基于CobiT的信息系统内部控制及审计5100字.docx

    基于CobiT的信息系统内部控制及审计5100字    基于CobiT的信息系统内部控制及审计随着计算机技术和网络技术的迅猛发展，企业高度依赖于信息系统来加强管理、提高效率，改进服务会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用，使企业面临着前所未有的信息风险，信息系统的安全、可靠、效率也日益重要基于信息系统的重要性及IT挑战，产生了对信息系统进行控制和审计的需求，即信息系统内部控制和信息系统审计面对信息系统审计具有的专业性、技术性和复杂性，信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准---CobiT，即信息及相关技术控制目标这样以CobiT为基础进行信息系统控制和审计成为了可能一、信息系统内部控制、审计的理论框架企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的IT控制所关注的对象是企业IT资产的整个运维状况，它与整个企业的内部控制应该是子集与全集的关系COSO通常作为企业的整体内部控制框架，CobiT则是通用的IT控制框架COSO框架已广为人知，在此主要介绍CobiT理论框架。

1、CobiT简介CobiT---信息及相关技术控制目标，它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准，目前已经更新至第四版它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来，形成一个三维的体系结构（图1）其中，信息准则维集中反映了企业使用IT的战略目标，包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面IT资源维描述了IT治理过程的主要对象，有人员、基础设施、信息、应用系统等4类IT过程维是对信息及相关资源进行规划与处理的过程，从信息系统生命周期的4个域确定了34个信息技术处理过程，每个处理过程包括详细的控制目标（215个）和与控制目标相联系的审计指南CobiT框架从整体上把企业对IT标准的要求和对IT资源的需求紧密地融入到各个IT过程中从CobiT的组成成分来看，不仅有管理指南，更有审计指南和具体的控制目标管理指南提供了管理工具，对IT业务活动进行有效控制，以使IT与业务活动保持一致，并通过传送组织所需信息而使业务活动得以进行。

管理指南给出了度量信息系统全生命周期各过程安全、可靠与有效的指标体系，并定义了为管理者提供评估准则的度量模型，指导企业进行自我评价和选择控制目标按照系统生命周期划分为4个域：规划与组织(PO)、获取与实施(AI)、交付与支持(DS)、监控(M)；域目标按34个IT过程进行细分，根据每个过程所涉及的系统资源，确定出高层次的控制目标；针对每个IT过程，进一步划分成若干任务，确定具体的控制目标，共215个针对这些具体控制目标给出了详细的系统管理策略，包括应采取何种措施及要注意的事项等这种三层架构的控制目标体系使系统管理目标更加明确、可操作性更强审计指南给出了IT审计的一般方法和要求，而且根据CobiT的框架，针对信息系统34个高层次控制目标建议了相应的审计步骤，为信息系统审计师具体检验和评价各IT过程是否符合215个具体控制目标给出了详细的审计指南，并指出了各控制目标未达到时会带来的风险及改进控制的建议它为信息系统审计师进行信息系统控制审计及提出改进系统控制建议提供有用且方便的工具CobiT是一套专供企业经营者、使用者、IT专家、审计员与安全人员来强化和评估IT管理和控制的规范，使IT管理工作简单化、具备良好的可操作性。

CobiT从其适用范围、内容等方面具备作为一个信息系统内部控制、审计标准的条件2、CobiT与COSO之间的关系COSO没有明确IT内部控制的目标和相应的控制活动的需求，同样PCAOB审计准则也没有特别指出哪些IT内部控制目标和控制活动是必需包括的内容；信息系统内部控制是企业整体内部控制的有机组成部分，必须符合COSO框架；信息系统内部控制及审计具有其专业性、技术性和复杂性为解决这个问题，IT治理学会(ITGI)20xx年颁布了CobiT中与SOX法案第404条条款相关的IT控制目标因此，可以这样理解：COSO强调内部控制是一个程序，突出了保证财务报告可靠性这一目标，而CobiT将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序因此，通过有效地应用CobiT框架可帮助企业来达到COSO的监控要求CobiT不仅提供了信息系统控制目标和IT标准，而且提供了信息系统的审计指南CobiT对COSO的遵从性图2是SOX与CobiT控制目标以及COSO五层内控框架的对应关系，与SOX配套的CobiT控制和审计标准详细提出了满足SOX要求的具体控制点，其中明确要求对操作行为的控制要求，包括监控和审计。

最右边标识的前后维度是SOX维，这里列出了SOX合规性和IT最为相关的404条款和302条款最左边标识的上下维是---COSO框架的五个层次：控制环境－风险评估－控制活动－信息和通信－监视最上面的左右维讲的是CobiT的四个控制域如此，CobiT符合了COSO要求，同时CobiT为信息系统控制与审计的特殊性提供专业支持CobiT可以映射到COSO表1反映了CobiT的4个域的34个过程对COSO框架5个要素的映射关系描述了对于每个信息过程,哪些IT标准是重要的，哪些IT标准是次要的；描述每个信息过程具体涉及哪些IT资源对于重要的IT标准和涉及到的IT资源就是在实施控制过程中需要重点关注的对象如此，确定了信息系统控制的重点，具有良好的针对性二、信息系统内部控制的实施CobiT框架是信息技术管理的通用标准，具有通用性、一般性在运用CobiT框架来控制企业信息化时，要根据企业的实际情况把它个性化和具体化1)企业通过CobiT的成熟度模型，必须了解自己信息化管理和控制所处的状态，了解自身的薄弱环节，使得企业具有信息化管理和控制的概念2)企业在应用CobiT框架时，要根据企业的战略目标来确定企业信息化的准则，了解需要投入的IT资源、可以达到的IT目标，以及每个IT流程的运转情况。

