关于cobit的那些事

信息系统审计与cobit
重视信息化安全和创新。

内部审计信息化已是大势所趋。

开发网络审计时,安全首当其冲:未雨绸缪,做好防范措施,采取灾难对策;岗位分离,防止内审人员超过权限访问;强化安全系统,提高识别信息安全风险能力。

网络审计运行期间,安全和效率双管齐下:计算机技术人员不断提高自身专业知识,及时进行系统维护和升级;创新审计方法,注重资源共享,提高整个企业乃至行业的经营效率
马良渝(2007)在《信息系统审计准则体系浅析》中探讨了ISACA 的信息系统审计准则标准体系中标准、指南和程序之间的结构关系，仔细分析了ISACA 信息系统审计准则，为我国建设信息系统审计准则体系提供了参考。

刘研君（2013）《浅谈开展信息系统审计存在主要的问题及对策》中指出，开展信息系统审计存在的主要问题一是审计理念相对滞后。

二是缺乏信息系统审计的复合型人才。

跌目前审计入员综合素质来看，既精通审计业务又精通计算机知识的复合型审计人员较少三是信息系统审计缺乏相应的法律、法规支撑。

根据目前我省信息系统审计的开展情况来看。

审计机关对信息系统审计所依据的法律法规主要有《中华人民共和国审计法》第三十二条、《江苏省审计条铡》第三十三条的规定以及、《国务院办公厅关于利用计算机信息系统开展审计工作的有关问题的通知》，上述法律法规仅授权审计机关对被审计单位的财务和业务信息系统进行审计，但是对审计对象的范围和具体内容没有进行明确指导，对审计过程中发现系统存在的各种问题缺乏相应的法规进行问题的定性，这成为信息系统审计开展过程中急需解决的问题。

刘念祖，杨超，陈彦雯《新时期信息系统审计面临的挑战与对策》（2013）指出，我国信息系统审计准则、程序不完善。

截至2008 年2 月，ISACA 共发布了16个审计标准、39个审计指南和11个审计程序。

我国内部审计协会于2009 年1 月发布的《内部审计具体准则第28 号——信息系统审计》围绕总则、一般原则、审计计划、信息技术风险评估、信息系统审计的内容、审计方法、审计报告等对内审中的信息系统审计进行了规约。

然而这
些审计准则主要以财务审计和财务信息系统审计为主线，这是根据以往信息系统审计人力、物力等资源相对匮乏的现实作出的理性选择一旦这种资源瓶颈得以解决，信息系统审计将不再完全以财务审计为主线，更广义的信息系统将成为审计目标。

当将运行于开放网络环境下的更广义的信息系统作为审计对象时，依附于传统财务审计所制定的审计,。

《CobiT5 与CobiT4.1 的比较与启示》鲁清仿从七个方面对CobiT5 与CobiT4.1 的差异性进行了比较，分析我国信息系统内部控制的现状，从国家信息的安全、工业生产的安全以及财务信息可靠性三个方面阐述了CobiT5 对我国信息系统内部控制建设的三点启示。

1整合内部控制准则与信息技术规范，形成以管理为重心的信息系统内部控制规范
2对上市公司以及关乎国家安全的行业进行信息系统内部控制鉴证
3进一步修订我国审计准则第1211 号、第1301 号、第1421 号与第1633 号，以反映信息系统内部控制与财务报告内部控制交叉融合的现实通过流程点的对比，作者发现以下几点不同:第一，《信息系统指引》所涉及的控制点都能在COBIT4.1的IT流程中找到对应，比如COBIT“定义IT战略规划”流程涉及如何制定战略规范，即涵盖了“战略规划制定”这一控制点;而COBIT4.1中的某些流程，并未在《信息系统指引》的控制点中找到对应，比如“问题管理”“第三方服务管理”等。

第二，《信息系统指引》的控制点设计侧重于系统开发、运行和维护阶段;而COBIT对系统项目前期的“计划与组织”也给予重视，在控制点设计方面也更加细化和全面，比如关注“信息架构”“技术方向”等基础性工作。

第三，COBIT将“监督与评价”作为一个独立的活动域，并设计了相应的IT流程;而《信息系统指引》单纯围绕信息系统的整个生命周期环节进行设计控制点，并未涉及独立的监控及评价。

