COBIT框架在IT治理、IT审计中的应用研究,职称论文.docx

COBIT框架在IT治理、IT审计中的应用研究,职称论文内容摘要：现代信息技术高速发展，社会环境产生了一系列变化。对IT的应用日益广泛，业务依靠程度越来越高；IT投资规模宏大以及IT风险加剧等需求，有赖于对信息系统准则的理解与运用，传统审计无法完全跟上IT时代的审计责任，IT审计必将展开，而COBIT框架则应IT审计、治理之需而生。本文基于对COBIT框架的分析，继续深切进入研究国际相关信息系统准则，借鉴其方式方法与理念，研究怎样更好地与我们国家实际情况相结合，加强IT审计进而推动我IT治理水平的不断提高。 本文关键词语：COBIT,IT审计,IT治理 1 IT审计 1.1 概念 IT治理是公司治理的一部分，公司治理在(公司治理的基本原则中界定如下：为确定组织目的和确保目的实现的绩效监控所提供的治理构造。IT治理理念最早由IBM引入中国，是公司治理在信息时代发展特别重要的部分，能够有助于IT应用更好地完成组织任务，进而确保组织目的实现不偏离且更有效。 IT审计是获取和评估证据的经过。其主要目的是确定和评估组织施行的风险管理环境和控制环境保证措施，并判定控制管理声明能否可靠，因而审计必须保持其独立性，检查和评估的第三方客观立场。 1.2 二者的关系 IT治理确定IT审计的目的和方向，并且IT审计获得证据来评估相关控件的有效性，以评估其对IT治理目的的遵守情况。IT治理必须在风险和收益之间找到平衡。通过IT审核，将不断提升其调整IT控制环境的能力，进而使组织能够在可辨别，可控制和可管理风险的环境中最大化组织的利益。因而，我们不难看出IT审计既是IT治理的组成部分,也是IT治理的促进因素。 2 COBIT框架概述 自IT治理概念出现以来，国内外各界人士投入了大量精神研究IT治理框架，并提出了一些有效的实践模型和国际标准。华而不实较为成熟的模型有COBIT、ITIL、ISO/IEC17799等。对于COBIT而言，它是通过控制IT流程、资源实现企业IT目的，确保IT、信息系统的安全性、完好性，知足IT治理的需要。 2.1 COBIT 1美国信息系统审计与控制协会ISACA于1996年公布了COBIT信息和相关技术的控制目的。更新后的COBIT 2022构造、内容上都有了新的解释。新变化大致如下： (1设计因素：引入了更多驱动设计的因素，这些因素能够推动企业治理系统的设计例如，企业战略，风险状况，IT角色，IT部署方式方法，威胁景观。 (2治理组件：企业的治理系统由不同类型的不同组件组成，这些组件必须整体协同工作，与COBIT 5支持者进行比拟大大简化。 (3重点领域：重点领域指南将适用于信息安全，信息和技术风险，中小型企业和Dev Ops等更多可能、可行和计划的，这些变化的具体描绘叙述能够在COBIT 2022框架中找到。 总之，COBIT 2022允许企业设计、运营和完善合适其需求的治理系统。精简、有效和高效的治理系统的设计基于很多设计因素。从早期版本COBIT在大多数情况下为COBIT5迁移到此新版本的影响与任何迁移非常类似，这意味着潜在的用户需要采取下面步骤：了解新版本并评估在多大程度上新功能或更改功能对企业有利；了解迁移所需的更改和相关工作；完成业务案例，通过所需的努力权衡潜在收益，并在获得积极成果的情况下，查看COBIT 2022施行指南以建立治理改良计划，包括适当的组织变更管理和计划管理。 2)COBIT与其他准则的关系及其优势 (1)COBIT与GTAG、FISCAM等准则的关系 COBIT、GTAG、FISCAM、COSO等准则是由不同的国家，不同组织、不同的机构发布的,其准则各自的适用的方面也各有不同,但这些国际准则在一定程度上有一致性。例如，准则关注的重点主要侧重于控制、安全以及服务。COBIT擅长学习和借鉴业内已有的相关准则的优点,注重和其他准则的结合。