萨班斯法案与IT控制.pptVIP

* Use CobiT* as Guide Maps to COSO elements Control Environment, Control Activities, Risk Assessment, Information Communication, Monitoring Four Domains – the names change, but they’re the same Strategy Planning, Acquisition Implementation, Delivery Support, Monitoring Current focus on 12 key objectives (of 34) Two Levels to Consider Company: program-level general controls  (planning monitoring) Activity: implementation, delivery, and support PCAOB的第2号审计标准中明确：管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架，来评估公司财务报告内部控制的有效性； 在美国，这个适宜框架就是COSO框架。当然，其他国家也公布了一些适宜的框架，如加拿大的COCO框架、英国的Cadbury报告、国际内部审计师协会（IIA）的SAC、信息系统审计与控制协会（ISACA）的Cobit等，都与COSO框架紧密相关； 标准还指出，尽管不同的框架可能没有精确的含有与COSO一样的组成要素，但他们所含有的组成部分涵盖了COSO的所有常规主题。因此，如果管理层运用了区别于COSO的适宜框架时，审计师应以合理的方式标准中的概念和方针； 也就是说，任何控制框架，只要满足PCAOB的标准，就可以被接受使用，但在审计标准的执行和报告格式上要基于COSO框架，因此也被称作COSO报告。 符合PCAOB审计标准的控制框架 COSO内部控制标准 COSO的核心内容 COSO内部控制标准 内部控制是为达到目标提供合理保证而设计的过程： 提供可靠财务报告；遵循法律法规；提高经营效率效果 COSO报告指出内部控制本身不是目的，而是实现目标的手段 三类目标： 经营效率与效果（Operational efficiency and effectiveness） 财务报告可靠（Financial reporting reliability） 遵纪守法（Compliance with laws and regulations 五项要素： 控制环境（Control environment）、风险评估（Risk assessment）、控制活动（Control activities）、信息与沟通（InformationCommunication）和监测（Monitoring） COSO框架的5项构成要素 COSO内部控制标准 确定内部控制是否被充分设计、执行、有效和适应的过程 确保相关信息被识别并及时沟通的过程 评估影响组织绩效的内外部因素 一个组织的控制意识，“高层设定的基调” 有助于确保那些识别用来管理风险的活动被及时执行的策略和程序 背景介绍 SOX法案简介 SOX法案对IT的影响 COSO内部控制标准 CobiT IT控制框架 SOX符合性实施过程 总结 COSO只提供了一般性的指南，并没有特别针对IT风险管理和控制，因此，具体IT活动的实施还需要其他的补充标准作为指导 CobiT － Control Objectives for Information and related Technology 是一套将IT与业务需求联系在一起的IT过程及控制框架 ISO/IEC17799:2000 / BS7799 是实施信息安全管理的一套最佳实践 ISO/IEC TR 13335 － Guidelines for the Management of IT Security 专注于IT安全计划、实施和维护的话题 ITIL －IT Infrastructure Library 是一套IT服务管理的最佳实践 BS-15000 其他（Common Criteria、SSE-CMM等） IT控制框架 CobiT IT控制框架 IT Considerations in Control Environment Systems planning Governance Enterprise policies Operating style IT General Controls Systems Security / Access C