<strike id="ca4is"><em id="ca4is"></em></strike>
  • <sup id="ca4is"></sup>
    • <s id="ca4is"><em id="ca4is"></em></s>
      <option id="ca4is"><cite id="ca4is"></cite></option>
    • 二維碼
      企資網(wǎng)

      掃一掃關注

      當前位置: 首頁 » 企資快訊 » 建材 » 正文

      IT內(nèi)部控制體系建設方案

      放大字體  縮小字體 發(fā)布日期:2021-08-18 05:54:48    作者:史舒文    瀏覽次數(shù):39
      導讀

      對于企業(yè)內(nèi)部的IT建設與控制而言,企業(yè)內(nèi)部控制規(guī)范的實施會帶來怎樣的影響呢?CIO們?nèi)绾蜗到y(tǒng)考慮從企業(yè)IT的內(nèi)部控制建設來保障企業(yè)內(nèi)部控制。本文從IT內(nèi)部控制與IT風險管理的角度,闡述企業(yè)IT控制與企業(yè)內(nèi)部控制之

      對于企業(yè)內(nèi)部的IT建設與控制而言,企業(yè)內(nèi)部控制規(guī)范的實施會帶來怎樣的影響呢?CIO們?nèi)绾蜗到y(tǒng)考慮從企業(yè)IT的內(nèi)部控制建設來保障企業(yè)內(nèi)部控制。本文從IT內(nèi)部控制與IT風險管理的角度,闡述企業(yè)IT控制與企業(yè)內(nèi)部控制之間的關系。企業(yè)內(nèi)部控制規(guī)范與IT內(nèi)部控制的關系<BR>企業(yè)內(nèi)部控制基本規(guī)范包含的五要素框架:

      (一)內(nèi)部環(huán)境。內(nèi)部環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱,是實施內(nèi)部控制的基礎。內(nèi)部環(huán)境主要包括治理結(jié)構(gòu)、組織機構(gòu)設置與權(quán)責分配、企業(yè)文化、人力資源政策、內(nèi)部審計機構(gòu)設置、反舞弊機制等。

      (二)風險評估。風險評估是及時識別、科學分析和評價影響企業(yè)內(nèi)部控制目標實現(xiàn)的各種不確定因素并采取應對策略的過程,是實施內(nèi)部控制的重要環(huán)節(jié)。風險評估主要包括目標設定、風險識別、風險分析和風險應對。

      (三)控制措施。控制措施是根據(jù)風險評估結(jié)果、結(jié)合風險應對策略所采取的確保企業(yè)內(nèi)部控制目標得以實現(xiàn)的方法和手段,是實施內(nèi)部控制的具體方式。控制措施結(jié)合企業(yè)具體業(yè)務和事項的特點與要求制定,主要包括職責分工控制、授權(quán)控制、審核批準控制、預算控制、財產(chǎn)保護控制、會計系統(tǒng)控制、內(nèi)部報告控制、經(jīng)濟活動分析控制、績效考評控制、信息技術(shù)控制等。

      (四)信息與溝通。信息與溝通是及時、準確、完整地收集與企業(yè)經(jīng)營管理相關的各種信息,并使這些信息以適當?shù)姆绞皆谄髽I(yè)有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內(nèi)部控制的重要條件。

      (五)監(jiān)督檢查。監(jiān)督檢查是企業(yè)對其內(nèi)部控制的健全性、合理性和有效性進行監(jiān)督檢查與評估,形成書面報告并作出相應處理的過程,是實施內(nèi)部控制的重要保證。

      相應,IT內(nèi)部控制框架也應對應于企業(yè)內(nèi)部控制的五要素框架:

      (一)IT內(nèi)部控制環(huán)境。內(nèi)部環(huán)境在企業(yè)IT領域的體現(xiàn)是IT的內(nèi)部控制環(huán)境,同樣IT內(nèi)部控制環(huán)境是實施IT內(nèi)部控制的基礎。主要包括IT治理架構(gòu)、IT組織與職責,IT決策機制,IT合規(guī)與IT審計等。

      (二)IT風險評估。企業(yè)信息化帶來的IT風險已經(jīng)成為企業(yè)風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰(zhàn)略與IT規(guī)劃,IT風險識別與分析應對包括對信息資產(chǎn)的風險、IT流程的風險以及應用系統(tǒng)的風險識別分析與應對。

      (三)IT控制措施。針對風險評估的結(jié)果,在IT方面需要實施具體的IT控制措施,包括IT技術(shù)類控制措施,如防火墻、防病毒、入侵檢測、身份管理、權(quán)限管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發(fā)管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權(quán)審批等。

      (四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務臺與事件管理程序,及時傳達企業(yè)內(nèi)部層級之間和與企業(yè)外部相關的信息。

