用户名 密码 联盟服务 关于我们 联系方式 收藏本站
返回网站首页 PgMP认证,美国项目管理协会高端项目管理认证!大型项目与项目群管理Program Management全球权威认证


网站登录:会员 企业 专家 服务商
企业服务:PMP培训  内训课 公开课
工 具 箱:发表文章 提问题 发案例
首页动态 | 文库 | 下载 | 书架 | 访谈 | 专栏 | 专题 | 人才 | 培训 | 软件 | PMC 互动:活动 | 案例 | 问答 | 论坛 | 博客 | 圈子 
应用:基础工程软件制造活动研发  认证:PMPNPDPACPPgMPIPMPP2ISPMPIMCP建造师MPM  特色:热点奖项

PMI-ACP®认证

适合敏捷开发项目
敏捷项目管理最佳实践

5月开课 | 实战课

PMI-PBA®认证

重视项目商业分析
商业价值与需求分析能力

4月开课 | 新闻

NPDP®认证

产品管理国际认证
全球产品管理最佳实践

北京 | 上海 | 感受

PMP®认证

单项目管理经典指南
年轻项目经理首选

北京 | 杭州 | 网络

PgMP®认证

大型复杂项目全球标准
定位高级项目管理层

北京 | 上海 | 深圳

PfMP®认证

链接战略与项目
实现组织资源投资回报

17计划 | 北京 | 上海

软考项目管理

信息系统项目管理师
系统集成项目管理工程师

计划 | 报名 | 经验

敏捷项目管理ACP认证培训
国际产品经理NPDP认证

CIO:浅谈企业IT风险管控体系

作者:佚名   提交人:项目管理者联盟[项目管理者联盟]   属性:提交人转载   发布时间:2013-11-1   点击:2442   【收藏本文

  当今企业中各种各样的财务报表和经营报表等都是通过IT系统计算处理后呈现出来的。假如IT系统的安全控制不住的话,风险就非常大,因此信息系统的管控就变得越来越重要。根据2005年2月毕马威的调查数据,美国上市公司在各业务流程中存在的控制缺陷、显着缺陷和实质性漏洞所占的比例,分析了包括信息技术、固定资产、财务报告、采购、人力资源等方面的数据,可以看到信息技术控制的缺陷是最大的,控制缺陷高达36%,显着缺陷达到22%,实质性漏洞达到21%,远远高于其他方面。PgMp.mypm.net

  在企业追求成功的道路上,往往要做到有效的内部控制,其趋势是创造风险与经营回报的良好平衡。但有效的内部控制就像在企业成功途中设置红绿灯,会亮红灯或亮黄灯,就带来不方便。就像足球比赛会有红牌和黄牌,但比较成功的裁判是合理利用手中的红黄牌,不仅有力的控制场上局面,也让球赛顺畅的进行下去,不会让人感觉特别的中断,这就是一种风险与回报的良好平衡艺术。转自项目管理者联盟

  目前IT风险管理的内控一般都在IT治理层面,大部分都是高层在做,往往是制定出责权利等规定挂在墙上就结束了。包括刚才德勤专家介绍到的,很多企业制度都已经制定了,但还是会出现问题,重要的原因之一就是把管控仅当作治理层面来看造成的,所以现在的趋势是风险的管控不仅是治理层面的事情,还需要往下移,也应该包括日常的运营,以及风险预警和监控,即企业整个风险管控和内控体系不仅是治理问题,也是管理问题,如此才能实现从高层决策到基层执行,构建统一有效的治理和管控体系。www.mypm.net

  同时,我们也注意到国家也出台了一系列规范和条文,比如COSO报告的《内部控制-整体架构》,AICPA《审计准则公告第78号》、《会计法》中第四章第27条,财政部颁布的《内部会计控制规范》,证监会也出台了《证券公司内部控制指引》和《商业银行内部控制指引》征求意见稿,五部委出台有《企业内部控制基本规范》及《企业内部控制配套指引》。这些法规都是从各方面提出了很多治理要求,作为规范和指引企业内部控制作用。club.mypm.net

