1、IT治理與企業(yè)內(nèi)控 何迪生 Dixon Ho 主席 ISACA 國際資訊系統(tǒng)審計協(xié)會（北京委員會） 副主任中國信息化推進聯(lián)盟 - 信息安全專業(yè)委員會 信息安全及基礎(chǔ)架構(gòu)總監(jiān)Microsoft 微軟大中華區(qū) 國際信息系統(tǒng)審計協(xié)會 ISACA ,ISACA的背景,ISACA (國際資訊系統(tǒng)審計師協(xié)會)是于1969年成立 全球會員遍布140多個國家，人數(shù)達47,000多名 其網(wǎng)址為() ISACA是一個被公認(rèn)為對資訊系統(tǒng)管理、控制、安全及審計扮演領(lǐng)導(dǎo)角色的國際性組織。 ISACA提供全面之會員服務(wù)，主辦各種國際會議，出版資訊科技管治刊物，開發(fā)國際資訊系統(tǒng)審計和控制標(biāo)準(zhǔn)。 監(jiān)

2、管全球性受尊敬的國際公認(rèn)資訊系統(tǒng)審計師(CISA)及國際公認(rèn)資訊保安經(jīng)理(CISM)等資格認(rèn)證。前者從1978年開始至今已獲發(fā)超過四萬多個專業(yè)資格，而后者則由2002年起開始已獲發(fā)超過5200個專業(yè)資格。,目錄,SOX概述-第404條款及IT治理 為什么要進行IT治理 什么是IT治理 IT治理框架-COBIT 中國的SOX（C-SOX）及其面臨的挑戰(zhàn),SOX法案,2002年，美國爆發(fā)了一系列的財務(wù)和管理丑聞，如安然和世通事件，這些丑聞嚴(yán)重破壞了美國金融證券制度，徹底打擊了投資者對美國資本市場的信心。為了扭轉(zhuǎn)這一局面，美國國會通過了2002年公眾公司會計改革和投資者保護法案。該法案由美國參議院銀

3、行委員會主席薩班斯和眾議院金融服務(wù)委員會主席奧克斯利聯(lián)合提出，又被稱作2002年薩班斯奧克斯利法案(SarbanesOxley Act 2002，以下簡稱“SOX法案”)。2002年7月，美國總統(tǒng)布什將此法案簽署為法律。 SOX法案共分11章 第1至第6章主要涉及對會計職業(yè)及公司行為的監(jiān)管, 包括:建立一個獨立的公眾公司會計監(jiān)管委員會(Public Company Accounting Oversight Board, PCAOB),對上市公司審計進行監(jiān)管;通過負(fù)責(zé)合伙人輪換制度以及咨詢與審計服務(wù)不兼容等提高審計的獨立性;對公司高管人員的行為進行限定以及改善公司治理結(jié)構(gòu)等,以增進公司的報告責(zé)任

4、;加強財務(wù)報告的披露;通過增加撥款和雇員等來提高SEC的執(zhí)法能力. 第8至第11章主要是提高對公司高管及白領(lǐng)犯罪的刑事責(zé)任, 比如,針對安達信銷毀安然審計檔案事件,專門制訂相關(guān)法律,規(guī)定了銷毀審計檔案最高可判10年監(jiān)禁,在聯(lián)邦調(diào)查及破產(chǎn)事件中銷毀檔案最高可判20年監(jiān)禁;為強化公司高管層對財務(wù)報告的責(zé)任,要求公司高管對財務(wù)報告的真實性宣誓,并就提供不實財務(wù)報告分別設(shè)定了10年或20年的刑事責(zé)任.,第404條款及IT治理,SOX法案第404條款的合規(guī)性實踐，展示了改善IT治理和判斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規(guī)性的要求有其特有的局限性，因為其主要關(guān)注的是和財務(wù)報告相關(guān)的

5、信息系統(tǒng)，但是由此產(chǎn)生的方法論和合規(guī)性實踐，對IT治理的理論發(fā)展和實踐很有借鑒意義 SOX法案促進IT治理的完善,為什么需要IT治理：,在中國，我們的調(diào)查顯示44%的被調(diào)查者認(rèn)為他們的信息安全事件與數(shù)據(jù)開發(fā)有關(guān)，全球范圍內(nèi)該比例為16%。,預(yù)計平均每起信息安全事件造成的經(jīng)濟損失為982,941.2美元，相對整個亞洲（744,471.2美元）和印度（308,720.9美元）要高很多。,在中國，僅44%的被調(diào)查者采用了集中式的安全信息管理流程，全球范圍內(nèi)該比例為51%。,IT對企業(yè)至關(guān)重要 IT對企業(yè)具有戰(zhàn)略性意義 期望與現(xiàn)實存在差距 IT沒有得到應(yīng)有的重視 IT涉及巨大的投資與大風(fēng)險 企業(yè)對信息

6、安全的責(zé)任 監(jiān)管的需求,舉例：為什么需要IT治理： -網(wǎng)上交易安全現(xiàn)狀,8,COBIT簡介,COBIT： ControlObjectivesforInformationandrelatedTechnology是由信息系統(tǒng)審計與控制學(xué)會：ISACA在1996年所公布的控制框架 當(dāng)前版本： 目前已經(jīng)更新至第4.1版 COBIT的主要目的及方向： 研究、發(fā)展、宣傳權(quán)威的、最新的國際化的公認(rèn)信息技術(shù)控制目標(biāo)以供企業(yè)經(jīng)理、IT專業(yè)人員和審計專業(yè)人員日常使用 COBIT框架： 34個IT的流程、四個領(lǐng)域：PO（計劃與組織）、AI（獲取與實施）、DS（交付與支持）、和ME（監(jiān)控與評估）,9,COBIT： I

