IT治理與企業內控

何迪生DixonHo主席｜ISACA國際資訊系統審計協會（北京委員會）副主任｜中國信息化推動聯盟-信息平安專業委員會信息平安及基礎架構總監｜Microsoft微軟大中華區

國際信息系統審計協會ISACA?

ISACA的背景ISACA(國際資訊系統審計師協會)是于1969年成立全球會員遍布140多個國家，人數達47,000多名其網址為()ISACA是一個被公認為對資訊系統管理、限制、平安及審計扮演領導角色的國際性組織。ISACA供應全面之會員服務，主辦各種國際會議，出版資訊科技管治刊物，開發國際資訊系統審計和限制標準。監管全球性受敬重的國際公認資訊系統審計師(CISA)及國際公認資訊保安經理(CISM)等資格認證。前者從1978年起先至今已獲發超過四萬多個專業資格，而后者則由2002年起起先已獲發超過5200個專業資格。書目SOX概述-第404條款及IT治理為什么要進行IT治理什么是IT治理IT治理框架-COBIT中國的SOX（C-SOX）及其面臨的挑戰SOX法案2002年，美國爆發了一系列的財務和管理丑聞，如平穩和世通事務，這些丑聞嚴峻破壞了美國金融證券制度，徹底打擊了投資者對美國資本市場的信念。為了扭轉這一局面，美國國會通過了《2002年公眾公司會計改革和投資者疼惜法案》。該法案由美國參議院銀行委員會主席薩班斯和眾議院金融服務委員會主席奧克斯利聯合提出，又被稱作《2002年薩班斯—奧克斯利法案》(Sarbanes—OxleyAct2002，以下簡稱“SOX法案”)。2002年7月，美國總統布什將此法案簽署為法律。SOX法案共分11章 第1至第6章主要涉及對會計職業及公司行為的監管,包括:建立一個獨立的"公眾公司會計監管委員會"(PublicCompanyAccountingOversightBoard,PCAOB),對上市公司審計進行監管;通過負責合伙人輪換制度以及詢問與審計服務不兼容等提高審計的獨立性;對公司高管人員的行為進行限定以及改善公司治理結構等,以增進公司的報告責任;加強財務報告的披露;通過增加撥款和雇員等來提高SEC的執法實力. 第8至第11章主要是提高對公司高管及白領犯罪的刑事責任,比如,針對安達信銷毀平穩審計檔案事務,特地制訂相關法律,規定了銷毀審計檔案最高可判10年監禁,在聯邦調查及破產事務中銷毀檔案最高可判20年監禁;為強化公司高管層對財務報告的責任,要求公司高管對財務報告的真實性宣誓,并就供應不實財務報告分別設定了10年或20年的刑事責任.

第404條款及

IT治理SOX法案第404條款的合規性實踐，展示了改善IT治理和推斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規性的要求有其特有的局限性，因為其主要關注的是和財務報告相關的信息系統，但是由此產生的方法論和合規性實踐，對IT治理的理論發展和實踐很有借鑒意義SOX法案促進IT治理的完善為什么須要IT治理：在中國，我們的調查顯示44%的被調查者認為他們的信息平安事務與數據開發有關，全球范圍內該比例為16%。預料平均每起信息平安事務造成的經濟損失為982,941.2美元，相對整個亞洲（744,471.2美元）和印度（308,720.9美元）要高很多。在中國，僅44%的被調查者接受了集中式的平安信息管理流程，全球范圍內該比例為51%。IT對企業至關重要IT對企業具有戰略性意義期望與現實存在差距IT沒有得到應有的重視IT涉及巨大的投資與大風險企業對信息平安的責任監管的需求舉例：為什么須要IT治理：

--網上交易平安現狀

8COBIT簡介COBIT：Control

Objectives

for

Information

and

related

Technology是由信息系統審計與限制學會：ISACA在1996年所公布的限制框架當前版本：目前已經更新至第4.1版COBIT的主要目的及方向：探討、發展、宣揚權威的、最新的國際化的公認信息技術限制目標以供企業經理、IT專業人員和審計專業人員日常運用COBIT框架：34個IT的流程、四個領域：PO（支配與組織）、AI（獲得與實施）、DS（交付與支持）、和ME（監控與評估）

9COBIT：

IT治理框架前提是IT須要傳遞企業所需的實現其目標的信息推動流程集中與流程全部權將IT劃分為34個步驟，這些步驟分屬于4個階段，為每個步驟供應高級別的限制目標供應7個標準，用于定義業務對IT的要求由一套超過200多個具體的限制目標供應支持效果效率完整性保密性牢靠性可用性法規遵從規劃獲得與執行交付與支持監控

