it內控流程
❶ 企業內部控制規范與IT內部控制有什麼關系
以下解答摘自谷安天下咨詢顧問發表的相關文章:
企業內部控制基本規范包含的五要素框架:
(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(四)信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息,並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告並做出相應處理的過程,是實施內部控制的重要保證。
相應的,IT內部控制框架也應對於企業內部控制的五要素框架:
(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境,同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。
(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃,IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
(三)IT控制措施。針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火牆、防病毒、入侵檢測、身份管理、許可權管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務台與事件管理程序,及時傳達企業內部層級之間和與企業外部相關的信息。
(五)監督檢查。需要建立IT內部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等,和管理手段如內部IT審核、管理評審、專項檢查等措施,不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件,谷安天下將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規與IT審計。
(二)流程與應用層控制。分析企業業務流程與活動,在企業業務流程、應用系統層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源,分析具體每個資源點的風險,建立風險控制措施。
❷ 如何建設高效的IT內控體系
企業內控建設實務
企業內控建設應當以經營的效率與效果為主導目標,以財務報告可靠、資產安全與經營合規為三個保障目標,在此基礎上,建設實務將圍繞內控組織的設置與內控建設的五要素展開。
(1)內部控制組織
組織是體系運行的基本保障。通常的內控組織包括董事會與經營層兩個層面,強調內部控制的建設與實施是董事會的責任,並且下設審計(風險)管理專門委員會加強管理。此外,內控組織的設置特別強調經理層是企業內控建設的具體實施者與責任人,各經營管理部門按照職能歸口進行內部控制的建設與實施。其中,是否設置專職的內控部門是企業界關注的焦點,通常的設置方式包括三種:
方式一:單獨設置內控部門。優點是有利於提高內控建設的初期推動效率,缺點是內控部門與經營管理部門割裂,未能很好地體現內部控制責任與經營管理責任的融合。此方式在金融類企業普遍應用,對於實體經濟體,通常不設置專職的內控部門。
方式二:由內部審計部門牽頭負責內控工作。優點是待體系初建完成且運行平穩後,內部審計作為內控的監督部門,可以立足於公司整體牽頭協調各部門定期進行內部控制的自我評價,並且持續完善內控體系的建設。缺點是國內企業內審部門往往人才匱乏,在內控建設的初期獨立當此重任可能力不從心。
方式三:在內部控制建設集中期設立內部控制建設辦公室,該辦公室從各主要部門抽調人員專職從事內控體系建設工作,待體系正式運行時,辦公室解散,人員歸位到各經營管理部門,且牽頭職能也歸位至內審部門。此方式的優點是可以集中各部門力量完成內部控制的體系化建設,待體系平穩運行後,相關人員回到經營管理部門的骨幹崗位上,有利於促進各經營部門對內部控制體系的理解,有利於內控與經營管理的融合。實踐表明,對於管理基礎弱的實體經濟企業,採取方式三的內控推行效果較佳。
當然,組織的設置沒有一定之規,企業應當依據自身的特點設置內部控組織,明確相關的管理責任。
(2)內部環境的診斷與完善
內部環境是企業內部控制建設與運行的載體,企業在建設內部控制機制時,首先要診斷與完善內部環境。一方面,內部環境的完善可以為控制活動的設計與運行奠定基礎,另一方面,內部環境的診斷可以加強控制活動與內部環境的匹配性,有利於控制活動的順暢運行。
通常,內部環境的診斷與完善包括六個方面的內容:治理結構、機構設置、權責分配、內部審計、人力資源政策、企業文化。其中,機構設置、權責分配與內部審計的定位三個方面必須先行完善,後續的控制活動設計與運行才會順暢。治理結構、人力資源政策與企業文化三個方面,可以伴隨控制活動的運行同步完善。
(3)動態的風險評估
風險評估是內部控制體系化建設的重要表現,是後續內控措施設計的重要依據。根據成本效益原則,企業應當針對評估的重要風險強化內部控制措施,有效降低風險。對於次要風險,企業應當簡化控制活動與流程設計,承擔相關的風險,體現經營的效率與效果為主導目標的內控建設理念。
風險評估包括風險辨識與風險評估兩個階段。在風險辨識階段,企業應當圍繞內部控制目標識別影響目標實現的不確定性因素,辨別企業風險並進行分類,形成企業的風險管理庫。通常,企業的風險可以劃分為戰略風險、市場風險、運營風險、財務風險與法律風險五類,並在此基礎上進一步細分。在風險評估階段,企業應當運用二維風險評估坐標圖,從破壞性與發生頻率兩個維度評估風險,並將風險點界定為重大風險、中風險與低風險。企業應當依據行業特點與目標設置等確定風險評估的標准,評估標准應當注意定量與定性標准相結合。
