it内控案例分析
Ⅰ 内控中提出的ITGC和ITAC是什么意思
ITGC:InformationTechnologyGeneral Controls。评价信息技术一般控制(ITGC)。就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。
ITAC:指一般公司企业内部的控制运作。内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。
(1)it内控案例分析扩展阅读:
业务部门,是要带领企业高质高效的达成企业的经营目标,将其价值最大化。这个目标是企业的自主性目标,是自己给自己的压力。它所实现的措施都是积极性的措施,是为了实现要带领企业有效率的的达成企业的价值最大化。
而内控,更多的是外部强加给我们的,它要求我们企业里的每个人应该使用正确的方法,做该做的事情,而不是不择手段的用你的智慧和能力去实现企业价值的最大化。从这个意义上说,内控的目标是强制性的,它的措施是防御性的。
所以COSO(美国反舞弊性财务报告委员会发起组织)的报告里写到“再好的内部控制体系,它不能够把一个劣迹斑斑的或没有经营智商的管理层变成一个非常有经验、头脑和能力的管理层。”
所以他的作用不在于智慧和能力,它的作用在于去完成外界强制要完成的事情,在企业实现主要目标的前提下。它是一种防御性措施,它所强调的是一种必须做的义务和责任,而不是智慧和能力。
Ⅱ 碉堡堡垒机除了可以进行IT运维管理、内控管理外,还可以做什么啊
碉堡堡垒除了可以进行IT运维管理、内控管理外,还可以进行运维操作审计、运版维操作管理、Linux操作审计权、Linux操作管理、Unix操作审计、Unix操作管理、Windows操作审计、Windows操作管理、网络操作审计、网络操作管理。这些都不是问题的!
Ⅲ 如何利用IT内控把公司效率提高起来
1、在管理软件市场
重多软件厂商注意到这管理领域的空间,纷纷推出相应的内控管理解决方案。帮助企业从财务预算、成本管理、报销审批、成本监控等方面实现企业资产和资源的有效节流,深度浓缩和高效利用,提升管理绩效,加强企业的市场竞争力。
2、协同软件厂商
介入财务预算管理市场尤其管理兼容优势。当工作人员从申请出差到出差返回报销费用的整个过程中,不仅涉及到HR系统中出差期间的考勤管理与工作计划、也会涉及到OA系统的出差申请管理、还会关联到员工因出差借款流程,以及出差返回后的费用报销流程。
3、软件内控管理
面向财务管理的内控管理解决方案由企业成本中心管理与费用审批平台组成,依据企业组织架构和业务类型,灵活配置成本中心,通过预算控制、流程管控、电子化财务报销系统、强化与财务系统的应用整合来实现企业对财务管理的内部管控,让在日常中积累的各类财务数据成为反映问题、暴露不足、提前预警、量化效果的数字权威,并使之成为管理者管理、监控、判断、把握企业发展的有效的管理工具与手段。
4、能实现与财务系统
如SAP,用友等的整合,提升财务系统的外围应用。它可以将一些办公流程,如报销流程、审批流程等与财务系统整合,帮助企业实现财务集成、审批集成和数据展现。
5、报销流程
系统会自动触发财务系统生成凭证,降低了重复输入财务数据可能引发的数据错误,减少工作量,提高工作效率和工作质量。封闭式的财务数据处理模式,可降低企业的财务风险和财务管理成本,提高企业的风险控制能力。
6、风险防范意识
目前国内大部分企业乃至很多全球性企业都在风险防范意识方面重视程度不足,在风险管控措施方面执行不到位。这使得众多企业在面对重大突发灾难时,很容易陷入生存危机。内部控制的不足在危机面前由隐至显,企业开始关注内部控制对企业管理和生存条件的改善。
7、将在Velcro协同平台的基础上
围绕各项专业领域打造一系列子产品,以模块化搭积木的方式交付给企业用户,而目前面向财务管控的解决方案和面向文件管控解决方案已经推向市场。
Ⅳ 如何建立IT内控风险预警体系
(1)
确定
IT
内控风险预警范围
(2)
对选定范围进行风险识别和评估
(3)
对潜在
IT
风险实时监控,并实施有效的控制措施
