基于CobiT的信息系统内部控制及审计.pdf

《基于CobiT的信息系统内部控制及审计.pdf》由会员分享，可在线阅读，更多相关《基于CobiT的信息系统内部控制及审计.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、基于基于 CobiTCobiT 的信息系统内部控制及审计的信息系统内部控制及审计随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率，改进服务。会计电算化、电子商务(EC)、管理信息系统（MIS）、企业资源计划(ERP）的逐步实施与普及应用，使企业面临着前所未有的信息风险，信息系统的安全、可靠、效率也日益重要。基于信息系统的重要性及 IT 挑战，产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。面对信息系统审计具有的专业性、技术性和复杂性，信息系统审计与控制协会（ISACA）的 IT 治理学会(ITGI）制定出了专门适用于信息系统控制和审计的标准

2、-CobiT，即信息及相关技术控制目标.这样以 CobiT 为基础进行信息系统控制和审计成为了可能.一、信息系统内部控制、审计的理论框架一、信息系统内部控制、审计的理论框架企业 IT 控制是企业内部控制的控制环境要素在受到 IT 广泛应用的影响之下而逐渐形成并发展的。IT控制所关注的对象是企业 IT 资产的整个运维状况，它与整个企业的内部控制应该是子集与全集的关系。COSO 通常作为企业的整体内部控制框架，CobiT 则是通用的 IT 控制框架。COSO 框架已广为人知，在此主要介绍 CobiT 理论框架。1、CobiT 简介 CobiT-信息及相关技术控制目标，它是目前国际上公认的最先进、最

3、权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。CobiT 将 IT 过程、IT 资源及信息准则与企业的策略与目标联系起来，形成一个三维的体系结构（图 1）。其中,信息准则维集中反映了企业使用 IT 的战略目标，包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等 7 方面.IT 资源维描述了 IT 治理过程的主要对象,有人员、基础设施、信息、应用系统等 4 类。IT 过程维

4、是对信息及相关资源进行规划与处理的过程，从信息系统生命周期的 4 个域确定了 34 个信息技术处理过程，每个处理过程包括详细的控制目标（215 个）和与控制目标相联系的审计指南。CobiT 框架从整体上把企业对 IT 标准的要求和对 IT 资源的需求紧密地融入到各个 IT 过程中.从 CobiT 的组成成分来看，不仅有管理指南,更有审计指南和具体的控制目标。管理指南提供了管理工具,对 IT 业务活动进行有效控制,以使 IT 与业务活动保持一致，并通过传送组织所需信息而使业务活动得以进行。管理指南给出了度量信息系统全生命周期各过程安全、可靠与有效的指标体系，并定义了为管理者提供评估准则的度量模型

5、,指导企业进行自我评价和选择。控制目标按照系统生命周期划分为 4 个域：规划与组织（PO）、获取与实施（AI）、交付与支持(DS)、监控(M）;域目标按 34 个 IT 过程进行细分，根据每个过程所涉及的系统资源，确定出高层次的控制目标;针对每个 IT 过程，进一步划分成若干任务，确定具体的控制目标，共 215 个.针对这些具体控制目标给出了详细的系统管理策略,包括应采取何种措施及要注意的事项等。这种三层架构的控制目标体系使系统管理目标更加明确、可操作性更强.审计指南给出了IT 审计的一般方法和要求，而且根据CobiT 的框架，针对信息系统34 个高层次控制目标建议了相应的审计步骤，为信息系统

6、审计师具体检验和评价各 IT 过程是否符合 215 个具体控制目标给出了详细的审计指南，并指出了各控制目标未达到时会带来的风险及改进控制的建议。它为信息系统审计师进行信息系统控制审计及提出改进系统控制建议提供有用且方便的工具。CobiT 是一套专供企业经营者、使用者、IT 专家、审计员与安全人员来强化和评估 IT 管理和控制的规范，使 IT 管理工作简单化、具备良好的可操作性。CobiT 从其适用范围、内容等方面具备作为一个信息系统内部控制、审计标准的条件。2、CobiT 与 COSO 之间的关系 COSO 没有明确 IT 内部控制的目标和相应的控制活动的需求，同样 PCAOB 审计准则也没有

