資源描述:
《企業(yè)it內(nèi)控與風(fēng)險(xiǎn)管理探析》由會(huì)員上傳分享���,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)����。
1�、企業(yè)IT內(nèi)控與風(fēng)險(xiǎn)管理探析摘要:為了加強(qiáng)對(duì)企業(yè)的風(fēng)險(xiǎn)管理���,必須建立有效的內(nèi)部控制框架����。而it技術(shù)的日益成熟和發(fā)展���,使得企業(yè)的信息化進(jìn)程加快��,企業(yè)的日常經(jīng)營(yíng)越來(lái)越依賴(lài)于it系統(tǒng)的支撐。因此����,在企業(yè)內(nèi)部控制中,it內(nèi)控占有非常重要的地位���。從企業(yè)面臨的風(fēng)險(xiǎn)入手����,對(duì)it內(nèi)控的作用���、思路和方法做了深入的分析����,為企業(yè)it內(nèi)控的實(shí)施奠定了基礎(chǔ)。關(guān)鍵詞:信息化��;it內(nèi)控�;風(fēng)險(xiǎn)管理1引言2002年美國(guó)國(guó)會(huì)發(fā)布的《薩班斯—奧克斯利法案》(簡(jiǎn)稱(chēng)為sox法案)中明確提出了所有上市公司都必須加強(qiáng)風(fēng)險(xiǎn)管理,建立有效的內(nèi)部控制框架���。2008年6月���,由國(guó)家財(cái)政部、證監(jiān)會(huì)��、審計(jì)署����、銀監(jiān)會(huì)、
2�、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》,要求“內(nèi)控”將自2009年7月1日起首先在上市公司范圍內(nèi)施行�����,主要是針對(duì)國(guó)內(nèi)財(cái)務(wù)及會(huì)計(jì)監(jiān)控體制的發(fā)展趨勢(shì),以及企業(yè)內(nèi)部的委托-代理關(guān)系等各個(gè)方面的需求�。2010年4月,財(cái)政部��、證監(jiān)會(huì)����、審計(jì)署、銀監(jiān)會(huì)�����、保監(jiān)會(huì)五部門(mén)又聯(lián)合發(fā)布了被稱(chēng)為“中國(guó)版薩班斯法案”企業(yè)IT內(nèi)控與風(fēng)險(xiǎn)管理探析摘要:為了加強(qiáng)對(duì)企業(yè)的風(fēng)險(xiǎn)管理�����,必須建立有效的內(nèi)部控制框架����。而it技術(shù)的日益成熟和發(fā)展��,使得企業(yè)的信息化進(jìn)程加快���,企業(yè)的日常經(jīng)營(yíng)越來(lái)越依賴(lài)于it系統(tǒng)的支撐���。因此����,在企業(yè)內(nèi)部控制中��,it內(nèi)控占有非常重要的地位�����。從企業(yè)面臨的風(fēng)險(xiǎn)入手�����,對(duì)it內(nèi)控的作
3�����、用�����、思路和方法做了深入的分析�����,為企業(yè)it內(nèi)控的實(shí)施奠定了基礎(chǔ)。關(guān)鍵詞:信息化�;it內(nèi)控;風(fēng)險(xiǎn)管理1引言2002年美國(guó)國(guó)會(huì)發(fā)布的《薩班斯—奧克斯利法案》(簡(jiǎn)稱(chēng)為sox法案)中明確提出了所有上市公司都必須加強(qiáng)風(fēng)險(xiǎn)管理��,建立有效的內(nèi)部控制框架�����。2008年6月�,由國(guó)家財(cái)政部、證監(jiān)會(huì)����、審計(jì)署、銀監(jiān)會(huì)�、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》,要求“內(nèi)控”將自2009年7月1日起首先在上市公司范圍內(nèi)施行�,主要是針對(duì)國(guó)內(nèi)財(cái)務(wù)及會(huì)計(jì)監(jiān)控體制的發(fā)展趨勢(shì),以及企業(yè)內(nèi)部的委托-代理關(guān)系等各個(gè)方面的需求����。2010年4月�,財(cái)政部、證監(jiān)會(huì)�����、審計(jì)署、銀監(jiān)會(huì)��、保監(jiān)會(huì)五部門(mén)又聯(lián)合發(fā)布了被稱(chēng)
4�、為“中國(guó)版薩班斯法案”的《企業(yè)內(nèi)部控制配套指引》(簡(jiǎn)稱(chēng)為指引)。指引文件明確指出要把企業(yè)內(nèi)部it風(fēng)險(xiǎn)控制建設(shè)情況納入上市公司日常監(jiān)管的范圍�����,確保it內(nèi)控風(fēng)險(xiǎn)預(yù)警體系的執(zhí)行質(zhì)量�。這使得國(guó)內(nèi)企業(yè)開(kāi)始重視it內(nèi)控在整個(gè)企業(yè)風(fēng)險(xiǎn)管控中的作用。不論是sox法案還是指引文件�,雖然因其主要關(guān)注的是和財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng),故對(duì)合規(guī)性的要求有其特有的局限性�����,但是由此產(chǎn)生的方法論和合規(guī)性實(shí)踐����,對(duì)it內(nèi)控的理論發(fā)展和實(shí)踐很有借鑒意義。事實(shí)上���,隨著it應(yīng)用的逐步深入����,企業(yè)的日常運(yùn)營(yíng)越來(lái)越依賴(lài)于it系統(tǒng)的支撐,it技術(shù)在現(xiàn)代企業(yè)中扮演著重要的角色�。it不僅作為財(cái)務(wù)流程的系統(tǒng)驅(qū)動(dòng),
