IT治理與企業(yè)內(nèi)控

IT治理與企業(yè)內(nèi)控

何迪生DixonHo主席｜ISACA國(guó)際資訊系統(tǒng)審計(jì)協(xié)會(huì)（北京委員會(huì)）副主任｜中國(guó)信息化推動(dòng)聯(lián)盟-信息平安專業(yè)委員會(huì)信息平安及基礎(chǔ)架構(gòu)總監(jiān)｜Microsoft微軟大中華區(qū)

國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA?

ISACA的背景ISACA(國(guó)際資訊系統(tǒng)審計(jì)師協(xié)會(huì))是于1969年成立全球會(huì)員遍布140多個(gè)國(guó)家，人數(shù)達(dá)47,000多名其網(wǎng)址為()ISACA是一個(gè)被公認(rèn)為對(duì)資訊系統(tǒng)管理、限制、平安及審計(jì)扮演領(lǐng)導(dǎo)角色的國(guó)際性組織。ISACA供應(yīng)全面之會(huì)員服務(wù)，主辦各種國(guó)際會(huì)議，出版資訊科技管治刊物，開發(fā)國(guó)際資訊系統(tǒng)審計(jì)和限制標(biāo)準(zhǔn)。監(jiān)管全球性受敬重的國(guó)際公認(rèn)資訊系統(tǒng)審計(jì)師(CISA)及國(guó)際公認(rèn)資訊保安經(jīng)理(CISM)等資格認(rèn)證。前者從1978年起先至今已獲發(fā)超過四萬多個(gè)專業(yè)資格，而后者則由2002年起起先已獲發(fā)超過5200個(gè)專業(yè)資格。書目SOX概述-第404條款及IT治理為什么要進(jìn)行IT治理什么是IT治理IT治理框架-COBIT中國(guó)的SOX（C-SOX）及其面臨的挑戰(zhàn)SOX法案2002年，美國(guó)爆發(fā)了一系列的財(cái)務(wù)和管理丑聞，如平穩(wěn)和世通事務(wù)，這些丑聞嚴(yán)峻破壞了美國(guó)金融證券制度，徹底打擊了投資者對(duì)美國(guó)資本市場(chǎng)的信念。為了扭轉(zhuǎn)這一局面，美國(guó)國(guó)會(huì)通過了《2002年公眾公司會(huì)計(jì)改革和投資者疼惜法案》。該法案由美國(guó)參議院銀行委員會(huì)主席薩班斯和眾議院金融服務(wù)委員會(huì)主席奧克斯利聯(lián)合提出，又被稱作《2002年薩班斯—奧克斯利法案》(Sarbanes—OxleyAct2002，以下簡(jiǎn)稱“SOX法案”)。2002年7月，美國(guó)總統(tǒng)布什將此法案簽署為法律。SOX法案共分11章 第1至第6章主要涉及對(duì)會(huì)計(jì)職業(yè)及公司行為的監(jiān)管,包括:建立一個(gè)獨(dú)立的"公眾公司會(huì)計(jì)監(jiān)管委員會(huì)"(PublicCompanyAccountingOversightBoard,PCAOB),對(duì)上市公司審計(jì)進(jìn)行監(jiān)管;通過負(fù)責(zé)合伙人輪換制度以及詢問與審計(jì)服務(wù)不兼容等提高審計(jì)的獨(dú)立性;對(duì)公司高管人員的行為進(jìn)行限定以及改善公司治理結(jié)構(gòu)等,以增進(jìn)公司的報(bào)告責(zé)任;加強(qiáng)財(cái)務(wù)報(bào)告的披露;通過增加撥款和雇員等來提高SEC的執(zhí)法實(shí)力. 第8至第11章主要是提高對(duì)公司高管及白領(lǐng)犯罪的刑事責(zé)任,比如,針對(duì)安達(dá)信銷毀平穩(wěn)審計(jì)檔案事務(wù),特地制訂相關(guān)法律,規(guī)定了銷毀審計(jì)檔案最高可判10年監(jiān)禁,在聯(lián)邦調(diào)查及破產(chǎn)事務(wù)中銷毀檔案最高可判20年監(jiān)禁;為強(qiáng)化公司高管層對(duì)財(cái)務(wù)報(bào)告的責(zé)任,要求公司高管對(duì)財(cái)務(wù)報(bào)告的真實(shí)性宣誓,并就供應(yīng)不實(shí)財(cái)務(wù)報(bào)告分別設(shè)定了10年或20年的刑事責(zé)任.

