IT内控范文

IT内控范文（精选7篇）

IT内控 第1篇

通过对COBIT模型控制框架以及企业风险管理框架 (ERM) 的全方位解读, 有助于我们理解并掌握内控的核心思想, 同时将风险管理的理念引入到IT环境下的会计系统内部控制体系的构建过程中, 有利于我们借鉴其中的优秀控制方法和思想来完善企业会计系统的内控框架及应用模式, 从而提高企业经营的效率和效果、保障企业资产的安全完整和财务报告的真实可靠, 满足利益相关者的要求。

1 COBIT模型简介

COBIT (信息及相关技术的控制目标) 由ISACA (美国信息系统审计与控制协会) 最早于1996年发布, 现已更新到COBIT4.1第四版。该模型目前已经成为国际上共同认可的最权威、最先进的IT管理、控制和审计的标准。

COBIT模型将IT资源、IT过程及信息与企业战略目标紧密联系起来, 形成了一个三维的立体结构, 从而将IT治理目标与企业战略目标有机结合起来。该模型的核心思想可以简单概括为:企业为了实现自身的战略目标, 需要在IT资源上投入资金, 并在IT过程中合理的使用这些可以控制的IT资源, 最终交付出企业需要的有用信息。

COBIT 4.1版将信息技术流程按生命周期的思想分为三个层次来控制, 分别为四个域 (Domains) 、34个处理过程 (Processes) 及210项任务活动 (Activities Tasks) 。其中四个域的内涵分别为:规划与组织域 (PO) 、获得与实施域 (AI) 、交付与支持域 (DS) 及监控与评价域 (ME) ;34个过程中提供了每个过程的控制目标、涉及到的IT资源、过程成熟度指标、监控和评价标准及方便执行的应用指南。

COBIT模型可以作为业务需求、风险控制和技术机制之间有效沟通的桥梁, 可以满足管理的多方面需求。作为IT控制模型中最佳的研究实践, COBIT能为世界各国广泛接受和实施, 自然有它独到的地方。概括起来, 它的优势主要表现在:

(1) 以业务为中心, 立足于公司战略目标, 通过域、过程、活动的三层控制体系, 保证IT目标与企业目标的一致性, 规避具体活动与最终目标偏离的风险。

(2) 可以增强管理层和员工对整个系统的理解和支持。COBIT的使用者并不局限在IT服务提供者、用户和审计师, 还为管理层和过程使用者提供全面的使用指南, 并且明确了实施过程中的责任归属。这就使得所有相关人员可以理解系统, 了解自己的位置及作用, 并支持系统的实施及完善。

(3) 将IT控制变得简化, 减轻复杂系统实施的难度。COBIT模型采用一致性的控制思路对IT周期的34个过程进行控制。具体方法为:确定每个过程的高级控制目标、具体控制目标及管理指南, 通过控制、管理实施过程中的偏差来保证达到每个过程高级控制目标的要求, 满足组织对信息系统安全性、可靠性及有效性的要求, 支持组织目标的实现。

(4) 具有持续有效性。COBIT模型不仅面向现在, 还可以为企业系统的持续优化提供指导, 防范业务变化或系统管理不当造成的风险, 保证系统目标与业务目标的一致性。

(5) 具有国际通用性。COBIT模型使用能被利益相关方理解的通用术语及定义, 并且与国际公认的IT治理关注领域、公司治理标准如COSO模型及审计人员等对内控的要求保持了一致, 故实施该模型可以保证组织满足相关法律法规的要求。

综上所述, COBIT 4.1模型的实用性及可操作性都比较强, 并且其是国际上公认的IT管理与控制标准, 故本文将其作为IT治理下会计系统内部控制体系构建的基础。

2 ERM企业风险管理框架

ERM框架的出台是内外部环境催化的结果。2002年颁布的《萨班斯法案》要求上市公司加强风险管理, 强化风险控制, 这在客观上推动了COSO《内部控制整合框架》的进一步发展。同时, COSO委员会也意识到了《整合框架》自身存在的不足之处, 如过分重视财务报告, 而没有从企业战略与目标的角度关注组织风险。这些因素从客观上推动了ERM框架的颁布。

企业风险管理 (ERM) 框架是在国外一些重大财务丑闻的催化下诞生的, 将企业的全面风险管理分为八个要素来控制, 分别为:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。从该框架的配套指南可以看出, 该框架没有对内部控制重新定义, 而是在COSO报告对内控定义的基础上, 引入了风险管理的理念, 对内部控制进行了拓展和细化, 形成了一个更全面、更有效的管理风险的框架。总体来说, ERM框架在COSO的基础上增加了一个新理念、一个战略目标、两个新概念和三个基本要素:

(1) 引入风险组合观:要求企业在评估自身风险时要从整体出发, 即使每个下属单位的个别风险都在自身可接受范围之内, 也要考虑总风险超过企业整体可控风险偏好的可能性。

(2) 增加战略目标:COSO框架将企业的目标分为三类, 即经营目标、报告目标和合规性目标。ERM框架中的经营目标与报告目标与COSO相同, 但对合规性目标进行了拓展, 包含企业编制的对内、对外所有报告, 不仅包括财务信息, 也包括非财务信息。同时, ERM框架还增加了一大目标, 即企业的战略目标。

要求企业的经营目标、报告目标及合规性目标要以自身的战略愿景为基石, 使企业在实现自身使命的过程中少走弯路。

(3) 风险偏好及风险容忍度:风险偏好是指为了实现自身战略愿景, 企业愿意承受的广泛意义的风险数量, 其指导着企业的战略制定及目标选择。风险容忍度即风险可接受程度, 指企业对在目标实现过程中出现差异的可接受程度。在确定各目标的风险容忍度时, 企业一方面要考虑该目标的重要性, 另一方面还要将其与自身的风险偏好联系起来, 最终将风险控制在可以承受的最大范围内, 保证企业最大限度的实现自身目标。

(4) 新增风险管理三要素, 即目标设定、事项识别、风险应对:ERM框架在COSO五要素的基础上新增加了目标设定、事项识别及风险应对三个要素, 风险管理在企业管理中的地位越发重要。同时, 在内部环境要素中, 更加强调了董事会对风险管理的理念。

由此可见, ERM风险管理框架更加强调风险管理理念, 并且将控制的对象设定为整个企业, 控制的范围涵盖了业务的事前、事中及事后全过程, 使得风险控制不仅贯穿于具体业务层次也贯穿于战略愿景层次, 不仅贯穿于执行层次也贯穿于反馈层次。而在IT治理的大环境下, 会计系统已经与其他信息系统融为一体、密不可分, 共同服务于企业战略目标。这就要求引入新的观念, 采取措施积极应对IT带来的新风险, 将各种风险控制在企业可接受的范围之内。因此, 本文将战略目标管理理念引入会计系统中, 将ERM框架作为构建IT治理的会计系统内控体系应遵循的标准。

