内部审计--信息技术环境下内部审计.ppt

信息技术环境下内部审计 内部审计与信息系统审计 信息系统审计是与内部审计紧密结合的 最早的计算机审计来源于内部审计 一 信息系统审计的起源与发展 1 1国外 八十年代 九十年代信息技术的进一步发展与普及 使得企业越来越依赖信息及信息系统 人们开始更多的关注信息系统的安全性 保密性 完整性及其实现企业目标的效率 效果 真正意义的信息系统风险评估与审计出现 1 信息系统审计的起源与发展 1 1国外 信息系统审计与控制协会ISACA总部设在美国芝加哥 目前该组织在世界上100多个国家设有160多个分会 现有会员两万多人 它是从事信息系统审计的专业人员唯一的国际性组织 1 信息系统审计的起源与发展 1 1国外 CISA是信息系统审计领域的唯一职业资格ISACA每年举办CISA资格考试 通过考试的人员可以申请CISA资格 符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格 CISA资格在世界各国都被广泛的认可 国内获得此资格的有三百多人 1 信息系统审计的起源与发展 1 2国内 1994年2月 我国颁布了 中华人民共和国计算机信息系统安全保护条例 提出了计算机信息系统实行安全等级保护的要求 安全等级保护的总体目标是确保信息安全和计算机信息系统安全正常运行 保障 信息的完整性 可用性 保密性 抗抵赖性 可控性等 其中完整性 可用性 保密性为基本安全特性要求 1 信息系统审计的起源与发展 1 2国内 1994年2月 我国颁布了 中华人民共和国计算机信息系统安全保护条例 提出信息的完整性 可用性 保密性 抗抵赖性 可控性等要求 1999年2月9日 我国正式成立了中国国家信息安全测评认证中心 2002年4月15日全国信息安全标准化技术委员会 简称信息安全标委会 TC260 2005年12月16日国家网络与信息安全协调小组正式通过了 信息安全风险评估指南 管理计划与IS的组织 信息资产的保护 灾难备份与业务持续计划 技术基础与操作实务 业务应用系统的开发取得实施与维护 业务过程评价与风险管理 2 信息系统审计的内容 3 信息系统审计与内部控制 4 信息系统审计的标准与依据 计算机系统安全评估标准 TCSEC 由美国国防部于1985年公布的 是计算机系统信息安全评估的第一个正式标准 它把计算机系统的安全分为4类 7个级别 对用户登录 授权管理 访问控制 审计跟踪 隐蔽通道分析 可信通道建立 安全检测 生命周期保障 文档写作 用户指南等内容提出了规范性要求 4 信息系统审计的标准与依据 信息技术安全评价的通用标准 CC 由六个国家 美 加 英 法 德 荷 于1996年联合提出的 并逐渐形成国际标准ISO15408 该标准定义了评价信息技术产品和系统安全性的基本准则 CC标准是第一个信息技术安全评价国际标准 它的发布对信息安全具有重要意义 是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑 4 信息系统审计的标准与依据 ISO13335标准首次给出了关于IT安全的保密性 完整性 可用性 审计性 认证性 可靠性6个方面含义 并提出了以风险为核心的安全模型 企业的资产面临很多威胁 包括来自内部的威胁和来自外部的威胁 利用信息系统存在的各种漏洞 如 物理环境 网络服务 主机系统 应用系统 相关人员 安全策略等 对信息系统进行渗透和攻击 4 信息系统审计的标准与依据 信息系统和技术控制目标 COBIT 是IT治理的一个开放性标准 目前已成为国际上公认的最先进 最权威的安全与信息技术管理和控制的标准 该标准为IT的治理 安全与控制提供了一个一般适用的公认的标准 以辅助管理层进行IT治理 该标准体系已在世界一百多个国家的重要组织与企业中运用 指导这些组织有效利用信息资源 有效地管理与信息相关的风险 4 信息系统审计的标准与依据 4 信息系统审计的标准与依据 4 信息系统审计的标准与依据 5 信息系统审计的过程 审计计划和检查 检查被审计单位的IT政策 实务及组织结构 检查一般控制和应用控制的情况 计划控制测试和实质性测试的程序 5 信息系统审计的过程 控制测试 实施控制测试 评价测试结果 确定对控制的依赖程度 5 信息系统审计的过程 实质测试 实施实质性测试 评价测试结果并签发审计报告 审计报告 6 信息系统审计的技术 内部审计与IT治理 内部审计方法 IT治理 IT治理是信息系统审计和控制领域中一个相当新的概念IT治理其定义汇集了以下3中观点 Roberts Roussey认为 IT治理用于扫描被委托治理实体的人员在监督 检查 控制和指导实体的过程中如何看待信息技术 IT的引用对于组织能否达到他的远景 使命 战略目标至关重要 德勤定义如下 IT治理是一个含义广泛的概率 包括信息系统 技术 通讯 商业 所有利益相关者 合法性和其他问题 国际信息系统审计与控制协会 ISACA 定义如下 IT治理是一个由关系和过程所构成的体制 