COBIT和SOX合规在企业IT风险控制中的应用.pdf

上海交通大学工程硕士学位论文摘要I COBIT和SOX合规在企业IT风险控制中的应用摘要2002年7月,在安然、世通为首的财务丑闻的推动下,美国国会正式通过了Sarbanes-Oxley法案(简称SOX法案或萨班斯法案),继而内部控制也越来越受到人们普遍关注。虽然萨班斯法案重点关注的是财务报告,但是随着信息技术的发展、企业自动化水平的提高,IT和财务报告的关系变得越来越紧密,IT也需要加强控制以达到SOX合规要求。面对信息系统审计具有的专业性、技术性和复杂性,信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了适用于信息系统控制和审计的标准---COBIT,即信息及相关技术控制目标。本文采用了COBIT技术标准,在介绍内部控制相关理论和萨班斯法案相关章节的基础上,分析信息技术对内部控制的影响,探讨IT风险控制的遵循问题。在本文中,我们通过研究分析,总结出了遵循萨班斯法案的IT风险控制10个步骤:(1)识别企业中的关键系统并且评估风险等级;(2)对现有的IT风险控制措施进行评估;(3)对流程、制度、系统设置等进行控制设计;(4)对设计的控制进行评价并改善;(5)实施控制;(6)对新流程、新设置等控制进行符合性测试,以验证新的控制是否设计有效;(7)对新流程、新设置等控制进行实质性测试,以验证新的控制是否执行有效;(8)对发现的缺陷进行整改;(9)验证内部测试是否达到既定目标;(10)若有实际需要,聘用外部审计师对企业IT风险控制进行独立复核和测试,并出具审计报告。COBIT模型在这10个步骤中,则是最重要的指导和遵循工具。本文的创新之处在于:从COBIT模型和SOX合规目标出发,寻求公司IT风险控制的具体且通用的方法,分公司级控制(ELC)、应用程序控制(AC)和一般控制(GC)三个层面分别建立相应的风险控制矩阵(RCM)模版,对各种可能出现的IT风险提供相应的解决方案,消除IT漏洞所带来的财务风险,进一步符合SOX规范要求。关键词COBIT,萨班斯法案,内部控制,IT风险控制上海交通大学工程硕士学位论文摘要II THE APPLICATION OF COBIT AND PLIANCE IN THE ENTERPRISE IT RISK CONTROL ABSTRACT July 2002, the . Congress officially enacted the Sarbanes-Oxley Act (hereinafter referred to as SOX or Sarbanes Oxley Act) by the impetus of Enron, financial scandals. From then on, internal controls are concerned widely. Although the Sarbanes-Oxley Act focus on financial reporting, as the development of information technology and business automation, IT and financial reporting are increasingly linked, IT also needs to strengthen controls to meet SOX Act. The Information Systems Audit is professional, technical plex, so the Information Systems Audit and Control Association (ISACA) worked out a suitable information system control and auditing standards --- Control Objectives for Information and related Technology (COBIT). Here we analysed the COBIT technical standards, the theory of internal controls and Sarbanes-Oxley Act, discussed the information technology on internal control. In this paper,we sumed up 10 steps ply with the Sarbanes-Oxley Act: (1) Identify the critical systems and assess the risk level; (2) Evaluate t