it内控是什么

A. 什么是It审计

IT审计就是信息系统审计，主要介绍审计的历史和发展，对象、范围和意义对象、范围和意义计划。
IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
由上面的定义我们可以看出，IT审计涉及整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。
IT审计按照信息系统的生命周期分为业务计划审计，业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。
业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。
业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核，确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。
业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求，同时对信息系统的功能、性能、易用度、可操作性等进行评估。
业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。
共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查这些过程的规范性和有效性，并提出改良建议。
IT审计的任务在于站在客观公正的角度上，收集审计信息，生成审计报告，通过审计报告促成信息系统生命周期活动和成果物的改善。
实施IT审计能够强化IT投资效果，提高信息系统的安全性，能够客观评价信息系统及信息系统开发，从社会经济和企业、国家信息化投资、安全等方面都具有极大的意义。

B. IT运维的内控化管理

1 内部层面
1.1 转变IT运维管理工作方式和理念。强调从技术型向管理型转变。各企事业单位的应用系统和网络系统已经成支撑业务正常运转的重要基础，保证应用系统和网络系统的正常运行和使用成为了IT运维工作的重中之重。IT运维部门的职能应当从传统的重服务轻管理，逐步转变为服务与管理并行，规范化与人性化相辅相成的模式，以适应现代化信息的工作模式。
1.2 清理、简化现有IT运维管理制度。形成适合企事业单位管理实际的制度体系。以建立完整、规范、有效的内部规章制度体系为目标，紧密联系工作实际，按照适用、可行、合法、有效的原则，对现有规章制度进行全面的自查和清理。按照IT运维管理工作的职能分工分层次、分步骤地对制订的各项内部管理制度规程进行分类清理，从制度内容的适用性、可行性、依据和效力的合法性、执行的有效性等方面进行了逐条审核，并结合实际工作，对上级部门制订的内部管理制度与当前实际工作不符的情况进行修订和完善。逐步摈弃传统的“人管人”的工作模式，形成以制度带动人，以制度带动工作的长效机制。
1.3 建立完善的内部信息共享平台。从基础设施。应用系统和业务服务三个方面打造完善的信息共享和资源监控平台。能建立有效的信息资源库，减低对关键技术人员的依赖，为日常IT运维和管理工作提供有效的保障：基础设施管理方面，对网络，应用系统软、硬件等资源进行细化管理，详细记录电子设备的出入库、维保、报废等环节。保证资源的有效利用；应用系统管理方面，对于各类应用系统的备份，日常维护进行有效管理控制，保证所有应用系统数据的一致性、准确性、及时性、可用性和完整性，并根据实际需要不断进行改进、完善或更新；业务服务管理方面，尽可能的记录所有的事件要素，包括问题描述、解决方案、操作人员等等。使得部门对人员的考核有了量化的标准，同时这个过程也有助于知识积累，形成有效的知识库，可以极大地减少对关键人员的依赖，降低人员流失的风险。
1.4 建立例行巡查和通报制度。IT运维部门的负责人和业务主管可通过内部信息共享这一平台，对业务进行有效的监督。一是定期对记录的相关事项进行巡查，审计已登记发生事项的规范性。二是对正在发生的事件实时跟踪，及时了解事件的进展状况。规范各个流程的操作，从源头避免业务差错的发生。三是建立采集问题，核实整改问题及问题通报三个环节的通报机制，以提升力IT运维管理的效率。
2 外部层面
2.1 加强与内部审计部门的沟通交流和人员培训，培养复合型管理人员。定期组织IT运维人员和内部审计人员进行学习交流，探讨内控管理中存在的问题，交流内控管理的心得体会，充分发挥IT运维的技术优势和内控的管理优势，通过良好的内部沟通机制和完善的信息共享平台，建立内部控制体系运行网络和内部控制管理组织体系。
2.2 加强与内部审计部门的业务合作。内部控制审计对组织治理、风险管理、改善控制效率和效果等方面有很大的促进作用。IT运维部门可配合内部审计部门进行运维管理，将内部控制审计作为常态化审计类型，通过这种方式，突出内控特点，运用规范的审计方法和评价体系，注重从控制、风险、管理等宏观层面查找问题、提出建议，以达到促进IT运维管理工作，完善内控和加强管理的目的。
2.3 通过内部审计部门，加强督导、整改等工作的实效。在IT运维管理工作的过程中，不仅要发现问题解决问题，更重要的是要形成完善的IT运维管理工作规范和流程，在这点上。可以通过内部审计部门对企事业单位内部进一步规范制度、程序和方法，形成对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制，强化重要业务环节的风险控制。加大检查力度，切实有效地推进督导、整改工作，建立内控管理的长效机制。