7、特别指出哪些 IT 内部控制目标和控制活动是必需包括的内容；信息系统内部控制是企业整体内部控制的有机组成部分,必须符合 COSO 框架；信息系统内部控制及审计具有其专业性、技术性和复杂性。为解决这个问题,IT 治理学会（ITGI）2004 年颁布了 CobiT 中与 SOX 法案第 404 条条款相关的 IT 控制目标。因此,可以这样理解：COSO 强调内部控制是一个程序,突出了保证财务报告可靠性这一目标,而 CobiT 将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序.因此,通过有效地应用 CobiT 框架可帮助企业来达到 COSO 的监控要求。CobiT 不仅提供了

8、信息系统控制目标和 IT 标准，而且提供了信息系统的审计指南.CobiT 对 COSO 的遵从性。图 2 是 SOX 与 CobiT 控制目标以及 COSO 五层内控框架的对应关系，与 SOX 配套的 CobiT 控制和审计标准详细提出了满足 SOX 要求的具体控制点，其中明确要求对操作行为的控制要求，包括监控和审计。最右边标识的前后维度是SOX 维，这里列出了SOX 合规性和 IT最为相关的404条款和302条款.最左边标识的上下维是-COSO框架的五个层次：控制环境风险评估控制活动信息和通信监视。最上面的左右维讲的是 CobiT 的四个控制域。如此，CobiT 符合了 COSO 要求,同时

9、 CobiT 为信息系统控制与审计的特殊性提供专业支持。CobiT 可以映射到 COSO。表1 反映了 CobiT的 4 个域的 34 个过程对 COSO 框架 5 个要素的映射关系。描述了对于每个信息过程，哪些 IT 标准是重要的，哪些 IT 标准是次要的；描述每个信息过程具体涉及哪些 IT 资源。对于重要的 IT 标准和涉及到的 IT 资源就是在实施控制过程中需要重点关注的对象。如此，确定了信息系统控制的重点,具有良好的针对性。二、信息系统内部控制的实施二、信息系统内部控制的实施 CobiT 框架是信息技术管理的通用标准，具有通用性、一般性.在运用 CobiT 框架来控制企业信息化时，要根

10、据企业的实际情况把它个性化和具体化。(1)企业通过 CobiT 的成熟度模型，必须了解自己信息化管理和控制所处的状态，了解自身的薄弱环节,使得企业具有信息化管理和控制的概念.（2)企业在应用 CobiT 框架时，要根据企业的战略目标来确定企业信息化的准则，了解需要投入的 IT 资源、可以达到的 IT 目标，以及每个 IT 流程的运转情况.(3）企业应以 CobiT 的 34 个 IT 处理过程为模版，结合企业的业务流程和信息系统的具体情况，建立基于企业特殊要求的 IT 流程，然后提出每个 IT 流程的控制目标，并将其细化到任务活动的控制目标，使得每一个 IT 活动都有具体的控制标准。（4)信息

11、系统审计是 CobiT 框架的一个部分，是对企业信息化控制的一个不可忽略的环节。IT 审计人员应根据企业信息化的具体情况，以 CobiT 框架的审计指南为蓝本,对信息化的成果进行审计。信息系统内部控制的实施通常由 9 个阶段构成:1、计划和范围;2、执行风险评估；3、识别重要的控制；4、文件化控制；5、评价控制设计;6、评价运营效力;7、识别并改进不足;8、文件化过程和结果;9、建立持续性.其中，步骤2 和步骤 3 是实施内部控制的重要环节。通过步骤 2，对特定的风险区域及 IT风险进行风险评估，识别与信息系统相关联的风险以及相关的 IT 资源；通过步骤 3,对系统所涉及的域、过程、活动进行信

12、息系统的应用控制及一般性控制的识别.在实施过程中，应充分利用高层次控制目标汇总表（表 1）。组织管理人员可以清楚看到,在信息系统生命周期各阶段的各项工作中，各项 IT 标准的重要性和对哪些资源应实施控制。信息系统管理和控制人员可方便地通过分析 CobiT的控制目标汇总表，了解和掌握每个 IT 过程中最重要和相对重要的控制目标，并根据这些应达到的控制目标，设置适当的控制程序对有关的 IT 资源实施控制。三、信息系统审计的实施三、信息系统审计的实施信息系统审计是一个通过获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。从过程角度

