信息技术环境下内部审计.ppt

《信息技术环境下内部审计.ppt》由会员分享，可在线阅读，更多相关《信息技术环境下内部审计.ppt（87页珍藏版）》请在三一文库上搜索。

1、,信息技术环境下内部审计,内部审计与信息系统审计,信息系统审计是与内部审计紧密结合的，最早的计算机审计来源于内部审计,一、信息系统审计的起源与发展,1.1 国外： 八十年代、九十年代信息技术的进一步发展与普及，使得企业越来越依赖信息及信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的信息系统风险评估与审计出现。,1. 信息系统审计的起源与发展,1.1 国外： 信息系统审计与控制协会ISACA 总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会，现有会员两万多人，它是从事信息系统审计的专业人员唯一的国际性组织。,1. 信息系统

2、审计的起源与发展,1.1 国外： CISA 是信息系统审计领域的唯一职业资格 ISACA每年举办CISA资格考试，通过考试的人员可以申请CISA资格，符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。CISA资格在世界各国都被广泛的认可。国内获得此资格的有三百多人。,1. 信息系统审计的起源与发展,1.2 国内： 1994 年2 月，我国颁布了中华人民共和国计算机信息系统安全保护条例，提出了计算机信息系统实行安全等级保护的要求。 安全等级保护的总体目标是确保信息安全和计算机信息系统安全正常运行，保障：信息的完整性、可用性、保密性、抗抵赖性、可控性等（其中完整性、可用性、保

3、密性为基本安全特性要求）。,1. 信息系统审计的起源与发展,1.2 国内： 1994 年2 月，我国颁布了中华人民共和国计算机信息系统安全保护条例，提出信息的完整性、可用性、保密性、抗抵赖性、可控性等要求。 1999年2月9日，我国正式成立了中国国家信息安全测评认证中心。 2002年4月15日 全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。 2005年12月16日 国家网络与信息安全协调小组正式通过了信息安全风险评估指南。,管理计划与IS的组织,信息资产的保护,灾难备份与业务持续计划,技术基础与操作实务,业务应用系统的开发取得实施与维护,业务过程评价与风险管理,2. 信息系统

4、审计的内容,3. 信息系统审计与内部控制,4. 信息系统审计的标准与依据,计算机系统安全评估标准（TCSEC） 由美国国防部于1985年公布的，是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。,4. 信息系统审计的标准与依据,信息技术安全评价的通用标准（CC） 由六个国家（美、加、英、法、德、荷）于1996年联合提出的，并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则. CC标准是第一个信

5、息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。,4. 信息系统审计的标准与依据,ISO13335标准 首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为核心的安全模型：企业的资产面临很多威胁（包括来自内部的威胁和来自外部的威胁）；利用信息系统存在的各种漏洞（如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等），对信息系统进行渗透和攻击。,4. 信息系统审计的标准与依据,“信息系统和技术控制目标”（COBIT） 是IT治理的一个开放性标准，目前已成为国际上公认的最

6、先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。,4. 信息系统审计的标准与依据,4. 信息系统审计的标准与依据,4. 信息系统审计的标准与依据,5. 信息系统审计的过程,审计计划和检查： 检查被审计单位的IT政策、实务及组织结构； 检查一般控制和应用控制的情况； 计划控制测试和实质性测试的程序；,5. 信息系统审计的过程,控制测试： 实施控制测试； 评价测试结果； 确定对控制的依赖程度；,5. 信

7、息系统审计的过程,实质测试： 实施实质性测试； 评价测试结果并签发审计报告； 审计报告,6. 信息系统审计的技术,内部审计与IT治理,内部审计方法,IT治理,IT治理是信息系统审计和控制领域中一个相当新的概念 IT治理其定义汇集了以下3中观点： Robert s.Roussey认为：IT治理用于扫描被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的引用对于组织能否达到他的远景、使命、战略目标至关重要。 德勤定义如下：IT治理是一个含义广泛的概率，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。 国际信息系统审计与控制协会（ISACA）定义如下：I