C. 如何建设高效的IT内控体系

企业内控建设实务

企业内控建设应当以经营的效率与效果为主导目标，以财务报告可靠、资产安全与经营合规为三个保障目标，在此基础上，建设实务将围绕内控组织的设置与内控建设的五要素展开。
（1）内部控制组织
组织是体系运行的基本保障。通常的内控组织包括董事会与经营层两个层面，强调内部控制的建设与实施是董事会的责任，并且下设审计（风险）管理专门委员会加强管理。此外，内控组织的设置特别强调经理层是企业内控建设的具体实施者与责任人，各经营管理部门按照职能归口进行内部控制的建设与实施。其中，是否设置专职的内控部门是企业界关注的焦点，通常的设置方式包括三种：
方式一：单独设置内控部门。优点是有利于提高内控建设的初期推动效率，缺点是内控部门与经营管理部门割裂，未能很好地体现内部控制责任与经营管理责任的融合。此方式在金融类企业普遍应用，对于实体经济体，通常不设置专职的内控部门。
方式二：由内部审计部门牵头负责内控工作。优点是待体系初建完成且运行平稳后，内部审计作为内控的监督部门，可以立足于公司整体牵头协调各部门定期进行内部控制的自我评价，并且持续完善内控体系的建设。缺点是国内企业内审部门往往人才匮乏，在内控建设的初期独立当此重任可能力不从心。
方式三：在内部控制建设集中期设立内部控制建设办公室，该办公室从各主要部门抽调人员专职从事内控体系建设工作，待体系正式运行时，办公室解散，人员归位到各经营管理部门，且牵头职能也归位至内审部门。此方式的优点是可以集中各部门力量完成内部控制的体系化建设，待体系平稳运行后，相关人员回到经营管理部门的骨干岗位上，有利于促进各经营部门对内部控制体系的理解，有利于内控与经营管理的融合。实践表明，对于管理基础弱的实体经济企业，采取方式三的内控推行效果较佳。
当然，组织的设置没有一定之规，企业应当依据自身的特点设置内部控组织，明确相关的管理责任。
（2）内部环境的诊断与完善
内部环境是企业内部控制建设与运行的载体，企业在建设内部控制机制时，首先要诊断与完善内部环境。一方面，内部环境的完善可以为控制活动的设计与运行奠定基础，另一方面，内部环境的诊断可以加强控制活动与内部环境的匹配性，有利于控制活动的顺畅运行。
通常，内部环境的诊断与完善包括六个方面的内容：治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化。其中，机构设置、权责分配与内部审计的定位三个方面必须先行完善，后续的控制活动设计与运行才会顺畅。治理结构、人力资源政策与企业文化三个方面，可以伴随控制活动的运行同步完善。
（3）动态的风险评估
风险评估是内部控制体系化建设的重要表现，是后续内控措施设计的重要依据。根据成本效益原则，企业应当针对评估的重要风险强化内部控制措施，有效降低风险。对于次要风险，企业应当简化控制活动与流程设计，承担相关的风险，体现经营的效率与效果为主导目标的内控建设理念。
风险评估包括风险辨识与风险评估两个阶段。在风险辨识阶段，企业应当围绕内部控制目标识别影响目标实现的不确定性因素，辨别企业风险并进行分类，形成企业的风险管理库。通常，企业的风险可以划分为战略风险、市场风险、运营风险、财务风险与法律风险五类，并在此基础上进一步细分。在风险评估阶段，企业应当运用二维风险评估坐标图，从破坏性与发生频率两个维度评估风险，并将风险点界定为重大风险、中风险与低风险。企业应当依据行业特点与目标设置等确定风险评估的标准，评估标准应当注意定量与定性标准相结合。
在实务中我们强调，处于不同行业的企业，或是同一行业的不同企业，或是同一企业处于不同的发展阶段，其风险评估结果各不相同。为此，企业应当至少每年评估一次风险，及时发现新环境、新业务带来的新风险，动态地调整风险评估结果，进而动态地调整控制活动规范，让原本静止的内控制度动起来，始终踏上企业发展的节奏。
（4）控制活动的设计
控制活动是内控体系实施的核心要素，企业在规范控制活动的过程中，应当形成内部控制政策与程序手册（下简称内控手册）。
企业在设计控制活动时，应当树立与经营管理活动相融合的设计理念，首先界定企业的控制活动循环，然后将内部控制措施嵌入控制活动中，完善经营管理活动的制度流程设计，形成企业的内控手册。内控手册分模块设计，每一模块一般包括五个方面的内容：
第一，管理目标。围绕内部控制的目标，企业在设计内控手册时，首先应当明确控制活动的管理目标。例如采购付款循环，其管理目标应当包括保障物资供应、提高采购效率、降低资金占用、控制采购成本、保证核算准确等。
第二，管理机构及职责。该部分将控制活动涉及的组织及职责清晰界定，以确保后续流程运行的顺畅性。
第三，授权审批矩阵。该部分应当明确控制活动涉及的所有权限在董事会、经理层与各职能部门间的划分，并且明确各级审批责任。
第四，控制活动要求。该部分一般以制度文本的形式书写，明确控制活动各控制环节的内控要求，作为相关经营管理流程设计的基础。
第五，比照上述几部分，各经营管理部门应当重新梳理与完善业务流程，针对关键风险点强化控制措施，确保组织职责、授权审批、内控要求落实到经营流程中，保证管理目标的实现。
在内控手册的设计过程中，特别强调与企业现有的经营管理活动相融合的设计理念，切忌脱离原有制度流程设计孤立的内控手册，以避免实务中业务部门仍参照原有流程、内控手册则束之高搁的现象。
（5）信息与沟通贯穿始终
信息与沟通是指在内控建设中，保证在恰当的时机让恰当的岗位获取适当的信息。信息与沟通的设计应当贯穿于内部环境、风险评估与控制活动的始终，例如风险评估报告的报告程序，控制活动中的控制文档设计，都体现了信息与沟通要素的建立与健全。
（6）内部监督手段。
内部监督置于五要素之末，是内控管理闭环的体现。为此，内部监督也可以视为五要素之首，是内部环境、风险评估、控制活动、信息与沟通要素持续完善的基础。内部监督手段包括风险预警、内部评价与绩效考核，三者缺一不可。
风险预警是较新的管理工具，通过预警指标的报告与跟踪，可以突破企业传统的内部审计在时间与空间上的限制，运用现代企业高效的信息集合手段，帮助管理层从浩如烟海的数据中提炼关键信息，捕捉企业易于忽略或是下级管理者企图隐瞒的临界数据，及时发现并采取措施防范风险。风险预警系统的设计包括选择指标项、设定临界值、跟踪分析报告与修正临界数据四项工作。企业应当结合自身的行业特点与管理重点设定风险预警指标，并且逐步积累临界值。
内部控制的自我评价是基本规范的要求，也是管理审计的重要组成部分。内部评价手段完善的关键是建立评价标准与评价流程，明确内控缺陷的认定标准，规范评价报告。
此外，绩效考核强调将内部控制建设与运行的有效性纳入企业的绩效考核， 以促进内控体系的实施。

