it内部审计论文精品(七篇)

时间：2022-02-28 20:02:26

it内部审计论文

it内部审计论文篇(1)

【关键词】信息科技内部审计信息化

2000年以来，继四大行成功完成数据大集中后，各股份制商业银行纷纷加入数据大集中的行列，“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识，电子银行渠道持续拓展，商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显，另一方面也使得商业银行的信息科技风险进一步放大。

继2006年中国银监会《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后，2009年银监会又正式《商业银行信息科技风险管理指引》（下文简称《指引》），进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部，负责银行业信息科技监管督导和风险防范，信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视，客观上提高了商业银行信息科技风险管理工作的重视程度。

一、信息科技内部审计范围

《指引》提出了商业银行IT风险管理的“三道防线”，即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求，银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员，并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面：

（一）专项审计

专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。

（二）全面审计

应定期实施全行范围内的IT内部审计，应充分考虑业务性质、规模及复杂度，区分总行信息部门（数据中心）、分行、支行等各个层级，制定全覆盖的IT内部审计计划。

（三）重要项目审计

在进行大规模系统开发时，内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析，项目开发，项目正式上线后的业务及运维。实际操作中，可以根据项目情况，对各项目里程碑展开相应的审计工作。

可以看出，IT内部审计既有全面审计，也有专项审计，还包括重大项目审计，涵盖了银行IT的方方面面。

二、信息科技内部审计面临的困难

内部审计部门应当从上述三个方面入手，检查评估商业银行信息科技系统和内控机制的充分性和有效性，提出整改意见并检查整改意见的落实情况。近年来，商业银行根据《指引》做了大量工作，但是在信息科技内部审计方面仍然存在诸多困难。

（一）缺乏IT审计人才

银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱，极大地影响了IT内部审计的成效，甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。

（二）缺乏IT审计方法及规范

缺少规范的IT审计方法论，缺乏对整个银行信息系统的全局认识，在IT内部审计中会存在不知道审什么、不知道怎么审，不容易把握IT内部审计的重点，无法触及部分风险隐患。

（三）缺乏IT审计方向

现阶段银行的IT内部审计都是为了满足监管要求，没有站在业务驱动的角度，缺少为“科技引领”提供保驾护航的力度。

三、商业银行如何加强IT内部审计

面对上述困难与挑战，银行应当充分认识IT内部审计对银行的重要作用，内部审计部门主动加强与信息科技部门的共同协作，加强IT审计专业队伍的建设。

1.管理层及信息科技部应当认识到，IT内部审计作为IT风险审计的重要一环，是IT风险管理的重要组成部分，应当重视内部IT审计部门及岗位的建立，充分发挥其积极作用。对IT内部审计的有效管理，可及时评价IT整体风险管理的水平，可对开发项目进行事中控制，分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到，IT内部审计不是故意“挑错找茬”，它可以积极发现IT潜在的管理疏漏，有效降低IT风险发生概率，提高IT全员的风险意识和认知。

2.内部审计部门应当加强与信息科技部的沟通与协助，可以进行各种形式的、有益的探索与尝试。比如，在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性，甚至以信息科技部的意见为主。在此基础上，内部审计部通过各类IT事件的分析、IT专项审计等手段不断来丰富完善风险源。比如，加强与信息科技部的沟通，由其讲解IT最新技术发展、整体架构、变更管理与运行维护等，提高自身的专业技术水平及对本行IT工作的了解。比如，加强与信息科技部的沟通，从审计及监管的角度向管理层反映IT发展中亟待解决的难题，解决信息科技的实际困难。

3.银行应当加强IT审计队伍的建设。在内部审计部内设专门的IT审计岗，有条件的银行可以设立独立的IT审计部门。不仅要学习审计的方法论、沟通技巧，还要积极学习相关的信息技术，专业的IT审计人才应当掌握较为全面的信息技术，对银行IT的各方面都要有所涉猎。加强IT审计人才的培养和储备。

展望未来，银行信息科技内部审计不能局限于应对监管需求，而应立足于银行战略与业务需求，立足于解决信息科技的各种困难。银行应当将信息科技内部审计当成信息科技风险审计最重要的一环，建立完善的信息科技内部审计管理体系，并将之纳入银行整体风险管理体系中。银行应当充分认识信息科技内部审计的重要作用，有意识地引导与加强信息科技部门与内部审计部门的合作共赢，加强信息科技审计专业队伍建设，确保信息科技内部审计真正实现价值，为信息科技的发展提供保障，为银行的发展保驾护航。

it内部审计论文篇(2)

2007年5月25日，企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行。会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。可见，作为现代企业内控的重要手段和考量目标之一，IT内审重新引起了企业的广泛关注。

本期专题，就IT内审的目的与现状、中国企业IT内审的特点和难点、以及如何形成中国IT内审规范，展开了深入的探讨和调查分析。

“中国萨班斯”进行时

证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示，建设企业内部控制标准体系是资本市场的一件大事――健全有效的内部控制可以提高上市公司财务报告的有效性；可以保障公司资产安全，减少舞弊事件发生，堵塞漏洞，有效提高风险防范能力，降低公司风险；可以提高公司经营效益及效率，提升上市公司质量。

我国对企业内部控制评价的关注始于上个世纪80年代末，但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件，在一定程度上要归咎于企业内控机制的不健全。

此后，我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范，而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。

2006年6月5日，上海证券交易所出台了《上海证券交易所上市公司内部控制指引》，对上市公司内控制度和风险管理制度出台了重要规定，引起了业界的强烈反响。

在信息技术无处不在的今天，IT既是企业内控的一个有效手段，同时IT本身又充满了风险，成为内控的重要目标之一。因此， IT内审引起了广泛关注。科索路咨询公司还专门对此了《IT内审调研报告》。

2006年7月15日，财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”，旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、内容完整、方法科学的内部控制标准体系，推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆，中国内部审计协会会长王道成当时曾向媒体表示，3年之内中国就会有自己的“萨班斯法案”。

2006年9月28日，深圳证券交易所《上市公司内部控制指引》，规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后，上市公司均需按要求披露内控制度制订和实施情况。

很多人都相信，具有强制效力的中国上市公司内控法规就要形成，甚至有很多企业或个人认为随着企业内控法规的形成，与IT内审相关的咨询或者软件将是一个很好的市场机会，并雄心壮志地投身到这一领域。