在實務中我們強調,處於不同行業的企業,或是同一行業的不同企業,或是同一企業處於不同的發展階段,其風險評估結果各不相同。為此,企業應當至少每年評估一次風險,及時發現新環境、新業務帶來的新風險,動態地調整風險評估結果,進而動態地調整控制活動規范,讓原本靜止的內控制度動起來,始終踏上企業發展的節奏。
(4)控制活動的設計
控制活動是內控體系實施的核心要素,企業在規范控制活動的過程中,應當形成內部控制政策與程序手冊(下簡稱內控手冊)。
企業在設計控制活動時,應當樹立與經營管理活動相融合的設計理念,首先界定企業的控制活動循環,然後將內部控制措施嵌入控制活動中,完善經營管理活動的制度流程設計,形成企業的內控手冊。內控手冊分模塊設計,每一模塊一般包括五個方面的內容:
第一,管理目標。圍繞內部控制的目標,企業在設計內控手冊時,首先應當明確控制活動的管理目標。例如采購付款循環,其管理目標應當包括保障物資供應、提高采購效率、降低資金佔用、控制采購成本、保證核算準確等。
第二,管理機構及職責。該部分將控制活動涉及的組織及職責清晰界定,以確保後續流程運行的順暢性。
第三,授權審批矩陣。該部分應當明確控制活動涉及的所有許可權在董事會、經理層與各職能部門間的劃分,並且明確各級審批責任。
第四,控制活動要求。該部分一般以制度文本的形式書寫,明確控制活動各控制環節的內控要求,作為相關經營管理流程設計的基礎。
第五,比照上述幾部分,各經營管理部門應當重新梳理與完善業務流程,針對關鍵風險點強化控制措施,確保組織職責、授權審批、內控要求落實到經營流程中,保證管理目標的實現。
在內控手冊的設計過程中,特別強調與企業現有的經營管理活動相融合的設計理念,切忌脫離原有制度流程設計孤立的內控手冊,以避免實務中業務部門仍參照原有流程、內控手冊則束之高擱的現象。
(5)信息與溝通貫穿始終
信息與溝通是指在內控建設中,保證在恰當的時機讓恰當的崗位獲取適當的信息。信息與溝通的設計應當貫穿於內部環境、風險評估與控制活動的始終,例如風險評估報告的報告程序,控制活動中的控制文檔設計,都體現了信息與溝通要素的建立與健全。
(6)內部監督手段。
內部監督置於五要素之末,是內控管理閉環的體現。為此,內部監督也可以視為五要素之首,是內部環境、風險評估、控制活動、信息與溝通要素持續完善的基礎。內部監督手段包括風險預警、內部評價與績效考核,三者缺一不可。
風險預警是較新的管理工具,通過預警指標的報告與跟蹤,可以突破企業傳統的內部審計在時間與空間上的限制,運用現代企業高效的信息集合手段,幫助管理層從浩如煙海的數據中提煉關鍵信息,捕捉企業易於忽略或是下級管理者企圖隱瞞的臨界數據,及時發現並採取措施防範風險。風險預警系統的設計包括選擇指標項、設定臨界值、跟蹤分析報告與修正臨界數據四項工作。企業應當結合自身的行業特點與管理重點設定風險預警指標,並且逐步積累臨界值。
內部控制的自我評價是基本規范的要求,也是管理審計的重要組成部分。內部評價手段完善的關鍵是建立評價標准與評價流程,明確內控缺陷的認定標准,規范評價報告。
此外,績效考核強調將內部控制建設與運行的有效性納入企業的績效考核, 以促進內控體系的實施。
❸ 請問企業內控與IT內控有什麼關系
您好,以下解答摘自谷安天下咨詢顧問發表的相關文章:
企業內部控制基本規范包含的五要素框架:
(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(四)信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息,並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告並做出相應處理的過程,是實施內部控制的重要保證。
相應的,IT內部控制框架也應對於企業內部控制的五要素框架:
(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境,同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。
(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃,IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
(三)IT控制措施。針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火牆、防病毒、入侵檢測、身份管理、許可權管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務台與事件管理程序,及時傳達企業內部層級之間和與企業外部相關的信息。
(五)監督檢查。需要建立IT內部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等,和管理手段如內部IT審核、管理評審、專項檢查等措施,不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件,谷安天下將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規與IT審計。
(二)流程與應用層控制。分析企業業務流程與活動,在企業業務流程、應用系統層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源,分析具體每個資源點的風險,建立風險控制措施。
❹ 企業內控與IT內控有什麼關系
以下解答摘自谷安天下咨詢顧問發表的相關文章:
企業內部控制基本規范包含的五要素框架:
(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(四)信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息,並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告並做出相應處理的過程,是實施內部控制的重要保證。
相應的,IT內部控制框架也應對於企業內部控制的五要素框架:
(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境,同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。
(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃,IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
(三)IT控制措施。針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火牆、防病毒、入侵檢測、身份管理、許可權管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務台與事件管理程序,及時傳達企業內部層級之間和與企業外部相關的信息。
(五)監督檢查。需要建立IT內部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等,和管理手段如內部IT審核、管理評審、專項檢查等措施,不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件,谷安天下將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規與IT審計。
(二)流程與應用層控制。分析企業業務流程與活動,在企業業務流程、應用系統層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源,分析具體每個資源點的風險,建立風險控制措施。
參考資料:答案來自於谷安天下網站咨詢顧問發表的相關文章
關鍵字是:企業內控、IT內控
❺ 如何開展IT審計項目,IT審計的實施過程是什麼
計劃階段是整個審計過程的起點。其主要工作包括:
(1)了解被審系統基本情況
了解被審系統基本情況是實施任何信息系統審計的必經程序,對基本情況的了解有助於審計組織對系統的組成、環境、運行年限、控制等有初步印象,以決定是否對該系統進行審計,明確審計的難度,所需時間以及人員配備情況等。
了解了基本情況,審計組織就可以大致判斷系統的復雜性、管理層對審計的態度、內部控制的狀況、以前審計的狀況、審計難點與重點,以決定是否對其進行審計。
(2)初步評價被審搜索單位系統的內部控制及外部控制
傳統的內部控制制度是為防止舞弊和差錯而形成的以內部稽核和相互牽制為核心的工作制度。隨著信息技術特別是以Internet為代表的網路技術的發展和應用,企業信息系統進一步向深層次發展,這些變革無疑給企業帶來了巨大的效益,但同時也給內部控制帶來了新的問題和挑戰。加強內部控制制度是信息系統安全可靠運行的有力保證。依據控制對象的范圍和環境,信息系統內控制度的審計內容包括一般控制和應用控制兩類。
一般控制是系統運行環境方而的控制,指對信息系統構成要素(人、機器、文件)的控制。它已為應用程序的正常運行提供外圍保障,影響到計算機應用的成敗及應用控制的強弱。主要包括:組織控制、操作控制、硬體及系統軟體控制和系統安全控制。
應用控制是對信息系統中具體的數據處理活動所進行的控制,是具體的應用系統中用來預測、檢測和更正錯誤和處置不法行為的控制措施,信息系統的應用控制主要體現在輸入控制、處理控制和輸出控制。應用控制具有特殊性,不同的應用系統有著不同的處理方式和處理環節,因而有著不同的控制問題和不同的控制要求,但是一般可把它劃分為:輸入控制、處理控制和輸出控制。
通過對信息系統組織機構控制,系統開發與維護控制,安全性控制,硬體、軟體資源控制,輸入控制,處理控制,輸出控制等方而的審計分析,建立內部控制強弱評價的指標系統及評價模型,審計人員通過互動式人機對話,輸入各評價指標的評分,內控制審計評價系統則可以進行多級綜合審計評價。通過內控制度的審計,實現對系統的預防性控制,檢測性控制和糾正性控制。
(3)識別重要性
為了有效實現審計目標,合理使用審計資源,在制定審計計劃時,信息系統審計人員應對系統重要性進行適當評估。對重要性的評估一般需要運用專業判斷。考慮重要性水平時要根據審計人員的職業判斷或公用標准,系統的服務對象及業務性質,內控的初評結果。重要性的判斷離不開特定環境,審計人員必須根據具體的信息系統環境確定重要性。重要性具有數量和質量兩個方面的特徵。越是重要的子系統,就越需要獲取充分的審計證據,以支持審計結論或意見。
(4)編制審計計劃
經過以上程序,為編制審計計劃提供了良好准備,審計人員就可以據以編制總體及具體審計計劃。
總體計劃包括:被審單位基本情況;審計目的、審計范圍及策略;重要問題及重要審計領域;工作進度及時間;審計小組成員分工;重要性確定及風險評估等。
具體計劃包括:具體審計目標;審計程序;執行人員及時間限制等。 做好上訴材料的充分的准備,便可進行審計實施,具體包括以下內容:
(1)對信息系統計劃開發階段的審計
對信息系統計劃開發階段的審計包括對計劃的審計和對開發的審計,可以採用事中審計,也可以是事後審計。比較而言事中審計更有意義,審計結果的得出利於故障、問題的及早發現,利於調整計劃,利於開發順序的改進。
信息系統計劃階段的關鍵控制點有:計劃是否有明確的目的,計劃中是否明確描述了系統的效果,是否明確了系統開發的組織,對整體計劃進程是否正確預計,計劃能否隨經營環境改變而及時修正,計劃是否制定有可行性報告,關於計劃的過程和結果是否有文檔記錄等等。
