IT治理与公司内控.pptVIP

2009. Information Systems Audit and Control Association. All Rights Reserved. IT治理与企业内控  何迪生 Dixon Ho 主席 ｜ISACA 国际资讯系统审计协会（北京委员会） 副主任｜中国信息化推进联盟 - 信息安全专业委员会 信息安全及基础架构总监｜Microsoft 微软大中华区 国际信息系统审计协会 ISACA ? ISACA的背景 ISACA (国际资讯系统审计师协会)是于1969年成立 全球会员遍布140多个国家，人数达47,000多名 其网址为() ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。 ISACA提供全面之会员服务，主办各种国际会议，出版资讯科技管治刊物，开发国际资讯系统审计和控制标准。 监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯保安经理(CISM)等资格认证。前者从1978年开始至今已获发超过四万多个专业资格，而后者则由2002年起开始已获发超过5200个专业资格。 目录 SOX概述-第404条款及IT治理 为什么要进行IT治理 什么是IT治理 IT治理框架-COBIT 中国的SOX（C-SOX）及其面临的挑战 SOX法案 2002年，美国爆发了一系列的财务和管理丑闻，如安然和世通事件，这些丑闻严重破坏了美国金融证券制度，彻底打击了投资者对美国资本市场的信心。为了扭转这一局面，美国国会通过了《2002年公众公司会计改革和投资者保护法案》。该法案由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被称作《2002年萨班斯—奥克斯利法案》(Sarbanes—Oxley Act 2002，以下简称“SOX法案”)。2002年7月，美国总统布什将此法案签署为法律。 SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管, 包括:建立一个独立的公众公司会计监管委员会(Public Company Accounting Oversight Board, PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法能力. 第8至第11章主要是提高对公司高管及白领犯罪的刑事责任, 比如,针对安达信销毁安然审计档案事件,专门制订相关法律,规定了销毁审计档案最高可判10年监禁,在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就提供不实财务报告分别设定了10年或20年的刑事责任.  第404条款及IT治理 SOX法案第404条款的合规性实践，展示了改善IT治理和判断IT治理成效的一种有效方法。虽然SOX法案第404条款合规性的要求有其特有的局限性，因为其主要关注的是和财务报告相关的信息系统，但是由此产生的方法论和合规性实践，对IT治理的理论发展和实践很有借鉴意义 SOX法案促进IT治理的完善 为什么需要IT治理： 在中国，我们的调查显示44%的被调查者认为他们的信息安全事件与数据开发有关，全球范围内该比例为16%。 预计平均每起信息安全事件造成的经济损失为982,941.2美元，相对整个亚洲（744,471.2美元）和印度（308,720.9美元）要高很多。 在中国，仅44%的被调查者采用了集中式的安全信息管理流程，全球范围内该比例为51%。 IT对企业至关重要 IT对企业具有战略性意义 期望与现实存在差距 IT没有得到应有的重视 IT涉及巨大的投资与大风险 企业对信息安全的责任 监管的需求 举例：为什么需要IT治理： --网上交易安全现状 * COBIT简介 COBIT： Control?Objectives?for?Information?and?related?Technology是由信息系统审计与控制学会：ISACA在1996年所公布的控制框架 当前版本： 目前已经更新至第4.1版 COBIT的主要目的及方向： 研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用 COBIT框架： 34个IT的流程、四个领域：PO（计划与组织）、AI（获取与实施）、DS（交付与支持）、和ME（监控与评估） * COBIT： IT治理框架 前提是IT 需要传递企业所需的实现其目标的信息 推进流程集中与流程所有权 将IT划分为34个步骤，这些步骤分属于4