但是到了2007年，在股市热潮背后，关于企业内控和IT内审规范工作似乎处于停滞状态。有些曾经看好IT内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑，难道牛市的今天企业内控就不那么重要了？IT内审的热潮从此告一段落？

审迫在眉睫

事实远非如此。

2007年3月，企业内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)，并开始向有关单位和专家征求意见。

2007年5月25日，由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行，会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。

财政部还表示，将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿，抓紧建立中国企业内部控制标准体系。所有这一切都证明，尽管没有声势浩大的活动进入人们的视野，但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。

业内人士分析，尽管今天企业内部控制规范征求意见稿依旧在讨论中，但是一旦被确定，肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问，尽管还有上市公司对IT内审没有足够重视，但IT内审是否规范必将成为上市公司存在的必要条件之一。

现代企业的经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险，企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说，信息技术已经融入到企业各项业务中。IT内审作为企业内部控制的一个重要手段和对象，已经得到政府相关机构、企业和咨询机构普遍认可。

目前的《企业内部控制具体规范(征求意见稿)》中，专门提出了计算机信息系统的征求意见稿，就总则，岗位分工与授权审批，信息系统开发、变更与维护控制，信息系统访问安全，硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。

企业表现各不相同

“招聘资深内审员，要求具有5年以上跨国公司会计与财务方面工作经验，并有IT系统审计方面的工作经验”。最近，“IT内审员”的新鲜职位已经开始出现在各大招聘网站。

很多被访企业表示，他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作，比如说中信集团公司早已经在2005年就开始采用加拿大审计软件ACL、易通审计软件开展审计。

承接企业内控咨询业务的会计师事务所或咨询公司表示，他们所接触的IT内审业务在明显增加。

……

种种迹象表明，IT内审规范的推动并没有停滞不前，之所以让人感觉“停滞”，主要是因为以下几方面的原因：

首先，很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业，由于上交所和深交所出台的《指引》对他们没有强制性的约束，没有对内控的紧迫感。而那些在海外上市或者新上市的企业，大都是为了满足上市条件或者相关法规而被迫进行内部控制和IT内审。在香港上市的某公司的CIO告诉记者，对他们来说，IT内审就是每隔一段时间按照会计师事务所提供的一张单子中对IT的要求落实就可以了。

其次，目前大部分企业的IT内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股，特别是在美国上市的企业，早已经通过第三方机构在IT审计方面走在了前面。第三方机构对这块业务驾轻就熟，更多的企业选择IT内审对他们来说只是业务量的增加，因而没有引起大范围的讨论。

第三，很多企业虽然已经意识到IT内审的重要性，但是苦于IT基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展，公司从1999年就已经建立了完整的内部制度，并且还专门成立了内控部。但是，公司内控部总监麻蔚冰告诉记者，目前他们还没有实现IT内审。他认同随着信息技术在企业广泛应用，IT内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势，但由于公司内部的IT建设还不够完善，再加上IT内审所牵涉的东西非常复杂，暂时也没有好的经验可以借鉴，所以目前尚处在探索中。

规范形成尚待时日

那么，适合中国的IT内审到底该怎么做？如何形成适合中国国情的IT内审？

很多企业都希望《企业内部控制具体规范(征求意见稿)》能够给他们未来的IT内审提供有用的参考。

王军在企业内部控制标准委员会第三次全体作会议上也强调，内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前，在尚未形成自己的规范并且没有更好的办法之前，业界已经认识到“西学中用”是最好的选择。

德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者，目前的征求意见稿中不仅参照了萨班斯法案，还参照了很多地方的相关法规。

但是业内人士分析，毕竟中国企业有很强的特色，必须在参照这些经验的同时充分考虑中国企业自身的特色。

记者就IT内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时，得到回答是，征求意见稿中“计算机信息系统”部分还只是“征求意见稿”，希望有经验的咨询公司和专业人员能够积极参与，提供有用的建议。

在访谈了一些内控咨询专家、企业内控工作者后，记者认为以下几个方面是在建立IT内审规范过程中最不能忽视的：首先，企业对IT内审的重视不够；其次，企业的IT建设不够完善，建立像美国上市公司那样的IT内审难度较大；第三，企业IT内审部门的归属问题不明确：目前国内企业审计部门独立的就比较少，而IT内审既涉及审计又涉及IT，归属问题就更加不好确定；第四，IT内审的投入成本大，美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元，这对规模偏小的中国上市企业来说是不现实的……

由此可见，我国要建立完善的IT内审规范还需时日，但对于企业来讲，未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行，临时抱佛脚几乎是不可行的――因为企业的IT建设本身就不是一蹴而就的事情。

链接:关于萨班斯法案

it内部审计论文篇(3)

在PCAOB（美国公众会计监管委员会）审计标准Ⅱ中也特别指出，IT控制设计很重要，不可低估控制设计在整个IT控制环境中的重要性，并强调IT控制能有力地支持整个内部控制环境。该标准又进一步指出：公司整体内部控制系统的有效性依赖于“其他控制是否有效”（指的是控制环境或IT一般控制的有效性）。因此，理解IT控制与IT控制体系设计的相关理念，成为企业必备的重要能力。

首先，我们定义IT控制是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成。IT控制目标是指通过对具体的IT活动实施控制程序，以达到期望结果或目的的总体描述。可见，事实上，有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里IT风险指的是IT使企业不能实现其经营目标的风险。

然后，我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延：

1．从人员职责角度看：首先是以下三类人员的职责：

 管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证；

 低层管理者与员工――主要职责是执行控制；

 审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。

2．从IT控制的构成角度看：IT控制包括IT控制环境、IT一般控制、IT应用控制。

3．从IT控制对象与范围看：IT控制对象包括企业IT生命周期的所有流程。

实现IT控制，中国企业需要应对三大挑战

国内企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言，运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强有力的支持。

随着萨班斯法案的出台，财务报告的内部控制几乎离不开IT控制，即使业务层面的管理控制也是IT支撑环境下的控制。但是，信息技术是一把双刃剑，其潜在风险也越来越大，企业在建立有效的IT控制，以保证财务报告的有效性方面正面临着巨大的挑战。

但是，目前国内企业的内部控制体系多为传统的会计控制及管理控制，对IT控制缺少系统的考虑，企业的IT控制面临三大挑战。

挑战之一：CIO缺乏内部控制理论与实践。

以萨班斯法案的要求来说明，404条款的遵照执行有四个阶段：1.公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式，以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作，以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。