华而不实，FISCAM与COBIT的准则角度比拟接近,都是针对信息系统的控制方面。FISCAM包含一般控制、应用控制两大块，COBIT有基于风险的IT一般控制、IT服务、信息安全和内部控制等方面。同时，其愈加注重不断学习吸收其他国际先进标准方式方法,与本身准则不断结合改良，优化本身构造,进而完善COBIT准则基于风险的IT一般控制、IT服务、信息安全和内部控制等方面的内容。除此之外，COBIT准则让不同用户根据本身不同需点,创造性结合COBIT与GTAG、与FISCAM等其他国际准则,进而更优实现审计目的，尤其是和信息系统相关的目的，更具优势。 简而言之，COBIT的优势有具有普遍公认的IT治理的良好实践，同时也是IT治理及相关标准和理念的集大成者。基于以上优势，我们选择COBIT。 3 COBIT框架在IT治理、IT审计的应用 3.1 基于COBIT标准的IT治理体系 施行IT治理的目的是帮助管理层建立IT战略，并且通过施行这些IT战略，促进组织、公司的发展。根据IT治理的目的的不同，IT治理大致划分为五个领域：战略匹配，价值交付，资源管理，风险管理和绩效评估。同时，COBIT为每个IT流程提供了各自的关键指标以及成熟度模型。构建COBIT标准的IT治理体系，通过对上述指标的监控和评估，能够确保IT决策及IT治理的成功。 3.2 基于COBIT标准的IT治理需改良之处 1缺乏相对的重要程度划分。COBIT采用了层次构造的方式方法，依于此，IT流程分为了4个域：计划与组织，获取与施行，交付与支持和监控与评价；34个经过，比方COBIT4.1包含的34个信息技术经过控制，域和经过划分详尽，但是缺乏之处在于COBIT划分之中并未给出各个域、各个经过之间各自的关键度，以及域域、经过与经过之间的相对关键度。 因而，可考虑施行COBIT标准时，企业能够根据该模型计算和衡量出COBIT框架中不同域和经过的相对权重和影响度。如叶世绮、陈琳2018参照COBIT4.1标准34个IT经过牵涉到的IT资源和信息准则，计算出四个域PO,AI,DS,ME的权重矩阵，进而建立改良的COBIT量化扩展模型The Extended Framework Model。 2缺乏定量描绘叙述。COBIT侧重定性，这样的控制框架往往缺乏定量的描绘叙述。COBIT标准提出了管理办法指南，华而不实包括：成熟度模型、关键成功要素、关键目的指标。为了更好实现企业战略目的，高效整合企业控制信息系统和业务流程相关经过特别重要。但是从量化的角度来看，这样一个定性的控制框架，缺乏对量的描绘叙述。例如，COBIT4.1提供了成熟度模型，将IT经过划分为0,1,2,3,4,5这样六个成熟度等级，分别匹配文字描绘叙述各等级，但是对于成熟度的判定缺乏明确指标，这样一个限制，使得判定极易受主观因素影响，成熟度评价也不够精准，无法真实客观地反映组织情况，难以实现最初的目的，极易在经过中走偏。因而，可结合蛛网图、敏感性分析和回溯分析等评价方式方法综合运用，使得COBIT评价方式方法到达及定性也定量，评价方式方法更科学，结果更真实。 3.3 COBIT框架在IT审计的应用现在状况 COBIT框架是管理、控制企业信息化提供的一个标准，实现管理层与IT审计信息化之间的便捷高效沟通，进而完成治理目的。进而实现IT审计对企业治理信息化合理化评判。COBIT框架在IT审计应用中存在的问题： 1缺乏符合我们国家IT审计的理论。COBIT框架毕竟是国际标准，且国外发展IT审计早于我们国家，较为成熟，生搬硬套COBIT框架运用到我们国家IT审计是行不通的。且随着IT时代的高速发展，信息技术不断发展系统也在不断优化改良，我们国家IT审计缺乏系统的法规、准则亟待解决。 2缺乏IT审计相关人才。我们国家传统审计局面虽已实现向信息化不断转变，各大审计软件的运用业已普遍，但是还是基于传统的查账审计方式转为电子查账审计，提高效率，但未发生本质性的飞跃，也是制约IT审计发展的原因之一，也就缺少人才向IT审计发展。