剖析企业IT风险控制与审计实务的论文

风险控制是公司IT治理机制的一个主要组成部门,在信息化作育中,须要治理与控制种种风险,以便到达掩护IT投资、保持系统一连运转的目的。以风险为导向的审计是公正回避IT风险的一种有用蹊径,在大型企业中无足轻重。企业IT风险控制与审计须要在充实推敲企业IT系统状态
浏览手艺Ctrl+D 珍藏本篇文章

  风险控制是公司IT治理机制的一个主要组成部门,在信息化作育中,须要治理与控制种种风险,以便到达掩护IT投资、保持系统一连运转的目的。以风险为导向的审计是公正回避IT风险的一种有用蹊径,在大型企业中无足轻重。企业IT风险控制与审计须要在充实推敲企业IT系统状态、IT治理结构和IT审计资源的基础上,自创与吸收国际相关企业IT审计的争先现实,周全前进IT审计水平和IT审计职员本质,有用回避IT风险,为企业的未来生长保驾护航。

  一、IT治理与风险治理

  IT治理是一种指导和控制企业种种关系和流程的结构,确保组织具有适当的结构、政策、使命职责、运营治理机制和监视实务,以到达公司治理中对IT方面的请求,旨在经由历程平衡信息手艺及其流程中的风险和收益,增添价值,以完成企业目的。IT治理是企业治理结构中弗成或缺的一部门,而相关的IT治理流程则可确保企业IT目的与营业目的保持不合,并可一连生长。是以,IT治理必须与企业战略分分时时彩目的不合,使IT施展更大的作用、创作缔造更多的价值,完成公司价值和利益的最大化。

  IT治理领域中,首重战略、组织架构、政策与外部流程。控制风险、绩效评量与供应价值则为组织架构中关注的焦点。同时,IT治理牵涉的领域,网罗:IT服务供应、IT服务支援、营运营业展望、基础作育治理与应用治理。其不合视角的IT治理作用以下表。

  保证一切的弱点都已被控制所笼罩应用风险控制与审战略略治理IT风险,请求企业的高层治理者具有优胜的风险熟悉,清晰明确企业对风险的态度,明确合规性请求,将风险治理的职责嵌入组织架构设计中,围绕信息化战略目的构建周全风险治理系统以阻拦有用的风险治理与控制。

  2、IT风险治理系统

分分时时彩  基于IT治理的IT风险治理须要推行一整套风险治理法式模范模范,必须培植风险识别、风险剖析与评价、风险回避与应对、风险监控等流程并严酷推行。从操作层面上剖析,IT风险治理中对IT风险的控制与审计是风险治理中的两个主要环节:

  (一)IT控制

  IT控制就是在治理结构下,为完成组织的目的供应公正保证而实验的一系列政策和法式模范模范,外部控制是一个一连的历程,为了保证组织运营的效力和效果、财政申报的可靠性和对有关司法和规章制度的遵守等情形下评价风险并设计、实验和一连监视控制措施。可以看出IT控制的主要目的是培植一个可一连监控的控制情形使组织风险可识别、可控、可治理。

分分时时彩  风险控制是指控制风险事宜发生的动因、情形、条件等,来到达减微风险事宜发生时的损掉落或降低风险事宜发生的概率的目的。风险没法完全扫除,仅能降低、控制与移转,关于残余风险,企业需自行核阅可吸收的水平。可是,在阻拦风险控制运动前,需先进行风险评价,关于潜在影响的弱点与威逼胪列出来,并剖析评价纠正的优先法式模范模范,然后再针对风险,设计有关的预防性、检查性与纠正性的控制。控制的设计,应当就风险评价后的效果,是以,完全的风险评价作业,是极端主要的,欠好的风险评价会影响后续控制设计,以致于控制推行的落实水平。当控制设计完成后,需再次检视相对应的治理政策与措施能否足够知足控制的目的,倘使现有治理政策文件没法知足控制目的的请求,应急速阻拦增修作业,务必到达与现有作业机制不合的目的。

  随着组织的生长对IT的依附日趋显着,外部原有营业和治理风险特点由于信息系统愈来愈普遍的应用而泛起了变换,营业对信息系统的依附性增添,是以必须培植起有用的风险控制系统。治理层应从基本的外部控制情形着手建置,从浅易信息手艺控制情形到营业流程中的外部控制情形,其中应思虑系统控制与人工控制慎密联络的协调性与完全性。

  (二)IT审计

  IT审计是一个取得并评价证据的历程,主要是断定信息系统能否能够保证资产的安然、数据的完全性、有用力应用组织的资源、有用果地完成组织目的地历程。

  IT审计是监视和评审IT控制措施的推行情形和有用性的主要手段之一,可以从组织所有营业风险的角度,对实验和运转的控制措施阻拦一连监控,以治理组织的营业风险。

  IT审计可以作为切合司法、律例和治理请求的控制手段,可以证实治理层培植并掩护了适当的内控措施;可以供应证据诠释营业相关数据的完全性,和可以证实具有正当权限的人准确会见数据;可以供应报警和审计申报确保治理层知道严重信息和任何厘革;IT审计可以围绕数据供应申报用于合规性评价,降低听从资源。作为组织IT风险控制的最后防线,IT审计为组织阻拦风险预防,前进设计准确性和增强应用的治理控制供应建议。

  (三)IT治理、IT控制与IT审计之间的联系

  IT治理是为组织培植一个长效的平衡的治理结构,在风险可控的情形下保证组织获益。平衡的情形在知足组织外部约束的同时须要推敲若何降低资源、前进股东收益、知足客户要求和培植优胜的社会笼统等条件下赓续调剂变换而到达的,是以IT治理着重于宏不雅不雅决议妄图方面,要做哪些事,由谁来做这些事,和若何培植决议妄图机制、若何阻拦有用监控等。

