COBIT及其在信息系统控制与审计中的应用.pdf

《COBIT及其在信息系统控制与审计中的应用.pdf》由会员分享，可在线阅读，更多相关《COBIT及其在信息系统控制与审计中的应用.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、审计研究 2006年增刊COBIT及其在信息系统控制与审计中的应用陈婉玲 袁若宾(中山大学管理学院 510275)【摘要】COBIT是信息及相关技术控制目标的简写,它由信息系统审计与控制协会的IT治理学会开发和推广,是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。本文简要地介绍了CO2BIT的构成和框架内容,在此基础上,讨论了其对我国信息系统控制、信息系统审计及信息系统审计准则制定等方面的启示。【关键词】COBIT 信息系统控制 信息系统审计COBIT全名是Control Objectives for Infor2mation and related Technology,即

2、信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准由信息系统审计与控制协会(Information System Auditand Control Association缩写为ISACA)的IT治理学会(IT Governance Institute,缩写为ITGI)开发和推广,为IT的治理、安全与控制提供了一个一般适用的公认标准,以辅助管理层进行IT治理。自1996年COBIT问世以来,该标准体系经1998年和2000年的修改补充,现在已经发展到第三版,已在全世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相

3、关的风险。随着我国信息化的发展,IT的治理的要求已十分迫切。COBIT对信息系统控制与审计有很好的指导作用,在现阶段介绍和引进COBIT,对推动我国信息化的健康发展有重要作用。一、COBIT简介COBIT第三版由六部分组成:执行概要、框架、执行工具集、管理指南、控制目标和审计指南,见图一。执行概要(Executive Summary)解释了COBIT的关键概念和原则,是专门为资深管理层设计的。框架(Framework)描述了COBIT的三维结构体系,见图二。其中信息准则(或称IT标准)维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、机密性、完整性、可用性、一致性、可靠性等

4、七方面。IT资源维描述了IT治理过程的主要对象,有人员、应用系统、技术、设施和数据等5类。IT过程维是对信息及相关资源进行规划与处理的过程,从信息系统生命周期的四大域确定了34个信息技术处理过程,每个处理过程包括详细的控制目标和与控制目标相联系的审计指南。COBIT的框架从整体上把企业对IT标准的要求和对IT资源的需求紧密地融入到各个IT过程中。管理指南(Management Guidelines)提供了管理工具,对IT业务活动进行有效控制,以使IT与业务活动保持一致,并通过传送组织所需信息使业务活动得以进行。管理指南给出了度量信息系统生命周期各过程安全、可靠与有效的指标体系,并定义了为管理者

5、提供评估的度量模型。其中成熟度模型(Maturity Models)用来帮助确定每一个控制阶段是否符合行业和国际标准;关键成功因素(CriticalSuccess Factors)用来确定IT程序中最需要进行控39图一来源于COBIT FAMIL Y OF PRODUCT,Page 19 ofCOBIT 3rdEdition Control Objectives。图2来源于THE FRAMEWORKS PRINCIPLES,Page 16of COBIT 3rdEdition Control Objectives。审计研究 2006年增刊图1COBIT的组成结构图2COBIT的三维结构体系制的

6、活动;关键目标指标(Key Goal Indicators)用来定义绩效的目标水准;关键绩效指标(Key Perform2ance Indicators)用来测量IT控制的程序能否达到目标。这些管理指南都是为了确保企业成功及有效地整合企业业务流程与信息系统。控制目标(Control Objectives)根据域、过程、任务活动三层体系对总体目标进行分解,通过对特定的活动实施控制,以达到预定的系统目标。按照系统生命周期划分为四个域:规划与组织(PO)、获取与实施(AI)、交付与支持(DS)、监控(M);域目标按34个IT过程进行细分,根据每个过程所涉及的系统资源,确定出高层次的控制目标;针对每个

7、IT过程,进一步划分成若干任务,确定具体的控制目标,共318个。针对这些具体控制目标给出了详细的系统管理策略,包括应采取何种措施及要注意的事项等。这种三层架构的控制目标体系使系统管理目标更加明确、可操作性更强。审计指南(Audit Guidelines)为中介评估机构或信息系统审计师对信息系统的控制进行了解、评估和实施审计提供建议与指导。这一部分不仅给出了IT审计的一般方法和要求,而且根据COBIT的框架,针对信息系统34个高层次控制目标建议了相应的审计步骤,为信息系统审计师具体检验和评价各IT过程是否符合318个具体控制目标给出了详细的审计指南,并指出了各控制目标未达到时会带来的风险及改进控

