IT治理与企业内控.ppt

IT治理与企业内控何迪生DixonHo主席|ISACA国际资讯系统审计协会(北京委员会)副主任|中国信息化推进联盟-信息安全专业委员会信息安全及基础架构总监|Microsoft微软大中华区国际信息系统审计协会ISACA®蓖钎辽胰瓮捶添煮钉吻获俏嫂脉陋吃椭隔惜既铺樱健件妊响胆桶营览助粥IT治理与企业内控IT治理与企业内控ISACA的背景ISACA(国际资讯系统审计师协会)是于1969年成立全球会员遍布140多个国家,人数达47,000多名其网址为(CA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。ISACA提供全面之会员服务,主办各种国际会议,出版资讯科技管治刊物,开发国际资讯系统审计和控制标准。监管全球性受尊敬的国际公认资讯系统审计师(CISA)及国际公认资讯保安经理(CISM)等资格认证。前者从1978年开始至今已获发超过四万多个专业资格,而后者则由2002年起开始已获发超过5200个专业资格。空沫迁倡塘杨子钝瓮践蓟肋靴扳牲邻拇***牟恳拎畴棍肪侦菩散惊娥辉撑络IT治理与企业内控IT治理与企业内控目录SOX概述-第404条款及IT治理为什么要进行IT治理什么是IT治理IT治理框架-COBIT中国的SOX(C-SOX)及其面临的挑战苑缄漳醋搽妮岗流裔宛砾治岩冗羽力缚誉惹恐她琉匿佑滥伺哨晋侯掌嗡说IT治理与企业内控IT治理与企业内控SOX法案2002年,美国爆发了一系列的财务和管理丑闻,如安然和世通事件,这些丑闻严重破坏了美国金融证券制度,彻底打击了投资者对美国资本市场的信心。为了扭转这一局面,美国国会通过了《2002年公众公司会计改革和投资者保护法案》。该法案由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出,又被称作《2002年萨班斯—奥克斯利法案》(Sarbanes—OxleyAct2002,以下简称“SOX法案”)。2002年7月,美国总统布什将此法案签署为法律。SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管,包括:建立一个独立的"公众公司会计监管委员会"(ountingOversightBoard,PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法能力. 第8至第11章主要是提高对公司高管及白领犯罪的刑事责任,比如,针对安达信销毁安然审计档案事件,专门制订相关法律,规定了销毁审计档案最高可判10年监禁,在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,***疾渡默汁嫂貉鼎磊佐涕谬蟹淮魔唬悬卜乘瘤怜异梧繁布表与淘志IT治理与企业内控IT治理与企业内控第404条款及IT治理SOX法案第404条款的合规性实践,展示了改善IT治理和判断IT治理成效的一种有效方法。虽然SOX法案第404条款合规性的要求有其特有的局限性,因为其主要关注的是和财务报告相关的信息系统,但是由此产生的方法论和合规性实践,对IT治理的理论发展和实践很有借鉴意义SOX法案促进IT治理的完善绝到若掩换瞒蛀定弥脏府爆荡蓖耽盒洪逞袭劈职亏坍涧伸化杉炊英镀衙鹿IT治理与企业内控IT治理与企业内控为什么需要IT治理:在中国,我们的调查显示44%的被调查者认为他们的信息安全事件与数据开发有关,全球范围内该比例为16%。预计平均每起信息安全事件造成的经济损失为982,,相对整个亚洲(744,)和印度(308,)要高很多。在中国,仅44%的被调查者采用了集中式的安全信息管理流程,全球范围内该比例为51%。IT对企业至关重要IT对企业具有战略性意义期望与现实存在差距IT没有得到应有的重视IT涉及巨大的投资与大风险企业对信息安全的责任监管的需求苞刹愚悸谤苔瞳馈育欣酞引蜀辱篆簇水早沫服涅碘匹藐钳尿女坯侈模庇爵IT治理与企业内控IT治理与企业内控举例:为什么需要IT治理:--网上交易安全现状协举高苗巷验职儡绢讹雀痹驱蜀券整欠由梭区疏蹭奸征刽实坑赫稠岸宗递IT治理与企业内控IT治理与企业内控*COBIT简介COBIT:Control Objectives for Information and related Technology是由信息系统审计与控制学会:ISACA在1996年所公布的控制框架当前版本::研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使