第404條款及

IT治理SOX法案第404條款的合規(guī)性實(shí)踐，展示了改善IT治理和推斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規(guī)性的要求有其特有的局限性，因?yàn)槠渲饕P(guān)注的是和財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)，但是由此產(chǎn)生的方法論和合規(guī)性實(shí)踐，對(duì)IT治理的理論發(fā)展和實(shí)踐很有借鑒意義SOX法案促進(jìn)IT治理的完善為什么須要IT治理：在中國(guó)，我們的調(diào)查顯示44%的被調(diào)查者認(rèn)為他們的信息平安事務(wù)與數(shù)據(jù)開發(fā)有關(guān)，全球范圍內(nèi)該比例為16%。預(yù)料平均每起信息平安事務(wù)造成的經(jīng)濟(jì)損失為982,941.2美元，相對(duì)整個(gè)亞洲（744,471.2美元）和印度（308,720.9美元）要高很多。在中國(guó)，僅44%的被調(diào)查者接受了集中式的平安信息管理流程，全球范圍內(nèi)該比例為51%。IT對(duì)企業(yè)至關(guān)重要IT對(duì)企業(yè)具有戰(zhàn)略性意義期望與現(xiàn)實(shí)存在差距IT沒有得到應(yīng)有的重視IT涉及巨大的投資與大風(fēng)險(xiǎn)企業(yè)對(duì)信息平安的責(zé)任監(jiān)管的需求舉例：為什么須要IT治理：

--網(wǎng)上交易平安現(xiàn)狀

8COBIT簡(jiǎn)介COBIT：Control

Objectives

for

Information

and

related

Technology是由信息系統(tǒng)審計(jì)與限制學(xué)會(huì)：ISACA在1996年所公布的限制框架當(dāng)前版本：目前已經(jīng)更新至第4.1版COBIT的主要目的及方向：探討、發(fā)展、宣揚(yáng)權(quán)威的、最新的國(guó)際化的公認(rèn)信息技術(shù)限制目標(biāo)以供企業(yè)經(jīng)理、IT專業(yè)人員和審計(jì)專業(yè)人員日常運(yùn)用COBIT框架：34個(gè)IT的流程、四個(gè)領(lǐng)域：PO（支配與組織）、AI（獲得與實(shí)施）、DS（交付與支持）、和ME（監(jiān)控與評(píng)估）

9COBIT：

IT治理框架前提是IT須要傳遞企業(yè)所需的實(shí)現(xiàn)其目標(biāo)的信息推動(dòng)流程集中與流程全部權(quán)將IT劃分為34個(gè)步驟，這些步驟分屬于4個(gè)階段，為每個(gè)步驟供應(yīng)高級(jí)別的限制目標(biāo)供應(yīng)7個(gè)標(biāo)準(zhǔn)，用于定義業(yè)務(wù)對(duì)IT的要求由一套超過200多個(gè)具體的限制目標(biāo)供應(yīng)支持效果效率完整性保密性牢靠性可用性法規(guī)遵從規(guī)劃獲得與執(zhí)行交付與支持監(jiān)控

