尤物视频网站,精品国产第一国产综合精品,国产乱码精品一区二区三区中文,欧美人与zoxxxx视频

　告別了輝煌與沉重的2008，我們迎來了嶄新的2009。新的一年在中國的傳統農歷里是“牛”年，雖然國際金融風暴的影響在國內日益顯現，我們仍相信未來的一年不少中國企業會抓住這次機遇真正牛起來。

　　新的一年很多法律法規即將實施，對國內上市公司而言，《企業內部控制基本規范》的實施將給不少企業帶來脫胎換骨的影響。2008年6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》(以下簡稱基本規范)?；疽幏蹲?009年7月1日起先在上市公司范圍內施行，鼓勵非上市的其他大中型企業執行。這個被稱為“中國版SOX”的規范，被無數人寄予了期望，未來5年內，基本規范的實施將對中國的上市公司和大型企業的規范化運作帶來實質性推動。這是我國繼實施與國際接軌的企業會計準則和審計準則之后，在會計審計領域推出的又一與國際接軌的重大改革。這部規范的推出，意味著中國企業內部控制規范體系建設正在向國際標準靠攏。

　　這套適用于中國企業的內部控制體系，其基本規范借鑒了COSO報告五要素框架和風險管理八要素框架;具體規范以財務報告內部控制為主線，對與企業財務報表項目相關的、可能會對財務報告真實可靠性產生較大影響的經濟業務事項以及與財務報表編報相關的業務活動提出具體的控制規范，并對為實現有效的財務報告內部控制的事前、事中和事后制度支持提出控制要求。企業的內部控制，應該貫穿于企業經營活動的決策、執行和監督的始終，涵蓋企業各種業務和事項。企業每一項經營活動，從工作的效率性及風險的控制性來講，都應強調過程控制，包括宏觀上公司治理結構的確立、機構設置及權責分配、人力資源政策、企業文化等，也包括微觀上企業股東會和董事會的決策程序，經理層及員工的執行程序和要求，監事會、內部審計委員會的監督程序，員工獎勵計劃，以及違反公司內部控制體系的罰則等等。

　　那么，對于企業內部的IT建設與控制而言，企業內部控制規范的實施會帶來怎樣的影響呢?CIO們如何系統考慮從企業IT的內部控制建設來保障企業內部控制。本文從IT內部控制與IT風險管理的角度，闡述企業IT控制與企業內部控制之間的關系。

　　1992年，Treadway委員會的發起組織委員會(the Committee of Sponsoring Organizations of the Treadway Commission)發布了《內部控制——整合框架》，2004年，該委員會又發布了《企業風險管理—整合框架》，在該框架附件C中明確：內部控制被涵蓋在企業風險管理之內，是其不可分割的一部分。無論是COSO框架，還是中國自己的企業內部控制規范，其基本控制目標無外乎防范風險、控制舞弊以及確保財務報告的真實可靠。現在大部分上市公司和大型企業，其企業運營已基本依賴于企業的各種信息系統，已經基本完成了企業信息化的初步建設，因此企業的內部控制就離不開企業IT的控制。

　　企業內部控制規范與IT內部控制的關系

　　企業內部控制基本規范包含的五要素框架：

　　(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱，是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。

　　(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程，是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。

　　(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所采取的確保企業內部控制目標得以實現的方法和手段，是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定，主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。

　　(四)信息與溝通。信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息，并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程，是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制及在企業內部和與企業外部有關方面的溝通機制等。

　　(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估，形成書面報告并作出相應處理的過程，是實施內部控制的重要保證。監督檢查主要包括對建立并執行內部控制的整體情況進行持續性監督檢查，對內部控制的某一方面或者某些方面進行專項監督檢查，以及提交相應的檢查報告、提出有針對性的改進措施等。企業內部控制自我評估是內部控制監督檢查的一項重要內容。

　　(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境，同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責，IT決策機制，IT合規與IT審計等。

　　(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃，IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。

　　(三)IT控制措施。針對風險評估的結果，在IT方面需要實施具體的IT控制措施，包括IT技術類控制措施，如防火墻、防病毒、入侵檢測、身份管理、權限管理等，以及IT管理類控制措施，包括各類IT管控制度與流程，如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離，授權審批等。

　　(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制，建立服務臺與事件管理程序，及時傳達企業內部層級之間和與企業外部相關的信息。

　　(五)監督檢查。需要建立IT內部控制體系的審核機制，評價IT控制的有效性。通過IT技術手段如日志、監控系統、綜合分析平臺等，和管理手段如內部IT審核、管理評審、專項檢查等措施，不斷改進企業的IT內部控制。

　　

　　綜合分析IT內部控制的組件，我們可以將IT的控制分為三個層面：

　　(一)公司層控制。在公司層面建立IT治理架構，完善IT組織與職責，制定IT決策機制，實行IT人員績效考核，加強IT合規與IT審計。

　　(二)流程與應用層控制。分析企業業務流程與活動，在企業業務流程、應用系統層面與通用IT流程層面建立控制，重點關注與財務報表相關的各種業務與應用系統的技術控制與流程控制。

　　(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源，分析具體每個資源點的風險，建立風險控制措施。

　　IT內部控制實施思路

　　企業內部控制規范并沒有對IT控制的目標和相關的控制活動做出明確的規定。國外上市公司會計監管委員會在審計準則中提及COSO內控框架可以作為評估內控的標準，但是COSO并沒有提供IT 控制方面的詳細控制目標和控制方法，從而進行IT治理。直到 COBIT(直譯為信息及相關技術的控制目標)被提出來以后，IT 治理才有了一個開放性的標準，目前其已成為國際上公認的最先進、最權威的信息安全與信息技術管理和控制的標準。該標準不僅可以指導企業有效地利用信息資源，而且可以指導企業有效地控制與信息相關的風險。所以建設和完善IT內部控制體系的指導框架必須同時結合企業內控框架和COBIT標準。