系統開發階段包括系統分析、系統設計、代碼編寫和系統測試三部分。其中涉及包括功能需求分析、業務數據分析、總體框架設計、結構設計、代碼設計、資料庫設計、輸入輸出設計、處理流程及模塊功能的設計。編程時依據系統設計階段的設計圖及資料庫結構和編碼設計,用計算機程序語言來實現系統的過程。測試包括動態測試和靜態測試,是系統開發完畢,進入試運行之前的必經程序。其關鍵控制點有:
分析控制點:是否己細致分析企業組織結構;是否確定用戶功能和性能需求;是否確定用戶的數據需求等。
設計控制點:設計界面是否方便用戶使用;設計是否與業務內容相符;性能能否滿足需要,是否考慮故障對策和安全保護等。
編程式控制制點:是否有程序說明書,並按照說明書進行編寫;編程與設計是否相符,有無違背編程原則;程序作者是否進行自測;是否有程序作者之外的第三人進行測試;編程的書寫、變數的命名等是否規范。
測試控制點:測試數據的選取是否按計劃及需要進行,是否具有代表性;測試是否站在公正客觀的立場進行,是否有用戶參與測試;測試結果是否正確記錄等。
(2)對信息系統運行維護階段的審計
對信息系統運行維護階段的審計又細分為對運行階段的審計和對維護階段的審計。系統運行過程的審計是在信息系統正式運行階段,針對信息系統是否被正確操作和是否有效地運行,從而真正實現信息系統的開發目標、滿足用戶需求而進行的審計。對信息系統運行過程的審計分為系統輸入審計、通信系統審計、處理過程審計、資料庫審計、系統輸出審計和運行管理審計六大部分。
輸入審計的關鍵控制點有:是否制定並遵守輸入管理規則,是否有數據生成順序、處理等的防錯、保護措施、防錯、保護措施是否有效等。
通信系統實施的是實際數據的傳輸,通信系統中,審計軌跡應記錄輸入的數據、傳送的數據和工作的通信系統。通信系統審計的關鍵控制點有:是否制定並遵守通信規則,對網路存取控制及監控是否有效等。
處理過程指處理器在接收到輸入的數據後對數據進行加工處理的過程,此時的審計主要針對數據輸入系統後是否被正確處理。關鍵控制點有:被處理的數據,數據處理器,數據處理時間,數據處理後的結果,數據處理實現的目的,系統處理的差錯率,平均無故障時間,可恢復性和平均恢復時間等。
資料庫審計是保障資料庫正確行使了其職能,如對數據操作的有效性和發生異常操作時對數據的保護功能(正確數據不丟失,數據回滾以保證數據的一致性)。其關鍵控制點有:對數據的存取控制及監視是否有效,是否記錄數據利用狀況,並定期分析,是否考慮數據的保護功能,是否有防錯、保密功能,防錯、保密功能是否有效等。
輸出審計不同於測試階段的輸出審計,此時的輸出是在實際數據的基礎上進行的,對其進行審計可以對系統輸出進行再控制,結合用戶需求進行評價。關鍵控制點有:輸出信息的獲取及處理時是否有防止不正當行為和機密保護措施,輸出信息是否准確、及時,輸出信息的形式是否被客戶所接受,是否記錄輸出出錯情況並定期分析等。
運行管理審計是對人機系統中人的行為的審計。關鍵控制點有:操作順序是否標准化,作業進度是否有優先順序,操作是否按標准進行,人員交替是否規范,能否對預計於實際運行的差異進行分析,遇問題時能否相互溝通,是否有經常性培訓與教育等。
維護過程的審計包括對維護計劃、維護實施、改良系統的試運行和舊系統的廢除等維護活動的審計。維護過程的關鍵控制點有:維護組織的規模是否適應需要,人員分工是否明確,是否有一套管理機制和協調機制,維護過程發現的可改進點,維護是否得到維護負責人同意,是否對發現問題作了修正,維護記錄是否有文檔記載,是否定期分析,舊系統的廢除是否在授權下進行等。 完成階段是實質性的整個信息系統審計工作的結束,主要工作有:
整理、評價執行審計業務過程中收集到的證據。在信息系統審計的現代化管理時期,收集到的數據己存儲在管理系統中,審計人員只需對其進行分析和調用即可。
復核審計底稿,完成二級復核。傳統審計的三級復核制度對信息系統審計同樣適用,它是保證審計質量、降低審計風險的重要措施。一級復核是由信息系統審計項目組長在審計過程進行中對工作底稿的復核,這層復核主要是評價已完成的審計工作、所獲得的工作底稿編制人員形成的結論;二級復核是在外勤工作結束時,由審計部門領導對工作底稿進行的重點復核。在審計工作辦公自動化的今天,二級復核制度同樣可以通過網上報送及調用得以實現。
評價審計結果,形成審計意見,完成三級復核,編制審計報告。評價審計結果主要是為了確定將要發表的審計意見的類型及在整個審計工作中是否遵循了獨立審計准則。信息系統審計人員需要對重要性和審計風險進行最終的評價。這是審計人員決定發表何種類型審計意見的必要過程,所確定的可接受審計風險一定要有足夠充分適當的審計證據支持。簽發審計報告之前,應當隨工作底稿進行最終(三級)復核,三級復核由審計部門的主任進行,主要復核所採用審計程序的恰當性、審計工作底稿的充分性、審計過程中是否存在重大遺漏、審計工作是否符合事務所的質量要求等。三級復核制度的堅持是控制審計風險的重要手段。審計報告是審計工作的最終成果,審計報告首先應有審計人員對被審系統的安全性、可靠性、穩定性、有效性的意見,同時提出改進建議。
❻ 內控管理,IT技術是否能幫上忙
全球化背景下,越來越多的國家認識到,無論是市場還是企業本身,均存在著對企業內部控制的要求。許多國家均已頒布了相關法案,如美國的《薩班斯法案》、日本的《金融商品交易法》、中國的《企業內部控制基本規范》等,都對 企業治理、職權控制、信息發布等方面提出了嚴格的企業規則和監管要求。據近期的有關調查資料顯示,85%以上的中國企業在IT內控上不完善或者缺乏有效的執行,報告還指出企業IT內控能力不足,已經成為企業發展的瓶頸。
近年來,IT已經成為推動企業發展的重要動力,企業對IT的依賴程度也越來越高,IT內控已成為是企業信息化管理中規避潛在風險的重要方法。使用IT手段實現內部控制與風險管理,方能幫助企業規避風險、提高管理水平。
為什麼要選擇IT內控?