13、而言,审计对象存在于信息系统的整个生命周期之中,是指各类以计算机为核心的信息系统及其相关的技术和管理活动.信息系统审计的主要目标是保证信息系统的可靠性、安全性和有效性，实现企业目标。可靠性是指信息系统的质量，即故障发生概率、影响的范围大小及故障恢复的程度；安全性是指信息系统对自然灾害、不正当存取等破坏行为的防范程度，具体包含可用性、保密性、有效性三方面。有效性是指信息系统的所有资源利用的合理程度.1、信息系统审计面临的问题及对策信息系统审计的观念模糊。很多人认为信息系统审计就是对会计信息系统的审计或利用计算机对被审计单位的财务数据进行的审计。这种观念已经突显出其局限性和片面性。现代审计已由查错

14、纠弊审计、制度基础审计，发展为风险基础审计。CobiT 中的管理指南、控制目标和审计指南,恰好可以指导评价信息系统的固有风险、控制风险和检查风险(风险基础审计的三个基本要素）。信息系统审计准则不完善。我国目前仅有审计署关于计算机审计的暂行规定，审计机关计算机辅助审计办法，独立审计具体准则第 20 号-计算机信息系统环境下的审计和关于利用计算机信息系统开展审计工作有关问题的通知等，缺乏信息系统审计的相关准则。CobiT 体系提供了信息系统审计的指南，由基本标准、具体准则、执业指南三层次组成。所以，在没有现成的准则可供使用的情况下，开展信息系统审计时我们可以借鉴 CobiT 中的相关标准与指南.审

15、计方式较为落后。手工审计仍为主要方式，计算机辅助审计处于推广阶段。在信息技术环境下，审计软件包、嵌入式审计模块、平行模拟、较简单的计算机编程等审计方式和手段需得到推广应用。组织机构缺失、人员素质亟待提高。应建立专门的信息系统审计部门，培养专业的信息系统审计人才,鼓励审计人员考取符合 CobiT 要求的注册信息系统审计师（CISA)执业资格，丰富审计队伍构成，提高整体审计能力。2、信息系统审计的方法信息系统审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。其中，准备阶段和报告阶段与传统审计相同，而实施阶段所涉及的技术方法则具有信息技术的特色.在实施阶段，针对被审计的信息系统，审计师所

16、开展的工作可以分为三个层次，即了解、描述和测试.对信息系统审计的方法既包括一般方法即手工方法，也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述,包括：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等.应用计算机的方法用于对信息系统的控制测试，包括：测试数据法、平行模拟法、在线连续审计技术、综合测试法、受控处理法和受控再处理法等。审计师可能无法充分理解企业的运营系统，而且即使能理解，也难以客观地评价它.但在客观地评价控制系统方面，内部审计师却是经过专业培训的，对控制的评价完全处于审计师的理解和检查能力范围内,而这种技能正是审计师的“魔

17、杖”。信息系统有其专业性、复杂性、技术性，所以信息系统的内部控制是审计的重点及基础。信息系统的内部控制主要分为应用控制、一般控制和管理控制等三个方面,在审计过程中要对信息系统的内部控制进行评价，审计师必须验证内部控制系统是否存在，并能提供令人满意的证据证明它正在有效地发挥作用。如信息系统总体控制(GCC）、应用系统控制(AC)和电子表格控制的符合性测试就是一套完整的信息系统内部控制评估。信息系统审计可作为常规业务审计的一部分，也可作专项审计。运用CobiT 实施信息系统审计，从 CobiT 有关的域、过程、活动中的控制目标入手，进行风险分析，得出与该过程相关的风险控制目标，再从风险控制目标中导

18、出与该目标相关的风险控制点。针对每个风险控制点，结合企业自身的技术特色，找出其所包含的风险检查点，风险检查点又可以组成对相关部分的检查表.针对检查的结果，与 CobiT 相关部分中的要求相比照，找出相关的薄弱点，并就此提出相应的改进意见.基于 CobiT 的信息系统控制与审计模型,将便于人们对信息系统建设与应用过程的理解与分析，将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者，将帮助他们在通常不可预测的 IT 环境下平衡风险与投资。对信息系统的使用者，将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言，将帮助他们明确审计轨迹，使他们作出的确认或咨询更具说服力。