8、T治理是一个由关系和过程所构成的体制，用于知道如何控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。 IT中国治理研究中心在综合研究的基础上提出如下定义：IT治理用于描述企业或征服是否采用有效的机制，使得IT引用能完成组织赋予的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。,公司治理和IT治理,公司治理是一个设计公司的管理层、董事会、股东和其他利益相关者之间的一整套关系体系，是在所有权和经营权分离条件下，为解决所有者和经营者因委托代理关系所产生的利益不一致，二建立起来的互相制衡机制，从而减低管理风险，实现组织目标。 IT治理关键因素是使IT与业务融合，以实现组

9、织的业务价值。 IT治理框架由一系列结构、流程和相关机制组成。IT战略委员会、风险管理和标准IT平衡记分卡。 作为公司治理的一个重要组成部分，IT治理包含了确定企业如何应用IT的一系列问题。因此，在整个企业治理中，评价IT治理成为越来越重要的内容,IT治理与内部审计,内部审计是一种独立、客观的保证，是为了机构增加价值并提高机构的运行效率；它采用系统化、规范化的方法评价风险管理、控制及治理过程并提高其效率，从而帮助实现组织目标。 关于内部审计在IT治理过程中的职责，美国的萨班斯奥克斯莱法有明确规定，在美国上市公司内部审计师应帮助管理层对公司IT应用控制和IT一般性控制进行评估并出具报告。,IT治

10、理标准,一个有效的IT治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT治理框架，指定决策以及如何在关键的信息技术领域去确定。,企业风险管理的必要性,案例一：美国安然公司 (Enron),在2002年，安然是美国最大的石油和天然气企业之一 2001年末，安然宣布第三季度录得6.4亿美元的亏损，美国证监会对该公司进行调查，发现该公司在1997以来虚报利润5.8亿美元 2001年末，安然申请破产保护令，但在之前10个月内，公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利,调查发现： 安然的董事会及审计委员会均采取不干预(“ha

11、nds-off”) 监控政策 事件发生之后，部分董事表示不太了解安然的财务状况、 期货及期权的业务 安然重视短期的业绩指标 安然管理高层常常藐视或推翻公司制定的内控制度,企业风险管理框架,什么是风险管理？,企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。 美国内控研究委员会,企业为何要建立风险管理？,因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此，企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利的关键因素，并对那些会影响企业达标的

12、风险进行监控及管理,股东对企业风险管理最关心的四个问题：,企业知道它所面对的主要风险吗？ 例如：什么风险正在或将会影响企业的业务？ 企业的品牌 新产品、新市场的开发 战略联盟 客户或供应链的管理,理想的情况： 企业能开发一套标准的、共通的风险语言，从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通,企业是否已对这些风险设置内部控制？ 企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制) ，以确保企业能实现目标和符合各方面的法律、法规,理想的情况： 企业就其所面对的风险

13、和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨,企业的内部控制有效吗？ 企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力,理想的情况： 企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报,哪一些内部控制必须改进？ 企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施,理想的情况： 企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务计划、政策和程序进行修正,企业风险管理框架,一个基础 三道防线,风险管理总目标,一、全面风险管理的目标,-38-,公司治理与风险管理有什么关系？,公司治理是风险

14、管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理 近年多个国家都订立了公司治理的最佳守则： 美国：纽约证交所最佳治理守则 英国：Cadbury/Hampel Report、The Combined Code 加拿大：Dey Report OECD Report 这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任,如何构建一个有利风险管理的公司治理结构？,建立一个健全的、以董事会为首的公司治理结构 订立企业的目标和战略，包括企业的风险政策和极限 贯彻一套重视风险管理的企业文化和价值观,第一道防线：业务单位防线,业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的

