最近看了些关于SOX４０４的文章,有些问题想和大家探讨

我想做好人

文中提到内部控制的标准, 举了一个例子－COSO的那篇Internal control integrated- framework，于是看了一下这篇报告的摘要（全文找不到），发觉其中并没有提到对于信息系统安全的内容，或者说感觉这是一篇比较宏观的报告。如果以此作为内部控制标准的话，那究竟应该如何实施？尤其是对于信息系统的安全和内部控制方面的标准又是什么？在审计过程中，ＩＴ　ＡＵＤＩＴＯＲ的职责是什么，以何为依据来评价这个公司信息系统的安全性，可靠性等等？

我想做好人

有人有那篇INTERNAL CONTROL INTERGRATED-FRAMEWORK的全文吗？

wearebug

我觉得应该是：检查信息系统是否符合组织的战略目标，对存在的问题提出建议。可以用COBIT框架来作为评价的依据之一。

我想做好人

但是COBIT仅仅是对于信息系统的标准,而SOX404的要求是整个公司的内部控制标准,不可能让信息系统单独用一个标准吧