基于CobiT的信息系统内部控制及审计
- 格式:doc
- 大小:40.00 KB
- 文档页数:5
COBIT-2019治理和管理目标中文COBIT,全称Control Objectives for Information and Related Technologies,中文意为“信息及相关技术的控制目标”,是一个由信息系统审计与控制协会(ISACA)制定的国际标准框架,旨在帮助企业实现有效的信息技术治理和管理。
COBIT框架提供了一套综合的治理和管理目标,涵盖了组织内部的商业需求、IT资源和技术。
在2019年发布的新版COBIT框架中,更新了许多原有的治理和管理目标,并对现代企业面临的挑战和机遇做出了充分的考虑。
COBIT-2019的核心理念是通过定义一套可操作的框架,帮助企业建立、维护和优化IT治理和管理的能力,从而实现业务目标。
本文将针对COBIT-2019框架中的治理和管理目标进行详细解读和分析,探讨其在现代企业中的应用和意义。
一、治理目标1. 治理目标的概念和原则COBIT-2019框架中的治理目标主要包括了企业治理、治理框架和治理决策。
其中,企业治理旨在确保企业长期可持续发展,治理框架旨在实现治理的有效实施,治理决策则关注在业务和技术层面上的决策过程。
这些治理目标的核心原则包括透明性、责任性、公正性和合规性,通过遵循这些原则,企业可以建立起健全的治理体系,保证企业的持续发展和稳定运行。
2. 治理目标的重要性和适用范围在当今日益复杂和多变的商业环境下,企业对于治理的需求愈发迫切。
有效的治理可以保障企业资源的合理利用,降低风险和成本,提升竞争力和市场价值。
COBIT-2019框架中的治理目标适用于各类规模和性质的企业,不仅可以帮助大型企业建立健全的治理架构,也可以为中小型企业提供简明实用的治理指南。
3. 治理目标的实施方法和工具COBIT-2019框架为企业提供了一整套治理实施的方法和工具,包括了治理目标的识别和规划、组织结构的建立和分工、治理流程的设计和优化等方面。
企业可以根据自身的需求和情况,制定适合自己的治理实施计划,运用COBIT提供的工具和方法,提升治理水平和效果。
分类号TP399 密级公开UDC 004.9 编号10299G0711011工程硕士学位论文基于COBIT的医院电子病历系统内部控制研究RESEARCHING THE INTERNAL CONTROL OFHOSPITAL’S ELECTRONIC MEDICAL RECORDSYSTEM BASED ON COBIT指导教师周莲英作者姓名陈啸峰申请学位级别工程硕士专业名称计算机技术论文提交日期 2011-5 论文答辩日期 2011-6 学位授予单位和日期答辩委员会主席 _______________评阅人 ______________独创性声明本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研究工作所取得的成果。
除文中已注明引用的内容以外,本论文不包含任何其他个人或集体已经发表或撰写过的作品成果,也不包含为获得江苏大学或其他教育机构的学位或证书而使用过的材料。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律结果由本人承担。
学位论文作者签名:年月日学位论文版权使用授权书江苏大学、中国科学技术信息研究所、国家图书馆、中国学术期刊(光盘版)电子杂志社有权保留本人所送交学位论文的复印件和电子文档,可以采用影印、缩印或其他复制手段保存论文。
本人电子文档的内容和纸质论文的内容相一致,允许论文被查阅和借阅,同时授权中国科学技术信息研究所将本论文编入《中国学位论文全文数据库》并向社会提供查询,授权中国学术期刊(光盘版)电子杂志社将本论文编入《中国优秀博硕士学位论文全文数据库》并向社会提供查询。
论文的公布(包括刊登)授权江苏大学研究生处办理。
本学位论文属于不保密□。
学位论文作者签名:指导教师签名:年月日年月日江苏大学工程硕士学位论文摘要企业内部控制是企业提高管理水平和防范风险的一种有效机制。
企业信息化与工业化的日渐融合使信息技术(IT)成为企业管理不可或缺的平台,也成为企业内部控制的重要手段。
COBIT简介COBIT简介1.1COBIT的基本概念COBIT是⼀个典型的按照西⽅思维⽅法取得的研究成果,即分析事实、提炼模型、建⽴概念、提出⾏动⽅法和评价体系。
基于IT治理的概念,ISACA对IT 建设过程进⾏提炼,建⽴了⼀系列概念和过程及,确定⾏动⽬标,提出⾏动⽅法和评审标准。
这些内容构成了COBIT的框架和⽀柱,使⽤者可以根据实际情况做⼀定的剪裁。
COBIT所提出基本概念是:IT治理的模型、IT 治理的过程、成熟度级别、控制⽬标、关键⽬标指⽰(KGI)、关键性能指⽰(KPI)、重要成功因素(CSF)等。