5����、還是控制整個(gè)企業(yè)業(yè)務(wù)活動(dòng)的重要手段。因此�����,企業(yè)進(jìn)行內(nèi)部風(fēng)險(xiǎn)控制應(yīng)該從以it為主的內(nèi)部控制為突破口����。但it內(nèi)部控制并不是孤立的,它是企業(yè)以業(yè)務(wù)目標(biāo)為主導(dǎo)的整體內(nèi)部控制項(xiàng)目的一部分��。2企業(yè)內(nèi)控和信息化面臨的風(fēng)險(xiǎn)目前我國(guó)的信息化正處在一個(gè)由初級(jí)水平的投入期�����,向中高級(jí)水平的見(jiàn)效期過(guò)渡的關(guān)鍵時(shí)期�����,信息化的重點(diǎn)己從注重硬件設(shè)備的配備���,逐步過(guò)渡到強(qiáng)調(diào)整合和開(kāi)發(fā)利用信息資源����,對(duì)客戶(hù)需求做出快速反應(yīng)����,提高應(yīng)用水平和服務(wù)質(zhì)量,使組織的價(jià)值最大化的階段����。在這一階段里信息化的機(jī)會(huì)與風(fēng)險(xiǎn)并存,許多以前還沒(méi)有考慮到的深層次問(wèn)題都一一暴露出來(lái)����,這對(duì)企業(yè)將是個(gè)嚴(yán)峻的考驗(yàn)。2.1合規(guī)性風(fēng)險(xiǎn)
6���、由于it在生產(chǎn)和生活中充當(dāng)越來(lái)越重要的角色���,國(guó)內(nèi)外近年來(lái)出臺(tái)了不少法律法規(guī)加強(qiáng)對(duì)it進(jìn)行監(jiān)督和控制。sox法案的發(fā)布是確保上市公司遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性��。雖然其沒(méi)有直接明確對(duì)it的要求,但企業(yè)在實(shí)施符合法案要求的內(nèi)控過(guò)程時(shí)��,發(fā)現(xiàn)it方面的工作量竟然占到了相當(dāng)大的比重��。這是因?yàn)橐环矫鎖t要作為管理組織業(yè)務(wù)風(fēng)險(xiǎn)的工具與手段����,例如,對(duì)財(cái)務(wù)應(yīng)用系統(tǒng)的機(jī)密性���、完整性控制����,以及對(duì)業(yè)務(wù)交易信息的監(jiān)督和數(shù)據(jù)的采集���;另一方面it本身的風(fēng)險(xiǎn)��,例如系統(tǒng)風(fēng)險(xiǎn)����、網(wǎng)絡(luò)風(fēng)險(xiǎn)���、應(yīng)用風(fēng)險(xiǎn)���,也是sox法案關(guān)注的重要內(nèi)容���。另外�����,國(guó)內(nèi)的指引文件也明確指出了合規(guī)性風(fēng)險(xiǎn)���,具體為:
7��、第一����,信息系統(tǒng)缺乏或規(guī)劃不合理��,可能造成信息孤島或重復(fù)建設(shè)���,導(dǎo)致企業(yè)經(jīng)營(yíng)管理效率低下�;第二����,系統(tǒng)開(kāi)發(fā)不符合內(nèi)部控制要求�����,授權(quán)管理不當(dāng)�,可能導(dǎo)致無(wú)法利用信息技術(shù)實(shí)施有效控制���;第三�,系統(tǒng)運(yùn)行維護(hù)和安全措施不到位���,可能導(dǎo)致信息泄漏或毀損�����,系統(tǒng)無(wú)法正常行���。2.2信息化建設(shè)風(fēng)險(xiǎn)隨著it應(yīng)用的不斷深入,it與業(yè)務(wù)的關(guān)聯(lián)越來(lái)越緊密�,創(chuàng)造機(jī)會(huì)的同時(shí)也使it面臨著越來(lái)越多的問(wèn)題。2.2.1it規(guī)劃與架構(gòu)風(fēng)險(xiǎn)企業(yè)在進(jìn)行信息化建設(shè)的時(shí)候����,往往是由業(yè)務(wù)部門(mén)先提出業(yè)務(wù)需求,it部門(mén)則根據(jù)不同的需求去選擇不同的應(yīng)用系統(tǒng)。這導(dǎo)致的結(jié)果為技術(shù)體系復(fù)雜混亂�、技術(shù)標(biāo)準(zhǔn)不兼容、系統(tǒng)安全脆弱等等
8�����、��,企業(yè)得到的是一個(gè)個(gè)條塊化的it架構(gòu)�。產(chǎn)生這些問(wèn)題的原因主要有:第
