當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普服務(wù)體系 > 泛普博客
IT角度解讀《企業(yè)內(nèi)部控制規(guī)范》
IT角度解讀《企業(yè)內(nèi)部控制規(guī)范》 1
告別了輝煌與沉重的2008,我們迎來了嶄新的2009。新的一年在中國的傳統(tǒng)農(nóng)歷里是“牛”年,雖然國際金融風(fēng)暴的影響在國內(nèi)日益顯現(xiàn),我們?nèi)韵嘈盼磥淼囊荒瓴簧僦袊髽I(yè)會抓住這次機(jī)遇真正牛起來。
新的一年很多法律法規(guī)即將實(shí)施,對國內(nèi)上市公司而言,《企業(yè)內(nèi)部控制基本規(guī)范》的實(shí)施將給不少企業(yè)帶來脫胎換骨的影響。2008年6月28日,財政部、證監(jiān)會、審計(jì)署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》(以下簡稱基本規(guī)范)?;疽?guī)范自2009年7月1日起先在上市公司范圍內(nèi)施行,鼓勵非上市的其他大中型企業(yè)執(zhí)行。這個被稱為“中國版SOX”的規(guī)范,被無數(shù)人寄予了期望,未來5年內(nèi),基本規(guī)范的實(shí)施將對中國的上市公司和大型企業(yè)的規(guī)范化運(yùn)作帶來實(shí)質(zhì)性推動。這是我國繼實(shí)施與國際接軌的企業(yè)會計(jì)準(zhǔn)則和審計(jì)準(zhǔn)則之后,在會計(jì)審計(jì)領(lǐng)域推出的又一與國際接軌的重大改革。這部規(guī)范的推出,意味著中國企業(yè)內(nèi)部控制規(guī)范體系建設(shè)正在向國際標(biāo)準(zhǔn)靠攏。
這套適用于中國企業(yè)的內(nèi)部控制體系,其基本規(guī)范借鑒了COSO報告五要素框架和風(fēng)險管理八要素框架;具體規(guī)范以財務(wù)報告內(nèi)部控制為主線,對與企業(yè)財務(wù)報表項(xiàng)目相關(guān)的、可能會對財務(wù)報告真實(shí)可靠性產(chǎn)生較大影響的經(jīng)濟(jì)業(yè)務(wù)事項(xiàng)以及與財務(wù)報表編報相關(guān)的業(yè)務(wù)活動提出具體的控制規(guī)范,并對為實(shí)現(xiàn)有效的財務(wù)報告內(nèi)部控制的事前、事中和事后制度支持提出控制要求。企業(yè)的內(nèi)部控制,應(yīng)該貫穿于企業(yè)經(jīng)營活動的決策、執(zhí)行和監(jiān)督的始終,涵蓋企業(yè)各種業(yè)務(wù)和事項(xiàng)。企業(yè)每一項(xiàng)經(jīng)營活動,從工作的效率性及風(fēng)險的控制性來講,都應(yīng)強(qiáng)調(diào)過程控制,包括宏觀上公司治理結(jié)構(gòu)的確立、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、人力資源政策、企業(yè)文化等,也包括微觀上企業(yè)股東會和董事會的決策程序,經(jīng)理層及員工的執(zhí)行程序和要求,監(jiān)事會、內(nèi)部審計(jì)委員會的監(jiān)督程序,員工獎勵計(jì)劃,以及違反公司內(nèi)部控制體系的罰則等等。
那么,對于企業(yè)內(nèi)部的IT建設(shè)與控制而言,企業(yè)內(nèi)部控制規(guī)范的實(shí)施會帶來怎樣的影響呢?CIO們?nèi)绾蜗到y(tǒng)考慮從企業(yè)IT的內(nèi)部控制建設(shè)來保障企業(yè)內(nèi)部控制。本文從IT內(nèi)部控制與IT風(fēng)險管理的角度,闡述企業(yè)IT控制與企業(yè)內(nèi)部控制之間的關(guān)系。
