香港上市IT审计培训.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• ××香港上市建议路线图 • Q&A
BS7799介绍
• BS7799:Information security management system (ISMS)信息安全管理体系
– BSI(英国标准协会)制定 – BS7799-1:信息安全管理实践指南(code of practice for information security management)
合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面,这些要素 结合在一起,对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险 做出正确反应,以提高公司经营的效率和效果。其中包括避免资产的不当使用、损 失或舞弊,并保证已对负债进行了确认和管理。
《指引》的主要参考依据介绍
• Turnbull报告(续)
• ××香港上市建议路线图 • Q&A
香港相关法规制度
• 《企业管治常规守则》及《企业管治报告》
–是《主板上市规则》和《创业板上市规则》的附录
–于2005年1月或以后开始的会计期生效 (部分条款2005年7月或以后开始的会计期生效)
• 《内部监控与风险管理的基本架构》
–应港交所邀请,香港会计师公会编制并于2005.6发表 –主要目的是就内部监控与风险管理的基本架构提供一般 指引及建议
• 变更控制(Change Control)
– 需要有程序能控制和确保对生产系统变更的恰当批准 – 通过技术性控制来限制和控制开发者访问生产系统
• 灾难恢复(Disaster Recovery)
– 定位在基本的财务数据备份和恢复上
• IT治理(IT Governance)
– IT是否存在清晰的策略、程序和沟通?职责分离是否明确?IT组织是否有合适的 “上层论调“?
公司的内部控制应反映组织结构在内的控制环境,包括:(1)控制活 动;(2)信息和沟通程序;(3)持续性监督程序。特恩布尔报告指出 了健全的内部控制所应具备的基本特征:(1)它根植于公司的经营之 中,形成公司文化的一部分。换言之,它不仅仅是为了取悦监管者 而进行的年度例行检查; (2)针对公司面临的不断变化的风险,具有 快速反应的能力; (3)具有对管理中存在的缺陷或失败进行快速报告 的能力,并且能及时地采取纠正措施。
• 2005.10被采纳为ISO 27001:2005
BS7799介绍
• 开发及实施活动( Development And Implementation Activities )
– 在将新系统或系统变更引入到生产环境之前,需要内建恰当的控制 – 审计师可能会评估新的财务系统;数据转换和测试是关键
提纲
• 香港上市公司IT审计参考依据
–Turnbull报告和COSO框架 –BS7799(ISO/IEC 27002和ISO 27001:2005)
香港上市IT审计概述
-××集团香港上市IT审计准备与路线图
**有限公司
行业咨询部 叶谷松
2008- 8-14
1
提纲
• 香港上市公司IT审计参考依据 • ××香港上市建议路线图 • Q&A
提纲
• 香港上市公司IT审计参考依据
–Turnbull报告和COSO框架 –BS7799(ISO/IEC 27002和ISO 27001:2005)
• COSO框架
三个目标: 营运的效益和效率;财务报告的可靠性;遵循法律法规及合同。 五个要素: 内控环境、风险评估、内控活动、信息及沟通、监督。
SOX 404 IT控制需求
• 安全(Security)
– 基于应用和平台;定位在那些可能影响财务和支持基础设施的应用上 – 需要有安全的操作系统、数据库、网络、防火墙和基础设施 – 审计师会寻找过度访问、缺乏职责分离、不恰当的访问授权的问题,他们也会测 试关键过程,以确定控制的有效性
• 2000.12成为ISO标准,称为ISO/IEC 17799:2000 • 2005年底改版升级,2007年更改编号为ISO/IEC 27002
– BS7799-2:信息安全体系管理规范(specification for information security management system)
执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价 公司所面临的风险,并执行董事会所设计、运行的内部控制政策。公司员工有义务 将内部控制作为实现其责任目标的组成部分,他们应集体具备必要的知识、技能、 信息和授权,以建立、运行和监督公司内部控制系统。这要求对公司及其目标,所 处的产业和市场以及面临的风险有深入的理解。
– 《内部监控:综合守则的董事指南》(Turnbull指引) – 《内部监控-综合架构》(Internal Control– Integrated Framework) (COSO框架)
《指引》的主要参考依据介绍
• Turnbull报告
董事会对公司的内部控制负责,应制定正确的内部控制政策,并寻求日常的保证, 使内部控制系统有效发挥作用,还应进一步确认内部控制在风险管理方面是有效的。 在决定内部控制政策,并在此基础上评估特定环境下内部控制的构成时,董事会应 对以下问题进行深入思考:(1)公司面临风险的性质和程度;(2)公司可承受风险的 程度和类型;(3)风险发生的可能性;(4)公司减少事故的能力及对已发生风险的影 响;(5)实施特殊风险控制的成本,以及从相关风险管理中获取的利益。
香港相关法规制度
• 《守则》的参考依据:
– 英国财务汇报委员会(Financial Reporting Council) 于2003.7公布的《企业管治综合守则》(Combined Code on Cor来自百度文库orate Governance)(《综合守则》)所 载的原则和指引。
• 《指引》的参考依据:
对内部控制有效性进行复核是董事会职责的必备部分。董事会应在 谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判 断。董事会应限定对内部控制复核的过程,包括一年中复核的范围、 收到报告的频率以及年度评估的程序等,这也将为公司年报和记录 中的内部控制声明提供适当的支持。
《指引》的主要参考依据介绍