COBIT认为信息化建设就是借助“IT资源”,通过管理活动(activities),将输⼊的“事件”转换为“信息”。
IT治理就是对这个控制、转换过程进⾏管理和控制。
COBIT将“信息”的特性划分为:效果、效率、机密性、完整性、适⽤性、遵从性(即遵守有关的法律法规、规章制度)、可靠性等七个属性,将“IT 资源”划分为:技术、应⽤、⼈员、设施、数据。
信息及资源的关系见图1.从图1我们可以看到,IT资源是将事件转换为信息的装置,COBIT将这个装置形象地描述为⼀个圆柱体,圆柱体的核⼼是数据,数据外围包裹着由“技术”、“(IT)设施”、“⼈员”组成竖井,竖井外包围的是“应⽤(系统)”。
COBIT采⽤关键⽬标指⽰KGI(Key Goal Indicators)表达⼀个过程要达到哪些指标,KGI可以与著名的绩效考核⽅法“平衡记分法”中的绩效指标相关联。
为了衡量每个过程在“多⼤程度”上达到了KGI,COBIT设置了“关键性能指⽰(KPI)”(Key Performance Indicators)。
COBIT将IT治理过程划分为34个过程(下⾯将谈到),为每个过程给出了为了实现KGI必须完成的⼀系列重要⼯作——“重要成功因素CSF”(Critical Success Factors)。
⽽每个过程达到的关键性能指⽰(KPI)的程度则⽤六个成熟度级别来表⽰,它们是:0-混沌(根本不存在)、1-初始级;2-可重复级、3-可定义级、4-可管理级、5-优化级。
IT 治理架构一个有效的IT 治理架构需要理解组织的核心竞争力,并且在商业目标,治理原型,业务绩效目标之间维持平衡,进而提出IT 治理框架,制定决策以及如何在关键的信息技术领域中确定。
由此,意识到IT 治理与企业治理之间的必然联系,提供管理相关风险的最佳实务指导。
企业目标是保证企业健康、可持续发展,关注商业目标、知识管理、商业通讯、客户关系、商业活动与过程;IT 治理目标是信息系统、技术和网络、知识管理、IT 资产管理、电子商务、IT 合法性等。
COBIT ,直译为信息及相关技术的控制目标,是IT 治理的一个开放性标准,由美国IT 治理研究院开发与推广,目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。
该标准为IT 的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT 治理。
该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
COBIT 模型COBIT 将IT 过程,IT 资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。
其中,IT 准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; IT 资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT 治理过程的主要对象;IT 过程维则是在IT 准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT 处理过程进行评估。
COBIT 的34个信息技术过程:这个模型为企业管理的成功提供了集成的IT管理,通过保证有关企业处理过程的高效的改进措施,以更快更好更安全地响应企业需求。
管理指南定义了IT过程的成熟度模型,为管理者评估IT过程的状态提供了标准。
COBIT标准(2008-05-19 21:31:20)标签:杂谈目录• 什么是COBIT• COBIT的主要组件• COBIT对企业的作用• COBIT的优点• COBIT标准的应用原则什么是COBITCOBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。
成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT。
“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。
相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。
作为IT治理的核心模型, COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
COBIT目前已成为国际上公认的IT管理与控制标准。
COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBIT的主要组件COBIT有6个组件:- Executive Summary- Management Guidelines- Framework- Control Objectives- Implemenation Toolset- Audit GuidelinesCOBIT对企业的作用COBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
