it审计和普通审计十篇-ag尊龙app

时间:2023-08-17 18:14:18 凯时k66会员登录的版权声明

it审计和普通审计

it审计和普通审计篇1

一、澳大利亚it审计的特点

澳大利亚审计署(anao)分为联邦审计署和州审计署,在各自审计长的领导下,对管辖范围内的单位进行审计。其政府审计分为财务审计和绩效审计两部分,这两种审计中都涉及到以计算机为基础的it审计,所占比例达到20%至30%。anao的it审计发展经历了三个阶段:第一阶段是技术层面(technical level)的审计,如程序代码、数据输入输出控制、数据备份;第二是操作层面(operational level)的审计,如计算机核心操作、软件应用、物理安全与逻辑安全;第三是管理层面(management/governance level)的审计,如操作结构、商业可持续性、风险管理、项目管理、服务传输、安全管理、资源管理、执行矩阵、信息管理等。经过多年的研究和发展,澳大利亚已形成了较为完善的国家审计体系,并长期处于世界领先地位,尤其在it审计理论与技术领域,积累了丰富的经验和成果,目前已进入到注重管理层面审计的阶段,重在把握对it项目经济、效率、效果的评价和项目开发的合规、安全上,标志着澳大利亚it审计已经非常成熟。笔者发现澳大利亚it审计存在如下特点:

特点一:it审计各个方面均执行相对规范的标准

anao开展it审计,执行相对规范的标准,如在it项目管理方面,执行国际通用的gateway、prince2(projects in a controlled environment2)、pmbok(project management body of knowledge)等标准;在it服务传输与服务管理方面,执行cobit(control objectives for information and related technology)、mof(microsoft operations framework)、itil(it infrastructure library)等标准;在it安全方面,执行信息安全标准iso17799;在it风险管理方面,则执行澳大利亚国家标准:as/nz4360:2005风险管理标准,等等。各类标准具体规定了审计人员在审计某一类型项目时的方法、程序步骤、工作重点,具有很强的可操作性。它既为没有经验的审计人员提供了一个详实的可供参照的操作规程,又约束了审计人员的行为,减少和避免审计人员工作中的随意性。正是由于严格按照各类标准开展审计,anao的审计尤其是it审计的质量都得到了可靠的保证。

特点二:it审计综合运用各种信息技术

anao的审计人员在下列情况下,可应用计算机辅助审计技术:一种是在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时;另一种是通过利用计算机辅助审计技术可以改进审计程序的效果和效率时。计算机辅助审计技术有多种,一是用于审计目的的审计软件和工具,用以处理来源于单位会计制度的重要审计数据。传统的caat(computer assisted audit techniques)工具有sql(structure query language,如mysql)、microsoft access、excel。其他一些风险分析与计划管理软件如methodware、司法模式鉴定软件如netmap、证据采集与镜像软件如encase等,也被因地制宜地运用到审计中去。通过各种审计软件和工具,审计人员可以方便地对数据进行排序、求和、筛选等操作,并能生成审计人员需要的各类图表。二是数据测试技术,用以检验应用程序、控制程序和信息系统的可靠性。在执行审计程序时,将数据录入被审计单位的信息系统,跟踪某项业务直至数据输出,将获得结果同预期结果相比较,以检查访问权控制的有效性和输入有效性控制的执行情况。如对工资处理程序审计中,使用不同身份的人员登录,输入不同类型的数据测试。

特点三:it审计围绕风险控制

anao一贯秉持。风险控制的理念,每年都对其风险管理计划的执行情况进行回顾,根据外部环境的变化,修改业务要求考虑战略层次和操作层次等不同层次的风险,开展了以识别和处理经营风险及舞弊风险为核心的风险导向审计,建立了全面的风险管理框架,规避与防范风险。这一框架既包括对anao整体的风险管理计划,也包括对每一工作领域的风险管理计划。它陈述了所有anao已识别的风险,从“确定风险存在的环境”、“识别风险”、“分析风险”、“评价风险”和“处理风险”等五个环节,合理地确定风险的控制措施,将风险减少到可以接受的水平。通过评估计算机设备、电子数据、信息通讯的安全性,以评估信息系统的固有风险;通过评估系统开发控制、内部管理控制、访问权限控制,以评估信息系统的控制风险;通过对数据输入控制的测试、数据通讯和数据处理控制的测试和数据输出控制的测试,以评估信息系统的检查风险。

特点四:it审计统筹考虑成本与收益

anao开展it审计,统筹考虑成本与收益,努力在审计时间、审计费用和审计质量三者之间寻求较好的平衡点,以求it审计如同经济活动一样,达到效率性(efficiency)、效果性(effectiveness)与经济性(economy)的完美结合。为此,他们对每一项it审计工作都做出周密部署:在编制审计计划时,确定对信息系统控制的可信赖程度;制定关于何时、何处与如何检查信息系统功能的计划;制定关于利用it审计技术进行的审计程序计划;分析it审计技术的可行性、预期效果与效率;考虑时间因素。在实施审计时,收集与审计计划有关的信息系统环境的资料,包括信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等;注意传统审计技术和it审计技术相结合、it审计人员与非it审计人员相结合,考虑审计人员的资质与背景;考虑被审计单位在哪些重要方面应用了it技术,其程度如何,及其对审计的影响,以确定合适而恰当的审计方法。

特点五:注重it审计人才培养

anao始终把人才培养放在第一位,积极引进既有审计经验又具备高层次it知识技能的复合型人才,同时对审计人员有计划、有步骤地进行it知识后续教育,此外还在审计中积极吸收it审计方面的专家为it审计提供技术咨询与服务,保证了审计项目的顺利实施,也锻炼了该国的it审计队伍。目前,该国已形成一支知识呈阶梯状的it审计队伍:首先是普通it审计人员,他们理解操作系统、系统软件、应用软件和网络环境等概念,并具备一些病毒防护、入侵侦测、授权管理等信息安全控制方面的知识;其次是it审计管理者,他们除具备普通it审计人员应具备的技能与知识外,还深刻理解it审计的要点,以便于科学计划、测试、分析、报告、跟踪,并合理地组织项目实施;再高一层是it审计专家,他们深刻理解信息系统底层技术,并熟悉与之有关的威胁和弱点,同时在数据库、网络技术等领域有较高造诣。

二、收获和体会

澳大利亚网络不如我国普及,但在it审计理论与实践方面却是走在许多经济发达国家的前列。经过澳大利亚之行,笔者深有收获和体会:

(一)树立先进的it审计理念。通过培训和考察,笔者发现目前我国计算机审计在技术方法层面上并不逊于澳大利亚。澳大利亚审计中使用了传统的sql server、microsoft access、excel,为我国审计人员所熟知并熟练使用。我国审计人员使用的集项目管理、数据采集、统计抽样、经验利用、报告生成于一体的ao软件,甚至比anao所使用的许多软件更为先进;我国审计人员在olap(多维分析技术)、数据挖掘技术等尖端技术的研究方面,也丝毫不逊于澳大利亚。澳大利亚在it审计方面取得令人瞩目的成绩,支撑其取得实效的并不在于技术方法,而是审计人员的it审计理念。我们要充分认识到:如果不搞it审计,审计内容就不全面,我们就无法实现融入世界审计主流的目标。更重要的是,开展it审计是对“免疫系统”理论的积极回应,是对审计署认真践行科学发展观的体现。

(二)建立规范的it审计程序。无论是授课老师,还是两州审计同行,无不强调“程序和政策”(procedures & policies)。面对我国it审计指南缺失的现状,我国审计机关应当尽快将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法,把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术;同时,顺应经济全球化的发展趋势,建立与国际审计准则接轨的中国it审计准则,规范it审计的工作。针对我国it审计中存在审计人员在运用审计技术和方法缺少规范与约束的问题,建议将cobit的it治理思想和框架,引入审计业务支撑体系的质量控制中,科学、系统地对信息及相关技术进行管理,实现了审计战略与it战略的互动,并形成持续改进的良性循环机制,这对于规范it审计程序、提高it审计质量具有重要的现实意义。

it审计和普通审计篇2

[关键词] 高校信息化; it资源; 运维安全审计

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015. 05. 050

[中图分类号] f239.1 [文献标识码] a [文章编号] 1673 - 0194(2015)05- 0093- 03

高校信息化经过多年的迅速发展,建成了大量的校务管理信息系统及相对完善的校园网络环境,建设成果在高校校务管理中发挥了重要作用,积累了丰富的系统建设及运维经验,同时这些系统的充分应用集聚了大量的学生、教学、科研、人事、财务等业务数据和工作成果。信息已成为高校组织业务至关重要的资产,信息的安全对高校的管理乃至今后的发展至关重要,一旦发生信息数据泄露和信息安全事件,将对高校造成不可估量的损失。因此,保障关键信息的安全成为高校信息化建设新的挑战。

