it內控框架
『壹』 請問企業內控與IT內控有什麼關系
您好,以下解答摘自谷安天下咨詢顧問發表的相關文章:
企業內部控制基本規范包含的五要素框架:
(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(四)信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息,並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告並做出相應處理的過程,是實施內部控制的重要保證。
相應的,IT內部控制框架也應對於企業內部控制的五要素框架:
(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境,同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。
(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃,IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
(三)IT控制措施。針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火牆、防病毒、入侵檢測、身份管理、許可權管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務台與事件管理程序,及時傳達企業內部層級之間和與企業外部相關的信息。
(五)監督檢查。需要建立IT內部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等,和管理手段如內部IT審核、管理評審、專項檢查等措施,不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件,谷安天下將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規與IT審計。
(二)流程與應用層控制。分析企業業務流程與活動,在企業業務流程、應用系統層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源,分析具體每個資源點的風險,建立風險控制措施。
『貳』 如何利用IT內控把公司效率提高起來
1、在管理軟體市場
重多軟體廠商注意到這管理領域的空間,紛紛推出相應的內控管理解決方案。幫助企業從財務預算、成本管理、報銷審批、成本監控等方面實現企業資產和資源的有效節流,深度濃縮和高效利用,提升管理績效,加強企業的市場競爭力。
2、協同軟體廠商
介入財務預算管理市場尤其管理兼容優勢。當工作人員從申請出差到出差返回報銷費用的整個過程中,不僅涉及到HR系統中出差期間的考勤管理與工作計劃、也會涉及到OA系統的出差申請管理、還會關聯到員工因出差借款流程,以及出差返回後的費用報銷流程。
3、軟體內控管理
面向財務管理的內控管理解決方案由企業成本中心管理與費用審批平台組成,依據企業組織架構和業務類型,靈活配置成本中心,通過預算控制、流程管控、電子化財務報銷系統、強化與財務系統的應用整合來實現企業對財務管理的內部管控,讓在日常中積累的各類財務數據成為反映問題、暴露不足、提前預警、量化效果的數字權威,並使之成為管理者管理、監控、判斷、把握企業發展的有效的管理工具與手段。
4、能實現與財務系統
如SAP,用友等的整合,提升財務系統的外圍應用。它可以將一些辦公流程,如報銷流程、審批流程等與財務系統整合,幫助企業實現財務集成、審批集成和數據展現。
5、報銷流程
系統會自動觸發財務系統生成憑證,降低了重復輸入財務數據可能引發的數據錯誤,減少工作量,提高工作效率和工作質量。封閉式的財務數據處理模式,可降低企業的財務風險和財務管理成本,提高企業的風險控制能力。
6、風險防範意識
目前國內大部分企業乃至很多全球性企業都在風險防範意識方面重視程度不足,在風險管控措施方面執行不到位。這使得眾多企業在面對重大突發災難時,很容易陷入生存危機。內部控制的不足在危機面前由隱至顯,企業開始關注內部控制對企業管理和生存條件的改善。
7、將在Velcro協同平台的基礎上
圍繞各項專業領域打造一系列子產品,以模塊化搭積木的方式交付給企業用戶,而目前面向財務管控的解決方案和面向文件管控解決方案已經推向市場。
『叄』 企業內部控制規范與IT內部控制有什麼關系
以下解答摘自谷安天下咨詢顧問發表的相關文章:
企業內部控制基本規范包含的五要素框架:
(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(四)信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息,並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告並做出相應處理的過程,是實施內部控制的重要保證。