D. 如何利用IT内控把公司效率提高起来

1、在管理软件市场

重多软件厂商注意到这管理领域的空间，纷纷推出相应的内控管理解决方案。帮助企业从财务预算、成本管理、报销审批、成本监控等方面实现企业资产和资源的有效节流，深度浓缩和高效利用，提升管理绩效，加强企业的市场竞争力。

2、协同软件厂商

介入财务预算管理市场尤其管理兼容优势。当工作人员从申请出差到出差返回报销费用的整个过程中，不仅涉及到HR系统中出差期间的考勤管理与工作计划、也会涉及到OA系统的出差申请管理、还会关联到员工因出差借款流程，以及出差返回后的费用报销流程。

3、软件内控管理

面向财务管理的内控管理解决方案由企业成本中心管理与费用审批平台组成，依据企业组织架构和业务类型，灵活配置成本中心，通过预算控制、流程管控、电子化财务报销系统、强化与财务系统的应用整合来实现企业对财务管理的内部管控，让在日常中积累的各类财务数据成为反映问题、暴露不足、提前预警、量化效果的数字权威，并使之成为管理者管理、监控、判断、把握企业发展的有效的管理工具与手段。

4、能实现与财务系统

如SAP，用友等的整合，提升财务系统的外围应用。它可以将一些办公流程，如报销流程、审批流程等与财务系统整合，帮助企业实现财务集成、审批集成和数据展现。

5、报销流程

系统会自动触发财务系统生成凭证，降低了重复输入财务数据可能引发的数据错误，减少工作量，提高工作效率和工作质量。封闭式的财务数据处理模式，可降低企业的财务风险和财务管理成本，提高企业的风险控制能力。

6、风险防范意识

目前国内大部分企业乃至很多全球性企业都在风险防范意识方面重视程度不足，在风险管控措施方面执行不到位。这使得众多企业在面对重大突发灾难时，很容易陷入生存危机。内部控制的不足在危机面前由隐至显，企业开始关注内部控制对企业管理和生存条件的改善。