1 高校运维安全审计系统建设的必要性

1.1 高校高度依赖信息系统,必须杜绝信息安全事件发生

高校信息化经历了初创期,发展期,目前已进入成熟期,学校师生及各级管理层、各职能管理部门对信息化给高校教学、科研、管理带来的变革及效应充分肯定,对管理信息系统建设热情高涨,摒弃原有落后的办公模式,全面基于信息平台开展日常办公,学校各个方面的管理业务都建设相应的管理信息系统,特别是移动应用的开发,更是给师生带来全新的人性化服务和体验,所以高校已经对信息系统应用产生前所未有的依赖。一旦由于管理或技术原因发生信息泄露或信息安全事件,将对师生及学校造成不可估量的损失。近年来,高校的各种信息安全事故不断见诸报端,充分说明高校必须提升信息安全保障工作的水平。

1.2 运维人员管理权限过高,内部安全威胁日益突出

上海财经大学管理信息系统所有应用系统、数据库及服务器等it资源全部由一两个后台系统管理员集中管理,部分信息系统建设及运维采用服务外包模式,服务承包方技术人员也掌握后台服务器部分操作权限,包括应用服务及业务数据库操作权限。这种管理模式,势必导致来自单位内部的安全威胁日益增多,学校信息化管理层已经意识到综合防护、防范内部威胁的重要性,同时,信息化领域相关管理规范,如信息系统等级保护等也对运维人员的操作行为审计提出明确要求。因此,如何化解后台系统管理员过高的管理权限带来的内部信息安全风险,是高校信息化技术管理层必须解决的问题。

1.3 粗放式it资源管理方式,导致安全事故责任难以追究

高校信息化的多年建设,积累了大量的各类软硬件it资源,如操作系统、数据库、网络设备、应用服务等,管理庞大的it资源库对后台系统管理员来讲,是一项复杂的工程,管理不善,容易出错,甚至造成严重后果,手段不先进,容易造成管理漏洞。特别是运维服务承包方技术人员掌握着学校的相当一部分it资源的访问权,这些技术人员经常频繁流动,往往已经离开公司的技术人员权限不能及时清理,对学校造成极大信息安全隐患。同时,后台运维人员由于业务能力或责任心等原因导致误操作也时有发生。因此,对it资源进行精细化管理,做到安全事故责任可追究,成为高校提升it运维管理水平的必由之路[1]。

1.4 完善运维安全技术体系,适应新形势发展要求

上海财经大学经过几年的努力,已经在信息安全管理体系方面形成了一系列管理规范,组织体系方面设立了具有一定层次关系的信息安全虚拟组织机构及人员安排,负责全校信息安全工作的正常开展。在技术体系方面虽建立并加固了安全防护网,初步开展了一些安全常规工作。但新形势下,国家、教育部及上海市等上级主管部门在信息安全方面不断提出更高的要求,特别是美国斯诺登事件之后,信息安全形势严峻,学校需根据这些新的要求进一步完善运维安全软硬件建设,完善相关管理体系和技术体系。据此,建设并实施运维安全审计系统作为完善信息安全管理与技术体系的手段之一,显得尤为重要[2]。

针对以上问题,上海财经大学历时几个月,经过充分的调研与分析,在全校层面设计并建设了运维安全审计系统,从而达到监控正在运维的会话及后台资源被访问情况,实时监控在线运维操作,实施细粒度的安全管控策略,实时告警与阻断违规操作,拦截非法访问、恶意攻击,阻断不合法命令,过滤所有对目标设备的非法访问行为的目的。

2 运维安全审计系统凯时k66会员登录的解决方案

上海财经大学运维安全审计系统的整体建设目标是通过构建统一的运维安全审计平台,集中解决敏感it资源及数据安全问题,同时为后期统一安全管理平台建设打好基础。

2.1 系统审计原理

运维安全审计系统之所以能够达到审计目的,主要是依靠截获运维人员的操作,并能够分析出其操作的内容。特殊的部署方式,确保系统能够截获运维人员的所有操作行为,分析出其中的操作内容以实现权限控制和行为审计的目的。同时该类系统还采用了应用的技术,对于运维操作人员来说运维审计型系统相当于一台服务器(proxy server)。因此,运维安全审计系统访问的基本原理是,运维人员在操作过程中首先连接到审计系统,然后向审计系统提交操作请求;该请求通过系统的权限审核后,系统的应用模块以用户身份连接到目标设备并完成相应操作,随后目标设备将操作结果反馈给审计系统,最后系统再将操作结果反馈给运维操作人员。

2.2 系统角色功能

运维安全审计系统的使用对象包括3类人员,审计系统管理员、系统运维管理员及审计人员。审计系统管理员主要职责是根据安全策略和系统运维管理员所需的操作权限来配置系统的安全策略。审计系统通过“策略管理”组件与审计系统管理员进行交互,并将审计系统管理员输入的安全策略存储到系统内部的策略配置库中。系统运维管理员的操作请求通过系统审核后,系统的应用组件负责完成相应操作,并将操作结果反馈给运维管理员,同时操作过程被记录至系统审计日志数据库,备日后调阅。审计人员则可在需要调查运维管理员的历史操作记录时,读取审计日志数据库,开展信息安全审计工作[3]。

2.3 系统实施方案

2.3.1 it资源访问操作管理

当运维系统管理员对操作系统、数据库、防火墙、交换机、应用服务等操作进行命令和图形界面操作时,运维安全审计系统全程对所有操作界面进行文字记录和视频截图,便于出现问题后进行追踪。针对上海财经大学的情况,该审计系统可通过操作命令记录和录屏的方式对现有linux、unix、windows操作系统、oracle数据库、oracleas等相关操作系统、数据库和应用服务的操作日志进行记录。实时监控通过ssh、sftp、rdp、vnc、telnet、ftp等协议的操作行为,对监控到的非法操作,可实时手工切断。可以对使用plsql、toad等数据库客户端的应用服务系统数据库管理员数据操作和数据库对象操作进行记录,同时,可以记录服务器管理员对linux、unix操作系统的命令操作,同时可以对windows操作系统、负载均衡、虚拟化平台客户端、交换机、防火墙等服务器操作界面进行视频截图,做到任何操作事前权限可分级,事后可追踪[4]。

2.3.2 it资源访问权限管理

针对学校it资源庞大,管理网络复杂,安全事故责任难以追究的问题,建设完成的运维安全审计系统,可对各类it资源对象权限进行精细管理。对用户有权限管理的目标设备,可按部门、设备类型、业务类型等分组管理,对不同类型的用户设置不同的访问权限。如可限制数据库管理员对特定数据库对象的数据操作权限,避免数据库管理员的越权操作,同时可记录数据访问情况,从而真正提高资源访问安全。

2.3.3 it资源访问账号管理

以往的操作中,经常存在多人共用一个it资源访问账号的问题, 如应用系统数据库账号, 一旦操作失误,系统管理员将无法确定具体操作人员,无法追究相关责任。建设完成的运维安全审计系统则可向不同数据库操作员发放不同动态口令卡,做到用户与口令卡唯一对应, 从而识别数据和数据对象的操作人员,操作人员只有同时输入静态口令和动态口令,才能访问数据库对象和数据。一旦出现失误操作, 可准确定位到具体操作人员。

2.3.4 it资源访问密码管理

服务器密码重置是一项运维常规工作,以往一直只能通过人工操作或通过编写代码实现,存在操作不稳定和误操作的风险。通过该审计系统的实施,可设置自动定期修改目标设备密码,且非专业的密码管理员不需要掌握修改后的具体密码。运维安全审计系统会自动代填服务器密码,所有服务器管理员都通过审计系统统一入口直接访问服务器资源,提高密码重置工作效率的同时,提高了服务器管理员访问操作的效率,也避免了服务器密码人为泄露的风险[5]。