8、制的建议。它为信息系统审计师进行信息系统控制审计及提出改进系统控制建议提供有用且方便的工具。应用工具集(Implementation Tool Set)包括管理意识(management awareness)、IT控制诊断(ITcontrol diagnostics)、应 用 指 导(ImplementationGuide)、常见问题集(frequently asked questions)、49审计研究 2006年增刊个案研究(case studies)以及介绍COBIT的相关课件(slide presentations)。这些工具集的设计主要是让COBIT的应用更加便利,使组织可以快速且成

9、功地掌握如何在不同的工作环境中应用COBIT。二、COBIT在信息系统控制上的应用 目前,我国“信息化带动工业化、工业化促进信息化”的战略国策日益深入人心,各行各业的信息化应用已取得了世人瞩目的成就。在这样的背景下,信息化建设和推进中深层次的问题开始受到广泛的关注。如何将IT战略与企业战略相融合?如何从公司治理的高度,对企业信息化做出制度安排?如何加强IT控制,降低信息系统的风险?诸多问题急待解决。为使信息化健康地发展,对信息系统整个生命周期过程实施有效的控制就显得尤为重要。COBIT在信息系统控制方面,提供了一系列可行的策略和标准,对我国开展信息系统控制有很好的启示和指导作用。表一是COBI

10、T的34个高层次控制目标汇总 表1高层控制目标汇总表域过程IT标准IT资源有效性效率机密性完整性可用性一致性可靠性人员应用技术设备数据规划与组织PO1定义IT战略规划PSPO2定义信息体系结构PSSSPO3确定技术方向PSPO4定义IT组织与关系PSPO5管理IT投资PPSPO6传达管理目标与方向PSPO7人力资源管理PPPO8确保与外部需求的一致性PPSPO9风险评估PSPPPSSPO10项目管理PPPO11质量管理PPPS获取与实施AI1确定自动化的解决方案PSAI2获取并维护应用程序软件PPSSSAI3获取并维护技术基础设施PPSAI4程序开发与维护PPSSSAI5系统安装与鉴定PSSA

11、I6变革管理PPPPS交付与支持DS1定义并管理服务水平PPSSSSSDS2管理第三方的服务PPSSSSSDS3管理性能与容量PPSDS4确保服务的连续性PSPDS5确保系统安全PPSSSDS6确定并分配成本PPDS7教育并培训用户PSDS8协助并为客户提供建议PPDS9配置管理PSSDS10处理问题和突发事件PPSDS11数据管理PPDS12设施管理PPDS13运营管理PPSS监控M1过程监控PPSSSSSM2评价内部控制的适当性PPSSSPSM3获取独立性的证明PPSSSPSM4提供独立的审计PPSSSPSP:主要的 S:次要的:涉及的表,该表分为三个维度,第一个维度按照信息系统生命周期模

12、型划分为四个域,确定了34个信息技术处理过程。第二个维度描述了对于每个信息技术处理过程,哪些IT标准是重要的(表中P表示最主要的标准,S表示较为次要的标准)。第三个维度则描59 表一来源于CONTROL OBJ ECTIVES SUMMARY TA2BLE,Page 20 of COBIT 3rdEdition Control Objectives。审计研究 2006年增刊述每个信息技术处理过程具体涉及哪些IT资源,涉及到的IT资源就是我们在实施控制过程中需要重点关注的对象。利用表一,组织管理人员可以清楚看到,在信息系统生命周期各阶段的各项工作中,各项IT标准的重要性和对哪些资源应实施控制。例

