企业IT内部控制实施方法_企业内部控制10方法
企业IT内部控制实施方法由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“企业内部控制10方法”。
企业IT内部控制实施方法
一、IT内控的产生
二十世纪九十年代以来,信息技术得到了快速的发展和广泛的应用,信息化已成为全球经济社会发展的显著特征,并逐步向一场全方位的社会变革演进,IT作为一种重要的生产资料、无形资产和社会财富己深入到各行各业,并日益发展成为企业核心要素。目前,IT发展重点己从注重对行业和企业的覆盖,注重硬件产品的配备,逐步过渡到强调整合和开发利用信息资源,提高应用水平和服务质量,使组织的价值最大化。这是机会与风险并存的阶段,许多之前还没有涉及的深层次问题都会一一暴露出来,美国的安然、世通的倒闭,我国部分公司爆出的财务丑闻,都直指内部控制,而IT内控作为整体内部控制的核心之一,对于监督管理企业整个内控系统的具有重要的意义,同时作为企业内控真正实现的重要手段将成为未来内控领域发展的方向。
二、IT内控的意义
IT内控对于企业的意义在于,其实现了企业战略目标与IT管理目标之间的桥梁作用,并达到以下几方面的效果:
1、IT内控考虑了企业自身的战略规划,通过对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,最终实现IT控制与企业自身战略的一致性。
2、IT在为企业战略提供了基于技术的解决方案同时,也带来了风险,所以,如何通过构建IT内控来规避相关风险,是企业管理目标实现的重要保障,也是日常业务经营安全性、可靠性和有效性的有利支持。
3、通过IT内控的绩效管理,可以使企业在财务、客户、过程、学习等方面保持平稳发展。而通过关键衡量指标评价企业目标的实现情况进行衡量可以确保IT的绩效以及IT战略目标的调整,确保正常持续的IT管理。
4、IT内控的风险评估体系,可以帮助企业正确分析风险及规避风险,减少控制缺陷带来的损失,并利用最佳业务实践构建同行业中较高的水平IT管理。
对于企业,通过构建IT内控体系,建立IT控制机制,提高IT治理水平,同时引入合规性的控制要求,在满足各项法律法规对IT 控制的要求的同时,实现企业战略与IT战略的互动。
三、内控治理框架简介
1、COSO框架
COSO框架是COSO委员会(Committee of Sponsoring Organization of the Treadway Committee,美国虚假财务报告全国委员会的发起组织委员会)首先提出的,作为专门研究内部控制问题的组织,于1992年9月,《内部控制——整体框架》(1994年进行了增补),即COSO内部控制框架。该框架为企业整体内控提出相关的遵循依据和规范指南,如图1所示:
图1:COSO框架
COSO框架通过内部环境、风险评估、控制活动、信息沟通、内部监督五个控制要素对企业整体内控的规范提出一个框架性的指导意见,并在其中对IT控制的重要性进行了阐述,为IT内控的实施提供了一定的依据。但企业在实际IT内控实施中需要更为具体的IT控制理论模型来帮助确定、记录和评估IT控制活动,而COSO框架无法提供相关的目标和要求,使得很多企业都转向了专注于IT领域的另一治理框架——COBIT。
2、COBIT治理框架
COBIT作为国际公认较合理的较开放的IT控制框架,为大多数公司提供了企业层次和事务层次的目标和关联控制,公司可以采用其构建IT内控体系来满足合规、高效的管理需求。COBIT全称是信息及相关技术的控制目标(Control Objectives for Information and related Technology)。COBIT是将IT流程、IT资源与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。其架构如图2所示:
图2:COBIT管理框架
