陈浙一： IT审计为企业内控登顶护航

大家下午好，非常感谢主办方给我这次交流的机会，下面我给大家分享一下，我们在企业内控的研究情况，主要分四个情况：

第一，介绍一下企业内控的理解。第二和第三是我们这次交流的主要内容，主要介绍监控在五个元素里面，在金字塔顶端的监控。第四，

我们企业的经营目标有很多种，概括起来通过有效和高效的运营，通过定期发布真实可卡的账务报告，并且符合国家和社会的要求，从而得到社会公众的信任和认可。我们可以来看这个实例，第一个公司是国外的一家公司，这家公司有一个特点，目前是拥有21000名雇员，是世界上最大的典礼、天然气以及电讯公司之一，某年披露的营业额达1010亿美元，连续六年被财富杂志评选为美国最具创新精神的公司。另外一家公司，每股盈利当年达到前所未有的0.51元，股价则先知先觉，在5个的时间里从13.97元启动，一路狂升，涨到35.83。第一家公司是安然，第二家公司是银广夏，银广夏的神话不用我介绍大家都知道的。通过这两个例子可以看一下，为什么要谈内控？内部控制定义内部控制是由公司董事会、管理和其他员工实施的，为实现，经营的效果性、效率性、财务报告的真实性的。不知道大家是否知道COSO金字塔的要素：第一个是控制环境，经营管理层对经营管理的态度，反映了公司最高层对控制的基准掉，首先对企业进行风险评估，来鉴别和分析来自内部和外部的相关风险，并选择适合的风险进行管理的过程。有了这个管理货贿有控制活动，围绕着要达到的目标，对各个风险进行管控，在此之间我们会从公司的董事会到管理层、到最底层的员工有一个信息传递、管理层与公司之间的各种信息。但是位于金字塔顶端就是我们这次讨论的监控，是为企业内部控制合理，并得到有效执行内控程序。包括控制环境、风险评估、控制活动一系列的活动。

我们现在的问题是如何达到监控的顶端，怎样来做才能使监控有效？其实COSO在内部控制的定义，它强调内部控制只是一个过程，五个过程元素里面控制环境、风险评估、控制活动、信息沟通和监控都是一个过程，因为是过程就具备两个要素的持续性，内控生命周期；第二个是实施性，我们控制环境里面发生的这些事情是不是合规、是不是符合效果。正是因为一个过程期做起来就非常的困难。大家都知道安然，安然实践导致全球四大会计事务所变成了四大，而且后来彻底打击了美国资产公司的信息。同样美国的这些公司，或者是国外西方这些国家总是在在我们国家的前面，当然我们国家跟进的也非常快，今年年底要启动央企的内控规范，并且新的安全规范也根据国外的标准逐渐建立起来，这是其中摘录的一部分。

下面看一下SOX法案对企业内控条款，分别对财务报告负责，管理层对财务报告的管理负责，尤其是信息活动的关系越来越密切，或者说越来越依赖信息系统的环境下，如何在IT情况性保证信息系统安全的要求。这是国内在纽约上市的一家公司，这里面缺陷有176个，其中169有已经制定出修补计划，其余7个正在制定过程中。其中信息技术缺陷65，位居首位，占所有缺陷项的1/3。这张图大家也非常的熟悉，96%的网络安全来自于内部，藩镇是IDS、IPS都有了，但是照样有那么的问题存在。因为我们在现有的情况下，根据商业经济人们已经不是IDS和防火墙在可用程度就可以保护了，是我们在内容上的维护。

现在我们来看一下在这种情况下有COSO、SOX，在这个基础上IT治理协会COBIT成为IT治理、IT审计的最佳实践。后面也同样提出了一个魔方，这个业务的需求可以从七个方面来度量：效果，因为信息系统的特殊性，是否满足安全上的保密性、完整性、可用性、合规性和可靠性，把IT资源各种各样的事件安装、业务流程组成分成IT的治理环境进行指导。

结合起来以后我们发现，把SOX和COSO控制下，我们可以符合302和404条款的要求。

进一步分析一下COBIT，把企业的安全分成四个域：底下是提供解决方案，以及所需要的相关服务，有了这些方案、计划以后，我们就会进入获取和实施这个领域，在这个领域包括了最基本的系统需求分析，到软件的开发实践，测试发布到最后的交付支持，就接触了相关的解决方案，最终对这个系统维护。最后也谈到了监控的评价，确保这些流程能够遵循既定的方案。

我们一般情况下，企业如果做内部IT审计，就是监控和评价的问题。外部设计就覆盖的更加大，对比一下COBIT的四个域和COSO的五个要素都是讲到了监控的问题。国际上还有一个ISACA组织，信息系统审计是一个获取与评估证据，以判断计算机系统是否能够保证。

IT系统体现的价值我们理解是四个方面：第一是提升和改善信息系统运行的效率和效果，确保满足合规性要求。第二在事前始终事后的监督和检查机制确保及时发现问题，减少损失。第三加强内部控制，提升风险管理水平。第四，为信息系统的管理和信息化投入提供咨询和决策帮助。

最后这个部分我介绍一下，我们公司在COBIT的框架对IT审计的理解，我们基于COBIT框架着眼于企业业务密切相关的IT资源的审计与评估，通过对IT流程的审计和监督，确认IT实践审计风险点、控制目标，从业务效果、效率、保密性、完整性、可用性、合规性和可靠性，该公司业务运营和公司管理极为以来T系统、IT风险导致的问题将给该公司带来影响较大，因此绝大部分IT风险的等级为较高和高。因为我们觉得只是纯粹的制度、流程方面的梳理，或者是财务数据静态的分析，还是不能逃脱静态的，或者是在某一个点上进行审计的局面，在这个基础上，我们结合我们公司在一些网络，还有数据挖掘上的一些资源，提出了针对COBIT的审计平台，它可以分析，把各个系统审计事件点结合起来，在COBIT，可以设想一个员工把各种账号删掉，把信息都组织起来，可以看到员工的离职过程，是否完全符合公司的要求，在信息控制方面是不是完全杜绝的隐患。

基于这个平台，我们将核心英武和信息资产，包括网络设备、安全设备等等根据我们制定的IT审计策略，通过我们平台的采集、规避等等，最后得出基于流程分析它的合规性、包括风险控制的关联分析，得到综合审计的这么一个报告。有了这套体系以后，我们可以解决到底是什么人，IT风险是由那个人，或者是用户出发的，IT风险的内容是什么，可以让我们采取措施，会起到非常有效的作用。

就讲这些，谢谢！

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。