  据中国上市公司2011年内部控制白皮书数据介绍,2010年我国上市公司的内部控制披露水平有所提升,披露了内部控制自我评价报告的上市公司的比例达到76.86%,聘请了会计师事务所出具内部控制审计报告的上市公司的比例达到41.57%。然而,2010年,我国上市公司自愿披露内部控制缺陷的比例低于1%,会计师事务所出具的内部控制审计报告中认为上市公司失效的比例也低于1%。在99%以上认为自身内部控制体系有效的上市公司中,多家上市公司存在着内部控制的重大缺陷,其内部控制体系实质上是失效的,以2010年违法违规及财务重述的数据为例,我国有50家上市公司由于违法违规而被监管机构处罚,占2105家上市公司的2.38%。转自项目管理者联盟

  与我国相比,美国上市公司自愿披露内部控制缺陷的比例高达13.8%。美国的上市公司大部分都必须经过会计师事务所出具内控审计报告,同时有接近百分之十一左右提出问题。萨班斯法案有明确的惩罚体制,如果审计隐瞒就会惩罚。然而在国内存在很大问题,能通过会计师事务所出具内控审计报告的公司不到一半,很多公司的审计部就下属在财务部或者总经理,但其实审计是主要审核财务和经营的,应该直接在董事会下,为股东负责。因此,针对这些现象,国内可以借鉴美国的萨班斯法案中的906条款对隐瞒内部控制缺陷、虚假披露内部控制有效性的上市公司进行严厉处罚,以此促进我国资本市场健康发展。项目经理博客

  当前企业内部控制体系还面临这样的现状,即会计师事务所对上市公司的内部控制体系的审核依据各不一致,有遵照萨班斯法案的,也有按照香港审计准则,还有中国注册会计师审计准则和内部审计指导意见的。因此我们的建议是按照财政部等五部委已经出台的《企业内部控制基本规范》及《企业内部控制配套指引》,为企业实施内部控制体系提供了基本的框架体系,并规范了公司披露《内部控制自我评价报告》和《内部控制审计报告》的内容与格式。采用COSO为基础建立企业整体内控框架和用COBIT为基础建立企业IT内控体系。PgMp.mypm.net

  但通过COSO的整体内控框架的五个方面来看,直接用于IT还是欠缺不少,所以当2002年萨班斯法案出台后,通常就直接用COBIT这个框架来做IT的内控审计框架了。2004年9月,结合《SOX法案》,COSO颁布了《企业风险管理--总体框架》,提出内部环境、目标制定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监控的风险八要素,达到实现发展战略、日常经营的效率和效益、经营信息报告体系和满足合规性的目标。项目管理者联盟

  我们建议国内企业采用财政部等五部委颁布的企业内部控制基本规范作为内控评估标准,结合国际上普遍采用COBIT框架作为IT控制的标准,将COBIT的相关IT控制目标与COSO风险八要素关联起来,设计符合规范要求的IT内部控制体系。COBIT是一个很丰富IT内控框架,包括三维架构、四个域、34个IT控制流程和318个详细的控制目标,是一个相当全面的信息系统内控框架体系。对想遵循内部控制规范的企业来说,该体系的控制目标和考虑一般会超过其需求,可实现业务需求的七个业务指标:有效性、高效性、保密性、完整性、可用性、一致性、可靠性。项目管理培训

  随着计算机系统的运用越来越广泛,业务/财务数据处理计算机化,计算机数据的完整性、可靠性和准确性、集成性直接影响管理层决策,因此信息系统控制要实现的目标是保持数据完整,维护资产安全,提高资源使用效率,符合相关的法律、法规和政策,从而有效达到企业目标。为此,我们提出的IT内控控制框架从营运、财务报告和合规性三方面对整个企业的IT进行治理,分为以下五个部分:项目管理培训