用于知道如何控制企业 通过平衡信息技术与过程的风险 增加价值来确保实现企业的目标 IT中国治理研究中心在综合研究的基础上提出如下定义 IT治理用于描述企业或征服是否采用有效的机制 使得IT引用能完成组织赋予的使命 同时平衡信息技术与过程的风险 确保实现组织的战略目标 公司治理和IT治理 公司治理是一个设计公司的管理层 董事会 股东和其他利益相关者之间的一整套关系体系 是在所有权和经营权分离条件下 为解决所有者和经营者因委托代理关系所产生的利益不一致 二建立起来的互相制衡机制 从而减低管理风险 实现组织目标 IT治理关键因素是使IT与业务融合 以实现组织的业务价值 IT治理框架由一系列结构 流程和相关机制组成 IT战略委员会 风险管理和标准IT平衡记分卡 作为公司治理的一个重要组成部分 IT治理包含了确定企业如何应用IT的一系列问题 因此 在整个企业治理中 评价IT治理成为越来越重要的内容 IT治理与内部审计 内部审计是一种独立 客观的保证 是为了机构增加价值并提高机构的运行效率 它采用系统化 规范化的方法评价风险管理 控制及治理过程并提高其效率 从而帮助实现组织目标 关于内部审计在IT治理过程中的职责 美国的 萨班斯 奥克斯莱法 有明确规定 在美国上市公司内部审计师应帮助管理层对公司IT应用控制和IT一般性控制进行评估并出具报告 IT治理标准 一个有效的IT治理架构需要理解组织的核心竞争力 并且在商业目标 治理原型 业务绩效目标之间维持平衡 进而提出IT治理框架 指定决策以及如何在关键的信息技术领域去确定 企业风险管理的必要性 案例一 美国安然公司 Enron 在2002年 安然是美国最大的石油和天然气企业之一2001年末 安然宣布第三季度录得6 4亿美元的亏损 美国证监会对该公司进行调查 发现该公司在1997以来虚报利润5 8亿美元2001年末 安然申请破产保护令 但在之前10个月内 公司却因股票价格超越预期目标而向董事及高级管理人员发放3 2亿美元的红利 调查发现 安然的董事会及审计委员会均采取不干预 hands off 监控政策事件发生之后 部分董事表示不太了解安然的财务状况 期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度 企业风险管理框架 什么是风险管理 企业风险管理是一套由企业董事会与管理层共同设立 和与企业战略相结合的管理流程 它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平 从而帮助企业达至它的目标 美国内控研究委员会 企业为何要建立风险管理 因为企业的股东与管理层常常要面对一些令他们寝食难安的问题 因此 企业需要系统化地建立一套风险管理体制 从而识别影响企业盈利的关键因素 并对那些会影响企业达标的风险进行监控及管理 股东对企业风险管理最关心的四个问题 企业知道它所面对的主要风险吗 例如 什么风险正在或将会影响企业的业务 企业的品牌新产品 新市场的开发战略联盟客户或供应链的管理 理想的情况 企业能开发一套标准的 共通的风险语言 从而识别企业所面对的风险 并就其严重的程度进行排序 共通的风险语言亦有利于企业上下层就风险的管理进行沟通 企业是否已对这些风险设置内部控制 企业需要就各业务单位在日常运作中所面对的风险 战略性风险 业务性风险 流程性风险 构建内部控制 包括预防性控制及觉察性控制 以确保企业能实现目标和符合各方面的法律 法规 理想的情况 企业就其所面对的风险和采取的内控 编制一套完整的文档 并借鉴国际最佳的实务不断进行检讨 企业的内部控制有效吗 企业要对其内控系统不间断地进行监控和测试 以确保其对风险控制的能力 理想的情况 企业把各类风险控制在可接受的水平 并在这基准上赚取合理的回报 哪一些内部控制必须改进 企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施 理想的情况 企业能建立一套具前瞻性的信息管理系统和预警系统 使企业能及时识别新生的风险 并对相关的业务计划 政策和程序进行修正 企业风险管理框架 一个基础三道防线 风险管理总目标 一 全面风险管理的目标 38 公司治理与风险管理有什么关系 公司治理是风险管理的一个必要的组成部份 因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则 美国 纽约证交所最佳治理守则英国 Cadbury HampelReport TheCombinedCode加拿大 DeyReportOECDReport这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任 如何构建一个有利风险管理的公司治理结构 建立一个健全的 以董事会为首的公司治理结构订立企业的目标和战略 包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观 第一道防线 