法案的要求使很多人认为，IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责，但问题在于，大多数IT专业人士对复杂的内部控制并不精通或了解，因此难负其责。尽管不能说IT人员没有参与风险管理，但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO（首席信息官）们现在到了不得不补课的时候了，当务之急是补充有关内部控制方面的知识，理解企业所制定的SOX遵循计划，才能专门针对IT控制拟定一个遵循执行计划，并把这个计划与总体的SOX遵循计划相整合。

挑战之二：缺乏系统的IT控制体系

事实上，每个企业或多或少都有一些IT控制制度，很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到，我们需要的是“发现问题，解决问题；发现新问题，解决新问题”的持续改进体系。同时鉴于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范且不成体系，控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域，缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。

挑战之三：现有IT控制体系不具有可审计性

萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性，这就要求企业必须有完善的内部控制流程及审计轨迹，在控制发挥作用的同时生成相应的文档记录，以便在对内部控制设计及运行的有效性进行评价时有足够的证据。

我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度，但该体系的完整性、有效性以及遵照执行情况缺少评价，或没有证据进行评价。

因此，我们构建IT控制系统时必须从全局着眼，借鉴国际内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT控制体系。

构建有效而持续的IT控制需要正确的理念、适合的内控框架和评估机制

对于企业，我们认为在构建IT控制体系时，需要从三个层面来考虑才能保证IT控制的有效性和持续性。为了更好地说明，笔者将以如何设计符合萨班斯法案要求的内部控制为例，来展示构建IT控制体系的主要思路，以供参考。

1. 要认识到构建IT控制体系是一个循序渐进的过程

SEC管制条款内容复杂，为了满足萨班斯法案的要求，大多数企业需要调整其员工观念和企业文化，通常也需要对IT系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留，以及IT控制的评估等方面。这是一个循序渐进的过程，不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业，这些企业的规章制度普遍较为健全，所以对于它们而言，更为重要的是如何根据内部控制的理念和原则，结合企业的实际情况，对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验，因此，IT控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。

2. 要选择好内部控制框架

法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的Turnbull、美国的COSO 和加拿大的CoCo , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。PCAOB审计标准Ⅱ在“管理层用于开展其评估的内部控制框架”一节中，明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架，来评估公司财务报告内部控制的有效性，SEC也从侧面认可COSO框架。COSO 认为，内部控制是由企业董事会、经理层和其他员工，为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。

尽管COSO正在成为理解和评价内部控制的全球性框架。但是，COSO不是唯一的控制框架，在有些情形下甚至可能不是最好的或最易于使用的框架，尤其是在COSO框架中没有考虑到对IT控制目标和相关控制活动的具体要求。目前，COBIT（信息系统和技术控制目标，Control Objectives for Information and related Technology）正在成为更好地理解信息技术环境下内部控制的国际公认框架，该框架由美国IT治理研究所（ITGI），是一个IT风险管理与IT控制的综合性分析框架，由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。COBIT也涉及企业经营、合法合规等方面的控制。因此，该框架可作为制定IT控制目标、审计、管理和执行方针的依据。COBIT不是COSO框架的替代品，而是COSO框架的有力补充，这是因为在信息技术条件下，管理层、IT人员、审计师都需要理解和记录IT相关流程、流程中资源利用情况，以及支持这些流程的控制。

尤其是那些信息资产密集型或高度依赖于自动化处理的企业，理解和评估信息技术条件下的内部控制是一项巨大的挑战，但也是实现萨班斯合规性的关键之处。COBIT对评估这种环境下的内部控制会特别有效，COBIT的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉COBIT框架的人来说，其庞杂体系令人望而却步，其指南分散在有很多图表构成的多卷本中。并且，COBIT自1996年问世以来，在很长的一段时间里，许多审计人员单纯地将COBIT看作是专门的信息系统审计工具，认为它对其他审计工作帮助不大。我们认为，虽然COBIT的重点仍然在于IT，但是所有的相关人员包括审计人员都要研究COBIT框架，并将它作为一款优秀的控制框架，用于帮助实现萨班斯法案的合规性要求（COSO、COBIT与SOX的对应关系见图1）。

整合运用COBIT与COSO作为构建IT控制的框架，是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时，也可以参考IT运营、信息安全方面可审计的国际标准管理控制体系ISO20000、ISO17799等。

3. 建立一套自评估机制，确保内部控制系统的持续有效

众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明，这也迫使公司必须建立一套控制自评估机制，评估内部控制体系设计、执行是否有效，以支持管理层的声明。同时，自评估机制也可以帮助公司发现控制薄弱区和控制漏洞，及时审时度势，弥补内控体系的缺陷，确保内控体系持续有效。这也正是萨班斯法案所要求的。

控制自我评估（CSA）是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会（IIA）在1996年研究报告中总结了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期，但其最主要的发展是在90年代，特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告，资产与记录的接触、使用与传递，授权授信，岗位分离，数据处理与信息传递等的“硬控制”。在新的内部控制模式下，迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下，作为一种既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，CSA得到了普遍的信赖。

自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试（见图2）。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了评估企业内部控制水平，指导企业进行差距分析并确定改进目标，建议企业借鉴成熟度理论，描述企业IT控制有效性的各种等级。

 Level 1 不可靠级不可预知的环境，在这种环境中，控制活动没有设计或不适当；

 Level 2 不正式级控制与披露活动已设计并适当，但没有充分记录。控制更大程度上依赖于人，没有正式的控制活动培训与沟通；

 Level 3 标准级控制活动已被设计并适当，控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现；

 Level 4 监控级标准化的控制，有定期的有效性测试并向管理层报告，有限的利用自动化工具支持控制活动；

 Level 5 优化级一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理)，运用自动化工具支持控制活动，也许组织在需要的时候对控制活动进行快速变更。

就某个内部控制目标而言，一些企业可能愿意接受等级不高于3的IT控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求，审计师对一些关键控制活动的有效性水平不能低于3级。

自评估的各种控制测试评价，有助于企业监控完善企业内部控制，也有助于管理者对内部控制有效性做出一个明确的评定，并最终以报告书的形式对外呈现，用以表明IT控制系统总体的可靠性及完整性。控制不是一件简单的事情，而是一个过程，需要对其不断地评估和改进，以符合当前经营的实际需要。这也必将成为IT部门组织文化的一个部分。

it内部审计论文篇(4)

