IT内部控制体系建设方案.Image.Marked.pdfVIP

IT 内部控制体系建设方案 IT 内部控制体系建设方案 ——从IT 角度解读《企业内部控制规 范》 本文编者：北京谷安天下科技有限公司 网 址： 地 址：北京市海淀区中关村南大街2 号数码大厦A 座806 电 话：010（北京） 021（上海） 0755（深圳） 0991-6999166 （新疆） 手 机 1 IT 内部控制体系建设方案 IT 内部控制体系建设方案 ——从IT 角度解读《企业内部控制规范》 作者：李华 谷安天下总经理 2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控 制基本规范》(以下简称基本规范)。基本规范自2009年7月1日起先在上市公司范围内施 行，鼓励非上市的其他大中型企业执行。基本规范的实施将对中国的上市公司和大型企业 的规范化运作带来实质性推动。基本规范借鉴了COSO报告五要素框架和风险管理八要素框 架；具体规范以财务报告内部控制为主线，对与企业财务报表项目相关的、可能会对财务 报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具 体的控制规范，并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控 制要求。 那么，对于企业内部的IT建设与控制而言，企业内部控制规范的实施会带来怎样的影 响呢？CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控 制与IT风险管理的角度，阐述企业IT控制与企业内部控制之间的关系。 企业内部控制规范与IT内部控制的关系 企业内部控制基本规范包含的五要素框架： （一）内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总 称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企 业文化、人力资源政策、内部审计机构设置、反舞弊机制等。 （二）风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各 种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目 标设定、风险识别、风险分析和风险应对。 （三）控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内 部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体 业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算 控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控 2 IT 内部控制体系建设方案 制、信息技术控制等。 （四）信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信 息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用 的过程，是实施内部控制的重要条件。 （五）监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查 与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。 相应的，IT内部控制框架也应对于企业内部控制的五要素框架： （一）IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部 控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责，IT决策机制， IT合规与IT审计等。 （二）IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评 估主要