沙鸥老师 发表于 2021-3-13 10:59:25

16 大工20秋《内部控制与风险管理》辅导资料十六

内部控制与风险管理辅导资料十六主    题:第3部分IT治理与内部控制
第9章IT治理与内部控制(第1-9节)
学习时间:2021年1月11日-1月17日
内    容:
第9章IT治理与内部控制
这周我们将学习第九章第1-9节。希望通过下边的内容能够加深同学们对IT治理与内部控制的理解。
“不忘初心、牢记使命”主题理论学习:
每周文摘:我们党要始终成为时代先锋、民族脊梁,始终成为马克思主义执政党,自身必须始终过硬。全党要更加自觉地坚定党性原则,勇于直面问题,敢于刮骨疗毒,消除一切损害党的先进性和纯洁性的因素,清除一切侵蚀党的健康肌体的病毒,不断增强党的政治领导力、思想引领力、群众组织力、社会号召力,确保我们党永葆旺盛生命力和强大战斗力。
摘选自《决胜全面建成小康社会,夺取新时代中国特色社会主义伟大胜利》9.1治理的背景
近些年来,治理成为公司、政府、学术理论界所共同关注的焦点。最具代表性的出版物:
1992年发布的卡德伯利报告Report of Committee on the Financial Aspects of Corporate Governance。报告中在谈论财务报告和审计域的被容的同时也间接提到了治理的更广泛的范畴。
1999年BIS发布的Enhancing Corporate Governance for Banking Organizations。报告从治理关系的角度出发,协调了公司管理层与治理者及利益相关者的关系。
1999年BIS发布的Internal Control: Guidance for Directors on the Combined Code, Turnbull Report。报告中突出强调了由于信息技术应用不当或信息技术基础设施或新技术导致的风险问题。9.2IT治理的形成
国际信息系统审计域控制协会(ISACA)认为:“IT治理由关系和流程组成,包括信息系统、技术及连通性、商业活动、法律相关事宜及所有的利益相关者——公司董事、高级管理人员、业务流程的执行者、IT供应商、IT的使用者以及审计人员等。”
国内有观点认为,IT治理是为了保持IT与商业目标一致,推动商业活动的运营,合理使用IT资源,管理IT相关的风险,使收益最大化。
T治理协会对IT治理的定义是:“IT治理是执行层和董事的责任,由领导、组织架构和流程组成,确保企业的IT能够维护和发展组织的战略和目标。”
IT治理应该关注五个领域:与战略统一、传递价值、资源管理、风险管理和绩效评估。9.3IT治理的要点
IT治理是为了帮助管理层根据战略指导,将业务活动和IT进行整合,为企业提供需要的信息资源,实现IT在企业运营发展过程中的重要作用。
IT治理保护了公司的利益相关者的利益。
IT治理与公司治理相融合。
IT治理与业务活动的目标一致。
IT治理的主体和其他治理的主体相同。
IT治理与风险管理有密切关系。9.4COBIT 4.0
COBIT(Control Objectives for Information and Related Technology)
是IT治理协会提出的IT治理的框架,是目前国际上公认的最权威的安全与信息技术管理和控制的标准。它不仅是为了用户和审计者而设计的,同时也为管理层和公司流程的所有者提供了详细的指导。
参考全球范围被六个主要的与IT相关的标准、框架和实践,COBIT 4.0 的组成如下图:

业务对IT流程提供要求,IT流程对业务起到支持的作用,为业务提供所需要的信息。
IT流程有具体的控制目标,通过控制实践进行实施,这些控制目标也在审计指南中反映出来。
审计指南在对IT流程和控制目标进行充分了解的基础上进行审计。审计指南帮助中介评估机构或信息系统审计师对信息系统控制进行了解、评估和实施审计。
IT流程通过活动目标进行正确有效的实施。
三方面评价标准:关键绩效指标、关键目标指标和成熟模型。对企业的信息资源进行正确有效的管理。9.5COBIT 4.0的原理与框架
COBIT控制目标体系是在商业需要(也称业务需要)、IT资源、IT流程之间所产生的循环。为了满足商业需要,公司使用相关的IT资源,通过对IT流程的管理和控制,满足IT控制目标,提供公司需要的信息,促进公司目标的达成。所以,COBIT是由商业需要发起,促进对IT资源的有效管理,IT资源通过IT流程支持着企业的业务活动,给企业创造价值,如下图所示。