3 IT治理下会计系统内控体系构建

在信息技术高速发达的当今社会, 理解并评估会计系统内部控制面临很多障碍及风险。这就要求我们引入新的理论框架, 很好的建立并理解会计系统内部控制体系。ERM框架是通用的内部控制建立及评估的规范, 没有单独对IT控制目标和相关控制活动做出具体要求, 而COBIT采用生命周期的思想, 将整个IT流程分为域、过程、活动来控制IT资源, 使复杂的系统控制简单化, 对评估IT环境下的内部控制特别有效。两者实际上是一般与应用的关系, 所以本文将ERM风险管理的思想及COBIT模型的控制方法结合起来控制会计系统的IT资源, 三者共同组成IT治理的会计系统内部控制体系的立体模型, 如图1所示。

该三维体系将会计系统内部控制流程、ERM框架八要素及会计系统IT资源紧密结合在一起, 为会计系统内部控制的构建及运行发挥了独特的作用。一方面, 该体系利用COBIT模型的生命周期法将会计系统内部控制分为域、过程、活动的三层架构, 使控制活动更易于实施;另一方面, 利用ERM框架风险控制的思想管理会计系统的内控过程, 有助于每个过程的顺利完成。同时, 通过会计系统内部控制的每个过程管理会计系统的IT资源, 能够保证IT资源使用的效率及效果, 促进企业目标的达成。

3.1 从企业战略层面入手设置会计系统目标, 减少了信息孤岛

COBIT框架中规划与组织的第一个过程就是制定会计系统的战略计划, 这就为会计系统的设置定下了基调:为企业的战略目标服务, 从根本上保证了数据初始采集的准确性及目标性, 避免出现如内部编码不统一造成的数据汇总及对比问题。为了提高企业信息系统的整合度, 企业可以配备一个专门的IT管理部门, 从最初企业信息系统的标准设定、初始设置到最后的监控改进持续跟进, 保证数据采集及数据分析的准确性, 提高会计系统的可靠性及及时性。

3.2 建立起制度和技术之间的纽带

IT技术在企业中的广泛使用使得会计系统的内控体系越来越复杂, 对企业的管理人员及实施人员都提出了巨大挑战。ERM框架侧重于策略层次, 只是对企业内部控制设置的一般性要求, 没有指出具体的实施方法。而COBIT模型侧重于具体的实施方法, 按照生命周期的思想将信息系统流程细化为210项任务活动, 使得企业在实施过程中能按照相对应活动的控制流程来设置信息系统, 并达到每个活动的控制目标。因此, 将ERM框架与COBIT模型思想结合, 不仅可以满足ERM企业风险管理的要求, 还能降低设置会计系统内控的实施难度, 使得整个控制流程更加易于理解和实施, 最终为企业交付满意的信息。

3.3 构建了事前、事中和事后的全方位风险控制体系

COBIT模型将会计系统流程分为四个过程, 即规划与组织、获取与实施、交付与支持、监控与评价。其中第一个流程规划与组织属于实施过程中的事前控制, 第二个获取与实施及第三个交付与支持流程属于事中控制, 监控与评价属于事后的反馈控制流程。通过一系列的控制流程, 企业可以建立覆盖整个会计系统的风险控制机制, 同时通过监测各个过程的指标控制可能出现的偏差, 并及时解决遇到的问题, 将风险控制在可接受的范围之内, 进而确保系统战略的实现。

在IT技术迅猛发展的当今社会, 会计系统的内控体系是否有效直接决定了企业能否合理配置资源、能否提高劳动生产率、能否为众多利益相关者提供合法及公允的会计信息。本文基于ERM框架及COBIT模型构建的会计系统内控体系对于企业防范舞弊、减少损失、提高资产使用效率及达成企业战略目标都具有积极的意义。不过在具体构建会计系统内控体系时, 企业应遵循“适合的才是最好的”原则。企业可以参考现有成功或失败的案例, 但不要盲目相信别人, 要在对自己企业的实际情况深入了解的基础上选择合适的模型, 并在实践过程中灵活运用, 对不符合要求的流程适当进行修改完善。另外, 在实施前要对用户进行必要的培训和沟通, 传达组织的目标并使其理解, 让用户明白自身在流程中的角色及责任, 调动他们的积极性推动相应内控的建设, 从而将新方案实施的阻力降低到最小。

摘要：在IT环境下, 为了满足利益相关者对高质量会计信息的需求, 企业有必要引进新的理论框架对该系统从构建到运行的全过程进行控制。COBIT作为全球公认IT治理的最佳控制模型, 采用生命周期的思想, 可用来指导会计系统内部控制的实施、评价及完善。同时, IT的应用使得会计系统暴露在更为复杂多样的风险之下, 为了有效的规避这些风险, 企业在构建该系统内部控制时, 有必要引进现阶段风险管理的最高研究成果ERM框架的思想。

关键词：COBIT模型,ERM框架,会计系统内控体系

参考文献

[1]财政部等.企业内部控制基本规范[J].会计研究动态, 2008, (4) .

[2]刘翠.内部会计控制理论研究综述[J].产业与科技论坛, 2010, 9 (5) :105.

[3]ITGI.COBIT4.1[EB].www.itgi.org, 2007.

[4]严晖.公司治理、公司管理与内部控制—对COSO企业风险管理框架 (ERM) 的分析[J].财会通讯, 2012, (4) :10-14.

IT内控 第2篇

（试行)1．目的和范围

为加强公司IT系统的内部控制与管理，有效监控IT相关的管理制度、办法、规定、标准、技术规范等的执行情况，实现IT内部控制的合规性，保证IT内控管理体系的适宜性和持续有效，营造稳定、健康、有序的IT管理环境，特制定本规定。

本规定适用于公司范围内与IT相关的内部审核与管理评审，主要针对公司层面IT系统有关的业务与管理。2．相关部门

IT部、与IT业务相关的各部门。3．职责与权限

3.1 IT部负责组织根据本规定对IT相关规章制度及其执行情况及IT项目的建设情况进行监督、监控、审核与评价。

3.2 IT部领导负责组织管理评审，并主持管理评审会议。

3.3 其他管理人员，包括相关部门IT系统负责人参加管理评审，并按职责范围提供内控体系运行情况的信息和资料，形成书面材料向管理评审会议汇报。3.4 内审组长负责具体组织实施内审工作。3.5 内审员负责协助内审组长完成内审工作。3.6 受审核部门负责协助并积极配合内审工作。4．管理内容与流程 4.1 IT内部审核

4.1.1 审核计划编制

4.1.1.1 每年第一季度，IT部组织人员完成《IT内部审核计划》的编制，并提交IT部领导批准。

4.1.1.2 “IT内部审核计划”要保证全年完成涉及IT体系中的全部要素和全部活动以及所有场所与部门。“IT内部审核计划”的内容应包括： 1）审核的要素； 2）受审核的部门； 3）审核的时间安排；

4）编制、审核、批准人签字等。

4.1.1.3 在下列情况下，可追加审核或增加审核频次：

1）IT系统有关的领导层、组织结构、人员、产品与服务等发生重大变化时； 2）IT系统发生了严重的质量问题或因质量问题引起顾客重大投诉时。4.1.2 审核的策划和准备