  1、IT内控环境--是在企业IT领域的体现是IT的内部控制环境,是实施IT内部控制的基础,主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等;项目管理者联盟

  2、IT风险评估--是企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对;项目管理者联盟

  3、IT控制措施--是针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。training.mypm.net

  4、信息和沟通--在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。项目管理者联盟

  5、监控--需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。项目管理者联盟

  在实际的IT控制落地实现上,我们可分八大方面组件包括IT治理,法规和标准符合性、IT战略规划、在IT应用系统中内置对时间的识别和报警;IT风险评估及业务影响分析;风险管理策略及应对措施;防火墙、反病毒、灾难恢复、SDLC、变更管理、运营管理;IT政策、标准、程序、OA、Email、平衡计分卡、帮助台;系统和数据库、防火墙日志、入侵检测、安全意识。这八大方面的组件正好与COSO的风险八要素相对应。综合分析IT内部控制的组件,我们可以将IT的控制分为三个层面:项目经理圈子

  1、公司层控制--在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。项目管理者联盟

  2、流程与应用层控制--分析企业业务流程与活动,与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。项目管理论坛

  3、资源层控制--针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。项目管理者联盟

  最后介绍下IT总体内控的实施过程,第一阶段是制定计划、确定范围,主要任务是确定IT总体内控的大体范围及对象,制定项目计划,组成项目组。通过资料收集、现场业务系统调研、分析控制实体及控制系统、撰写项目计划的方法和步骤。项目管理者联盟

  第二阶段是IT总体内控现状调研与差距分析(或风险评估),主要任务是调查企业IT总体内控现状,参照Cobit确定的控制目标,进行差距分析,方法及步骤有资料收集与分析、现场调研、差距分析、确定整改内容及计划。项目管理者联盟

  第三阶段是IT总体内控体系设计,完善内控管理组织及监控职能,主要任务是按照整改计划,进行IT总体内控体系设计,完善监控职能,有设计控制体系和控制体系讨论修改、批准控制体系。training.mypm.net

  第四阶段是培训与实施,其主要任务是对用户进行培训,实施已建立的IT总体内控体系,方法有体系培训、体系实施和实施总结。项目经理圈子

  第五阶段是控制测试与实施监控,主要任务是按照IT审计标准及方法,测试IT总体内控,方法包括制定测试计划与方法、测试培训、实施测试、测试总结。项目经理博客

  第六阶段是回顾调整与监督优化,主要任务是根据管理层测试及内控执行过程中遇到的问题,定期进行回顾,不断完善IT总体内控。service.mypm.net


<<上一页 1 2 下一页>>
项目管理者联盟PMP认证中心
[相关文章] [网友互动]
·CIO如何做好项目组合管理 (485)项目管理者联盟12-13
·CIO领导的IT项目管理未来在哪里 (749)项目管理者联盟11-07
·敏捷开发CIO应遵守的10大的原则 (744)项目管理者联盟04-08
·成功CIO沟通几大关健因素 (577)项目管理者联盟03-30
·关注CIO需关注IT项目的收尾工作 (951)项目管理者联盟03-18
·CIO如何发挥PMO价值 (412)项目管理者联盟01-05
·关于敏捷开发模式:CIO应知道10大. (704)项目管理者联盟12-14
·PMO助CIO提高项目管理能力 (490)项目管理者联盟12-07

