企业内部控制与合规应从IT抓起

  信息化与风险管理紧密相连,随着信息化应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑,IT风险正成为管理层、监管部门重点关注的对象,IT内控也逐渐成为企业内部控制的重要组成部分,并成为审计对象之一。

  IT为内控夯实根基

  信息化与风险管理紧不仅是整个企业业务的重要支撑,也是对企业运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制,直接关系运营活动的实施。IT控制分为IT一般性控制和应用系统控制两种。SOX法案所规定IT一般性控制,主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制,还有IT计划等。在一般性控制之外,还有应用系统的控制,包括应用系统中设置的有关业务流程的输入、数据处理和输出控制等。

  以IT为基础和手段的控制方法,效率要明显高于传统手工或基于纸张的控制方式;利用IT固化内控流程可以简化企业的内控过程,降低内控成本,优化内控项目的成本效益比,并帮助企业达到内控效力持续性的要求。IT的规范化操作程序以及信息系统的信息备份功能,能够降低内控审计的难度。

  IT管理者应该清晰地认识到,IT在企业建立内部控制中的优势和承担的责任。由于信息技术的复杂性,IT部门有责任帮助和配合企业其他部门建立合适的“IT控制”——这不仅能够帮助企业达到内部控制的要求,也有利于提升IT在企业中的价值。

  基于IT的控制内容

  基于IT的内控制度至少应涵盖以下6方面内容:

  一、信息处理部门与使用部门权责的划分

  无论企业的信息处理部门组织结构如何,都必须与使用部门进行明确的权责划分,并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解,避免推诿和责任不清造成的管理漏洞和效率低下。

  二、信息处理部门的功能及职责划分

  由于信息系统的特殊性,信息处理部门本身的功能和职责划分是复杂的。功能和职责的复杂性增加了IT服务和运营的风险,所以必须建立相应机制加以管理。信息处理部门管理者首先必须明确本部门在整个企业中起到的作用和承担的角色,明确提供的服务和相应的责任,并且成文定义。

  三、系统开发及程序修改的控制

  系统开发和程序修改主要包括两部分:新应用软件的开发和实施、现有应用软件的变更和维护。新应用软件获得和实施失败风险很高。为了降低这种风险,企业应该建立成体系的软件开发质量控制方法,比如标准软件开发工具和IT构件的选用。

  四、程序及资料的存取、数据处理的控制

  程序和数据存取访问控制需要技术和管理两方面的共同保障。首先,信息和系统安全技术是防止非法访问的有效方法,比如各类密码保护、防火墙、数据加密存储、密钥技术等。其次,需要从管理和流程上保证程序和数据的访问安全,最重要的就是建立完善的系统用户管理制度。

  五、档案、设备、信息的安全控制

  由于信息技术的广泛使用,信息安全一直是信息处理部门和信息使用部门极其关注的一个问题。信息资产安全的漏洞可能造成机密信息外泄、病毒入侵等问题,严重的信息安全问题可能危及整个企业的运营,造成财务和声誉上的重大损失。

  六、在网站上进行公开信息披露活动的控制

  在网站上进行公开信息披露活动,需要信息处理部门与企业执行层和内部控制体系其它部门的紧密联系。为了保证信息披露的正确性和及时性,企业应该制定一套流程进行信息披露活动的管理,包括网站上的信息披露。

  IT内控,从何做起

  IT内部控制应该满足“目标设定,内部环境,风险确认,风险评估,风险管理策略选择,控制活动,信息沟通,检查监督”这八个要素的要求。需要强调的是,IT内部控制并不是孤立的,它是企业以业务目标为主导的整体内部控制项目的一部分。

  简单来说,企业必须首先确定主要经营活动以及与这些经营活动相关的业务流程和活动,划分内部控制的工作范围。其次,企业在工作范围内定义具体的控制对象。再次,针对控制对象,进行风险分析、评估,决定每项风险的管理策略,制定企业具体的控制程序、控制目标以及审计标准。然后,对现行的运作,实施变革以达到预定目标。最后,评价控制措施的实施后果,加以巩固或改进。

  IT内部控制必须遵循企业的内部控制机制和策略,确保IT控制符合企业内部控制的基调。此外,IT内部控制还担当支持企业高层管理活动的责任,在企业内设定业务目标,确立企业政策,在组织资源配置及管理决策时,IT负责辅助企业制定政策方针并在组织内部传达交流。

  IT内部控制可以归纳为企业控制、应用控制和基础控制三个层次,企业层面的控制决定了IT内部控制的基调;应用层面的控制与业务流程相结合,体现在应用系统中;基础层面的控制则体现在IT服务过程中。

  面对即将于2009年7月实施的《企业内部控制基本规范》,上市公司急需一套普遍适用的IT内部控制方法论以满足《企业内部控制基本规范》的要求,协助IT部门建立合适的内部控制机制;上市公司还需一套可操作的行动指南和评价体系,指导企业在进行IT控制的同时,方便审计机构制订评估标准,并有利于双方就审计细节达成一致。

