COBIT和SOX合规在企业IT风险控制中的应用

摘要

2002年7月，在安然、世通为首的财务丑闻的推动下，美国国会正式通过了Sarbanes-Oxley法案（简称SOX法案或萨班斯法案），继而内部控制也越来越受到人们普遍关注。虽然萨班斯法案重点关注的是财务报告，但是随着信息技术的发展、企业自动化水平的提高，IT和财务报告的关系变得越来越紧密，IT也需要加强控制以达到SOX合规要求。
　　 面对信息系统审计具有的专业性、技术性和复杂性，信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了适用于信息系统控制和审计的标准---COBIT，即信息及相关技术控制目标。本文采用了COBIT技术标准，在介绍内部控制相关理论和萨班斯法案相关章节的基础上，分析信息技术对内部控制的影响，探讨IT风险控制的遵循问题。在本文中，我们通过研究分析，总结出了遵循萨班斯法案的IT风险控制10个步骤：（1）识别企业中的关键系统并且评估风险等级；（2）对现有的IT风险控制措施进行评估；（3）对流程、制度、系统设置等进行控制设计；（4）对设计的控制进行评价并改善；（5）实施控制；（6）对新流程、新设置等控制进行符合性测试，以验证新的控制是否设计有效；（7）对新流程、新设置等控制进行实质性测试，以验证新的控制是否执行有效；（8）对发现的缺陷进行整改；（9）验证内部测试是否达到既定目标；（10）若有实际需要，聘用外部审计师对企业IT风险控制进行独立复核和测试，并出具审计报告。COBIT模型在这10个步骤中，则是最重要的指导和遵循工具。
　　 本文的创新之处在于：从COBIT模型和SOX合规目标出发，寻求公司IT风险控制的具体且通用的方法，分公司级控制（ELC）、应用程序控制（AC）和一般控制（GC)三个层面分别建立相应的风险控制矩阵（RCM）模版，对各种可能出现的IT风险提供相应的解决方案，消除IT漏洞所带来的财务风险，进一步符合SOX规范要求。

目录

文摘

英文文摘

声明

第一章绪论

第二章IT风险控制相关理论及模型

第三章SOX合规与企业IT风险控制

第四章COBIT模型与企业IT风险控制

第五章COBIT、SOX合规在企业IT风险控制中的应用

第六章项目分析、方案设计与工具应用

第七章结论

参考文献

附录

致谢

攻读学位期间发表的论文