10COBIT涉及領(lǐng)域商業(yè)目標(biāo)及IT治理目標(biāo)效率應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人力交付與支持監(jiān)控與評(píng)估獲得與實(shí)施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1定義和管理服務(wù)水平DS2管理第三方服務(wù)DS3性能管理和容量管理DS4確保服務(wù)的連續(xù)性DS5確保系統(tǒng)安全DS6確定并分配成本DS7教育和培訓(xùn)用戶DS8服務(wù)臺(tái)和緊急事件管理DS9配置管理DS10問題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運(yùn)營(yíng)管理ME1監(jiān)控和評(píng)價(jià)IT績(jī)效ME2監(jiān)控和評(píng)價(jià)內(nèi)部控制ME3確保與法律的符合性ME4提供IT治理P01定義IT戰(zhàn)略計(jì)劃P02定義IT信息架構(gòu)P03確定技術(shù)導(dǎo)向P04定義IT過程/組織和關(guān)系P05IT投資管理P06傳遞管理目標(biāo)和方向P07IT人力資源管理P08質(zhì)量管理P09IT風(fēng)險(xiǎn)評(píng)估及管理P10項(xiàng)目管理AI1識(shí)別自動(dòng)化解決方案AI2獲取并維護(hù)應(yīng)用軟件AI3獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4保障運(yùn)營(yíng)和使用AI5獲取IT資源AI6變革管理AI7安裝/授權(quán)解決方案和變更計(jì)劃與組織可靠性限制框架

ControlFrameworkSOX法案第404條款要求的IT一般性限制的合規(guī)性實(shí)踐往往接受下列的方法首先是做一次IT一般性限制的現(xiàn)狀分析。然后參照COBIT的要求建立公司的IT限制目標(biāo)以便進(jìn)行差距分析，并在此基礎(chǔ)上找出和確定能涵蓋這些限制目標(biāo)的IT一般性限制的關(guān)鍵限制點(diǎn)。每個(gè)關(guān)鍵限制點(diǎn)的限制活動(dòng)都被清晰地描述和文檔化，同時(shí)這些限制活動(dòng)還必需具備可操作性和可檢驗(yàn)性，最終形成所謂的IT限制矩陣(ITControlMatrix)。相關(guān)公司都必需完成一整套與IT限制相關(guān)的文檔，即所謂的SOX法案合規(guī)性文檔，如IT政策、IT限制矩陣、IT限制活動(dòng)描述、IT限制的測(cè)試方法等。隨后通過細(xì)致扎實(shí)的工作落實(shí)已被確定的IT限制點(diǎn)，從而使IT限制得到貫徹實(shí)施。依據(jù)SOX法案第404條款的要求，管理層必需每年對(duì)這些限制點(diǎn)進(jìn)行測(cè)試和評(píng)估，對(duì)測(cè)試得出的限制缺陷，則須要增設(shè)補(bǔ)救和改進(jìn)措施，并再次測(cè)試。假如在規(guī)定的期限內(nèi)，限制缺陷還是不能得到改正，外部審計(jì)師將依據(jù)狀況，針對(duì)限制缺陷和程度發(fā)表審計(jì)看法。第404條款及COBIT中國(guó)的SOX（C-SOX）

及其面臨的挑戰(zhàn)

《內(nèi)部控制基本規(guī)范》C-SOX 財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布發(fā)布單位：

自2009年7月1日起先在上市公司范圍內(nèi)施行，鼓勵(lì)非上市的其他大中型企業(yè)執(zhí)行執(zhí)行范圍及時(shí)間：根據(jù)這一基本規(guī)范，執(zhí)行基本規(guī)范的上市公司，應(yīng)當(dāng)對(duì)本公司內(nèi)部控制的有效性進(jìn)行自我評(píng)價(jià)，披露年度自我評(píng)價(jià)報(bào)告，并可聘請(qǐng)具有證券、期貨業(yè)務(wù)資格的中介機(jī)構(gòu)對(duì)內(nèi)部控制的有效性進(jìn)行審計(jì)?；緲?biāo)準(zhǔn)的目的是加強(qiáng)對(duì)上市公司的管理，其內(nèi)容主要參照美國(guó)薩班斯（Sarbanes-Oxley）法案，也稱C-SOXC-SOX概述大多數(shù)中國(guó)企業(yè)對(duì)IT治理中的架構(gòu)、流程、標(biāo)準(zhǔn)及需求并不熟悉中國(guó)本土缺乏相關(guān)的咨詢經(jīng)驗(yàn)許多審計(jì)人員對(duì)IT審計(jì)并不十分熟悉沒有規(guī)定具體處罰內(nèi)容，很可能造成有法不依，違法不究，執(zhí)法不嚴(yán)的情況財(cái)務(wù)部門、審計(jì)部門與IT部門的整合C-SOX所面臨的挑戰(zhàn)：大多數(shù)中國(guó)企業(yè)對(duì)IT治理中的架構(gòu)、流程、標(biāo)準(zhǔn)及需求并不熟悉中國(guó)本土缺乏相關(guān)的咨詢經(jīng)驗(yàn)許多審計(jì)人員對(duì)IT審計(jì)并不十分熟悉沒有規(guī)定具體處罰內(nèi)容，很可能造成有法不依，違法不究，執(zhí)法不嚴(yán)的情況財(cái)務(wù)部門、審計(jì)部門與IT部門的整合C-SOX所面臨的挑戰(zhàn)：