10COBIT涉及領域商業目標及IT治理目標效率應用系統信息基礎架構人力交付與支持監控與評估獲得與實施信息IT資源CobiT框架效果保密性完整性可用性合規性DS1定義和管理服務水平DS2管理第三方服務DS3性能管理和容量管理DS4確保服務的連續性DS5確保系統安全DS6確定并分配成本DS7教育和培訓用戶DS8服務臺和緊急事件管理DS9配置管理DS10問題管理DS11數據管理DS12物理環境管理DS13運營管理ME1監控和評價IT績效ME2監控和評價內部控制ME3確保與法律的符合性ME4提供IT治理P01定義IT戰略計劃P02定義IT信息架構P03確定技術導向P04定義IT過程/組織和關系P05IT投資管理P06傳遞管理目標和方向P07IT人力資源管理P08質量管理P09IT風險評估及管理P10項目管理AI1識別自動化解決方案AI2獲取并維護應用軟件AI3獲取并維護技術基礎設施AI4保障運營和使用AI5獲取IT資源AI6變革管理AI7安裝/授權解決方案和變更計劃與組織可靠性限制框架

ControlFrameworkSOX法案第404條款要求的IT一般性限制的合規性實踐往往接受下列的方法首先是做一次IT一般性限制的現狀分析。然后參照COBIT的要求建立公司的IT限制目標以便進行差距分析，并在此基礎上找出和確定能涵蓋這些限制目標的IT一般性限制的關鍵限制點。每個關鍵限制點的限制活動都被清晰地描述和文檔化，同時這些限制活動還必需具備可操作性和可檢驗性，最終形成所謂的IT限制矩陣(ITControlMatrix)。相關公司都必需完成一整套與IT限制相關的文檔，即所謂的SOX法案合規性文檔，如IT政策、IT限制矩陣、IT限制活動描述、IT限制的測試方法等。隨后通過細致扎實的工作落實已被確定的IT限制點，從而使IT限制得到貫徹實施。依據SOX法案第404條款的要求，管理層必需每年對這些限制點進行測試和評估，對測試得出的限制缺陷，則須要增設補救和改進措施，并再次測試。假如在規定的期限內，限制缺陷還是不能得到改正，外部審計師將依據狀況，針對限制缺陷和程度發表審計看法。第404條款及COBIT中國的SOX（C-SOX）

及其面臨的挑戰

《內部控制基本規范》C-SOX 財政部、證監會、審計署、銀監會、保監會聯合發布發布單位：

自2009年7月1日起先在上市公司范圍內施行，鼓勵非上市的其他大中型企業執行執行范圍及時間：根據這一基本規范，執行基本規范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的中介機構對內部控制的有效性進行審計。基本標準的目的是加強對上市公司的管理，其內容主要參照美國薩班斯（Sarbanes-Oxley）法案，也稱C-SOXC-SOX概述大多數中國企業對IT治理中的架構、流程、標準及需求并不熟悉中國本土缺乏相關的咨詢經驗許多審計人員對IT審計并不十分熟悉沒有規定具體處罰內容，很可能造成有法不依，違法不究，執法不嚴的情況財務部門、審計部門與IT部門的整合C-SOX所面臨的挑戰：大多數中國企業對IT治理中的架構、流程、標準及需求并不熟悉中國本土缺乏相關的咨詢經驗許多審計人員對IT審計并不十分熟悉沒有規定具體處罰內容，很可能造成有法不依，違法不究，執法不嚴的情況財務部門、審計部門與IT部門的整合C-SOX所面臨的挑戰：

14IT是業務的組成部分IT治理是公司治理的組成部分總結

何迪生DixonHoEmail:dixonho@.hkPhone:86-10-58968079附錄什么是SOXISACA的背景ISACA(國際資訊系統審計師協會)是于1969年成立全球會員遍布140多個國家，人數達47,000多名其網址為()ISACA是一個被公認為對資訊系統管理、限制、平安及審計扮演領導角色的國際性組織。ISACA供應全面之會員服務，主辦各種國際會議，出版資訊科技管治刊物，開發國際資訊系統審計和限制標準。監管全球性受敬重的國際公認資訊系統審計師(CISA)及國際公認資訊保安經理(CISM)等資格認證。前者從1978年起先至今已獲發超過四萬多個專業資格，而后者則由2002年起起先已獲發超過5200個專業資格。ISACA及CISM的

目標及價值在ISACA創立的三十年來，它已成為一個為信息管理、限制、平安和審計專業設定規范的全球性組織。CISM認證可以用來衡量個人在信息平安領域的管理實力，而不是簡潔的實踐技巧。越來越多的企業要求或建議自己的員工獲得此項認證諸如：CISM成為美國國防部特殊授權的商業認證，并且國防部叮囑其信息平安部成員通過此認證CISM認證促進了國際化實踐，并供應了有效的管理，以確保那些擁有CISM認證的成員具備必需的閱歷和學問實現有效的平安管理和詢問服務.企業為什么須要ISACA企業支配實施的與信息技術有關的十大要務是：１.運行中的故障２.高成本/低投資回報３.未能解決的對無法干脆限制的實體的依靠性４.信息技術人才問題５.關鍵系統產生的錯誤６.難題和事故較多７.缺乏對關鍵系統的學問８.數據的可管理性９.信息技術策略與商業策略之間的脫節１０.對信息技術運行現狀的看法不充分、不精確通過ISACA先進的管理理念及流程，幫助企業解決這些問題。ISACA（）在全球140多個國家擁有超過65000名成員獲得公認的IT管理、限制、平安及保證上的全球領先者制定國際信息系統查核和限制標準負責CISA、CISM和CGEIT認證。SecurityMeasurement