資源描述:
《香港上市it審計培訓(xùn)》由會員上傳分享���,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1�����、香港上市IT審計概述-××集團香港上市IT審計準(zhǔn)備與路線圖**有限公司行業(yè)咨詢部葉谷松2008-8-141提綱香港上市公司IT審計參考依據(jù)××香港上市建議路線圖Q&A提綱香港上市公司IT審計參考依據(jù)Turnbull報告和COSO框架BS7799(ISO/IEC27002和ISO27001:2005)××香港上市建議路線圖Q&A香港相關(guān)法規(guī)制度《企業(yè)管治常規(guī)守則》及《企業(yè)管治報告》是《主板上市規(guī)則》和《創(chuàng)業(yè)板上市規(guī)則》的附錄于2005年1月或以后開始的會計期生效(部分條款2005年7月或以后開始的會計期生效)《內(nèi)部監(jiān)控與風(fēng)險管理的基本架構(gòu)》應(yīng)港交所邀請�����,香港會計師公會編制
2���、并于2005.6發(fā)表主要目的是就內(nèi)部監(jiān)控與風(fēng)險管理的基本架構(gòu)提供一般指引及建議香港相關(guān)法規(guī)制度《守則》的參考依據(jù):英國財務(wù)匯報委員會(FinancialReportingCouncil)于2003.7公布的《企業(yè)管治綜合守則》(CombinedCodeonCorporateGovernance)(《綜合守則》)所載的原則和指引���。《指引》的參考依據(jù):《內(nèi)部監(jiān)控:綜合守則的董事指南》(Turnbull指引)《內(nèi)部監(jiān)控-綜合架構(gòu)》(InternalControl–IntegratedFramework)(COSO框架)《指引》的主要參考依據(jù)介紹Turnbull報告董事會對公司
3��、的內(nèi)部控制負(fù)責(zé)�����,應(yīng)制定正確的內(nèi)部控制政策����,并尋求日常的保證,使內(nèi)部控制系統(tǒng)有效發(fā)揮作用���,還應(yīng)進一步確認(rèn)內(nèi)部控制在風(fēng)險管理方面是有效的�。在決定內(nèi)部控制政策��,并在此基礎(chǔ)上評估特定環(huán)境下內(nèi)部控制的構(gòu)成時����,董事會應(yīng)對以下問題進行深入思考:(1)公司面臨風(fēng)險的性質(zhì)和程度;(2)公司可承受風(fēng)險的程度和類型���;(3)風(fēng)險發(fā)生的可能性����;(4)公司減少事故的能力及對已發(fā)生風(fēng)險的影響;(5)實施特殊風(fēng)險控制的成本���,以及從相關(guān)風(fēng)險管理中獲取的利益。執(zhí)行風(fēng)險控制政策是管理層的職責(zé)���,在履行其職責(zé)的過程中��,管理層應(yīng)確認(rèn)�����、評價公司所面臨的風(fēng)險�����,并執(zhí)行董事會所設(shè)計�����、運行的內(nèi)部控制政策�。公司員工有義務(wù)將內(nèi)
4、部控制作為實現(xiàn)其責(zé)任目標(biāo)的組成部分�����,他們應(yīng)集體具備必要的知識��、技能����、信息和授權(quán),以建立����、運行和監(jiān)督公司內(nèi)部控制系統(tǒng)。這要求對公司及其目標(biāo)�����,所處的產(chǎn)業(yè)和市場以及面臨的風(fēng)險有深入的理解�。合理的內(nèi)部控制要素包括政策、程序�����、任務(wù)����、行為以及公司的其他方面�����,這些要素結(jié)合在一起�,對影響公司目標(biāo)實現(xiàn)的重大的商業(yè)性���、業(yè)務(wù)性��、財務(wù)性和遵循性風(fēng)險做出正確反應(yīng),以提高公司經(jīng)營的效率和效果�����。其中包括避免資產(chǎn)的不當(dāng)使用��、損失或舞弊�����,并保證已對負(fù)債進行了確認(rèn)和管理��?�!吨敢返闹饕獏⒖家罁?jù)介紹Turnbull報告(續(xù))公司的內(nèi)部控制應(yīng)反映組織結(jié)構(gòu)在內(nèi)的控制環(huán)境,包括:(1)控制活動���;(2)信息和溝通程
5�、序��;(3)持續(xù)性監(jiān)督程序����。特恩布爾報告指出了健全的內(nèi)部控制所應(yīng)具備的基本特征:(1)它根植于公司的經(jīng)營之中,形成公司文化的一部分�����。換言之��,它不僅僅是為了取悅監(jiān)管者而進行的年度例行檢查;(2)針對公司面臨的不斷變化的風(fēng)險��,具有快速反應(yīng)的能力;(3)具有對管理中存在的缺陷或失敗進行快速報告的能力�����,并且能及時地采取糾正措施���。對內(nèi)部控制有效性進行復(fù)核是董事會職責(zé)的必備部分�。董事會應(yīng)在謹(jǐn)慎、仔細(xì)地了解信息的基礎(chǔ)上形成對內(nèi)部控制是否有效的正確判斷��。董事會應(yīng)限定對內(nèi)部控制復(fù)核的過程�����,包括一年中復(fù)核的范圍��、收到報告的頻率以及年度評估的程序等�,這也將為公司年報和記錄中的內(nèi)部控制聲明提供適
6、當(dāng)?shù)闹С?�?�!吨敢返闹饕獏⒖家罁?jù)介紹COSO框架三個目標(biāo):營運的效益和效率����;財務(wù)報告的可靠性�����;遵循法律法規(guī)及合同���。五個要素:內(nèi)控環(huán)境���、風(fēng)險評估����、內(nèi)控活動���、信息及溝通�����、監(jiān)督�����。SOX404IT控制需求安全(Security)基于應(yīng)用和平臺��;定位在那些可能影響財務(wù)和支持基礎(chǔ)設(shè)施的應(yīng)用上需要有安全的操作系統(tǒng)����、數(shù)據(jù)庫����、網(wǎng)絡(luò)、防火墻和基礎(chǔ)設(shè)施審計師會尋找過度訪問、缺乏職責(zé)分離���、不恰當(dāng)?shù)脑L問授權(quán)的問題�,他們也會測試關(guān)鍵過程����,以確定控制的有效性變更控制(ChangeControl)需要有程序能控制和確保對生產(chǎn)系統(tǒng)變更的恰當(dāng)批準(zhǔn)通過技術(shù)性控制來限制和控制開發(fā)者訪問生產(chǎn)系統(tǒng)災(zāi)難恢復(fù)(Dis
7、asterRecovery)定位在基本的財務(wù)數(shù)據(jù)備份和恢復(fù)上IT治理(ITGovernance)IT是否存在清晰的策略��、程序和溝通����?職責(zé)分離是否明確?IT組織是否有合適的“上層論調(diào)“�����?開發(fā)及實施活動(DevelopmentAndImplementationActivities)在將新系統(tǒng)或系統(tǒng)變更引入到生產(chǎn)環(huán)境之前�����,需要內(nèi)建恰當(dāng)?shù)目刂茖徲嫀熆赡軙u估新的財務(wù)系統(tǒng)���;數(shù)據(jù)轉(zhuǎn)換和測試是關(guān)鍵提綱香港上市公司IT審計參考依據(jù)Turnbull報告和COSO框架BS7799(ISO/IEC27002和ISO27001:2005)××香港上市建議路線圖Q