究其原因，主要在于《信息系统指引》是作为整个内控规范体系的一部分，监控及评价的内容由评价等指引单独进行规范;而COBIT却是一个独立完整的框架。

由上本文得出一个推论:我国企业如果基于COBIT的34个IT流程进行控制，也将满足《企业内部控制基本规范》和((信息系统指引》对信息系统控制的要求，能够达到合规性目标;借鉴COBIT研究当前我国IT控制实施问题具备可行性。

陈婉玲，袁若宾《COBIT 及其在信息系统控制与审计中的应用》中简要地介绍了COBIT 的构成和框架内容，在此基础上，讨论了其对我国信息系统控制、信息系统审计及信息系统审计准则制定等方面的启示
《基于cobit的企业it控制研究》关建朋
我国企业IT应用存在的问题：
IT应用层次较低，有待进一步发展。

“信息孤岛”现象依然严重
)缺乏有效、完善的IT风险应对机制
新形势下IT人才短缺
《COBIT 体系应用于证券业IT 审计研究》
实施的不足
探索阶段经验不足
一是IT 审计在国内尚处于起步阶段。

英大证券仅在2008 年开展过一次IT 审计，
对于证券公司IT 审计，尚缺少成熟的经验可以借鉴。

二是对COBIT 本身的理解还需
要进一步提高，如何将COBIT 更好的引入证券行业IT 审计实践中尚有许多地方需要
改进和探讨。

IT 审计资源相对不足
目前英大证券主要业务高度依赖信息技术，英大证券现有5 个核心信息系统，12
个关键信息系统，2 个机房。

在信息网络方面，有交易内网、办公网、互联外网等。

英大证券信息系统较为庞大，技术架构较为复杂，IT 专业分工日趋细致。

随着新系
统不断上线，IT 审计需要更大的人力资源投入。

目前英大证券审计人员不足，实施
全面、深入的IT 审计需要投入更多的人力资源。

从企业实践的角度出发，在内部控制、信息系统审计中运用COBIT框架模型，2007年，Brad Tuttle,Scott D. Vandervelde对其进行了研究，结果表明COBIT模型对审计人员在其领域内的某些行动进行了预测，作者指出，在未来的发展过程中，具体的目标是“为能够适应在COBIT基础上所建立的信息技术要发明一种比较普遍的内部控制理论”。

《基于cobit模型的会计信息系统控制内部控制研究》肖茜
该框架在理念与措施方面充分表现出以下特点：企业定位方向决定企业业务内容，企业业务内容作用于IT计划，IT程序监控决定了IT计划，对IT程序监控给予一定的控制和相应测评可以不断提高IT的使用范围。

在会计信息系统中推广使用C0BIT框架，也就是把COBIT理念与措施运用到会计信息系统的整个使用周期中去，进而保证会计信息系统所计算出的会计数据以及信息具有可信性，主要应用表现在以下几方面：
（1）确定会计信息系统内部监控方向作为现代企业一个重要的业务系统，会计系统的主要业务方向同IT应用方向都要遵循企业的长期战略目标。

会计信息系统主要侧重方向有两点，首先是计算出满足规定的相关财务会计报表，也就是对外汇报会计：其次是生成满足企业自身管理所必须的监管会计数据，也就是内部汇报会计。

依据COBIT策略，应当把会计信息系统的IT应用细化为IT流程同时注重监控。

(2)有效细化会计信息系统的IT流程通过COBIT框架将IT部分进行细化，同时将会计信息系统的整个使用周期细化为构造和组织、实施和获得、使用与支持、监管和测评等部分，同时将各个部分进一步细化为子流程。

(3)把会计信息系统的监控运用到具体过程监控通过COBIT框架以及根据企业自身会计信息系统控制工作，明确各个子过程的监控定位，所包含的IT信息、流程熟练度水平、控制以及测评准则，同时制定出易于实施的使用说明。