      (五)監(jiān)督檢查。需要建立IT內(nèi)部控制體系的審核機制,評價IT控制的有效性。通過IT技術(shù)手段如日志、監(jiān)控系統(tǒng)、綜合分析平臺等,和管理手段如內(nèi)部IT審核、管理評審、專項檢查等措施,不斷改進企業(yè)的IT內(nèi)部控制。

      綜合分析IT內(nèi)部控制的組件,我們可以將IT的控制分為三個層面:

      (一)公司層控制。在公司層面建立IT治理架構(gòu),完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規(guī)與IT審計。

      (二)流程與應用層控制。分析企業(yè)業(yè)務流程與活動,在企業(yè)業(yè)務流程、應用系統(tǒng)層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業(yè)務與應用系統(tǒng)的技術(shù)控制與流程控制。

      (三)資源層控制。針對企業(yè)業(yè)務運作所依賴的各類信息資產(chǎn)和IT資源,分析具體每個資源點的風險,建立風險控制措施。

      IT內(nèi)部控制實施思路

      我們建議國內(nèi)企業(yè)采用企業(yè)內(nèi)部控制規(guī)范作為內(nèi)控評估標準,結(jié)合國際上普遍采用COBIT框架作為IT 控制的標準,將COBIT的相關IT控制目標與COSO五個要素關聯(lián)起來,設計符合規(guī)范要求的IT內(nèi)部控制體系。COBIT是一個很豐富IT內(nèi)控框架,包括四個域、34個IT控制流程和318個詳細的控制目標,是一個相當全面的信息系統(tǒng)內(nèi)控框架體系。對于想遵循內(nèi)部控制規(guī)范的企業(yè)來說,該體系所提供的控制目標和考慮一般會超過其需求。

      建議首先需要對IT相關的風險進行評估,建立IT控制矩陣,以COBIT為參照依據(jù),選取其中適合本身業(yè)務特點、復雜性和需求的控制流程和控制目標為對象,建立IT內(nèi)部控制框架,作為后續(xù)制定控制文檔體系和測試的基礎。同時,在具體控制措施上可融合ISO27001(信息安全管理體系)、ISO20000(IT服務管理體系)、Prince2(IT項目管理)、CMMI(軟件開發(fā)過程控制)等具體控制框架,分階段分步驟的實施。

      實施IT內(nèi)部控制體系主要可以三個層面進行:IT公司層面、IT一般控制層面及IT應用程序控制層面。

      IT公司層面涉及如下四個方面:

      政策制訂:公司整體的IT治理架構(gòu)、決策機制和IT基本策略

      信息與溝通:IT制度的發(fā)布,溝通機制與管理程序

      風險評估:建立風險評估流程和IT風險矩陣,包括信息資產(chǎn)評估程序,流程風險評估

      監(jiān)控檢查:建立IT技術(shù)監(jiān)控措施,內(nèi)部IT審核、管理評審、專項檢查等措施

      IT一般控制層面主要包含以下幾個方面:

      ?信息系統(tǒng)的開發(fā)和實施:開發(fā)與實施活動的管理、項目啟動、需求分析與設計、系統(tǒng)自行開發(fā)管理;

      ?信息系統(tǒng)的建設與軟件包的選擇、測試和質(zhì)量保證、數(shù)據(jù)轉(zhuǎn)換、上線、文檔與培訓等;

      ?信息系統(tǒng)的變更和維護:授權(quán)和跟蹤變更申請、系統(tǒng)編程、測試和質(zhì)量保證、遷移到生產(chǎn)環(huán)境的授權(quán)、文檔和培訓、變更管理等;

      ?信息系統(tǒng)的操作和運行:對系統(tǒng)操作的總體控制、批處理、備份管理、管理數(shù)據(jù)中心環(huán)境、第三方管理、帳號與權(quán)限管理、用戶培訓、服務水平協(xié)議、問題管理、事件管理等;

      ?系統(tǒng)和數(shù)據(jù)的訪問安全:信息安全組織和管理、信息安全策略和流程、數(shù)據(jù)操作、數(shù)據(jù)批量處理、數(shù)據(jù)安全、操作系統(tǒng)安全、內(nèi)部網(wǎng)絡安全、邊界網(wǎng)絡安全、物理安全等。

      ?應用系統(tǒng)的控制:系統(tǒng)的安全管理,訪問控制,流程和系統(tǒng)的完整性,數(shù)據(jù)管理與數(shù)據(jù)質(zhì)量等。

      IT應用程序控制主要包括在信息系統(tǒng)如ERP系統(tǒng)中針對財務相關的控制流程,主要包括:

      ?采購與應付賬款

      ?銷售管理

      ?資金管理

      ?薪酬與福利

      ?會計結(jié)算流程

      ?折舊、折耗與攤銷的計算

      ?成本管理

      IT內(nèi)部控制體系實施階段

      IT內(nèi)部控制體系建設包括以下主要階段:

      階段一:現(xiàn)狀調(diào)研及診斷。主要實施任務是對IT內(nèi)控現(xiàn)狀進行了解,確認IT控制的相關范圍,審閱相關政策和程序,調(diào)研和識別企業(yè)內(nèi)部控制規(guī)范所要求范圍內(nèi)的重點應用系統(tǒng)及模塊清單,對信息系統(tǒng)的相關控制設計情況進行了解,在現(xiàn)有的業(yè)務流程控制文檔基礎上,識別的有關自動/半自動活動控制活動描述,提出調(diào)研報告和改進建議。

      階段二:風險識別與分析。主要實施任務是在對現(xiàn)有的信息系統(tǒng)建設、實施與支持運維各個流程進行充分的風險評估、調(diào)研及訪談的基礎上,找到現(xiàn)有內(nèi)控體系與完善的內(nèi)控體系之間的差距,并分析所得到的差距結(jié)果,建立IT風險控制矩陣。

      階段三:IT內(nèi)部控制體系設計與整改方案。主要實施任務是參照《企業(yè)內(nèi)部控制規(guī)范》及COBIT框架要求,結(jié)合ISO20000與ISO27001標準,設計一套具有比較完善嚴謹、實際操作性以及可推廣性的IT內(nèi)部控制體系。

      階段四:培訓宣貫與運行推廣實施。主要實施任務通過宣講、培訓等方式,對企業(yè)各單位和人員進行內(nèi)控流程設計和相關制度介紹和學習,在領導統(tǒng)一的部署下,督導其改進流程的實施。并根據(jù)建立好的IT控制框架體系進行試運行,推廣實施。

      階段五:體系改進修正和監(jiān)督優(yōu)化。實施任務是將各個部門和終端操作人員在試運行階段發(fā)現(xiàn)的問題、產(chǎn)生的問題及反饋意見,經(jīng)過討論研究,通過分析問題,進而對整個IT內(nèi)控體系進行有針對性改進或修正,進而對流程的實際可操作性和可行性進一步的優(yōu)化和完善。

      CIO之家 www.ciozj.com 微信公眾號:imciow

       
      (文/史舒文)
      免責聲明
      本文僅代表作發(fā)布者:史舒文個人觀點,本站未對其內(nèi)容進行核實,請讀者僅做參考,如若文中涉及有違公德、觸犯法律的內(nèi)容,一經(jīng)發(fā)現(xiàn),立即刪除,需自行承擔相應責任。涉及到版權(quán)或其他問題,請及時聯(lián)系我們刪除處理郵件:weilaitui@qq.com。
       

      Copyright ? 2016 - 2025 - 企資網(wǎng) 48903.COM All Rights Reserved 粵公網(wǎng)安備 44030702000589號

      粵ICP備16078936號

      微信

      關注
      微信

      微信二維碼

      WAP二維碼

      客服

      聯(lián)系
      客服

      聯(lián)系客服:

      在線QQ: 303377504

      客服電話: 020-82301567

      E_mail郵箱: weilaitui@qq.com

      微信公眾號: weishitui

      客服001 客服002 客服003

      工作時間:

      周一至周五: 09:00 - 18:00

      反饋

      用戶
      反饋

      午夜久久久久久网站,99久久www免费,欧美日本日韩aⅴ在线视频,东京干手机福利视频
        <strike id="ca4is"><em id="ca4is"></em></strike>
      • <sup id="ca4is"></sup>
        • <s id="ca4is"><em id="ca4is"></em></s>
          <option id="ca4is"><cite id="ca4is"></cite></option>
        • 主站蜘蛛池模板: 四虎影院在线播放视频| 成人午夜私人影院入口| 国产挤奶水主播在线播放| 亚洲国产精品张柏芝在线观看| 99精品视频在线免费观看| 立即播放免费毛片一级| 忘忧草www日本| 再深点灬舒服灬太大了添网站| 七月婷婷精品视频在线观看| 美女视频一区二区三区| 成人精品视频99在线观看免费| 啊灬啊灬啊灬快好深视频在线 | 一级毛片免费在线播放| 精品爆乳一区二区三区无码av | 亚洲AV香蕉一区区二区三区| 色www永久免费网站| 欧美FREESEX潮喷| 国产成人无码免费看片软件| 久久精品国产99精品国产亚洲性色| 国产日本在线视频| 日韩欧美亚洲国产精品字幕久久久 | 日本高清免费xxx在线观看| 国产女主播福利在线| 久久精品国产亚洲av麻| 被公侵犯肉体的中文字幕| 收集最新中文国产中文字幕 | 年轻人免费看电影网站| 俄罗斯激情女同互慰在线| 97精品视频在线观看| 欧美性猛交xxxx黑人| 国产精品99re| 久久国产免费观看精品| 老头天天吃我奶躁我的动图 | 国产在线观看免费完整版中文版| 久久人妻av一区二区软件| 老头天天吃我奶躁我的视频| 好男人社区www影院在线观看| 亚洲精品视频专区| 老司机久久精品| 日本久久中文字幕精品| 午夜性色一区二区三区不卡视频|