运维安全审计系统的实施,特别对外包型项目的公司方技术人员访问系统数据库和应用服务操作的审计,发挥了重要作用。公司人员仅能通过统一入口访问权限内的数据库及应用服务资源,且校方不会告知其具体用户和密码。

运维安全审计系统从密码管理相关角色可分为普通运维人员、密码管理员和权限管理员。其中普通运维人员只能访问有权限的资源,且不掌握该资源密码;密码管理员只掌握所有服务器密码,但无操作服务器权限;权限管理员负责向不同运维人员分配不同资源,但不掌握具体密码。通过以上角色和权限的设置,可以达到相互制约的效果,从而大大提高服务器人员操作层面的安全。

3 建设成效

通过运维安全审计系统的实施,上海财经大学it运维部门实现了对各个业务系统以及操作系统、数据库、网络设备等各种it资源的账号、认证、授权和审计的集中控制和管理;实现了集中化、基于角色的主从账号管理,实现了角色属性级别的细粒度权限分配和管理;实现了集中化的身份认证和访问入口;实现了集中访问授权,基于集中管控安全策略的访问控制和角色的授权管理;实现了集中安全审计管理,收集、记录用户对业务支撑系统关键重要资源的使用情况。

4 结 语

高校信息安全和信息防护工作是一项长期的无止境的任务,实施运维安全审计系统是信息安全管理手段的延伸,是安全技术体系的有益补充。通过该系统的建设,上海财经大学it运维部门有效控制了技术维护工作中的越权操作、误操作、恶意破坏等安全风险,实现了对维护操作的控制和约束,并做到了在问题发生后能够定位追查和取证定责,提升了it运维管理能力与水平,为学校信息资产筑起一道安全屏障,同时也为其他高校信息资源安全防护提供有益借鉴。

主要参考文献

[1]曹伟峰.高校服务器运维安全审计系统的研究[j].电脑知识与技术,2014

(16):3734-3736.

[2]王延明,许宁.高校信息安全风险分析与保障策略研究[j].情报科学,

2014(10):134-138.

[3]宗波.浅析堡垒机概念及工作原理[j].计算机光盘软件与应用,2012(18):

124-126.

[4]张顺喜.运维安全审计系统[j].无线互联科技,2013(7):10.

it审计和普通审计篇3

在pcaob(美国公众会计监管委员会)审计标准ⅱ中也特别指出,it控制设计很重要,不可低估控制设计在整个it控制环境中的重要性,并强调it控制能有力地支持整个内部控制环境。该标准又进一步指出:公司整体内部控制系统的有效性依赖于“其他控制是否有效”(指的是控制环境或it一般控制的有效性)。 因此,理解it控制与it控制体系设计的相关理念,成为企业必备的重要能力。

首先,我们定义it控制是由期望达到的(it控制目标)和达到这些目标的方法(控制程序)构成。it控制目标是指通过对具体的it活动实施控制程序,以达到期望结果或目的的总体描述。可见,事实上,有效的it控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里it风险指的是it使企业不能实现其经营目标的风险。

然后,我们从人员职责、it控制的构成和it控制对象这三个角度来理解it控制的外延:

1.从人员职责角度看:首先是以下三类人员的职责:

 管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证;

 低层管理者与员工――主要职责是执行控制;

 审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。

2.从it控制的构成角度看:it控制包括it控制环境、it一般控制、it应用控制。

3.从it控制对象与范围看:it控制对象包括企业it生命周期的所有流程。

实现it控制,中国企业需要应对三大挑战

国内企业信息化建设速度越来越快,信息化水平越来越高,业务与财务报告流程对it的依赖程度也随之越来越高。对大多数企业而言,运用整合的erp系统,或综合运用各种经营管理、财务管理方面的软件,已经成为财务报告系统强有力的支持。

随着萨班斯法案的出台,财务报告的内部控制几乎离不开it控制,即使业务层面的管理控制也是it支撑环境下的控制。但是,信息技术是一把双刃剑,其潜在风险也越来越大,企业在建立有效的it控制,以保证财务报告的有效性方面正面临着巨大的挑战。

但是,目前国内企业的内部控制体系多为传统的会计控制及管理控制,对it控制缺少系统的考虑,企业的it控制面临三大挑战。

挑战之一:cio缺乏内部控制理论与实践。

以萨班斯法案的要求来说明,404条款的遵照执行有四个阶段:1.公司应制定内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如coso之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式,以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。

法案的要求使很多人认为,it专业人士应该对其负责的it系统所产生的信息质量及完整性负责,但问题在于,大多数it专业人士对复杂的内部控制并不精通或了解,因此难负其责。尽管不能说it人员没有参与风险管理,但至少it管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。cio(首席信息官)们现在到了不得不补课的时候了,当务之急是补充有关内部控制方面的知识,理解企业所制定的sox遵循计划,才能专门针对it控制拟定一个遵循执行计划,并把这个计划与总体的sox遵循计划相整合。

挑战之二:缺乏系统的it控制体系

事实上,每个企业或多或少都有一些it控制制度,很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到,我们需要的是“发现问题,解决问题;发现新问题,解决新问题”的持续改进体系。同时鉴于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些it控制制度可能不太规范且不成体系,控制程序也不够完善。it控制制度一般存在于系统安全和变更管理等一般控制领域,缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。

挑战之三:现有it控制体系不具有可审计性

萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性,这就要求企业必须有完善的内部控制流程及审计轨迹,在控制发挥作用的同时生成相应的文档记录,以便在对内部控制设计及运行的有效性进行评价时有足够的证据。

我国企业的it控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度,但该体系的完整性、有效性以及遵照执行情况缺少评价,或没有证据进行评价。

因此,我们构建it控制系统时必须从全局着眼,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的it控制体系。

构建有效而持续的it控制需要正确的理念、适合的内控框架和评估机制

对于企业,我们认为在构建it控制体系时,需要从三个层面来考虑才能保证it控制的有效性和持续性。为了更好地说明,笔者将以如何设计符合萨班斯法案要求的内部控制为例,来展示构建it控制体系的主要思路,以供参考。

1. 要认识到构建it控制体系是一个循序渐进的过程

sec管制条款内容复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和凯时k66会员登录的文化,通常也需要对it系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留,以及it控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业,这些企业的规章制度普遍较为健全,所以对于它们而言,更为重要的是如何根据内部控制的理念和原则,结合企业的实际情况,对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验,因此,it控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。

2. 要选择好内部控制框架

法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的turnbull、美国的coso 和加拿大的coco , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。pcaob审计标准ⅱ在“管理层用于开展其评估的内部控制框架”一节中,明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架,来评估公司财务报告内部控制的有效性,sec也从侧面认可coso框架。coso 认为,内部控制是由企业董事会、经理层和其他员工,为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括sec、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按coso 建立内控框架, 逐步与国际管理模式接轨。通过引入coso 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。

尽管coso正在成为理解和评价内部控制的全球性框架。但是,coso不是唯一的控制框架,在有些情形下甚至可能不是最好的或最易于使用的框架,尤其是在coso框架中没有考虑到对it控制目标和相关控制活动的具体要求。目前,cobit(信息系统和技术控制目标,control objectives for information and related technology)正在成为更好地理解信息技术环境下内部控制的国际公认框架,该框架由美国it治理研究所(itgi),是一个it风险管理与it控制的综合性分析框架,由覆盖信息化生命周期的4个域、34个it控制目标、318个详细控制目标组成。cobit也涉及企业经营、合法合规等方面的控制。因此,该框架可作为制定it控制目标、审计、管理和执行方针的依据。cobit不是coso框架的替代品,而是coso框架的有力补充,这是因为在信息技术条件下,管理层、it人员、审计师都需要理解和记录it相关流程、流程中资源利用情况,以及支持这些流程的控制。

