zhaol's blog

SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX......

COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO......

CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT......

ITGI写了不少白皮书，由于其Board中有很多BIG Four的人，所以在混沌的、争议中的SOX符合性旅途指引方面就显得分量很重。其中有一篇叫“

Sarbanes-Oxley: The importance of information technology in the design, implementation and sustainability of internal control”，在Page34，有一个立方体，讲的是SOX,COSO和CoBIT的关系，我把它做了个中文版，看看大家是否用的上。

最右边标识的前后维度是SOX维，这里列出了SOX合规性和IT最为相关的404条款和302条款。最左边标识的上下维是PCAOB和SEC官方对萨班斯合规性的内控要求框架 － COSO框架：五个层次，控制环境－风险评估－控制活动－信息和通信－监视，每个层次中都包含很多内控方面的要求。注意COSO不是专注于IT的，更多的是财务风险相关的，但是框架是通用的。而当前我们在SOX符合性方面的修补工作则主要集中在控制活动（Control Activities）中。 最上面的左右维讲的是CoBIT的四个控制域： PO - AI - DS - ME，这里已经采用了CoBIT4.0的提法。

[separator]

我又检查了一下ITGI的站点，发现刚刚发布了一个第二版，这副图消失了，取而代之的是一幅成熟度图。这副成熟度图与以前大家看到的CoBIT为代表的IT治理成熟度图很像，与CMM成熟度分级也很像，呵呵。

它分为从0－5六个等级，它们分别是：

还没有仔细看新版本的其它内容变化。大家有什么收获可要记住分享啊。 其实在ITGI，还可以找到更多的讨论这几种最佳实践、标准之间的映射关系的白皮书和文章。这里体现出西方文化的互融性，相对来说“山头主义”的倾向小的多了。