14IT是業(yè)務(wù)的組成部分IT治理是公司治理的組成部分總結(jié)

何迪生DixonHoEmail:dixonho@.hkPhone:86-10-58968079附錄什么是SOXISACA的背景ISACA(國(guó)際資訊系統(tǒng)審計(jì)師協(xié)會(huì))是于1969年成立全球會(huì)員遍布140多個(gè)國(guó)家，人數(shù)達(dá)47,000多名其網(wǎng)址為()ISACA是一個(gè)被公認(rèn)為對(duì)資訊系統(tǒng)管理、限制、平安及審計(jì)扮演領(lǐng)導(dǎo)角色的國(guó)際性組織。ISACA供應(yīng)全面之會(huì)員服務(wù)，主辦各種國(guó)際會(huì)議，出版資訊科技管治刊物，開發(fā)國(guó)際資訊系統(tǒng)審計(jì)和限制標(biāo)準(zhǔn)。監(jiān)管全球性受敬重的國(guó)際公認(rèn)資訊系統(tǒng)審計(jì)師(CISA)及國(guó)際公認(rèn)資訊保安經(jīng)理(CISM)等資格認(rèn)證。前者從1978年起先至今已獲發(fā)超過四萬多個(gè)專業(yè)資格，而后者則由2002年起起先已獲發(fā)超過5200個(gè)專業(yè)資格。ISACA及CISM的

目標(biāo)及價(jià)值在ISACA創(chuàng)立的三十年來，它已成為一個(gè)為信息管理、限制、平安和審計(jì)專業(yè)設(shè)定規(guī)范的全球性組織。CISM認(rèn)證可以用來衡量個(gè)人在信息平安領(lǐng)域的管理實(shí)力，而不是簡(jiǎn)潔的實(shí)踐技巧。越來越多的企業(yè)要求或建議自己的員工獲得此項(xiàng)認(rèn)證諸如：CISM成為美國(guó)國(guó)防部特殊授權(quán)的商業(yè)認(rèn)證，并且國(guó)防部叮囑其信息平安部成員通過此認(rèn)證CISM認(rèn)證促進(jìn)了國(guó)際化實(shí)踐，并供應(yīng)了有效的管理，以確保那些擁有CISM認(rèn)證的成員具備必需的閱歷和學(xué)問實(shí)現(xiàn)有效的平安管理和詢問服務(wù).企業(yè)為什么須要ISACA企業(yè)支配實(shí)施的與信息技術(shù)有關(guān)的十大要?jiǎng)?wù)是：１.運(yùn)行中的故障２.高成本/低投資回報(bào)３.未能解決的對(duì)無法干脆限制的實(shí)體的依靠性４.信息技術(shù)人才問題５.關(guān)鍵系統(tǒng)產(chǎn)生的錯(cuò)誤６.難題和事故較多７.缺乏對(duì)關(guān)鍵系統(tǒng)的學(xué)問８.數(shù)據(jù)的可管理性９.信息技術(shù)策略與商業(yè)策略之間的脫節(jié)１０.對(duì)信息技術(shù)運(yùn)行現(xiàn)狀的看法不充分、不精確通過ISACA先進(jìn)的管理理念及流程，幫助企業(yè)解決這些問題。ISACA（）在全球140多個(gè)國(guó)家擁有超過65000名成員獲得公認(rèn)的IT管理、限制、平安及保證上的全球領(lǐng)先者制定國(guó)際信息系統(tǒng)查核和限制標(biāo)準(zhǔn)負(fù)責(zé)CISA、CISM和CGEIT認(rèn)證。SecurityMeasurement