尤其是那些信息资产密集型或高度依赖于自动化处理的企业,理解和评估信息技术条件下的内部控制是一项巨大的挑战,但也是实现萨班斯合规性的关键之处。cobit对评估这种环境下的内部控制会特别有效,cobit的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉cobit框架的人来说,其庞杂体系令人望而却步,其指南分散在有很多图表构成的多卷本中。并且,cobit自1996年问世以来,在很长的一段时间里,许多审计人员单纯地将cobit看作是专门的信息系统审计工具,认为它对其他审计工作帮助不大。我们认为,虽然cobit的重点仍然在于it,但是所有的相关人员包括审计人员都要研究cobit框架,并将它作为一款优秀的控制框架,用于帮助实现萨班斯法案的合规性要求(coso、cobit与sox的对应关系见图1)。

整合运用cobit与coso作为构建it控制的框架,是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以参考it运营、信息安全方面可审计的国际标准管理控制体系iso20000、iso17799等。

3. 建立一套自评估机制,确保内部控制系统的持续有效

众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明,这也迫使公司必须建立一套控制自评估机制,评估内部控制体系设计、执行是否有效,以支持管理层的声明。同时,自评估机制也可以帮助公司发现控制薄弱区和控制漏洞,及时审时度势,弥补内控体系的缺陷,确保内控体系持续有效。这也正是萨班斯法案所要求的。

控制自我评估(csa)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会(iia)在1996年研究报告中总结了csa的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。csa最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年coso报告公布之后。coso报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,csa得到了普遍的信赖。

自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试(见图2)。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了评估企业内部控制水平,指导企业进行差距分析并确定改进目标,建议企业借鉴成熟度理论,描述企业it控制有效性的各种等级。

 level 1 不可靠级 不可预知的环境,在这种环境中,控制活动没有设计或不适当;

 level 2 不正式级 控制与披露活动已设计并适当,但没有充分记录。控制更大程度上依赖于人,没有正式的控制活动培训与沟通;

 level 3 标准级 控制活动已被设计并适当,控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现;

 level 4 监控级 标准化的控制,有定期的有效性测试并向管理层报告,有限的利用自动化工具支持控制活动;

 level 5 优化级 一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理),运用自动化工具支持控制活动,也许组织在需要的时候对控制活动进行快速变更。

就某个内部控制目标而言,一些企业可能愿意接受等级不高于3的it控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求,审计师对一些关键控制活动的有效性水平不能低于3级。

自评估的各种控制测试评价,有助于企业监控完善企业内部控制,也有助于管理者对内部控制有效性做出一个明确的评定,并最终以报告书的形式对外呈现,用以表明it控制系统总体的可靠性及完整性。控制不是一件简单的事情,而是一个过程,需要对其不断地评估和改进,以符合当前经营的实际需要。这也必将成为it部门组织文化的一个部分。

it审计和普通审计篇4

一、传统审计的局限性

传统审计的目的是为了查错防弊,保护企业资产安全和完整。在此目的的引导下,传统审计部门的组织结构与人员素?|乃至审计方法对于信息化背景下新型审计要求的实现都存在一定的局限性。特别是在不断实现信息化发展的今天,这种巨大的局限性很难在企业的快速发展中被掩盖。反而,传统意义上的审计将一步步脱离企业信息化发展,最终阻碍企业的发展与壮大。

1.组织结构局限性

在过去,传统审计是常常用于企业规模较小、资产数额较少的运营情况下。在企业规模较小、资产数额较少的企业,传统审计部门往往由财务部门或者人事部门的工作人员所兼任。然而随着,企业信息化程度与步伐的不断加深,有些大型企业为了规划it部门的工作,率先的设立了it部门内部任务的稽核人员,但这类稽核人员往往是简单的服务于公司内部业务,对公司业务的实施进行支持与保障,很少对公司整体进行审核。因此,传统审计在组织结构方面的较大局限性造就了今天传统审计难以适应信息时代。

2.人员素质局限性

此处强调的人员素质应当是指审计人员的专业素养。在传统审计模式之下,审计工作的主要任务是对会计账目进行审计,因此往往只需要审计人员有一定的财务知识、熟练操作办公软件即可。但是在信息时代下,对于审计人员提出了新的要求,要求审计人员it知识、熟练操作oa系统。因此,在新型审计到来的今天,审计人员素质的局限性更加突出。

3.审计方法局限性

传统审计的方法是建立在统计学基础上的询问、观察、数据分析等。这些方法曾经运用于财务审计、经营审计各个方面。然而这些方法都是手工完成的。首先,在信息化的今天,一个企业审计内容可能涉及很大的数据库,这样传统的审计方法就很难在适应企业审计需要。其次,信息时代下企业乃至社会发展都是瞬息万变的,传统的审计耗时较大,往往审计工作的完成要历时好几个月,然而审计结果往往会影响企业进一步的发展。因此,企业没有过多的时间去等待传统审计下的结果呈现。

二、新型内部审计

1.我国新型内部审计概况

所谓新型内部审计就是指在信息时代下,内部审计顺应时代的改革成果。换句话说,信息时代背景下的新型内部审计就是指企业内部审计的信息化。但在目前,我国企业内部审计仍然处于发展阶段。尽管,国内当下大多企业发现了传统审计的弊端,也认识到采取新型审计的重要性与必要性。但是由于受到经济水平和科技水平的限制,内部审计的信息化没有得到快速发展。因此,如何促进新型审计的普及运用成为众多企业的第一要务。

2.新型内部审计突破传统局限

新型内部审计就是要在传统审计的基础上突破传统审计的局限性实现新的发展。因此,从传统审计的局限性出发去探讨未来信息化背景下的企业内部审计工作的进行,将会事倍功半,加快新型审计工作模式的构建。

(1)加快新型审计部门的科学构建

由于在信息时代背景下,传统审计所在意的财务审计将趋于第二位,经营审计成为新型内部审计的重点。审计部门不在是附属部门,而他们将作为一个独立部门以全局的角度对企业经营发展提出规划意见。因此,传统审计下审计部门的附属形式已经不适用于信息时代背景下的新型内部审计的运用,科学建立新型的审计部门,可以使得审计工作事半功倍。从而促进企业的良性发展。

(2)加快新型审计人才培养

在传统审计时代,对于审计人员的要求比较单一。而在新型审计模式之下,对审计工作者就要有新的要求。在新型审计模式下的工作人员往往除了具备基础的财务知识外,更要掌握适当的it技术,可以在审计过程中独立使用it系统等。然而,要做好信息时代背景下企业内部审计工作的重要前提是加快新型审计人才培养。特别是,近些年市场经济下企业发展竞争异常激烈。同时,在经济全球化背景下,国内企业也时常受到全球金融危机的冲击。审计任务越发的复杂多样,迫切的需要培养综合素质高、开拓精神强的新型审计人才。

(3)加快新型审计技术的普及

正如上面所说,传统的审计是在财务方面进行,而新型审计将涉及更多经营方面,因此审计内容的增多也将会影响到新型审计方式的转变。信息化时代下的新型审计,采用的审计技术突破了原有简单的人为统计学,向着it技术方面不断发展。因此,通过开发和普及行之有效的审计软件将会促进新型内部审计的普及与运用。

it审计和普通审计篇5

一、全面认识信息科技风险管理的重要性

当前,金融企业对信息技术和信息系统的高度依赖,使得信息系统的安全性、可靠性和有效性直接关系到整个企业的安全和金融体系的稳定。随着我国银行业科技进步的步伐逐渐加快,特别是近两年来银行业信息和数据逻辑集中程度的不断提高,信息科技风险已经成为银行业金融机构稳健运行的又一重要隐患。近年来银行业爆发的一系列与信息科技有关的风险事件,给我们留下了深刻的教训和启示。2006年4月,银联全国跨行交易系统瘫痪6小时,国内大部分商户的pos机无法刷卡,所有银行的atm终端无法进行跨行操作,以日均量估算,“停刷”阻断交易量246.6万笔,金额1287.7亿元,造成了重大的社会影响,实际损失和由此造成的声誉损失令人痛心。再例如,2007年1月1日,北京工行所有网点系统瘫痪90分钟,2007年5月23日,工行网站出现故障120分钟后恢复,8月15日,工行网银及客服电话大面积故障及拥塞约8个小时。这几起银行业的信息科技事故表明,如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2-3天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定。

