IT治理与企业内控

1、精选课件1 IT治理与企业内控治理与企业内控 国际信息系统审计协会国际信息系统审计协会 精选课件2 ISACA的背景 ISACA (国际资讯系统审计师协会)是于1969年成立 全球会员遍布140多个国家，人数达47,000多名 其网址为() ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导 角色的国际性组织。 ISACA提供全面之会员服务，主办各种国际会议，出版资讯科技管治 刊物，开发国际资讯系统审计和控制标准。 监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯 保安经理(CISM)等资格认证。前者从1978年开始至今已获发超过四 万

2、多个专业资格，而后者则由2002年起开始已获发超过5200个专业 资格。 精选课件3 目录 SOX概述-第404条款及IT治理 为什么要进行IT治理 什么是IT治理 IT治理框架-COBIT 中国的SOX（C-SOX）及其面临的挑战 精选课件4 SOX法案 2002年，美国爆发了一系列的财务和管理丑闻，如安然和世通事件，这些丑闻严重破 坏了美国金融证券制度，彻底打击了投资者对美国资本市场的信心。为了扭转这一局 面，美国国会通过了2002年公众公司会计改革和投资者保护法案。该法案由美国 参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被 称作2002年萨班斯奥克斯利法案(

3、SarbanesOxley Act 2002，以下简称 “SOX法案”)。2002年7月，美国总统布什将此法案签署为法律。 SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管, 包括:建立一个独立的公众公司会计监管委员会(Public Company Accounting Oversight Board, PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以及咨询与审计服务不兼 容等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司 的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法能力. 第8至第11章主要是提高对

4、公司高管及白领犯罪的刑事责任, 比如,针对安达信销毁安然审计档案事件,专门制订相关法律,规定了销毁审计档案最高可判10年 监禁,在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责 任,要求公司高管对财务报告的真实性宣誓,并就提供不实财务报告分别设定了10年或20年的刑 事责任. 精选课件5 第404条款及 IT治理 SOX法案第404条款的合规性实践，展示了改善IT治理和 判断IT治理成效的一种有效方法。虽然SOX法案第404条 款合规性的要求有其特有的局限性，因为其主要关注的是 和财务报告相关的信息系统，但是由此产生的方法论和合 规性实践，对IT治理的理论发展和

5、实践很有借鉴意义 SOX法案促进法案促进IT治理的完善治理的完善 精选课件6 为什么需要IT治理： 在中国，我们的调查显示 的被调查者认为他们的 信息安全事件与数据开发有 关，全球范围内该比例为 16%。 预计平均每起信息安全事件 造成的经济损失为 美元，相对整个 亚洲（744,471.2美元）和印 度（308,720.9美元）要高很 多。 在中国，仅的被调查 者采用了集中式的安全信息 管理流程，全球范围内该比 例为51%。 IT对企业至关重要 IT对企业具有战略性意义 期望与现实存在差距 IT没有得到应有的重视 IT涉及巨大的投资与大风险 企业对信息安全的责任 监管的需求 精选课件7 举例：

6、为什么需要IT治理： -网上交易安全现状 精选课件8 COBIT简介 COBIT： Control Objectives for Information and related Technology是由信息系统 审计与控制学会：ISACA在1996年所公布的控制框架 当前版本： 目前已经更新至第4.1版 COBIT的主要目的及方向： 研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以 供企业经理、IT专业人员和审计专业人员日常使用 COBIT框架： 34个IT的流程、四个领域：PO（计划与组织）、AI（获取与实施）、 DS（交付与支持）、和ME（监控与评估） 精选课件9 COBIT：

7、 IT治理框架 前提是IT 需要传递企业所需的实现其 目标的信息 推进流程集中与流程所有权 将IT划分为34个步骤，这些步骤分属 于4个阶段，为每个步骤提供高级别的 控制目标 提供7个标准，用于定义业务对IT的要 求 由一套超过 200多个详细的控制目标 提供支持 效果 效率 完整性 保密性 可靠性 可用性 法规遵从 规划 获取与执行 交付与支持 监控 精选课件10 COBIT涉及领域 商业目标及IT治理目标 效率 应用系统 信息 基础架构 人力 交付与支持 监控与评估 获得与实施 信息 IT资源 CobiT框架 效果 保密性 完整性 可用性 合规性 DS1 定义和管理服务水平 DS2 管理第