(4)控制与和测评会计信息系统针对与会计信息系统相关的各个流程都应构建流程熟练度示范，同时依据其来对流程质量进行测评，并对流程加以提高。

王会金《COBIT 模型及其在中观经济主体信息系统审计中的运用》从信息系统审计角度描述COBIT 模型及其在中观经济主体中的运用。

利用模型进行企业会计信息系统风险评估，通过构建企业会计信息系统风险评估知识库，将企业信息化建设历史数据充分、有效地利用起来，以指导企业会计信息系统风险评估实践。

内部控制现状以及信息化实践，构建出包含内控环境、流程控制、组织结构、信息与沟通以及监控五个部分的三级内控体系，从而实现企业内部控制与信息化的结合。

选取现阶段风险的过程来源和控制手段方面展开，为实现全面预算管理奠定了基础。

研究成果主要为企业会计信息系统风险评估系统研究。

沈天添在《基于COBIT 的IT 控制研究》一文中认为信息化是大多数企业实行战略转型的关键核心，随着信息技术的不断发展，信息化风险日益加剧，企业只有妥善处理好信息化风险，才能取得信息化带来的硕果。

目前，信息技术已不仅仅被作为支撑企业日常运转的手段，它由原来的技术层面上升到管理、战略层面，随之而来的风险必然加大，由于信息系统本身的复杂性以及不确定性，使得信息系统风险越来越难以控制。

因此，如何进行企业信息化风
险管理已经是大多数企业信息化道路上的一大难题。

会计信息系统风险评估作为企业信息化风险管理的重要组成部分，对它的研究具有重要的理论与实际意义。

《cobit在企业内部控制中的应用研究》陈桂平认为应当加大对COBIT 等信息内控模型的技术研究。

COBIT 模型所提供给企业的是一个纲要与指引，具体运用于企业内部控制中还需要更详细的技术支持。

这需要行业协会发挥自身的专业优势，加大对COBIT 等信息内控模型的技术研究。

同时，要加快制定与COBIT 模型应用相配套的、详尽的、科学的和完整的指标体系，形成企业的经营效果的客观评价依据。

张文秀等在《基于cobit的信息系统审计框架研究》结合我国信息系统审计的特点和国际准则的先进思想而构建的基于COBIT的信息系统审计框架以信息系统控制目标为核心, 分为面向系统的信息系统审计和面向数据的信息系统审计两大范畴
《基于cobit的中国人寿信息系统审计框架设计研究》张磊本文首先从信息系统审计概念入手,回顾了国内外关于信息系统审计理论发展的历史以及目前发展的现状,同时引入当前信息安全领域占主流地位的COBIT理论,介绍了其整体架构和运作原理,以及对于信息系统审计的指导作用。

然后从公司总体环境、信息建设情况以及信息审计开展情况三个方面分析了中国人寿信息系统面临的风险,指出以往传统审计方式存在的问题。

第四章开始着重从一般控制审计和系统控制审计两个方面,提出以COBIT理论为基础的中国人寿信息系统审计框架设计理念:即以IT活动流程化为基础,以每个流程包含的相关风险控制要点为基本要素的审计框架,共涵盖流程20个,风险控制点214个。

同时,选取系统生命周期划分的四个领域中的关键流程进行重点阐述,分析了流程的风险控制要点以及相应的审计方法设计。

随后以计量经济学的方法,建立审计成果评价模型,通过审计成果和风险控制关系的定量分析,研究该框架下的审计工作性能提高程度;用具体的审计案例,分析框架对于项目开展的实际指导意义。

最后从涉及范围和实际效果两方面评价以COBIT理论为基础的寿险公司信息系统审计框架作用,同时也指出了不完善之处,以待后续研究中改进。

刘红在《利用IT 审计防范银行信息化风险)银行数据集中后的思考》中提出：为了最大限度的防范信息化风险，充分享受信息化带来的便捷和效率，银行有必要引进IT 审计机制，利用目前最为流行的标准COBIT，并结合自身特点确定合适的信息化方案
《基于cobit的商业银行it审计研究》COBIT 标准是目前国际上应用最广泛、最权威的标准。