7、将在Velcro协同平台的基础上

围绕各项专业领域打造一系列子产品，以模块化搭积木的方式交付给企业用户，而目前面向财务管控的解决方案和面向文件管控解决方案已经推向市场。

E. 企业内控与IT内控有什么关系

以下解答摘自谷安天下咨询顾问发表的相关文章：
企业内部控制基本规范包含的五要素框架：
（一）内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
（二）风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
（三）控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
（四）信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。
（五）监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。
相应的，IT内部控制框架也应对于企业内部控制的五要素框架：
（一）IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。
（二）IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
（三）IT控制措施。针对风险评估的结果，在IT方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及IT管理类控制措施，包括各类IT管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。
（四）信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。
（五）监督检查。需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。
综合分析IT内部控制的组件，谷安天下将IT的控制分为三个层面：
（一）公司层控制。在公司层面建立IT治理架构，完善IT组织与职责，制定IT决策机制，实行IT人员绩效考核，加强IT合规与IT审计。
（二）流程与应用层控制。分析企业业务流程与活动，在企业业务流程、应用系统层面与通用IT流程层面建立控制，重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
（三）资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源，分析具体每个资源点的风险，建立风险控制措施。
参考资料：答案来自于谷安天下网站咨询顾问发表的相关文章
关键字是：企业内控、IT内控

F. 请问企业内控与IT内控有什么关系

您好，以下解答摘自谷安天下咨询顾问发表的相关文章：
企业内部控制基本规范包含的五要素框架：
（一）内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
（二）风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
（三）控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
（四）信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。
（五）监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。
相应的，IT内部控制框架也应对于企业内部控制的五要素框架：
（一）IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。
（二）IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
（三）IT控制措施。针对风险评估的结果，在IT方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及IT管理类控制措施，包括各类IT管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。
（四）信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。
（五）监督检查。需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。
综合分析IT内部控制的组件，谷安天下将IT的控制分为三个层面：
（一）公司层控制。在公司层面建立IT治理架构，完善IT组织与职责，制定IT决策机制，实行IT人员绩效考核，加强IT合规与IT审计。
（二）流程与应用层控制。分析企业业务流程与活动，在企业业务流程、应用系统层面与通用IT流程层面建立控制，重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
（三）资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源，分析具体每个资源点的风险，建立风险控制措施。

G. 企业内部控制规范与IT内部控制有什么关系

以下解答摘自谷安天下咨询顾问发表的相关文章：
企业内部控制基本规范包含的五要素框架：
（一）内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
（二）风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
（三）控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
（四）信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。
（五）监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。
相应的，IT内部控制框架也应对于企业内部控制的五要素框架：
（一）IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。
（二）IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
（三）IT控制措施。针对风险评估的结果，在IT方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及IT管理类控制措施，包括各类IT管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。
（四）信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。
（五）监督检查。需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。
综合分析IT内部控制的组件，谷安天下将IT的控制分为三个层面：
（一）公司层控制。在公司层面建立IT治理架构，完善IT组织与职责，制定IT决策机制，实行IT人员绩效考核，加强IT合规与IT审计。
（二）流程与应用层控制。分析企业业务流程与活动，在企业业务流程、应用系统层面与通用IT流程层面建立控制，重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
（三）资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源，分析具体每个资源点的风险，建立风险控制措施。

H. 如何建立IT内控风险预警体系

(1)
确定
IT
内控风险预警范围
(2)
对选定范围进行风险识别和评估

(3)
对潜在
IT
风险实时监控，并实施有效的控制措施

(3)
对潜在
IT
风险实时监控，并实施有效的控制措施

建立起全面
IT
风险预警机制的核心一步，是根据风险识别、评估的结果，针对相关
IT
风险源制定统一的风险管理战略，加强实时监控。例如，对
IT
风险预警系统的有效运行进
行持续监控与个别评估，充分发挥对潜在
IT
风险的实时监控作用，实现对潜在风险的实时
监控与内部控制措施的有效结合，以改善
IT
风险控制与管理的效果。

5)
培训宣贯与运行推广实施

I. 内控中提出的ITGC和ITAC是什么意思

ITGC：InformationTechnologyGeneral Controls。评价信息技术一般控制（ITGC）。就是看看客户在IT治理方面的相关组织架构是否合理，书面的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

ITAC：指一般公司企业内部的控制运作。内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。

(9)it内控是什么扩展阅读：

业务部门，是要带领企业高质高效的达成企业的经营目标，将其价值最大化。这个目标是企业的自主性目标，是自己给自己的压力。它所实现的措施都是积极性的措施，是为了实现要带领企业有效率的的达成企业的价值最大化。

而内控，更多的是外部强加给我们的，它要求我们企业里的每个人应该使用正确的方法，做该做的事情，而不是不择手段的用你的智慧和能力去实现企业价值的最大化。从这个意义上说，内控的目标是强制性的，它的措施是防御性的。

所以COSO（美国反舞弊性财务报告委员会发起组织）的报告里写到“再好的内部控制体系，它不能够把一个劣迹斑斑的或没有经营智商的管理层变成一个非常有经验、头脑和能力的管理层。”

所以他的作用不在于智慧和能力，它的作用在于去完成外界强制要完成的事情，在企业实现主要目标的前提下。它是一种防御性措施，它所强调的是一种必须做的义务和责任，而不是智慧和能力。