IT治理与企业内控.ppt

IT治理与企业内控

何迪生DixonHo

主席｜ISACA国际资讯系统审计协会〔北京委员会〕

副主任｜中国信息化推进联盟-信息平安专业委员会

信息平安及根底架构总监｜Microsoft微软大中华区

国际信息系统审计协会ISACA?;ISACA的背景;目录;SOX法案;第404条款及

IT治理;为什么需要IT治理：;举例：为什么需要IT治理：

--网上交易平安现状;*;*;*;控制框架

ControlFramework;SOX法案第404条款要求的IT一般性控制的合规性实践往往采用以下的方法

首先是做一次IT一般性控制的现状分析。然后参照COBIT的要求建立公司的IT控制目标以便进行差距分析，并在此根底上找出和确定能涵盖这些控制目标的IT一般性控制的关键控制点。

每个关键控制点的控制活动都被清晰地描述和文档化，同时这些控制活动还必须具备可操作性和可检验性，最终形成所谓的IT控制矩阵(ITControlMatrix)。

相关公司都必须完成一整套与IT控制相关的文档，即所谓的SOX法案合规性文档，如IT政策、IT控制矩阵、IT控制活动描述、IT控制的测试方法等。随后通过细致扎实的工作落实已被确定的IT控制点，从而使IT控制得到贯彻实施。

根据SOX法案第404条款的要求，管理层必须每年对这些控制点进行测试和评估，对测试得出的控制缺陷，那么需要增设补救和改进措施，并再次测试。如果在规定的期限内，控制缺陷还是不能得到改正，外部审计师将根据情况，针对控制缺陷和程度发表审计意见。;中国的SOX〔C-SOX〕

及其面临的挑战

;*;何迪生DixonHo

Email:

Phone:86-10附录;什么是SOX;ISACA的背景;ISACA及CISM的

目标及价值;企业为什么需要ISACA;SecurityMeasurement