下载文档原格式
《审计署关于内部审计工作的规定》,内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为。
目的是促进加强经济管理和实现经济目标。
《中国内部审计准则》,内部审计,是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现.最新准则,内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查核评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善管理、增加价值和实现目标。
促进加强经济管理和实现经济目标.促进组织目标的实现监督(检查)、评价(或者监督、评价、咨询)检查职能和评价职能是基础,是咨询职能的前提;咨询职能是升华,是对检查职能和评价职能的利用和发展。
内部审计通过检查和评价职能的实施,获得财务状况和经营活动的相关信息,在对这些信息的分析、处理的基础上为管理当局提供咨询服务,从而实现服务于企业的目标。
目标差异(与实际对照) 建议审核、观察、问询、盘点、访谈、函证和分析性复核等方法找出差异,发现问题,并报告当局,提出改进建议。
内部审计不得负责被审计单位的经营活动和内部控制的决策与执行.机构、人员、经费独立没有独立性,审计目的就无法实现,审计结论就无法达到客观公正。
《企业内部控制基本规范》,内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程.企业经营管理合法合规;资产安全;财务报告及相关信息真实完整;提高经营效率和效果;促进企业实现发展战略。
内部环境—-包括管理结构、组织机构设置与权责分配、企业文化、人力资源政策、内审计机构设置、反舞弊机制等。
风险评估——目标设置、风险识别、风险评估、风险应对控制活动——不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保护控制、记录控制、分析与报告控制、绩效考评控制、信息技术控制等。
信息与沟通——内控各要素的相关的信息应及时被获取、加工整理,并在企业内部传递,内部监督—-对内部控制体系运行的有效性所进行的检查与评估活动。
基于CobiT的信息系统内部控制及审计随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率,改进服务。
会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,使企业面临着前所未有的信息风险,信息系统的安全、可靠、效率也日益重要。
基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。
面对信息系统审计具有的专业性、技术性和复杂性,信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准-——CobiT,即信息及相关技术控制目标.这样以CobiT为基础进行信息系统控制和审计成为了可能.一、信息系统内部控制、审计的理论框架企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。
IT控制所关注的对象是企业IT资产的整个运维状况,它与整个企业的内部控制应该是子集与全集的关系。
COSO通常作为企业的整体内部控制框架,CobiT则是通用的IT控制框架。
COSO框架已广为人知,在此主要介绍CobiT理论框架。
1、CobiT简介CobiT---信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。
它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。
该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来,形成一个三维的体系结构(图1)。
其中,信息准则维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面.IT资源维描述了I T治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。
