返回
it内部控制体系建设方案

it内部控制体系建设方案

ID:13600984

大小:1.44 MB

页数:6页

时间:2018-07-23

it内部控制体系建设方案_第1页
it内部控制体系建设方案_第2页
it内部控制体系建设方案_第3页
it内部控制体系建设方案_第4页
it内部控制体系建设方案_第5页
资源描述:

《it内部控制体系建设方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、谷安天下李华IT内部控制体系建设方案-从IT角度解读《企业内部控制规范》2009年版作者介绍:李华,谷安天下公司合伙人,CISA,CISSP,ISO27001LA,ITILFoundation,项目经理。10年IT风险与信息安全领域工作经验,主要从事IT风险管理、IT内部控制、IT治理、信息安全风险评估与规划、信息安全管理体系咨询等方面工作,具备丰富的实践经验。曾服务的主要客户有:某证券交易所、某大型银行、某大型石油企业、中国电信、中国移动等。作为谷安天下IT风险管理学院特聘讲师主要提供CISA、CISSP、信息安全等高端培训。2008年6月28日,财政部、证监会、审计署、

2、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)。基本规范自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。基本规范的实施将对中国的上市公司和大型企业的规范化运作带来实质性推动。基本规范借鉴了COSO报告五要素框架和风险管理八要素框架;具体规范以财务报告内部控制为主线,对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范,并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。那么,对于企业内部的IT建设与控制而言,企业内部控制规范的

3、实施会带来怎样的影响呢?CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控制与IT风险管理的角度,阐述企业IT控制与企业内部控制之间的关系。企业内部控制规范与IT内部控制的关系企业内部控制基本规范包含的五要素框架:(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的

4、重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要

5、条件。(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。相应,IT内部控制框架也应对应于企业内部控制的五要素框架:(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,I

6、T风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。(三)IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。(五)监督检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效

7、性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。综合分析IT内部控制的组件,我们可以将IT的控制分为三个层面:(一)公司层控制。在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。(二)流程与应用层控制。分析企业业务流程与活动,在企业业务流程、应用系统层面与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。(三)资源层控制。针对企业

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。