基于CobiT的信息系统内部控制及审计文档格式.doc
- 文档编号:4209536
- 上传时间:2023-05-02
- 格式:DOC
- 页数:5
- 大小:40KB
基于CobiT的信息系统内部控制及审计文档格式.doc
《基于CobiT的信息系统内部控制及审计文档格式.doc》由会员分享,可在线阅读,更多相关《基于CobiT的信息系统内部控制及审计文档格式.doc(5页珍藏版)》请在冰点文库上搜索。
COSO框架已广为人知,在此主要介绍CobiT理论框架。
1、CobiT简介
CobiT---信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。
它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。
该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来,形成一个三维的体系结构(图1)。
其中,信息准则维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面。
IT资源维描述了IT治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。
IT过程维是对信息及相关资源进行规划与处理的过程,从信息系统生命周期的4个域确定了34个信息技术处理过程,每个处理过程包括详细的控制目标(215个)和与控制目标相联系的审计指南。
CobiT框架从整体上把企业对IT标准的要求和对IT资源的需求紧密地融入到各个IT过程中。
从CobiT的组成成分来看,不仅有管理指南,更有审计指南和具体的控制目标。
管理指南提供了管理工具,对IT业务活动进行有效控制,以使IT与业务活动保持一致,并通过传送组织所需信息而使业务活动得以进行。
管理指南给出了度量信息系统全生命周期各过程安全、可靠与有效的指标体系,并定义了为管理者提供评估准则的度量模型,指导企业进行自我评价和选择。
控制目标按照系统生命周期划分为4个域:
规划与组织(PO)、获取与实施(AI)、交付与支持(DS)、监控(M);
域目标按34个IT过程进行细分,根据每个过程所涉及的系统资源,确定出高层次的控制目标;
针对每个IT过程,进一步划分成若干任务,确定具体的控制目标,共215个。
针对这些具体控制目标给出了详细的系统管理策略,包括应采取何种措施及要注意的事项等。
这种三层架构的控制目标体系使系统管理目标更加明确、可操作性更强。
审计指南给出了IT审计的一般方法和要求,而且根据CobiT的框架,针对信息系统34个高层次控制目标建议了相应的审计步骤,为信息系统审计师具体检验和评价各IT过程是否符合215个具体控制目标给出了详细的审计指南,并指出了各控制目标未达到时会带来的风险及改进控制的建议。
它为信息系统审计师进行信息系统控制审计及提出改进系统控制建议提供有用且方便的工具。
CobiT是一套专供企业经营者、使用者、IT专家、审计员与安全人员来强化和评估IT管理和控制的规范,使IT管理工作简单化、具备良好的可操作性。
CobiT从其适用范围、内容等方面具备作为一个信息系统内部控制、审计标准的条件。
2、CobiT与COSO之间的关系
COSO没有明确IT内部控制的目标和相应的控制活动的需求,同样PCAOB审计准则也没有特别指出哪些IT内部控制目标和控制活动是必需包括的内容;
信息系统内部控制是企业整体内部控制的有机组成部分,必须符合COSO框架;
信息系统内部控制及审计具有其专业性、技术性和复杂性。
为解决这个问题,IT治理学会(ITGI)2004年颁布了CobiT中与SOX法案第404条条款相关的IT控制目标。
因此,可以这样理解:
COSO强调内部控制是一个程序,突出了保证财务报告可靠性这一目标,而CobiT将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。
因此,通过有效地应用CobiT框架可帮助企业来达到COSO的监控要求。
CobiT不仅提供了信息系统控制目标和IT标准,而且提供了信息系统的审计指南。
CobiT对COSO的遵从性。
图2是SOX与CobiT控制目标以及COSO五层内控框架的对应关系,与SOX配套的CobiT控制和审计标准详细提出了满足SOX要求的具体控制点,其中明确要求对操作行为的控制要求,包括监控和审计。
最右边标识的前后维度是SOX维,这里列出了SOX合规性和IT最为相关的404条款和302条款。
最左边标识的上下维是---COSO框架的五个层次:
控制环境-风险评估-控制活动-信息和通信-监视。
最上面的左右维讲的是CobiT的四个控制域。
如此,CobiT符合了COSO要求,同时CobiT为信息系统控制与审计的特殊性提供专业支持。
CobiT可以映射到COSO。
表1反映了CobiT的4个域的34个过程对COSO框架5个要素的映射关系。
描述了对于每个信息过程,哪些IT标准是重要的,哪些IT标准是次要的;
描述每个信息过程具体涉及哪些IT资源。
对于重要的IT标准和涉及到的IT资源就是在实施控制过程中需要重点关注的对象。
如此,确定了信息系统控制的重点,具有良好的针对性。
二、信息系统内部控制的实施
CobiT框架是信息技术管理的通用标准,具有通用性、一般性。
在运用CobiT框架来控制企业信息化时,要根据企业的实际情况把它个性化和具体化。
(1)企业通过CobiT的成熟度模型,必须了解自己信息化管理和控制所处的状态,了解自身的薄弱环节,使得企业具有信息化管理和控制的概念。
(2)企业在应用CobiT框架时,要根据企业的战略目标来确定企业信息化的准则,了解需要投入的IT资源、可以达到的IT目标,以及每个IT流程的运转情况。
(3)企业应以CobiT的34个IT处理过程为模版,结合企业的业务流程和信息系统的具体情况,建立基于企业特殊要求的IT流程,然后提出每个IT流程的控制目标,并将其细化到任务活动的控制目标,使得每一个IT活动都有具体的控制标准。
(4)信息系统审计是CobiT框架的一个部分,是对企业信息化控制的一个不可忽略的环节。
