香港上市IT审计概述与路线图.pptVIP

香港上市IT审计概述 -××集团香港上市IT审计准备与路线图 **有限公司 行业咨询部 叶谷松 提纲 香港上市公司IT审计参考依据 ××香港上市建议路线图 QA 提纲 香港上市公司IT审计参考依据 Turnbull报告和COSO框架 BS7799(ISO/IEC 27002和ISO 27001:2005) ××香港上市建议路线图 QA 香港相关法规制度 《企业管治常规守则》及《企业管治报告》 是《主板上市规则》和《创业板上市规则》的附录 于2005年1月或以后开始的会计期生效 (部分条款2005年7月或以后开始的会计期生效) 《内部监控与风险管理的基本架构》 应港交所邀请，香港会计师公会编制并于2005.6发表 主要目的是就内部监控与风险管理的基本架构提供一般指引及建议 香港相关法规制度 《守则》的参考依据： 英国财务汇报委员会(Financial Reporting Council)于2003.7公布的《企业管治综合守则》(Combined Code on Corporate Governance)(《综合守则》)所载的原则和指引。 《指引》的参考依据： 《内部监控：综合守则的董事指南》(Turnbull指引) 《内部监控-综合架构》(Internal Control–Integrated Framework) (COSO框架) 《指引》的主要参考依据介绍 Turnbull报告 董事会对公司的内部控制负责，应制定正确的内部控制政策，并寻求日常的保证，使内部控制系统有效发挥作用，还应进一步确认内部控制在风险管理方面是有效的。 在决定内部控制政策，并在此基础上评估特定环境下内部控制的构成时，董事会应对以下问题进行深入思考：(1)公司面临风险的性质和程度；(2)公司可承受风险的程度和类型；(3)风险发生的可能性；(4)公司减少事故的能力及对已发生风险的影响；(5)实施特殊风险控制的成本，以及从相关风险管理中获取的利益。 执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。公司员工有义务将内部控制作为实现其责任目标的组成部分，他们应集体具备必要的知识、技能、信息和授权，以建立、运行和监督公司内部控制系统。这要求对公司及其目标，所处的产业和市场以及面临的风险有深入的理解。 合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面，这些要素结合在一起，对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应，以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊，并保证已对负债进行了确认和管理。 《指引》的主要参考依据介绍 Turnbull报告(续) 公司的内部控制应反映组织结构在内的控制环境，包括：(1)控制活动；(2)信息和沟通程序；(3)持续性监督程序。特恩布尔报告指出了健全的内部控制所应具备的基本特征：(1)它根植于公司的经营之中，形成公司文化的一部分。换言之，它不仅仅是为了取悦监管者而进行的年度例行检查; (2)针对公司面临的不断变化的风险，具有快速反应的能力; (3)具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。 对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程，包括一年中复核的范围、收到报告的频率以及年度评估的程序等，这也将为公司年报和记录中的内部控制声明提供适当的支持。 《指引》的主要参考依据介绍 COSO框架 三个目标： 营运的效益和效率；财务报告的可靠性；遵循法律法规及合同。 五个要素： 内控环境、风险评估、内控活动、信息及沟通、监督。 SOX 404 IT控制需求 安全（Security） 基于应用和平台；定位在那些可能影响财务和支持基础设施的应用上 需要有安全的操作系统、数据库、网络、防火墙和基础设施 审计师会寻找过度访问、缺乏职责分离、不恰当的访问授权的问题，他们也会测试关键过程，以确定控制的有效性 变更控制（Change Control） 需要有程序能控制和确保对生产系统变更的恰当批准 通过技术性控制来限制和控制开发者访问生产系统 灾难恢复（Disaster Recovery） 定位在基本的财务数据备份和恢复上 IT治理（IT Governance） IT是否存在清晰的策略、程序和沟通？职责分离是否明确？IT组织是否有合适的“上层论调“？ 开发及实施活动（ Development And Implementation Activities ） 在将新系统或系统变更引入到生产环境之前，需要内建恰