  IT控制就是在这样的治理结构下,为完成组织的目的供应公正保证而实验的一系列政策和法式模范模范,外部控制是一个一连的历程,为了保证组织运营的效力和效果、财政申报的可靠性和对有关司法和规章制度的遵守等情形下评价风险并设计、实验和一连监视控制措施。可以看出IT控制的主要目的是培植一个可一连监控的控制情形使组织风险可识别、可控、可治理。IT审计是一个取得并评价证据的历程,主要目的就是对组织实验的风险治理情形和控制情形的保证措施阻拦识别和评价,断定治理层关于控制的声明能否是可靠的,以是审计必须保持其自力性,以第三方客不雅不雅的态度阻拦检查和评价。

分分时时彩  IT治理、IT控制和IT审计之间既有联系又有差异。合营的关注点在于风险与保证。风险治理的主要目的是为了保证组织运营的效力和效果、财政申报的可靠性和对有关司法和规章制度的遵守。保证,主要来自一系列相互依存的控制政策与法式模范模范,和评价控制有用性的证据,这些证据可以证实控制是一连和充实的。IT治理要明确目的与偏向,为IT控制情形与运动设定明确的目的。IT控制要培植一个完全的,具有弹性的外部控制系统,应对组织面临的种种风险寻衅和意外事宜。IT审计是取得与IT控制和保证措施相关的证据,评价IT控制的有用性、评价IT绩效及IT战略与营业目的的切合水平。

分分时时彩  IT治理必须在风险与利益之间找到平衡,经由历程IT审计赓续促进调剂IT控制情形,使组织在风险可识别、可控、可治理的情形下保证组织利益最大化。

  3、企业IT风险控制与审计实务

  (一)组织框架

  企业IT风险治理组织框架应当从“决议妄图—治理—推行”三个层面设立风险治理天性性能,并辅以审计监视机制。

分分时时彩  决议妄图机构,通常以风险治理委员会的形式,行使风险治理的决议妄图、风险治理政策的制订与赞成等天性性能。

分分时时彩  治理机构通常为设置为风险治理委员会下的天性性能机构,如风险治理部,是风险治理政策的推行部门,担听凭证风险治理的规章制度,协调各推行机构的关系,推动风险治理措施的实验。

分分时时彩  风险治理政策与措施的推行是由信息手艺部门、相关营业部门等触及到IT及其安然运作的部门详细实验,特殊是信息手艺部门承当大部门的IT风险治理政策、手艺的实验。

分分时时彩  IT审计部门作为IT风险治理的监视与审计部门,担负检查、评价企业IT风险治理战略、政策、组织与实验的有用性,并提出治理建议。

  (二)IT控制与审计尺度

分分时时彩  企业IT控制尺度可以参考财政部等五部委联络宣布的《企业外部控制基本尺度》及配套指引,培植有用的IT外部控制框架内,从公司外部控制层面、信息手艺所有层面、营业流程层面等培植控制尺度。企业IT控制以风险为导向,尺度企业组织结构、明确岗位权力义务分配,培植迷信的绩效考察系统和制度,提升企业风险治理和应对才干,经由历程风险评价对企业外部控制系统阻拦一连评价和刷新,事实培植配套信息系统,完成内控系统的信息化落地。从风险的角度去核阅外部控制有没有做好;经由历程对绩效目的的监控去实时检测有没有风险发生,然后再去找到企业的弱点破绽;最后经由历程信息系统将这个系统落地推行。

  企业风险治理系统的控制层面上,外部审计施展偏主要的作用,以风险为导向的审计是公正回避IT风险的一种有用蹊径。IT审计应当培植一套完全的审计尺度、尺度,并供应可供参考的IT审计指南与实验细则。企业IT审计应当在外部审计全体框架下睁开,在制订外部审计章程时要体现信息化条件下外部审计使命的特点,制订有关IT审计的尺度与请求,须要时可进一步制订IT审计使命尺度。

分分时时彩  IT审计是信息手艺条件下的外部审计,具有较强的操作性请求,参考各行业的外部审计使命履历,吸收国家审计机关的制度与操作指南,可以从IT所有控制审计、应用控制审计两个方面体例实验细则。

分分时时彩  1.IT所有控制审计——确保法式模范模范和数据文件的完全性、确保信息系统优胜运转。审计内容网罗IT基础行动措施、系统开发、系统运转与掩护、厘革控制、群集安然控制、会见控制等普遍适用于一切的应用系统的控制。

分分时时彩  2.应用控制审计——应用控制与特定的应用法式模范模范有关,设计应用控制是为了应对威逼应用系统的潜在风险,确保应用系统处置赏罚赏罚数据的有用准确而实验的控制。应用控制审计主要网罗营业流程控制审计、数据输入处置赏罚赏罚输入审计,供应营业信息完全性、准确性、有用性、可用性保证。

  此外,企业的信息化妄图应当在充实推敲风险治理与审计需求的基础上,培植并完善信息化审计使命平台,充实应用信息手艺推动IT审计服务于企业治理与周全风险治理,完成价值增值。

  四、小结

  企业IT风险控制与审计是IT治理中的主要内容,本文提出的基于IT治理框架的风险控制与审计系统在企业IT治理实务中施展一定的作用,若何更深刻地探讨IT风险控制与审计及其作用机制、绩效评价等,还须要联络我国企业治理现状进一步睁开研究。

转载请注明泉源。原文地址:http://kinsr.com/html/Audits/20190818/8186069.html   

剖析企业IT风险控制与审计实务的论文相关推荐


联系要领
微旌旗暗记 xzlunwen
热门论文
14705193098 使命日:8:00-24:00
周 日:9:00-24:00