13、如,从表中可以看出,在确保服务的连续性(DS4)这一IT过程中,所涉及的IT资源包括人员、应用、技术、设备和数据,这些IT资源的有效性、可用性是最重要的控制目标,效率是相对次要的控制目标,其他的IT标准则不太重要。也就是说,COBIT认为,在确保信息系统服务的连续性这一过程中,从技术角度和成本收益角度考虑,企业不可能获得100%的系统可靠性,系统发生故障的可能性总是客观存在的,而在系统出现故障时,如何把其对业务活动的影响控制在最小的程度,尽快使系统恢复有效性和可用性才是决定业务运行安全的最重要因素。进一步把这些控制目标具体化,即需要设置控制程序来确保:有合理的系统故障重要性分类,故障发生时有业

14、务活动的替代流程,有备份和恢复程序,定期对系统的软硬件进行测试并对相关人员进行故障处理培训等。从上例可见,信息系统管理和控制人员可方便地通过分析COBIT的控制目标汇总表,了解和掌握每个IT过程中最重要和相对重要的控制目标,并根据这些应达到的控制目标,设置适当的控制程序对有关的IT资源实施控制。COBIT是信息系统管理和控制人员实现对信息系统生命周期全过程有效控制的有用工具。三、COBIT在信息系统审计上的应用 从审计的发展历程看,控制与审计的关系日趋密切,现代审计的一个重要特征就是在审计时,首先要研究与评价被审计单位的内部控制。COBIT不仅为人们提供了信息系统控制目标和IT标准,而且提供了

15、信息系统的审计指南。COBIT对我国开展信息系统审计有很好的启示和指导作用。下面我们简要介绍一下如何利用COBIT来指导信息系统的审计。现代审计是以风险为导向的审计,特别重视对审计风险的控制。审计风险包括固有风险、控制风险和检查风险。虽然固有风险和控制风险与被审计单位有关,审计人员对此无能为力,但审计人员可以在对固有风险和控制风险的高低做出评估的基础上,确定实质性测试的性质、时间和范围,以便将检查风险以及总体审计风险降低至可接受的水平。COBIT中的管理指南、控制目标和审计指南,正好可以指导我们评价信息系统的固有风险、控制风险和检查风险。例如,管理指南给出了度量信息系统安全、可靠与有效的指标体

16、系,给出了为管理者提供评估标准的度量模型。其中成熟度模型可以帮助确定被审信息系统是否符合行业和国际标准,通过与行业和国际标准相比较,审计师可以了解被审计信息系统的固有风险水平。而控制目标按照域、过程和任务活动逐步细化,定义了四个域的34个高层次控制目标以及318个具体控制目标,通过评估被审信息系统在各个层面上是否达到了控制标准,就可以确定信息系统的控制风险水平。COBIT的审计指南为中介评估机构或信息系统审计师对信息系统进行分析、评估和实施审计提供了建议与指导,可以直接使用于信息系统审计。传统审计可按施行时间的不同划分为事前、事中和事后审计,而信息系统审计按照信息系统生命周期的不同阶段,同样也

17、可以分为系统规划与组织过程的审计、系统获取与实施过程的审计、系统交付与支持过程的审计、系统监控过程的审计。在信息系统审计中,可借助COBIT的“控制目标汇总表”(表一)确定各个IT过程的具体审计目标。例如,在程序开发与维护(AI4)这一IT过程中,所涉及的IT资源包括人员、应用、技术、设备,这些IT资源的有效性、效率是最重要的控制目标,完整性、一致性和可靠性则是较为次要的控制目标,相应地,审查这些控制是否达到标准就是这一过程的具体审计目标。以人员为例,在这一IT过程的审计中,审计人员要重点关注系统开发人员是否有效(是否有专业能力,能否胜任系统开发工作)并保持高效率工作;其次要关注开发人员的完整

18、性(即整个开发团队的完整性,是否有真正起作用的用户代表和内审人员的参与)、一致性(即队伍是否稳定,人员不会经常发生变动)以及可靠性(即人员的忠诚可信,已签订保密协议等)。虽然具体审计目标的确定只是审计工作的开始,但只有把具体目标定下来之后,才能进行下一步的审计测试。COBIT不仅可帮助确定每一IT过程的具体审计目标,而且其审计指南建议了每一IT过程具体的审计步骤,并对如何开展审计测试提供了操作规范和方法。(下转第104页)69 审计研究 2006年增刊API序列,不妨记为Ag。(i)将Ag和检测器匹配,如果匹配则认为程序行为异常,发出报警;否则继续。(ii)如果达到最大进化代数,则选择一批新的