15、风险，是企业的前线 企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线,如何建立第一道防线 了解企业战略目标及可能影响企业达标的风险 识别风险类别 对相关风险作出评估 决定转移、避免或减低风险的策略 计设及实施风险策略的相关内部控制,(风险宇宙TM ),资信,制度,知识产权,财务,流动资产与 信贷,资本结构,市场,财务报告,营运,法律,生产程序,营商环境,市场结构,民风与文化,管治,策略,董事会活动,交易,并购,变卖,声誉,道德,社区责任,风险管理,董事会及 管理层业绩,组织结构,监察与沟通,执行,筹划与开发,利益有关方,供应商,政府,顾客,股东,经

16、济情况,国家情况,市场变化,竞争对手,人才资源,雇员,沟通,有形资产,机器、厂房 与土地,其他 有形资产,负债,合约,法规,市场与销售,生产及流通,商品/服务开发,流程,估值与 选择买家,评估与甄选,尽职调查,并购后整合,资信管理,运营,组织与监察,硬件,软件,网络,无形资产,知识管理,信息,现金管理,对冲,融资,股东资本,债务,商品,利率,外汇,税务,会计,合规,风险宇宙,战略性风险是指公司因作出战略性错误的决定而导致经济上的损失 战略性风险是业务单位、高级管理层和董事会的共同责任 常见的战略性风险包括： 企业的目标与方针 市场潜在的威胁 业务的范围(深度与广度) 品牌及形象的建立,战略性风

17、险,与战略性伙伴的合作 投资和融资的策略 员工的素质和雇员关系 企业的信息及监控系统,市场风险是指因市场价格或利率波动而使公司产生经济损失的风险 构成市场风险的三大因素： 因买卖或投资金融产品而产生的风险 因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险 资金流动性风险 常见的市场风险包括： 利率风险 外汇风险 股票与债券市场风险 商品价格风险 期货、期权与衍生工具风险,市场风险,操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等 流程风险是指交易流程中出现错误而引致损失的风险，流程包括如：销售

18、、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险 人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险 系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险 事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险 业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域,操作风险,风险发生的可能性,风险对企业造成的影响,风险处理方法的效果,风险地图(或风险共同语言),影响程度,几乎 肯定,极可能,可能,低,极低,B,C,A,G

19、,I,D,J,K,H,E,F,可能性,说明: A 人力资源风险 B 财务风险 C 竞争风险 D 开发风险 E 过度自信风险 F 系统故障风险 G 主要客户风险 H 欺诈风险 I 政治风险 J 薪酬奖励风险 K 科技风险,大型集团风险管理分析,风险控制地图,风险处理组合,处理评级,风险评级,近乎没有效果,低效,适中,超标,极度,极高,高,中等,低,A,G,I,D,J,K,H,E,说明: A 人力资源风险 B 财务风险 C 竞争风险 D 开发风险 E 过度自信风险 F 系统故障风险 G 主要客户风险 H 欺诈风险 I 政治风险 J 薪酬奖励风险 K 科技风险,F,采取行动,密切监控,定期审阅,风险

20、处理策略,风险策略 避免 禁止交易 减少或限制交易量 离开市场 转移 套期 保险 策略性联盟 其他分担风险的安排,小心管理 投资 广泛保护的安排 订价反映风险程度 可接受 自我保险 预留储备 增加监督,风险处理策略,影响程度,大,小,企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控 企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新,第一道防线：总结,第二道防线：风险管理单位防线,第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批

21、委员会、投资审批委员会 风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括： 编制规章制度 对各业务单位的风险进行组合管理 度量风险和评估风险的界限 建立风险信息系统和预警系统 、厘定关键风险指标 负责风险信息披露、沟通、协调员工培训和学习的工作 按风险与回报的分析，为各业务单位分配经济资本金,第三道防线：内审单位防线,第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题 内部审计的定义：,内部审计的三大功能,财务监督 财务帐的可用性 内部管理和制度的执行 典型例子：检查分、子公司上报总部的财务报表的 准确性以及执行财务管理政策的情况 经营诊断 管理

