内控审计参考 PPT
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
战略风险
商业流程/交易类别
运营风险
财务风险
合规风险
流流程程AA
商业流程/交易类别
流程B
流程C
应用程序X
关键应用程序
应用程序Y
应用程序Z
IT基础设施服务 数据库管理系统
操作系统 网络/硬件
页数 5
应用系统自动 控制
• 输入控制 • 校验控制 • 系统接口 • 系统计算 • 权限控制
信息科技层面评估架构(续)
信息系统控制评估的建议构架基于国际通行的评估标准。其中,IT公司层面控制 评估是基于COSO模型, IT一般性控制和应用程序控制评估是基于COBIT© 模型。
IT公司 层面控制
应用程序控制
IT 一般性控制
监控 信息与沟通 控制活动 风险评估 控制环境
COSO
页数 6
信息科技层面评估架构(续)
COSO“内部控制-整体框架”
► 制度 ► 程序 ► 方法
►对风险进行事前防范、事中控制、事后监督和纠正 ►高级管理层责任 ►需要全体职工参与的工作 ►需要通过监控来确保有效性
页数 4
信息科技层面评估架构
IT公司层面控制
识别信息系统范围
信息系统控制
IT一般控制 • 控制环境 • 程序开发 • 程序变更 • 访问控制 • 系统运行
信息与沟通
监控
监控 • 进行持续性信息系统监督活
动 • 信息系统的独立评估体系 • 适宜的信息技术内部审计计
划 • 信息系统缺陷报告
页数 7
控制活动 • 制定各类程序和政策 • 根据风险执行相应信息系统
控制 • 信息技术职责分工
信息与沟通 • 关注战略一体化的信息系统
与信息质量 • 关注内部与外部的沟通及其
目录
► 内部控制定义 ► 信息科技层面评估架构
1 IT 1 IT一般性控制 1 应用程序控制
► IT审计的参考标准
页数 1
内部控制定义(续)
Basel 内部控制框架的定义
Internal control is a process effected by the board of directors, senior management and all levels of personnel. It is not solely a procedure or policy that is performed at a certain point in time, but rather it is continually operating at all levels within the bank. The board of directors and senior management are responsible for establishing the appropriate culture to facilitate an effective internal control process and for monitoring its effectiveness on an ongoing basis; however, each individual within an organisation must participate in the process.
控制环境 • 信息技术员工诚信和道德价
值观 • 信息技术员工胜任能力 • 管理层/董事会对信息技术的
关注 • 信息技术组织结构 • 信息技术策略与制度 • 数据和应用系统的归属制与
职责分离
风险评估 • 信息技术风险评估目标的设
定 • 技术风险的识别机制及风险
分析 • 降低风险的行动计划与预算
控制环境 风险评估 控制活动
沟通方式
信息科技层面评估构架(续)
COBIT (Control Objectives for Information and related Technology, 信息及相关技术的控制目标)是国际公 认的IT治理框架,为企业管理者、用 户、信息系统审计和安全从业者提供 了一个优良参考构架.。
COBIT 4.1包含34个信息技术过程控制, 并归集为四个控制域:
页数 2
内部控制定义(续)
COSO 内部控制定义
内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施 的、旨在为实现以下各类目标提供合理保证的过程:
► 经营的有效性和效率 ► 财务报告的可靠性 ► 符合适用的法律和法规
页数 3
内部控制定义(续)
内部控制是:
►为实现经营目标的动态过程和机制 ►一系列的:
应用程序控制可以分为两类:
系统自动控制
► 由系统自动完成的控制,无需人工干 预,在开发系统时已经考虑并嵌入到 系统中。
人工依赖系统控制
► 由系统完成部分的控制,需要人工干 预,且控制是否有效会受到人为因素 的影响。
控制类型
人工 自动
人工控制
人工依赖系统控制
系统自动控制
预防性
发现性
控制目标
页数 9
信息科技层面评估架构(续)
应用程序控制类型:
配置控制
来自百度文库登陆权限 /岗位分离
应用程序 控制
自动系统 接口
实时校验 /编辑检查
计算机 计算
页数 10
信息科技层面评估架构(续)
应用程序控制类型
► 实时校验/编辑检查控制:也称为系统录入控制,这类控制主要是确保录入到系统 中的数据的准确性,进行录入时系统会对重要字段的合理性、合规性和准确性进 行检查,防止一些不合适的数据被系统接受,造成系统数据的不真实和垃圾数据 的产生
页数 11
信息科技层面评估架构(续)
► 计划与组织 ► 获取与实施 ► 交付与支持 ► 监控与评价
页数 8
信息科技层面评估架构(续)
应用程序控制简介
应用程序控制是业务流程中控制的一部分,是在应用系统中由程序自动执行的 控制,用以替代很多由人工完成的基础性检查工作。由于应用程序控制普遍适 用于各种交易的处理,所以应用程序控制是否有效对于内控的有效性有着重要 的影响。
► 登陆权限/岗位分离控制:系统中用户的权限设置是否合理,是否按照职责需要进 行授权,是否考虑到岗位分离的情况
► 计算机计算控制:系统自动计算并保证计算的正确性,此类控制一般在程序开发 时已嵌入到系统中
► 自动系统接口控制:主要关注不同应用系统之间通过接口传递的数据是否准确完 整
► 配置控制:主要关注的是系统中维护的重要参数是否准确,这些参数对于系统的 运行和业务处理的正确性起着重要的作用