(3)
对潜在
IT
风险实时监控,并实施有效的控制措施
建立起全面
IT
风险预警机制的核心一步,是根据风险识别、评估的结果,针对相关
IT
风险源制定统一的风险管理战略,加强实时监控。例如,对
IT
风险预警系统的有效运行进
行持续监控与个别评估,充分发挥对潜在
IT
风险的实时监控作用,实现对潜在风险的实时
监控与内部控制措施的有效结合,以改善
IT
风险控制与管理的效果。
5)
培训宣贯与运行推广实施
Ⅳ 如何提升it系统对证券业务的引领能力
风险控制是中国券商跨世纪的必然选择。其要旨是:
●任何一项业务都应避免由一个人从头到尾包办到底
●重大业务决策不能由一个部门、一个主管、一支笔全权包办,应有横向部门 予以评估确认
●风险控制的核心是强化内部控制制度,完善法人治理结构
●发挥社会监管合力是防止“内部人控制”的有效措施
作为跨世纪的中国券商,除了扩大资产规模,提高交易水平,研究业务创新之 外,一个很重要的课题是如何控制和化解证券经营机构的风险。那么,建立什么样 的内控机制,才能防范风险;建立什么样的风险控制体系,才能化解风险呢?
建立风险控制体系 强化内部控制制度
一、提高经营管理水平,建立风险控制体系
面对世纪之交的中国券商,应逐渐由粗放经营向以风险防范为核心的集约经营 转变。建立一个系统、高效的风险防范和控制体系,应作为券商的工作重点,常抓 不懈。
在传统的“金字塔型”的管理模式下,业务的开拓和风险的控制往往依赖于领 导者的素质、能力和觉悟。随着券商经营规模的不断扩大,这种模式的缺陷越来越 明显,既不利于业务规模的扩张,也不利于专业化水平的提高,更不利于风险的防 范。笔者认为,“矩阵型”经营管理体制有助于克服以上弊端。“矩阵型”体制使 各项活动置于业务部门(横向)和管理部门(纵向)的网络式控制体系之下。既赋 予业务和管理职能部门更多权限和责任,又强化了对分支机构监督管理和服务指导 的功能。在提高专业化水平和快速发展业务的同时,使监管达到横向到边、纵向到 底的效果。
根据我国证券经营机构现阶段的特点,我们需要建立一个全面、权威、多层次 的风险管理体系。由此设计的一个风险控制体系构架如下:
(1)设立直接向公司最高决策层负责的风险控制机构(可称作委员会、 总经 济师室或办公室等)。机构设有专职负责人,其他专职人员还包括资深会计、法律 和投行专家,以及分析师等,也可以吸收独立董事、策略专家作为非专职成员。该 机构负责公司风险控制政策的规划,参与公司业务战略的制订,并对业务授权和限 额指标进行审批。如该机构认定某项业务开展的风险超出公司风险承受能力,则可 否决该项业务的实施(还可视该机构人员的组成情况,决定是否实施“一票否决权” )
(2)机构下设风险管理部。风险管理部负责处理日常事务, 与公司其他业务 管理部门平行运作。其职责是制定风险管理程序,设置各业务活动的风险控制或预 警标准,进行风险检查、评估与审核,提交风险控制建议和风险控制报告。
(3)依管理职能设若干风险控制小组。 任命相关“风险责任人”(或称风险 控制员、风险管理员等),协助风险管理政策的实施,将风险防线延伸到每一项业 务中去。风险责任人同时对风险管理政策的效果进行评价。
(4)实行“多线负责制”。风险控制的组织结构按不同业务、不同地区划分。 部门经理和风险责任人一起监察各项业务活动,只不过部门经理向其上级主管负责, 而风险责任人向风险管理部门汇报。这种多线负责制,有效地制约了领导层一个人 完全控制下级的情况,使领导层的风险得到有效控制。
以上风险控制构架的特点是:风险的监控渗透到每一项业务活动中,各项业务 必须在业务指导部门、管理职能部门和风险控制部门三方的共同协调下开展,与矩 阵式的经营管理体制相结合,形成了一个多维立体型的组织构架。
有无权威的、专职的风险控制机构和人员,是衡量风险控制力度的重要标志。
当然,一个有效的风险控制体系中还必须包括一个高效、安全的计算机网络系 统。而对这些数据的动态监控、分析和反馈,更依赖于一个先进的通信和网络管理 系统,以确保风险控制体系各个环节之间的有效联系和高效运作。
二、加强自律管理,健全内部控制制度
