資源描述:
《企業(yè)it內(nèi)控與風(fēng)險(xiǎn)管理探析》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、企業(yè)IT內(nèi)控與風(fēng)險(xiǎn)管理探析摘要:為了加強(qiáng)對企業(yè)的風(fēng)險(xiǎn)管理,必須建立有效的內(nèi)部控制框架。而it技術(shù)的日益成熟和發(fā)展,使得企業(yè)的信息化進(jìn)程加快,企業(yè)的日常經(jīng)營越來越依賴于it系統(tǒng)的支撐。因此,在企業(yè)內(nèi)部控制中,it內(nèi)控占有非常重要的地位。從企業(yè)面臨的風(fēng)險(xiǎn)入手,對it內(nèi)控的作用、思路和方法做了深入的分析,為企業(yè)it內(nèi)控的實(shí)施奠定了基礎(chǔ)。關(guān)鍵詞:信息化;it內(nèi)控;風(fēng)險(xiǎn)管理1引言2002年美國國會(huì)發(fā)布的《薩班斯—奧克斯利法案》(簡稱為sox法案)中明確提出了所有上市公司都必須加強(qiáng)風(fēng)險(xiǎn)管理,建立有效的內(nèi)部控制框架。2008年6月,由
2、國家財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》,要求“內(nèi)控”將自2009年7月1日起首先在上市公司范圍內(nèi)施行,主要是針對國內(nèi)財(cái)務(wù)及會(huì)計(jì)監(jiān)控體制的發(fā)展趨勢,以及企業(yè)內(nèi)部的委托-代理關(guān)系等各個(gè)方面的需求。2010年4月,財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)五部門又聯(lián)合發(fā)布了被稱為“中國版薩班斯法案”企業(yè)IT內(nèi)控與風(fēng)險(xiǎn)管理探析摘要:為了加強(qiáng)對企業(yè)的風(fēng)險(xiǎn)管理,必須建立有效的內(nèi)部控制框架。而it技術(shù)的日益成熟和發(fā)展,使得企業(yè)的信息化進(jìn)程加快,企業(yè)的日常經(jīng)營越來越依賴于it系統(tǒng)的支撐。因此,在企業(yè)內(nèi)部
3、控制中,it內(nèi)控占有非常重要的地位。從企業(yè)面臨的風(fēng)險(xiǎn)入手,對it內(nèi)控的作用、思路和方法做了深入的分析,為企業(yè)it內(nèi)控的實(shí)施奠定了基礎(chǔ)。關(guān)鍵詞:信息化;it內(nèi)控;風(fēng)險(xiǎn)管理1引言2002年美國國會(huì)發(fā)布的《薩班斯—奧克斯利法案》(簡稱為sox法案)中明確提出了所有上市公司都必須加強(qiáng)風(fēng)險(xiǎn)管理,建立有效的內(nèi)部控制框架。2008年6月,由國家財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》,要求“內(nèi)控”將自2009年7月1日起首先在上市公司范圍內(nèi)施行,主要是針對國內(nèi)財(cái)務(wù)及會(huì)計(jì)監(jiān)控體制的發(fā)展趨勢,以及企業(yè)內(nèi)部的
4、委托-代理關(guān)系等各個(gè)方面的需求。2010年4月,財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)五部門又聯(lián)合發(fā)布了被稱為“中國版薩班斯法案”的《企業(yè)內(nèi)部控制配套指引》(簡稱為指引)。指引文件明確指出要把企業(yè)內(nèi)部it風(fēng)險(xiǎn)控制建設(shè)情況納入上市公司日常監(jiān)管的范圍,確保it內(nèi)控風(fēng)險(xiǎn)預(yù)警體系的執(zhí)行質(zhì)量。這使得國內(nèi)企業(yè)開始重視it內(nèi)控在整個(gè)企業(yè)風(fēng)險(xiǎn)管控中的作用。不論是sox法案還是指引文件,雖然因其主要關(guān)注的是和財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng),故對合規(guī)性的要求有其特有的局限性,但是由此產(chǎn)生的方法論和合規(guī)性實(shí)踐,對it內(nèi)控的理論發(fā)展和實(shí)踐很有借鑒意義。