7、T治理框架,前提是IT 需要傳遞企業(yè)所需的實現(xiàn)其目標(biāo)的信息 推進流程集中與流程所有權(quán) 將IT劃分為34個步驟，這些步驟分屬于4個階段，為每個步驟提供高級別的控制目標(biāo) 提供7個標(biāo)準(zhǔn)，用于定義業(yè)務(wù)對IT的要求 由一套超過 200多個詳細(xì)的控制目標(biāo)提供支持,效果 效率 完整性 保密性 可靠性 可用性 法規(guī)遵從,規(guī)劃 獲取與執(zhí)行 交付與支持 監(jiān)控,10,COBIT涉及領(lǐng)域,控制框架Control Framework,SOX法案第404條款要求的IT一般性控制的合規(guī)性實踐往往采用下列的方法 首先是做一次IT一般性控制的現(xiàn)狀分析。然后參照COBIT的要求建立公司的IT控制目標(biāo)以便進行差距分析，并在此基礎(chǔ)上

8、找出和確定能涵蓋這些控制目標(biāo)的IT一般性控制的關(guān)鍵控制點。 每個關(guān)鍵控制點的控制活動都被清晰地描述和文檔化，同時這些控制活動還必須具備可操作性和可檢驗性，最終形成所謂的IT控制矩陣(IT Control Matrix)。 相關(guān)公司都必須完成一整套與IT控制相關(guān)的文檔，即所謂的SOX法案合規(guī)性文檔，如IT政策、IT控制矩陣、IT控制活動描述、IT控制的測試方法等。隨后通過細(xì)致扎實的工作落實已被確定的IT控制點，從而使IT控制得到貫徹實施。 根據(jù)SOX法案第404條款的要求，管理層必須每年對這些控制點進行測試和評估，對測試得出的控制缺陷，則需要增設(shè)補救和改進措施，并再次測試。如果在規(guī)定的期限內(nèi)，控

9、制缺陷還是不能得到改正，外部審計師將根據(jù)情況，針對控制缺陷和程度發(fā)表審計意見。,第404條款及COBIT,中國的SOX（C-SOX）及其面臨的挑戰(zhàn),14,IT是業(yè)務(wù)的組成部分 IT治理是公司治理的組成部分,總結(jié),何迪生 Dixon Ho Email: .hk Phone: 86-10-58968079,附錄,什么是SOX,ISACA的背景,ISACA (國際資訊系統(tǒng)審計師協(xié)會)是于1969年成立 全球會員遍布140多個國家，人數(shù)達47,000多名 其網(wǎng)址為() ISACA是一個被公認(rèn)為對資訊系統(tǒng)管理、控制、安全及審計扮演領(lǐng)導(dǎo)角色的國際性

10、組織。 ISACA提供全面之會員服務(wù)，主辦各種國際會議，出版資訊科技管治刊物，開發(fā)國際資訊系統(tǒng)審計和控制標(biāo)準(zhǔn)。 監(jiān)管全球性受尊敬的國際公認(rèn)資訊系統(tǒng)審計師(CISA)及國際公認(rèn)資訊保安經(jīng)理(CISM)等資格認(rèn)證。前者從1978年開始至今已獲發(fā)超過四萬多個專業(yè)資格，而后者則由2002年起開始已獲發(fā)超過5200個專業(yè)資格。,ISACA及CISM的目標(biāo)及價值,在ISACA創(chuàng)立的三十年來，它已成為一個為信息管理、控制、安全和審計專業(yè)設(shè)定規(guī)范的全球性組織。 CISM認(rèn)證可以用來衡量個人在信息安全領(lǐng)域的管理能力，而不是簡單的實踐技巧。 越來越多的企業(yè)要求或建議自己的員工獲得此項認(rèn)證 諸如：CISM成為美國國

11、防部特別授權(quán)的商業(yè)認(rèn)證，并且國防部 命令其信息安全部成員通過此認(rèn)證 CISM認(rèn)證促進了國際化實踐，并提供了有效的管理，以確保那些擁有CISM認(rèn)證的成員具備必需的經(jīng)驗和知識實現(xiàn)有效的安全管理和咨詢服務(wù).,企業(yè)為什么需要ISACA,企業(yè) 計劃實施的與信息技術(shù)有關(guān)的十大要務(wù)是： . 運行中的故障 . 高成本/低投資回報 . 未能解決的對無法直接控制的實體的依賴性 . 信息技術(shù)人才問題 . 關(guān)鍵系統(tǒng)產(chǎn)生的錯誤 . 難題和事故較多 . 缺乏對關(guān)鍵系統(tǒng)的知識 . 數(shù)據(jù)的可管理性 . 信息技術(shù)策略與商業(yè)策略之間的脫節(jié) . 對信息技術(shù)運行現(xiàn)狀的看法不充分、不準(zhǔn)確 通過ISACA先進的管理理念及流程，幫助企業(yè)解決這些問題。,ISACA（ ）在全球140 多個國家擁有超過65000 名成員 獲得公認(rèn)的IT管理、控制、安全及保證上的全球領(lǐng)先者 制定國際信息系統(tǒng)查核和控制標(biāo)準(zhǔn) 負(fù)責(zé)CISA、CISM 和CGEIT 認(rèn)證。,Security Measurement,Evolution,Initiate Stakeholder Security Program,Security Archi