信息技术环境下内部审计市公开课获奖课件省名师优质课赛课一等奖课件

信息技术环境下内部审计1/87

内部审计与信息系统审计信息系统审计是与内部审计紧密结合，最早计算机审计起源于内部审计2/87

一、信息系统审计起源与发展

1.1国外：八十年代、九十年代信息技术深入发展与普及，使得企业越来越依赖信息及信息系统。人们开始更多关注信息系统安全性、保密性、完整性及其实现企业目标效率、效果，真正意义信息系统风险评定与审计出现。

3/87

1.信息系统审计起源与发展

1.1国外：

信息系统审计与控制协会ISACA总部设在美国芝加哥。当前该组织在世界上100多个国家设有160多个分会，现有会员两万多人，它是从事信息系统审计专业人员唯一国际性组织。

4/87

1.信息系统审计起源与发展

1.1国外：

CISA是信息系统审计领域唯一职业资格

ISACA每年举行CISA资格考试，经过考试人员能够申请CISA资格，符合ISACA要求工作经验及其它相关要求申请人会被授予CISA资格。CISA资格在世界各国都被广泛认可。国内取得此资格有三百多人。5/87

1.信息系统审计起源与发展

1.2国内：

1994年2月，我国颁布了《中华人民共和国计算机信息系统安全保护条例》，提出了计算机信息系统实施安全等级保护要求。安全等级保护总体目标是确保信息安全和计算机信息系统安全正常运行，保障：信息完整性、可用性、保密性、抗抵赖性、可控性等（其中完整性、可用性、保密性为基本安全特征要求）。

6/87

1.信息系统审计起源与发展

1.2国内：1994年2月，我国颁布了《中华人民共和国计算机信息系统安全保护条例》，提出信息完整性、可用性、保密性、抗抵赖性、可控性等要求。1999年2月9日，我国正式成立了中国国家信息安全测评认证中心。4月15日全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。年12月16日国家网络与信息安全协调小组正式经过了《信息安全风险评定指南》。7/87管理计划与IS组织信息资产保护灾难备份与业务连续计划技术基础与操作实务业务应用系统开发取得实施与维护业务过程评价与风险管理

2.信息系统审计内容

8/87一般控制静态IS组成管理角度管理计划与IS组织(C2)技术角度技术基础与操作实务(C3)IS控制与安全正常情况信息资产保护(C4)非常情况灾难恢复与业务连续计划(C5)动态业务应用系统开发取得实施与维护(C6)应用控制业务过程评价与风险管理(C7)

3.信息系统审计与内部控制

9/87

4.信息系统审计标准与依据

计算机系统安全评定标准（TCSEC）由美国国防部于1985年公布，是计算机系统信息安全评定第一个正式标准。它把计算机系统安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。

10/87

4.信息系统审计标准与依据

信息技术安全评价通用标准（CC）由六个国家（美、加、英、法、德、荷）于1996年联合提出，并逐步形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性基本准则.CC标准是第一个信息技术安全评价国际标准，它公布对信息安全含有主要意义，是信息技术安全评价标准以及信息安全技术发展一个主要里程碑。

11/87

4.信息系统审计标准与依据

ISO13335标准首次给出了关于IT安全保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为关键安全模型：企业资产面临很多威胁（包含来自内部威胁和来自外部威胁）；利用信息系统存在各种漏洞（如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等），对信息系统进行渗透和攻击。

12/87

4.信息系统审计标准与依据

“信息系统和技术控制目标”（COBIT）是IT治理一个开放性标准，当前已成为国际上公认最先进、最权威安全与信息技术管理和控制标准。该标准为IT治理、安全与控制提供了一个普通适用公认标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家主要组织与企业中利用，指导这些组织有效利用信息资源，有效地管理与信息相关风险。13/87