19、待检测API序列作为Ag,重新开始检测。否则对检测器进行进化,根据Ag和检测器匹配的情况进行亲合度变异操作和基因库进化操作,产生新的检测器,转(i)。以上介绍了API序列实时监控和分析算法的基本步骤。61 结束语 应用软件的审计是一个系统性的工程问题,如何保证审计的高效和完整,是目前应用审计研究的重要内容之一。本文在基于人工免疫的应用软件审计方法方面给出了一些具体的算法,具有一定的可操作性,但仍需不断完善。任何单一的计算机辅助审计技术都难于保证它能发现全部欺诈、违规行为。基于人工免疫的模型和算法因其固有优点将会在针对应用软件审计的计算机辅助审计中发挥一定的作用。主要参考文献:董化礼、刘汝焯等,

20、2002,计算机审计-数据采集与分析技术,清华大学出版社。董化礼、刘汝焯等,2003,计算机审计案例精选,清华大学出版社。黄晓辉、张四海、王煦法,2005,“基于免疫网络的分类应用于审计欺诈检测”,计算机工程与应用。黄晓辉,2005,“基于人工免疫网络的数据分类算法研究”,中国科学技术大学硕士学位论文。龙振洲,1999,医学免疫学,人民卫生出版社。罗文坚,2003,“面向入侵检测的人工免疫模型和算法研究”,中国科学技术大学博士学位论文。刘汝焯等,2004,计算机审计技术和方法,清华大学出版社。虞震,2004,“免疫联想记忆及其在计算机病毒检测中的应用研究”,中国科学技术大学硕士学位论文。J.T

21、immis.Artificial immune systems:a novel data analysistechnique inspired by the immune network theory.ComputerScience Department at the University of Wales,Aberystw2yth,Ph.d thesis,2001.L.N.de Castro,F.J.Von Zuben.Learning and optimiza2tion using the clonal selection principle.IEEE Transactionson Evo

22、lutionary Computation,Special Issue on Artificial Im2mune Systems,6(2),pp.229-251,2002.L.N.de Castro,J.I.Timmis.Artificial immune systems:a new computational intelligence approach.Springer-Ver2lag,London,September,2002.S.Forrest,A.S.Perelson,L.Allen,R.Cherukuri.Self-nonself discrimination in a compu

23、ter.Proceedings of IEEESymposium on Research in Security and Privacy,pp.202-212,Oakland,CA,16-18 May 1994.(上接第96页)四、COBIT对我国信息系统审计准则制定的启示 目前,我国在信息系统审计方面的规定或准则很不完善,只有1993年发布的 审计署关于计算机审计的暂行规定,1996年发布的 审计机关计算机辅助审计办法,1999年发布的 独立审计具体准则第20号 计算机信息系统环境下的审计 和2001年发布的 关于利用计算机信息系统开展审计工作有关问题的通知。从这些规定的具体内容来看,我国在

24、信息系统审计方面,主要停留在对信息系统环境下会计信息的审计,计算机仅是一种辅助审计工具,缺乏对信息系统自身的审计和相关的审计准则。Ron Weber在 信息系统审计与控制 一书中指出,“信息系统审计是一个通过获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程”。从这个定义看,信息系统审计的主要目标是保证信息系统的可靠性、安全性和有效性,以实现组织的目标。这些审计目标与COBIT中的IT的标准非常相似。虽然COBIT从名称上来看,是信息及相关技术的控制目标,但其体系涵盖了信息系统审计的指南。而且,从审计的发展历程来看,控制与审计的关系日趋密切。所以,在没有现成的准则可供使用的情况下,开展信息系统审计时我们可以借鉴COBIT中的相关标准与指南。随着信息化的发展,我国急需制定与完善有关信息系统审计的准则与指南。在研究和制定信息系统审计准则中,我们应尽可能借鉴国际的经验和相关的标准与规范。COBIT给了我们很好的启示,研究其内容和标准,尤其是其中的审计指南,对我国信息系统审计准则的制定能起到一定的指导作用。主要参考文献:IT Governance Institute,COBIT 3rd Edition Control Objec2tives.401