IT审计标准以及原则来源:CIO时代网目前在国际上较为流行的是美国的ISACA协会的审计标准。
ISACA于1996年推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology),即信息系统和技术控制目标。
作为IT治理的核心模型,COBIT包含34个信息技术过程控制,并归集为4个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support),以及信息系统运行性能监控(Monitoring)。
目前,COBIT已成为国际公认的IT管理与控制标准。
13.2.1 基本框架IT审计标准是IT审计的纲领性规范,它列举了IT审计的事实过程中必须包含的审计项目。
一般来说,一个IT审计标准的框架应该包含如下三个层次。
1. 基本准则规定了IT审计行为和审计报告必须达到的基本要求,是IT审计的总纲,也是制定其他相关标准、规范、准则和指南的基本依据。
2. 具体准则依据基本准则制定,对如何遵循IT审计的基本标准提供了详细规定和具体说明,是IT 审计师实施审计业务、出具审计报告的具体规范。
3. 实施指南依据基本准则和具体准则制定,是IT审计的操作规程和方法,为IT审计师实施审计业务提供可操作性的指导。
IT审计标准是针对以计算机为核心的信息系统而制定的。
其适用范围涵盖了信息系统的整个生命周期,包括可行性分析、需求分析、系统设计、开发、测试、运行维护等全部过程的每个环节。
13.2.2 基本准则作为IT审计的总纲,IT审计基本准则指明了IT审计的基本标准和要求,我们这里摘录了ISACA对于IT审计的基本准则的描述。
1. 审计合同IT审计应该由审计方与委托方签署IT审计合同,信息系统审计职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。
基于CobiT的信息系统内部控制及审计随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率,改进服务。
会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,使企业面临着前所未有的信息风险,信息系统的安全、可靠、效率也日益重要。
基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。
面对信息系统审计具有的专业性、技术性和复杂性,信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准-——CobiT,即信息及相关技术控制目标.这样以CobiT为基础进行信息系统控制和审计成为了可能.一、信息系统内部控制、审计的理论框架企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。
IT控制所关注的对象是企业IT资产的整个运维状况,它与整个企业的内部控制应该是子集与全集的关系。
COSO通常作为企业的整体内部控制框架,CobiT则是通用的IT控制框架。
COSO框架已广为人知,在此主要介绍CobiT理论框架。
1、CobiT简介CobiT---信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。
它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。
该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来,形成一个三维的体系结构(图1)。
其中,信息准则维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面.IT资源维描述了I T治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。
COBIT简介一、什么是COBIT?COBIT的含义是“信息及其相关技术控制目标”(Control Objectives for Information and related Technology),是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准,它在业务风险、控制需要和技术问题之间架起了一座桥梁。
面向业务是COBIT的主题,它不仅是为用户和审计师而设计,而且更重要的是它可以作为管理者及业务过程的所有者的综合指南。
COBIT标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
