IT内部控制基本原理
二、IT内部控制基本原理
《企业内部控制基本规范》并没有给出具体的IT内控标准方法,如何实现企业内部的IT控制,达到《企业内部控制基本规范》的要求呢?美国SOX法案的302、404条款为IT内控提出了相应控制要求,该法案已经成功颁布并得到实施,另外 《企业内部控制基本规范》和美国SOX法案有很多相似之处,所以,美国SOX法案中的IT内控方法值得我们借鉴。
1 SOX中的IT内部控制模型
在针对SOX方案中的IT内控要求上,美国上市公司普遍采用COBIT(《信息系统和技术控制目标》)的IT内控思想作为企业内控中的IT内控框架,并结合企业实际情况设计出符合规范要求的IT内控体系;具体控制措施采用ISO17779(信息安全管理体系)、ITIL(IT服务管理)等标准中的最佳实践,整合企业原有的控制措施,落实具体的控制方法。下图是SOX法案中IT内控模型图:
在SOX法案中,企业IT内控由三个基本面组成:控制要素、控制目标和遵循原则。IT内控要素也是企业的内控要素;控制目标作用在这些控制要素之上;遵循原则为整个IT内控的基本准则,也是要求达到的最终效果。通过这几个方面的相互作用,从而实现IT内控措施。
2 联想网御IT内部控制模型
联想网御的IT内控方法是结合我们在IT内控中的最佳实践,并参照《企业内部控制基本规范》的相关要求,开发出了适合中国国情的IT内控模型。联想网御的IT内部控制模型由三个基本面组成:IT内控基本要素,IT内控基本属性和对应的IT资源,对应关系如下图所示:
* IT内控的基本要素
IT内控的基本要素是IT内控的主要内容,包含:角色管理与授权审批,信息资源访问控制,系统开发、变更与维护控制,硬件及其他配套设备控制和财务相关应用系统的控制五个方面。
* 企业内控中的IT资源
IT资源是IT内控的对象,按照IT系统的层次可分为:基础设施、应用系统和业务流程三个层面。
* IT内控的基本属性
IT的基本属性是IT内控的实现目标,可分为:安全可靠、业务连续、法规符合、稳定高效4个属性。
通过对上述三个方面的实现,最终形成了一个立体的、多层次的、科学的联想网御IT内控模型。
网友评论