基于CobiT 与信息系统内部控制及审计.docVIP

基于CobiT的信息系统内部控制及审计作者：王德福? ? 2008-12-2 9:16:57? ? ? 来源：青海油田公司审计处 ??? 基于信息系统的重要性及IT挑战，产生了对信息系统进行控制和审计的需求，即信息系统内部控制和信息系统审计。面对信息系统审计具有的专业性、技术性和复杂性，信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准---CobiT，即信息及相关技术控制目标。这样以CobiT为基础进行信息系统控制和审计成为了可能。 ? 一、信息系统内部控制、审计的理论框架 ? ??? 企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。IT控制所关注的对象是企业IT资产的整个运维状况，它与整个企业的内部控制应该是子集与全集的关系。COSO通常作为企业的整体内部控制框架，CobiT则是通用的IT控制框架。COSO框架已广为人知，在此主要介绍CobiT理论框架。 ? 1、CobiT简介 ??? CobiT---信息及相关技术控制目标，它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准，目前已经更新至第四版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来，形成一个三维的体系结构（图1）。其中，信息准则维集中反映了企业使用IT的战略目标，包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面。IT资源维描述了IT治理过程的主要对象，有人员、基础设施、信息、应用系统等4类。IT过程维是对信息及相关资源进行规划与处理的过程，从信息系统生命周期的4个域确定了34个信息技术处理过程，每个处理过程包括详细的控制目标（215个）和与控制目标相联系的审计指南。CobiT框架从整体上把企业对IT标准的要求和对IT资源的需求紧密地融入到各个IT过程中。从CobiT的组成成分来看，不仅有管理指南，更有审计指南和具体的控制目标。管理指南提供了管理工具，对IT业务活动进行有效控制，以使IT与业务活动保持一致，并通过传送组织所需信息而使业务活动得以进行。管理指南给出了度量信息系统全生命周期各过程安全、可靠与有效的指标体系，并定义了为管理者提供评估准则的度量模型，指导企业进行自我评价和选择。 ????控制目标按照系统生命周期划分为4个域：规划与组织(PO)、获取与实施(AI)、交付与支持(DS)、监控(M)；域目标按34个IT过程进行细分，根据每个过程所涉及的系统资源，确定出高层次的控制目标；针对每个IT过程，进一步划分成若干任务，确定具体的控制目标，共215个。针对这些具体控制目标给出了详细的系统管理策略，包括应采取何种措施及要注意的事项等。这种三层架构的控制目标体系使系统管理目标更加明确、可操作性更强。审计指南给出了IT审计的一般方法和要求，而且根据CobiT的框架，针对信息系统34个高层次控制目标建议了相应的审计步骤，为信息系统审计师具体检验和评价各IT过程是否符合215个具体控制目标给出了详细的审计指南，并指出了各控制目标未达到时会带来的风险及改进控制的建议。它为信息系统审计师进行信息系统控制审计及提出改进系统控制建议提供有用且方便的工具。 ??? CobiT是一套专供企业经营者、使用者、IT专家、审计员与安全人员来强化和评估IT管理和控制的规范，使IT管理工作简单化、具备良好的可操作性。CobiT从其适用范围、内容等方面具备作为一个信息系统内部控制、审计标准的条件。 ? 2、CobiT与COSO之间的关系 ??? COSO没有明确IT内部控制的目标和相应的控制活动的需求，同样PCAOB审计准则也没有特别指出哪些IT内部控制目标和控制活动是必需包括的内容；信息系统内部控制是企业整体内部控制的有机组成部分，必须符合COSO框架；信息系统内部控制及审计具有其专业性、技术性和复杂性。为解决这个问题，IT治理学会(ITGI)2004年颁布了CobiT中与SOX法案第404条条款相关的IT控制目标。因此，可以这样理解：COSO强调内部控制是一个程序，突出了保证财务报告可靠性这一目标，而CobiT将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。因此，通过有效地应用CobiT框架可帮助企业来达到COSO的监控要求。CobiT不仅提供了信息系统控制目标和IT标准，而且提供了信息系统的审计指南。CobiT对COSO的遵从性。图2是SOX与CobiT控制目标以及COSO五层内控框架的对应关系，与SOX配套的Co