COSO 与 COBIT — 这两个流行的审计控制框架旨在防止欺诈,并将企业风险管理 ERM 方法应用于您对财务报告、治理和 IT 的内部控制 — 但您是否只能选择一个?COSO 和 COBIT 之间存在一些重叠,并且存在一些关键差异,这使得这两个框架对于必须保持 SOX 合规性且具有复杂 IT 环境的组织具有高度互补性。详细了解 COSO 与 COBIT 之间的异同、它们在欺诈预防和内部审计中的应用,以及如何最好地集成这些系统以满足您组织的需求。
COSO 代表什么?
COSO 代表Committee of Sponsoring Organizations of the Treadway Commission,但该首字母缩略词也用作 COSO 内部控制框架的简写。COSO 由五个私营部门组织于 1985 年创立,旨在打击欺诈并制定内部控制标准:美国注册会计师协会 (AICPA)、美国会计组织 (AAO)、内部审计师协会 (IIA)、管理会计师协会 (IMA) 和国际财务高管协会 (FEI)。COSO 负责监督国家欺诈性财务报告委员会,该委员会的正式名称为 Treadway 委员会,以其第一任主席 James Treadway 的名字命名。COSO 内部控制框架源于 1987 年 Treadway 委员会的第一份报告。
COSO 框架有什么用?
内部控制的 COSO 框架用于组织内部控制,以防止财务活动的欺诈性报告。它为整个企业的内部控制提供了指导原则。COSO 还发布了一个流行的企业风险管理 (ERM) 框架。
SOX 是否需要 COSO?
COSO 旨在帮助遵守 SOX,但 COSO 和 SOX 之间存在差异。2002 年,美国参议员 Paul Sarbanes 和美国众议员 Michael Oxley 通过了《萨班斯-奥克斯利法案》,以应对导致 Enron 和 Tyco 等公司倒闭的欺诈活动。根据 Sec.404,SOX 要求企业维护和报告内部控制以防止欺诈,并要求组织的 CEO 和 CFO 对欺诈活动承担刑事责任。但是,SOX 没有为这些内部控制提供框架。COSO 可以,而且它是专门为实施 SOX 法规而开发的,为管理人员提供了一条实现 SOX 合规性的明确途径。
COBIT 代表什么?
COBIT 是 Control Objectives for Information and Related Technologies 的首字母缩写词;该 IT 框架由信息系统和审计控制协会 (ISACA) 于 1996 年创立,在帮助组织制定内部控制以防止欺诈方面发挥了重要作用。具体来说,COBIT 已成为制定 IT 管理和治理战略以防止欺诈的标准。
什么是 COBIT 框架?
最初的 COBIT 5 框架是一本说明手册,用于创建用于财务风险报告的安全 IT 系统,该系统可以很好地集成到您的业务管理和治理中。COBIT 5 框架中的“5”代表 COBIT 的五项组织原则。最初的 COBIT 5 包括以下五项原则:1) 满足利益相关者需求,2) 覆盖企业端到端,3) 应用单一集成框架,4) 支持整体方法,以及 5) 分离治理和管理。
此后,ISACA 将 COBIT 5 更新为 COBIT 2019;此更新提供了六项略微重组和重新分类的原则。
这六项原则是:1) 提供利益相关者价值,2) 整体方法,3) 动态治理系统,4) 不同于管理层的治理,5) 根据企业需求量身定制,以及 6) 端到端治理系统。
从本质上讲,COBIT 2019 六项原则对原来的五项原则进行了重新梳理和澄清,明确了治理体系是“一体化框架”,并提供了单独的原则,明确了企业需求。
COBIT 框架的用途是什么?
COBIT 框架提供了有关如何设计和实施与业务管理和治理相关的安全 IT 基础设施的详细说明。
为什么 COSO 和 COBIT 框架很重要?
COSO 和 COBIT 框架对于创建、管理和维护内部控制以防止欺诈都很有用。COSO 通过风险管理提供预防欺诈的总体框架,而 COBIT 可帮助您确保您的 IT 系统增强和加强这些控制措施。最终,使用这些框架来制定强大的内部控制措施将加强您的组织,并保护其免受 SOX 不合规行为和 SEC 对财务活动欺诈性报告的指控。
COSO 和 COBIT 之间有什么相似之处?
尽管存在差异,但 COSO 和 COBIT 之间存在很强的重叠性,并且两者都对财务风险报告至关重要。COSO 和 COBIT 是两个兼容且协同一致的内部控制框架,可以一起使用,以涵盖一般的欺诈预防和旨在防止欺诈的 IT 系统的质量。
COSO 和 COBIT 有什么区别?
在目的、范围和详细程度方面存在一些关键差异,这使得 COSO 和 COBIT 具有极强的互补性,而不是冗余的。请继续阅读以比较 COSO 与 COBIT:
1. 目的
COSO 和 COBIT 都旨在作为内部控制框架,但 COSO 更广泛地关注信托义务和财务风险报告,而 COBIT 则专注于 IT 系统的结构和安全性。
2. 范围
COSO 为财务风险报告提供概念结构,而 COBIT 花时间开发该结构的一个组成部分;这是有道理的,因为 COSO 旨在涵盖企业财务报告的所有方面,而 COBIT 则放大以涵盖信息系统的特定设计、IT 治理和网络安全标准。
3. 细节级别
由于 COBIT 旨在作为一种应用风险管理方法来防止欺诈性财务报告,而 COSO 旨在提供更广泛的指导并定义预防欺诈的 ERM 背景,因此 COBIT 提供了有关如何实际实施控制措施的更多详细信息。COBIT 的范围较窄,这意味着它提供了比 COSO 更详细的 IT 安全信息,并概述了如何构建防止欺诈的 IT 环境