3)企业应以CobiT的34个IT处理过程为模版，结合企业的业务流程和信息系统的具体情况，建立基于企业特殊要求的IT流程，然后提出每个IT流程的控制目标，并将其细化到任务活动的控制目标，使得每一个IT活动都有具体的控制标准4)信息系统审计是CobiT框架的一个部分，是对企业信息化控制的一个不可忽略的环节IT审计人员应根据企业信息化的具体情况，以CobiT框架的审计指南为蓝本，对信息化的成果进行审计信息系统内部控制的实施通常由9个阶段构成：1、计划和范围；2、执行风险评估；3、识别重要的控制；4、文件化控制；5、评价控制设计；6、评价运营效力；7、识别并改进不足；8、文件化过程和结果；9、建立持续性其中，步骤2和步骤3是实施内部控制的重要环节通过步骤2，对特定的风险区域及IT风险进行风险评估，识别与信息系统相关联的风险以及相关的IT资源；通过步骤3，对系统所涉及的域、过程、活动进行信息系统的应用控制及一般性控制的识别在实施过程中，应充分利用高层次控制目标汇总表（表1）组织管理人员可以清楚看到，在信息系统生命周期各阶段的各项工作中，各项IT标准的重要性和对哪些资源应实施控制信息系统管理和控制人员可方便地通过分析CobiT的控制目标汇总表，了解和掌握每个IT过程中最重要和相对重要的控制目标，并根据这些应达到的控制目标，设置适当的控制程序对有关的IT资源实施控制。

三、信息系统审计的实施信息系统审计是一个通过获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程从过程角度而言，审计对象存在于信息系统的整个生命周期之中，是指各类以计算机为核心的信息系统及其相关的技术和管理活动信息系统审计的主要目标是保证信息系统的可靠性、安全性和有效性，实现企业目标可靠性是指信息系统的质量，即故障发生概率、影响的范围大小及故障恢复的程度；安全性是指信息系统对自然灾害、不正当存取等破坏行为的防范程度，具体包含可用性、保密性、有效性三方面有效性是指信息系统的所有资源利用的合理程度1、信息系统审计面临的问题及对策信息系统审计的观念模糊很多人认为信息系统审计就是对会计信息系统的审计或利用计算机对被审计单位的财务数据进行的审计这种观念已经突显出其局限性和片面性现代审计已由查错纠弊审计、制度基础审计，发展为风险基础审计CobiT中的管理指南、控制目标和审计指南，恰好可以指导评价信息系统的固有风险、控制风险和检查风险（风险基础审计的三个基本要素）信息系统审计准则不完善我国目前仅有《审计署关于计算机审计的暂行规定》，《审计机关计算机辅助审计办法》，《独立审计具体准则第20号---计算机信息系统环境下的审计》和《关于利用计算机信息系统开展审计工作有关问题的通知》等，缺乏信息系统审计的相关准则。

CobiT体系提供了信息系统审计的指南，由基本标准、具体准则、执业指南三层次组成所以，在没有现成的准则可供使用的情况下，开展信息系统审计时我们可以借鉴CobiT中的相关标准与指南审计方式较为落后手工审计仍为主要方式，计算机辅助审计处于推广阶段在信息技术环境下，审计软件包、嵌入式审计模块、平行模拟、较简单的计算机编程等审计方式和手段需得到推广应用组织机构缺失、人员素质亟待提高应建立专门的信息系统审计部门，培养专业的信息系统审计人才，鼓励审计人员考取符合CobiT要求的注册信息系统审计师（CISA）执业资格，丰富审计队伍构成，提高整体审计能力2、信息系统审计的方法信息系统审计过程与一般审计过程一样，分为准备阶段、实施阶段和报告阶段其中，准备阶段和报告阶段与传统审计相同，而实施阶段所涉及的技术方法则具有信息技术的特色在实施阶段，针对被审计的信息系统，审计师所开展的工作可以分为三个层次，即了解、描述和测试对信息系统审计的方法既包括一般方法即手工方法，也包括应用计算机审计的方法信息系统审计的一般方法主要用于对信息系统的了解和描述，包括：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。

应用计算机的方法用于对信息系统的控制测试，包括：测试数据法、平行模拟法、连续审计技术、综合测试法、受控处理法和受控再处理法等审计师可能无法充分理解企业的运营系统，而且即使能理解，也难以客观地评价它但在客观地评价控制系统方面，内部审计师却是经过专业培训的，对控制的评价完全处于审计师的理解和检查能力范围内，而这种技能正是审计师的“魔杖”信息系统有其专业性、复杂性、技术性，所以信息系统的内部控制是审计的重点及基础信息系统的内部控制主要分为应用控制、一般控制和管理控制等三个方面，在审计过程中要对信息系统的内部控制进行评价，审计师必须验证内部控制系统是否存在，并能提供令人满意的证据证明它正在有效地发挥作用如信息系统总体控制(GCC)、应用系统控制(AC)和电子表格控制的符合性测试就是一套完整的信息系统内部控制评估信息系统审计可作为常规业务审计的一部分，也可作专项审计运用CobiT实施信息系统审计，从CobiT有关的域、过程、活动中的控制目标入手，进行风险分析，得出与该过程相关的风险控制目标，再从风险控制目标中导出与该目标相关的风险控制点针对每个风险控制点，结合企业自身的技术特色，找出其所包含的风险检查点，风险检查点又可以组成对相关部。