在IT內控出現以前,我們用規章制度、政策和程序手冊來描述具體做事的步驟和規定。但規章制度一般是告訴你要做什麼事情,無法對事件處理過程的信息進行跟蹤、把握和分析。同時規章制度缺乏流程的參與,不容易達到權責分明和處理嚴謹。而IT內控能將「執行過程」與「分析報告」井然有序、按需提供的呈現在不同層級的員工面前,將整個企業都置於業務合規、工作高效、業績提升、員工滿意的和諧氛圍中。
如何提升IT內控能力?
風險無處不在、難以度量,這使得企業很難去評估風險,很多時候企業在實施IT內控和風險管理時常常感到無從下手。IT內控能力的提升在很大程度上取決於企業中的「技術」與「人」這兩個因素的契合程度。
在通過IT手段提升內控管理能力上,企業可以從以下幾個方面著手:
1. 借鑒國內外先進經驗,結合業務需要,制定完善和規范的IT內控工作流程;
2. 在全員范圍內宣傳和普及IT內控的理念,將企業的各類規章制度和管理理念通過IT手段固化到每個員工的日常工作中;
3. 通過IT手段將企業的內控制度與日常業務相結合,並實現互相監督和實時監督;
4. 建立有效的、長期的IT內部監督機制,通過日誌監控、許可權控制等技術,通過組建內部控制監督小組,評估控制的有效性,為事件的發生做好追蹤預案。
IT內控——三分制度,七分管理
內控管理已成為企業管理理念不可或缺的組成部分,企業管理者需要切實可行的IT手段將內部控制的理念落地,管理只有落地了,才能產生效益,發揮威力。正所謂「三分制度,七分管理」,採用IT手段配合制度已是現今眾多企業管理者的共識。
IT手段,如身份認證、許可權管理、日誌留存、安全防護等,配合管理類的各項制度和措施,如各類制度與流程、授權審批、職權匹配、定期報表匯報、提前預估、績效考核等。IT手段的選取應符合企業的現狀,須有足夠的靈活性和全面性,同時兼顧組織架構中各層級人員的業務需求。通過IT手段從嚴管理企業,實現管理創新,使傳統的管理模式向現代企業管理過渡,加強企業內部控制的建設。
古希臘政治家伯利克利認為:「提升風險管理水平,並不是為了能夠准確的預見未來的風險,而是為了不可預知的風險做好准備」。這與中國的諺語「居安思危,有備無患」有異曲同工之妙。一個成功的IT內控體系可以防止和減少許多潛在事件的發生和破壞。將企業內控的制度、措施通過技術手段加以固化,規范企業內部工作流程,提高企業經營管理水平和風險防範能力,有利於促進企業的可持續健康發展。
❼ IT運維的內控化管理
1 內部層面
1.1 轉變IT運維管理工作方式和理念。強調從技術型向管理型轉變。各企事業單位的應用系統和網路系統已經成支撐業務正常運轉的重要基礎,保證應用系統和網路系統的正常運行和使用成為了IT運維工作的重中之重。IT運維部門的職能應當從傳統的重服務輕管理,逐步轉變為服務與管理並行,規范化與人性化相輔相成的模式,以適應現代化信息的工作模式。
1.2 清理、簡化現有IT運維管理制度。形成適合企事業單位管理實際的制度體系。以建立完整、規范、有效的內部規章制度體系為目標,緊密聯系工作實際,按照適用、可行、合法、有效的原則,對現有規章制度進行全面的自查和清理。按照IT運維管理工作的職能分工分層次、分步驟地對制訂的各項內部管理制度規程進行分類清理,從制度內容的適用性、可行性、依據和效力的合法性、執行的有效性等方面進行了逐條審核,並結合實際工作,對上級部門制訂的內部管理制度與當前實際工作不符的情況進行修訂和完善。逐步擯棄傳統的「人管人」的工作模式,形成以制度帶動人,以制度帶動工作的長效機制。
1.3 建立完善的內部信息共享平台。從基礎設施。應用系統和業務服務三個方面打造完善的信息共享和資源監控平台。能建立有效的信息資源庫,減低對關鍵技術人員的依賴,為日常IT運維和管理工作提供有效的保障:基礎設施管理方面,對網路,應用系統軟、硬體等資源進行細化管理,詳細記錄電子設備的出入庫、維保、報廢等環節。保證資源的有效利用;應用系統管理方面,對於各類應用系統的備份,日常維護進行有效管理控制,保證所有應用系統數據的一致性、准確性、及時性、可用性和完整性,並根據實際需要不斷進行改進、完善或更新;業務服務管理方面,盡可能的記錄所有的事件要素,包括問題描述、解決方案、操作人員等等。使得部門對人員的考核有了量化的標准,同時這個過程也有助於知識積累,形成有效的知識庫,可以極大地減少對關鍵人員的依賴,降低人員流失的風險。