相應的,IT內部控制框架也應對於企業內部控制的五要素框架:
(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境,同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。
(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃,IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
(三)IT控制措施。針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火牆、防病毒、入侵檢測、身份管理、許可權管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務台與事件管理程序,及時傳達企業內部層級之間和與企業外部相關的信息。
(五)監督檢查。需要建立IT內部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等,和管理手段如內部IT審核、管理評審、專項檢查等措施,不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件,谷安天下將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規與IT審計。
(二)流程與應用層控制。分析企業業務流程與活動,在企業業務流程、應用系統層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源,分析具體每個資源點的風險,建立風險控制措施。
『肆』 IT治理的IT治理框架
當前,我國信息化建設中的最大問題,不是技術問題,也不是資金問題,而是缺乏科學的IT管理觀念;IT領導者最大的問題不是缺少經驗和能力,而是缺乏卓越的管理素質和管理方法。對於IT治理來說,國際上已有許多成熟的方法和工具,形成了最佳業務實踐,這些最佳業務實踐是全球智慧的結晶,所以,對於我們來說,不是再去從頭創新,而是需要根據國情和組織的實際情況,對最佳實踐加以理解、掌握並有效運用,從而為組織戰略目標服務。
下圖為山東省軟體評測中心總結的IT治理的總體框架,描述了IT治理的出發點、IT治理的關鍵要素、IT治理的對象、IT治理的最佳實踐。
IT治理的目的是使IT與組織業務有效融合,其出發點首先是組織的發展戰略,以組織發展戰略為起點,遵循組織的風險與內控體系,制定相應的IT建設運行的管理機制。IT治理的關鍵要素涵蓋IT組織、IT戰略、IT架構、IT基礎設施、業務需求、IT投資、信息安全等,主要確定這些要素或活動中「做什麼決策?誰來決策?怎麼來決策?如何監督和評價決策?」。圍繞著IT建設全生命周期過程,構建持續的信息化建設長效機制,是IT治理的目標一致,因此,整個IT建設生命周期都是IT治理的對象,包括IT組織與規劃、IT建設與交付、IT運行與維護、IT評估與優化。IT治理的國際最佳實踐就是基於各個對象治理的成熟的方法論和工具,包括CobiT、ITIL、ISO27001、Prince2等。
按照IT治理的對象,我們將IT治理的服務劃分為五類,分別是:IT規劃治理、IT建設治理、IT運維治理、IT績效治理、IT風險治理。
『伍』 IT運維的內控化管理
1 內部層面
1.1 轉變IT運維管理工作方式和理念。強調從技術型向管理型轉變。各企事業單位的應用系統和網路系統已經成支撐業務正常運轉的重要基礎,保證應用系統和網路系統的正常運行和使用成為了IT運維工作的重中之重。IT運維部門的職能應當從傳統的重服務輕管理,逐步轉變為服務與管理並行,規范化與人性化相輔相成的模式,以適應現代化信息的工作模式。
1.2 清理、簡化現有IT運維管理制度。形成適合企事業單位管理實際的制度體系。以建立完整、規范、有效的內部規章制度體系為目標,緊密聯系工作實際,按照適用、可行、合法、有效的原則,對現有規章制度進行全面的自查和清理。按照IT運維管理工作的職能分工分層次、分步驟地對制訂的各項內部管理制度規程進行分類清理,從制度內容的適用性、可行性、依據和效力的合法性、執行的有效性等方面進行了逐條審核,並結合實際工作,對上級部門制訂的內部管理制度與當前實際工作不符的情況進行修訂和完善。逐步擯棄傳統的「人管人」的工作模式,形成以制度帶動人,以制度帶動工作的長效機制。
