内控审计参考资料.ppt

22 May, 2008 May 22, 2008 目录 内部控制定义 信息科技层面评估架构 IT公司层面控制 IT一般性控制 应用程序控制 IT审计的参考标准 内部控制定义(续） 内部控制定义(续） 内部控制定义(续） 信息科技层面评估架构（续） 信息科技层面评估架构（续） 信息科技层面评估构架（续） 信息科技层面评估架构（续） 系统自动控制 由系统自动完成的控制，无需人工干预，在开发系统时已经考虑并嵌入到系统中。 人工依赖系统控制 由系统完成部分的控制，需要人工干预，且控制是否有效会受到人为因素的影响。 信息科技层面评估架构（续） 信息科技层面评估架构（续） 信息科技层面评估架构（续） CoBIT 34个高层次控制目标 IT审计的参考标准——IIA应用控制审计 提高IT的成本效益和IT对企业收益的贡献 24 在预算范围内及时、高效、高质量的完成项目 25 ● 维护信息和流程架构的完整性 26 ● 确保IT符合相关法律、制度和合同的要求 27 ● 确保只有授权人员才能访问重要和机密信息 19 ● 确保业务较易的自动处理和信息交互是可信赖的 20 ● 确保IT架构和服务可以防御和修复因系统错误、恶意攻击或灾难带来的影响 21 ● 确保IT系统中断或变更对业务的影响降到最低 22 ● 确保IT服务满足需求 23 ● 使业务对IT目标、资源的影响透明化 18 保护IT目标的成就 17 ● 尽量避免IT解决方案和服务过程中的不足，以减少重复工作 16 确保IT提供符合成本效益的服务质量，提高连续性，并为将来的变更做好准备 28 ● 优化IT架构、资源和性能 15 是否与Basel有关联 CoBIT设定的目标 序号 IT审计的参考标准－CoBIT与Basel II的关系－目标驱动方法（续） 国际内部审计师协会(Institute of Internal Auditors?IIA)是由内部审计人员组成的国际性审计职业团体。成立于1941年。其前身美国内部审计师协会。 2007年IIA颁布了《应用控制审计》(Auditing Application Controls)用于指导应用控制的审计。 页数 * Basel 内部控制框架的定义 Internal control is a process effected by the board of directors, senior management and all levels of personnel. It is not solely a procedure or policy that is performed at a certain point in time, but rather it is continually operating at all levels within the bank. The board of directors and senior management are responsible for establishing the appropriate culture to facilitate an effective internal control process and for monitoring its effectiveness on an ongoing basis; however, each individual within an organisation must participate in the process. COSO 内部控制定义 内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现以下各类目标提供合理保证的过程： 经营的有效性和效率 财务报告的可靠性 符合适用的法律和法规 内部控制是： 为实现经营目标的动态过程和机制 一系列的： 制度 程序 方法 对风险进行事前防范、事中控制、事后监督和纠正 高级管理层责任 需要全体职工参与的工作 需要通过监控来确保有效性 流程A 商业流程/交易类别 关键应用程序 IT基础设施服务 数据库管理系统 操作系统 网络/硬件 流程B 流程C 应用程序X 应用程序Y 应用程序Z 流程A IT一般控制 控制环境 程序开发 程序变更 访问控制 系统运行 应用系统自动控制 输入控制 校验控制 系统接口 系统计算 权限控制 信息系统控制 识别信息系统范围 商业流程/交易类别 战略风险 运营风险 财务风险 合规风险 IT公司层面控制 信息科技层面评估架构 信息系统控制评估的建议构架基于国际通行的评估标准。其中，IT公司层面控制评估是基于COSO模型， IT一般性控制和应用程序控制评估是基于COBIT?模型。 监控 信息与沟通 控