风险控制作为法人的自律管理方式,其核心是健全的内控制度。内部控制作为 公司所采取的一套制度,概指公司本身的组织规划,及其所采取的各种协调方法与 措施。一般而言,各种管理办法、程序、规章及手册散见于证券经营机构各部门中, 必须通过内控制度的原则加以贯穿,才能形成一个整体。
从广义的范围讲,内部控制主要包括两方面:(1) 内部会计控制;(2) 内部管 理控制。前者主要是为了保护资产的安全,提高会计系统的可靠性和完整性;后者 是为了增进经营效率,促进、监督并检查管理政策的实施,以保证经营活动达到预 期的目标。
内部控制的范畴,涉及证券经营机构几乎所有的活动,包括公司的政策、计划、 组织、协调、控制、预算等。其中,会计和财务工作是重点,其它还体现为经纪、 投行、自营、债券等业务活动及投资管理、资金计划、信息技术、人力资源与薪酬 管理等,不能存在内部控制的盲点。
内部控制制度从本质上说,是一套制约平衡机制。其基本原则是:a. 对各项 业务根据需要划分作业流程,在每一流程中,设定若干关键点(责任人),负责检 查该项业务有无错误,是否符合规定等,同时予以确认,并负连带责任。b. 不允 许任何一项业务由一个人从头到尾包办到底,每个人所从事的工作,必须受到其他 人对其所履行职责的检查核对。c. 重大业务决策不能由一个部门、一个主管、 一 支笔全权包办,应有横向部门予以评估确认。
以上制约平衡机制可概括为纵向双人制,横向双部门制;重大决策多线负责制。
在内部控制制度实施的过程中,还应注意以下几点:首先,证券经营机构要建 设“每个员工都应承担风险控制义务”的企业文化,倡导风险控制的全员性。其次, 树立风险控制制度的权威性。应由公司最高层领导牵头,进行制度的建立和修订。 对违规者的处罚应是严厉的、制度化的。第三,内部稽核工作要协助调查和评估内 控制度,促进内控制度的改进和完善。
从国内几家券商的违规事件来看,尽管形式不同、性质不同,但都存在一个共 性,就是在内控制度上出了问题,或在某个内控环节上失控,或在整个内控体系上 不完善。具体表现为:(1) 分支机构在会计上设立“帐外帐”; (2) 财务和资金 脱离了总公司财务部门的监管,处于失控状态。
“前事不忘,后事之师”,证券经营机构应着眼于建立一个全方位、多视角, 信息化、网络化,结合现代化技术、群策群力的风险控制机制。在此,笔者依据内 控制度的原理提出如下建议:
1、营业部(二级公司、分支机构)授权经营、三权分离原则
营业部(二级公司、分支机构)的管理,一直是券商经营管理中的薄弱环节。 券商自身要加大对分支机构的监管力度,对分支机构实行授权经营制度,明确其业 务范围。同时,对营业部(二级公司、分支机构)的总经理、财务负责人、电脑负 责人三个重要职位,从人事组织上进行三权分离,即财务人员、电脑人员实行“委 派制”,行政上分别归总公司财务部、电脑部管理,实行垂直领导,并直接对总公 司财务部、电脑部负责,其任免、工资、奖金与营业部全部脱钩。
2、重要岗位轮换原则
部门负责人可以考虑每二年至三年一轮换;财务负责人、电脑负责人也确定二 年至多三年必须轮换;而从立体式轮换看,必须再加设一个制约,即部门总经理、 财务负责人、电脑负责人三人在同一部门中同时任职不能超过一年以上。
这一原则,还适用于其他重要岗位系列,当然,也包括高级管理人员在内。职 务轮换在有助于防止部门内部的本位主义和小团体主义的同时,也有助于打破部门 横向间的隔阂与界限。
作为重要岗位轮换原则的延伸,对某些关键岗位可实行“强制休假制”和“一 天休假制”。
3、加大内部稽核审计力度,建立高效的稽核审计体系
内部稽核审计,作为券商实施内部控制的重要手段,是证券经营机构监督系统 的重要组成部分。稽核审计部门根据公司的规章制度,对公司资产的安全性和收益 性、业务的合规合法性、内控的完整性及遵循情况进行检查。
为充分发挥内部稽核的作用,证券经营机构必须建立经常性稽核和专项突击审 计相结合的稽核制度,扩大稽核审计的频率和范围,全面覆盖内部控制中的关键点 和主要风险点。凡是有经营权、财权、物权、支配权的部门,除保证专项稽核外, 每年至少进行一次常规性稽核。有条件的可进行二次常规性稽核,二次以上突击性 稽核。有关资料显示,上海几十家外资金融机构的内部审计力度,远远超过中资金 融机构。