4.1.2.1 指定内审组长并组成内审组

1）每次审核前由IT部领导指定内审组长和内审员，组成内审组； 2）内审组成员在业务水平和管理经验等资格方面应符合内审要求，应经过相应的培训，熟悉IT内控体系文件，办事公道，并得到被审核部门的认可；

3）只要人力资源允许，内审组成员应与被审核的部门无直接责任，独立于被审核工作。4.1.2.2 制订《IT内部审核实施计划》

内审组长负责制订审核实施计划，内容包括：审核目的、范围、依据；审核的日程安排；内审小组的组成和分工；受审核部门相关的过程、活动及对应的管理制度条款和体系要求；其他需明确的事项和要求等。

内审组应提前三个工作日将计划发放到有关部门，以便确认计划安排。4.1.2.3 内审员应根据任务分工编写《IT内审检查表》。4.1.3 审核实施 4.1.3.1 首次会议

首次会议由内审组长主持，受审核部门负责人和审核组成员参加。

会议内容包括：明确审核的目的与范围、依据、要求和方法，介绍审核计划，解决计划中不明确的细节，建立联系渠道，落实具体安排，确定末次会议时间等；首次会议要签到。4.1.3.2 现场审核

内审员按审核计划和检查表实施审核。

通过交谈、询问、文件查阅、现场检查(即问、听、看、查)等方法收集客观证据并记录，应使用正确的工作方法和审核技巧。4.1.3.3 确定不合格项

内审组评审检查结果，确定不合格项。按不合格性质分为：体系性不合格、实施性不合格、效果性不合格；按严重程度分为：轻微不合格和严重不合格。

4.1.3.4 开具《IT内审不合格报告》及《IT内审不合格报告执行情况一览表》

确定不合格项后，内审员填写不合格报告单。不合格报告单的内容包括：审核员、审核时间、受审核部门及负责人、不合格事实描述、不合格类型、不符合条款等。不合格事实描述要具体，并经受审核方确认。4.1.3.5 末次会议

由内审组长主持，受审核部门负责人和审核组成员参加。

会议内容包括：重申审核目的、范围和依据，说明审核过程，宣读不合格报告，评价审核结果、提出纠正措施要求等；末次会议要签到。4.1.4 编写审核报告

内审组长负责编写《IT内审报告》，经IT部领导批准后发放到有关部门。审核报告的内容应包括：

1）审核目的、范围和依据；

2）审核计划完成情况及不合格项的汇总分析； 3）体系运行结果的评价； 4）审核结论；

5）审核报告的分发范围等。4.1.5 纠正的实施与跟踪验证

责任部门应根据不合格项报告，认真分析产生问题的原因，并针对原因制定和实施纠正措施。内审组负责纠正措施的跟踪与验证，必要时进行现场确认。4.1.6 内审结果汇总分析

内审组长负责将IT内审结果归纳总结并予以分析，形成体系运行报告，作为管理评审的输入。报告内容包括：审核计划完成情况，不合格项汇总分析、纠正措施的跟踪验证情况及对体系评价、薄弱环节分析和体系改进建议等。4.2 IT管理评审 4.2.1 管理评审计划

IT部领导负责主持IT管理评审并组织编制管理评审计划，内容包括：评审目的、评审内容、被评审部门及参加人员、管理评审的时间和评审计划的发放范围等。管理评审每年至少进行一次，一般安排在内部审核后进行。

当连续出现IT方面重大事故或顾客投诉时以及公司领导层认为需要时，可增加管理评审的频次。

4.2.2 管理评审参加的人员 1）IT部领导；

2）各相关部门负责人及二级公司分管IT业务的领导； 3）内审员；

4）必要时可请公司分管领导参加。4.2.3 管理评审的输入 1）内部审核的结果；

2）IT目标的执行情况及总体有效性； 3）改进的建议；

4）有关部门反馈的信息； 5）连续出现的重大事故报告；

6）纠正和预防措施的实施情况及效果； 7）可能影响IT体系的变动；

8）IT相关各部门的工作业绩和服务的质量现状； 9）上次IT管理评审的改进措施等。4.2.4 评审准备

IT部应提前三个工作日通知所有参加管理评审的人员。各相关部门准备与本部门有关的评审资料。4.2.5 管理评审的实施

管理评审会议由IT部领导主持。

以会议形式对评审输入中的各项内容进行评审。

分析IT体系的适宜性、充分性和有效性，做出是否需要改进和完善的决议。

4.2.6 管理评审的输出

IT内控体系及其过程有效性的改进信息。4.2.7 编写《IT管理评审报告》

IT部安排人员负责编写“IT管理评审报告”，经IT部领导批准后，发送各有关部门，相关记录做好保存。

“IT管理评审报告”的内容至少应包括： 1）评审的目的； 2）评审内容；

3）评审日期及参加人员； 4）评审活动的评价与结论；

5）采取相关的纠正和预防措施的要求； 6）评审报告的发放范围等。4.2.8 纠正和预防措施

各责任部门按IT管理评审提出的改进要求进行改进，IT部负责对其执行情况及效果进行跟踪检查和验证。5．附则

浅谈IT运维的内控化管理 第3篇

普通企事业单位的IT运维管理, 存在着重操作、轻理论, 重结果、轻总结的实际情况。根据相关统计, 在日常的IT运维中, 大约70%以上的故障是由业务人员首先发现的, 而IT运维人员更多是担任救火队员的角色, 表明了运维工作存在着大量的监测盲点, IT运维的工作处于相对被动的状态。这种传统的“见招拆招”式的IT运维管理方式已经不能满足企事业单位内部日趋扩大的信息化应用, 而且在一定程度上也制约和影响了业务的开展。笔者认为, 应从两个层面加强和完善IT管理和运维工作, 可以改善IT运维工作的现状。

1 内部层面

1.1 转变IT运维管理工作方式和理念, 强调从技术型向管理型转变。

各企事业单位的应用系统和网络系统已经成支撑业务正常运转的重要基础, 保证应用系统和网络系统的正常运行和使用成为了IT运维工作的重中之重。IT运维部门的职能应当从传统的重服务轻管理, 逐步转变为服务与管理并行, 规范化与人性化相辅相成的模式, 以适应现代化信息的工作模式。

1.2 清理、简化现有IT运维管理制度, 形成适合企事业单位管理实际的制度体系。

以建立完整、规范、有效的内部规章制度体系为目标, 紧密联系工作实际, 按照适用、可行、合法、有效的原则, 对现有规章制度进行全面的自查和清理。按照IT运维管理工作的职能分工分层次、分步骤地对制订的各项内部管理制度规程进行分类清理, 从制度内容的适用性、可行性、依据和效力的合法性、执行的有效性等方面进行了逐条审核, 并结合实际工作, 对上级部门制订的内部管理制度与当前实际工作不符的情况进行修订和完善。逐步摈弃传统的“人管人”的工作模式, 形成以制度带动人, 以制度带动工作的长效机制。