此次年会围绕“公司治理与IT治理、‘萨班斯法案’、IT控制”三个核心议题，广泛、深入地探讨和推广中国企业在风险管理时代“三个结合”，即公司治理与IT治理相结合，全面风险管理与IT治理相结合以及六方（CEO、CFO、CIO、COO、CKO、CMO）协作的理念。

公司治理与IT治理相结合

1997年的亚洲金融危机、2002年美国股市丑闻，蓝田股份和银广夏的利润神话破灭事件，以及2005年年初相继出现的创维、伊利股份、三九集团等上市公司高管涉案，完善公司治理机制、有效管理企业风险正在成为企业议事日程中和企业财务高管们最重要和最迫切的任务。

我国政府将建立有效的公司治理机制视为“现代企业制度”建设的核心内容，而加入WTO的承诺使得全面系统地处理这一问题显得更加紧迫。国务院国资委主任李荣融曾表示，目前上市公司所出现的问题都与公司治理结构不完善有关。国资委要与证监会正联合推动国有企业完善公司治理结构。

公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量，也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如在逆向选择的框架下，我们可以看到：一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称，从而便利了融资，降低了风险。因此，公司治理的核心问题是信息不对称性或不完全性，解决公司治理问题，最核心的是公司信息的真实、准确以及处理与传递的效率问题，而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。由于许多在美上市企业的核心业务都依赖IT系统，因此，2002年美国颁布的“萨班斯法案”对公众公司提出了更高的要求，公司应定期评价其信息系统及其内部控制的充分性，来保证提供给投资者信息的准确和完整，强调公司管理层建立和维护内部控制（尤其是IT控制）及相应控制程序充分有效的责任。因此，研究IT治理，加强IT控制，降低风险，有效地实现公司治理，成为全球关注的话题。

十六届五中全会通过了《中共中央在关于“十一五”规划的建议》中明确提出了今后五年时间内公司治理与内部控制、全面风险管理时企业改革的重点，“加快国有大型企业股份制改革，完善公司治理结构。加快建立国有资本经营预算制度，建立健全金融资产、非经营性资产、自然资源资产等监管体制，防止国有资产流失；”“完善金融机构的公司治理结构，加强内控机制建设；”“完善对境外投资的协调机制和风险管理，加强对海外国有资产的监管”；“健全金融市场的登记、托管、交易、清算系统。完善金融监管体制，强化资本充足率约束，防范和化解金融风险。”

ITGov（中国）IT治理研究中心主任孙强在发言中指出：未来公司治理和IT治理对企业的影响一定是革命性的，并且这种影响直接关系到中国企业的国际竞争力，可以说国际竞争很大程度上就是公司治理和IT治理的竞争。孙强认为没有完善的公司治理和IT治理，我国企业首先在利用国际市场筹资方面就输给了竞争对手，产品市场的竞争必将更加困难。因此，不进行治理实践改革的公司在想获得资本，加速发展时，将发现自己处于竞争劣势。

尽管现实距离最终理想的公司治理和IT治理看上去有些遥远，但实际上今天的公司治理与IT治理已经不仅仅停留在概念炒作的层面。目前很多研究机构、IT厂商、咨询企业都已就IT如何在公司治理、全面风险管理中发挥新的使命，纷纷提出了整合的理念、框架和解决方案。

全面风险管理与IT治理相结合

在2004年底，国资委组织召开的中央企业负责人会议上，国务院黄菊副总理强调指出，要完善企业内部管理制度，高度重视风险的防范和管理，要建立健全企业法律顾问制度，增强依法经营的能力和水平。国资委李荣融主任也提出企业要善于识别风险、规避风险、控制和化解风险。随后，由国资委企业改革局牵头，起草了国内首部企业风险管理指导性文件―《全面风险管理指导纲要》，目前已经进入征求企业意见和论证修改的最后阶段，即将出台。《全面风险管理指导纲要》适用于所有中央企业，要求企业在经营管理的各个环节和业务过程中执行风险管理的基本流程，建立健全风险管理的组织体系、信息系统和内部控制系统。

孙强先生在题为“公司治理、IT治理与中国企业的国际竞争力”的主题演讲中认为：在全球风险的时代，所有的企业，不论其规模、结构、性质或产业是什么，风险管理都将是必不可少的。有效的风险管理和机会管理将成为竞争优势的源泉。同时，随着IT重要性的增加和普遍应用，IT将被整合到所有的生产过程与经营管理体系中去。所以，IT的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下，将全面风险管理与IT治理整合起来推动，就成为必然的选择。孙强还认为一旦中国企业形成了与企业文化相适应的良好治理结构，这就是我们企业的国际核心竞争力。

内部控制责任：“六方”相结合

国资委全面风险管理专家组成员孟秀转女士认为:不仅仅是管理人员、内部审计师或董事会，组织中的每一个人都对内部控制负有责任。确立这种指导思想有利于将组织中的所有员工团结一致，使其主动地维护和改善企业的内部控制，而不是与管理层对立，被动地执行内部控制。这样才能实现我们企业所期望的“发现问题，解决问题，发现新问题，解决新问题”。她特别倡导六方（CEO、CFO、CIO、COO、CKO、CRO）打破原有职责范围局限，携手参与到公司治理、合法合规等实践中来，共同肩负起内部控制的责任，最终形成“内部控制人人有责”的企业文化。

符合“萨班斯”的IT控制与信息系统审计

“萨班斯法案”最主要的特征之一表现在：法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程，都做到高透明度、可控制、实时风险管理并防治诈欺，并且这些流程必须有可追查到的交易源头的详细记录。

如何构建满足“萨班斯”要求的内部控制，管理层如何评价这些控制设计与执行的有效性，外部审计师如何鉴证管理层对其内部控制的评价并出具审计报告？在会上国资委全面风险管理专家孟秀转女士就这些问题从三个方面作了详细介绍：

第一，“萨班斯法案”对IT 部门、对管理部门提出了哪些内部控制要求，特别是对 IT 的控制目标要求。第二，“萨班斯”内部控制的审计标准。控制目标做的怎么样，控制措施设计的是否恰当，执行的是否有效，需要有审计师进行评价，在这个评价的基础上找到内控的弱项，以便于我们企业弥补。这是因为符合“萨班斯”的过程是一个持续的过程，并且内部控制受控制成本的固有限制，不可能完美，需要根据环境的改变不断的完善。第三，符合“萨班斯”的信息系统审计工具与审计流程。按照PCAOB的内控审计标准，如何对内部控制给予恰当的评价，这可能是企业的高端人员非常关注的问题。“萨班斯法案”要求企业的高管人员对内控的有效性做一个评价。所以管理者、内部审计师、外部审计师都非常需要有一套审计的工作流程，以帮助他们对内部控制，包括IT控制做一个相对客观的评价。

