《《精编》试论信息技术环境下的内部审计》由会员分享,可在线阅读,更多相关《《精编》试论信息技术环境下的内部审计(87页珍藏版)》请在金锄头文库上搜索。
1、 信息技术环境下内部审计 内部审计与信息系统审计 信息系统审计是与内部审计紧密结合的 最早的计算机审计来源于内部审计 一 信息系统审计的起源与发展 1 1国外 八十年代 九十年代信息技术的进一步发展与普及 使得企业越来越依赖信息及信息系统 人们开始更多的关注信息系统的安全性 保密性 完整性及其实现企业目标的效率 效果 真正意义的信息系统风险评估与审计出现 1 信息系统审计的起源与发展 1 1国外 信息系统审计与控制协会ISACA总部设在美国芝加哥 目前该组织在世界上100多个国家设有160多个分会 现有会员两万多人 它是从事信息系统审计的专业人员唯一的国际性组织 1 信息系统审计的起源与发展
2、1 1国外 CISA是信息系统审计领域的唯一职业资格ISACA每年举办CISA资格考试 通过考试的人员可以申请CISA资格 符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格 CISA资格在世界各国都被广泛的认可 国内获得此资格的有三百多人 1 信息系统审计的起源与发展 1 2国内 1994年2月 我国颁布了 中华人民共和国计算机信息系统安全保护条例 提出了计算机信息系统实行安全等级保护的要求 安全等级保护的总体目标是确保信息安全和计算机信息系统安全正常运行 保障 信息的完整性 可用性 保密性 抗抵赖性 可控性等 其中完整性 可用性 保密性为基本安全特性要求 1 信息系统审
3、计的起源与发展 1 2国内 1994年2月 我国颁布了 中华人民共和国计算机信息系统安全保护条例 提出信息的完整性 可用性 保密性 抗抵赖性 可控性等要求 1999年2月9日 我国正式成立了中国国家信息安全测评认证中心 2002年4月15日全国信息安全标准化技术委员会 简称信息安全标委会 TC260 2005年12月16日国家网络与信息安全协调小组正式通过了 信息安全风险评估指南 管理计划与IS的组织 信息资产的保护 灾难备份与业务持续计划 技术基础与操作实务 业务应用系统的开发取得实施与维护 业务过程评价与风险管理 2 信息系统审计的内容 3 信息系统审计与内部控制 4 信息系统审计的标准与
4、依据 计算机系统安全评估标准 TCSEC 由美国国防部于1985年公布的 是计算机系统信息安全评估的第一个正式标准 它把计算机系统的安全分为4类 7个级别 对用户登录 授权管理 访问控制 审计跟踪 隐蔽通道分析 可信通道建立 安全检测 生命周期保障 文档写作 用户指南等内容提出了规范性要求 4 信息系统审计的标准与依据 信息技术安全评价的通用标准 CC 由六个国家 美 加 英 法 德 荷 于1996年联合提出的 并逐渐形成国际标准ISO15408 该标准定义了评价信息技术产品和系统安全性的基本准则 CC标准是第一个信息技术安全评价国际标准 它的发布对信息安全具有重要意义 是信息技术安全评价标准
5、以及信息安全技术发展的一个重要里程碑 4 信息系统审计的标准与依据 ISO13335标准首次给出了关于IT安全的保密性 完整性 可用性 审计性 认证性 可靠性6个方面含义 并提出了以风险为核心的安全模型 企业的资产面临很多威胁 包括来自内部的威胁和来自外部的威胁 利用信息系统存在的各种漏洞 如 物理环境 网络服务 主机系统 应用系统 相关人员 安全策略等 对信息系统进行渗透和攻击 4 信息系统审计的标准与依据 信息系统和技术控制目标 COBIT 是IT治理的一个开放性标准 目前已成为国际上公认的最先进 最权威的安全与信息技术管理和控制的标准 该标准为IT的治理 安全与控制提供了一个一般适用的公