1992年,Treadway委員會的發(fā)起組織委員會(the Committee of Sponsoring Organizations of the Treadway Commission)發(fā)布了《內(nèi)部控制——整合框架》,2004年,該委員會又發(fā)布了《企業(yè)風(fēng)險管理—整合框架》,在該框架附件C中明確:內(nèi)部控制被涵蓋在企業(yè)風(fēng)險管理之內(nèi),是其不可分割的一部分。無論是COSO框架,還是中國自己的企業(yè)內(nèi)部控制規(guī)范,其基本控制目標(biāo)無外乎防范風(fēng)險、控制舞弊以及確保財務(wù)報告的真實(shí)可靠?,F(xiàn)在大部分上市公司和大型企業(yè),其企業(yè)運(yùn)營已基本依賴于企業(yè)的各種信息系統(tǒng),已經(jīng)基本完成了企業(yè)信息化的初步建設(shè),因此企業(yè)的內(nèi)部控制就離不開企業(yè)IT的控制。
企業(yè)內(nèi)部控制規(guī)范與IT內(nèi)部控制的關(guān)系
企業(yè)內(nèi)部控制基本規(guī)范包含的五要素框架:
(一)內(nèi)部環(huán)境。內(nèi)部環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱,是實(shí)施內(nèi)部控制的基礎(chǔ)。內(nèi)部環(huán)境主要包括治理結(jié)構(gòu)、組織機(jī)構(gòu)設(shè)置與權(quán)責(zé)分配、企業(yè)文化、人力資源政策、內(nèi)部審計(jì)機(jī)構(gòu)設(shè)置、反舞弊機(jī)制等。
(二)風(fēng)險評估。風(fēng)險評估是及時識別、科學(xué)分析和評價影響企業(yè)內(nèi)部控制目標(biāo)實(shí)現(xiàn)的各種不確定因素并采取應(yīng)對策略的過程,是實(shí)施內(nèi)部控制的重要環(huán)節(jié)。風(fēng)險評估主要包括目標(biāo)設(shè)定、風(fēng)險識別、風(fēng)險分析和風(fēng)險應(yīng)對。
(三)控制措施??刂拼胧┦歉鶕?jù)風(fēng)險評估結(jié)果、結(jié)合風(fēng)險應(yīng)對策略所采取的確保企業(yè)內(nèi)部控制目標(biāo)得以實(shí)現(xiàn)的方法和手段,是實(shí)施內(nèi)部控制的具體方式??刂拼胧┙Y(jié)合企業(yè)具體業(yè)務(wù)和事項(xiàng)的特點(diǎn)與要求制定,主要包括職責(zé)分工控制、授權(quán)控制、審核批準(zhǔn)控制、預(yù)算控制、財產(chǎn)保護(hù)控制、會計(jì)系統(tǒng)控制、內(nèi)部報告控制、經(jīng)濟(jì)活動分析控制、績效考評控制、信息技術(shù)控制等。
(四)信息與溝通。信息與溝通是及時、準(zhǔn)確、完整地收集與企業(yè)經(jīng)營管理相關(guān)的各種信息,并使這些信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級之間進(jìn)行及時傳遞、有效溝通和正確應(yīng)用的過程,是實(shí)施內(nèi)部控制的重要條件。信息與溝通主要包括信息的收集機(jī)制及在企業(yè)內(nèi)部和與企業(yè)外部有關(guān)方面的溝通機(jī)制等。
(五)監(jiān)督檢查。監(jiān)督檢查是企業(yè)對其內(nèi)部控制的健全性、合理性和有效性進(jìn)行監(jiān)督檢查與評估,形成書面報告并作出相應(yīng)處理的過程,是實(shí)施內(nèi)部控制的重要保證。監(jiān)督檢查主要包括對建立并執(zhí)行內(nèi)部控制的整體情況進(jìn)行持續(xù)性監(jiān)督檢查,對內(nèi)部控制的某一方面或者某些方面進(jìn)行專項(xiàng)監(jiān)督檢查,以及提交相應(yīng)的檢查報告、提出有針對性的改進(jìn)措施等。企業(yè)內(nèi)部控制自我評估是內(nèi)部控制監(jiān)督檢查的一項(xiàng)重要內(nèi)容。
相應(yīng),IT內(nèi)部控制框架也應(yīng)對應(yīng)于企業(yè)內(nèi)部控制的五要素框架:
(一)IT內(nèi)部控制環(huán)境。內(nèi)部環(huán)境在企業(yè)IT領(lǐng)域的體現(xiàn)是IT的內(nèi)部控制環(huán)境,同樣IT內(nèi)部控制環(huán)境是實(shí)施IT內(nèi)部控制的基礎(chǔ)。主要包括IT治理架構(gòu)、IT組織與職責(zé),IT決策機(jī)制,IT合規(guī)與IT審計(jì)等。
(二)IT風(fēng)險評估。企業(yè)信息化帶來的IT風(fēng)險已經(jīng)成為企業(yè)風(fēng)險管理的主要方面。風(fēng)險評估主要包括目標(biāo)設(shè)定、風(fēng)險識別、風(fēng)險分析和風(fēng)險應(yīng)對。IT目標(biāo)設(shè)定可以理解為IT戰(zhàn)略與IT規(guī)劃,IT風(fēng)險識別與分析應(yīng)對包括對信息資產(chǎn)的風(fēng)險、IT流程的風(fēng)險以及應(yīng)用系統(tǒng)的風(fēng)險識別分析與應(yīng)對。
(三)IT控制措施。針對風(fēng)險評估的結(jié)果,在IT方面需要實(shí)施具體的IT控制措施,包括IT技術(shù)類控制措施,如防火墻、防病毒、入侵檢測、身份管理、權(quán)限管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發(fā)管理、項(xiàng)目管理、變更管理、安全管理、運(yùn)營管理、職責(zé)分離,授權(quán)審批等。
(四)信息與溝通。在IT領(lǐng)域也需要明確具體的IT管理制度和溝通機(jī)制,建立服務(wù)臺與事件管理程序,及時傳達(dá)企業(yè)內(nèi)部層級之間和與企業(yè)外部相關(guān)的信息。
(五)監(jiān)督檢查。需要建立IT內(nèi)部控制體系的審核機(jī)制,評價IT控制的有效性。通過IT技術(shù)手段如日志、監(jiān)控系統(tǒng)、綜合分析平臺等,和管理手段如內(nèi)部IT審核、管理評審、專項(xiàng)檢查等措施,不斷改進(jìn)企業(yè)的IT內(nèi)部控制。
綜合分析IT內(nèi)部控制的組件,我們可以將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構(gòu),完善IT組織與職責(zé),制定IT決策機(jī)制,實(shí)行IT人員績效考核,加強(qiáng)IT合規(guī)與IT審計(jì)。
(二)流程與應(yīng)用層控制。分析企業(yè)業(yè)務(wù)流程與活動,在企業(yè)業(yè)務(wù)流程、應(yīng)用系統(tǒng)層面與通用IT流程層面建立控制,重點(diǎn)關(guān)注與財務(wù)報表相關(guān)的各種業(yè)務(wù)與應(yīng)用系統(tǒng)的技術(shù)控制與流程控制。
(三)資源層控制。針對企業(yè)業(yè)務(wù)運(yùn)作所依賴的各類信息資產(chǎn)和IT資源,分析具體每個資源點(diǎn)的風(fēng)險,建立風(fēng)險控制措施。
IT內(nèi)部控制實(shí)施思路
企業(yè)內(nèi)部控制規(guī)范并沒有對IT控制的目標(biāo)和相關(guān)的控制活動做出明確的規(guī)定。國外上市公司會計(jì)監(jiān)管委員會在審計(jì)準(zhǔn)則中提及COSO內(nèi)控框架可以作為評估內(nèi)控的標(biāo)準(zhǔn),但是COSO并沒有提供IT 控制方面的詳細(xì)控制目標(biāo)和控制方法,從而進(jìn)行IT治理。直到 COBIT(直譯為信息及相關(guān)技術(shù)的控制目標(biāo))被提出來以后,IT 治理才有了一個開放性的標(biāo)準(zhǔn),目前其已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的信息安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不僅可以指導(dǎo)企業(yè)有效地利用信息資源,而且可以指導(dǎo)企業(yè)有效地控制與信息相關(guān)的風(fēng)險。所以建設(shè)和完善IT內(nèi)部控制體系的指導(dǎo)框架必須同時結(jié)合企業(yè)內(nèi)控框架和COBIT標(biāo)準(zhǔn)。
