信息技术环境下内部审计【88页】.pptVIP

内部审计与信息系统审计 信息系统审计是与内部审计紧密结合的，最早的计算机审计来源于内部审计 内部审计与IT治理 内部审计方法 IT治理 IT治理是信息系统审计和控制领域中一个相当新的概念 IT治理其定义汇集了以下3中观点： Robert s.Roussey认为：IT治理用于扫描被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的引用对于组织能否达到他的远景、使命、战略目标至关重要。 德勤定义如下：IT治理是一个含义广泛的概率，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。 国际信息系统审计与控制协会（ISACA）定义如下：IT治理是一个由关系和过程所构成的体制，用于知道如何控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。 IT中国治理研究中心在综合研究的基础上提出如下定义：IT治理用于描述企业或征服是否采用有效的机制，使得IT引用能完成组织赋予的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。 公司治理和IT治理 公司治理是一个设计公司的管理层、董事会、股东和其他利益相关者之间的一整套关系体系，是在所有权和经营权分离条件下，为解决所有者和经营者因委托代理关系所产生的利益不一致，二建立起来的互相制衡机制，从而减低管理风险，实现组织目标。 IT治理关键因素是使IT与业务融合，以实现组织的业务价值。 IT治理框架由一系列结构、流程和相关机制组成。IT战略委员会、风险管理和标准IT平衡记分卡。 作为公司治理的一个重要组成部分，IT治理包含了确定企业如何应用IT的一系列问题。因此，在整个企业治理中，评价IT治理成为越来越重要的内容 IT治理与内部审计 内部审计是一种独立、客观的保证，是为了机构增加价值并提高机构的运行效率；它采用系统化、规范化的方法评价风险管理、控制及治理过程并提高其效率，从而帮助实现组织目标。 关于内部审计在IT治理过程中的职责，美国的《萨班斯—奥克斯莱法》有明确规定，在美国上市公司内部审计师应帮助管理层对公司IT应用控制和IT一般性控制进行评估并出具报告。 IT治理标准 一个有效的IT治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT治理框架，指定决策以及如何在关键的信息技术领域去确定。 企业风险管理的必要性 二、大型集团风险管理分析 形成了中国神华风险管理文化 大型集团风险管理分析 -*- 内部控制与风险管理、企业管理的关系 风险评估 外部审计 内部控制 控制环境 内部审计 控制活动 信息沟通 持续监控 风险管理 目标设定 风险识别 风险应对 企业管理 各项经营管理活动，如战略管理、人力资源管理、财务管理、资产管理等 风险战略 治理结构 组织体系 风险理财 正确认识内控与审计、风险管理、企业管理的关系 -*- 内部控制系统与风险管理、企业管理的关系 风险管理 利用风险评估方法发现企业固有风险 评价其可能性或者损失 用内部控制的措施进行控制 得到企业的剩余风险 固有风险-内部控制=剩余风险 企业的剩余风险 企业对风险的容忍度 企业价值地图 -*- 华电财务风险管理建设方案 1、全面风险管理解决方案 2、财务风险管理解决方案 1)、目标管理； 2)、风险体系； 3)、风险识别； 4)、风险评估 5)、风险监控 -*- -*- 企业全面风险分类 法律风险 运营风险 战略风险 财务风险 市场风险 企业风险 1、全面风险分类 2、全面风险管理解决方案 -*- 3、财务风险管理解决方案 理论依据 2004年，国资委开展组织研究国有企业风险管理工作 2006年，国资委发布《全面风险管理指引纲要》 2007年，在大型企业风险管理论坛上国资委表示，风险管理将成为国资委对央企领导人员考核和评价央企的重要指标 2008年，国资委《关于开展编报2008年中央企业全面风险管理报告试点工作有关事项的通知》（国资厅发改革〔2008〕5 号），要求31家央企试点企业进行全面风险报告的递交 2008年，财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》 -*- -*- 风险管理流程图 风险管理初始信息 风险评估 风险管理策略 风险管理解决方案 风险管理的监督改进 5 4 3 2 1 战略风险、财务风险、市场风险、运营风险、法律风险的初始信息收集 风险辨识（针对业务、流程） 风险分析（发生可能性高低、风险发生条件） 风险评价（影响程度、风险价值） 风险偏好、承受度、管理有效性标准； 选择风险管理工具（风险态度） 风险解决具体目标、组织领导、管理、流程、条件、手段； 风险事件前、中、后采取的具体应对措施以及风险管