COBIT从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标、审计方针和对IT处理过程进行评估的方法。
COBIT是由国际组织ISACA(信息系统审计与控制协会)制定的,ISACA总部设在美国,在100多个国家设有160个分会,现有会员超过4万人。
ISACA主要负责制订信息系统审计准则、实务指南等专业规范来指导信息系统审计师的工作, ISACA每年为通过考试为从业人员颁发CISA证书,CISA资格在世界各国被广泛认可。
二、COBIT能给组织带来的利益●有助于大幅提高组织对IT治理的接受程度,减少实施IT治理所需的时间;●对IT审计方法与审计方案标准化,为正式的IT审计与检查提供指南,为识别所有的主要风险区域提供可靠的参考;●IT运行管理人员通过COBIT可以了解审计师的关注点,有助于利用审计结果作为实施改善行动的机会;●是实现IT治理目标的驱动力,可以帮助组织完善IT实务和IT过程;●为组织提供了一个经济的、可持续完善的控制框架,控制IT建设过程中的风险,并提供一个有价值的参照基准,使得管理层对控制的决策可以基于一个可信的来源;●有助于在业务与IT之间搭起沟通的桥梁,完善业务人员与IT管理人员的关系三、COBIT的历史●COBIT第一版由信息系统审计与控制基金会(ISACF)于1996年发布。
COBIT信息技术审计指南(34个控制目标)计划和组织(选择3/6/11)1 定义战略性的信息技术规划(PO1)PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
COBIT 定义及理解COBIT经过几十年的发展,西方发达国家总结了信息化建设的经验,将“企业治理”的概念引入到信息化领域,提出了“IT 治理”的概念,对信息化建设的管理提升到了一个新的高度。
信息化建设过程实质上就是一个对 IT 进行治理的过程,在这个背景下, ISACA 提出了 COBIT 。
COBIT 是什么?COBIT 是 Controlled Objectives for Information and Related Technology的缩写,即信息及相关技术的控制目标。
COBIT 是 ISACA(信息系统审计和控制联合会制订的面向过程的信息系统审计和评价的标准。
对信息化建设成果的评价,按照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系统架构评价等。
COBIT 是一个基于 IT 治理概念的、面向 IT 建设过程的 IT 治理实现指南和审计标准。
ISACA 成立于 1969年,是国际上最富盛名的信息控制理论研究及研究资料的出版机构,是一个专门从事 IT 治理相关技术研究、教育的国际组织。
它在全球拥有100多个会员国,主要任务定位于协调世界范围内建立 IT 控制惯例,并与其他国际组织如财务、会计、审计及 IT 专业建立了战略联盟,使自己在 IT 治理方面达到世界最高水平。
ISACA 于 1996年发表了 COBIT 的第一版, 1998年修订后发表第二版。
最新的版本是 COBIT 新面孔 -- COBIT 4.0揭秘[日期:2007-02-25] 来源:ITGov 作者:王东红白杨 [字体:大中小 ]随着萨班斯法案的出台,及增强企业本身 IT 内部控制的需要, COBIT 已为大家所熟知,作为全球公认的 IT 治理框架 ,其得到了各个国家各个行业的广泛应用。
2005年三月,欧洲共同体 (EC委员会选择了 COBIT ,来保证信息的安全以及对其农业资金支付代理的控制。
信息技术审计指南2002年10月计划和组织1 定义战略性的信息技术规划(PO1)控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
基于CobiT的信息系统内部控制及审计随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率,改进服务。
会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,使企业面临着前所未有的信息风险,信息系统的安全、可靠、效率也日益重要。
基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。
面对信息系统审计具有的专业性、技术性和复杂性,信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准---CobiT,即信息及相关技术控制目标。
这样以CobiT为基础进行信息系统控制和审计成为了可能。
一、信息系统内部控制、审计的理论框架企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。
IT控制所关注的对象是企业IT资产的整个运维状况,它与整个企业的内部控制应该是子集与全集的关系。
