应对IT风险——企业建立COBIT模型的探讨

日期: 2010-08-03 作者:苏志敏 来源:TechTarget中国 英文

  随着我国电子信息及网络技术的发展,我国绝大多数企业均实现了ERP(企业资源计划),除此之外还有电子商务、网络财务等等,这些新兴的电子技术在给企业带来无限发展机遇的同时。也使企业传统的内部控制面临着挑战。

  一、内部控制的概念及发展

  内部控制贯穿企业经营管理的整个过程,是企业的一种自律行为,是为了达成企业目标而形成的方法。其本身并非企业的最终目的。其目的是为了规范企业的经营管理行为,确保企业的资产安全、高效经营,提高企业的经营效益和风险防范能力。传统的内部控制以信息论、系统论、控制论为基础,停留在“职责分离、岗位分工、授权授信、内部审计”层面上。1992年9月美国Treadway委员会发起组成的委员会(Committee of Sponsoring organization softhe Treadway Commission,简称COSO)发布并于1994年修订了一份研究报告:《内部控制一一体化框架》(IntenalControl–Integrated Framework)。该报告将内部控制拓展到了五个方面:

  • 控制环境
  • 风险评估
  • 控制活动
  • 信息与沟通
  • 监督

  这五个控制过程是一个多方向交叉多维的控制过程,体现了当时内部控制研究的最高水准,但是随着控制环境的变化,该方案也在不断的完善,随着信息化的发展,企业信息系统的建设与应用已渗透到各个领域,财务系统的信息化发展更为突出。所以到1996年美国ISACA(信息系统审计与控制协会)颁布了COBrr(信息与相关技术控制目标),并在此后的几年中不断的发展、变化,使之能够适应并满足对信息系统的管理与控制要求。2001年安然事件及2008年金融次贷危机的爆发使得企业内部控制成为人们关注的焦点。COBIT作为较为成熟、权威的安全与信息技术管理和控制的标准,成为了企业对于IT内部流程控制管理标准。

  二、IT环境及其存在的风险

  IT(InformationTechnology)译为信息技术,是指有关信息的收集、识别、变换、存储、传递、处理、检索、检测、分析和利用等的技术。计算机技术与现代通信技术一起构成了信息技术的核心内容。目前我国大部分企业都或多或少使用了信息技术,而且以后会越来越普及,这就意味着每个企业都面临着—个崭新的IT环境。IT环境主要包括网络、硬件、软件平台等要素。网络改变了原来的时空观念,使企业的联系和发展更加快捷有效;硬件主要指的是计算机的物理设备和数据库;软件平台将先进的管理思想与信息技术相结合能极大的提高企业的经营与管理效益。但这些先进的技术也带来了传统内部控制所无法解决的风险,主要有以下几种:

  (一)网络风险

  网络将各个孤立的计算机联系在一起,使的电子商务越来越普遍,但安全的威胁也越来越大。机密的泄露、假冒的威胁、黑客的袭击、病毒的入侵、潜在的不道德事件、客户欺诈风险都威胁着企业的生存与发展。

  (二)硬件风险

  计算机本身和数据库有可能因为自然灾害或人为操作错误导致数据丢失,或由于技术升级使得一些零件不匹配而无法操作。

  (三)软件风险

  IT环境下更大的风险来自于软件系统,软件的生命周期有分析、设计、实施、运行和维护等阶段。其中运行阶段是系统发挥作用的阶段。也是系统存续时期最长的阶段,因此容易产生风险,是内部控制的重点。其中系统在分析阶段主要存在可行性研究的风险和需求分析的风险。可行性研究要考虑新的系统对企业原来的管理模式及员工素质带来的差异.需求分析主要应考虑企业的内部控制节点,如考虑不当将会带来巨大的损失;其次系统在设计阶段要保证其规范性和适应性;最主要的是在系统运行阶段存在数据可能会不完整、不真实的风险;信息的储存及提供的及时性合理性的风险;最后在维护阶段可能产生的职权分离、授权方式、维护人员不能胜任的风险。

  三、COBIT模型的建立及有效实施

  COBIT将IT过程、IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。IT准则集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;IT过程则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术规划与组织、采集与实施、交付与支持、监控等四个领域确定了34个信息技术处理过程。每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。

  COBIT信息技术的控制目标包括以下7各方面:一是有效性(Effectiveness)是指信息与商业过程相关,并以及时、准确、一致和可行的方式传送。二是高效性(Efficiency)关于如何最佳(最高产和最经济)利用资源来提供信息。三是机密性(Confidentiality)涉及对敏感信息的保护,以防止未经授权的披露。四是完整性(Integrity)涉及信息的精确性和完全性,以及与商业评价和期望相一致。五是可用性(Availability)指在现在和将来的商业处理需求中.信息是可用的。还指对必要的资源和相关性能的维护。六是符合性(Compliance)遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。七是信息可靠性(ReLiabilityoflnformation)为管理者的日常经营管理以及履行财务报告责任提供适当的信息。

  COSO控制框架并非是针对IT的管理控制,更多的是关注于与财务风险相关的内容。但控制框架是通用的。COSO框架具有五个层次,即控制环境一风险评估一控制活动一信息和通信一监视,每个层次中都包含很多内控方面的要求。COBIT控制包含四个控制领域,每一个控制领域都渗透于COSO的控制框架之中。在不同层次的控制框架中,COBIT的控制领域涵盖了与内控相关的所有控制内容及控制目标,所以企业应依据自身的特点建立适合自己的COBIT模型来应对IT风险。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