目前,农村信用社的it建设正处于高速发展期,在设备规模和技术水平不断提高的同时,信息科技风险管理相对显得十分薄弱。重建设、轻管理,重上档次、轻视风险,重眼前、轻长远的现象是十分普遍。农村信用社迫切需要加快对信息科技风险的清晰认识,抓紧建立统一的信息科技风险管理手段。因此,树立和培养信息科技风险意识,规划落实好信息科技风险管理,是与农村信用社it治理成效密切相关的重要大事。农村信用社必须充分认识信息科技风险对整体业务和金融体系的影响,全面理解信息科技风险管理的重要性。

一是农村信用社迅速提高创新能力和竞争力的基础。在市场竞争日益激烈的今天,为防止创新产品轻而易举地被竞争对手抄袭,必须提高产品的科技含量,只有具有高技术含量的创新产品才能避免被直接和简单地复制。在产品的创新过程中,每开发一个新产品就有自身的风险管理的重点,都需要迅速敏捷的信息系统予以支持。一个能够充分满足银行业金融机构发展和创新需要的信息科技运营体系是银行业金融机构竞争力建设的重要保障。

二是维护农村信用社金融体系稳定性的需要。现在,it系统是整个业务的操作平台和运转中枢,一旦出现事故,已经基本上很难恢复到传统的靠手工运转的模式上去。同时信息科技的应用和普及也加快了农村信用社与同业机构和外部市场的风险传导,极大地放大了科技风险的影响范围,一旦农村信用社出现信息科技问题,很可能会威胁到整个金融体系的稳健运行。

二、农村信用社信息科技风险管理的对策

1.逐步建立完善的it治理结构,合理的it架构及各项规划。

it治理是信息化建设及管理方面的科学理论和方法,它是信息系统审计和控制领域的概念,可以指导农村信用社合理利用it技术,平衡it技术与流程的风险、增加价值来确保实现农村信用社的发展目标。因此,逐步引入it治理的各项内容,是信息科技风险管理的大势所趋。农村信用社必须解放思想去学习、借鉴国内一线、二线大型银行在it治理建设中的经验与教训,专门研究、部署、规划对it风险的分析、定位、评估和治理。必须站在更高的层次,更深远的思路和更大的投入来对信息科技风险进行管理控制。

2.将信息科技风险、业务风险有效整合,建立统一的风险管理战略 。

我国农村信用社目前采取省级联社-市级联社-县级联社的“三级管理”模式,管理层次多,作为一级法人的县级联社具有一定的资产业务决策权,省级联社对县级联社控制力不足,从而导致银行战略意图从上向下的传导不够通畅。同时目前农村信用社的风险管理大多实施的是风险的分散管理,即不同类型的风险由不同的部门负责,信用卡风险由信用卡中心负责,网上银行风险由电子银行部门负责等。面对新形式下的挑战,农村信用社需要建立统一全面的风险管理战略。这种管理要求将业务风险、信息系统风险等不同类型的风险,都纳入统一的风险管理范围,并将承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行控制和管理。风险管理部门要通过风险管理规划、制定风险管理政策等方式,实现全社集中的风险管理架构。

3.采用先进的信息技术或工具,提高信息科技风险管理的能力。

随着信息技术的飞速发展,各类金融案件呈现出由传统作案向高科技作案转变的特征。传统作案手法技术含量低,而高科技作案则通过诸如信用卡、网上银行等新型金融工具达到作案目的。因此,农村信用社需要不断追踪技术及管理的最新发展,使信息科技风险管理不断符合技术和管理的发展趋势。利用商业智能技术,对数据进行抽取、集成、转换和综合分析,实现对各类风险的监控和有效管理,这也是国际银行业风险管理信息分析和风险管理决策采用的主流技术。

4.建立it审计的长效机制。

it审计和普通审计篇6

惠普通用cmdb将提供一个以业务服务为中心的cmdb,实现自动发现、建模和可视化、变更追踪、影响分析、协调能力,以及跨所有it运营机构联盟ci数据的能力;充分利用领先的服务相关性映射凯时k66会员登录的解决方案,并且提供一个开放且基于标准的架构和应用程序接口(api)联盟。通用cmdb能够充分发挥数据的价值实现对服务管理工作和其他外部数据源进行获取信息、定制基线、分析数据、报告主要性能指标、显示趋势等功能,由此帮助企业做出准确的管理决策。

惠普提供了全面的凯时k66会员登录的解决方案以发挥通用cmdb更大的价值,其中包括围绕着通用cmdb的六大管理中心:

惠普配置与变更管理中心

惠普配置管理方案通过无发现机制与程序更新cmdb,可以发现在网络中分布的(cis)如:网络设备、打印机、个人台式机、笔记本电脑、服务器等设备。定期更新通用cmdb每个配置项目的属性,可确保cmdb数据的准确性和完整性。

此外,惠普配置管理方案还可以实现软件配置的部署,并且自动交付软件服务来满足业务需求,即从对目标设备进行紧急更新,到crm或erp等应用在企业范围内的预先部署;实现了软件环境的标准化,显著消除了与软件相关的服务台呼叫,从而降低了 it 运营成本。这种部署能力和itsm的事件、配置、变更流程以及惠普通用cmdb紧密联系。

惠普服务管理中心

惠普运维管理方案是惠普的一个统一服务台产品,可帮助it提高服务级别、平衡资源、控制成本。使用内置的it基础设施库(itil)最佳实践来进行it服务管理,可对突发事件、问题、变更、版本、请求、合同、服务目录及slm管理的服务管理流程进行自动化与优化,凯时k66会员登录的解决方案包括内置的工作流,用来记录、发送、上报和监督,提供开放式体系结构和基于web的框架,方便进行部署。同时通过web service和各种系统保持紧密集成。

惠普安全管理中心

这一中心可提供直观的用户界面,支持用户通过点击鼠标轻松更改用户访问it资源的权限,包括单点登录及用户自助工具;支持对身份审计进行控制建模,以提供符合合法性准则及企业审计策略的可视化信息面板,支持通过审计权限管理和防篡改数据,实现责任与数据保密性的隔离;提供安全的、集成化、自动化用户账户链接,改善客户服务,同时通过增加交叉销售机会来提高收入,包括可选的用户控制功能,提供了独特的隐私管理功能,帮助满足个人、企业和管理隐私的需要;提供自动化的账户和权限配置功能,可有效降低管理开支与成本,同时还可简化用户账户和权限的创建、维护与终止任务,通过使用全面的内置审计与报告功能分析公司范围内的用户权限情况,轻松满足法规遵从需要;支持无限级别的委托管理,通过使用流程化web界面,提供安全、精细的职责分割。

惠普网络管理中心

这一中心可实现网络拓扑自动发现、实时监控等功能,并可提供多种监控视图;提供全面的网络事件处理功能,包括事件关联、路径诊断、syslog解析;针对大规模网络的分布式管理,提供拓扑上传、故障上传等业界领先的分布式管理能力;针对动态网络环境的路由协议状态检测和故障管理,管理运行bgp、eigrp、is-is or ospf的路由器;网络调整模拟和优化的工具;针对于广播、ip telephone等网络应用的深入管理功能。