22、审计以及效率和效益审计 检查和诊断经营和管理过程中的偏差和失误 典型例子： 企业对某业务单位或某部门执行效益审计 (一个输入与产出的关系),咨询顾问 企业风险管理和发展策略方面的咨询 调查领导关心的热点问题和管理薄弱环节 典型例子： 兼并收购时调查被投资公司的内部管理和 流程操作，了解薄弱环节或其他影响并购 交易的重大事项，从而确定管理方法和 并购策略,构建企业风险管理的关键成功要素,1. 股东确立对企业监督的机制，考虑是否需要在集团层面： 引入以董事会领导的管理体制 聘任有经验的外部董事，来加强对企业的监督 要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报,2. 管理高层的支

23、持和参与 确立方向和目标 营造必要的环境 为平衡风险与回报作出战略性的决定,风险,调整风险 后的回报,3. 建立风险管理文化 风险管理的手段，必须融入日常的管理流程 通过讨论和培训，使风险管理的实施得到“全民” 的支持 通过经验的分享，不断加强风险管理的认同性 4. 采用先进的风险管理的实施方法 借鉴如美国 Treadway 委员会所提出的COSO内控框架 采用各种识别和度量风险的先进的方法 采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统,二、大型集团风险管理分析,形成了中国神华风险管理文化,大型集团风险管理分析,-64-,内部控制与风险管

24、理、企业管理的关系,正确认识内控与审计、风险管理、企业管理的关系,-65-,内部控制系统与风险管理、企业管理的关系,风险管理 利用风险评估方法发现企业固有风险 评价其可能性或者损失 用内部控制的措施进行控制 得到企业的剩余风险 固有风险-内部控制=剩余风险 企业的剩余风险 企业对风险的容忍度,企业价值地图,-67-,华电财务风险管理建设方案,1、全面风险管理解决方案 2、财务风险管理解决方案 1)、目标管理； 2)、风险体系； 3)、风险识别； 4)、风险评估 5)、风险监控,-69-,-70-,企业全面风险分类,法律风险,运营风险,战略风险,财务风险,市场风险,企业风险,1、全面风险分类,2

25、、全面风险管理解决方案,-71-,3、财务风险管理解决方案,理论依据 2004年，国资委开展组织研究国有企业风险管理工作 2006年，国资委发布全面风险管理指引纲要 2007年，在大型企业风险管理论坛上国资委表示，风险管理将成为国资委对央企领导人员考核和评价央企的重要指标 2008年，国资委关于开展编报试点工作有关事项的通知（国资厅发改革20085 号），要求31家央企试点企业进行全面风险报告的递交 2008年，财政部、证监会、审计署、银监会、保监会五部委联合发布了企业内部控制基本规范,-72-,-73-,风险管理流程图,2、财务风险管理解决方案,风险体系管理,风险分类 战略风险 财务风险 市

26、场风险 运营风险 法律风险,系统管理,属性设置 可能性 损失度,内部控制 体系维护 流程管理,风险应对措施 风险规避 风险转移 风险降低 风险接受 风险利用,指标体系,-74-,2、财务风险管理解决方案,风险体系管理,风险分类 战略风险 财务风险 市场风险 运营风险 法律风险,系统管理,属性设置 可能性 损失度,内部控制 体系维护 流程管理,风险应对措施 风险规避 风险转移 风险降低 风险接受 风险利用,指标体系,-75-,您现在的位置：风险识别调查问卷,2.财务风险管理解决方案-风险识别,风险识别,风险事件分析,风险指标分析,调查问卷,访谈,业务流程分析,风险清单管理,问卷填写,问卷收集,问

