内控审计参考资料.ppt

1、目录,内部控制定义 信息科技层面评估架构 IT公司层面控制 IT一般性控制 应用程序控制 IT审计的参考标准,内部控制定义(续）,Basel 内部控制框架的定义 Internal control is a process effected by the board of directors, senior management and all levels of personnel. It is not solely a procedure or policy that is performed at a certain point in time, but rather it is cont

2、inually operating at all levels within the bank. The board of directors and senior management are responsible for establishing the appropriate culture to facilitate an effective internal control process and for monitoring its effectiveness on an ongoing basis; however, each individual within an orga

3、nisation must participate in the process.,内部控制定义(续）,COSO 内部控制定义 内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现以下各类目标提供合理保证的过程： 经营的有效性和效率 财务报告的可靠性 符合适用的法律和法规,内部控制定义(续）,内部控制是： 为实现经营目标的动态过程和机制 一系列的： 制度 程序 方法 对风险进行事前防范、事中控制、事后监督和纠正 高级管理层责任 需要全体职工参与的工作 需要通过监控来确保有效性,流程A,商业流程/交易类别,关键应用程序,IT基础设施服务,数据库管理系统,操作系统,网络/硬

4、件,流程B,流程C,应用程序X,应用程序Y,应用程序Z,流程A,信息系统控制,识别信息系统范围,商业流程/交易类别,信息科技层面评估架构,信息科技层面评估架构（续）,信息系统控制评估的建议构架基于国际通行的评估标准。其中，IT公司层面控制评估是基于COSO模型， IT一般性控制和应用程序控制评估是基于COBIT模型。,应用程序控制,COSO,IT公司 层面控制,IT 一般性控制,信息科技层面评估架构（续）,风险评估 信息技术风险评估目标的设定 技术风险的识别机制及风险分析 降低风险的行动计划与预算,控制活动 制定各类程序和政策 根据风险执行相应信息系统控制 信息技术职责分工,信息与沟通 关注战

5、略一体化的信息系统与信息质量 关注内部与外部的沟通及其沟通方式,控制环境 信息技术员工诚信和道德价值观 信息技术员工胜任能力 管理层/董事会对信息技术的关注 信息技术组织结构 信息技术策略与制度 数据和应用系统的归属制与职责分离,COSO“内部控制-整体框架”,监控 进行持续性信息系统监督活动 信息系统的独立评估体系 适宜的信息技术内部审计计划 信息系统缺陷报告,信息科技层面评估构架（续）,COBIT 4.1包含34个信息技术过程控制，并归集为四个控制域：,计划与组织 获取与实施 交付与支持 监控与评价,COBIT (Control Objectives for Information and

6、 related Technology，信息及相关技术的控制目标)是国际公认的IT治理框架，为企业管理者、用户、信息系统审计和安全从业者提供了一个优良参考构架.。,信息科技层面评估架构（续）,应用程序控制简介,应用程序控制是业务流程中控制的一部分，是在应用系统中由程序自动执行的控制，用以替代很多由人工完成的基础性检查工作。由于应用程序控制普遍适用于各种交易的处理，所以应用程序控制是否有效对于内控的有效性有着重要的影响。 应用程序控制可以分为两类：,系统自动控制 由系统自动完成的控制，无需人工干预，在开发系统时已经考虑并嵌入到系统中。 人工依赖系统控制 由系统完成部分的控制，需要人工干预，且控制

7、是否有效会受到人为因素的影响。,信息科技层面评估架构（续）,应用程序控制类型：,信息科技层面评估架构（续）,应用程序控制类型,实时校验/编辑检查控制：也称为系统录入控制，这类控制主要是确保录入到系统中的数据的准确性，进行录入时系统会对重要字段的合理性、合规性和准确性进行检查，防止一些不合适的数据被系统接受，造成系统数据的不真实和垃圾数据的产生 登陆权限/岗位分离控制：系统中用户的权限设置是否合理，是否按照职责需要进行授权，是否考虑到岗位分离的情况 计算机计算控制：系统自动计算并保证计算的正确性，此类控制一般在程序开发时已嵌入到系统中 自动系统接口控制：主要关注不同应用系统之间通过接口传递的数据

8、是否准确完整 配置控制：主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处理的正确性起着重要的作用,信息科技层面评估架构（续）,识别关键风险及信息资产 根据贵行的特性包括现有制度、业务需要、风险识别、组织模型、管理、体系结构和行业标准以及法律、法规、识别关键流程和控制范围。,监控控制活动 贵行的控制活动得到改善和加强后，需要建立一套监控体系来保证控制活动的持续有效。建立一整套完善的监控方案，用以监控控制活动的有效性。,评估现有控制 贵行需在IT管理层面以及流程层面需建立相应的控制，使贵行的工作模式能够有效地规范起来。在这一阶段中，内审部将对现有 IT流程和控制进行评估，了

9、解内部管理和控制情况，确认控制中存在的风险及差异。,控制的改善与加强 基于对贵行内部管理和控制情况的评估结果及发现的风险与差异，对控制进行改善和加强。依照国际认可的实践经验与标准，改善自身的控制活动，以更好的防范风险。,信息科技评估体系,IT审计的参考标准CoBIT,CoBIT(Control Objectives for Information and related Technology，信息及相关技术的控制目标)最初的用途是为企业的IT治理提供清晰的指导策略和优良的实践范本，以帮助管理层理解并管理有关IT的风险。 CoBIT已经被发展成为一套国际公认的、企业通用的， 有关IT安全和控制的