大致存在的问题如下：首先，企业组织等在对于IT审计认识缺乏，人员构造就不够合理；同时，企业普遍缺乏IT审计所需要的复合型人才的培训制度，同时，IT审计对于信息技术的要求本身存在一定难度。 3缺乏符合我们国家IT审计的标准。当前，它尚未计划和制定一套能够与国际标准接轨或具有中华特点的IT审计标准和特定行业标准，因而当前的IT审计尚无明确的方向和标准。 3.4 COBIT框架在IT审计应用中改良建议 1)IT规划的审计。IT的规划组织的有效性直接影响信息系统的效能稳定性、高效性、可靠性等。将来IT审计越来越依靠信息系统，那么首先要确保其可靠性，否则反而影响安全性。同时，IT审计模块和财务模块的一致性和协调性也是应当一直建设和考虑的方面。 2数据建设的审计。信息是审计赖以分析的源头，也是企业的重要资产，那么在IT审计时怎样确保数据的安全，以及系统故障时有无备份、以及系统对于大量数据的支撑度，保密度都是需要考虑的。IT审计要突出数据建设的核心地位，确保数据安全、完好，以及应对特殊灾难的恢复措施，系统的日常维护等。信息系统审计若想到达传统审计所未曾企及的高质量，一定需要大量数据支撑，数据安全尤为重要。同时，要考虑系统支撑度。信息服务的有效实现依靠信息系统的支撑，所以对信息系统提出了新的要求。平常应当加强对信息系统的日常监管、维护、测试，以保证稳定性、可靠及可用性。 3企业方面 (1优化审计软件。固然我们国家IT审计起步晚，审计系统开发完善一直是存在的问题。当前，IT审计软件应用不断改善，有了很大的进步，但是自动化程度不够高，需借鉴国外IT审计项目经历体验，探究开发应对不同企业特制的审计软件，是审计软件的便利性提高，提高自动化，同时考虑风险控制、风险管理的运用结合。 (2培训和招聘复合IT审计人才。当前IT审计部门的人员种仍然缺少与计算机审计相关的专业人才，而且很多IT审计人员不具备计算机和审计的专业素质。公司在招聘人才时，能够有意识地并适当地加强对复合型人才的需求。对于没有相应知识的审计师，我们能够提供培训，定期的在职培训，日常检查，并培养具备软硬件维护能力，了解软件开发和设计以及理解审计实践的复合型人才，这样他们就能够发挥IT审计的作用。 (3管理制度。企业内审应当注重对IT审计系统的评估。结合企业特点来确认系统需要有哪些节点和方面进行审计检测，对审计软件设置、日常管理等流程进行综合评估。 4国家方面。对于IT审计缺乏的理论、准则，应当需要国家出台相关规范、系统的IT审计相关法规，针对部门、企业相关IT审计岗聘用制定任用标准，对IT审计从业人员评估层次、水平的鉴定提供统一参考标准。强化理论知识的学习，吸纳国际成功模型、准则，结合我们国家国情，制定本土化IT审计方案。 结束语 如今，随着信息技术的不断发展，社会大环境产生了一系列变化，例如：IT的应用日益广泛，业务依靠程度越来越高；IT投资规模宏大和ROI无法量化；IT风险加剧；IT业务沟通需要和外部严格的监管的需求等，COBIT的产生能够讲是应需而生。我们国家需要立足国情，制定出一套科学系统的有关信息系统审计的准则与指南。同时，继续深切进入研究国际相关信息系统准则，借鉴其方式方法与理念，研究怎样更好地与我们国家实际情况相结合。IT审计本质是检查、评估，具有判定IT控制能否可实现IT治理目的，是IT治理水平的提高的核心内容。要努力完善我们国家IT审计方面的法规和标准，发展IT审计从业人员，充分借鉴COBIT框架的内容，结合国情制定更灵敏的评价标准，更好应对企业差异化，推动使得IT审计的高校应用，进而促进IT治理快速发展。 以下为参考文献 1Steuperaert D.COBIT 2022:A SIGNIFICANT UPDATEJ.EDPACS,2022. 2刘颖编译.关于IIA的GTAG-1J.中国内部审计,2008(4). 3张文秀,齐兴利,黄溶冰.基于COBIT的信息系统审计框架研究J.南京审计学院学报(4):29-34.