1.3 建立完善的内部信息共享平台。

从基础设施, 应用系统和业务服务三个方面打造完善的信息共享和资源监控平台, 能建立有效的信息资源库, 减低对关键技术人员的依赖, 为日常IT运维和管理工作提供有效的保障:基础设施管理方面, 对网络, 应用系统软、硬件等资源进行细化管理, 详细记录电子设备的出入库、维保、报废等环节, 保证资源的有效利用;应用系统管理方面, 对于各类应用系统的备份, 日常维护进行有效管理控制, 保证所有应用系统数据的一致性、准确性、及时性、可用性和完整性, 并根据实际需要不断进行改进、完善或更新;业务服务管理方面, 尽可能的记录所有的事件要素, 包括问题描述、解决方案、操作人员等等。使得部门对人员的考核有了量化的标准, 同时这个过程也有助于知识积累, 形成有效的知识库, 可以极大地减少对关键人员的依赖, 降低人员流失的风险。

1.4 建立例行巡查和通报制度。

IT运维部门的负责人和业务主管可通过内部信息共享这一平台, 对业务进行有效的监督。一是定期对记录的相关事项进行巡查, 审计已登记发生事项的规范性。二是对正在发生的事件实时跟踪, 及时了解事件的进展状况, 规范各个流程的操作, 从源头避免业务差错的发生。三是建立采集问题, 核实整改问题及问题通报三个环节的通报机制, 以提升力IT运维管理的效率。

2 外部层面

2.1 加强与内部审计部门的沟通交流和人员培训, 培养复合型管理人员。

定期组织IT运维人员和内部审计人员进行学习交流, 探讨内控管理中存在的问题, 交流内控管理的心得体会, 充分发挥IT运维的技术优势和内控的管理优势, 通过良好的内部沟通机制和完善的信息共享平台, 建立内部控制体系运行网络和内部控制管理组织体系。

2.2 加强与内部审计部门的业务合作。

内部控制审计对组织治理、风险管理、改善控制效率和效果等方面有很大的促进作用。IT运维部门可配合内部审计部门进行运维管理, 将内部控制审计作为常态化审计类型, 通过这种方式, 突出内控特点, 运用规范的审计方法和评价体系, 注重从控制、风险、管理等宏观层面查找问题、提出建议, 以达到促进IT运维管理工作, 完善内控和加强管理的目的。

2.3 通过内部审计部门, 加强督导、整改等工作的实效。

IT内控 第4篇

2010年是国家“十一五”计划的最后1年,国内大型行业用户的IT系统建设继续处在强化并纷纷进入“深化应用”阶段,例如“十二金工程”后续建设、国家电网公司SG-ERP工程、南方电网公司登高计划等。这些面向全行业的信息系统在纵向、横向2个方面的耦合程度正在日益加深,使得总部与省/地市机构之间、各个部门之间的相互联系也日益增强,跨部门的运营效率正在明显提升。由此,信息系统进入了以“大网络、大系统、大集中、高可靠性、高安全性”为标志的“三大两高”时代。随着IT系统重要性的不断提升,如何提高企业的信息化管理水平成为一项重要工作,而最恰当的描述这一工作的词汇就是“IT治理”。

1 IT治理面临的困难

IT治理是信息化管理和控制的完整体系,包括与IT系统相关的组织架构、管理流程、内部风险控制与审计、考核体系等多个要素。其中,内部风险控制与审计作为IT治理的重要组成部分,越来越多地受到企业管理层以及监管机构的重视。例如,在萨班斯法案、等级保护、各大行业指导性文件中,均明确阐述了内控机制以及审计体系的必要性和意义。特别是在一些IT系统与业务流程紧密相关的行业(如税务、财政、金融、电信、电力等),内控与审计更为必要。

因此,要建立一套有效的内控及审计体系,对国内的大部分客户而言并非易事,困难主要体现在以下几方面。

(1)目前国内大部分用户缺乏一套体系完善、可具体实施的IT管理制度,部分用户的IT管理制度落后于IT系统及IT技术的发展,还有部分用户的IT管理制度生硬照搬,缺乏可执行性。

(2)员工的工作习惯与业界的最佳实践/监管机构的要求有一定差异,如系统维护人员发现问题随手解决,却未留下任何检修记录;或根据领导电话就为某账号开通权限等。而一个完善的内控及审计体系中,要求所有的操作都遵循一定控制要求来执行,所有的工作必须责任到人,对重要工作要留下相应的审计记录。

(3)缺乏相应的技术体系和架构来实现内控及审计要求。例如,绝大部分用户没有完善的账号生命周期管理系统,地址/账号/权限无法对应自然人,对数据库等关键系统的操作无法审计,认证授权体系零碎分散/多头管理等。

因此,如何建立一套内控/审计体系,并支撑管理制度有效实施就成为大型行业用户最急迫的需求。针对该需求,启明星辰通过多年来在管理咨询、风险评估、等级保护建设等方面的积累和最佳实践,依托最全面的信息安全产品线,提出了面向IT应用全流程的统一内控及安全审计解决方案。

2 统一内控及安全审计解决方案

2.1 设计原则

(1)确保业务连续性:内控及审计系统的最终目的是为了确保业务及数据安全,因此不能给业务连续性带来影响。

(2)覆盖业务全过程:为了确保内控及审计的有效性,必须做到对业务过程的全覆盖,这一覆盖既包含了从业务系统开发、变更、运行到废弃的业务生命周期,也包含了从账号创建、登录、授权、操作、维护和数据变化的业务使用全周期。

(3)审计数据可追溯:审计的目的是为了判断是否违规、追查原因并界定责任,不可溯源难以提升管理水平也无法达到审计的目的。

2.2 总体方案

启明星辰统一内控及安全审计解决方案包括以下几个模块:统一账号管理系统、统一认证管理系统、统一授权管理系统、统一安全审计系统、统一接入平台和综合显示/管理模块。

2.2.1 统一账号管理系统

统一账号管理系统包括账号生命周期管理、统一用户目录、自然人主账号管理、资源从账号管理及主从账号映射管理等模块。该系统解决了业务系统中常见的缺乏账号生命周期管理、业务系统权限分配混乱、权限无法对应自然人等问题,并为面向自然人的审计打下了坚实基础。各模块的功能如下:(1)账号生命周期管理模块:账号的全生命周期指账号的创建、变更、维护、删除。该模块确保在用户身份发生变化时,其IT系统账号的权限随之改变,以避免出现僵尸账号、人员职位变动但账号权限未及时变更等情况发生(见图1)。(2)统一用户目录模块:指根据用户的组织架构、业务系统架构等要素,建立全局统一、可有效标示用户身份属性的用户账号目录体系。(3)自然人主账号管理模块:为每一个员工、第三方维护人员、合作伙伴等建立唯一的主账号,并进行管理。(4)资源从账号管理模块:根据不同IT业务系统的需要,建立不同的资源从账号并进行管理。(5)主从账号映射模块:根据业务流程的需要,为每一个自然人主账号映射相应的资源从账号。