1.3 建立完善的內部信息共享平台。從基礎設施。應用系統和業務服務三個方面打造完善的信息共享和資源監控平台。能建立有效的信息資源庫,減低對關鍵技術人員的依賴,為日常IT運維和管理工作提供有效的保障:基礎設施管理方面,對網路,應用系統軟、硬體等資源進行細化管理,詳細記錄電子設備的出入庫、維保、報廢等環節。保證資源的有效利用;應用系統管理方面,對於各類應用系統的備份,日常維護進行有效管理控制,保證所有應用系統數據的一致性、准確性、及時性、可用性和完整性,並根據實際需要不斷進行改進、完善或更新;業務服務管理方面,盡可能的記錄所有的事件要素,包括問題描述、解決方案、操作人員等等。使得部門對人員的考核有了量化的標准,同時這個過程也有助於知識積累,形成有效的知識庫,可以極大地減少對關鍵人員的依賴,降低人員流失的風險。
1.4 建立例行巡查和通報制度。IT運維部門的負責人和業務主管可通過內部信息共享這一平台,對業務進行有效的監督。一是定期對記錄的相關事項進行巡查,審計已登記發生事項的規范性。二是對正在發生的事件實時跟蹤,及時了解事件的進展狀況。規范各個流程的操作,從源頭避免業務差錯的發生。三是建立採集問題,核實整改問題及問題通報三個環節的通報機制,以提升力IT運維管理的效率。
2 外部層面
2.1 加強與內部審計部門的溝通交流和人員培訓,培養復合型管理人員。定期組織IT運維人員和內部審計人員進行學習交流,探討內控管理中存在的問題,交流內控管理的心得體會,充分發揮IT運維的技術優勢和內控的管理優勢,通過良好的內部溝通機制和完善的信息共享平台,建立內部控制體系運行網路和內部控制管理組織體系。
2.2 加強與內部審計部門的業務合作。內部控制審計對組織治理、風險管理、改善控制效率和效果等方面有很大的促進作用。IT運維部門可配合內部審計部門進行運維管理,將內部控制審計作為常態化審計類型,通過這種方式,突出內控特點,運用規范的審計方法和評價體系,注重從控制、風險、管理等宏觀層面查找問題、提出建議,以達到促進IT運維管理工作,完善內控和加強管理的目的。
2.3 通過內部審計部門,加強督導、整改等工作的實效。在IT運維管理工作的過程中,不僅要發現問題解決問題,更重要的是要形成完善的IT運維管理工作規范和流程,在這點上。可以通過內部審計部門對企事業單位內部進一步規范制度、程序和方法,形成對風險進行事前防範、事中控制、事後監督和糾正的動態過程和機制,強化重要業務環節的風險控制。加大檢查力度,切實有效地推進督導、整改工作,建立內控管理的長效機制。
『陸』 如何建設高效的IT內控體系
企業內控建設實務
企業內控建設應當以經營的效率與效果為主導目標,以財務報告可靠、資產安全與經營合規為三個保障目標,在此基礎上,建設實務將圍繞內控組織的設置與內控建設的五要素展開。
(1)內部控制組織
組織是體系運行的基本保障。通常的內控組織包括董事會與經營層兩個層面,強調內部控制的建設與實施是董事會的責任,並且下設審計(風險)管理專門委員會加強管理。此外,內控組織的設置特別強調經理層是企業內控建設的具體實施者與責任人,各經營管理部門按照職能歸口進行內部控制的建設與實施。其中,是否設置專職的內控部門是企業界關注的焦點,通常的設置方式包括三種:
方式一:單獨設置內控部門。優點是有利於提高內控建設的初期推動效率,缺點是內控部門與經營管理部門割裂,未能很好地體現內部控制責任與經營管理責任的融合。此方式在金融類企業普遍應用,對於實體經濟體,通常不設置專職的內控部門。
方式二:由內部審計部門牽頭負責內控工作。優點是待體系初建完成且運行平穩後,內部審計作為內控的監督部門,可以立足於公司整體牽頭協調各部門定期進行內部控制的自我評價,並且持續完善內控體系的建設。缺點是國內企業內審部門往往人才匱乏,在內控建設的初期獨立當此重任可能力不從心。
方式三:在內部控制建設集中期設立內部控制建設辦公室,該辦公室從各主要部門抽調人員專職從事內控體系建設工作,待體系正式運行時,辦公室解散,人員歸位到各經營管理部門,且牽頭職能也歸位至內審部門。此方式的優點是可以集中各部門力量完成內部控制的體系化建設,待體系平穩運行後,相關人員回到經營管理部門的骨幹崗位上,有利於促進各經營部門對內部控制體系的理解,有利於內控與經營管理的融合。實踐表明,對於管理基礎弱的實體經濟企業,採取方式三的內控推行效果較佳。
當然,組織的設置沒有一定之規,企業應當依據自身的特點設置內部控組織,明確相關的管理責任。
(2)內部環境的診斷與完善
內部環境是企業內部控制建設與運行的載體,企業在建設內部控制機制時,首先要診斷與完善內部環境。一方面,內部環境的完善可以為控制活動的設計與運行奠定基礎,另一方面,內部環境的診斷可以加強控制活動與內部環境的匹配性,有利於控制活動的順暢運行。
通常,內部環境的診斷與完善包括六個方面的內容:治理結構、機構設置、權責分配、內部審計、人力資源政策、企業文化。其中,機構設置、權責分配與內部審計的定位三個方面必須先行完善,後續的控制活動設計與運行才會順暢。治理結構、人力資源政策與企業文化三個方面,可以伴隨控制活動的運行同步完善。