6、认的标准 以辅助管理层进行IT治理 该标准体系已在世界一百多个国家的重要组织与企业中运用 指导这些组织有效利用信息资源 有效地管理与信息相关的风险 4 信息系统审计的标准与依据 4 信息系统审计的标准与依据 4 信息系统审计的标准与依据 5 信息系统审计的过程 审计计划和检查 检查被审计单位的IT政策 实务及组织结构 检查一般控制和应用控制的情况 计划控制测试和实质性测试的程序 5 信息系统审计的过程 控制测试 实施控制测试 评价测试结果 确定对控制的依赖程度 5 信息系统审计的过程 实质测试 实施实质性测试 评价测试结果并签发审计报告 审计报告 6 信息系统审计的技术 内部审计与IT治理 内
7、部审计方法 IT治理 IT治理是信息系统审计和控制领域中一个相当新的概念IT治理其定义汇集了以下3中观点 Roberts Roussey认为 IT治理用于扫描被委托治理实体的人员在监督 检查 控制和指导实体的过程中如何看待信息技术 IT的引用对于组织能否达到他的远景 使命 战略目标至关重要 德勤定义如下 IT治理是一个含义广泛的概率 包括信息系统 技术 通讯 商业 所有利益相关者 合法性和其他问题 国际信息系统审计与控制协会 ISACA 定义如下 IT治理是一个由关系和过程所构成的体制 用于知道如何控制企业 通过平衡信息技术与过程的风险 增加价值来确保实现企业的目标 IT中国治理研究中心在综合
8、研究的基础上提出如下定义 IT治理用于描述企业或征服是否采用有效的机制 使得IT引用能完成组织赋予的使命 同时平衡信息技术与过程的风险 确保实现组织的战略目标 公司治理和IT治理 公司治理是一个设计公司的管理层 董事会 股东和其他利益相关者之间的一整套关系体系 是在所有权和经营权分离条件下 为解决所有者和经营者因委托代理关系所产生的利益不一致 二建立起来的互相制衡机制 从而减低管理风险 实现组织目标 IT治理关键因素是使IT与业务融合 以实现组织的业务价值 IT治理框架由一系列结构 流程和相关机制组成 IT战略委员会 风险管理和标准IT平衡记分卡 作为公司治理的一个重要组成部分 IT治理包含了
9、确定企业如何应用IT的一系列问题 因此 在整个企业治理中 评价IT治理成为越来越重要的内容 IT治理与内部审计 内部审计是一种独立 客观的保证 是为了机构增加价值并提高机构的运行效率 它采用系统化 规范化的方法评价风险管理 控制及治理过程并提高其效率 从而帮助实现组织目标 关于内部审计在IT治理过程中的职责 美国的 萨班斯 奥克斯莱法 有明确规定 在美国上市公司内部审计师应帮助管理层对公司IT应用控制和IT一般性控制进行评估并出具报告 IT治理标准 一个有效的IT治理架构需要理解组织的核心竞争力 并且在商业目标 治理原型 业务绩效目标之间维持平衡 进而提出IT治理框架 指定决策以及如何在关键的
10、信息技术领域去确定 企业风险管理的必要性 案例一 美国安然公司 Enron 在2002年 安然是美国最大的石油和天然气企业之一2001年末 安然宣布第三季度录得6 4亿美元的亏损 美国证监会对该公司进行调查 发现该公司在1997以来虚报利润5 8亿美元2001年末 安然申请破产保护令 但在之前10个月内 公司却因股票价格超越预期目标而向董事及高级管理人员发放3 2亿美元的红利 调查发现 安然的董事会及审计委员会均采取不干预 hands off 监控政策事件发生之后 部分董事表示不太了解安然的财务状况 期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度 企业风险管
11、理框架 什么是风险管理 企业风险管理是一套由企业董事会与管理层共同设立 和与企业战略相结合的管理流程 它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平 从而帮助企业达至它的目标 美国内控研究委员会 企业为何要建立风险管理 因为企业的股东与管理层常常要面对一些令他们寝食难安的问题 因此 企业需要系统化地建立一套风险管理体制 从而识别影响企业盈利的关键因素 并对那些会影响企业达标的风险进行监控及管理 股东对企业风险管理最关心的四个问题 企业知道它所面对的主要风险吗 例如 什么风险正在或将会影响企业的业务 企业的品牌新产品 新市场的开发战略联盟客户或供应链的管理 理
