新闻

SITC培养和造就IT管理领导者

COBIT和COSO有什么区别和联系

新闻来源:Verymark 发布时间:[2020.03.19]

COBIT和COSO有什么区别和联系

COBIT与COSO有类似的要求,但来自不同的机构。

掌握COBIT和COSO的异同,以便为治理、风险及内部控制(GRC)设定合理的目标。

COBIT与COSO

COBIT是信息技术控制目标的缩写( Control Objectives for Information and Related Technologies),来自ISACA 信息系统和审计控制协会,其成立于1967年。

而  COSO 是 Committee of Sponsoring Organizations of the Treadway Commission 的缩写。COSO由内部审计学会(IIA)、管理会计师协会(IMA)等五个专业协会于1985年成立,旨在希望建立一套框架来指导欺诈防范、内部控制和风险管理。

COSO框架

COSO框架将风险考虑因素整合到内部控制和战略目标的设计和实施中,为内部控制提供了应用风险管理的方法。它适用于内部和财务报告,其框架涵盖了这五个战略支柱。

“治理与文化”确立了监督责任,并强调了道德行为的重要性。

“战略和目标设定”将组织目标与识别,评估和应对风险的基础联系起来。

“绩效”部分要求对风险进行优先排序并报告有效性。

“审查和修订”利用连续的监视和内部审计来根据需要增强企业风险管理组件。

“信息,沟通和报告”要求与整个组织的利益相关者进行收集和共享必要的信息。

COBIT 2019框架

与COSO一样,COBIT 2019有其6项战略原则,其目的和目标各不相同,如下所示。

  • 企业端到端的治理体系–除专注于IT功能外,ERM还包含应用程序、资产以及所有技术和信息。

  • 为利益相关者创造价值-价值反映了效益、风险与资源之间的平衡,企业需要可行的战略和治理系统来实现这一价值。

  • 整体方法-将信息,政策,基础结构,人员,组织结构,文化和所有流程相互关联。

  • 动态的治理系统–每次更改一个或多个设计因素(如战略或技术变更)时,必须考虑这些变化对 EGIT 系统的影响。

  • 分离治理和管理–分析需要设定明确方向的目标,同时从治理机构中分离跟踪职责

  • 根据企业需求量身定制-使用一系列设计因素作为参数来定制治理系统组件并确定其优先级。

COBIT 2019和COSO之间的区别

COBIT比较点COSO
业务IT治理目的组织治理
专注于IT,但可跨组织适应对准专注于运营、报告和合规性

业务平衡记分卡的维度,包括 :

– 17个相关目标 

– 6个原则 

– 40个流程

通用框架

– 5个组成部分

 –组织的总体适用性:实体,部门,分部

 – 17个高级内部控制原则

COSO为组织建立风险承受能力和减少欺诈提供了指导原则。而COBIT为组织提供了建立最佳实践控制的框架。

使用COSO建立其风险报告方法的公司可以采用COBIT 来组织其控制生态系统。

这两个框架虽然相似,但实际上并非相同。COSO专门提供指导,以帮助企业建立风险承受能力。具有良好风险承受能力的公司对于最大程度地减少盗窃和欺诈行为,以保护业务的完整性很重要。相反,COBIT提供最佳实践控制。如果公司利用与COSO兼容的财务风险报告系统,则可以使用COBIT进行全景控制。

就像造房子一样,COSO只是用轮廓线布置房间的框架。

COBIT  好比在房屋上安装设备、水暖、排水、水路和电气系统的总体规划。

COBIT  制定了实际行动中的COSO计划,以便公司可以使其IT及报表部门安全运行。

为什么组织同时需要COSO和COBIT?

COSO和COBIT 需要在风险治理和受控环境方面共同合作,以使公司遵守安全要求,不仅创建了控制环境,而且还创建了促进合规性和信息安全性的风险和治理模型。

当前有两类内部控制模型:COSO属于业务控制模型类别,更集中的IT控制模型(例如DTI)。COBIT旨在弥合两者之间的差距。

COSO强调与信托义务有关的控制。COSO 最初旨在满足财务报告中的Sarbanes-Oxley(SOX)404要求,但在考虑组织的IT环境时有局限。相反,COBIT 明确地解决了企业的IT环境。因此,当组织制定总体风险,合规性和治理计划时,两者可以互补。

COBIT 涵盖了财务报告之外的整个环境。就合规性,风险和治理问题而言,两者彼此互补。例如,组织可以根据COSO规范合规性,然后使用COBIT 流程来规划关键实践目标。

组织应评估风险以确定COSO下的重要环境。接下来,他们必须将这些度量标准定义为IT令人满意的生态系统中的利益相关者需求,以满足行业目标。因此,COBIT中的特定定义符合COSO的要求,以使组织能够实现高质量的监控和合规性。

根据COSO,组织必须评估风险以确定关键环境并确保缓解风险。作为此过程的一部分,外部财务报告必须反映基础交易和事件。

可以同时实施COBIT和COSO吗?

数据安全性和问责制对于公司的稳定性至关重要,而数据安全性也同样重要。通过使公司的系统与COSO和COBIT兼容,可以通过使业务目标和IT基础结构统一的框架来保护数据安全,同时,公司风险也处于可管理的水平。

COBIT与COSO的映射关系

COSO是企业全面的内控指南,而COBIT是专注于信息技术的内控指南。两者兼容互补。可以将COBIT2019的40个目标(流程)映射到COSO的五个方面。

延伸阅读:

ITIL 4 与 COBIT 2019 全新全面比较

升职加薪想培训,加油充电来中心

课程阶段课程费.元考试费.元课时授课费用说明
COBIT2019 Foundation

2天5-10人小班授课,10年资深讲师
COBIT2019 Design & Implementation

2天5-10人小班授课,10年资深讲师
选课咨询报班报名
了解更多,填写培训咨询表 ,免费咨询相关课程立刻报名,1.填写培训报名表 > 2. 缴费开票 > 3.凭开班通知上课


已经是第一篇

下一篇:如何找到适合你的职业认证2020

返回列表
微博 联系我们
×

分享到微信朋友圈