4.3 当前比较流行的信息化管控模型分为几类?这几类模型之间如何融合使用?
发布时间:2010年08月13日点击数:
作者:ITGov 来源:ITGov中国IT治理研究中心
摘要:
当前比较流行的控制模型分为以下几类:
(1)商业控制模型,主要从受托责任方面来考虑一般控制框架的价值,如美国的COSO,加拿大的COCO;
(2)集中于技术的IT控制模型,如CICA(加拿大特许会计师协会)的IT控制指南和NIST(美国标准技术协会)的安全手册;
(3)沟通IT与商业的控制模型,以COBIT为代表。
商业控制模型集中体现在对业务的控制,缺少对IT控制的阐述和说明;而集中于控制技术的模型没有为支持企业业务过程提供全面有用的IT控制模型。COBIT的目标就是在着重于IT的同时,通过提供紧密联系企业目标的基础来克服商业控制与IT控制之间的鸿沟。COBIT也是主要从企业经营目标和需求角度出发发展控制目标(这和COSO的视角一致,COSO是最早也是最重要的一个内部控制管理框架,信息系统包含在COSO的“信息和沟通部分中。COBIT的控制目标由审计目标(财务信息鉴证、内部控制有效性评价)的视角发展而来。因此COBIT的定位面向更加综合而全面的管理并且在比信息系统管理技术标准更高的层次上进行操作,它是一个IT管理与控制相结合的模型。(整体上来讲,COSO与COBIT是互补的,一个是非IT的控制模型,一个是IT的控制模型,所以我们建议已经或即将采用COSO的组织同时采用COBIT,这是我们在国内很多IT内控咨询项目中得出的重要经验,也代表着内控领域的一个很大的发展趋势。)
COBIT并不是要取代其他控制模型,它只是在借鉴这些控制模型的基础上,在IT环境中提供更加详细的控制框架。COBIT(Control Object of Information and related Technology),直译为信息及相关技术的控制目标,是一个开放性标准,由美国IT治理研究院开发与推广,目前已经成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准提供了IT管理、安全和控制方面的清晰策略和最佳实践,以辅助管理层进行信息化管控。该标准体系已经在世界范围内一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理和信息相关的风险。
与COBIT联系最紧密的是最近出版的关于系统可靠性的AICPA/CICA SysTrust原则和标准。SysTrust是一个有可能用于设计、实施和评估内部控制系统的模型,特别在组织的运营活动对信息技术很依赖的情形下。SysTrust提供鉴证服务,用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信任。SysTrust服务授权注册会计师承担如下保证服务:注册会计师从可用性、安全性、完整性和可维护性4个基本方面评估和测试系统是否可靠。
l 可用性——系统在服务水平声明或协议规定的时间内可以运行和使用;
l 安全性——确保系统拒绝未经授权的物理的或逻辑的访问;
l 完整性——系统的数据处理是完整的、准确的、及时的和被授权的;
l 可维护性——必要时能够升级系统而不影响系统或者与系统的可用性、安全性和完整性相冲突。
SysTrust定义在特定环境下及特定时期内,没有重大错误、缺陷或故障地运行的系统为可靠系统。系统的界限由系统所有者确定,但必须包括以下几个关键部分:基础设施、软件、人、程序和数据。
SysTrust的框架是可升级的,因此,企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出判断,不是对系统整体可靠性的判断。
与COBIT和COSO的互补相类似地,COBIT和SysTrust结合,给组织提供了这样一个机会,在SysTrust检查前按照COBIT流程进行IT操作的自我评估。这样,组织就能先于独立审计师的检查前发现并改进控制弱点。
ITGov专家团队在国内最早从事COBIT等控制模型的研究、培训与咨询工作,我们认为COBIT提供一个基于风险自评估来识别和管理IT相关风险的框架:
(1)COBIT框架的权威性使许多组织确信并采用了它。其318个控制目标是由41个IT安全、审计和控制标准以及全球最佳实践资源形成的。在一些组织里存在的问题可以用COBIT来解决。例如,某商业银行认为其IT方案满足不了业务需要。虽然他们有足够的项目管理流程,但却缺乏统一的系统开发生命周期流程。我们建议他们可以采用COBIT作为指南来实施这个流程。
(2)许多采用COBIT的机构改善了其管理层、用户和审计师之间的沟通,采用COBIT来准备的审计计划和审计报告,使用的是管理术语(如:面向过程,全面质量管理)并针对管理问题(如:责任,达成业务目标)。
(3)还有一些内部审计部门和会计师事务所表示运用COBIT改进了他们的全面审计,信息系统审计师与非信息系统审计师已经运用COBIT来协作完成审计目标并交流审计发现。
为了成功实施,COBIT倡导者必须识别关键的参与者,使他们意识到COBIT的重要性,为他们提供COBIT的教育,并培训COBIT的用户(有关对培训COBIT用户的培训,请参见附录课程内容)。在向管理层和董事会引荐COBIT,可从以下四个方面介绍COBIT:
(1)通过对IT资源进行控制,提供IT服务的成本将降低。COBIT管理指南提供的工具,帮助管理层进行自评估,并选择适当的措施来控制IT和相关技术的实施和改进。这些指南有助于把IT部门和企业目标联系在一起,并提供绩效衡量指标以实现目标。
(2)COBIT减少了管理层的担忧,如怀疑IT资源易受攻击且影响业务目标的实现。
(3)采用COBIT将帮助确信组织遵守有关规则、制度和合同等。
(4)COBIT化的组织表明该组织具有良好的IT管理和控制,这将领先于他们的竞争者,就象有ISO9000证书一样。
另外,COBIT模型则对以下角色起着重要的支撑作用:
l 管理人员:帮助他们在通常无法预测的IT环境中平衡对风险和控制的投资。
l 用户:获得由内部或第三方提供的对IT安全和控制服务的鉴证。
审计人员:证实他们就内部控制问题向管理部门提出的意见和建议。
推荐专题
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved