战略性意义 期望与现实存在差距 IT没有得到应有的重视 IT涉及巨大的投资与大风险 企业对信息安全的责任 监管的需求,举例：为什么需要IT治理： -网上交易安全现状,8,COBIT简介,COBIT： Control Objectives for Information and related Technology是由信息系统审计与控制学会：ISACA在1996年所公布的控制框架 当前版本： 目前已经更新至第4.1版 COBIT的主要目的及方向： 研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用 COBIT框架： 34个IT的流程、四个领域：PO（计划与组织）、AI（获取与实施）、DS（交付与支持）、和ME（监控与评估）,9,COBIT： IT治理框架,前提是IT 需要传递企业所需的实现其目标的信息 推进流程集中与流程所有权 将IT划分为34个步骤，这些步骤分属于4个阶段，为每个步骤提供高级别的控制目标 提供7个标准，用于定义业务对IT的要求 由一套超过 200多个详细的控制目标提供支持,效果 效率 完整性 保密性 可靠性 可用性 法规遵从,规划 获取与执行 交付与支持 监控,10,COBIT涉及领域,控制框架 Control Framework,SOX法案第404条款要求的IT一般性控制的合规性实践往往采用下列的方法 首先是做一次IT一般性控制的现状分析。然后参照COBIT的要求建立公司的IT控制目标以便进行差距分析，并在此基础上找出和确定能涵盖这些控制目标的IT一般性控制的关键控制点。 每个关键控制点的控制活动都被清晰地描述和文档化，同时这些控制活动还必须具备可操作性和可检验性，最终形成所谓的IT控制矩阵(IT Control Matrix)。 相关公司都必须完成一整套与IT控制相关的文档，即所谓的SOX法案合规性文档，如IT政策、IT控制矩阵、IT控制活动描述、IT控制的测试方法等。随后通过细致扎实的工作落实已被确定的IT控制点，从而使IT控制得到贯彻实施。 根据SOX法案第404条款的要求，管理层必须每年对这些控制点进行测试和评估，对测试得出的控制缺陷，则需要增设补救和改进措施，并再次测试。如果在规定的期限内，控制缺陷还是不能得到改正，外部审计师将根据情况，针对控制缺陷和程度发表审计意见。,第404条款及COBIT,中国的SOX（C-SOX） 及其面临的挑战,14,IT是业务的组成部分 IT治理是公司治理的组成部分,总结,何迪生 Dixon Ho Email: .hk Phone: 86-10-58968079,附录,什么是SOX,ISACA的背景,ISACA (国际资讯系统审计师协会)是于1969年成立 全球会员遍布140多个国家，人数达47,000多名 其网址为() ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。 ISACA提供全面之会员服务，主办各种国际会议，出版资讯科技管治刊物，开发国际资讯系统审计和控制标准。 监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯保安经理(CISM)等资格认证。前者从1978年开始至今已获发超过四万多个专业资格，而后者则由2002年起开始已获发超过5200个专业资格。,ISACA及CISM的 目标及价值,在ISACA创立的三十年来，它已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。 CISM认证可以用来衡量个人在信息安全领域的管理能力，而不是简单的实践技巧。 越来越多的企业要求或建议自己的员工获得此项认证 诸如：CISM成为美国国防部特别授权的商业认证，并且国防部 命令其信息安全部成员通过此认证 CISM认证促进了国际化实践，并提供了有效的管理，以确保那些拥有CISM认证的成员具备必需的经验和知识实现有效的安全管理和咨询服务.,企业为什么需要ISACA,企业 计划实施的与信息技术有关的十大要务是： . 运行中的故障 . 高成本/低投资回报 . 未能解决的对无法直接控制的实体的依赖性 . 信息技术人才问题 . 关键系统产生的错误 . 难题和事故较多 . 缺乏对关键系统的知识 . 数据的可管理性 . 信息技术策略与商业策略之间的脱节 . 对信息技术运行现状的看法不充分、不准确 通过ISACA先进的管理理念及流程，帮助企业解决这些问题。,ISACA（ ）在全球140 多个国家拥有超过65000 名成员 获得公认的IT管理、控制、安全及保证上的全球领先者 制定国际信息系统查核和控制标准 负责CISA、CISM 和CGEIT 认证。,Security Measurement,Evolution,Initiate Stakeholder Security Program,Security Archi