工作步骤
第一步,前期调研。
在管理评估阶段,评估小组主要 采取以下方法收集信息供分析使用。
1)调查问卷
为了收集相关信息,发调查表 给相关人员填写,调查表也可以在面对面交流的方式下使用。
2)人员访谈
通过访谈管理和技术人员,评估人员可以收集到大量有用的信息,也可以了解到被访谈者的安全意识和安全技能等自身素质。由于访谈的互动性,不同于调查表,评估人员可以广泛提问,从多个角度 获得多方面的信息。
3)文档检查
为了分析现有的或计划采 的安全控制措施,需要检查策略性 档( 例 如 政 策 法 规 、 指 导 性 文 档)、系统文档(例如用户手册、管理员手册、系统设计和需求文档)和安全相关文档(例如以前的 审计报告、风险评估报告、测试报告、安全策略、应急预案)等。
4)现场勘查
对办公环境和机房内设备作现 场检查,寻找是否有违反安全策略 的现象,比如敏感文件随意放置、 人员离开电脑不锁屏幕、设备的网 络连接情况等。
第二步,要确定IT内控的范围。
可以分为四个步骤:首先,确 定财务报告流程中的核心要素;其 次,识别关键的业务流程;再次, 确定IT系统范围;最后,确定地理 位置的范围。
第三步,选择基本控制指标。
对于公司和IT系统来说,存在 三种控制:公司级控制、应用控制 和通用控制。公司级控制的评估主 要包括“高层的声音”(Tone at the top)、诚信、价值观与竞争 力、管理哲学与运营风格、权责分 配、政策与流程、员工的水平和技 能、高层管理者的指示。应用控制 主要适用于IT系统所支持的业务流 程,以及被设计用来预防或探测非 授权业务活动的控制。通用控制用于所有的信息系统,保证安全连续的运作。对这些流程和系统进行风 险和控制评估后,就可以制定风险 控制矩阵(RCM)。
第四步,建立IT内控模型。
在上述控制目标的基础上,结 合公司信息化管理共作,确定每个 阶段的分等分级成熟度指标,各阶 段关键成功要素;各阶段关键成功 要素,各阶段关键绩教指标。在此基础上形成各阶段的IT管控流程,明确流程之间的接口,并进一步进 行角色的划分,确定IT部门及相关 职能部门的工作范同和职责。
第五步,进行内部审计 。
在控制体系设计完毕后,需要 先进行一次内部审计,沟通风险控 制矩阵、确定审计范围、制定测试 脚本。对于测试不合格的控制,需 要纠正缺陷、完善控制的设计与运 维,以确保其有效性。
第六步,报告管理层。
在内部审计通过后,管理层形成正式的书面内部控制结论,迎 接外部审计。需要重点关注的是公 司有哪些重要的流程和控制,有哪 些相关的风险和需要哪些相关的控 制 ,以及如何设计与评估控制。通常来说,SOX合规项目会非常费 时,成本也较高。不过,可以通过 外部咨询公司帮助企业做一个快速 诊断,以寻找从哪些地方入手做关 键改进。
成功经验
目前,国内外政府、电信、金融机构、能源等行业已在IT内控与IT内控领域进行了卓有成效的探索和实施,积累了大量的成功经验,实践表明在实施IT内控体系建设后,可以提高IT部门营运效率30-60%。
.1做好企业IT内控能力的现状评估
通过评估,找出与目标的差距,强化薄弱环节。如:国内企业在风险控制能力方面几乎一片空白,只有要到美国上市的个别企业,在面临萨般斯法案阻碍时,才开始仓促构建IT风险控制体系,强化IT风险控制能力。国内企业也经常会将IT内控建设当作一个项目来作,而对于经常处于变化中的企业业务来说,IT内控能力需要适应这种变化。IT内控能力的评估应逐步成为企业信息化建设的一项周期性工作。
2IT内控需要总体规划
I T内控能力总体规划不同于以往的IT总体规划,是强调内控能力的对企业信息化可持续发展的价值导向方面进行的规划。强调企业IT内控的目标与现实评估能力的差距基础上进行有计划的改善。能力规划关注IT内控建设对IT绩效的正向促进。
3建立公司信息化内控体制
确定涉及信息化工作的部门的岗位职能,确定信息化建设周期定义各个阶段的流程,并针对各阶段不同的管理水平和能力建立成熟度指标,确定各阶段的关键成功因素和关键绩效指标,然后梳理信息化建设所涉及的各个部门的关系,将各阶段内控流程细化到岗位角色。
.4重视构建IT内控能力的管理平台
IT内控能力伴随企业信息化及企业的整个生命周期,需要管理平台支撑,保障能力的不断改善和提升。管理平台构建应包括能力监测、日常管理与维护、IT内控体系优化等。目前IBM、HP等公司的推出的应IT管理软件系统平台为构建IT内控能力提供了基本的工具支持。
5借助外部专业机构力量
目前构建符合国内企业需要的IT内控体系,是一项复杂的系统工程,国内目前实践还比较少,缺乏可直接借鉴的经验。借助外部专业研究机构的力量,有助于快速的构 建相对完善IT内控体系,强化内控 能力。
目前IT内控能力不足是国内企业信息化建设中比较普遍的问题,已经成为制约企业信息化可持续发 展的瓶颈问题之一,重视和强化IT 内控能力建设将是今后国内企业信 息化建设的重要任务。
授权审批表-针对到部门的流程
内部风险控制矩阵-(流程、风险类别、风险描述、控制目标、控制活动、控制频率、预防性/检查性、人工/自动)
| 控制频率 | 按事项:参考:按合同、按客户、按资金计划等; 按时间:参考:按天、按周、按月、按季、按年等; | |||||
| 预防性/检查性 | 预防性:事前控制; 检查性:事后检查; | |||||
| 人工/自动 | 人工:认为判断; 自动:系统规则自动判断; | |||||
权责分离表-不相容职责
| 不相容职务分离原则 | |||||
| 编号 | 内容 | ||||
| 1 | 授权进行某项经济业务和执行该项业务的职务要分离 | ||||
| 2 | 执行某些经济业务和审核这些经济业务的职务要分离 | ||||
| 3 | 执行某项经济业务和记录该项业务的职务要分离 | ||||
| 4 | 保管某些财产物资和对其进行记录的职务要分离 | ||||
| 5 | 保管某些财产物资和核对实存数与账存数的职务要分离 | ||||
| 战略风险 | 宏观经济风险 | 法律风险 | 合规风险 |
| 政策法规风险 | 诉讼风险 | ||
| 战略决策风险 | 知识产权风险 | ||
| 战略实施风险 | 上市信息披露风险 | ||
| 组织管理风险 | 合同管理风险 | ||
| 运营风险 | 物流风险 | 财务风险 | 流动性风险 |
| 经营性固定资产管理风险 | 预算管理风险 | ||
| 操作风险 | 资金管理风险 | ||
| 制度流程管理风险 | 税务风险 | ||
| 合作方管理风险 | 票据风险 | ||
| HSE风险 | 投后财务管理风险 | ||
| 信息安全风险 | 财务报告风险 | ||
| 资产出险处置风险 | 会计核算风险 | ||
| 人力资源风险 | 市场风险 | 市值管理风险 | |
| 声誉风险 | 行业风险 | ||
| 工程业务管理风险 | 同业竞争风险 | ||
| 信息科技风险 | 利率风险 | ||
| 内部审计稽核风险 | 汇率风险 | ||
| 信用风险 | 金融业务信用风险 | 价格风险 | |
| 产业业务信用风险 | 行情风险 | ||
| 投资业务信用风险 |