惠普运维管理中心

这一中心以基于服务的方式实现对it系统的端到端管理,对来自系统、网络、数据库、应用、安全、internet等问题和故障进行监控、报警、关联分析、处理,并通过图形化的服务视图,建立故障传播分析机制;对各种操作系统主机进行管理的核心模块,自动轮询各被管服务器的系统参数,包括:cpu、内存、交换区、文件系统、磁盘i/o、日志文件,监控进程状态等;通过预先配置的spi,可以方便地扩展功能,并更全面地管理业界领先的商业应用、电子商务平台、消息传送服务、数据库和internet基础设施。

it审计和普通审计篇7

信息系统审计是一门综合叉性学科。在it环境下,审计理论基础得到了不断的增强和加固。信息技术学、信息经济学、信息博弈论以及与审计相关的其他学科领域共同组成了一个动态的、多元性的审计理论基础,这些学科、领域的理论并非简单的叠加,而是按照一定的秩序、规则进行有效的组合而形成的有机整体。在it环境下,审计理论基础为审计理论与其他学科理论提供了一个公共区域,各学科理论知识相互交叉、渗透、融合,共同组成一个有序的、交互渗透的、相互关联的动态网络,服务于审计理论。因而审计理论基础是连接审计理论与其他学科体系的桥梁与纽带,是审计理论与其他学科的交叉渗透区。

cisa简介注册信息系统审计师(cisa),也就是我们通常所说的it审计师,是指一批专家级的人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉业务运营管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。拥有cisa资格证书是持证人专业能力的展示,并成为专业程度的衡量基础。随着对信息系统审计、控制与安全专业人士需求量的增长,cisa已成为全球范围内个人与公司机构不可或缺的认证。cisa资格证书代表持证人以卓越的能力服务于公司并致力于信息系统审计、控制与安全领域。据2001年一项针对国际信息系统审计与控制协会会员中持有cisa证书的调查显示,71%的受查者认为,获得cisa认证对于他们的职业生涯有帮助。而对不论是否持有cisa证书的isaca会员调查显示,更有75%的受查者认为通过cisa对于他们将来的职业生涯会有所帮助。因此,获得cisa认证可以促进工作开展或为职务升迁创造竞争优势。

此外,这一认证的意义还在于,也许本认证对于个人当前的工作并不是绝对必需的,然而越来越多的机构希望员工得到cisa认证。为了确保在全球市场中的成功,选择一个建立在全球认可技术实务基础上的认证是至关重要的。cisa所提供的就是这种认证。cisa作为信息系统审计、控制与安全专业人员的资格证书,受到全世界所有行业的广泛认可。

cisa的培养模式cisa计划对信息系统审计、控制与安全职业领域中具有卓越技能与判断力的个人做出评估与认证。若想获得cisa认证,申请人需要:

u通过cisa考试;

u遵守国际信息系统审计与控制协会的《职业道德规范》,此规范已列入《cisa考试申请人指南》中,供应考人参考;

u在信息系统审计、控制、或安全领域5年以上工作经验的证明。具有下列同等经验,可申请免除该项经验,并应获得如下证明:

n1年以下的信息系统审计、控制与安全工作的经验可用如下资历相抵:

满1年的审计工作经验,或

满1年的信息系统工作经验,和/或

具有大专学历(大学60个学分或同等学历)。

n2年信息系统审计、控制与安全工作的经验可用学士学位(大学120个学分或同等学历)相抵。

n1年信息系统审计、控制与安全工作的经验可用2年相关领域(计算机科学、会计、信息系统审计等)内从事大学专职讲师的经验相抵。无最高年限(即6年大学讲师经验等同于3年信息系统审计、控制与安全工作的经验)。

u提出cisa资格申请并得到批准。

it审计和普通审计篇8

一、it环境下传统企业内部会计控制的缺陷

随着it技术,特别是以internet为代表的网络技术的发展和,以提供财务信息为主的会计,正由传统的手工会计系统向电算化会计系统、网络会计系统方向发展,这无疑是企业管理手段的巨大进步,极大地促进了会计工作效率的提高,但同时也给企业内部会计控制带来了新的和挑战,具体表现在:

(一)授权方式的改变,潜伏着巨大的控制风险授权、批准,乃是一种常见的内部控制手段。在手工会计系统中,一项经济业务由发生到形成相应的会计信息,其经历的每一个环节都应由具有相应管理权限的有关人员签章;方可办理。这种传统管理方式的效率虽不高,但可有效地防止作弊。然而,在电算化会计信息系统中,权限分工的主要形式是口令授权。口令存放于机系统内而不像印章那样由专人保管,一旦口令被人偷看或窃取,便会带来巨大隐患,此种案例已发生多起。如c会计人员被客户收买,窃取口令,非法核销客户的应收款及相关资料;销货人员窃得顾客订单密码,开出假订单,骗走公司产品等等。

(二)内部控制的程序化,有可能使同一种差错反复发生电算化会计、网络会计的内部控制,在很大程度上取决于这些会计信息系统中运行的应用程序的质量。一旦这些应用程序中存在严重的bug或恶意的“后门”,便会严重危害系统安全。毕竟,会计人员对计算机专业知识所知有限,很难及时发现这些漏洞。这样在专业人员找到或墙上这些程序漏洞之前,系统便会多次重复同一错误。扩大损失,这也是手工会计系统不会遇到的问题。

(三)原始凭证数字化,使得会计信息易于被篡改或伪造

在手工会计系统中,原始凭证是以纸张为载体,很难不露痕迹地加以修改或伪造。但随着商务的发展,一些单位的原始凭证也如同记账凭证、会计账簿或报表一样,已实现数字化、电子化,即以数字形式存储在磁(光)性介质上,这种无纸凭证极易被篡改或伪造而不留任何痕迹,它弱化了纸质原始凭证所具有的较强的控制功能,给内部会计控制带来了新的难题。另外,磁(光)性介质容易损坏,一旦受损,又很难修复,这更使数字化的会计信息丢失或毁坏的风险加大。

(四)网络环境的开放性加剧了会计信息失真的风险

网络技术无疑是it发展的方向,特别是internet在财务软件中的应用对电算化会计信息系统的将是革命性的。但网络环境具有开放性的特点,这就给会计信息系统的内部控制带来了许多新问题。如在网络环境下,信息来源的多样性,有可能导致审计线索紊乱;大量会计信息通过网络通讯线路传输,有可能被非法拦截、窃取甚至篡改;网络会计信息系统遭受“病毒”入侵或“黑客”攻击的可能性更大,等等。总之,网络环境的开放性和动态性,加剧了网络会计信息失真的风险,加大了网络会计内部控制的难度。

二、it环境下企业会计信息系统内部控制的完善

it技术在会计信息系统中的运用加大了企业内部会计控制潜在的风险,但同时,it技术与业务流程的结合,也给企业带来了控制风险的机会与工具。

(-)网上公证的形成可有效地预防数字化的原始凭证被修改或伪造

所谓网上公证,就是利用网络的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控。比如,每一家企业都在互联网认证机构申领数字签名和私有密钥,当交易发生时,交易双方将单据或有关证明均传到认证机构,由认证机构核对确认,进行数字签名并予以加密,然后将已加密凭证和未加密凭证同时转发给双方,这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。在这种交易中,交易一方因无法获得另一方的数字签名和私有密钥,很难伪造或篡改交易凭证。主管人员或审计人员一旦对某笔业务产生怀疑,只需将加密凭证提交客户和认证机构解密,将其结果与未加密凭证相对照,问题便迎刃而解。

(二)在线测试的实现可及时地解决应用软件自身存在的问题

it环境下,会计信息系统使用的应用软件存在这样或那样的问题有时是难免的,解决问题的办法无非这样两个:一是在软件开发过程中加强交流,充分测试;二是在软件运用过程中注意监控,及时发现问题并予以解决。但在单机系统下,用户与软件供应商之间因空间的阻隔往往很难充分交流,发现并解决问题费时费力。到了网络,情况就大不一样了,互联网提供的实时高质的通讯传输手段,可使用户和软件商之间在几秒钟内建立连接,这就给解决上述问题带来了方便。比如,在软件开发过程中,用户可通过网络随时向开发商提出要求或建议,开发商也可以把已开发完成的软件及时传送给用户进行测试;在软件使用过程中,开发商可通过网络对用户的系统进行定期的在线测试,一旦发现问题可及时通知用户并进行在线升级,把bug的存在时间控制在最短,提高系统的安全性。

(三)监控与操作的职责分离可进一步强化系统内部的相互牵制

职责分离是内部控制的一个重要组成部分。在手工会计系统中,企业通过把不相容的工作分派给不同的人员担当以达到相互牵制。但在电算化会计系统中,由于计算机的自动高效的特点,许多不相容的工作(如制单与审核)都已合并到一起由计算机统一执行,这就形成内控隐患。为了强化系统的内部控制,一个比较有效的办法是在电算化系统内分设操作与监控两个岗位,对每一笔业务同时进行多方备份。当会计人员利用电算化系统进行账务处理时,其操作和数据也被同步记录在监控人员的机器上,并由监控人员进行及时备份、定期审查。一旦主管部门或审计人员对某些数据产生怀疑时,可利用监控人员备份的原始记录进行调查、辨明真伪,这样就强化了电算化系统内部的相互牵制,有效地预防作弊。