建立一个行之有效的稽核审计体系,取决于稽核审计的权威性和独立性。故此, 稽核审计部门一般直接向公司最高层负责,也可设立稽核审计委员会。对稽核人员 也应实行定期“岗位轮换制”。
完善法人治理结构 防止“内部人控制”
再好的内部控制制度、风险控制措施,一旦出现“内部人控制”的情况,都将 失去效力。“内部人控制”,是指在所有权与控制权两权分离的情况下,企业经理 人员掌握了企业的控制权,他们的利益在公司的战略决策中得到了体现。其实质是 “内部人”虽不持有企业的股份,也不是企业法律上的所有者,但已从上级主管部 门的行政性放权中获得了对企业经营的控制权。其结果往往是所有者权益被“内部 人控制”的经营者侵吞,造成企业资产流失。在这种情况下,一方面,法人违规违 法经营活动畅通无阻;另一方面,“内部人控制”容易滋生法人代表及高级管理人 员个人违纪、违法的行为。
信息的不对称,是造成“内部人控制”的又一个原因。由于企业经营活动的专 业性和不确定性,“内部人”知道自己的工作能力和经营成果,而外部人不仅难以 了解经营者的工作能力和勤勉程度,也难以了解企业的经营成果。董事会代表全体 最终所有者,对企业的内部人进行监督和制约,但国有股权过于集中的结构,使公 司难以摆脱行政束缚,往往造成董事会监管动因不足。事实上,有些公司的董事会 日常班子与主持工作的行政领导班子两位一体,即俗称的“两块牌子,一套班子”, 使董事会很难履行职责。
笔者认为,加强内部制度建设,以及对风险的控制,必须建立在法人及法人代 表和高级管理人员高度自律管理的基础上;同时,还应建立券商的现代企业制度, 完善法人治理结构。
一、完善法人治理结构,建立健全股东大会、董事会、监事会制度
按照我国《公司法》的规定,股东大会是证券经营机构的最高权力机构,董事 会是对股东会负责的常设决策机构。如果决策权力过于集中于经营班子,决策风险 就会加大,容易造成经营班子操纵董事会,董事会操纵股东大会的情况。建立相互 平衡、相互制约的股东大会、董事会、监事会制度(即“三会”制度),对促进证 券经营机构稳健经营、防范风险意义重大。
一般认为,董事会的作用是制定公司战略和政策,担当重要的决策角色。与此 同时,还有一项重要的作用不可忽略,即董事会的监督执行作用。鉴于此,董事的 作用可归纳为评判、激励、监督、检查、桥梁和安全阀等六种。
关于完善法人治理,笔者提出以下建议,仅供参考:
1、强化“独立董事制”
独立董事,即外部董事(Outside Director), 也称作独立非执行董事( Non -Executive Director)。独立董事不能与公司有任何影响其客观、 独立地做出判 断的关系。他既不代表出资人(包括不代表大股东),也不代表公司管理层。
在发达国家的董事会构成中,不仅董事长和总经理由二人分任,而且特别提倡 广泛吸收独立非执行董事进入董事会。在董事会中,独立董事有的甚至超过半数以 上。独立董事对执行董事的监督与平衡,已被发达国家企业确立为一个良好的法人 管理模式的基本原则。
2、实行董事会“三三合一制”
我国由国有企业改制而来的股份公司模式,是董事基本上以股东特别是第一大 股东派出的代表为主;另一种模式,是董事大部分由公司高级管理人员担任。笔者 认为,这两者都存在缺陷。前一种会出现“一家说了算”、“一票否决制”的情况, 不利于对董事会的制约;后者则容易产生公司“内部人”代替(控制)董事会的情 况。这两种董事会模式都不能形成一种制约的、平衡的法人治理结构。
一个健全的董事会中,来自出资人的董事必须低于董事总数的二分之一;同样, 公司高级管理人员担任董事,也应低于董事总数的二分之一。同时,董事会中还必 须有一定数量的独立董事(专职董事),可由资深企业家、公司原经营班子的资深高 级管理人员、会计师事务所和律师事务所,以及社会咨询机构的高级管理人员、著 名经济学家等担任。换言之,董事会应由来自出资人、企业高级管理人员及独立人 士三方面的人员组成,即笔者主张的“三三合一制”。独立董事在董事会中的权利 义务不仅不应减少,在某些特别议案上,反而应授予“一票否决权”。
