赛宝认证中心作为信息产业部指定的IT治理的试点机构，主要研究在信息时代如何建立健全的内部控制制度，如何建立一种对公司管理和运营进行监督和控制的体系。目前已有多人获得国际注册信息系统审计师（CISA）和国际注册公司IT治理师（CGEIT）资格。可以根据企业或政府的IT治理实际需求，依照COBIT、ISACA审计指南、企业内部控制规范—基本规范、信息安全实施指南、ITIL®（ITIL®是英国政府商务办公室(OGC)在英国和其他国家的注册商标）等规范或模型，从企业的战略、组织、流程、人员等方面进行分析、评价、建设、运行及优化等服务。

·评价和建立企业IT治理架构
    赛宝认证中心可利用COBIT-IT治理成熟度模型，评价企业IT治理发展的成熟度。根据IT治理的成熟度，参照COBIT框架和参考流程的34个高层控制目标和318个细节控制目标，并依据五部委发布的企业内部控制规范，建立企业自身的IT治理架构和管理流程。IT治理架构包括企业的规划与组织、获取与实施、交付与支持、监控等过程控制方面的政策、程序和规范。
    IT治理在组织中的应用是在管理指南的指导下完成的。管理指南通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，使企业中的信息资源得到有效的管理。管理指南的特点是：面向应用，具有通用性、一般性，不能提供针对某一具体测定方法，组织应根据自身环境修改这个一般性的指导方针，以满足实际的应用需要。IT治理体系覆盖的内容非常多，具体见图1。

图1：IT治理体系

COBIT模型将IT治理成熟度模型分为6个级别：
　　0 不存在。完全不存在可辨识的IT治理流程。组织并没认识到这一问题，因此关于此问题并无交流。
　　1 初始级初始的混乱的。有证据表明，组织已意识到存在IT治理问题并需要研究，尚无标准流程，但有些个人或在有些具体情况下进行了尝试。治理方法混乱，但对于问题和研究方法有零星的、不一致的交流。也可能意识到需要以产出为导向，在相关企业流程中追求IT的价值。没有标准的评价过程，只在组织中发生某些事件带来损失或不利时，IT治理才得以应用。
　　2 可重复级重复的但模糊的。人们普遍对IT治理问题有所了解，IT治理行为和效果处于未发展阶段，包括IT计划、交付和监控流程。其部分结果是，由于高层管理者积极的关注和参与，在组织改变管理流程时运用IT治理行为。选定的IT流程，因提高及控制企业核心流程，并且作为一种投资得到有效的治理，进而形成明确的IT架构。管理者认可基本的IT治理方法、评价技术，但整个组织并未采纳IT治理流程，组织中不存在与管理标准相关的正规培训和交流，仅凭个人反应。个人在不同的IT项目和流程中推行治理流程，他们选择并运用有限的管理工具收集相应信息，但由于缺乏专业知识，可能不能充分发挥IT治理的功能。
　　3 已定义级已定义流程。人们理解并接受IT治理。建立了一套基本的IT治理评价指标，绩效测量与绩效驱动之间的联系也得以确立、形成规范文档并贯穿到战略和运作计划以及管理流程中。流程被标准化、形成文档和实施，管理与标准流程相一致，开始了非正式的培训，对全部IT治理行为的表现进行记录、跟踪，促进企业整体提高。可以测定的流程并不复杂，却仅仅是现行实践的正规化。工具得以标准化，也采用现存技术。整个组织认同IT与商业利益平衡的观念。然而，只是个人接受培训、执行标准，只是偶尔分析问题的根本原因，大部分流程还是根据基本准则进行管理，出现的偏离很少被管理者发现，因为这些偏离主要由于个人原因造成。尽管存在一些问题，可以清楚地评价关键流程的绩效，并根据关键绩效指标对有关人员进行奖罚。
　　4 已管理级已管理和可测量的。通过正规培训，各个层次全面理解了IT治理。人们清楚地知道谁是顾客，而且通过服务水平协议，来定义和监督相应的责任。责任清楚，也落实到流程中的具体人员。IT流程与业务密切相关，与IT战略密切相关。IT流程的进步主要建立在定量的理解基础之上，监督、评测规程和流程的情况是可能的。所有流程参与者了解风险，也了解IT的重要性和IT提供的机会。管理者明确必须对哪些无效的流程采取行动。必要时改进流程，并强制执行最佳内部实践（准则）；标准化根本原因分析程序；确定持续改进措施；以成熟的技术和强制性的标准工具为基础，有限制地、有策略地使用新技术；有所需要的各个方面的内部专家；IT治理发展成公司范围级流程；IT治理活动正与公司治理过程相结合。
　　5 优化级对IT治理问题和解决方案有前瞻性的理解，并做好有关准备；利用先进的思想和技术进行培训和交流；通过持续改进，与其它组织的成熟度比较，业务流程已超越公司外的最佳实践；实施的这些政策已使组织，人和流程快速适应并全面满足IT治理的要求。深入分析所有问题和偏差的根本原因，并能方便地确定和启动有效的行动；以广泛的、集成的和得到优化的方式使用IT自动化工作流，并提供工具提高质量和效果；定义和平衡IT流程的风险和收益，并传达给整个公司；重视外部专家的作用，使用标杆指导IT流程；在组织内监督、自我评价和交流对IT治理的期望，并使用最优的技术支持评测、分析、沟通和培训；公司治理和IT治理战略相关，平衡技术、人员和资金以增强企业的竞争优势。
　　COBIT实现可跟踪的业绩衡量，通过平衡记分卡可以在财务、客户、流程、学习等方面维持平衡，评价企业或政府部门目标的实现情况以及IT绩效，并调整业务目标和IT战略，进行持续的IT管理。COBIT采用成熟度模型，可以定位自己企业或政府部门的IT管理目前在业界所处的位置，以及未来努力的方向。COBIT还提供了目前最佳案例和关键成功因素，供企业或政府部门借鉴。
　　COBIT模型使得信息技术目标和战略目标之间实现互动。COBIT考虑了企业或政府部门自身的战略规划，对业务环境和企业或政府部门总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。在IT准则的指导下，利用控制目标模型，分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。  
　　COBIT覆盖了从分析与设计到开发与实施，再到运营与维护的整个过程。对于分析与设计，重点目标是IT与业务需求的结合，根据业务目标细化IT战略，确定待开放的IT系统，进行相应的系统分析和设计。在分析与设计这样一个流程范围中，比传统所说的信息系统的分析与设计要宽广得多，它强调的是IT的战略要符合业务的战略，任何信息系统的开发都应该与业务战略保持精确的校准。