09-29[帖子] CIO职业生涯中的四大坎 (310)
09-29[日志] CIO职业生涯中的四大坎 (22)
03-20[帖子] 搜搜企告诉你不想CIO的OA软件IT人员不是 (357)
06-01[帖子] CIO做好项目管理的三个建议 (446)
03-27[日志] CIO眼的IT绩效管理 (256)
03-25[帖子] CIO维基的从项目失败中总结的教训与经验 (747)
03-23[帖子] CIO直面挑战 夹缝中实现IT高效管理 (713)
03-19[帖子] CIO必须具备很强的项目管理能力 (589)
[发表评论]
本站热点
·2017年12月期PMP认证班于北京圆满
·北京NPDP新产品开发实战分享会成功举办
·敏捷项目管理( PMI-ACP)认证培训
·祝贺中海油胡雪峰经理顺利成为中国PgMP
·大型复杂项目管理PgMP专题讲座2018
·大型复杂项目管理PgMP专题讲座2017
·NPDP新产品开发实战分享会-2017年
·NPDP新产品开发实战分享会-2017年
·2017年度12月PgMP考试冲刺辅导班
栏目说明
    《文库》栏目为项目管理者联盟网站核心栏目,收录了十大行业项目管理文章5000余篇,囊括了项目管理五个阶段、九个知识领域的相关文章,是广大项目管理爱好者学习的知识库,欢迎大家发表原创文章、转贴文章,或直接发给编辑。须联盟会员且登陆后才能发表文章。
敏捷项目管理ACP培训
项目管理活动
NPDP国际产品经理认证培训【2018年度】
主办单位:项目管理者联盟
时    间:2018-1-1
地    点:北京 上海 杭州 苏州·
电    话:010-82273401-21
邮    件:club@mypm.net
项目管理者联盟PMP培训班招生简章(北京)-2018年度
主办单位:项目管理者联盟
时    间:2018-1-1
地    点:北京·铁道党校
电    话:010-82273401-11
邮    件:pmp3@mypm.net
活动QQ群:531390275
免费积累PDU,仅500人

2017年项目管理活动计划
2016年活动精彩回顾
原创排行榜
 高扬 105 项目管理 84
 人月神话 60 项目管理评论杂志 60
 郭致星 52 高国伟 46
 蒋昕炜 46 乔东 44
 肖杨 38 潘德有 36
 张为 34 周劲松 34
搜索文章
关键词:
行  业:
团 队   成 本   风 险   进 度
沟 通   采 购   质 量   合 同
更多>> 专题集锦
更多:
经理访谈
更多:
个人专栏
更多:
项目管理者联盟特刊
联盟特刊是对网站会员发行的内部刊物,刊物内容包括:案例及分析等,得到了会员好评。
电子期刊:
特刊下载:
2017合刊  2016合刊  2015合刊 
2014合刊  2010合刊  2009合刊 
2008合刊  2004合刊  2005合刊 
2006合刊  2007合刊       
施工企业管理
《施工企业管理》创刊于1986年1月,中国施工企业管理协会主办,是反映施工企业管理杂志。
浏览往期:
建造师杂志
《建造师》杂志由清华国际工程项目管理研究院主办,是中国面向建设企业管理人的高端杂志。
浏览往期:
更多>> 推荐文章
12-13·掌握这6点,有效控制工程项
12-13·什么叫完成,看看传统与敏.
12-13·项目集治理:分阶段实现收.
12-06·计划都想到了,怎么执行还.
12-06·项目经理的三个谈判技巧
12-06·别以为默默帮项目解决了问.
12-06·项目经理的四重修炼,你在.
11-27·项目进度延迟了,5步让你的
11-27·项目风险管理失效的三个主.
11-27·不可不知的项目成本管理六.
11-23·巴斯夫龚毅红(PgMP):跨文.
11-23·干货|应对创新项目风险的有
11-23·PMP®考试中情景分析题
11-21·如何进行利益相关方及其需.
11-21·项目管理:实现按时、按预.
11-21·【干货】项目管理五阶段,.
关于联盟 | VIP会员 | 培训服务 | PMP认证 | PgMP认证 | 刊物出版 | 沙龙会议 | 人才服务 | 广告投放 | 联系我们 | 友情链接
项目管理者联盟 版权所有 京ICP证070584号 | 京公网安备110102000464号
如转载本站文章,必须于文章开头处注明转自“项目管理者联盟”,并注明原作者