2.2.2 统一认证管理系统

统一认证管理系统包括PKI/CA平台、统一认证接口、集中认证平台等模块。该系统面向所有业务系统提供统一的认证接口,确保了所有业务系统及运维均采用强口令及CA证书进行双因子认证。同时,由于采用了主从账号机制,还解决了以往不同系统密码难以记忆、静态密码安全性低、定期修改资源账号密码工作量大等问题。

2.2.3 统一授权管理系统

统一授权管理系统包括统一授权接口、命令级访问控制网关、资源管理等模块。该系统的主要功能是根据业务需要,进行基于角色、用户组或实体的授权;对于部分业务系统所必需的超级账号提供命令级访问控制功能;同时实现对授权资源的描述和管理(见图2)。

2.2.4 统一安全审计系统

统一安全审计系统包括运维审计、数据库审计、终端审计、互联网审计及日志审计等模块(见图3)。其功能是收集所有业务操作日志,并根据审计策略对相关操作进行记录,对异常的操作进行告警,同时定期提供各类符合规范性要求的报表及分析报表。该系统涵盖了绝大多数的用户业务体系,支持绝大多数操作的解析和审计,特别是在加密审计、数据库操作审计上具备国际领先水平。

2.2.5 统一接入平台

统一接入平台是为运维用户及普通用户提供的一个安全、可信、可控的集中接入平台,所有的接入对象在访问业务系统或进行维护操作之前,必须先登录此集中接入平台,才能进行后续操作。同时,该平台也可对用户的操作行为进行命令级审计(见图4)。

通过上述启明星辰统一内控及安全审计解决方案,用户可有效落实相关管理制度,提升IT治理水平,具体表现在以下5个方面:(1)建立了完善的账号管理、授权管理体系及CA系统;(2)建立了面向多个层面用户的统一接入认证平台;(3)通过关联分析等技术,将行为定位到自然人;(4)每一个操作或互联网访问均可定位到明确的员工/第三方人员;(5)业务数据及其他敏感信息/文件的安全性大幅提升,杜绝了泄露客户信息、私自修改客户属性等违规行为。

该方案自出台后,受到了众多行业用户的关注及好评,并在中国移动数十个省级业务系统和多个金融机构业务系统中经受住了考验。

3 结语

信息化风险控制与审计体系是IT治理的精髓,随着IT系统与核心业务系统的耦合性不断增强,IT风险随之增大。启明星辰统一内控及安全审计解决方案可帮助用户在确保业务系统信息化水平日益提高的同时,使风险得到有效控制,从而不断提高IT治理水平。与此同时,还能为用户后续的COBIT、ITIL等IT管理体系和合规性体系建设打下一个坚实的基础。

摘要：IT治理是信息化管理和控制的完整体系,其中,内部风险控制与审计作为IT治理的重要组成部分,越来越多地受到企业管理层以及监管机构的重视。对此,启明星辰通过多年来在管理咨询、风险评估、等保建设等方面的积累和最佳实践,依托最全面的信息安全产品线,提出了面向IT应用全流程的统一内控及安全审计解决方案。

IT内控 第5篇

第二章促进IT内控的华为产品和体系结构

本章节包括下列主题:

■关键的跨行业法律和法规

■行业法律与法规分析

■一般法律法规的IT内控目标

■华为IT内控体系结构

■应用于特定法律法规的华为产品及功能

■华为IT内控产品和体系结构的摘要

随着国内外一系列法律法规的出台, IT内控已经得到了前所未有的重视, 并已成为组织管理层的重要责任之一。华为安全产品体系为组织完善IT内控, 遵从相关法律法规提供了便捷、高效的解决方案。

2.1关键的跨行业法律和法规

国内外影响IT内控的跨行业关键法律法规、指南和框架主要包括以下标准:

等级保护制度与系列标准

ISO 27001/ISO 17799

萨班斯-奥克斯利法案

COBIT等

2.1.1等级保护制度及标准体系

2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 明确指出“实行信息安全等级保护”。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中, 提高信息安全保障能力和水平, 维护国家安全、社会稳定和公共利益, 保障和促进信息化建设健康发展的一项基本制度。

2007年6月, 《信息安全等级保护管理办法》 (公通字[2007]43号, 以下简称《管理办法》) 明确了信息安全等级保护制度的基本内容、流程及工作要求, 明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务, 为开展信息安全等级保护工作提供了规范保障。

目前, 我国相关单位已制定了包括《计算机信息系统安全保护等级划分准则》 (GB17859-1999) 、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》等50多个国标和行标, 初步形成了信息安全等级保护标准体系。

2.1.2 ISO 27001:2005

ISO 27001:2005是建立信息安全管理体系 (ISMS) 的一套需求规范。其中详细说明了建立、实施和维护信息安全管理体系的要求, 指出组织应该遵循的风险评估标准, ISO 27001:2005指导相关人员怎样去应用ISO 17799:2005, 其最终目的是建立适合组织需要的信息安全管理体系 (ISMS) 。

以ISO/IEC 27001为核心的信息安全管理标准将逐渐发展成为一套完整的标准族, 具体包括:

ISO/IEC 27000, 基础和术语。

ISO/IEC27001, 信息安全管理体系要求, 已于2005年10月15日正式发布 (ISO/IEC 27001:2005) 。

ISO/IEC 27002, 信息安全管理体系最佳实践, 将会由ISO/IEC 17799:2005 (已于2005年6月15日正式发布) 转换而来。

ISO/IEC 27003, ISMS实施指南。

ISO/IEC 27004, 信息安全管理度量和改进。

ISO/IEC 27005, 信息安全风险管理指南, 以2005年底刚刚推出的BS7799-3 (基于ISO/IEC13335-2) 为蓝本。

这些标准或指南, 相互支持和参照, 共同为组织实施信息安全最佳实践和建立信息安全管理体系发挥作用, 同时也成为组织实施IT内控的重要依据。

2.1.3 ISO 17799:2005

ISO 17799是一个国际认可的常规信息安全标准, 由一组代表最佳信息安全实践的综合控制措施组成。ISO 17799是以BS7799的第一部分为基础发展起来的, ISO 17799:2005版分为11个安全域、39个控制目标和133项控制措施。其中11个安全域如下:

安全策略 (Security Policy)

组织信息安全 (Organizing Information Secu-rity)

资产管理 (Asset Management)

人力资源安全 (Human Resources Security)

物理和环境安全 (Physical and EnvironmentalSecurity)

通信和操作管理 (Communication and Op-eration Management)

访问控制 (Access Control)

信息系统获取、开发和维护 (InformationSystems Acquisition Development and Maintenance)

信息安全事件管理 (Information Security In-cident Management)

业务连续性管理 (Business Continuity Man-agement)

符合性 (Compliance)

2.1.4《萨班斯-奥克斯利法案》

《萨班斯-奥克斯利法案》 (SOX) 要求通过提高公司信息披露的准确性和可靠性, 增加公司责任, 对上市公司会计和审计的不适当行为规定更加严厉的处罚, 同时保护投资者利益。SOX要求, 如果上市公司无法为股东准确、完整和及时地提供有关公司运营状况的信息, 公司的高级行政人员应承担相应责任。