12、想的情况 企业能开发一套标准的 共通的风险语言 从而识别企业所面对的风险 并就其严重的程度进行排序 共通的风险语言亦有利于企业上下层就风险的管理进行沟通 企业是否已对这些风险设置内部控制 企业需要就各业务单位在日常运作中所面对的风险 战略性风险 业务性风险 流程性风险 构建内部控制 包括预防性控制及觉察性控制 以确保企业能实现目标和符合各方面的法律 法规 理想的情况 企业就其所面对的风险和采取的内控 编制一套完整的文档 并借鉴国际最佳的实务不断进行检讨 企业的内部控制有效吗 企业要对其内控系统不间断地进行监控和测试 以确保其对风险控制的能力 理想的情况 企业把各类风险控制在可接受的水平 并在这
13、基准上赚取合理的回报 哪一些内部控制必须改进 企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施 理想的情况 企业能建立一套具前瞻性的信息管理系统和预警系统 使企业能及时识别新生的风险 并对相关的业务计划 政策和程序进行修正 企业风险管理框架 一个基础三道防线 风险管理总目标 一 全面风险管理的目标 38 公司治理与风险管理有什么关系 公司治理是风险管理的一个必要的组成部份 因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则 美国 纽约证交所最佳治理守则英国 Cadbury HampelReport TheCombinedCode加拿大 DeyR
14、eportOECDReport这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任 如何构建一个有利风险管理的公司治理结构 建立一个健全的 以董事会为首的公司治理结构订立企业的目标和战略 包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观 第一道防线 业务单位防线 业务单位包含了企业大部分的资产和业务 它们在日常工作中面对各类的风险 是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中 才能建立好防范风险的第一道防线 如何建立第一道防线了解企业战略目标及可能影响企业达标的风险识别风险类别对相关风险作出评估决定转移 避免或减低风险的策略计设及实施风险策略的相
15、关内部控制 风险宇宙TM 资信 制度 知识产权 财务 流动资产与信贷 资本结构 市场 财务报告 营运 法律 生产程序 营商环境 市场结构 民风与文化 管治 策略 董事会活动 交易 并购 变卖 声誉 道德 社区责任 风险管理 董事会及管理层业绩 组织结构 监察与沟通 执行 筹划与开发 利益有关方 供应商 政府 顾客 股东 经济情况 国家情况 市场变化 竞争对手 人才资源 雇员 沟通 有形资产 机器 厂房与土地 其他有形资产 负债 合约 法规 市场与销售 生产及流通 商品 服务开发 流程 估值与选择买家 评估与甄选 尽职调查 并购后整合 资信管理 运营 组织与监察 硬件 软件 网络 无形资产 知识
16、管理 信息 现金管理 对冲 融资 股东资本 债务 商品 利率 外汇 税务 会计 合规 风险宇宙 战略性风险是指公司因作出战略性错误的决定而导致经济上的损失战略性风险是业务单位 高级管理层和董事会的共同责任常见的战略性风险包括 企业的目标与方针市场潜在的威胁业务的范围 深度与广度 品牌及形象的建立 战略性风险 与战略性伙伴的合作投资和融资的策略员工的素质和雇员关系企业的信息及监控系统 市场风险是指因市场价格或利率波动而使公司产生经济损失的风险构成市场风险的三大因素 因买卖或投资金融产品而产生的风险因资产与负债错配 或原材料与产成品价格不能同步浮动而产生的风险资金流动性风险常见的市场风险包括 利率风险外汇风险股票与债券市场风险商品价格风险期货 期权与衍生工具风险 市场风险 操作风险是指企业内部流程 人为错误或外部因素而令公司产生经济损失的风险 它包括了公司的流程风险 人为风险 系统风险 事件风险和业务风险等流程风险是指交易流程中出现错误而引致损失的风险 流程包括如 销售 定价 记录 确认 出货 提供服务等环节 流程风险也包括合规性风险人为风险概指因员工缺乏知识和能力 缺乏诚信或道德操守而引
