文档介绍：基于CobiT的信息系统内部控制及审计
作者:王德福    2008-12-2 9:16:57      来源:青海油田公司审计处
随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率,改进服务。会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,使企业面临着前所未有的信息风险,信息系统的安全、可靠、效率也日益重要。
    基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。面对信息系统审计具有的专业性、技术性和复杂性,信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准---CobiT,即信息及相关技术控制目标。这样以CobiT为基础进行信息系统控制和审计成为了可能。
 
一、信息系统内部控制、审计的理论框架
 
    企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。IT控制所关注的对象是企业IT资产的整个运维状况,它与整个企业的内部控制应该是子集与全集的关系。COSO通常作为企业的整体内部控制框架,CobiT则是通用的IT控制框架。COSO框架已广为人知,在此主要介绍CobiT理论框架。
 
1、CobiT简介
    CobiT---信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来,形成一个三维的体系结构(图1)。其中,信息准则维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面。IT资源维描述了IT治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。IT过程维是对信息及相关资源进行规划与处理的过程,从信息系统生命周期的4个域确定了34个信息技术处理过程,每个处理过程包括详细的控制目标(215个)和与控制目标相联系的审计指南。CobiT框架从整体上把企业对IT标准的要求和对IT资源的需求紧密地融入到各个IT过程中。从CobiT的组成成分来看,不仅有管理指南,更有审计指南和具体的控制目标。管理指南提供了管理工具,对IT业务活动进行有效控制,以使IT与业务活动保持一致,并通过传送组织所需信息而使业务活动得以进行。管理指南给出了度量信息系统全生命周期各过程安全、可靠与有效的指标体系,并定义了为管理者提供评估准则的度量模型,指导企业进行自我评价和选择。
    控制目标按照系统生命周期划分为4个域:规划与组织(PO)、获取与实施(AI)、交付与支持(DS)、监控(M);域目标按34个IT过程进行细分,根据每个过程所涉及的系统资源,确定出高层次的控制目标;针对每个IT过程,进一步划分成若干任务,确定具体的控制目标,共215个。针对这些具体控制目标给出了详细的系统管理策略,包括应采取何种措施及要注意的事项等。这种三层架构的控制目标体系