我們建議國內(nèi)企業(yè)采用企業(yè)內(nèi)部控制規(guī)范作為內(nèi)控評估標(biāo)準(zhǔn),結(jié)合國際上普遍采用COBIT框架作為IT 控制的標(biāo)準(zhǔn),將COBIT的相關(guān)IT控制目標(biāo)與COSO五個要素關(guān)聯(lián)起來,設(shè)計(jì)符合規(guī)范要求的IT內(nèi)部控制體系。COBIT是一個很豐富IT內(nèi)控框架,包括四個域、34個IT控制流程和318個詳細(xì)的控制目標(biāo),是一個相當(dāng)全面的信息系統(tǒng)內(nèi)控框架體系。對于想遵循內(nèi)部控制規(guī)范的企業(yè)來說,該體系所提供的控制目標(biāo)和考慮一般會超過其需求。
建議首先需要對IT相關(guān)的風(fēng)險進(jìn)行評估,建立IT控制矩陣,以COBIT為參照依據(jù),選取其中適合本身業(yè)務(wù)特點(diǎn)、復(fù)雜性和需求的控制流程和控制目標(biāo)為對象,建立IT內(nèi)部控制框架,作為后續(xù)制定控制文檔體系和測試的基礎(chǔ)。同時,在具體控制措施上可融合ISO27001(信息安全管理體系)、ISO20000(IT服務(wù)管理體系)、Prince2(IT項(xiàng)目管理)、CMMI(軟件開發(fā)過程控制)等具體控制框架,分階段分步驟的實(shí)施。
另外一般企業(yè)或多或少已經(jīng)建立了一些具體的IT控制措施,在建立IT內(nèi)部控制體系時要充分考慮并整合企業(yè)原有的控制措施。針對每個風(fēng)險點(diǎn)建立控制措施,逐步從技術(shù)和管理兩方面落實(shí)具體措施,并建立體系化運(yùn)作與審核辦法。
- 1一架小型無人機(jī)闖入白宮 特工處展開調(diào)查
- 2泛普軟件thinkone辦公系統(tǒng)(專業(yè)版),來建立一個集成的、可擴(kuò)展的一體化辦公平臺
- 3OA辦公軟件系統(tǒng)的公司,我們倡導(dǎo)的是協(xié)同先進(jìn)的理念
- 4好的網(wǎng)管軟件如何解決IT運(yùn)維管理難題?
- 5從章魚帝談到思維定勢
- 6上海公布“12·31”外灘擁擠踩踏事件調(diào)查報告
- 7ERP系統(tǒng)中如何控制委外加工管理
- 8網(wǎng)絡(luò)管員知識要點(diǎn)總結(jié)
- 9適用才是王道 淺議企業(yè)如何合理選擇CRM軟件
- 10分析影響項(xiàng)目實(shí)施的十大關(guān)鍵因素
- 11轉(zhuǎn)彎的流程:流程改進(jìn)的妥協(xié)的思考
- 12如何運(yùn)用集成化CRM進(jìn)行客戶分析
- 13淘寶報案控告阿里黑 杭州警方跨省調(diào)查引關(guān)注
- 14泛普科技的OA辦公系統(tǒng),成熟強(qiáng)大的功能
- 15OA辦公系統(tǒng)的使用是多用戶和多部門的全員行為
- 16如何實(shí)現(xiàn)創(chuàng)業(yè)成功的夢想?
- 17調(diào)查顯示:我國兒童安全座椅使用率較低
- 18及時向你的CRM系統(tǒng)中錄入最新發(fā)生的客戶活動數(shù)據(jù)
- 19OA系統(tǒng)實(shí)施,我們最應(yīng)該關(guān)注的就是效用和成本
- 20調(diào)查顯示超99%球迷希望曼聯(lián)續(xù)約德赫亞
- 21農(nóng)村市場大反攻
- 22網(wǎng)絡(luò)管理維護(hù)技巧 雙線雙路網(wǎng)絡(luò)路由該如何設(shè)置
- 23品牌營銷:如何開展?fàn)I銷策劃工作
- 24如何用好OA,讓他幫助企業(yè)管理水平提升?
- 25全程圖形化工作流的能力在OA業(yè)內(nèi)首屈一指
- 26[連鎖管理軟件]百貨連鎖的嘗試
- 27泛普軟件舉例高校圖書館OA資源開發(fā)利用的現(xiàn)狀
- 28CRM項(xiàng)目中財務(wù)分析及成效管理研究
- 29有了CRM你的客戶還在排隊(duì)嗎?
- 30企業(yè)管理:走好自己的路讓別人說吧
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