虽然SOX并不是专门出于技术的要求, 但它要求机构实施和维护IT控制环境以支持财务信息的可靠性、透明性和准确性。规避风险、完善内部控制是SOX法案的核心诉求, 而IT控制是内部控制不可缺少的一部分。随着企业信息化建设的推进和深入, 企业的日常业务运作已经越来越依赖于IT系统的运行, 许多上市企业的核心业务都依赖IT系统。这提升了IT部门在企业中的地位, 同时也意味着要承担更大的责任。

2.1.5 COBIT

信息及相关技术控制目标 (Control Objectives for Information and related Technology, COBIT) 是美国信息系统审计与控制协会 (Information Systems Audit and Control Association) 针对IT过程管理制定的一套基于最佳实践的控制目标, 是目前国际上公认的最先进、最权威的安全与信息技术管理和控制标准。

COBIT架构的主要目的是为业界提供关于IT控制的一个清晰的政策和良好典范, 这个架构包括34个IT过程, 分成4个领域:PO (Plan and Organise) 、AI (Acquire and Implement) 、DS (Deliver and Support) 、和ME (Monitor and Evaluate) , 所有的过程中又包含了214个控制目标 (4.0版) , 全都提供了最佳的施行指导。

2.2行业法律与法规分析

为了应对日益严峻的组织内部风险形势, 加强各行业内控与监管, 我国相关行业主管部门制定了一系列针对行业内控的法律法规, 普遍把IT内部安全控制措施提升到相应的高度 (见表2-1) 。

IT内控 第6篇

1国内上市公司IT相关内部控制主要监管规范

1.1企业内部控制基本规范

2008年6月28日,我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。 基本规范自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行, 后来因各种原因延迟执行。 执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。与IT相关的内部控制规定主要包括: 基本规范第11条明确规定,企业应当创造条件,有效利用计算机信息技术加强企业内部控制,逐步实现生产管理系统、营销管理系统、 预算管理系统、 财务会计管理系统等的信息集成和共享,不断提高内部控制的效率与效果。 基本规范第52条规定,信息系统控制要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相适应的信息化控制流程。 具体规范第17项“计算机信息系统”,一共规定了6章43条,从总则、岗位分工与授权审批、信息系统开发、变更与维护控制、信息系统访问安全、硬件管理、会计电算化及其控制6个方面对计算机信息系统环境下的企业内部控制提出了具体要求。

1.2上海证券交易所上市公司内部控制指引

2006年6月上交所出台 《上海证券交易所上市公司内部控制指引》规定,与IT相关的内部控制规定主要包括第10条规定公司使用计算机信息系统的,还应制定信息管理的内控制度。 信息管理的内控制度至少应涵盖下列内容:信息处理部门与使用部门权责的划分;信息处理部门的功能及职责划分;系统开发及程序修改的控制;程序及资料的存取、数据处理的控制;档案、设备、 信息的安全控制;在本所网站或公司网站上进行公开信息披露活动的控制。

1.3深圳证券交易所上市公司内部控制指引

2006年9月深交所发布 《深圳证券交易所上市公司内部控制指引》,与IT相关的内部控制规定主要包括第8条规定公司的内部控制活动应涵盖公司所有营运环节, 包括信息系统管理等; 第9条规定上市公司应依据所处的环境和自身经营特点,建立信息系统安全管理等专门管理制度。

2服装上市公司IT相关内部控制披露情况及分析

2.1服装上市公司IT相关内部控制披露情况

在A股服装上市公司中,共有24家在上交所或深交所信息披露平台披露了2012年度内部控制自我评价报告。 我们整理了这些报告中涉及IT相关内部控制披露的情况, 并将信息分为5类:对IT的控制活动、利用IT控制手段、利用IT沟通手段、信息安全及控制、外部鉴证情况,如表1所示。

可以看出,在已披露的2012年度内部控制自我评价报告的24家服装上市公司中, 有七成多披露了利用IT沟通手段, 同样有七成多披露了对IT的控制活动, 有近五成披露了信息安全及控制,仅两成多披露了利用IT控制手段。 外部鉴证方面,近六成经过保荐机构鉴证,不到三成经过外部审计机构鉴证。

2.2对披露情况的分析

上述结果说明, 服装上市公司已普遍利用信息系统进行信息传递与沟通,信息化使得服装上市公司各管理层级、各部门、 各业务单位以及员工与管理层之间的信息传递更迅速、顺畅,沟通更便捷、有效。 大多数服装上市公司已将信息技术作为内部控制对象, 或多或少制定了电子信息系统控制制度或者开展了IT相关内部控制活动,对电子信息系统开发与维护、数据输入与输出、文件储存与保管等方面进行了控制。 部分服装上市公司有信息安全意识及相应的控制措施。

建立信息系统内部控制制度的内涵有两个方面: 第一方面是利用IT手段加强对业务的控制, 第二方面是要加强对信息系统本身的控制。 本文前述作为主要监管规范的《企业内部控制基本规范》第11条是对“第一方面控制”(控制手段)的要求,第52条和具体规范第17项是对“第二方面控制”(控制对象)的要求。 但是,从上面的披露情况来看,大多数服装上市公司对于将信息技术作为内部控制的手段还没有充分的认识。 这一结果说明:对于建立信息系统内部控制制度,“第二方面控制”(控制对象)很容易为人们所理解,但是目前对“第一方面控制”(控制手段)普遍存在认识不足的问题。

报告经过保荐机构外部鉴证的主要是深圳上市公司, 保荐机构根据 《证券发行上市保荐业务管理办法》《深圳证券交易所上市公司保荐工作指引》《深圳证券交易所中小企业板上市公司规范运作指引》等法律法规的要求,需要对被保荐公司的内部控制自我评价报告进行核查, 判断是否符合我国有关法律法规和证券监管部门的要求, 自我评价是否如实反映了其内部控制制度的建设及运行情况。 对于外部审计机构鉴证而言,《企业内部控制基本规范》规定,可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计,并未强制,因此,内部控制自我评价报告经过外部审计机构鉴证的比例比经过保荐机构鉴证的比例低很多。

3思考与建议

3.1萨班斯 — 奥克斯利法案(SOX法案)有关IT条款的启示

2002年7月, 美国国会颁布了SOX法案, 法案对整个公司管理层对内控体系和信息披露提出了严格的要求, 并且针对要求提出了监管和惩罚的措施。 SOX法案要求财务报表的准确性, 财务报表靠业务流程,而业务流程又是由信息系统支撑的。 法案的404条款要求企业管理层对企业必须建立一个有效的内控体系,并且对内控体系要进行评估。 评估内容包括:公司数据的完整性受到公司IT控制的充分性影响; 公司交易从交易开始、记录、处理到报告全程应用IT;加快并支持财务报告的IT控制;IT控制有效性记录与评价的要求;IT一般控制与应用控制;利用IT自动记录并监控控制制度的执行。 可以看出,SOX法案明确指出IT控制充分性影响财务报表的准确性的内在机制, 并规定了必须评估的相关内容,评估内容不仅包括前述的“第二方面控制”即对信息系统本身的控制,还包括前述的“第一方面控制”即利用IT手段加强对业务的控制,如:公司交易从交易开始、记录、处理到报告全程应用IT;利用IT自动记录并监控控制制度的执行。