COBIT通过4个管理域34个控制过程,218个控制活动从IT资源、信息及流程方面规范了IT的控制活动,并提供了大量的应用工具和操作指南。因此,企业要建立合规的IT内部控制,必须要先打造一个以COBIT为核心的合规IT内控体系。其包括的4个管理域是框架的核心,主要包括:
⑴规划和组织控制域
主要关心如何使IT在实现公司目标中发挥更大的作用。然后对IT战略远景的实现进行规划、交流和管理。最终,搭建适当的组织结构和技术架构。
⑵获取和实施控制域
为了实现IT战略,必须寻找、开发和获取IT解决方案,同时实施IT方案并将其结合到业务流程中去。此外,对现有系统进行变更和维护,保证系统生命周期的连续性。⑶交付与支持控制域。
该领域主要涉及实际交付所需要的服务,范围包括附加的安全服务和连续的培训。为了交付服务,必须建立必要的支持程序。该领域还包括应用程序对数据的处理,这通常被归类为应用程序控制。
⑷监控与优化控制域。
定期对所有的IT程序进行评估以确保他们的运行性能符合控制的要求。该领域强调管理层对公司控制程序以及内部和外部审计师提供的独立保证进行考察。
四、企业IT内部控制实施方法论
企业的IT内控实施方法论整合了相关咨询业务沉淀,一方面能够帮助企业顾问有效地掌控项目、规范项目实施工作,保障项目实施的质量和进度。另一方面可使客户分享企业的项目实施经验,提高IT内部控制水平,低成本高效率的实现合规的管控目标。企业IT内控实施方法论的核心框架由三个组件构成,包括一个集中的项目方法框架、一个单一集成的平台、一套可反复使用的知识资产。项目实施管理由战略(Strategy)、设计(Design)、构建(Bulid)、部署(Deploy)、运作(Operation)五个层面组成。如下图所示:
图3:企业IT内控实施方法论
如下图所示,企业将项目实施划分为四个阶段、六个步骤进行:
图4:企业IT内控项目实施阶段及步骤
1、现状调研、需求分析
本阶段首先要明确IT内控项目实施范围,通过访谈和调查问卷形式对企业整体IT状况进行了解,从全局角度去考虑、分析、规划需要控制范围和要点。在明确项目范围的基础上,识别IT系统中重点控制流程和制度设计情况。对照《企业基本控制规范》对于IT 控制的要求及企业IT管理目标进行差距分析,确定存在的潜在风险及解决成本,以达到合理有效的解决IT内控风险及合规要求问题。
在本阶段,企业将以COBIT框架为基础来搭建IT内控框架,从组织与计划、获取与实施、交付与支持、监控与优化四个控制域来进行框架的构建和信息的收集。信息收集涉及IT系统应用的各部门管理机构,收集的包括制度、文档、表单、操作说明等。并根
据访谈和调研的结果对收集信息进行分类整理,归入设计好的框架中,并与相关标准进行比对分析。
2、流程梳理、制度审阅
本阶段将在需求调研的基础上分业务流程及运维流程两个层面,结合企业整体发展规划和《企业基本控制规范》要求进行流程梳理。并在前期信息收集的工作上对制度进行审阅,在保证企业经营管理实际需要前提下,充分考虑外部监管要求,力争完整、准确地识别各IT管理流程和相关管理制度。
企业将从系统故障处理过程、实施交付风险控制过程、生产系统风险控制过程、业务价值链服务、传递过程、IT系统的的持续自我改进过程几个方面对IT管控流程进行梳理,并用流程图进行体现,对应到构建的IT内控框架,以便后续进行风险评估。同时针对企业现在的制度文档、表单等进行审阅,确定其适用性和合规性,并明确需要新建立和修改的制度和相关文档,以满足未来企业管理需要。
3、风险分析、风险评估
风险分析和评估可使企业更加清晰地认识到IT的风险和意外的发生将如何限制业务目标的达成,其目的是要辨别IT合规性的潜藏内在风险与残存风险。当在IT内控碰到很多风险时,通常的做法是要把可能的风险划分优先级,对于优先级高的风险要给以更多的关注,通过流程的梳理,找到风险并进行评估,以确定风险的控制手段。
在本阶段,企业将通过对梳理后的IT流程对照相关合规标准和COBIT控制要求从制度的制定和执行两个层面进行分析,确定其成熟度级别,找出与控制目标的差距,并针对差距确定风险水平。在风险评估工作中,企业将从流程和资产两方面进行评估,以《企业基本控制规范》为准绳对这两方面进行评估,针对薄弱环节提出控制要求,并明确在哪项制度中体现。最后形成风险控制矩阵,以示风险分析、评估阶段的结束。