3、履行“董事连带责任制”
董事对造成重大损失的错误议案,如果投了赞成票,当属失职,应承担相应的 法律责任,包括经济赔偿责任。现在的情况往往是,要么承担刑事责任,要么什么 责任也没有。与国外很有“身价”的董事相比,中国董事由于各种原因,无法实施 连带经济赔偿,由此产生赏罚不明、有损不赔的状况。
4、提高监事会地位,强化监事会职能
《公司法》规定,监事会及其成员履行检查公司财务,对董事长、董事和高级 管理人员进行监督等职能,以此对公司的董事和经理层形成一个监督和制约的机制。 一些欧洲大陆国家采用“双层董事会制”。在这种模式中,代表股东的监事会被提 到高于董事会的层次上,监事会监督管理董事会的工作,甚至可以任免董事会成员 和总经理。
目前,我国证券经营机构的监事会远未达到法律赋予的职能和股东期望的要求。 在此,笔者谨提出如下建议:
(1)实行“监事资格一席制”。不论出资额大小, 一个股东单位在监事会中 最多只设一个监事席位,有利于保护中小股东的权利。
(2)监事选举实行“一人一票制”。 如果依据出资额多少进行监事的选举, 则大股东代表当选监事较容易。若实行出席股东“一人一票制”,就能改变大股东 “一锤定音”的局面。
(3)监事职能实行“独立行使监察权制”。监事行使职权时, 可不必经过多 数决议,每一名监事都可独立行使监察权,可独立对董事会起诉,要求董事会对公 司进行赔偿,从而对股东权益不受损害起到保护作用。
二、发挥社会监管合力,防止“内部人控制”
证券经营机构不是一般的工商企业,它的兴衰直接影响到金融市场的安全乃至 社会的稳定。为此,笔者提出以下探索性建议:
1、实行“准入审查制”
在审批证券经营机构时,不仅要审查投资人资信、资本金的来源、高级管理人 员的任职资格,还要将有无完善的法人治理结构、有无专职的风险控制部门和基本 的内控制度作为准入的必要条件。
2、实行“财务总监委派制”
目前,国有企业“财务总监委派制”已在上海、无锡等地开展试行,财务总监 只对委派人负责。从规范的角度讲,国有资产占控股地位的有限责任制或股份制的 证券经营机构,其财务总监是由第一出资人委派,还是由董事会任命,值得商榷。
3、实行“常年会计审计制”
证券经营机构必须聘请独立的会计师事务所对其年报进行审计。审计人员对公 司的财务会计报表逐月初审,全年终审,并对审计结果在法律上负连带责任。原则 上,签字的注册会计师两年更换一次。
4、实行“常年法律顾问制”
证券经营机构一般都设有自己的法律事务部门,但并不能完全替代社会律师事 务所的作用。证券经营机构应聘请常年法律顾问,不仅对公司章程、董事会议案、 重大经济合同、股权转让等进行审核,还应就公司业务是否合法、合规签署法律意 见。对由于违规、违法导致重大损失的,法律顾问及其律师事务所也应承担连带法 律责任。原则上,律师事务所派出的律师也应两年更换一次。
5、实行“定期与不定期报告制”
证券经营机构应定期向证券监管部门报告公司经营状况、财务报表及风险控制 情况。如公司经营活动或财务状况发生重大变化,应及时向监管部门报告。
6、实行“定期述职制”和“离职审计制”
对证券经营机构高级管理人员实行“定期述职制”和“离职审计制”,不能一 走了之,以此鼓励规范经营,制约违法、违规现象。
7、建立经营者激励机制
经营者激励机制是公司法人治理结构中不容忽视的重要问题,解决好经营者的 利益分配问题,包括实行年薪制、干股、期权的试点,不仅可促使经营者致力于公 司利益的最大化,也可对“内部人控制”现象,从最高管理层上起到遏制作用。
8、试行“职工持股计划”
实行职工持股方案,有助于员工建立起对公司的责任心和荣誉感,推动形成严 格遵循内控制度的企业文化,使“内部人控制”现象从全员性范围受到制约。
9、开展证券公司上市试点工作
制约与防范“内部人控制”,在很大程度上可凭借证券市场对公司经营管理层 的激励和监督。对于上市公司而言,来自证券市场的压力,可对公司经营者形成公 众的监督,可增强公司经营的透明度。因此,可将国有证券经营机构改组为多元投 资主体的有限责任公司或股份公司,条件成熟的可作公开上市试点。
