熟悉COSO的人士都知道,COSO框架并沒有具體描述IT風險與控制目標,相對來說Cobitreg;(Control Objectives for Information and related Technology)更有針對性。Cobit框架由I T Governance Institute發(fā)布,2007年新版本是Cobit4.1,它定義了IT控制的7項信息標準(有效性、經(jīng)濟性、機密性、完整性、可用性、合規(guī)性、可靠性)、4大領(lǐng)域(計劃組織、開發(fā)獲取、交付支持、監(jiān)控評價)和34個過程。
比較可貴的是,ITGI在2004年及時研究發(fā)布了《SOX法案遵從IT控制目標》(英文全稱為IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting),其為SOX遵從的風險識別與控制過程指明了方向。2006年9月ITGI發(fā)布了該項目工作的第2版,更加受到了業(yè)界歡迎。
依據(jù)PCAOB有關(guān)IT控制的要求、參照IT Control Objectives for Sarbanes-Oxley,明確IT控制目標以及更明細的控制子目標,分析確定關(guān)鍵控制子目標;識別現(xiàn)有控制活動、控制類型和發(fā)生頻率,識別關(guān)鍵控制點。H3C采用的13個通用計算機控制目標分別是:應(yīng)用軟件獲取與維護、技術(shù)基礎(chǔ)設(shè)施獲取與維護、制度保障、程序安裝和啟用、變更管理、服務(wù)級別定義和管理、第三方服務(wù)管理、確保系統(tǒng)安全、配置管理、問題和事件管理、數(shù)據(jù)管理、物理環(huán)境和運維管理、終端用戶計算。
a) 應(yīng)用軟件獲取與維護:遵循一個有效的系統(tǒng)開發(fā)實施方法論(SDLC);項目需求規(guī)格中需要包括應(yīng)用控制方面的內(nèi)容;項目組任命、項目需求規(guī)格、驗證性測試必須要求業(yè)務(wù)部門的簽字確認;如果涉及到系統(tǒng)選型和采購,選型小組中需要有業(yè)務(wù)部門的代表,按照采購流程執(zhí)行等。
b) 程序安裝和啟用,在系統(tǒng)進入生產(chǎn)環(huán)境前需要測試和業(yè)務(wù)確認,包括:功能測試、接口測試、數(shù)據(jù)遷移測試等。
c) 程序變更控制:所有程序變更申請都必須是恰當?shù)那医?jīng)過授權(quán)的;進行職責分離以防止開發(fā)人員修改生產(chǎn)環(huán)境;版本控制以防止修改沖突;變更測試以確保準確性;需經(jīng)業(yè)務(wù)用戶確認以確保變更符合業(yè)務(wù)需要等。
與外部審計師保持有效的溝通也是非常重要的因素。對審計師保持開放積極的態(tài)度,尊重審計師時間、尊重審計師觀點,及時糾正審計師發(fā)現(xiàn)的問題。及時跟蹤業(yè)內(nèi)動態(tài)并與審計師一起討論分析,增加相互信任,爭取盡早在有爭議的問題上達成一致。例如PCAOB可能會放松對管理層評估的要求、IT Control Objectives for SOX第2版中放松了對可用性(Availability)的強調(diào),項目團隊及時刪減了一些控制目標和控制活動并得到審計師認可。