(3)動態的風險評估
風險評估是內部控制體系化建設的重要表現,是後續內控措施設計的重要依據。根據成本效益原則,企業應當針對評估的重要風險強化內部控制措施,有效降低風險。對於次要風險,企業應當簡化控制活動與流程設計,承擔相關的風險,體現經營的效率與效果為主導目標的內控建設理念。
風險評估包括風險辨識與風險評估兩個階段。在風險辨識階段,企業應當圍繞內部控制目標識別影響目標實現的不確定性因素,辨別企業風險並進行分類,形成企業的風險管理庫。通常,企業的風險可以劃分為戰略風險、市場風險、運營風險、財務風險與法律風險五類,並在此基礎上進一步細分。在風險評估階段,企業應當運用二維風險評估坐標圖,從破壞性與發生頻率兩個維度評估風險,並將風險點界定為重大風險、中風險與低風險。企業應當依據行業特點與目標設置等確定風險評估的標准,評估標准應當注意定量與定性標准相結合。
在實務中我們強調,處於不同行業的企業,或是同一行業的不同企業,或是同一企業處於不同的發展階段,其風險評估結果各不相同。為此,企業應當至少每年評估一次風險,及時發現新環境、新業務帶來的新風險,動態地調整風險評估結果,進而動態地調整控制活動規范,讓原本靜止的內控制度動起來,始終踏上企業發展的節奏。
(4)控制活動的設計
控制活動是內控體系實施的核心要素,企業在規范控制活動的過程中,應當形成內部控制政策與程序手冊(下簡稱內控手冊)。
企業在設計控制活動時,應當樹立與經營管理活動相融合的設計理念,首先界定企業的控制活動循環,然後將內部控制措施嵌入控制活動中,完善經營管理活動的制度流程設計,形成企業的內控手冊。內控手冊分模塊設計,每一模塊一般包括五個方面的內容:
第一,管理目標。圍繞內部控制的目標,企業在設計內控手冊時,首先應當明確控制活動的管理目標。例如采購付款循環,其管理目標應當包括保障物資供應、提高采購效率、降低資金佔用、控制采購成本、保證核算準確等。
第二,管理機構及職責。該部分將控制活動涉及的組織及職責清晰界定,以確保後續流程運行的順暢性。
第三,授權審批矩陣。該部分應當明確控制活動涉及的所有許可權在董事會、經理層與各職能部門間的劃分,並且明確各級審批責任。
第四,控制活動要求。該部分一般以制度文本的形式書寫,明確控制活動各控制環節的內控要求,作為相關經營管理流程設計的基礎。
第五,比照上述幾部分,各經營管理部門應當重新梳理與完善業務流程,針對關鍵風險點強化控制措施,確保組織職責、授權審批、內控要求落實到經營流程中,保證管理目標的實現。
在內控手冊的設計過程中,特別強調與企業現有的經營管理活動相融合的設計理念,切忌脫離原有制度流程設計孤立的內控手冊,以避免實務中業務部門仍參照原有流程、內控手冊則束之高擱的現象。
(5)信息與溝通貫穿始終
信息與溝通是指在內控建設中,保證在恰當的時機讓恰當的崗位獲取適當的信息。信息與溝通的設計應當貫穿於內部環境、風險評估與控制活動的始終,例如風險評估報告的報告程序,控制活動中的控制文檔設計,都體現了信息與溝通要素的建立與健全。
(6)內部監督手段。
內部監督置於五要素之末,是內控管理閉環的體現。為此,內部監督也可以視為五要素之首,是內部環境、風險評估、控制活動、信息與溝通要素持續完善的基礎。內部監督手段包括風險預警、內部評價與績效考核,三者缺一不可。
風險預警是較新的管理工具,通過預警指標的報告與跟蹤,可以突破企業傳統的內部審計在時間與空間上的限制,運用現代企業高效的信息集合手段,幫助管理層從浩如煙海的數據中提煉關鍵信息,捕捉企業易於忽略或是下級管理者企圖隱瞞的臨界數據,及時發現並採取措施防範風險。風險預警系統的設計包括選擇指標項、設定臨界值、跟蹤分析報告與修正臨界數據四項工作。企業應當結合自身的行業特點與管理重點設定風險預警指標,並且逐步積累臨界值。
內部控制的自我評價是基本規范的要求,也是管理審計的重要組成部分。內部評價手段完善的關鍵是建立評價標准與評價流程,明確內控缺陷的認定標准,規范評價報告。
此外,績效考核強調將內部控制建設與運行的有效性納入企業的績效考核, 以促進內控體系的實施。
『柒』 誰有操作簡單的內控管理軟體推薦下。現在用的太坑了,傷不起啊
那你用的應該不是碉堡堡壘機,我們公司用的這款軟體,效果很不過,強推!
『捌』 如何建立IT內控風險預警體系
(1)
確定
IT
內控風險預警范圍
(2)
對選定范圍進行風險識別和評估
(3)
對潛在
IT
風險實時監控,並實施有效的控制措施
(3)
對潛在
IT
風險實時監控,並實施有效的控制措施
建立起全面
IT
風險預警機制的核心一步,是根據風險識別、評估的結果,針對相關
IT
風險源制定統一的風險管理戰略,加強實時監控。例如,對
IT
風險預警系統的有效運行進
行持續監控與個別評估,充分發揮對潛在
IT
風險的實時監控作用,實現對潛在風險的實時
監控與內部控制措施的有效結合,以改善
IT
風險控制與管理的效果。
5)
培訓宣貫與運行推廣實施