4.信息系统审计标准与依据

14/87

4.信息系统审计标准与依据

15/87

4.信息系统审计标准与依据

16/87

5.信息系统审计过程

审计计划和检验：检验被审计单位IT政策、实务及组织结构；检验普通控制和应用控制情况；计划控制测试和实质性测试程序；17/87

5.信息系统审计过程

控制测试：实施控制测试；评价测试结果；确定对控制依赖程度；18/87

5.信息系统审计过程

实质测试：实施实质性测试；评价测试结果并签发审计汇报；审计汇报19/87

6.信息系统审计技术

20/87内部审计与IT治理21/87内部审计方法战略分析企业风险评定制订内审计划内审项目执行汇报问题处理和跟踪规划执行22/87IT治理IT治理是信息系统审计和控制领域中一个相当新概念IT治理其定义聚集了以下3中观点：Roberts.Roussey认为：IT治理用于扫描被委托治理实体人员在监督、检验、控制和指导实体过程中怎样对待信息技术。IT引用对于组织能否到达他远景、使命、战略目标至关主要。德勤定义以下：IT治理是一个含义广泛概率，包含信息系统、技术、通讯、商业、全部利益相关者、正当性和其它问题。国际信息系统审计与控制协会（ISACA）定义以下：IT治理是一个由关系和过程所组成体制，用于知道怎样控制企业，经过平衡信息技术与过程风险、增加价值来确保实现企业目标。IT中国治理研究中心在综合研究基础上提出以下定义：IT治理用于描述企业或征服是否采取有效机制，使得IT引用能完成组织赋予使命，同时平衡信息技术与过程风险，确保实现组织战略目标。23/87企业治理和IT治理企业治理是一个设计企业管理层、董事会、股东和其它利益相关者之间一整套关系体系，是在全部权和经营权分离条件下，为处理全部者和经营者因委托代理关系所产生利益不一致，二建立起来相互制衡机制，从而减低管理风险，实现组织目标。IT治理关键原因是使IT与业务融合，以实现组织业务价值。IT治理框架由一系列结构、流程和相关机制组成。IT战略委员会、风险管理和标准IT平衡记分卡。作为企业治理一个主要组成部分，IT治理包含了确定企业怎样应用IT一系列问题。所以，在整个企业治理中，评价IT治理成为越来越主要内容24/87IT治理与内部审计

内部审计是一个独立、客观确保，是为了机构增加价值并提升机构运行效率；它采取系统化、规范化方法评价风险管理、控制及治理过程并提升其效率，从而帮助实现组织目标。关于内部审计在IT治理过程中职责，美国《萨班斯—奥克斯莱法》有明确要求，在美国上市企业内部审计师应帮助管理层对企业IT应用控制和IT普通性控制进行评定并出具汇报。25/87IT治理标准

一个有效IT治理架构需要了解组织关键竞争力，而且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT治理框架，指定决议以及怎样在关键信息技术领域去确定。26/87企业风险管理必要性27/87案例一：美国安然企业(Enron)在，安然是美国最大石油和天然气企业之一20末，安然宣告第三季度录得6.4亿美元亏损，美国证监会对该企业进行调查，发觉该企业在1997以来虚报利润5.8亿美元20末，安然申请破产保护令，但在之前10个月内，企业却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元红利28/87调查发觉：安然董事会及审计委员会均采取不干预(“hands-off”)监控政策事件发生之后，部分董事表示不太了解安然财务情况、期货及期权业务安然重视短期业绩指标安然管理高层经常藐视或推翻企业制订内控制度29/87企业风险管理框架30/87

什么是风险管理？企业风险管理是一套由企业董事会与管理层共同设置、和与企业战略相结合管理流程。它功效是识别那些会影响企业运作潜在事件和把相关风险管理到一个企业可接收水平，从而帮助企业达至它目标。 美国内控研究委员会31/87企业为何要建立风险管理？因为企业股东与管理层经常要面对一些令他们寝食难安问题。所以，企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利关键原因，并对那些会影响企业达标风险进行监控及管理32/87股东对企业风险管理最关心四个问题：企业知道它所面正确主要风险吗？ 比如：什么风险正在或将会影响企业业务？企业品牌新产品、新市场开发战略联盟客户或供给链管理理想情况： 企业能开发一套标准、共通风险语言，从而识别企业所面正确风险，并就其严重程度进行排序。共通风险语言亦有利于企业上下层就风险管理进行沟通33/87企业是否已对这些风险设置内部控制？ 企业需要就各业务单位在日常运作中所面正确风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包含预防性控制及觉察性控制)，以确保企业能实现目标和符合各方面法律、法规理想情况： 企业就其所面正确风险和采取内控，编制一套完整文档，并借鉴国际最正确实务不停进行检讨

34/87企业内部控制有效吗？ 企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制能力理想情况： 企业把各类风险控制在可接收水平，并在这基准上赚取合理回报

35/87哪一些内部控制必须改进？ 企业内部和内部环境改变会不停地影响企业所面正确风险和所应采取监控办法理想情况： 企业能建立一套具前瞻性信息管理系统和预警系统，使企业能及时识别新生风险，并对相关业务计划、政策和程序进行修正