1.4 建立例行巡查和通報制度。IT運維部門的負責人和業務主管可通過內部信息共享這一平台,對業務進行有效的監督。一是定期對記錄的相關事項進行巡查,審計已登記發生事項的規范性。二是對正在發生的事件實時跟蹤,及時了解事件的進展狀況。規范各個流程的操作,從源頭避免業務差錯的發生。三是建立採集問題,核實整改問題及問題通報三個環節的通報機制,以提升力IT運維管理的效率。
2 外部層面
2.1 加強與內部審計部門的溝通交流和人員培訓,培養復合型管理人員。定期組織IT運維人員和內部審計人員進行學習交流,探討內控管理中存在的問題,交流內控管理的心得體會,充分發揮IT運維的技術優勢和內控的管理優勢,通過良好的內部溝通機制和完善的信息共享平台,建立內部控制體系運行網路和內部控制管理組織體系。
2.2 加強與內部審計部門的業務合作。內部控制審計對組織治理、風險管理、改善控制效率和效果等方面有很大的促進作用。IT運維部門可配合內部審計部門進行運維管理,將內部控制審計作為常態化審計類型,通過這種方式,突出內控特點,運用規范的審計方法和評價體系,注重從控制、風險、管理等宏觀層面查找問題、提出建議,以達到促進IT運維管理工作,完善內控和加強管理的目的。
2.3 通過內部審計部門,加強督導、整改等工作的實效。在IT運維管理工作的過程中,不僅要發現問題解決問題,更重要的是要形成完善的IT運維管理工作規范和流程,在這點上。可以通過內部審計部門對企事業單位內部進一步規范制度、程序和方法,形成對風險進行事前防範、事中控制、事後監督和糾正的動態過程和機制,強化重要業務環節的風險控制。加大檢查力度,切實有效地推進督導、整改工作,建立內控管理的長效機制。
❽ 如何建立IT內控風險預警體系
(1)
確定
IT
內控風險預警范圍
(2)
對選定范圍進行風險識別和評估
(3)
對潛在
IT
風險實時監控,並實施有效的控制措施
(3)
對潛在
IT
風險實時監控,並實施有效的控制措施
建立起全面
IT
風險預警機制的核心一步,是根據風險識別、評估的結果,針對相關
IT
風險源制定統一的風險管理戰略,加強實時監控。例如,對
IT
風險預警系統的有效運行進
行持續監控與個別評估,充分發揮對潛在
IT
風險的實時監控作用,實現對潛在風險的實時
監控與內部控制措施的有效結合,以改善
IT
風險控制與管理的效果。
5)
培訓宣貫與運行推廣實施
❾ 如何利用IT內控把公司效率提高起來
1、在管理軟體市場
重多軟體廠商注意到這管理領域的空間,紛紛推出相應的內控管理解決方案。幫助企業從財務預算、成本管理、報銷審批、成本監控等方面實現企業資產和資源的有效節流,深度濃縮和高效利用,提升管理績效,加強企業的市場競爭力。
2、協同軟體廠商
介入財務預算管理市場尤其管理兼容優勢。當工作人員從申請出差到出差返回報銷費用的整個過程中,不僅涉及到HR系統中出差期間的考勤管理與工作計劃、也會涉及到OA系統的出差申請管理、還會關聯到員工因出差借款流程,以及出差返回後的費用報銷流程。
3、軟體內控管理
面向財務管理的內控管理解決方案由企業成本中心管理與費用審批平台組成,依據企業組織架構和業務類型,靈活配置成本中心,通過預算控制、流程管控、電子化財務報銷系統、強化與財務系統的應用整合來實現企業對財務管理的內部管控,讓在日常中積累的各類財務數據成為反映問題、暴露不足、提前預警、量化效果的數字權威,並使之成為管理者管理、監控、判斷、把握企業發展的有效的管理工具與手段。
4、能實現與財務系統
如SAP,用友等的整合,提升財務系統的外圍應用。它可以將一些辦公流程,如報銷流程、審批流程等與財務系統整合,幫助企業實現財務集成、審批集成和數據展現。
5、報銷流程
系統會自動觸發財務系統生成憑證,降低了重復輸入財務數據可能引發的數據錯誤,減少工作量,提高工作效率和工作質量。封閉式的財務數據處理模式,可降低企業的財務風險和財務管理成本,提高企業的風險控制能力。
6、風險防範意識
目前國內大部分企業乃至很多全球性企業都在風險防範意識方面重視程度不足,在風險管控措施方面執行不到位。這使得眾多企業在面對重大突發災難時,很容易陷入生存危機。內部控制的不足在危機面前由隱至顯,企業開始關注內部控制對企業管理和生存條件的改善。
7、將在Velcro協同平台的基礎上
圍繞各項專業領域打造一系列子產品,以模塊化搭積木的方式交付給企業用戶,而目前面向財務管控的解決方案和面向文件管控解決方案已經推向市場。
