企業內部控制基本規範所包含的五要素框架;
(1)內部環境。內部環境是影響和制約企業內部控制建立和實施的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織結構和權責分配、企業文化、人力資源政策、內部審計機構和反舞弊機制。
(2)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並采取應對措施的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(3)控制措施。控制措施是根據風險評估結果,結合風險應對策略,確保企業內部控制目標實現的方法和手段,是實施內部控制的具體方式。結合企業具體業務和事項的特點和要求制定控制措施,主要包括職責分工控制、授權控制、審批控制、預算控制、財產保護控制、會計制度控制、內部報告控制、經濟活動分析控制、績效評價控制和信息技術控制。
(4)信息與溝通。信息與溝通是及時、準確、完整地收集與企業管理有關的各種信息,並將這些信息以適當的方式在企業相關層級之間及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督、檢查和評價,形成書面報告並作出相應處理的過程,是內部控制實施的重要保證。
相應地,信息技術內部控制框架也應關註企業內部控制的五要素框架:
(壹)信息技術內部控制環境。企業IT領域的內部環境就是IT內部控制環境,同樣的IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理結構、IT組織和職責、IT決策機制、IT合規和IT審計。
(2)信息科技風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略和IT規劃,IT風險識別、分析和應對包括信息資產風險、IT流程風險和應用系統風險識別、分析和應對。
(3)信息技術控制措施。根據風險評估的結果,需要在IT中實施具體的IT控制措施,包括IT技術控制措施,如防火墻、防病毒、入侵檢測、身份管理、權限管理等。、以及IT管理控制措施,包括各種IT管理控制度和流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離、授權和批準等。
(4)信息與溝通。在IT領域,還需要定義具體的IT管理系統和溝通機制,建立服務臺和事件管理程序,並及時傳達與內部級別和外部企業相關的信息。
(五)監督檢查。有必要建立it內部控制體系的審計機制,以評估IT控制的有效性。通過日誌、監控系統、綜合分析平臺等IT技術手段。、以及內部IT審計、管理評審、專項檢查等管理手段。,我們將不斷完善企業IT內部控制。
綜合分析IT內控構成要素,古安天下將IT控制分為三個層次:
(1)公司級控制。建立公司層面的IT治理架構,完善IT組織和職責,制定IT決策機制,實施IT人員績效考核,加強IT合規和IT審計。
(2)流程和應用層控制。分析企業的業務流程和活動,建立業務流程、應用系統和壹般IT流程層面的控制,重點是與財務報表相關的各種業務和應用系統的技術控制和過程控制。
(3)資源層控制。針對企業業務運營所依賴的各種信息資產和IT資源,分析各個具體資源點的風險,建立風險控制措施。
參考資料:
答案來自固安天下網站顧問發布的相關文章。
關鍵詞是:企業內部控制和IT內部控制。