36/87企业风险管理框架一个基础三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会37/87风险管理总目标一、全方面风险管理目标-38-

财务汇报真实可靠确保内外部，尤其是企业与股东之间实现真实、可靠信息沟通，包含编制和提供真实、可靠财务汇报；合规正当确保恪守相关法律法规；高效运行确保企业相关规章制度和为实现经营目标而采取重大办法落实执行，保障经营管理有效性，提升经营活动效率和效果，降低实现经营目标不确定性；与战略目标一致确保将风险控制在与总体目标相适应并可承受范围内；应对突发事件预防重大损失确保企业建立针对各项重大风险发生后危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

风险管理总体目标38/87企业治理与风险管理有什么关系？企业治理是风险管理一个必要组成部份，因为它提供了对风险由上而下监控与管理近年多个国家都订立了企业治理最正确守则：美国：纽约证交所最正确治理守则英国：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport 这些最正确守则均清楚指出建立风险管理是董事会及管理层责任39/87怎样构建一个有利风险管理企业治理结构？建立一个健全、以董事会为首企业治理结构订立企业目标和战略，包含企业风险政策和极限落实一套重视风险管理企业文化和价值观40/87第一道防线：业务单位防线业务单位包含了企业大部分资产和业务，它们在日常工作中面对各类风险，是企业前线企业必须把风险管理伎俩和内控程序融入到业务单位工作与流程中，才能建立好防范风险第一道防线41/87怎样建立第一道防线了解企业战略目标及可能影响企业达标风险识别风险类别对相关风险作出评定决定转移、防止或减低风险策略计设及实施风险策略相关内部控制42/87(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务汇报营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德小区责任风险管理董事会及管理层业绩组织结构监察与沟通执行策划与开发利益相关方供给商政府用户股东经济情况国家情况市场改变竞争对手人才资源雇员沟通有形资产机器、厂房与土地其它有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评定与甄选尽职调查并购后整合资信管理运行组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙43/87战略性风险是指企业因作出战略性错误决定而造成经济上损失战略性风险是业务单位、高级管理层和董事会共同责任常见战略性风险包含：企业目标与方针市场潜在威胁业务范围(深度与广度)品牌及形象建立战略性风险与战略性搭档合作投资和融资策略员工素质和雇员关系企业信息及监控系统44/87市场风险是指因市场价格或利率波动而使企业产生经济损失风险组成市场风险三大原因：因买卖或投资金融产品而产生风险因资产与负债错配、或原材料与产成品价格不能同时浮动而产生风险资金流动性风险常见市场风险包含：利率风险外汇风险股票与债券市场风险商品价格风险期货、期权与衍生工具风险市场风险45/87操作风险是指企业内部流程、人为错误或外部原因而令企业产生经济损失风险，它包含了企业流程风险、人为风险、系统风险、事件风险和业务风险等流程风险是指交易流程中出现错误而引致损失风险，流程包含如：销售、定价、统计、确认、出货/提供服务等步骤。流程风险也包含合规性风险人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失风险系统风险是指因系统失灵、数据存取和处理、系统安全和可用性、系统非法接入与使用而引致损失风险事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失风险业务风险是指因市场或竞争环境出现预期以外改变而引致损失风险，所包括问题包含市场策略、客户管理、产品开发、销售渠道和定价等领域操作风险46/87风险发生可能性评分可能性说明5几乎必定在未来12个月内，这项风险几乎必定会出现最少1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至内，这项风险可能出现1次2低在未来10至1内，这项风险可能出现最少1次1极低这项风险出现可能性极低，预计在1内出现可能性少于1次47/87评分损失程度说明5灾难令企业失去继续运作能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标过程，在一定程度上造成妨碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1近乎没有影响程度十分轻微风险对企业造成影响48/87评分有效性说明5极度过头处理方法能直接针对该项风险，但相信会令企业业绩“倒退”或成本过高4过头处理方法能直接针对该项风险，但因为需要投入大量资源或/及将其它资源转处处理该项风险上，会对企业效率造成影响3适中处理方法有效针对该项风险，同时并不影响企业效率2低效处理方法针对该项风险效果不理想，或投入处理该风险资源不充分或/及对投入资源未有适当利用1近乎没有效果处理方法效果十分低，可能是因为企业根本没有处理方法，又或处理手法不妥风险处理方法效果49/87风险地图(或风险共同语言)影响程度近乎没有轻微中等重大灾难几乎必定极可能可能低极低BCAGIDJKHEF可能性说明:A–人力资源风险B–财务风险C–竞争风险D–开发风险E–过分自信风险F–系统故障风险G–主要客户风险H–欺诈风险I–政治风险J–薪酬奖励风险K–科技风险50/87大型集团风险管理分析风险控制地图51/87风险处理组合