时间: 2024-10-25 04:05:35

企业内部控制与合规应从IT抓起的相关文章

企业云安全的合规要求和应对建议

企业在使用云计算的过程中,面临很大的一个安全方面的问题就是需要应对各级主管部门的合规要求,本文将对企业云计算的合规要求和应 对方法进行详细介绍.企业云计算的合规总体需求企业将其业务从传统数据中心迁移至 云计算数据中心的选择将使其面临新的安全挑战,其中最重要的挑战之一即遵从 众多监管条例对交付.度量和通信的合规约束.云计算服务用户和供应商需要理解和掌握当前合规和审核标准.过程和实践的区别和意义.云计算分布式和虚拟化的特性需要基于具体化的信息和过程实体进行重大的框架调整.集中化和统一化的管理平台使云

金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据

[金融行业安全动态]只剩4个月,P2P网贷企业信息安全未合规将被取缔 概要:12月8日,银监会P2P网络借贷风险专项整治工作领导小组办公室发布<小额贷款公司网络小额贷款业务风险专项整治实施方案>,旨在通过专项整治,严格网络小额贷款资质审批,规范网络小额贷款经营行为,严厉打击和取缔非法经营网络小额贷款的机构.在专项整治进度上,<方案>要求2018年1月底前完成摸底排查,并在3月底前,对排查结果分成合规类.整改类.取缔类三类分类处置.对确认符合资质要求.依法合规开展业务的纳入合规类机构

风险管理的利器:企业内部控制的实施和完善

内部控制是衡量企业管理的重要标志.内部控制作为企业生产经营活动的自我调节和自我约束机制在企业管理系统中具有举足轻重的作用.近日,财政部"企业内部控制规范体系实施与监管"课题组通过问卷调查的方式,对我国企业内控规范体系实施现状进行了调查研究.通过问卷调查,对我国企业内控规范体系建设的现状.存在的问题有了比较充分的了解,为下一步推动内控规范体系在我国的全面实施奠定了坚实的基础.现代信息技术的应用已经渗入到企业管理和运营的方方面面,尤其是财务和会计对于信息化的依赖,决定了企业内部控制必须要和

【CS论坛】合规不利于安全?

本文讲的是[CS论坛]合规不利于安全?,一直以来,许多企业和安全顾问比较认可的一个安全解决方案就是合规,符合标准规定至少在某种程度上就意味着安全. 但有人认为,应该把两者看做并列关系,而不是因果关系.或说两者是互相影响的关系,安全可以有助于合规,合规可以是安全的副产品,但安全并不能自动成为合规的副产品.因为有时完全在合规的情况下,也可以是不安全的. 合规是为了让企业达到一个既定的标准,表面上给了客户或股东一个满足整套安全标准的样子,其实是把每个人都拖到了一个最小的安全级别.不信就看看最近发生的

对于HIPAA合规来说,安全差距分析重要吗?

据消息称,医疗机构应该执行"差距分析"以找出HIPAA合规中的薄弱问题.这个主意行得通吗?我们又该如何执行合规差距分析呢? Mike Chapple:这绝对是个好主意.安全差距分析是经过时间检验的合规技术,非常适合受HIPAA.PCI DSS和其他安全及隐私法规监管的企业.差距分析或评估主要包括测量IT资产,看看它们是否符合预期的性能指标.安全或合规差距分析则会根据监管机构或标准组织规定的要求来衡量企业当前的合规工作. 企业在执行安全差距分析时,首先应该确定谁来执行评估.如果评估是供内

合规经营才能理性发展

访 人保财险法律部/合规部总经理邹志洪 Compliance management escorts rational development an interview with Zhou Zhihong,doctor of laws, general manager of legal department of PICC P&C 文/本刊记者 李唯同 摄影/杨 迪 财产保险公司变相降低费率进行恶性竞争,财务数据不真实,兼业代理机构代理人 手续费虚高--在过去的一段时间里,中国财产保险业的发展受到

银行形成合规文化为何难

Diffculty and strategy for building"compliance culture"in bank industry 文/董建瑾 王 岩 中国金融行业的监管,比较习惯于通过颁布明确.详尽的"指引"."办法"等规范性文件来提高管理的标准化.而行业内的参与者,也习惯了根据监管者的具体要求来采取相应的内部管理措施,否则,会感到无所适从.但这种监管者与被监管者已经习惯的管理模式,在合规管理中却难以发挥作用. 当前金融业合规文化现

被改变的PE游戏规则:合规压力加大流动性降低考验LP

"我可以举个例子."上海通力律师事务所合伙人陈巍说,有一个美元PE基金客户,其所投公司在2014年1月IPO开闸后的第一批上市名单中.这家基金目前最关心的是这家公司招股说明书的合法性,"我们经常被问到的是'这样披露会不会有问题';而此前他们的问题往往是'这可不可以不披露'."北京也观察到了变化.在<全球首次公开募股(IPO)市场调研报告--2013年回顾及2014年展望>发布会上,安永会计师事务所华北区审计服务主管合伙人张明益表示,过去申请IPO的公司&

企业数据库合规的最佳实践

数据库是存放数据.经常是那些高敏感度数据的宝库,因此它也毫无疑问的是合规检查程序的重点区域.几乎所有的企业合规都会对哪些人.能在什么时间.访问什么数据库作出规定,并且需要一个专职人员来管理这些权限.本文,我们将讨论针对数据库合规的基本数据库安全要求,如PCI DSS和HIPAA,以及为了遵守合规要求用于管理数据库权限和维护的最佳实践. 最常见的五大企业核心数据库环境是:1.微软的SQL Server数据库:2.IBM的DB2数据库:3.MySQL数据库:4.Oracle数据库:5.Postgre