4、内控整改、宣贯培训
当明确IT风险后,需要对现有的IT管理进行制度上的完善,从文档上确保IT内控体系的实现并讨论提出整改方案。为确保各项控制要求能够切实落地,还要辅以宣传、培训等形式,使IT内控被企业大多数员工认识到、真正掌握并遵守。
针对制度的完善,企业将采用内控制度体系的方法,从结构上规范企业IT内控管理,利用体系文档保证内控的可执行性和可参考性,在制度中明确相关责任单元,并通过绩效考核确保制度的有效执行。对于需要改进的工作明确资源,责任单元等,整改方案可使之明确落实。最后通过员工培训,使更多应用、接触IT系统的相关人员了解体系,并严格遵照执行。
5、运行反馈、跟踪记录
由于在IT内控构建过程中,很多东西都是未知的,唯有通过试运行才能有效的控制。所以企业建议企业通过实际运行该内控体系,督导执行,在运行中找到问题,并逐步完善。
在本阶段,企业应严格依据制定好的相关控制要求执行各项日常IT业务操作,各控制点应有专人负责记录。在试运行阶段,企业也将对运行工作进行调查,了解问题和反
馈意见,并跟踪记录,与相关人员讨论解决问题,协助体系运行工作。
6、执行测试、控制完善
IT内控构建是否有效要通过检测来确定。对于IT系统,测试是IT内控合规性实现最关键的一步,需要根据企业IT管理特点和业务需求设计不同的测试方法来进行测试,特别是对于IT制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等进行测试,以确保IT内控设计和执行的有效性。同时,还需要建立PDCA循环实现IT内控的自我更新,最终实现企业IT内控的预期目标。如下图所示:
图5:PDCA循环
在本阶段,企业将根据企业实际情况制定相关的测试文档,并编制测试计划,确定测试样本,跟踪测试记录,汇总测试文档。根据测试结果,与企业进行沟通确认,找到测试中发现的问题,并讨论解决方案,明确责任人,确保内控风险点全部覆盖到企业日常IT内控管理,从而达到合规的要求。最后,要通过建立内控体系的自我完善机制,使体系可以自我更新,根据内外部的要求不断修正、完善。
企业认为,IT内控是一个新的领域和发展方向。IT内控作为企业内部控制的有机组成部分,对企业竞争力和经济效益的影响越来越大。IT治理结构的完善是公司治理结构的关键部分,要求企业内部建立相互制衡、相互监督的IT治理机制,通过IT内控体系建设,加强IT管理、提高IT效率、降低IT风险,从而提高整个企业内部控制活动的效率和效力,降低遵从成本。
对于中国的大部分企业而言,IT内控建设处于起步阶段,应立足于长远发展目标,分阶段分步骤地逐步实现,对于与财务报告等信息披露要求关联较大的控制可先行实施。在达到合规性要求后再逐步优化完善,通过吸纳国际先进标准理念(如COSO和COBIT)构建完整的IT治理体系,最终实现企业各项管理的规范化、系统化,提高企业运行效率和效益,提高企业整体管理水平与核心竞争力。
内部控制实施职责政协办公室主要职责:1、负责政协定远县委员会全体会议、常务委员会会议、党组会议、主席会议及有关政协工作会议的会务工作和文字材料工作。2、负责向上级政......
引言授课讲师--熊英本章课时:43分钟内部环境 风险评估 控制活动 信息与沟通 内部监督第10号—研究与开发授课讲师--熊英本章课时:86分钟研究与开发概述 研究与开发业务流程 立......
企业货币资金内部控制作者:刘飞[摘要] 伴随中国的企业制度转型变革不断推进,新的大型企业集团日益增多,生产社会化现象越发明显,强化对于企业自身之管理变得尤为关键,有着巨大意......
内部控制的一般方法内部控制的一般方法通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评......
银行内部控制规范实施工作方案银行内部控制规范实施工作方案一、基本情况介绍1、公司基本情况中国光大银行股份有限公司,简称为“中国光大银行”、“光大银行”(以下称“本行......