业务单位防线 业务单位包含了企业大部分的资产和业务 它们在日常工作中面对各类的风险 是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中 才能建立好防范风险的第一道防线 如何建立第一道防线了解企业战略目标及可能影响企业达标的风险识别风险类别对相关风险作出评估决定转移 避免或减低风险的策略计设及实施风险策略的相关内部控制 风险宇宙TM 资信 制度 知识产权 财务 流动资产与信贷 资本结构 市场 财务报告 营运 法律 生产程序 营商环境 市场结构 民风与文化 管治 策略 董事会活动 交易 并购 变卖 声誉 道德 社区责任 风险管理 董事会及管理层业绩 组织结构 监察与沟通 执行 筹划与开发 利益有关方 供应商 政府 顾客 股东 经济情况 国家情况 市场变化 竞争对手 人才资源 雇员 沟通 有形资产 机器 厂房与土地 其他有形资产 负债 合约 法规 市场与销售 生产及流通 商品 服务开发 流程 估值与选择买家 评估与甄选 尽职调查 并购后整合 资信管理 运营 组织与监察 硬件 软件 网络 无形资产 知识管理 信息 现金管理 对冲 融资 股东资本 债务 商品 利率 外汇 税务 会计 合规 风险宇宙 战略性风险是指公司因作出战略性错误的决定而导致经济上的损失战略性风险是业务单位 高级管理层和董事会的共同责任常见的战略性风险包括 企业的目标与方针市场潜在的威胁业务的范围 深度与广度 品牌及形象的建立 战略性风险 与战略性伙伴的合作投资和融资的策略员工的素质和雇员关系企业的信息及监控系统 市场风险是指因市场价格或利率波动而使公司产生经济损失的风险构成市场风险的三大因素 因买卖或投资金融产品而产生的风险因资产与负债错配 或原材料与产成品价格不能同步浮动而产生的风险资金流动性风险常见的市场风险包括 利率风险外汇风险股票与债券市场风险商品价格风险期货 期权与衍生工具风险 市场风险 操作风险是指企业内部流程 人为错误或外部因素而令公司产生经济损失的风险 它包括了公司的流程风险 人为风险 系统风险 事件风险和业务风险等流程风险是指交易流程中出现错误而引致损失的风险 流程包括如 销售 定价 记录 确认 出货 提供服务等环节 流程风险也包括合规性风险人为风险概指因员工缺乏知识和能力 缺乏诚信或道德操守而引致损失的风险系统风险是指因系统失灵 数据的存取和处理 系统的安全和可用性 系统的非法接入与使用而引致损失的风险事件风险是指因内部或外部欺诈 市场扭曲 人为或自然灾害而引致损失的风险业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险 所涉及的问题包括市场策略 客户管理 产品开发 销售渠道和定价等领域 操作风险 风险发生的可能性 风险对企业造成的影响 风险处理方法的效果 风险地图 或风险共同语言 影响程度 几乎肯定 极可能 可能 低 极低 B C A G I D J K H E F 可能性 说明 A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险 大型集团风险管理分析 风险控制地图 风险处理组合 处理评级 风险评级 近乎没有效果 低效 适中 超标 极度 极高 高 中等 低 A G I D J K H E 说明 A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险 F 采取行动 密切监控 定期审阅 风险处理策略 风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排 小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督 风险处理策略 影响程度 大 小 企业建立的第一道防线 就是要各业务单位就其战略性风险 信贷风险 市场风场和操作风险等等 系统化地进行分析 确认 度量 管理和监控企业需要把评估风险与内控措施的结果进行记录和存档 对内控措施的有效性不断进行测试和更新 第一道防线 总结 第二道防线 风险管理单位防线 第二道防线是在业务单位之上建立一个更高层次的风险管理功能 它的组成部份可能包括风险管理部门 信贷审批委员会 投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作 它的职责包括 编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统 厘定关键风险指标负责风险信息披露 沟通 协调员工培训和学习的工作按风险与回报的分析 为各业务单位分配经济资本金 第三道防线 内审单位防线 第三道防线涉及一个独立于业务单位的部门 监控企业内控和其他企业关心的问题内部审计的定义 内部审计的三大功能 财务监督财务帐的可用性内部管理和制度的执行典型例子 检查分 