风险控制,乃证券经营机构永恒的主题。建立现代企业制度,完善法人治理结 构,加强内控制度建设,是跨世纪的中国券商所肩负的重任。
Ⅵ 如何核查或审计发行人的it系统
内部控制来审计就是确认、评价源企业内部控制有效性的过程,包括确认和评价企业控制设计和控制运行缺陷和缺陷等级,分析缺陷形成原因,提出改进内部控制建议。 内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价,确定其可信程度,从而对内部控制是否有效作出鉴定的一种现代审计方法。 内部控制审计是内部控制的再控制,它是企业改善经营管理、提高经济效益的自我需要。 财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。依据沪深两市上市公司内部控制指引,沪深两市鼓励上市公司董事会开展内部控制自我评估,在披露年报时披露内部控制自我评估报告,并且同时披露负责年报审计的会计师事务所的审核评价意见。 一般地,企业内部审计部门负责内部控制审计,也可以委托不负责年审的会计师事务所开展内部控制审计。
Ⅶ 请问企业内控与IT内控有什么关系
您好,以下解答摘自谷安天下咨询顾问发表的相关文章:
企业内部控制基本规范包含的五要素框架:
(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。
相应的,IT内部控制框架也应对于企业内部控制的五要素框架:
(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。
(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
(三)IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。
(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。
(五)监督检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。
综合分析IT内部控制的组件,谷安天下将IT的控制分为三个层面:
(一)公司层控制。在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。
(二)流程与应用层控制。分析企业业务流程与活动,在企业业务流程、应用系统层面与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
(三)资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。
Ⅷ IT运维的内控化管理
1 内部层面
1.1 转变IT运维管理工作方式和理念。强调从技术型向管理型转变。各企事业单位的应用系统和网络系统已经成支撑业务正常运转的重要基础,保证应用系统和网络系统的正常运行和使用成为了IT运维工作的重中之重。IT运维部门的职能应当从传统的重服务轻管理,逐步转变为服务与管理并行,规范化与人性化相辅相成的模式,以适应现代化信息的工作模式。
1.2 清理、简化现有IT运维管理制度。形成适合企事业单位管理实际的制度体系。以建立完整、规范、有效的内部规章制度体系为目标,紧密联系工作实际,按照适用、可行、合法、有效的原则,对现有规章制度进行全面的自查和清理。按照IT运维管理工作的职能分工分层次、分步骤地对制订的各项内部管理制度规程进行分类清理,从制度内容的适用性、可行性、依据和效力的合法性、执行的有效性等方面进行了逐条审核,并结合实际工作,对上级部门制订的内部管理制度与当前实际工作不符的情况进行修订和完善。逐步摈弃传统的“人管人”的工作模式,形成以制度带动人,以制度带动工作的长效机制。