27、卷统计,问卷发放,问卷设计,企业环境分析,-76-,风险分析,风险评价,风险地图,可能性分析,影响度分析,风险测评表,部门风险测评表,重大风险清单,风险坐标图,各部门风险等级 堆积图,XX部门风 险堆积图,2.财务风险管理解决方案-风险评估,建设思路,-77-,2.财务风险管理解决方案-风险评估,风险评估方法敏感性分析样例：,风险评估,风险地图,风险分析,风险评价,-78-,-79-,风险坐标图法,承担A区域中的各项风险且不再增加控制措施 严格控制B区域中的各项风险且专门补充制定各项控制措施 确保规避和转移C区域中的各项风险且优先安排实施各项防范措施,风险评估,风险评价,风险地图,风险分析,您

28、现在的位置：风险评估风险地图,影响程度,01 库存现金风险 02 应收账款风险 03 长期借款风险 04 发电标煤单价风险,-80-,风险应对与控制,2.财务风险管理解决方案-应对与控制,您现在的位置：风险应对与控制风险应对方案,效果与反馈,风险应对方案,风险应对措施,2.财务风险管理解决方案-风险监控与报告,模块定义,您现在的位置：首页风险监控与报告,重大风险监控表,风险编号：GZ08M.01.01 所涉及内控流程：燃料成本管理流程 流程目标：规范燃料管理体系，降低燃料成本 流程层面影响流程目标实现的风险：XXXX 风险控制点描述：XXXX 控制发生的频率(选择)：每月/每季/每周/每天/频

29、繁发生/按需不定期/系统控制/半年 控制类型（选择）:过程核查/系统设置/关键绩效指标/例外情况报告和预警报告/配置帐项映射控制 系统/系统访问权限/管理层审阅/部门内审查/职责分工/文件页面保留/其他 控制点负责部门:燃料管理部门 控制点负责人:张三 是否适用集团公司:是 是否适用二级单位:否 控制点执行日期:2009-05-12,风险指标预警,风险监控与报告,突发风险处理,风险报告,突发风险处理,风险预警报告,突发风险处理,风险分析报告,风险事件处理,危机管理,重大风险监控,-81-,风险事件处理记录表,-82-,风险指标预警,风险监控与报告,突发风险处理,风险报告,突发风险处理,风险预警

30、报告,突发风险处理,风险分析报告,重大风险监控,危机管理,风险事件处理,2.财务风险管理解决方案-风险监控与报告,2、任务编组,紧急应变小组 危机处理小组 营运持续执行小组,危机管理机制,及时沟通说明 遗留问题处理 评估、总结、整改,事故一线调研 应急预案实施 协调干系机构,3、危机应对,应急预案准备 人力资源贮备 物力资源准备 组织应急培训,1、应急准备,4、善后处理,风险指标预警,风险监控与报告,突发风险处理,风险报告,突发风险处理,风险预警报告,突发风险处理,风险分析报告,重大风险监控,风险事件处理,危机管理,-83-,重大风险专项分析报告,由于煤价暴涨，公司经营业绩大幅下滑，出现了自成

31、立以来首次且幅度较大的整体性亏损。为突出主要原因经过分析，在只考虑煤价波动影响变动成本因素（V）情况下由公式V=（标准煤耗平均数）*10-6*（发电标煤单价），结合下图实际数据计算可知，当标煤价每吨上涨20元则每度点的燃料成本将直接大约增加0.7分，这将严重影响企业经营利润目标的实现，若按照现有状态持续增加，更将大大增加企业的财务风险。,应对措施： 1、健全跨区域协调采购调运机制|2、杜绝亏吨、亏卡，降低场损和热值差|3、结合电量计划、煤耗供应形势和库存状况，合理制定煤炭采购计划|4、协调实施煤电联动机制,风险指标预警,风险监控与报告,突发风险处理,风险报告,突发风险处理,风险预警报告,危机管理,重大风险监控,风险事件处理,风险分析报告,-84-,财务报告系统的功能,股东,监管部门,其他利益相关者,分析和修正,企业远景、 战略和目标,企业经营、 管理和控制,企业业绩的 度量和报告,财务报告系统,财务信息披露和报告,财务报告系统管理,