子公司上报总部的财务报表的准确性以及执行财务管理政策的情况经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子 企业对某业务单位或某部门执行效益审计 一个输入与产出的关系 咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子 兼并收购时调查被投资公司的内部管理和流程操作 了解薄弱环节或其他影响并购交易的重大事项 从而确定管理方法和并购策略 构建企业风险管理的关键成功要素 1 股东确立对企业监督的机制 考虑是否需要在集团层面 引入以董事会领导的管理体制聘任有经验的外部董事 来加强对企业的监督要求企业建立风险管理和内控系统 并对其运作及有效性作出定期的汇报 2 管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定 风险 调整风险后的回报 3 建立风险管理文化风险管理的手段 必须融入日常的管理流程通过讨论和培训 使风险管理的实施得到 全民 的支持通过经验的分享 不断加强风险管理的认同性4 采用先进的风险管理的实施方法借鉴如美国Treadway委员会所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险 评估风险 建立记录和文档 参考国际最佳实务 构建信息管理系统和预警系统 二 大型集团风险管理分析 形成了中国神华风险管理文化 大型集团风险管理分析 64 内部控制与风险管理 企业管理的关系 正确认识内控与审计 风险管理 企业管理的关系 65 内部控制系统与风险管理 企业管理的关系 风险管理利用风险评估方法发现企业固有风险评价其可能性或者损失用内部控制的措施进行控制得到企业的剩余风险固有风险 内部控制 剩余风险企业的剩余风险企业对风险的容忍度 企业价值地图 67 华电财务风险管理建设方案 1 全面风险管理解决方案2 财务风险管理解决方案1 目标管理 2 风险体系 3 风险识别 4 风险评估5 风险监控 69 70 企业全面风险分类 法律风险 运营风险 战略风险 财务风险 市场风险 企业风险 1 全面风险分类 2 全面风险管理解决方案 71 3 财务风险管理解决方案 理论依据2004年 国资委开展组织研究国有企业风险管理工作2006年 国资委发布 全面风险管理指引纲要 2007年 在大型企业风险管理论坛上国资委表示 风险管理将成为国资委对央企领导人员考核和评价央企的重要指标2008年 国资委 关于开展编报试点工作有关事项的通知 国资厅发改革 2008 5号 要求31家央企试点企业进行全面风险报告的递交2008年 财政部 证监会 审计署 银监会 保监会五部委联合发布了 企业内部控制基本规范 72 73 风险管理流程图 2 财务风险管理解决方案 风险体系管理 风险分类战略风险财务风险市场风险运营风险法律风险 系统管理 属性设置可能性损失度 内部控制体系维护流程管理 风险应对措施风险规避风险转移风险降低风险接受风险利用 指标体系 74 2 财务风险管理解决方案 风险体系管理 风险分类战略风险财务风险市场风险运营风险法律风险 系统管理 属性设置可能性损失度 内部控制体系维护流程管理 风险应对措施风险规避风险转移风险降低风险接受风险利用 指标体系 75 您现在的位置 风险识别 调查问卷 2 财务风险管理解决方案 风险识别 风险识别 风险事件分析 风险指标分析 调查问卷 访谈 业务流程分析 风险清单管理 问卷填写 问卷收集 问卷统计 问卷发放 问卷设计 企业环境分析 76 风险分析 风险评价 风险地图 可能性分析 影响度分析 风险测评表 部门风险测评表 重大风险清单 风险坐标图 各部门风险等级堆积图 XX部门风险堆积图 2 财务风险管理解决方案 风险评估 建设思路 77 2 财务风险管理解决方案 风险评估 风险评估方法 敏感性分析样例 风险评估 风险地图 风险分析 风险评价 78 79 风险坐标图法 承担A区域中的各项风险且不再增加控制措施严格控制B区域中的各项风险且专门补充制定各项控制措施确保规避和转移C区域中的各项风险且优先安排实施各项防范措施 风险评估 风险评价 风险地图 风险分析 您现在的位置 风险评估 风险地图 影响程度 01库存现金风险02应收账款风险03长期借款风险04发电标煤单价风险 80 风险应对与控制 2 财务风险管理解决方案 应对与控制 您现在的位置 风险应对与控制 风险应对方案 效果与反馈 风险应对方案 风险应对措施 2 财务风险管理解决方案 风险监控与报告 模块定义 您现在的位置 首页 风险监控与报告 重大风险监控表 风险编号 GZ08M 01 01所涉及内控流程 燃料成本管理流程流程目标 规范燃料管理体系 降低燃料成本流程层面影响流程目标实现的风险 XXXX风险控制点描述 XXXX控制发生的频率 选择 每月 每季 每周 每天 频繁发生 按需不定期 系统控制 半年控制类型 选择 过程核查 系统设置 关键绩效指标 例外情况报告和预警报告 配置帐项映射控制系统 系统访问权限 管理层审阅 部门内审查