IT内部控制基本原理
3 IT内控基本要素的具体内容
根据《企业内部控制应用指引-征求意见稿》的要求和对IT内控的理解,我们认为企业IT内控应该围绕财务及业务系统来进行,通过对财务及业务系统的数据、流程以及相关IT基础设施的控制来实现,各IT内控要素和系统各层面对应关系如下图所示:
IT内控基本要素对应关系图
以下是各个控制要素具体内容的简单介绍:
a 角色管理与授权审批
根据企业内部控制要素之一的内部环境控制要求:对结构治理、机构设置、权责分配、内部审计、人力资源政策、企业文化等方面进行控制。与其相对应的IT内控目标反映在对角色管理和授权审批的控制,主要内容包含:责任岗位的合理设置、岗位权责的合理分配、授权审批的正确流程等。
b 信息资源访问控制
对信息系统的访问控制体现在对财务数据各种安全属性的保护上,主要内容包含:对信息系统的正确操作;对访问数据的权限设置;对用户访问权限的管理;对访问控制安全措施的实现;对数据信息进行分级、分域保护以及对数据的备份恢复等。
c 系统开发、变更与维护控制
IT应用系统作为业务和财务的支撑,需要做得到严格控制,在应用系统的整个生命周期中的控制包括:系统的开发设计过程充分考虑业务和信息的集成性,优化处理流程,将相应的处理规则嵌入到系统程序中,对开发的功能进行备案和审核,并对外包第三方进行控制;在系统上线前需要制定详细的上线计划、明确的回退计划和数据迁移计划等;在系统投入使用前应进行整体测试和用户验收;系统上线后,对任何变更,应由相关部门审批后执行;在整个运维阶段,保证应用系统的可用性,制定系统备份恢复、应急响应等安全保护措施。
d 硬件及其他配套设备控制
硬件环境作为构建IT系统的基础,需要建立严格的硬件管理制度,对更新、扩充、修复、报废、流转等情况进行登记;硬件应放置在合适的物理环境中,由专人负责;物理环境的建设和配置需符合国家相关标准要求;需有硬件设备的使用、异常处理的制度,并严格按照制度处理故障。
e 财务相关应用系统的控制
对财务相关应用系统的控制是整个IT内控最为关键部分,是保证企业财务报告可靠的重要手段,控制内容如下:对财务应用系统业务流程的控制,规范记账、算账、保障等流程,降低人为的会计舞弊风险;建立完善的财务系统操作管理制度、规范,实现职责分离;并保障财务数据的可用性、完整性和保密性。
网友评论