相比较而言,我国的《企业内部控制基本规范》更重视“第二方面控制”,其具体规范的第17项就规定了6章共43条,而两个证券交易所的上市公司内部控制指引只涉及“第二方面控制”,还没有明确提出“第一方面控制”,这与我国企业信息化水平有一定关系,但是,随着我国企业信息化水平的逐渐提高,各监管层对 “第一方面控制”及其评估的监管要求也应该随之逐渐提高。

3.2报告使用者应该正确认识外部审计机构鉴证的作用

目前外部审计的主体主要是注册会计师(CPA),CPA的职责主要是向股东和企业的其他股东证明最终报告的准确性和过程控制的完整性,侧重于对计算机信息系统环境下的财务信息的鉴证,为了审计财务报告,CPA也需要对形成财务报告的环境即计算机财务系统的内部控制进行测试和评价。以立信会计师事务所对开开、际华、龙头3家服装上市公司的内部控制鉴证报告为例, CPA在鉴证报告中指出, 企业的责任是建立健全和有效实施内部控制,并评价其有效性,CPA的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。 可见,外部审计机构对上市公司内部控制鉴证报告以对财务信息的保证为目标,因此,对于阅读和使用内部控制鉴证报告的利益相关者来说,应注意到,建立信息系统内部控制制度的主体是企业自身,建立健全内部控制并保持其有效性是企业管理层的责任,外部审计机构的鉴证是有其固有局限性的,外部审计机构只对反映过去交易事项的财务信息进行鉴证,只对财务报告内部控制的有效性发表审计意见。

既然有局限性,那么,监管层是否需要强制上市公司的内部控制自我评价报告必须经过外部审计机构的鉴证? 我们认为,应该强制要求必须经过外部审计机构的鉴证,1鉴证可以表明上市公司的内部控制自我评价报告是否如实反映了其内部控制制度的建设及运行情况,从而在一定程度上保证上市公司内部控制自我评价报告的真实性;2能够鉴证财务报告内部控制的有效性。

摘要：本文以我国A股上市服装企业为研究对象,通过收集并整理其中24家已披露的2012年度内部控制自我评价报告,总结并分析了服装上市公司IT相关内部控制披露的实际情况,对IT相关内控的监管要求与认识方面存在的问题进行了思考,提出了相应的对策建议。

IT内控 第7篇

(一)风险管理

国有资产监督管理委员会2006年6月发布的《中央企业全面风险管理指引》(国资发改革[2006]108号)指出:企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。

(二)内控与风控融合

企业风险管理的实质是控制风险,简称风控。风险控制的目标是力求把风险导致的各种不利后果减少到最低程度,使之正好符合企业在时间和质量上的要求,促进决策的科学化、合理化,减少决策的风险性。内控和风险控制的融合引发了人们的极大关注,只有内控和风险控制相融合,才能实现最佳效果,极大地推进内控的发展,提高企业决策水平。企业只有认真研究宏观经济的变化情况,掌握利率、汇率、出口退税率、行业增长等变化趋势,在筹资、投资、利润分配、资本运作等财务活动中对系统风险进行适度控制和科学决策,担保风险和经营风险才会降低。内控本质上是解决组织内部代理问题、实现组织目标的一种内部风险控制机制。

(三)信息技术的应用影响分析

2008年发布的《企业内部控制基本规范》(财会[2008]7号)有效整合了公司治理结构、内控与风险控制的关系,将三者归结为内部控制;将信息系统作为一项具体规范,体现出我国高度重视IT对企业内控的影响。信息技术极大地改变了企业经营管理战略、财务管理、作业与管理流程、人力资源政策,给企业内控带来了新的挑战。环境的开放为内控带来了较大风险,IT环境下企业要与网上的众多企业频繁进行的电子交易,企业与国家之间、企业与客户之间、企业与企业之间可以共享对方资源。企业的内控不再局限于企业内部,可以通过网络进入兄弟单位的系统,要实现有效的内控目标,使网上商务活动能够安全正常进行,就要将内控扩展到互联网范围。IT环境下内控的重点也在向网络安全、原始数据输入、人机交互处理的控制、信息的输出控制等方面转变。

二、文献述评

国内关于内控和风险预警的研究较多,但多为对国际流行的内控框架和预警模型的借鉴或复制,缺乏结合中国国情和适合国有企业特征的深入研究。冯浩、胡书君(2009)通过实地调研指出了国有企业推行内控的必要性,在实践中存在员工对内控认知程度低、实际执行力差、缺乏完善的评价体系等问题,针对性地提出了完善内控的内部监督与反馈机制、由多个专业中介机构共同完成内控的外部评价等建议;杨学华、文小亮(2011)从理论和实践两个角度分析了我国企业建立风险导向内控机制的必要性与可行性。建立内控与风险控制的长效机制,对于促进国有企业稳步发展,防止国有资产流失,具有积极的现实意义。李昕、郭凯明(2008)从产权角度对国有企业内控进行了分析,认为内控是一种补充契约,在企业内部形成有效的控制机制,可以保证企业的正常运作和发展,并从委托代理结构、预算软约束、政策性负担及监督机制等角度探讨了对国有产权制度内控的影响。谢静(2007)、孟红莺(2008)、张秀云(2009)等主要是对国有企业内控中存在的问题及对策进行了探讨。关于IT环境下国有企业内控与风险控制的融合优化,多参考国外经验,缺乏适合企业的深入研究。王海林(2008)提出IT环境下内控模式包括内控系统、工程实施体系、评价体系3个组成部分。刘梅玲、杨周南等(2012)参与YY集团内控建设,从信息化视角对内控缺陷的整改提出建议。

三、IT环境下,企业风险控制与内控机制转变,同时增加了内控风险

广东轻出作为广东省广新控股集团信息化的首批实施企业之一,自2009年实施业务财务一体化信息系统(简称“作业系统”),风险控制及内控机制发生了巨大转变,主要表现如下:

(一)管理体制集权化

作业系统实施前,各子公司自主经营,独立核算,拥有独立的用人权、经营权和财权。上级公司财务部与子公司双重管理财务人员。各子公司按《公司法》和章程进行经营和管理,只需参照执行上级公司的财务制度和会计制度。为了强化管理,实施作业系统,公司进行总动员,专门制定了信息化实施考核的奖惩办法,规定全部下属单位必须使用作业系统进行日常的经营和管理,一切经营活动必须通过系统进行,集权式管理得以强化。

(二)授权经营集中化

作业系统实施前,只有授权,跟踪管理时效性差,条块分割非常明显,信息汇总速度慢。系统实施后,上级公司依据投资比例,参照集团管理模式对控股公司进行授权,并下达指导性经营计划,依据《公司法》及章程,以实际经营成果进行利润分配。授权范围包括用人权、财权、物权等。