(四)采用加密码的签名,可增强电子化原始数据的防伪功能

在无纸化的信息系统环境中,如果软件正确无误,系统传输安全可靠,则会计信息系统中派生数据(包括电子化的记账凭证、账簿数据和会计报表)的正确性、真实性和完整性完全取决于电子原始数据。反之,如果不精确、不完整、不合法的原始数据被记录和维护,将会以后所有的会计处理,导致一系列派生数据的失真。因此,电子化的原始数据的审核和确认显得尤为重要、在手工会计系统中,原始凭证的审核是通过对纸质原始凭证上有关责任人签名的辨别和相关凭证的相互核对来完成的。电子化原始数据的审核可采取类似的:一要注意相关业务不同数据记录之间的相互核对;二要关注经办人、批准人等相关人员的电子签名。电子签名不同于手工签章,会计如何确认这种电子签名的有效性是一个不容忽视的。的多数会计核算软件中,电子签名广泛采用普通汉字或字母代码填写,很容易被摹仿或伪造,为了克服这一缺点,增强电子原始数据的防伪功能,宜采用加密码进行电子签名,使其不容易被篡改或伪造。

(五)充分利用it技术,增强会计系统的安全控制

网络技术在会计信息系统中的应用,极大地丰富了会计信息系统的功能,促进了会计工作效率的提高。但网络安全问题若不能有效地得到解决,必将限制网络会计系统的与应用。网络会计系统安全控制的途径主要包括:

1.系统软件安全控制

要按操作权限严格控制系统软件的安装与修改,接操作规程定期对系统软件进行安全性检查。当系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复等功能。

2.数据资源安全控制

数据库系统是整个网络会计系统安全控制的核心,数据库的安全威胁主要来自两个方面:一是系统内外人员对数据库的非法访问;二是系统故障。误操作或人为破坏造成数据库的物理损毁。为此,可采取以下措施:(1)合理定义、应用数据子模式。即根据不同类别的用户或应用项目分别定义不同的数据于集,针对特定类型的用户开放,以限制合法用户或非法访问者轻易获取全部会计数据资源;(2)建立数据备份和恢复制度。数据备份是数据恢复与重建的基础,是一种常见的数据控制手段,网络中利用两个服务器进行双机镜像映射备份是数据备份的先进形式。

3.系统入侵防范控制

为了防止非法用户对网络会计系统的入侵,可采取以下措施:(1)设置外部访问区域。访问区域是系统接待外界(关联方、公众)网上访问。与外界进行会计数据交换的逻辑区域。在建立内联网时,要对网络的服务功能和结构布局进行详细,通过专用软件、硬件和管理措施,实现会计应用系统与外部访问区域之间的严密的数据隔离。(2)建立防火墙。防火墙是建立在被保护网络周边的、分隔被保护网络与外部网络的一种技术系统。为了有效地防范非法用户对网络会计系统的入侵,可设置内外两层防火墙,外层防火墙主要用来限制外界对主机操作系统的访问,内层防火墙主要用来逻辑隔离会计应用系统与外部访问区域之间的联系,限制外界穿过访问区域对内联网,尤其是对会计数据库系统的非法访问。

三、it环境下会计信息系统内部控制面临的新问题

高速发展的it技术,在给企业会计信息系统增强内部控制提供手段的同时,也给其安全带来了许多新问题,应当引起重视。

(-)网络会计系统的开放性,使之很难避免非法侵扰

网络是一个开放的环境,置于该环境中的各种服务器上的信息在上都是可以被访问到的,除非它们在物理上断开连接、脱离网络环境。因此,网络会计信息系统很难完全避免非法访问者的侵扰。尤其是当系统程序存在严重的bug、系统安全控制能力较差而系统管理人员尚不自知时,很难保证系统的信息资源不会被窃取或篡改。这种情况一旦发生,将会给单位造成巨大的损失。为此,企业需根据it技术的最新发展,定期评估系统的安全性和内部控制能力,努力把新技术给老系统带来的风险降到最低。

(二)网络会计系统的复杂性,使得稽核与审计的难度加大

网络是一个由机硬件、软件、操作人员和各种规程构成的复杂的系统,该系统将许多不相容职责相对集中,加大了舞弊的风险;系统信息以电子数据的形式存储,易被修改、删除、隐匿或伪造且不留痕迹;系统对错误的处理具有重复性和连续性;系统设计主要强调会计核算的要求,很少考虑审计工作的需要,这些往往导致系统留下的审计线索很少,稽核与审计必须运用更复杂的查核技术,且要花费更多的时间和更高的代价。会计师必须经过专业培训、具备复杂电脑资料的处理能力,方能胜任此项工作,这无疑将加大稽核与审计的难度和成本。

(三)电子商务的普及,将给内部会计控制带来前所未有的挑战

it审计和普通审计篇9

关键词:it环境;内部控制;建设

一、引言

内部控制关系到企业财产物资的安全完整、关系到会计信息系统对企业经济活动反映的正确性和可靠性。企业为实现既定的管理目标,必须建立起一整套内部控制制度,以保证企业有序、健康地发展。企业在lt环境下建立了会计信息系统后,企业会计核算和会计管理的环境发生了很大的变化。由于使用了计算机,会计数据处理的速度加快了,会计核算的准确性和可靠性得到了极大的提高。减少了因疏忽大意及计算失误造成的差错。但是,也为企业的内部控制带来了许多前所未有的新问题,对企业内部控制制度造成了极大的冲击。由于处在lt环境下的会计信息系统的特殊性,建立一整套适合lt环境下的会计信息系统的内部控制制度就显得尤为重要。而我区――广西壮族自治区,地处祖国的西南,与东盟各国为邻,与东部发达省市及南部沿海城市不能同日而语,但在近几年与东盟对话的环境下促使企业信息化的发展有了一定的起色,企业会计信息系统的初级阶段基本上得到了普及。由此而及的内部控制也有了一定的变化,笔者于2007年7月、8月在广西壮族自治区南宁市内的一些企业进行了走访,现就这些企业的内部控制在lt环境下的现状并针对其出现的一些问题提出了几点建议,以健全广西区内企业在it环境下的内部控制建设。

二、lt环境下广西区内企业内部控制的现状

笔者将广西区内企业分成三大类别:金融机构、企业和事业单位,每一类别抽出一个样本单位,对其在it环境下的内部控制情况进行归纳分析发现,这些企业在it环境的影响下与传统的内控相比有一定的特色,但也存在一些问题。

(一)it环境下广西区内企业内控的特点

内部控制是处理会计业务时所形成的自我调节和自我约束的有机体,包括了一系列既相互联系又相互制约的制度和手续。它是会计活动健康有序运行的重要保证,也是开展审计工作的基本条件和重要内容。《中华人民共和国会计法》规定各单位必须建立健全内部会计控制制度。《会计法》关于内部控制制度的主要内容包括:职责明确、相互制约、严格程序、如实记录、定期检查等。经过多年的研讨、时间、积累,手工会计系统的内部控制已形成了一整套行之有效的方法和制度。然而,随着现代信息技术在财会领域的广泛应用,使得原有的会计内部控制制度和方法在各方面都受到了挑战。在it环境下的会计信息系统对我国大多数企业来说还是一个比较新的东西,其许多控制方法与手工记账方式不同,没有手工记账凭证,所有过账、核算和报表都由计算机自动完成,原有的复核牵制机制失效,产生了一套新型的lt环境下的会计信息系统的内部控制。就我区内企业来看。在it环境下的内控主要特点有:

1 内部控制的措施和方法发生了变化。从三家样本单位的调查数据来看,主要体现在原手工会计系统下的一些内部控制措施在实施信息化后发生了转移。例如:制作科目汇总表、凭证汇总表,试算平衡的操作以及总账、明细账核对等由原来的手工核对转移到由会计信息系统自动完成。由于会计信息系统中的主要组成部分――会计软件,设计者在设计软件时就已经将以上控制措施固化到会计软件中,并且计算机在进行自动计算汇总时一般不会出错,除非在计算机病毒的影响、非法操作和数据受掼等情况下才会出现试算不平衡等现象。因此以上措施在手工控制时没有必要再重复进行。再如,记账凭证中金额的借贷平衡、各账户发生额的平衡、账户的余额平衡检查等,也由会计信息系统软件设计中的内含功能来完成,不需要手工将打印出来的凭证、账簿再次进行平衡校对。