❿ IT審計的審計流程
計劃階段是整個審計過程的起點。其主要工作包括:
(1)了解被審系統基本情況
了解被審系統基本情況是實施任何信息系統審計的必經程序,對基本情況的了解有助於審計組織對系統的組成、環境、運行年限、控制等有初步印象,以決定是否對該系統進行審計,明確審計的難度,所需時間以及人員配備情況等。
了解了基本情況,審計組織就可以大致判斷系統的復雜性、管理層對審計的態度、內部控制的狀況、以前審計的狀況、審計難點與重點,以決定是否對其進行審計。
(2)初步評價被審單位系統的內部控制及外部控制
傳統的內部控制制度是為防止舞弊和差錯而形成的以內部稽核和相互牽制為核心的工作制度。隨著信息技術特別是以Internet為代表的網路技術的發展和應用,企業信息系統進一步向深層次發展,這些變革無疑給企業帶來了巨大的效益,但同時也給內部控制帶來了新的問題和挑戰。加強內部控制制度是信息系統安全可靠運行的有力保證。依據控制對象的范圍和環境,信息系統內控制度的審計內容包括一般控制和應用控制兩類。
一般控制是系統運行環境方而的控制,指對信息系統構成要素(人、機器、文件)的控制。它已為應用程序的正常運行提供外圍保障,影響到計算機應用的成敗及應用控制的強弱。主要包括:組織控制、操作控制、硬體及系統軟體控制和系統安全控制。
應用控制是對信息系統中具體的數據處理活動所進行的控制,是具體的應用系統中用來預測、檢測和更正錯誤和處置不法行為的控制措施,信息系統的應用控制主要體現在輸入控制、處理控制和輸出控制。應用控制具有特殊性,不同的應用系統有著不同的處理方式和處理環節,因而有著不同的控制問題和不同的控制要求,但是一般可把它劃分為:輸入控制、處理控制和輸出控制。
通過對信息系統組織機構控制,系統開發與維護控制,安全性控制,硬體、軟體資源控制,輸入控制,處理控制,輸出控制等方而的審計分析,建立內部控制強弱評價的指標系統及評價模型,審計人員通過互動式人機對話,輸入各評價指標的評分,內控制審計評價系統則可以進行多級綜合審計評價。通過內控制度的審計,實現對系統的預防性控制,檢測性控制和糾正性控制。
(3)識別重要性
為了有效實現審計目標,合理使用審計資源,在制定審計計劃時,信息系統審計人員應對系統重要性進行適當評估。對重要性的評估一般需要運用專業判斷。考慮重要性水平時要根據審計人員的職業判斷或公用標准,系統的服務對象及業務性質,內控的初評結果。重要性的判斷離不開特定環境,審計人員必須根據具體的信息系統環境確定重要性。重要性具有數量和質量兩個方面的特徵。越是重要的子系統,就越需要獲取充分的審計證據,以支持審計結論或意見。
(4)編制審計計劃
經過以上程序,為編制審計計劃提供了良好准備,審計人員就可以據以編制總體及具體審計計劃。
總體計劃包括:被審單位基本情況;審計目的、審計范圍及策略;重要問題及重要審計領域;工作進度及時間;審計小組成員分工;重要性確定及風險評估等。
具體計劃包括:具體審計目標;審計程序;執行人員及時間限制等。 做好上訴材料的充分的准備,便可進行審計實施,具體包括以下內容:
(1)對信息系統計劃開發階段的審計
對信息系統計劃開發階段的審計包括對計劃的審計和對開發的審計,可以採用事中審計,也可以是事後審計。比較而言事中審計更有意義,審計結果的得出利於故障、問題的及早發現,利於調整計劃,利於開發順序的改進。
信息系統計劃階段的關鍵控制點有:計劃是否有明確的目的,計劃中是否明確描述了系統的效果,是否明確了系統開發的組織,對整體計劃進程是否正確預計,計劃能否隨經營環境改變而及時修正,計劃是否制定有可行性報告,關於計劃的過程和結果是否有文檔記錄等等。
系統開發階段包括系統分析、系統設計、代碼編寫和系統測試三部分。其中涉及包括功能需求分析、業務數據分析、總體框架設計、結構設計、代碼設計、資料庫設計、輸入輸出設計、處理流程及模塊功能的設計。編程時依據系統設計階段的設計圖及資料庫結構和編碼設計,用計算機程序語言來實現系統的過程。測試包括動態測試和靜態測試,是系統開發完畢,進入試運行之前的必經程序。其關鍵控制點有:
分析控制點:是否己細致分析企業組織結構;是否確定用戶功能和性能需求;是否確定用戶的數據需求等。
設計控制點:設計界面是否方便用戶使用;設計是否與業務內容相符;性能能否滿足需要,是否考慮故障對策和安全保護等。