(三)监管机制立体化

强化监管机制,作业系统设置风险管理岗、监察审计岗、财务监督岗和外审岗,直接利用系统监管和查账,利于实时立体监管,提高工作效率,提升工作成果质量。执行业务检查的方式是由职能部门联合或单独进行,以作业系统的数据作为支撑,对下属单位的业务活动进行评价或控制。

(四)风险控制机制集成化

企业逐步重视风险管理,将风险管理小组提升为经营风险管理委员会,其职责是完成企业重大合同和重大经营风险事项的评价或对重大业务是否开展做出决策。将风险管理作为立足点,进行风险定向分析,识别和采取相应的应对策略。风险控制体系集成在作业系统内,作为判断参谋。

(五)财务体制集约化

对子公司、事业部财务经理实施集中管理,实行财务经理委派制,财务管理体制与公司管理体制一致化。财务人员部分集中管理,整合资源,发挥潜能,实行结算、核算、税务分工管理。财务人员集约化管理,利于确保国有资产的安全、完整、有效运转和保值增值任务顺利完成。

(六)作业系统一体化

作业系统实施前,财务业务两系统中的数据交换通过接口程序进行数据交换。财务人员穿梭于两个系统之间,业务人员则只需要使用业务系统,就可对每一笔业务的收支款项情况清楚了解。授权审批控制被分成一个个独立的小系统。作业系统实施后,很好地解决了数据处理的尴尬书面,查询、统计和监管非常方便。

(七)会计作业模块化

作业系统的实施,会计与业务的沟通更通畅,不必穿梭于业务系统、财务系统两系统之间。经过多年信息化,会计模块化的操作已基本定型。最主要的常用模块有三个:销售收款、采购付款和确认收入配比结转成本;次常用的模块有三个:费用报销、出口退税申报和实际收到出口税;报表系统和分析的模块主要有两大块:外部报告、内部报告。

增加的内控风险主要表现如下:一是环境开放问题突出,信息安全难于保障。网络信息遭遇“病毒”及“黑客”攻击的可能性增加,置身于开放的网络中就存在各种安全风险,因而很难保证信息的真实性与完整性。二是会计信息易于篡改,控制舞弊难度加大。存储在磁介质上的会计信息易于伪造和篡改,利用计算机进行贪污、舞弊等犯罪活动,难以发现。控制舞弊的程序复杂、难度加大。三是新增风险问题严峻,财务泄密难以制止。密码易泄露,被窃取或泄露的机会很大,将给企业带来巨大的安全隐患。一般人员破解管理员密码后,企业网络数据库内其他财务秘密尽收眼底。

四、IT环境下内控和风控建设要点

(一)优化风险管理,提高系统安全性

为增强对系统风险进行管控的意识,企业与全体员工签订信息保密协议;加大预防投入,建立企业会计信息风险库,一旦发生潜在风险,由系统自动识别、自动报警,降低企业发生错误和舞弊的风险;加强授权与制衡控制,通过健全预算与责任控制,促进企业经营管理目标的实现,达到控制和改善企业物流、资金流的效果,以及提高经营管理质量和确保系统安全的目的。为保证网络安全,企业实施一系列控制措施:比如运行专用的网管软件进行网络监控、采用专用内容过滤技术阻止各种恶意内容的入侵;限制来历不明的软件在系统主机上安装等;同时对硬件设备特别是关键设备进行定期检测,及时发现和解决问题。为防止软件被非法修改、删除,保证各模块软件正确安全的运转,主要是通过制定一套完整而严格的操作和维护规程来实现。操作规程包括操作的具体流程,各环节的主要分工和职责,注意事项、维护时间和维护程序等内容。

(二)优化控制环境,严密内控机制

为优化控制环境,准确预测未来风险,企业实施风险及时通报制度;IT环境下企业内控组织体系由原来的垂直型向扁平化方向发展,按照职能与产品划分相结合的矩阵组织结构,有利于企业资源的统一管理和共享;为提升风险控制效果,建立制衡机制与职责分工体制,强化在职培训投入和员工后续教育,打造学习型企业组织。内控机构发现内控制度缺陷对风险因素的失效制约,及时报告企业管理层,通过全面通报促进企业及时实施战略调整,采取应对风险的科学措施,例如控制损失、风险分离、转移风险方式等缓解与纠正企业内控缺陷及薄弱环节引发的不良后果,进而强化企业内控综合水平,实现控制环境的优化。

(三)优化监督管理,完善监督模式

强化外部审计,确保外部审计师及时跟踪企业的业务动态,及时发现并纠正内控中存在的问题;加强对企业内部作业系统和外部网络系统的定时审计,重点验证企业内部形成的明细信息的真实可靠性;完善激励约束机制,根据监督检查结果对相关责任人员进行科学的业绩评价,奖优罚劣,提高内部控制监督的效率。在提高内部财务监督人员和内审人员素质的基础上,强化系统的内部稽核,发现问题及时分析处理;结合全面风险管理,开展财务风险梳理,建立统一的财务稽核规则库和财务风险预警指标体系,通过系统的智能运算,寻找各类数据疑点,形成稽核结论;实施风险全过程多维监控,从而实现经营风险实时可控。

(四)优化业务流程,提升控制效果

建立“业务有流程、流程有标准、风险有控制”的流程控制体系,确保执行到位;开展在线稽核,增强风险控制的针对性和时效性;所有的生产经营活动都能实时反映到财务,使得企业对所有的业务活动都可以实时控制;管理层可以随时查询合同进度执行到哪里,合同款项是否已收回,每批甚至每件的成本是多少;随时查询库存有哪些东西,还有多少;依靠这些实时的信息可以迅速做出判断和决策。对某一控制点的内控措施可以同业务流程内其他的控制点串成线,同其他业务流程的控制系统连成面,同其他信息反馈系统连成立体控制;通过优化业务流程,提高控制效率、控制效果。

(五)保留纸质档案,记录经营全过程

鉴于电子档案的安全风险,日常经营依据作业系统进行判断,但是特别强调纸质资料的重要性。许多降低或化解风险的外部资料一般没有纳入作业系统,只在必要时才使用。企业档案管理、资料整理科学化,是严控风险的必要措施;强调保护企业核心利益,纸质档案是最可靠的证据;电子数据和电子档案是重要补充,必要时才作为主要证据。

摘要：信息技术极大地改变了企业经营管理战略、财务管理、作业与管理流程、人力资源政策,给企业内控带来了新的挑战。IT环境使风控和内控工作重点发生转变,本文对已有研究进行述评,并对广东轻出的信息化实践中会计内控和风控机制的建设进行分析和探讨,阐述建立会计内控和风控体系的优化对策。

关键词：内部控制,风险管理,IT环境,流程控制

参考文献

[1]朱茂琳.风险管理视角下的外贸出口企业内部控制建设[J].经济论坛,2009(,12):129-130.

[2]杨学华,文小亮.风险导向内部控制机制研究[J].中国注册会计师,2011(,05):101-103.

[3]肖冰.浅论ERP环境下强化内部控制的应对策略[J].中国总会计师,2012(,07):82-84.

[4]刘志远,刘洁.信息技术条件下的企业内部控制[J].会计研究,2001(,12):32-36.