孟女士指出，在信息时代企业的整个交易和业务以及财务报告的产生，都是基于企业IT基础架构的服务。管理层要保证财务报告的有效，就不可能忽略IT的控制。在PCAOB建议的内部控制构建与评价工具COSO 框架中缺少对IT 内部控制的关注。所以国际上关于IT的内控基本上是采用Cobit 标准。在IT部门中采用 Cobit 框架的话是一定要符合 COSO 要求的。除此之外，Cobit控制框架也可以帮助企业建立和完善与 IT有关的内部控制目标和控制活动的设计。Cobit 是流程化的内控，它将IT的生命周期划分为四个构成领域。除此以外，IT控制也要参考 ISO20000，这是IT服务管理领域的国际标准，长期支持企业的运营，保证财务报告的数据真实合法，并且是完整、安全的IT的运维过程。ISO20000 是关于IT支持业务和财务报告产生过程中的管理控制框架。这个框架的特点就是一系列标准化的可审计的IT服务流程和程序。财务报告审计无保留意见的前提是财务信息的安全。关于信息安全的一个国际标准ISO27001，也是被广泛采用的IT内控构建与审计的工具，其中总结了39 个内控目标和 133个详细的控制措施。

Cobit 、ISO 20000 和ISO27001不仅是构建IT控制体系的指导，它们本身就是一个可审计的控制流程。PCAOB在“萨班斯 404”内部控制审计标准Ⅱ中关于IT部分的审计就是参考了Cobit：应用控制与一般控制的审计。

最后，孟女士总结说，“萨班斯”IT控制和审计一定要在高管层内达成统一的认识。不要认为IT控制与审计是IT的事，财务只管财务控制，人为地把两者割裂起来。我们的业务是建立在 IT基础上运营的，所以必须将它作为一盘棋考虑。还有一个就是我们建议在构建内部控制框架时，要借鉴国际标准，这是国际上多年实践的总结，我们可以少走弯路。

PCAOB针对“萨班斯404”条款提出审计要求：审计师在评价内部控制时，不得绕过计算机系统，必须了解从业务产生、业务处理到产生财务报告的完整计算机处理过程，确保整个过程都有充分、适当的控制，并评价这些控制的有效性。

“萨班斯404”给审计师提出了挑战：必须对影响财务报表的信息系统进行审计。不仅如此，“萨班斯”也给企业内部控制人员、内部审计人员及风险管理人员提出了挑战。目前国内外都缺乏既懂技术又擅长风险评估、内部控制以及审计的人才。IT风险评估、IT控制以及信息系统审计的人才缺乏是我们通过“萨班斯”大考的关键问题。

“合力”应对“萨班斯”

毕博管理咨询公司大中华区董事Rolan Spahr博士认为，对员工的培训必不可少，要使员工认识到现在企业存在的风险。应该让每个员工都对风险有一种责任感，这样才能提升我们整体的业务。这是体现在个人生活当中遵循的原则，这也适用于在激烈的竞争中的公司需要。

甲骨文公司高级董事Lane Leskela先生在介绍波音公司财务变革与“萨班斯”合规项目时说，讨论内控问题，就是要看企业在不同阶段的变化。“萨班斯法案”要求我们提供企业不同时期变化的数据，所以企业必须使得数据尽量的简化、及时。同时，还要在这个流程中加入能够提高运营效率的东西。

在财务变革的过程当中，企业必须了解能从这场变革中获得什么。有很多公司在过去几年都为符合“萨班斯法案”的要求做出了努力，他们甚至需要改变企业的流程来适应“萨班斯法案”的规定。因此，风险管理非常重要，如果处理不好，这种改变会对企业内部的业务带来风险。我们的经验就是，企业要学习这些好的经验，借鉴其他公司的做法，给本企业的财务管理过程带来一些新的想法。此外，得到管理层的支持也很关键。管理层的支持可以确保整个过程是有效的。最后，就是要使财务改革和合规项目之间实现互动。

在本次会议中，来自美国翰宇国际律师事务所的律师Amy Sommers女士也从律师的视角从美国上市公司的历史谈起，从背景上帮助大家理解 “萨班斯法案”出台的历史背景和带来的影响，并详细介绍了法案主要涉及的关于公司治理、信息披露、公司检举人保护等问题。

it内部审计论文篇(5)

关键词：商业银行；IT审计；数据；必要性；方法；展望

中图分类号：F239 文献标识码：A 文章编号：1001-828X（2013）12-0-01

一、商业银行进行信息系统审计的意义

（一）商业银行日益依赖信息系统。商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。

1.信息管理类系统与决策、管理和业务相关，以提高效率和规避风险为目的，主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统（票据影像缩微系统和光学字符识别OCR）、数字终端录像系统、数字视频监控系统等。

2.渠道类系统是商业银行面向市场和客户的窗口，也是对外服务使用的载体，包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端（例如会计账查询系统等）；电子渠道分为自助服务系统（电话银行、手机银行和网上银行）和自助服务终端（ATM和P0S）；第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算类系统是指有外部接口的系统，包括行间资金转账系统SHFT，主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。

（二）大数据时代将到来。随着信息系统的大力发展，商业银行信息系统出现了爆发式的增长，银行业务越来越依赖信息系统，商业银行的竟争很大一部分是靠信息战。目前，各大银行都实现了数据的总行大集中，信息数据己经成为银行的核心竟争力之一，大数据时代即将到来。

（三）监管当局的外部要求。随着金融业对信息系统的依赖度越来越高，国家相关部门对信息系统的管控也越来越重视，自2006年8月《银行业金融机构信息系统风险管理指引》开始，银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施，监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性，也成为银行业实施IT审计的重要目的之一。

二、商业银行IT审计标准

商业银行IT审计，以国际最佳实践及相应的规则做为审计依据。主要有：

1.COBIT最佳实践模型

COBIT（Control Objectives for Information and related Technology）是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，其最大的作用是将IT过程、IT资源与企业的策略和目标联系起来，保障企业的IT战略目标和其业务发展目标的一致性。

COBIT4.1版本中经典的体系框架包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档。

2.监管部门颁发的《商业银行信息科技风险管理指引》

2009年的《商业银行信息科技风险管理指引》（以下简称《指引》），定义了商业银行信息科技风险的总体框架，即在当前商业银行普遍的信息科技现状下，可能存在的重大信息科技风险的范围，使商业银行的风险管理过程，能够集中精力在相关领域。