COSO通常作为企业的整体内部控制框架,CobiT则是通用的IT控制框架。
COSO框架已广为人知,在此主要介绍CobiT理论框架。
1、CobiT简介CobiT---信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。
它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。
该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来,形成一个三维的体系结构(图1)。
其中,信息准则维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面。
IT资源维描述了IT治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。
IT过程维是对信息及相关资源进行规划与处理的过程,从信息系统生命周期的4个域确定了3 4个信息技术处理过程,每个处理过程包括详细的控制目标(215个)和与控制目标相联系的审计指南。
CobiT框架从整体上把企业对IT标准的要求和对IT资源的需求紧密地融入到各个IT过程中。
从CobiT的组成成分来看,不仅有管理指南,更有审计指南和具体的控制目标。
管理指南提供了管理工具,对IT业务活动进行有效控制,以使IT与业务活动保持一致,并通过传送组织所需信息而使业务活动得以进行。
管理指南给出了度量信息系统全生命周期各过程安全、可靠与有效的指标体系,并定义了为管理者提供评估准则的度量模型,指导企业进行自我评价和选择。
控制目标按照系统生命周期划分为4个域:规划与组织(PO)、获取与实施(A I)、交付与支持(DS)、监控(M);域目标按34个IT过程进行细分,根据每个过程所涉及的系统资源,确定出高层次的控制目标;针对每个IT过程,进一步划分成若干任务,确定具体的控制目标,共215个。
针对这些具体控制目标给出了详细的系统管理策略,包括应采取何种措施及要注意的事项等。
这种三层架构的控制目标体系使系统管理目标更加明确、可操作性更强。
审计指南给出了IT审计的一般方法和要求,而且根据CobiT的框架,针对信息系统34个高层次控制目标建议了相应的审计步骤,为信息系统审计师具体检验和评价各IT过程是否符合215个具体控制目标给出了详细的审计指南,并指出了各控制目标未达到时会带来的风险及改进控制的建议。
它为信息系统审计师进行信息系统控制审计及提出改进系统控制建议提供有用且方便的工具。
CobiT是一套专供企业经营者、使用者、IT专家、审计员与安全人员来强化和评估IT管理和控制的规范,使IT管理工作简单化、具备良好的可操作性。
C obiT从其适用范围、内容等方面具备作为一个信息系统内部控制、审计标准的条件。
2、CobiT与COSO之间的关系COSO没有明确IT内部控制的目标和相应的控制活动的需求,同样PCAOB审计准则也没有特别指出哪些IT内部控制目标和控制活动是必需包括的内容;信息系统内部控制是企业整体内部控制的有机组成部分,必须符合COSO框架;信息系统内部控制及审计具有其专业性、技术性和复杂性。
为解决这个问题,IT 治理学会(ITGI)2004年颁布了CobiT中与SOX法案第404条条款相关的IT控制目标。
因此,可以这样理解:COSO强调内部控制是一个程序,突出了保证财务报告可靠性这一目标,而CobiT将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。
因此,通过有效地应用CobiT框架可帮助企业来达到COSO的监控要求。
CobiT不仅提供了信息系统控制目标和IT标准,而且提供了信息系统的审计指南。
CobiT对COSO的遵从性。
图2是SOX与CobiT 控制目标以及COSO五层内控框架的对应关系,与SOX配套的CobiT控制和审计标准详细提出了满足SOX要求的具体控制点,其中明确要求对操作行为的控制要求,包括监控和审计。
最右边标识的前后维度是SOX维,这里列出了SOX合规性和IT最为相关的404条款和302条款。
最左边标识的上下维是---COSO框架的五个层次:控制环境-风险评估-控制活动-信息和通信-监视。
最上面的左右维讲的是CobiT的四个控制域。
如此,CobiT符合了COSO要求,同时CobiT为信息系统控制与审计的特殊性提供专业支持。
CobiT可以映射到COSO。
表1反映了CobiT的4个域的34个过程对COSO框架5个要素的映射关系。
描述了对于每个信息过程,哪些IT标准是重要的,哪些IT标准是次要的;描述每个信息过程具体涉及哪些IT资源。
对于重要的IT标准和涉及到的IT资源就是在实施控制过程中需要重点关注的对象。
如此,确定了信息系统控制的重点,具有良好的针对性。