处理评级风险评级近乎没有效果低效适中超标极度极高高中等低BCAGIDJKHE说明:A–人力资源风险B–财务风险C–竞争风险D–开发风险E–过分自信风险F–系统故障风险G–主要客户风险H–欺诈风险I–政治风险J–薪酬奖励风险K–科技风险F采取行动亲密监控定时审阅52/87风险处理策略影响程度可能性转移防止小心管理可接收大小高低53/87风险策略防止禁止交易降低或限制交易量离开市场转移套期保险策略性联盟其它分担风险安排小心管理投资广泛保护安排订价反应风险程度可接收自我保险预留贮备增加监督风险处理策略影响程度大小可能性转移防止小心管理可接收高低54/87企业建立第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控企业需要把评定风险与内控办法结果进行统计和存档，对内控办法有效性不停进行测试和更新第一道防线：总结管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会55/87第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次风险管理功效，它组成部份可能包含风险管理部门、信贷审批委员会、投资审批委员会风险管理部责任是领导和协调企业内各单位在管理风险方面工作，它职责包含：编制规章制度对各业务单位风险进行组合管理度量风险和评定风险界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习工作按风险与回报分析，为各业务单位分配经济资本金56/87“内部审计是一项独立、客观审查和咨询活动，其目标在于增加企业价值和改进经营。内审经过系统方法，评价和改进企业风险管理、控制和治理流程效益，帮助企业实现其目标。”美国内部审计师协会第三道防线：内审单位防线第三道防线包括一个独立于业务单位部门，监控企业内控和其它企业关心问题内部审计定义：57/87内部审计三大功效财务监督财务帐可用性内部管理和制度执行经典例子：检验分、子企业上报总部财务报表 准确性以及执行财务管理政策情况经营诊疗管理审计以及效率和效益审计检验和诊疗经营和管理过程中偏差和失误经典例子： 企业对某业务单位或某部门执行效益审计 (一个输入与产出关系)58/87咨询顾问企业风险管理和发展策略方面咨询调查领导关心热点问题和管理微弱步骤经典例子： 吞并收购时调查被投资企业内部管理和 流程操作，了解微弱步骤或其它影响并购 交易重大事项，从而确定管理方法和 并购策略59/87构建企业风险管理关键成功要素1.

股东确立对企业监督机制，考虑是否需要在集团层面：引入以董事会领导管理体制聘用有经验外部董事，来加强对企业监督要求企业建立风险管理和内控系统，并对其运作及有效性作出定时汇报60/872. 管理高层支持和参加确立方向和目标营造必要环境为平衡风险与回报作出战略性决定风险回报风险与回报成正比？风险调整风险后回报冒险程度