《指引》确定了九大管理领域，即：信息科技治理；信息科技风险管理；信息安全；信息系统开发、测试和维护；信息科技运行；业务连续性管理；外包；内部审计；外部审计。这些领域覆盖了信息科技管理的大多数重要活动，这些活动中存在的风险，可能会对业务产生重大影响，因此对这些领域的风险识别和管理，应当在信息科技风险管理中优先对待。

在这九大领域中，IT审计占两个，分别是内部审计和外部审计。而《指引》本身，就是一个针对银行的框架完整的IT审计标准，银行可以参考这个标准，开展IT审计工作。

3.其他IT审计标准

除了以上两个标准，实践中还可使用其他标准，如，由于信息科技的细分领域众多，在进行某些细分领域的专项审计或单领域审计时，可以考虑单独使用某些国际或国内标准作为审计标准，从而达到更深入和专业的目的。比如，在进行信息安全方面的审计时，可参考ISO27001等国际标准或国内标准SSE-CMM；在审计IT运维、IT服务的交付和支持相关领域时，可以考虑采用ITIL作为审计标准；银行应当依据自身特点，结合本行信息科技工作的特点以及每次IT审计的目的和范围，有选择地采用审计标准。

三、银行业IT审计展望

（一）加强以风险为导向的IT审计

银行IT审计职能和角色也在过去这些年发生了不少变化，从以合规审计为主的工作，逐渐变成了活跃的内部或外部业务顾问。如前文所述，基于风险的银行IT审计工作将成为银行IT审计的主流工作方法。

（二）计算机辅助审计技术（CAATs）会在IT审计中得以广泛应用

计算机辅助审计技术是指审计人员在审计过程和审计管理活动中，以计算机为工具，来执行和完成某些审计程序和任务。

计算机辅助审计包含两个层次的内容：第一个层次是指在审计业务中利用电子表格、数据库、字处理常规软件中的一些功能，或审计人员自编的一些小程序，帮助审计人员计算、复核、分析审计数据。第二个层次是指利用专门的辅助审计软件进行项目审计。在开展行业审计时，根据审计工作方案，编制专门的审计汇总软件，自下而上，从审计底稿开始，对审计情况进行逐级汇总。对于银行业来说，实施成熟、适用的审计辅助软件，也成为IT审计的一个发展方向。

it内部审计论文篇(6)

【关键词】信息化需求；IT技术文档规范；ERP；项目群

1 秦山核电信息化发展的背景

秦山核电位于浙江省海盐县，处于华东电网的负荷中心地区，是中国大陆核电的发源地。秦山核电基地现有9台运行机组的装机容量为650万千瓦，是中国堆型最丰富、装机容量最大的核电生产基地。公司制定了“资源集约化、运行标准化、技术专业化、管理精益化”目标，向“世界一流”核电运行企业迈进，除了负责秦山核电地区9台机组的运行管理工作，还负责巴基斯坦恰希玛核电1号、2号机组的运行支持及3号、4号机组的调试工作等。在2015年，秦山核电发展三十周年之际，公司以“一体两翼”作为战略目标，在做好秦山核电9台机组的稳定发电的同时，积极开拓外部市场并推出了“产品”，其一就是信息化系统建设和运维服务。

秦山核电信息化伴随着秦山核电三十多年的发展，也经历了从无到有、从简单到规范、从工具直至两化融合的历程。总体而言，秦山核电信息化阶段主要分成5个阶段：第一个阶段是1990年代初至1997年，信息化因PC电脑的开始普及而出现，这是一个“IT工具”的阶段，主要有财务记账、人事记录和档案等软件的单项应用。第二个阶段是1998年至21世纪初，这个阶段随着电脑终端的大量普及而成为“业务支撑阶段”，IT发展处于被动式的跟随业务需求而动的模式，主要发展为邮件、文件和引入国外工作管理平台等。第三个阶段是21世纪初至2009年期间，在这段期间秦山核电投用了大型的企业资产管理系统EAM，对核电厂生产管理提供了有效支撑，属于“运作阶段”。第四个阶段从2010年至今，信息化发展到了“业务伙伴阶段”，信息化随着秦山核电资源管理的集中而出现平台集中、数据集成等局面，信息化基本覆盖了核电成生产经营的主要业务方面，业务管理已无法离开信息系统的支撑，信息化建设也不可能脱离业务的主导。因此秦山核电也根据新形势的需要完成了两化融合体系的落地和实施。在不久的未来，秦山核电信息化将出现第五个阶段，那就是信息化技术引领的时代，随着核电本身业务的梳理完毕和数据标准化过程的完成，将出现用先进信息化技术来驱动更优化的业务解决方案。

2 秦山核电信息化项目管理的发展历程

秦山地区信息化经历20多年建设形成覆盖各电厂运行、生产、经营、管理等各领域的信息系统，在这发展历程中，曾经出现过信息系统数量多、信息化发展不均衡、系统繁杂标准化低的问题，信息系统从无到有、从数个到上百个，再到系统平台的逐渐统一和集成，到两化融合体系下的以公司新型能力驱动的信息化建设核心。公司信息化建设呈现遍地开花、集中建设、集成提升等发展阶段，在这些过程中，公司逐渐认识到信息化项目管理的重要性。

到2013年期间，公司制定了“资源集约化、运行标准化、技术专业化、管理精益化”目标，向“世界一流”核电运行企业迈进，信息化建设随之也要符合公司战略的引领，凸显出公司原有信息系y以“单项应用”为主、无法实现跨平台数据共享的突出矛盾。公司对信息化建设的综合集成的业务需求强烈，并要求通过信息化手段来助推公司管理提升和管理精细化。在2013年至今的时期，是公司信息化发展的规划化、标准化时期，面临这样的局面，公司信息化部门以打造IT项目的全过程管理、标准化管理为支点，在组织上、制度上、人员培养上面投入资源，实现IT项目管理的能力提升。

