|
整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。项目管理者联盟
实施控制的地点talent.mypm.net
组织的各个层面实施控制,例如,在总公司、分公司、业务单位、单位部门、实体层都需要建立相应的控制。转自项目管理者联盟
COSO风险管理框架是各上市公司为符合萨班斯法案要求而采纳的主要方法,我国银监会发布的《商业银行内部控制评价试行办法》也采用了COSO内控体系的方法论,其中也涉及了IT内控制的内容。COSO风险管理框架给我们有以下启发:项目管理者联盟
要站在企业管理者的角度来看待风险,企业风险是由包括IT风险在内的其他风险组合而成。talent.mypm.net
强调“人”的重要性,组织中的每一个人对风险管理都负有责任;项目管理者联盟文章
强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等,“软控制”影响人的行为。项目管理者联盟
强调风险管理是一个“动态过程”,风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。项目管理者联盟
明确指出内部控制只能做到“合理”保证,目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。club.mypm.net
没有不花钱的内部控制,也不存在完美无缺的内部控制。blog.mypm.net
三、COSO框架下的IT风险管理框架项目管理者联盟
企业在实施风险管理过程中,四个目标都应当有IT的相关内容,其八个过程也有相应的IT内容,例如:COSO的“控制环境”对应着IT的“IT治理、法规及标准符合性”,“风险评估”对应着“IT风险评估及影响分析”等。项目管理者联盟
这八个方面的各项控制又可进一步分三个层次的控制,一是公司层控制、二是应用层控制,三是一般控制层或称基础层控制。bbs.mypm.net
公司级控制项目管理者联盟
公司级控制主要与COSO中的控制环境及风险评估有关,为一般控制和应用控制设置基调。公司级控制一般包括以下内容:项目管理者联盟
最高管理层设定的基调与方向项目经理博客
职业道德中的正直性、价值观、胜任能力项目管理者联盟
IT管理哲学和业务运行类型www.mypm.net
对IT管理层的授权与责任项目管理者联盟
IT政策与程序项目管理者联盟
IT组织中人员的责任与技能PgMp.mypm.net
一般控制bbs.mypm.net
一般控制就是保证计算机信息系统能够以持续、正确的方式运行的政策与程序,包括数据中心运营、系统软件获取与维护、访问安全、应用系统开发和维护等内容。一般控制能对通过编程实现的应用系统控制机能提供支持,一般控制有时也称为一般计算机控制和信息技术控制。一般控制过程主要包括:项目经理博客
安全管理项目管理者联盟
应用系统变更控制pmp.mypm.net
|