·信息系统审计和控制
    信息系统审计是指审计人员接受委托或授权，收集并评估证据以判断一个计算机系统是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴定目标，即对被审计单位的信息系统保护资产安全及数据完整的鉴定，又包含内部审计的管理目标，即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。
    信息系统审计是随着计算机在财务会计领域的应用而产生的，作为传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子的处理，延伸到对计算机系统的可靠性、安全性进行了解和评价。
    信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域，例如对组织的信息系统审计（主要集中在对信息技术的管理控制）、技术方面的信息系统审计（包括架构、数据中心、数据通信等）、应用的信息系统审计（包括经营、财务）、开发实施信息系统审计（包括需求识别、设计、开发以及实施后阶段）和信息系统是否符合国家或国际标准的审计以及网络审计、电子签名审计业务等电子商务审计。
    信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴定信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行，审计活动一直存在。
     另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运营维护阶段，因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。
    信息系统审计的鉴定价值是指通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性。在市场经济条件下，被审计单位输出的信息资料对该单位的存在与发展及其业务经营活动非常重要，对一些利益相关者而言也非常重要。例如，在电子商务中，交易双方在虚拟的空间进行交易活动，信息的真实性、可靠性、完整性，双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下，不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用，同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制，信息的使用者不可能亲自对信息的质量做出审查，因此需要一个可信赖的一方为此提供鉴定。
     信息系统审计可以促进被审计单位更有效地融入到社会经济生活中，可以促进被审计单位改进内部控制，加强管理，提高信息系统实现组织目标的效率、效果。信息系统审计师在完成审计后，出具审计证明，即审计报告，以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及，商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴定，对使用信息的所有相关体而言是具有巨大价值的。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时，信息的使用者也可以借助这些信息，加强被审计单位的管理决策，提高其经济效益。
    信息系统审计在审计过程中发现的控制缺陷或漏洞，可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局，并提出解决问题的建议，从而促进被审计单位提高管理水平，提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视，可以发现从内部看不到的问题。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业，分析其存在的问题及原因，也表现在以科学的态度和创新精神，去设计解决问题的方案。
    为了减少信息化风险，信息系统审计师凭借其专门知识和实践经验，受托或主动服务于被审计单位的管理者或其业务人员，在信息化过程中帮助企业或政府部门建立健全内部控制制度，进行系统诊断，根据企业需要，确定信息化的目标和内容，选择合适的软件产品，帮助企业或政府部门调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。
    赛宝认证中心依照ISACA信息系统审计规范和指南，建立自身的IT审计规范，并面向企业实施信息系统审计。审计的内容包括：
·IT治理领域：信息系统战略、政策和程序、风险管理、信息系统管理、信息系统组织结构和责任
·IT基础设施和应用系统的生命周期管理：业务实现、业务应用系统的开发、基础设施开发与获取、信息系统维护、系统开发工具、过程改进、应用控制
·IT服务提供与服务支持：信息系统运行、信息系统硬件、信息系统结构和软件、信息系统网络基础设施
·信息资产保护：逻辑访问暴露风险与控制、网络基础设施安全、环境风险与控制、物理访问风险与控制、移动计算
·业务连续性与灾难恢复计划：信息系统的业务连续性计划、灾难恢复计划
信息系统审计的过程包括：
·定义审计章程
·确定审计范围
·制定审计计划
·执行审计活动
·管理沟通
·审计报告

·风险评估和控制措施
    《企业内部控制规范-基本规范》要求企业实施风险评估和控制措施。赛宝认证中心具有多年从事风险评估和风险管理业务的经验，风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
    目标设定是风险识别、风险分析和风险应对的前提。企业应当按照战略目标，设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标，并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。
    风险评估在充分调研和科学分析的基础上，准确识别影响企业内部控制目标实现的内部风险因素和外部风险因素。按照规定的程序和方法开展风险评估后，可以结合业务流程、风险因素、重要性水平和风险应对策略，在对可能存在的风险进行分析的基础上，设立风险清单，建立企业风险数据库，为持续开展和不断改进风险评估提供充分、有效的数据支持。
    控制措施是指企业根据风险评估结果，结合风险应对策略，确保内部控制目标得以实现的方法和手段。综合运用控制措施实现对具体业务与事项的控制，合理保证将剩余风险控制在可接受水平之内。控制措施通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。