編程式控制制點:是否有程序說明書,並按照說明書進行編寫;編程與設計是否相符,有無違背編程原則;程序作者是否進行自測;是否有程序作者之外的第三人進行測試;編程的書寫、變數的命名等是否規范。
測試控制點:測試數據的選取是否按計劃及需要進行,是否具有代表性;測試是否站在公正客觀的立場進行,是否有用戶參與測試;測試結果是否正確記錄等。
(2)對信息系統運行維護階段的審計
對信息系統運行維護階段的審計又細分為對運行階段的審計和對維護階段的審計。系統運行過程的審計是在信息系統正式運行階段,針對信息系統是否被正確操作和是否有效地運行,從而真正實現信息系統的開發目標、滿足用戶需求而進行的審計。對信息系統運行過程的審計分為系統輸入審計、通信系統審計、處理過程審計、資料庫審計、系統輸出審計和運行管理審計六大部分。
輸入審計的關鍵控制點有:是否制定並遵守輸入管理規則,是否有數據生成順序、處理等的防錯、保護措施、防錯、保護措施是否有效等。
通信系統實施的是實際數據的傳輸,通信系統中,審計軌跡應記錄輸入的數據、傳送的數據和工作的通信系統。通信系統審計的關鍵控制點有:是否制定並遵守通信規則,對網路存取控制及監控是否有效等。
處理過程指處理器在接收到輸入的數據後對數據進行加工處理的過程,此時的審計主要針對數據輸入系統後是否被正確處理。關鍵控制點有:被處理的數據,數據處理器,數據處理時間,數據處理後的結果,數據處理實現的目的,系統處理的差錯率,平均無故障時間,可恢復性和平均恢復時間等。
資料庫審計是保障資料庫正確行使了其職能,如對數據操作的有效性和發生異常操作時對數據的保護功能(正確數據不丟失,數據回滾以保證數據的一致性)。其關鍵控制點有:對數據的存取控制及監視是否有效,是否記錄數據利用狀況,並定期分析,是否考慮數據的保護功能,是否有防錯、保密功能,防錯、保密功能是否有效等。
輸出審計不同於測試階段的輸出審計,此時的輸出是在實際數據的基礎上進行的,對其進行審計可以對系統輸出進行再控制,結合用戶需求進行評價。關鍵控制點有:輸出信息的獲取及處理時是否有防止不正當行為和機密保護措施,輸出信息是否准確、及時,輸出信息的形式是否被客戶所接受,是否記錄輸出出錯情況並定期分析等。
運行管理審計是對人機系統中人的行為的審計。關鍵控制點有:操作順序是否標准化,作業進度是否有優先順序,操作是否按標准進行,人員交替是否規范,能否對預計於實際運行的差異進行分析,遇問題時能否相互溝通,是否有經常性培訓與教育等。
維護過程的審計包括對維護計劃、維護實施、改良系統的試運行和舊系統的廢除等維護活動的審計。維護過程的關鍵控制點有:維護組織的規模是否適應需要,人員分工是否明確,是否有一套管理機制和協調機制,維護過程發現的可改進點,維護是否得到維護負責人同意,是否對發現問題作了修正,維護記錄是否有文檔記載,是否定期分析,舊系統的廢除是否在授權下進行等。 完成階段是實質性的整個信息系統審計工作的結束,主要工作有:
整理、評價執行審計業務過程中收集到的證據。在信息系統審計的現代化管理時期,收集到的數據己存儲在管理系統中,審計人員只需對其進行分析和調用即可。
復核審計底稿,完成二級復核。傳統審計的三級復核制度對信息系統審計同樣適用,它是保證審計質量、降低審計風險的重要措施。一級復核是由信息系統審計項目組長在審計過程進行中對工作底稿的復核,這層復核主要是評價已完成的審計工作、所獲得的工作底稿編制人員形成的結論;二級復核是在外勤工作結束時,由審計部門領導對工作底稿進行的重點復核。在審計工作辦公自動化的今天,二級復核制度同樣可以通過網上報送及調用得以實現。
評價審計結果,形成審計意見,完成三級復核,編制審計報告。評價審計結果主要是為了確定將要發表的審計意見的類型及在整個審計工作中是否遵循了獨立審計准則。信息系統審計人員需要對重要性和審計風險進行最終的評價。這是審計人員決定發表何種類型審計意見的必要過程,所確定的可接受審計風險一定要有足夠充分適當的審計證據支持。簽發審計報告之前,應當隨工作底稿進行最終(三級)復核,三級復核由審計部門的主任進行,主要復核所採用審計程序的恰當性、審計工作底稿的充分性、審計過程中是否存在重大遺漏、審計工作是否符合事務所的質量要求等。三級復核制度的堅持是控制審計風險的重要手段。審計報告是審計工作的最終成果,審計報告首先應有審計人員對被審系統的安全性、可靠性、穩定性、有效性的意見,同時提出改進建議。