8、三方服务 DS3 性能管理和容量管理 DS4 确保服务的连续性 DS5 确保系统安全 DS6 确定并分配成本 DS7 教育和培训用户 DS8 服务台和紧急事件管理 DS9 配置管理 DS10 问题管理 DS11 数据管理 DS12 物理环境管理 DS13 运营管理 ME1 监控和评价IT绩效 ME2 监控和评价内部控制 ME3 确保与法律的符合性 ME4 提供IT治理 P01 定义IT战略计划 P02 定义IT信息架构 P03 确定技术导向 P04 定义IT过程/组织和关系 P05 IT投资管理 P06 传递管理目标和方向 P07 IT人力资源管理 P08 质量管理 P09 IT风险评估及管理

9、 P10 项目管理 AI1 识别自动化解决方案 AI2 获取并维护应用软件 AI3 获取并维护技术基础设施 AI4 保障运营和使用 AI5 获取IT资源 AI6 变革管理 AI7 安装/授权解决方案和变更 计划与组织 可靠性 精选课件11 控制框架 Control Framework 精选课件12 SOX法案第404条款要求的IT一般性控制的合规性实践往往采用下列 的方法 首先是做一次IT一般性控制的现状分析。然后参照COBIT的要求建立公司的IT控制 目标以便进行差距分析，并在此基础上找出和确定能涵盖这些控制目标的IT一般性 控制的关键控制点。 每个关键控制点的控制活动都被清晰地描述和文档化

10、，同时这些控制活动还必须 具备可操作性和可检验性，最终形成所谓的IT控制矩阵(IT Control Matrix)。 相关公司都必须完成一整套与IT控制相关的文档，即所谓的SOX法案合规性文档， 如IT政策、IT控制矩阵、IT控制活动描述、IT控制的测试方法等。随后通过细致扎 实的工作落实已被确定的IT控制点，从而使IT控制得到贯彻实施。 根据SOX法案第404条款的要求，管理层必须每年对这些控制点进行测试和评估， 对测试得出的控制缺陷，则需要增设补救和改进措施，并再次测试。如果在规定 的期限内，控制缺陷还是不能得到改正，外部审计师将根据情况，针对控制缺陷 和程度发表审计意见。 第404条款及

11、COBIT 精选课件13 中国的SOX（C-SOX） 及其面临的挑战 精选课件14 总结 精选课件15 精选课件16 附录 精选课件17 什么是SOX 精选课件18 ISACA的背景 ISACA (国际资讯系统审计师协会)是于1969年成立 全球会员遍布140多个国家，人数达47,000多名 其网址为() ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导 角色的国际性组织。 ISACA提供全面之会员服务，主办各种国际会议，出版资讯科技管治 刊物，开发国际资讯系统审计和控制标准。 监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯 保安经

12、理(CISM)等资格认证。前者从1978年开始至今已获发超过四 万多个专业资格，而后者则由2002年起开始已获发超过5200个专业 资格。 精选课件19 ISACA及CISM的 目标及价值 在ISACA创立的三十年来，它已成为一个为信息管理、控制、安全 和审计专业设定规范的全球性组织。 CISM认证可以用来衡量个人在信息安全领域的管理能力，而不是 简单的实践技巧。 越来越多的企业要求或建议自己的员工获得此项认证 诸如：CISM成为美国国防部特别授权的商业认证，并且国防部 命 令其信息安全部成员通过此认证 CISM认证促进了国际化实践，并提供了有效的管理，以确保那些 拥有CISM认证的成员具备必

13、需的经验和知识实现有效的安全管理和咨 询服务. 精选课件20 企业为什么需要ISACA 企业 计划实施的与信息技术有关的十 大要务是： . 运行中的故障 . 高成本/低投资回报 . 未能解决的对无法直接控制的实体的依赖 性 . 信息技术人才问题 . 关键系统产生的错误 . 难题和事故较多 . 缺乏对关键系统的知识 . 数据的可管理性 . 信息技术策略与商业策略之间的脱节 . 对信息技术运行现状的看法不充分、不 准确 通过ISACA先进的管理理念及 流程，帮助企业解决这些问题。 ISACA（ ）在全球 140 多个国家拥有超过65000 名成 员 获得公认的IT管理、控制、安全及 保证上的全球领先者 制定国际信息系统查核和控制标准 负责CISA、CISM 和CGEIT 认证。 精选课件21 Security Measurement Evolution Initiate Stakeholder Security P