- 中国IT服务管理指南:理论篇(第2版)
- 翰纬IT服务管理文库
- 2759字
- 2020-07-09 16:23:31
3.7 治理、风险与合规管理标准
3.7.1 ISO/IEC 38500
ISO/IEC 38500:2008 IT治理国际标准(Corporate governance of information technology)于2008年4月正式发布,这是第一个IT治理国际标准,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。
这套标准是从澳大利亚标准AS8015:2005基础上发展而来,原称ISO/IEC 29382,现在正式官方命名为ISO/IEC 38500。该标准提供了一套系统的模型、原则和词汇,用来帮助公司IT治理的实施。
该标准用来确保利益相关者对于组织IT治理的信心,指导管理者进行IT治理,为IT治理的目标评估提供基础。
该标准一共包括3个部分的内容,其中第一部分是“范围、应用和目标”;第二部分是“良好的IT治理框架”,介绍了IT治理的原则和模型;第三部分是“组织IT治理实施指南”,介绍了IT治理实施的6个方面的原则。
3.7.2 COBIT
1.COBIT历史背景
COBIT全称“信息及相关技术的控制目标”(Control OBjectives for Information and related Technology, COBIT)。COBIT最早依据ISACA的控制目标而建立,并通过吸收国际先进技术和各种专业行业标准,如技术标准、执行规则、信息系统质量标准、内控和审计专业标准以及工业实践和行业需求等,不断得以完善。最新版的COBIT“更专注于帮助高层和员工应对其所面临的不断发展的职责要求”,并且更加重视COBIT与其他标准(ITIL、CMM、COSO、PMBOK、ISF和ISO 17799)之间的协调。如今,COBIT已经成为国际上信息及相关技术控制的事实标准,并通过大量的企业实践,指导企业有效地管理和控制与IT相关的风险,是一套行之有效的IT治理模型和开放性标准。
2.COBIT控制原理
COBIT的控制原理源自这样一个假设:IT部门的最高准则和目标是及时向企业提供实现其战略或业务目标所需的、准确的信息,在此准则下,有必要将IT资源划分为一系列IT流程进行管理。这样,COBIT将信息准则、IT资源以及IT流程联系起来,形成一个三维的体系结构,如图3-5所示。
图3-5 三维结构COBIT立方体(来源:ISACA)
信息准则—信息准则集中反映了企业的战略目标和业务需求。COBIT通过参考COSO等控制模型,定义了7个不同的信息评价指标衡量其是否满足业务需求,即信息的有效性(Effectiveness)、高效性(Efficiency)、机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、一致性(Compliance)、可靠性(Reliability)。
IT资源—在COBIT中,IT资源主要包括人、应用系统、信息、基础设施在内的信息相关的资源,这是IT流程处理的主要对象。
IT流程—IT流程指的是在信息准则的指导下,对IT资源进行规划与处理。从本质上看,对IT资源的管理包含了三层工作:最底层是基本的活动和任务(Activity);往上是流程(Process),它由一系列关联的能够自然终止的活动和任务组成;再往上是流程按照组织结构中的责任区别划分的控制域(Domain),同时符合流程中的管理周期或生命周期。
在市场竞争环境下,如何在商业目标、IT资源、IT流程三者之间构建起一条畅通无阻的沟通纽带是十分重要的。COBIT通过在IT流程中建立起控制目标和控制程序,成功将IT资源与信息准则(商业目标)连接起来:
● 信息资源接受商业目标提出的需求;
● 控制模型对信息资源进行管理与控制;
● 商业目标从IT流程的控制模型中获取信息,判断其目标达到的程度。
这样,在一个由三者共同组成的循环中,IT资源得以充分利用,IT流程得以优化,IT准则得以实现,从而保障组织目标的顺利达成。