1.3 建立完善的内部信息共享平台。从基础设施。应用系统和业务服务三个方面打造完善的信息共享和资源监控平台。能建立有效的信息资源库,减低对关键技术人员的依赖,为日常IT运维和管理工作提供有效的保障:基础设施管理方面,对网络,应用系统软、硬件等资源进行细化管理,详细记录电子设备的出入库、维保、报废等环节。保证资源的有效利用;应用系统管理方面,对于各类应用系统的备份,日常维护进行有效管理控制,保证所有应用系统数据的一致性、准确性、及时性、可用性和完整性,并根据实际需要不断进行改进、完善或更新;业务服务管理方面,尽可能的记录所有的事件要素,包括问题描述、解决方案、操作人员等等。使得部门对人员的考核有了量化的标准,同时这个过程也有助于知识积累,形成有效的知识库,可以极大地减少对关键人员的依赖,降低人员流失的风险。
1.4 建立例行巡查和通报制度。IT运维部门的负责人和业务主管可通过内部信息共享这一平台,对业务进行有效的监督。一是定期对记录的相关事项进行巡查,审计已登记发生事项的规范性。二是对正在发生的事件实时跟踪,及时了解事件的进展状况。规范各个流程的操作,从源头避免业务差错的发生。三是建立采集问题,核实整改问题及问题通报三个环节的通报机制,以提升力IT运维管理的效率。
2 外部层面
2.1 加强与内部审计部门的沟通交流和人员培训,培养复合型管理人员。定期组织IT运维人员和内部审计人员进行学习交流,探讨内控管理中存在的问题,交流内控管理的心得体会,充分发挥IT运维的技术优势和内控的管理优势,通过良好的内部沟通机制和完善的信息共享平台,建立内部控制体系运行网络和内部控制管理组织体系。
2.2 加强与内部审计部门的业务合作。内部控制审计对组织治理、风险管理、改善控制效率和效果等方面有很大的促进作用。IT运维部门可配合内部审计部门进行运维管理,将内部控制审计作为常态化审计类型,通过这种方式,突出内控特点,运用规范的审计方法和评价体系,注重从控制、风险、管理等宏观层面查找问题、提出建议,以达到促进IT运维管理工作,完善内控和加强管理的目的。
2.3 通过内部审计部门,加强督导、整改等工作的实效。在IT运维管理工作的过程中,不仅要发现问题解决问题,更重要的是要形成完善的IT运维管理工作规范和流程,在这点上。可以通过内部审计部门对企事业单位内部进一步规范制度、程序和方法,形成对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制,强化重要业务环节的风险控制。加大检查力度,切实有效地推进督导、整改工作,建立内控管理的长效机制。
Ⅸ 企业内部控制规范与IT内部控制有什么关系
以下解答摘自谷安天下咨询顾问发表的相关文章:
企业内部控制基本规范包含的五要素框架:
(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。
相应的,IT内部控制框架也应对于企业内部控制的五要素框架:
(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。
(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
(三)IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。
(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。
(五)监督检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。
综合分析IT内部控制的组件,谷安天下将IT的控制分为三个层面:
(一)公司层控制。在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。
(二)流程与应用层控制。分析企业业务流程与活动,在企业业务流程、应用系统层面与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
(三)资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。