10、标准。它为企业管理者、用户、信息系统审计和安全从业者提供了一个优良参考构架。 CoBIT将IT过程，IT资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。,IT审计的参考标准CoBIT（续）,有效性（Effectiveness）：是指信息与商业过程相关，并以及时、准确、一致和可行的方式传送。 高效性（Efficiency）：关于如何最佳（最高产和最经济）利用资源来提供信息。 机密性（Confidentiality）：涉及对敏感信息的保护，以防止未经授权的披露。 完整性（Integrity）：涉及信息的精确性和完全性，以及与商业评价和期望相一致。 可用性（Availability）

11、：指在现在和将来的商业处理需求中，信息是可用的。还指对必要的资源和相关性能的维护。 符合性（Compliance）：遵守商业运作过程中必须遵守的法律、法规和契约条款，如外部强制商业标准。 可靠性（Reliability of Information）：为管理者的日常经营管理以及履行财务报告责任提供适当的信息。,有效性,效 率,保密性,完整性,可用性,合规性,可靠性,应 用 系 统,信 息,基 础 设 施,人 员,计划与组织(PO) IT战略与业务战略是否一致 企业是否优化资源的使用 组织的成员是否能够理解IT目标 管理层是否意识到企业面临的IT风险并予以妥善管理 IT系统的质量能否满足业务需求

12、 采购与实施(AI) 新项目所提供的解决方案能否满足业务需求 新项目能否在既定的预算内按期交付 新系统能否按预期运行 变更是否影响当前业务的正常运行 交付与支持(DS) IT服务是否根据业务的优先级交付 IT成本是否最优 工作负荷是否影响IT系统的有效使用 是否充分实现保密性、完整性和可用性 监控与评价(ME) IT绩效考核能否及时发现问题 管理层能否确保内部控制的效率和有效性 IT绩效能否与业务目标相关联 是否测量并报告风险、控制、符合性和绩效,IT审计的参考标准CoBIT（续）,有效性,效 率,保密性,完整性,可用性,合规性,可靠性,应 用 系 统,信 息,基 础 设 施,人 员,应用系统

13、：用户处理信息的自动化用户系统及手册程序。 信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式所使用。 基础设施：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体等，以及放置、支持上述技术和设施的环境）。 人员：策划、组织、采购、实施、交付、支持、监视和评价信息系统和服务所需的人员。人员可以是内部的、外包人员或合同人员。,IT审计的参考标准CoBIT（续）,CoBIT 34个高层次控制目标,IT审计的参考标准CoBIT（续）,IT审计的参考标准COSO,Committee of Sponsoring Organizations of The

14、Treadway Commission (COSO) 由美国会计师协会、美国审计总署、美国内部审计师协会和管理会计师协会等7个团体共同赞助成立，专门研究内部控制问题。,内部控制整体框架的目标： 保证财务报告的可靠性 保证经营效益和效率 对相关法律法规的遵循,根据COSO内控框架，公司层面的内部控制由以下五个部分组成： 1.控制环境 2.风险评估 3.控制活动 4.信息与沟通 5.监控 中国内部审计协会于2003年6月1日颁布实施的内部审计具体准则（第5号） 内部控制第5条，亦明确公司的内部控制是由上述五个部分组成的。公司要建立完善的内部控制，就要从这五方面着手，因为它们是内控的根基，它们会影响

15、到公司风险管理每个环节的工作。,IT审计的参考标准COSO（续）,控制环境 控制环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。 从以下三个方面评价控制环境的有效性： 识别及评价公司业务和财务报表的风险的能力 按照公认会计准则编制高质量的财务报表 保证财务报表可靠性的基本控制及监控措施,IT审计的参考标准COSO（续）,风险评估 风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评

16、估主要包括目标设定、风险识别、风险分析和风险应对。包括：,IT审计的参考标准COSO（续）,正式建立和广泛公布公司层面的目标及价值观、风险评估的程序 对重大问题的预计、识别以及做出反应的机制 识别公认会计原则变更、商业惯例及内部控制的步骤和程序等,控制活动 控制活动是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。,控制活动结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。,IT审计的参考标准COS

17、O（续）,信息与沟通 信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。主要包括：,管理层有效地传达员工的岗位职责和应负有的控制责任 建立渠道收集和处理内部投诉及不满 充分的沟通交流 指定人员或部门负责收集和处理外部的评论和投诉 已建立上下各部门之间的汇报路线和沟通渠道,IT审计的参考标准COSO（续）,监督主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控

18、制自我评估是内部控制监督检查的一项重要内容。,监控 监督是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。,IT审计的参考标准COSO（续）,IT审计的参考标准COSO与Basel II的关系,IT审计相关标准COSO与Basel II的关系,IT审计的参考标准COSO与Basel II的关系(续),有两种方法来选择相关的IT流程和控制： 风险驱动根据风险的属性（严重、重要、有影响、无影响）来定义控制目标和步骤 目标驱动根据Basel II定义目标，然后使用 CoBIT提供的指引,IT审计的参考标准CoBIT与Basel II的关系,IT审计的参考标准CoBIT与Basel