5、事實(shí)上,隨著it應(yīng)用的逐步深入,企業(yè)的日常運(yùn)營越來越依賴于it系統(tǒng)的支撐,it技術(shù)在現(xiàn)代企業(yè)中扮演著重要的角色。it不僅作為財(cái)務(wù)流程的系統(tǒng)驅(qū)動(dòng),還是控制整個(gè)企業(yè)業(yè)務(wù)活動(dòng)的重要手段。因此,企業(yè)進(jìn)行內(nèi)部風(fēng)險(xiǎn)控制應(yīng)該從以it為主的內(nèi)部控制為突破口。但it內(nèi)部控制并不是孤立的,它是企業(yè)以業(yè)務(wù)目標(biāo)為主導(dǎo)的整體內(nèi)部控制項(xiàng)目的一部分。2企業(yè)內(nèi)控和信息化面臨的風(fēng)險(xiǎn)目前我國的信息化正處在一個(gè)由初級(jí)水平的投入期,向中高級(jí)水平的見效期過渡的關(guān)鍵時(shí)期,信息化的重點(diǎn)己從注重硬件設(shè)備的配備,逐步過渡到強(qiáng)調(diào)整合和開發(fā)利用信息資源,對客戶需求做出快速反
6、應(yīng),提高應(yīng)用水平和服務(wù)質(zhì)量,使組織的價(jià)值最大化的階段。在這一階段里信息化的機(jī)會(huì)與風(fēng)險(xiǎn)并存,許多以前還沒有考慮到的深層次問題都一一暴露出來,這對企業(yè)將是個(gè)嚴(yán)峻的考驗(yàn)。2.1合規(guī)性風(fēng)險(xiǎn)由于it在生產(chǎn)和生活中充當(dāng)越來越重要的角色,國內(nèi)外近年來出臺(tái)了不少法律法規(guī)加強(qiáng)對it進(jìn)行監(jiān)督和控制。sox法案的發(fā)布是確保上市公司遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性。雖然其沒有直接明確對it的要求,但企業(yè)在實(shí)施符合法案要求的內(nèi)控過程時(shí),發(fā)現(xiàn)it方面的工作量竟然占到了相當(dāng)大的比重。這是因?yàn)橐环矫鎖t要作為管理組織業(yè)務(wù)風(fēng)險(xiǎn)的工具與手段,例如
7、,對財(cái)務(wù)應(yīng)用系統(tǒng)的機(jī)密性、完整性控制,以及對業(yè)務(wù)交易信息的監(jiān)督和數(shù)據(jù)的采集;另一方面it本身的風(fēng)險(xiǎn),例如系統(tǒng)風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn),也是sox法案關(guān)注的重要內(nèi)容。另外,國內(nèi)的指引文件也明確指出了合規(guī)性風(fēng)險(xiǎn),具體為:第一,信息系統(tǒng)缺乏或規(guī)劃不合理,可能造成信息孤島或重復(fù)建設(shè),導(dǎo)致企業(yè)經(jīng)營管理效率低下;第二,系統(tǒng)開發(fā)不符合內(nèi)部控制要求,授權(quán)管理不當(dāng),可能導(dǎo)致無法利用信息技術(shù)實(shí)施有效控制;第三,系統(tǒng)運(yùn)行維護(hù)和安全措施不到位,可能導(dǎo)致信息泄漏或毀損,系統(tǒng)無法正常行。2.2信息化建設(shè)風(fēng)險(xiǎn)隨著it應(yīng)用的不斷深入,it與業(yè)務(wù)的關(guān)聯(lián)越
8、來越緊密,創(chuàng)造機(jī)會(huì)的同時(shí)也使it面臨著越來越多的問題。2.2.1it規(guī)劃與架構(gòu)風(fēng)險(xiǎn)企業(yè)在進(jìn)行信息化建設(shè)的時(shí)候,往往是由業(yè)務(wù)部門先提出業(yè)務(wù)需求,it部門則根據(jù)不同的需求去選擇不同的應(yīng)用系統(tǒng)。這導(dǎo)致的結(jié)果為技術(shù)體系復(fù)雜混亂、技術(shù)標(biāo)準(zhǔn)不兼容、系統(tǒng)安全脆弱等等,企業(yè)得到的是一個(gè)個(gè)條塊化的it架構(gòu)。產(chǎn)生這些問題的原因主要有:第