3.7.3 SOX法案
如今的商业环境高度信息化,控制IT风险、实施IT内部控制机制是企业管理者和IT经理们不能回避的问题。事实上,SOX法案已经对IT控制提出了实质的要求——提高内控效力,通过SOX合规审计已经成为美国上市企业IT部门的一项重要任务。而对于目前还未面临IT内控审计压力的组织,借鉴国外企业应对SOX的经验是对自身的IT控制进行反思与改进的难得契机。
1.SOX法案简介
SOX法案全称萨班尼斯-奥克斯莱(Sarbanes-Oxley)法案,也叫做“上市公司会计改革与投资者保护法案”。该法案最早于2002年2月14日由美国议员萨班尼斯(Sarbanes)和奥克斯莱(Oxley)提交给国会众议院金融服务委员会。在“世通丑闻”的影响下,7月25日SOX法案在国会参众两院获得加速通过。7月30日,总统乔治·W·布什签署同意该法案使其成为美国的一项法律。
SOX法案共分11章,其中第1章至第7章主要涉及对会计职业及公司行为的监管,而第8至第11章主要涉及如何界定和追究公司高管及白领犯罪的刑事责任。无论是法案内容本身还是法案通过的过程,SOX都体现了美国金融市场的监管者要求“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的”的坚定决心,这也反应在对提高公司财务透明程度、规范程度和可信程度的要求上。
SOX法案要求企业针对产生财务交易的所有作业流程,做到可见、透明、可控、互通,详加记录以便追溯交易源头,并采取措施进行风险管理和欺诈防范。按照SOX的规定,公司的CEO和CFO(或任何执行此类职能的人)需要承担个人责任,他们必须保证公司向美国证券交易委员会(SEC)递交的法定申报信息中,所披露的季度和年度财务报告是准确的,信息披露的管理措施、步骤、实施和保持是合理的。
2.SOX与IT管控
不论从理论还是操作层面上来看,企业达到SOX法案的关键是建立良好的公司治理环境和内部控制机制,而IT对此是不能置身事外的。PCAOB特别在审计标准中指出,未能有效控制的环境,包括IT环境,至少是对财务报告过程控制的一项严重缺陷。
3.SOX合规对IT的要求
从IT的角度审视SOX法案,其中主要有四项条款与IT部门相关,需要引起IT管理人员的重视,它们分别是302条款、404条款、409条款和1102条款。
表3-4 涉及IT的SOX条款及其相应内容
在SOX法案中,SOX404是被人们提及频率最高的条款之一,它篇幅不长,从字面上看与IT没有丝毫联系。但实际上,正是SOX404把IT推到了前台,使人们不得不重视IT在SOX合规中发挥的关键作用。SOX404要求企业建立完善有效的内部控制机制,是希望企业能够对公司各个层面进行普遍的控制,其最终目的还是为了从根本上保证公司财务信息处理和披露流程的有效性和完整性。
IT和财务信息处理流程的密切联系使IT成为在SOX合规中需要进行重点评估和控制的领域。一个企业如果IT管理和控制缺位,就很容易造成数据环境档次低下,财务信息互相孤立,数据安全无法保障等一系列问题,它的财务信息处理一定是低效率高风险的。所以,提高企业对IT相关流程、技术、设备以及风险的控制能力是达到SOX合规的必然要求。
鉴于IT在SOX合规中的重要作用,企业成立SOX合规领导小组时必须包括来自IT部门的代表,因为企业的SOX合规目标离不开IT的支持。在SOX合规中,IT的主要职责和活动包括:
● 了解组织的内控项目和财务汇报流程;
● 确定与内控活动或财务汇报流程相对应的IT系统;
● 分析辨别这些IT系统带来的风险;
● 设计执行控制措施降低或排除潜在风险,对此进行监控以保证控制措施的长期效力;
● 将控制措施文档化和信息化,并进行测试;
● 即时地对IT控制进行必要的升级和变更,以配合公司内控或财务汇报流程的变化;● 随时监控IT控制的效力;
● 作为一个重要的职能部门全程参与SOX合规管理项目。
【小贴士】
治理、风险与合规管理,这个领域在国外有一个专用词汇:GRC,即Governance, Risk和Compliance。