IT审计人员应根据企业信息化的具体情况,以CobiT框架的审计指南为蓝本,对信息化的成果进行审计。
信息系统内部控制的实施通常由9个阶段构成:
1、计划和范围;
2、执行风险评估;
3、识别重要的控制;
4、文件化控制;
5、评价控制设计;
6、评价运营效力;
7、识别并改进不足;
8、文件化过程和结果;
9、建立持续性。
其中,步骤2和步骤3是实施内部控制的重要环节。
通过步骤2,对特定的风险区域及IT风险进行风险评估,识别与信息系统相关联的风险以及相关的IT资源;
通过步骤3,对系统所涉及的域、过程、活动进行信息系统的应用控制及一般性控制的识别。
在实施过程中,应充分利用高层次控制目标汇总表(表1)。
组织管理人员可以清楚看到,在信息系统生命周期各阶段的各项工作中,各项IT标准的重要性和对哪些资源应实施控制。
信息系统管理和控制人员可方便地通过分析CobiT的控制目标汇总表,了解和掌握每个IT过程中最重要和相对重要的控制目标,并根据这些应达到的控制目标,设置适当的控制程序对有关的IT资源实施控制。
三、信息系统审计的实施
信息系统审计是一个通过获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。
从过程角度而言,审计对象存在于信息系统的整个生命周期之中,是指各类以计算机为核心的信息系统及其相关的技术和管理活动。
信息系统审计的主要目标是保证信息系统的可靠性、安全性和有效性,实现企业目标。
可靠性是指信息系统的质量,即故障发生概率、影响的范围大小及故障恢复的程度;
安全性是指信息系统对自然灾害、不正当存取等破坏行为的防范程度,具体包含可用性、保密性、有效性三方面。
有效性是指信息系统的所有资源利用的合理程度。
1、信息系统审计面临的问题及对策
信息系统审计的观念模糊。
很多人认为信息系统审计就是对会计信息系统的审计或利用计算机对被审计单位的财务数据进行的审计。
这种观念已经突显出其局限性和片面性。
现代审计已由查错纠弊审计、制度基础审计,发展为风险基础审计。
CobiT中的管理指南、控制目标和审计指南,恰好可以指导评价信息系统的固有风险、控制风险和检查风险(风险基础审计的三个基本要素)。
信息系统审计准则不完善。
我国目前仅有《审计署关于计算机审计的暂行规定》,《审计机关计算机辅助审计办法》,《独立审计具体准则第20号---计算机信息系统环境下的审计》和《关于利用计算机信息系统开展审计工作有关问题的通知》等,缺乏信息系统审计的相关准则。
CobiT体系提供了信息系统审计的指南,由基本标准、具体准则、执业指南三层次组成。
所以,在没有现成的准则可供使用的情况下,开展信息系统审计时我们可以借鉴CobiT中的相关标准与指南。
审计方式较为落后。
手工审计仍为主要方式,计算机辅助审计处于推广阶段。
在信息技术环境下,审计软件包、嵌入式审计模块、平行模拟、较简单的计算机编程等审计方式和手段需得到推广应用。
组织机构缺失、人员素质亟待提高。
应建立专门的信息系统审计部门,培养专业的信息系统审计人才,鼓励审计人员考取符合CobiT要求的注册信息系统审计师(CISA)执业资格,丰富审计队伍构成,提高整体审计能力。
2、信息系统审计的方法
信息系统审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。
其中,准备阶段和报告阶段与传统审计相同,而实施阶段所涉及的技术方法则具有信息技术的特色。
在实施阶段,针对被审计的信息系统,审计师所开展的工作可以分为三个层次,即了解、描述和测试。
对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。
信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:
面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。
应用计算机的方法用于对信息系统的控制测试,包括:
测试数据法、平行模拟法、在线连续审计技术、综合测试法、受控处理法和受控再处理法等。
审计师可能无法充分理解企业的运营系统,而且即使能理解,也难以客观地评价它。
但在客观地评价控制系统方面,内部审计师却是经过专业培训的,对控制的评价完全处于审计师的理解和检查能力范围内,而这种技能正是审计师的“魔杖”。
信息系统有其专业性、复杂性、技术性,所以信息系统的内部控制是审计的重点及基础。
信息系统的内部控制主要分为应用控制、一般控制和管理控制等三个方面,在审计过程中要对信息系统的内部控制进行评价,审计师必须验证内部控制系统是否存在,并能提供令人满意的证据证明它正在有效地发挥作用。
如信息系统总体控制(GCC)、应用系统控制(AC)和电子表格控制的符合性测试就是一套完整的信息系统内部控制评估。
信息系统审计可作为常规业务审计的一部分,也可作专项审计。
运用CobiT实施信息系统审计,从CobiT有关的域、过程、活动中的控制目标入手,进行风险分析,得出与该过程相关的风险控制目标,再从风险控制目标中导出与该目标相关的风险控制点。
针对每个风险控制点,结合企业自身的技术特色,找出其所包含的风险检查点,风险检查点又可以组成对相关部分的检查表。
针对检查的结果,与CobiT相关部分中的要求相比照,找出相关的薄弱点,并就此提出相应的改进意见。
基于CobiT的信息系统控制与审计模型,将便于人们对信息系统建设与应用过程的理解与分析,将信息系统建设与应用的全部过程置于有效的管理与控制之下。
对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。
对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。
对审计师而言,将帮助他们明确审计轨迹,使他们作出的确认或咨询更具说服力。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 CobiT 信息系统 内部 控制 审计
![提示](https://static.bingdoc.com/images/bang_tan.gif)