公司的信息化部门在面临即要承担因标准信息系统整合的任务，又要承担上级单位下达的信息化建设的任务，但因IT项目因其应用领域、规模、类型、复杂性等方面的不同而在管理上存在较大的差异，为提高IT项目管理效率及规范需建立适用于本公司规范IT项目管理的方法、手段、制度、流程和文档标准。但目前尚未形成像工程项目那样完整、成熟的项目管理理论与方法体系，现有项目管理理论和方法体系难以完全适用IT项目管理的需要。另外，信息化工作作为企业重要组成部分，每年都要接受公司内外部管理审计及安全审计，中核核电运行管理有限公司信息项目归口管理部门，需要结合企业特点，借鉴现有IT项目管理理论与方法，以及取得的成功经验，对IT项目标准化管理进行较为系统的研究，经过实践，初步建立IT项目标准化管理方法框架体系。

3 两化融合体系下的信息化项目全过程管理实践

从2014年开始，秦山核电基于EA架构方法论，开始实践信息化工作的规范化管理，将信息化工作按两化融合规划、信息安全管理、信息化建设和信息系统运维等四大维度开展工作。

在信息化建设这一IT项目管理区域中，以公司两化融合体系为运行环境，基于公司战略和需打造的新型能力为出发点，形成IT项目的主要输入。以两化融合中长期规划作为IT项目建设的总体实施路径，形成IT项目建设的年度工作计划。信息化项目的全过程管理形成了：策划输入、项目准备、项目实施、上线应用和项目后评估等阶段。

3.1 严控信息化需求管理，统筹规划项目资源

根据公司两化融合体系的落地，梳理了公司在十三五期间的主要新型能力创新点，主要是：核电生产精益化管控能力、核电运营成本精细化管控能力和核电运营风险管控能力这三大核心能力，公司信息化建设主要围绕这三大核心能力去开展信息系统建设，提升信息系统对核电核心能力的支撑和提升。

为有效信息化需求评估和实施的管控：结合公司标准化业务管理模式，优化信息化需求评估流程的，确定统建信息系统信息化需求评估方式。确定了信息需求实施任务的规范管理模式。所有涉及信息系统信息化需求评估流程调整为在ERP-BPM中实现，对于中国核电各成员单位的ERP系统的需求申请，也实现了需求的统一入口管控。流程主要环节由申请部门进行需求自评估、信息部门进行技术层面可行性分析，并给出需求审查意见，如涉及业务流程变化的还需要关键用户、业务领域审查、公司CIO审查或信息化工作办公室、中国核电审批，需求评估进行分级管理实现实时跟踪。信息化需求及项目实施过程中的变更申请严格履行程序流程，按照流程发起申请，进行充分合理的评估，得到批准后方可实施。未按流程、未完成最终审批的需求或变更一律不得实施。

根据需求的轻重缓急，考虑预算、计划、人员等资源的约束，统筹规划项目资源，安排项目开展计划及项目预算，对于完成所有前期审批的信息化项目，有预算的直接办理相关立项审批；对于无预算的信息项目，视情况安排至下一年度或等待预算落实后实施。

3.2 标准化信息项目管理流程

依据上级单位信息化工作的要求以及公司经济授权等明确信息化项目的分级、分类，以及对应的审批流程，明确项目全过程管理流程。将关于《企业内部控制应用指引》有关信息系统内部控制，以及两化融合体系的管理要求，落实到各管理细则中，通过项目实施细则，明确项目进度、成本、质量、沟通、风险等管控方式以及问题处理机制。

根据IT项目管理理论的九大知识领域，秦山核电根据核电厂工作实际，在实践中进行利用和创新，达到了符合企业实际又能满足项目标准管控的要求。

3.3 规范IT技术文件管理，形成IT最小化标准化文档模板

“IT技术文件管理规范”是管理程序的延伸，是信息技术文件规范管理要求。IT技术文件分为四层、18个类别，四层分别是管理规范级、企业级、系统级、记录级，从高到低分别是一、二、三、四级。每个类别技术文件都有确定的责任方、文件流转的信息平台、文件模板、归档移交要求。涉及信息安全的技术文件不在信息平台中管理。

规范各类文件名称命名规则及项目编码，项目编码在项目可行性期间就要给出文件编码，文件编码作为后续项目存档查询的关键信息，作为重要索引信息。

结合信息领域管理程序及制度，承接信息项目管理程序、IT技术文件管理规范的落地要求，立足于项目全过程文档规范管理，以项目前期、立项启动、需求分析、系统设计、系统开发、环境搭建、系统测试、培训、项目验收等主要环节控制要求文档。结合历年信息化建设项目文档管理工作实践，信息项目处通过梳理信息项目文档清单、查阅IT项目管理相关专业资料，总结以往项目相关文档管理做法、经验和体会，开发出了信息化项目管理最小文档。文档清单和模板内容结合信息项目建设过程中良好实践，同时借鉴IT业界标准信息化项目标准文档，经数次讨论修改，最终形成信息系统项目最小化标准文档模板24份。

3.4 借助系统平台，落实项目管理

利用SAP-ERP系统管理信息项目预算，为部门管理者提供总体预算执行情况实时显示与跟踪，为项目负责人提供从项目立项、审批、合同签订、支付等项目成本全过程管理和控制，及时掌握项目所处环节，根据项目进展实时确认工作量以及对应的成本，以反应项目进度。

通过IT项目跟踪平台，实现IT项目群管理有利于部门领导在整体上进行规划、控制和协调，指导各个项目上具体管理工作。所有新增、在建项目在IT项目跟踪平台中管理，根据对应的标准系统统一编制项目码，项目码作在文档归档时索引的关键字段。

固化里程碑节点，每个项目先制定项目里程计划，根据项目进展更新项目进度，不同进展使用不同颜色的进展条显示，定期报告反馈进展情况分析差异，发现的问题通过问题反馈机制及时采取纠正措施解决问题。

利用禅道项目管理软件，管理项目任务及团队成员，增强任务分配及完成及时性，任务工时评估，提升团队成员工作饱和度，促进项目团队工作效率。

所有项目文档归档至ECM系统，所有因项目而产生的技术规格书（技术规程文件类）、实施文件（项目文件类）、会议纪要、交付归档的项目文件，通过规范的项目编码快速检索。

3.5 项目实施团队的管理

信息化项目管理内部实行项目经理负责制，项目经理在信息项目处部门领导的指导和监督下，全面负责项目计划、预算、组织和实施，严格控制项目的质量、进度和费用，保证完成项目目标，为项目JYK考核工作负责。

对以外包方式的项目实施商及实施人员建立管理台账，定期开展项目及实施人员评价，实施单位在项目结束后进行评价，对于长期合作的实施商开展每年定期评价的方式，实施人员评r由项目经理评价，均采用积分制，积分排名优先者，优先选择作为下个项目的合作伙伴。