　　我們建議國內企業采用企業內部控制規范作為內控評估標準，結合國際上普遍采用COBIT框架作為IT 控制的標準，將COBIT的相關IT控制目標與COSO五個要素關聯起來，設計符合規范要求的IT內部控制體系。COBIT是一個很豐富IT內控框架，包括四個域、34個IT控制流程和318個詳細的控制目標，是一個相當全面的信息系統內控框架體系。對于想遵循內部控制規范的企業來說，該體系所提供的控制目標和考慮一般會超過其需求。

　　建議首先需要對IT相關的風險進行評估，建立IT控制矩陣，以COBIT為參照依據，選取其中適合本身業務特點、復雜性和需求的控制流程和控制目標為對象，建立IT內部控制框架，作為后續制定控制文檔體系和測試的基礎。同時，在具體控制措施上可融合ISO27001(信息安全管理體系)、ISO20000(IT服務管理體系)、Prince2(IT項目管理)、CMMI(軟件開發過程控制)等具體控制框架，分階段分步驟的實施。

　　另外一般企業或多或少已經建立了一些具體的IT控制措施，在建立IT內部控制體系時要充分考慮并整合企業原有的控制措施。針對每個風險點建立控制措施，逐步從技術和管理兩方面落實具體措施，并建立體系化運作與審核辦法。

　實施IT內部控制體系主要可以三個層面進行：IT公司層面、IT一般控制層面及IT應用程序控制層面。

　　IT公司層面涉及如下四個方面：

　　n 政策制訂：公司整體的IT治理架構、決策機制和IT基本策略

　　n 信息與溝通：IT制度的發布，溝通機制與管理程序

　　n 風險評估：建立風險評估流程和IT風險矩陣，包括信息資產評估程序，流程風險評估

　　n 監控檢查：建立IT技術監控措施，內部IT審核、管理評審、專項檢查等措施

　　IT一般控制層面主要包含以下幾個方面：

　　n 信息系統的開發和實施：開發與實施活動的管理、項目啟動、需求分析與設計、系統自行開發管理;

　　n 信息系統的建設與軟件包的選擇、測試和質量保證、數據轉換、上線、文檔與培訓等;

　　n 信息系統的變更和維護：授權和跟蹤變更申請、系統編程、測試和質量保證、遷移到生產環境的授權、文檔和培訓、變更管理等;

　　n 信息系統的操作和運行：對系統操作的總體控制、批處理、備份管理、管理數據中心環境、第三方管理、帳號與權限管理、用戶培訓、服務水平協議、問題管理、事件管理等;

　　n 系統和數據的訪問安全：信息安全組織和管理、信息安全策略和流程、數據操作、數據批量處理、數據安全、操作系統安全、內部網絡安全、邊界網絡安全、物理安全等。

　　n 應用系統的控制：系統的安全管理，訪問控制，流程和系統的完整性，數據管理與數據質量等。

　　IT應用程序控制主要包括在信息系統如ERP系統中針對財務相關的控制流程，主要包括

　　n 采購與應付賬款

　　n 銷售管理

　　n 資金管理

　　n 薪酬與福利

　　n 會計結算流程

　　n 折舊、折耗與攤銷的計算

　　n 成本管理

　　IT內部控制體系實施階段

　IT內部控制體系建設包括以下主要階段：

　　階段一：現狀調研及診斷。本階段主要實施任務是對IT內控現狀進行了解，確認IT控制的相關范圍，審閱相關政策和程序，調研和識別企業內部控制規范所要求范圍內的重點應用系統及模塊清單，對信息系統的相關控制設計情況進行了解，在現有的業務流程控制文檔基礎上，識別的有關自動/半自動活動控制活動描述，提出調研報告和改進建議。

　　階段二：風險識別與分析。本階段主要實施任務是在對現有的信息系統建設、實施與支持運維各個流程進行充分的風險評估、調研及訪談的基礎上，找到現有內控體系與完善的內控體系之間的差距，并分析所得到的差距結果，建立IT風險控制矩陣。

　　階段三：IT內部控制體系設計與整改方案。本階段主要實施任務是參照《企業內部控制規范》及COBIT框架要求，結合ISO20000與ISO27001標準，設計一套具有比較完善嚴謹、實際操作性以及可推廣性的IT內部控制體系。主要工作就是建立IT內部控制體系框架文檔體系，該文檔體系是未來建立IT控制管理細則文檔系統的基礎和指導準則。

　　階段四：培訓宣貫與運行推廣實施。本階段的主要實施任務通過宣講、培訓等方式，對企業各單位和人員進行內控流程設計和相關制度介紹和學習，在領導統一的部署下，督導其改進流程的實施。并根據建立好的IT控制框架體系進行試運行，推廣實施。

　　階段五：體系改進修正和監督優化。本階段的實施任務是在IT內控體系試運行一段時間的基礎上，通過測試，出具評估報告，并將各個部門和終端操作人員在試運行階段發現的問題、產生的問題及反饋意見，經過討論研究，出具試運行階段評估分析報告。結合反饋意見匯總評估報告和企業內部控制案要求，進行討論研究，通過分析問題，進而對整個ERP內控體系進行有針對性改進或修正，進而對流程的實際可操作性和可行性進一步的優化和完善。

　　小結

　　新年新氣象，金融風暴引起了業界對企業內部控制的廣泛關注，中國《企業內部控制基本規范》今年的正式實施將給國內企業的CIO與IT行業帶來新的要求，也將帶來新的活力與新的思路。國外SOX法案對IT控制與IT審計大大推動的現象在國內也將逐步重現，或許這也是金融風暴的正面影響之一吧。