COBIT 框架中包含的审计指南、管理指南、详细全面的控制目标为实现信息系统的安全性、有效性提供了可靠的保证，实现了IT 治理和企业治理目标的一致。

国内的IT 审计还处于初步阶段。

在具体的审计中如何利用COBIT 实现企业的IT 审计还缺乏具体的实例，为此本文选取信息化建设程度最高的金融业、最具代表性的商业银行作为研究对象。

通过对典型案例的研究，为COBIT 的具体应用提供借鉴。

进行信息系统审计的过程中，审前调查是审计工作的重要工作，如果不了解被审计单位的信息化建设程度，那么审计工作很可能盲目而无头绪，不利于发现问题。

只有详细全面的审前调查才能更加全面的分析发现问题，进而为企业的改善与管理提供有效的建议。

Cobit5与4.1的比较：
不同：扩大CobiT 的适用性
重构CobiT 架构
新增“五项原则”
分离组织的治理与管理
更新流程参考模型
将流程成熟度模型改进为流程能力评价模型
调整与新增流程
慧哲科技
集成了更多框架和标准应用
新的it治理原则
更多的关注it治理实施的促成因素
更新和修订了企业目标和级联的it目标
区分了治理和管理的职能和控制流程
Raci图更加明细
控制流程描述更加清晰
更新了流程成熟度模型
It信息标准变化
swot pest 模型
杜伟钊张莹（2015）认为，PEST—SWOT是一种企业常用战略分析模型。

PEST是对企业所处宏观环境的分析方法，对一切影响行业和企业的多变、不可控的政治(Political）、经济(Economic)、社会(Social)、技术(Techno—logical)等外部因素进行分析，帮助企业确立战略目标，抓住机遇、规避风险；SWOT则是对企业所处微观态势的分析方法，用以确定企业自身的优势(Strengths)、劣势(Weaknesses)、机会(Opportunities)和威胁(Threats)等内部资源。

余淼（2012）认为进行战略管理分析时重点使用SWOT模型，综合和概括出企业内外部各方面条件，用来确定企业本身的竞争优势，竞争劣势，企业所面临的机会和威胁，从而将公司的战略与公司内部资源、外部环境有机结合。

对于制定公司未来的发展战略有着至关重要的意义。

同时认为在战略管理审计进入全面、系统和深入的研究的阶段的同时，相应的成熟有效的应用模型，如SWOT分析应得到充分关注。

王冰（2008）指出，SWOT分析法又称为态势分析法，它是由旧金山大学的管理学教授于20世纪80年代初提出来的，SWOT四个英文字母分别代表：优势(Strength)、劣势(weakness)、机会(Opportunity)、威胁(Threat)。

所谓SWOT分析，即态势分析，就是将与研究对象密切相关的各种主要内部优势、劣势、机会和威胁等，通过调查列举出来，并依照矩阵形式排列，然后用系统分析的思想，把各种因素相互匹配起来加以分析，从中得出一系列相应的结论，而结论通常带有一定的决策性。

运用这种方法，可以对研究对象所处的情景进行全面、系统、准确的研究，从而根据研究结果制定相应的发展战略、计划以及对策等。

SW0T分析法常常被用于制定集团发展战略和分析竞争对手情况，在战略分析中它是最常用的方法之一。

杨龙（2009）认为对外部不可控因素的对比分析是为了把握有利时机，规避风险，提升企业的快速应变能力和企业的创新变革和可持续发展能力。

PEST分析是战略外部环境分析的基本工具，用于分析企业所处宏观环境对于战略的影响。

SWOT分析是一种环境-组织分析模式，就是对企业内部环境的实力和弱点，外部环境中的机会和威胁进行综合分析，从而使企业在分析现行战略的基础上，抓住机会，扬长避短，确定适合企业发展环境的战略。

张琦（2011）运用SWOT分析法,通过剖析当前浙江省开展全部政府性资产审计的内外部客观环境,从内部优势,劣势,外部机会,威胁等角度开展研究。

分析其运行的基本态势,进而
对下一步如何推进推广提出对策和建议。

田丽娟（2010）将在SWOT、PEST 两种管理理论的基础上，试图从一种综合范式的视角出发，将其应用到研究中，构建一个PEST—SWOT 分析模型，同时认为事物发展在某一时期内存在一定的优势与劣势，面临着机会与威胁，但这些并不是一成不变的，它们在一定条件下能够相互转换。

在PEST—SWOT 模型中，S、W 是内部因素，O、T 是外部因素。

PEST—SWOT 模型即对内部因素（优势和劣势）和外部宏观环境（机会和威胁）两方面整合起来进行系统的分析和研究，每一个单项又可根据不同的分析对象从政治、经济、社会和技术等角度进行具体分析，从而
形成SWOT—PEST 矩阵分析模型。

王辉（2014）认为SWOT-PEST 分析法是一种能有效识别自身优势与劣势、判别机会与威胁的战略分析方法，属于战略管理学中分析战略措施的主要工具。