–不够进取冒险程度–高危冒险程度–理想范围61/873. 建立风险管理文化风险管理伎俩，必须融入日常管理流程经过讨论和培训，使风险管理实施得到“全民”支持经过经验分享，不停加强风险管理认同性4. 采取先进风险管理实施方法借鉴如美国Treadway委员会所提出COSO内控框架采取各种识别和度量风险先进方法采取标准模板和程序确认风险、评定风险、建立统计和文档、参考国际最正确实务，构建信息管理系统和预警系统62/87二、大型集团风险管理分析形成了中国神华风险管理文化63/87大型集团风险管理分析-64-64/87内部控制与风险管理、企业管理关系风险评定外部审计内部控制控制环境内部审计控制活动信息沟通连续监控风险管理目标设定风险识别风险应对企业管理各项经营管理活动，如战略管理、人力资源管理、财务管理、资产管理等风险战略治理结构组织体系风险理财正确认识内控与审计、风险管理、企业管理关系-65-65/87内部控制系统与风险管理、企业管理关系风险管理利用风险评定方法发觉企业固有风险评价其可能性或者损失用内部控制办法进行控制得到企业剩下风险固有风险-内部控制=剩下风险企业剩下风险企业对风险容忍度66/87企业价值地图-67-67/8768/87华电财务风险管理建设方案1、全方面风险管了解决方案2、财务风险管了解决方案 1)、目标管理； 2)、风险体系； 3)、风险识别； 4)、风险评定 5)、风险监控-69-69/87-70-企业全方面风险分类法律风险运行风险战略风险财务风险市场风险企业风险1、全方面风险分类70/872、全方面风险管了解决方案-71-71/873、财务风险管了解决方案理论依据，国资委开展组织研究国有企业风险管理工作年，国资委公布《全方面风险管理指导纲要》20，在大型企业风险管理论坛上国资委表示，风险管理将成为国资委对央企领导人员考评和评价央企主要指标20，国资委《关于开展编报<20中央企业全方面风险管理汇报>试点工作相关事项通知》（国资厅发改革〔2008〕5号），要求31家央企试点企业进行全方面风险汇报递交20，财政部、证监会、审计署、银监会、保监会五部委联合公布了《企业内部控制基本规范》-72-72/87-73-风险管理流程图风险管理初始信息风险评定风险管理策略风险管了解决方案风险管理监督改进54321战略风险、财务风险、市场风险、运行风险、法律风险初始信息搜集风险辨识（针对业务、流程）风险分析（发生可能性高低、风险发生条件）风险评价（影响程度、风险价值）风险偏好、承受度、管理有效性标准；选择风险管理工具（风险态度）风险处理详细目标、组织领导、管理、流程、条件、伎俩；风险事件前、中、后采取详细应对办法以及风险管理工具对风险管了解决方案实施情况有效性进行检验风险分析风险评估和控制风险管理流程73/872、财务风险管了解决方案风险体系管理风险分类战略风险财务风险市场风险运行风险法律风险系统管理属性设置可能性损失度内部控制体系维护流程管理风险应对办法风险躲避风险转移风险降低风险接收风险利用指标体系-74-74/872、财务风险管了解决方案风险体系管理风险分类战略风险财务风险市场风险运行风险法律风险系统管理属性设置可能性损失度内部控制体系维护流程管理风险应对办法风险躲避风险转移风险降低风险接收风险利用指标体系-75-75/87您现在位置：风险识别﹥﹥调查问卷2.财务风险管了解决方案-风险识别风险识别风险事件分析风险指标分析调查问卷访谈业务流程分析风险清单管理问卷填写问卷搜集问卷统计问卷发放问卷设计企业环境分析-76-76/87风险分析风险评价风险地图可能性分析影响度分析风险测评表部门风险测评表重大风险清单风险坐标图各部门风险等级堆积图XX部门风险堆积图2.财务风险管了解决方案-风险评定建设思绪-77-77/872.财务风险管了解决方案-风险评定风险评定方法——敏感性分析样例：风险评定风险地图风险分析风险评价-78-78/87-79-风险坐标图法负担A区域中各项风险且不再增加控制办法严格控制B区域中各项风险且专门补充制订各项控制办法确保躲避和转移C区域中各项风险且优先安排实施各项防范办法A区域极低低中等高极高可能性B区域C区域B区域02010403低高风险评定风险评价风险地图风险分析您现在位置：风险评定﹥﹥风险地图影响程度

01库存现金风险02应收账款风险03长久借款风险04发电标煤单价风险79/87-80-风险应对与控制2.财务风险管了解决方案-应对与控制您现在位置：风险应对与控制﹥﹥风险应对方案效果与反馈风险应对方案风险应对办法企业目标详细目标关键原因风险偏好风险策略内部控制流程风险应对方法应对方案责任人处置方式补充流动资金100,000,000元资产负债率资产负债率可容忍度85%转移降低筹资内控管理集团财务企业内部借款5000万，剩下5000万向银行借款；张三集团借款超出1个月，银行放款超出6个月降低煤炭采购成本

控制煤炭采购价格低于盈亏平衡点

原煤出厂价格适度接收煤价上涨造成成本上升，利润降低风险风险控制燃料采购管理流程1、健全跨区域协调采购调运机制2、杜绝亏吨、亏卡，降低场损和热值差3、结合电量计划、煤耗供给形势和库存情况，合理制订煤炭采购计划张三系统预警提醒、电子邮件、手机短信80/872.财务风险管了解决方案-风险监控与报告模块定义您现在位置：首页﹥﹥风险监控与汇报重大风险监控表风险编号：GZ08M.01.01

所包括内控流程：燃料成本管理流程流程目标：规范燃料管理体系，降低燃料成本流程层面影响流程目标实现风险：XXXX风险控制点描述：XXX