二、信息系统内部控制的实施CobiT框架是信息技术管理的通用标准,具有通用性、一般性。
在运用Cob iT框架来控制企业信息化时,要根据企业的实际情况把它个性化和具体化。
(1)企业通过CobiT的成熟度模型,必须了解自己信息化管理和控制所处的状态,了解自身的薄弱环节,使得企业具有信息化管理和控制的概念。
(2)企业在应用Co biT框架时,要根据企业的战略目标来确定企业信息化的准则,了解需要投入的IT资源、可以达到的IT目标,以及每个IT流程的运转情况。
(3)企业应以Cob iT的34个IT处理过程为模版,结合企业的业务流程和信息系统的具体情况,建立基于企业特殊要求的IT流程,然后提出每个IT流程的控制目标,并将其细化到任务活动的控制目标,使得每一个IT活动都有具体的控制标准。
(4)信息系统审计是CobiT框架的一个部分,是对企业信息化控制的一个不可忽略的环节。
IT审计人员应根据企业信息化的具体情况,以CobiT框架的审计指南为蓝本,对信息化的成果进行审计。
信息系统内部控制的实施通常由9个阶段构成:1、计划和范围;2、执行风险评估;3、识别重要的控制;4、文件化控制;5、评价控制设计;6、评价运营效力;7、识别并改进不足;8、文件化过程和结果;9、建立持续性。
其中,步骤2和步骤3是实施内部控制的重要环节。
通过步骤2,对特定的风险区域及I T风险进行风险评估,识别与信息系统相关联的风险以及相关的IT资源;通过步骤3,对系统所涉及的域、过程、活动进行信息系统的应用控制及一般性控制的识别。
在实施过程中,应充分利用高层次控制目标汇总表(表1)。
组织管理人员可以清楚看到,在信息系统生命周期各阶段的各项工作中,各项IT标准的重要性和对哪些资源应实施控制。
信息系统管理和控制人员可方便地通过分析CobiT 的控制目标汇总表,了解和掌握每个IT过程中最重要和相对重要的控制目标,并根据这些应达到的控制目标,设置适当的控制程序对有关的IT资源实施控制。
三、信息系统审计的实施信息系统审计是一个通过获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。
从过程角度而言,审计对象存在于信息系统的整个生命周期之中,是指各类以计算机为核心的信息系统及其相关的技术和管理活动。
信息系统审计的主要目标是保证信息系统的可靠性、安全性和有效性,实现企业目标。
可靠性是指信息系统的质量,即故障发生概率、影响的范围大小及故障恢复的程度;安全性是指信息系统对自然灾害、不正当存取等破坏行为的防范程度,具体包含可用性、保密性、有效性三方面。
有效性是指信息系统的所有资源利用的合理程度。
1、信息系统审计面临的问题及对策信息系统审计的观念模糊。
很多人认为信息系统审计就是对会计信息系统的审计或利用计算机对被审计单位的财务数据进行的审计。
这种观念已经突显出其局限性和片面性。
现代审计已由查错纠弊审计、制度基础审计,发展为风险基础审计。
CobiT中的管理指南、控制目标和审计指南,恰好可以指导评价信息系统的固有风险、控制风险和检查风险(风险基础审计的三个基本要素)。
信息系统审计准则不完善。
我国目前仅有《审计署关于计算机审计的暂行规定》,《审计机关计算机辅助审计办法》,《独立审计具体准则第20号---计算机信息系统环境下的审计》和《关于利用计算机信息系统开展审计工作有关问题的通知》等,缺乏信息系统审计的相关准则。
CobiT体系提供了信息系统审计的指南,由基本标准、具体准则、执业指南三层次组成。
所以,在没有现成的准则可供使用的情况下,开展信息系统审计时我们可以借鉴CobiT中的相关标准与指南。
审计方式较为落后。
手工审计仍为主要方式,计算机辅助审计处于推广阶段。
在信息技术环境下,审计软件包、嵌入式审计模块、平行模拟、较简单的计算机编程等审计方式和手段需得到推广应用。
组织机构缺失、人员素质亟待提高。
应建立专门的信息系统审计部门,培养专业的信息系统审计人才,鼓励审计人员考取符合CobiT要求的注册信息系统审计师(CISA)执业资格,丰富审计队伍构成,提高整体审计能力。
2、信息系统审计的方法信息系统审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。
其中,准备阶段和报告阶段与传统审计相同,而实施阶段所涉及的技术方法则具有信息技术的特色。
在实施阶段,针对被审计的信息系统,审计师所开展的工作可以分为三个层次,即了解、描述和测试。
对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。
信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。
应用计算机的方法用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术、综合测试法、受控处理法和受控再处理法等。