审计研究2006年增刊 COBIT及其在信息系统控制 与审计中的应用 陈婉玲袁若宾 (中山大学管理学院510275) 【摘要】COBIT是信息及相关技术控制目标的简写,它由信息系统审计与控制协会的IT治理学会开发和 推广,是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。本文简要地介绍了CO2 BIT的构成和框架内容,在此基础上,讨论了其对我国信息系统控制、信息系统审计及信息系统审计准则制 定等方面的启示。 【关键词】COBIT信息系统控制信息系统审计 COBIT全名是ControlObjectivesforInfor2体系,见图二②。其中信息准则(或称IT标准)维集 mationandrelatedTechnology,即信息及相关技术中反映了企业使用IT的战略目标,包括信息技术 控制目标,它是目前国际上公认的最先进、最权威的应用的有效性、效率性、机密性、完整性、可用性、一 安全与信息技术管理和控制的标准。该标准由信息致性、可靠性等七方面。IT资源维描述了IT治理 系统审计与控制协会(InformationSystemAudit过程的主要对象,有人员、应用系统、技术、设施和数 andControlAssociation缩写为ISACA)的IT治理据等5类。IT过程维是对信息及相关资源进行规 学会(ITGovernanceInstitute,缩写为ITGI)开发划与处理的过程,从信息系统生命周期的四大域确 和推广,为IT的治理、安全与控制提供了一个一般定了34个信息技术处理过程,每个处理过程包括详 适用的公认标准,以辅助管理层进行IT治理。自细的控制目标和与控制目标相联系的审计指南。 1996年COBIT问世以来,该标准体系经1998年和COBIT的框架从整体上把企业对IT标准的要求和 2000年的修改补充,现在已经发展到第三版,已在对IT资源的需求紧密地融入到各个IT过程中。 全世界一百多个国家的重要组织与企业中运用,指管理指南(ManagementGuidelines)提供了管 导这些组织有效利用信息资源,有效管理与信息相理工具,对IT业务活动进行有效控制,以使IT与 关的风险。随着我国信息化的发展,IT的治理的要业务活动保持一致,并通过传送组织所需信息使业 求已十分迫切。COBIT对信息系统控制与审计有务活动得以进行。管理指南给出了度量信息系统生 很好的指导作用,在现阶段介绍和引进COBIT,对命周期各过程安全、可靠与有效的指标体系,并定义 推动我国信息化的健康发展有重要作用。了为管理者提供评估的度量模型。其中成熟度模型 (MaturityModels)用来帮助确定每一个控制阶段 一、COBIT简介 是否符合行业和国际标准;关键成功因素(Critical COBIT第三版由六部分组成:执行概要、框架、SuccessFactors)用来确定IT程序中最需要进行控 执行工具集、管理指南、控制目标和审计指南,见图 一①。 ①图一来源于 执行概要(ExecutiveSummary)解释了COBITCOBITFAMILYOFPRODUCT,Page19of COBIT3rdEditionControlObjectives。 的关键概念和原则是专门为资深管理层设计的。 ,②图2来源于THEFRAMEWORKpSPRINCIPLES,Page16 框架(Framework)描述了COBIT的三维结构ofCOBIT3rdEditionControlObjectives。 39 审计研究2006年增刊 图1COBIT的组成结构 34个IT过程进行细分,根据每个过程所涉及的系 统资源,确定出高层次的控制目标;针对每个IT过 程,进一步划分成若干任务,确定具体的控制目标, 共318个。针对这些具体控制目标给出了详细的系 统管理策略,包括应采取何种措施及要注意的事项 等。这种三层架构的控制目标体系使系统管理目标 更加明确、可操作性更强。 审计指南(AuditGuidelines)为中介评估机构 或信息系统审计师对信息系统的控制进行了解、评 估和实施审计提供建议与指导。这一部分不仅给出 了IT审计的一般方法和要求,而且根据COBIT的 图2COBIT的三维结构体系 框架,针对信息系统34个高层次控制目标建议了相 制的活动;关键目标指标(KeyGoalIndicators)用来应的审计步骤,为信息系统审计师具体检验和评价 定义绩效的目标水准;关键绩效指标(KeyPerform2各IT过程是否符合318个具体控制目标给出了详 anceIndicators)用来测量IT控制的程序能否达到细的审计指南,并指出了各控制目标未达到时会带 目标。这些管理指南都是为了确保企业成功及有效来的风险及改进控制的建议。它为信息系统审计