3.6 项目验收管理

项目验收是对整个软件开发、建设项目管理结果的综合评价，一直以来都没有一个统一的标准，随意性大。经过治理，梳理出三项验收环节控制措施：

1）制定信息化项目验收管理要点，内容包括项目实施结果与对应信息化需求符合情况、项目文档要求、文档格式标准执行、合同遗留主要问题、项目转运维落实情况、产品授权、版权要求等方面；

2）组织全方位验收会议，项目验收由业务部门/单位、信息部门、承包商、商务部门等有关联的部门参加，以保障验收效果，建立项目观察人角色，保障项目管理各环节规范落实；

3）项目完工后对承包商综合能力进行评估。

公司通过以上三方面对项目实施情况进行全面评估，同时针对集团公司要求的达到一定投资额、部分重要专项的控制要求，开展了信息化项目的档案审查、财务竣工审查等额外工作标准。

3.7 项目成果管理

项目实施的效果与项目参与人员的价值主要通过项目前成果来体现，信息人员将更多的精力投入专注于具体工作，未意识到成果总结与管理的重要性；在对报奖渠道、知识产权保护、渠道进行专项梳理中发现，存在成果报奖、等渠道了解不足，项目前期未筹划，报奖时材料来不及准备，错过报奖时机，知识产权保护意识薄弱，重视程度不够。通过组建专门团队进行信息化成果的统一管理工作，取得较大成效，信息化相关获奖成果、知识产权申报明显上升。

在公司开展信息化项目的全过程管理之后，公司已对IT项目的成果管理实现了较好的效果实现，主要是信息系统知识产权、软件版权等方面的注册和保护，这些形成的公司IT软资产、软实力对公司“一体两翼”的信息化对外服务能力有极大的增值和品牌效应。

3.8 项目后评估机制

信息化系统的实施上线，其真实价值几何最终仍然须经过业务运转的检验才能体现，因此在秦山核电的IT项目管理全过程中，规定了在信息系统上线一年后，开展由系统使用业务部门牵头的项目后评估工作。后评估工作作为信息系统建设过程的最终环节，对系统建设和上线应用进行合理评估，形成的评估结果作为对IT系统建设的有效评价，以作为推进IT系统建设提升效率和实现提高的基础。

it内部审计论文篇(7)

一、信息化内部控制审计与信息系统审计的相关规范

国内外相关规范中的一系列规定表明，现代内部控制审计必须充分重视信息技术的应用。信息技术在财务报告内部控制领域的应用，主要的表现形式就是信息系统，特别是会计信息系统的建立。信息化内部控制审计关注会计信息系统的内部控制有效性问题，而这个问题也是信息系统审计关注的重要内容之一。而国内外一系列信息系统审计规范的陆续，又使信息系统审计成为人们关注的热点。信息系统本身就包含了信息技术的应用，信息技术的深入应用又对信息系统的内部控制产生重大影响。而信息系统，特别是会计信息系统的内部控制，同样是信息系统审计中重要的一环。

（一）信息化内部控制审计会计信息质量不仅取决于财务报告本身，更取决于对财务报告产生过程的有效控制。内部控制是防范企业财务报告错误和舞弊行为，保证企业财务报告真实、完整的内在机制。而内部控制审计的目的就是要评价内部控制的有效性。信息技术应用的不断深入使经营管理越来越依赖于利用信息技术建立起来的信息系统。理论界也密切注意着信息化环境下企业内部控制制度的变化，许多学者纷纷探讨信息化环境对企业内部控制要素的影响、信息化环境下内部控制的构建等，并认为应该利用信息技术来构建与完善内部控制系统。信息化环境下内部控制系统的变化，必然导致内部控制规范的变化，不论是美国内部控制规范体系中的COSO 框架、SOX 法案、SEC 的《最终规则》、COBIT，还是日本的《财务报告内部控制的评价和监督准则》等规范，都充分地考虑了信息化环境对内部控制的影响。面对信息化环境下内部控制及其规范的变化，评价内部控制有效性的内部控制审计就必须考虑信息化环境的影响，从而就产生了信息化内部控制审计的问题。

内部控制审计考虑信息化环境的影响始于上世纪80年代。本世纪以来，各国又陆续出台了一系列相关的规范。如，美国上市公司会计监督委员会（PCAOB）于2004年3月了第2号审计准则《与财务报表审计协同进行的财务报告内部控制审计》（简称AS NO.2）。随后，PCAOB于2007年5月又颁布了第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》（简称AS NO.5）以取代AS NO.2。此外，美国注册会计师协会（AICPA））为了与AS No.5保持一致，于2008 年了鉴证准则第15 号（SSAE No. 15）。SOX 法案302条款和404条款中的实质性条款也直接影响到了PCAOB、AICPA等对内部控制审计的相关规范。从AS NO.2到AS NO.5，其内容都涉及到IT环境下的内部控制问题。AS NO.5对于IT 的应用表现出了更多的关注，如必须评价IT使用的范围，必须认真评估IT 对财务报告的影响及其带来的风险等。日本为体现IT的重要性，直接将“对IT的应用”作为内部控制的一个基本组成部分。

我国审计对信息化环境的关注最早体现在审计署的相关规范中。1993年，我国审计署了《关于计算机审计的暂行规定》，1996年又了《审计机关计算机辅助审计办法》，从而拉开了我国IT在审计领域应用的序幕。1999年，中国注册会计师协会了《独立审计具体准则第20号——计算机信息系统环境下的审计》，要求注册会计师应充分关注IT环境对被审计单位会计信息及内部控制的影响。2003年6月，中国内部审计协会实施了《内部审计具体准则——内部控制审计》，其中要求内部审计人员应评价组织获取及处理信息的能力。2006年，财政部了《审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》，认为内部控制应包括自动化成分，在风险评估以及设计和实施进一步审计程序时，应当考虑自动化特征及其影响；还应当从信息技术和人工系统中，对交易生成、记录、处理和报告的程序了解与财务报告相关的信息系统。2007年，财政部了《审计准则第1633号——电子商务对财务报表审计的影响》，认为注册会计师应当考虑被审计单位在电子商务中运用的与审计相关的内部控制。2008 年，财政部等五部委联合了《内部控制审计指引》，认为应当关注信息系统对内部控制及风险评估的影响。2011年10月，中国注册会计师协会了《企业内部控制审计指引实施意见》，认为内部控制审计要考虑信息技术控制环境的影响。