COBIT讲企业的IT流程和IT资源及对业务的需求进行了整合,成为三位立方体,业务需求对信息标准的要求有七个特征:
正确性(effectiveness):强调及时地、正确地和连贯地传递与公司的流程相关的信息
有效性(efficiency):强调通过资源的优化使用来提供信息
机密性(confidentiality):强调保护敏感信息的非授权披露
完整性(integrity):强调信息的正确性和完整性以及其与公司价值和语气的一致性
可用性(availability):强调在当前和将来公司流程需要的时候该信息可以获得
合规性(compliance):强调公司流程对法律、法规和合同协议这些外部的条件和内部的政策的遵循
可靠性(reliability):强调为管理层的公司运营和形式嫩神责任提供恰当的信息
IT资源包括:
信息(information):由信息系统输入、处理和输出的数字、文字、图形及声音等广义的数据
应用程序(applications):处理信息的自动化的用户系统和手工流程
基础构造(infrastructure):使应用程序能够运营的科技和设备
人(people):被要求计划、组织、获取、执行、传递、支持、监控和评估信息系统和服务的个人。
IT流程是对信息及相关资源进行计划、处理和控制的过程。COBIT按照信息系统的生命周期将IT流程划分为四个域,并确定了各个域内的IT流程。因此,COBIT将企业对IT信息的要求和IT资源的要求以及IT的各个流程紧密地融为一体。
四个域:计划组织,获取和实施,支付和支持,监控和评价。
(1)计划组织的10个流程:
定义一个战略的IT计划
定义信息基础设施
决定技术方向
定义IT流程、组织和关系
管理IT投资
沟通管理目标和指导方向
管理IT人力资源
管理质量
评估和管理IT风向
管理项目
(2)获取和实施的7个流程:
辨别自动解决方案
获取和维护应用软件
获取和维护科技基础设施
运营和使用生效
获取IT资源
管理文化
安装和授权方案及其更改
(3)支付和支持的13个流程:
定义和管理服务水平
管理第三方服务
管理绩效和能力
确保连续的服务
确保系统安全
辨别和摊销成本
教育和培训用户
管理服务台和偶发事件
管理参数
管理问题
管理数据
管理实务环境
管理运营
(4)监控和评价飞4个流程
监控和评价IT绩效
监控和评价内部控制
确保管理的合规
提供IT治理9.6IT流程、IT治理、COSO、COBIT IT资源和COBIT信息特征的直接关系
IT治理协会提供了COBIT IT流程与IT治理的五个关注区域、COSO内部控制整合框架的五个组成部分、IT资源和信息特征之间关系的图。该表格提供了指导性质的重要性指标,对于各个企业而言,应该根据自身的情况进行判断。9.7COSO-COBIT-SOX
《萨班斯法案》的诸多条款都涉及内部控制,对上市公司的内部控制提出了严格的要求,特别是404条款。COSO内部控制整合框架与COBIT相结合,可以对《萨班斯法案》关于内部控制的要求的合规达到比较满意的解决方案。 9.8ITIL
ITIL的全称是信息技术基础架构库(IT Infrastructure Library),是由位于英国Norwich的政府商务部在20世纪80年代中期为提高英国政府部门服务质量而开发的针对IT行业的服务管理标准库,属于全球范围内IT服务管理领域较为成熟的实践框架之一。
ITIL是由一系列的书组成的,为所有的IT服务提供商和IT服务管理提供了规范、指南和最佳实践。主要两份出版物为《服务支持》和《传递服务》。ITIL现在的出版物已经将涵盖的范畴拓展到定义和开发有效的IT流程,例如:新系统的开发;信息和交流科技基础构造的设计和计划等。同时信息安全管理也是ITIL的一个重要组成部分。
ITIL其他相关的重要出版物:
《计划实施服务管理》、《ICT基础结构构造》、《应用程序管理》、《安全管理》、《商业观察》。
ITIL与COBIT 4.0的区别和联系:
COBIT 4.0关注到企业需要在哪些方面进行控制,而没有提供具体的实施指导。
COBIT主要面对的事企业高级管理层、企业高级IT管理人员和信息系统审计人员。
ITIL是企业的最佳食物,列出了各个谷物管理流程的最佳实践,但是没有广泛的控制架构和度量的标准,其关注的是方法和实施的过程。
ITIL主要面对的事服务管理人员和IT人员。
COBIT 4.0 已经参考和吸纳了ITIL(1992-2004)的相关内容,在实践方面已经有所提高。9.9BS7799/ISO/IEC17799
BS7799是由英国贸工部立项,由政府、业界和商业机构共同倡导的,可供开发、实施和测量有效安全管理惯例,它是贸易伙伴之间信任的通用框架。
BS7799主要包括两个内容:信息安全管理实施细则和建立信息安全管理体系的规范。
ISO/IEC17799提出信息是公司重要资产的观点,声称信息具有重大的价值,需要对其进行证券有效的保护。ISO/IEC17799在安全风险评估的基础上,通过组织结构、政策、流程、软件功能确保业务活动的连续性,最大化投资回报。
BS7799/ISO/IEC17799与COBIT 4.0 的区别和联系:
BS7799/ISO/IEC17799虽然强调了信息安全管理系统的有效性、经济性、全面性、普遍性和开放性,但是其广而不精,深度不够。
COBIT 4.0则紧密联系了企业的战略目标,确定了34个IT流程和318个控制目标。
COBIT 4.0考虑到了ISO/IEC17799:2005 信息安全管理准则。COBIT 4.0架构的34个流程中,有20多个流程中关注到了信息安全。 本周要求掌握的内容如下:
基本理念:治理的背景、形成、要点;COBIT 4.0的原理与框架;IT流程、IT治理、COSO、COBIT IT资源和COBIT信息特征的直接关系。习题:
【例题1·单选题】委托生产的存货,应根据生产请求编制计划书,委托生产计划应经过相关授权的人员进行审核,审核包括计划的有效性、(   )等内容。
A.成本收益性
B.可行性
C.符合性
D.相关性
【答案】A【例题2·多选题】企业应配备合格的人员办理存货与固定资产业务。办理存货与固定资产业务的人员应当具备良好的(   ),遵纪守法,客观公正。
A.业务知识
B.职业道德?
C.会计知识
D.理论知识
【答案】AB【例题3·多选题】企业可以根据业务特点及成本效益原则选用计算机系统和网络技术实现对存货的管理和控制,但应注意计算机系统的(   ),并制定防范意外事项的有效措施。
A.有效性
B.相关性
C.可靠性
D.安全性
【答案】ACD
本内容由易百网整理发布
网址www.openhelp100.com
QQ 515224986
页: [1]
查看完整版本: 16 大工20秋《内部控制与风险管理》辅导资料十六