2 内部控制制度有了新的内容。由于计算机技术、网络技术等现代信息技术的引入,使会计工作的形式发生了变化。也给会计工作增加了一些新的信息化元素,同时使内部会计控制的范围更广,包含了手工会计系统所没有的一些内部控制。例如:中国农业银行广西区分行就针对会计信息系统专门制订了计算机硬件及软件分析、程序设计、计算机维护人员及计算机操作人员的内部控制规章;计算机病毒防治、计算机系统内及磁盘内会计信息的安全保护、网络系统的安全控制规章:计算机操作管理员、系统管理员、系统维护员岗位责任制度;软件使用权限的控制、修改程序的控制、数据备份的控制、科目代码的控制、结账时间的控制和设备的接触控制等系统的权限控制制度等。

3 强调内部控制框架中的“软控制”与人的重要性。内部控制由人来进行并受人的因素影响,保证组织内所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践是内部控制有效的关键因素之一。实践表明,基于环境现状构建内部控制机制是一种被动性的做法,因此,要重视将道德规范、行为准则、能力素质的建设直接纳入内部控制结构的内容,更加强调“软控制”的作用。在it环境下,企业尤其应该注重培养组织中人员的信息观念,理解企业信息化建设和管理改革、内部控制创新之间的关系,并重视和实现这个改革。如这三家样本单位均对本单位的内审人员通过各种渠道进行信息化技术、工作能力、职能素养等方面的培训,以提高企业内审人员的工作水平、诚信度及道德水平。如:定期参加审计协会主办的培训;聘请外部审计专家专门指导培训;单位内审人员本身以检代训(下到各基层去检查前先培训,检查后遇到问题再培训再检查)。

信息时代同样是知识经济时代,企业发展将主要依靠科技、知识与人才。“人本主义”作为构建内部控制机制的信条已经越来越多地被企业接受,企业管理者应当重视对人员的选择、使用和培养,这不再单纯只是内部控制的环境因素,也日益成为内部控制结构的有机组成部分。

4 内部控制的技术信息化。企业内审人员的技术力量越来越雄厚,能够自行开发出内部审计软件,并通过此软件直接从业务数据库取数(一般是按报表的时间段定期取数),做到事中、事后监督及预警。如广西区内某家金融机构。现已经成功开发出内审软件的第一期,并已投入运行该软件能在报告期内从前台业务数据库中取数。

(二)it环境下广西区内企业内控存在的问题

广西区内的一些企业在进行it环境下构建企业的内部控制制度时,虽然取得了一些成绩,但由于受地域及历史

原因(如经济发展起步较晚)的影响也存在不少问题,主要有:

1 队伍建设。一是内部审计人员编制太少,不能满足工作的需要。如银监会规定金融机构的内部审计人员按员工人数比例不能低于1%,可广西区内有些金融机构不能达到此比例人数,这样就导致了许多工作无法开展或者周期延长等问题的出现。二是人员编制与职能定位不相吻合,岗位设置过于牵强,有些岗位形同虚设,而有些岗位却相当于几个岗位的工作范围。三是进出的渠道不够通畅,即有能力胜任内审工作的人想要进内审部门不能进,有能力提升时却又受到排挤,不能正常提升,这样内审队伍建设的稳定性就受到了制约。

2 标准协调。指两个标准的协调:一是会计信息系统的数据接口标准与内部审计软件的数据接口标准的协调。在广西区内的企业已实行会计信息化的,所采用的会计信息系统软件均是购买的商品化软件,其中所占比例较大的有两家,即“用友”与“金蝶”,且在国家标准《信息技术会计核算软件数据接口》(gb/t19581-2004)之前均已实施了,当时没有统一的数据接口标准,各自为政,而审核软件的开发是近两年才开始推行的,这样就导致了会计业务数据的导出与内审数据的导入之间要经过复杂的数据转换工作,对内审工作造成了一定的困扰。二是企业内部审计人员的工资标准协调问题。在企业内部各级内部审计人员的工资待遇是属地管理还是统一管理?因为在广西,不同行政地区的工资水平相差很远,如果是采取属地管理则导致了同工不同酬。基层单位的内审人员工作积极性不高。

3 内部审计的三性不明确。通过对三家样本单位的调研发现,他们在内部审计的三性即独立性、操作性、权威性不是很明确。因为内部审计与外部审计不同,内部审计的独立是相对独立,是相对经营管理层而言的,而不是独立于企业系统之外的,因此独立性不是很明确;就操作性而言,它没有利益关系,不好操作;在权威性方面需要领导的认可而不是工作绩效做出来的。

三、lt环境下广西医内企业内部控控制建设的建议

从广西区内企业应用it技术进行企业内部控制建设的过程来看,信息技术的应用使得企业内部控制产生了新的变化,给提高企业内部控制效率、增强内部控制效果带来了新的机会。企业为了适应大环境、大市场的需要,把信息作为控制的资源,利用信息技术来构建与完善内部控制系统是现代我区企业lt环境下的一个实际的、及时的控制观点。随着计算机、网络等信息技术在会计信息系统中的广泛应用,一些传统的核对、计算、存储等内部会计控制方式都被计算机轻而易举地替代。任何先进的手段都是被人所指挥、所掌握的,一些传统的企业内部会计控制制度如职务分离控制、业务程序控制等仍有自身生存和发展的土壤。仍将有效地发挥自己的积极作用。各企业在采用新型的内部控制手段时,要结合传统有效的内部控制方式。不能只求新、不求实。各企业要真正地应用好it技术,帮助企业更加有效地利用信息。进行真正的变革与创新。现就在lt环境下针对广西区内企业在内部控制建设中出现的一些问题提出几点建议以供参考。

(一)在队伍建设及职能划分上,将业务结构单一的、知识老化的内审人员进行调配,补充新生力量――懂业务、知识结构全面的、信息技术水平高的复合型人才:对原有的内审职能部门进行重新调整,为适应lt环境下会计信息系统中不同形态的数据控制,可按业务数据的不同形态进行划分:如划分为数据收集输入、数据处理和会计信息分析等不同的职能部门。

(二)发挥团队效应,在进行内部审计时可进行项目组织,明确责任,将利益切断,进行交叉审计。签订责任状,制订汇审制,工作底稿出来一两天内进行汇审,避免个人责任,以团队负责,工作报告出来到企业最高层审计办进行汇审交换意见,这样充分发挥了团队效应,调动了内审人员的工作积极性。

(三)提高企业的内控技术,充分发挥非现场审计的作用。实现非现场审计协同作业及资源共享,将非现场审计网络尽快延伸到审计的前沿――基层内部审计机构。基层内部审计机构直接掌握着大量的现场审计成果,对于辖区内部的内部控制状况也有着较为全面系统的认识,且能及时地获知审计对象的重大事件或变动。建立分析模型,将科学的分析技术和优秀审计人员的宝贵经验固化到系统中,使之在全系统范围内共享,可有效统一作业标准,切实保证非现场审计质量。

(四)标准统一。一是要将同企业内的同工不同酬现象进行消除;二是要将数据接口标准统一,可以通过找会计信息系统软件供应商对本单位的会计信息系统软件进行升级,将会计信息系统软件的数据接口标准统一到国家于2005年1月1日起实行的gb/t19581-2004会计核算软件数据接口标准,同时在引进或自行开发审计软件时要注意与此标准统一。如,格式定义文件为format.tnt,数据文件要按照如下标准执行:数据文件采用文本方式保存;每一条记录在文件中是一行;行与行之间通过回车换行分隔;每一行中包括格式文件中定义的所有有关字段;字段之间用制表符(ascii码为9)分隔;一个数据文件中每一行的宇段数必须相同;若字段为空,制表分隔符不能省略。

(五)注重内部审计信息载体的建设,如可开办内部审计专报;及时进行审计风险、风险信息提示;及时对企业内部审计情况进行通报等。

it审计和普通审计篇10

当前全球经济仍然危机四伏,各部门,尤其是it部门感受到了预算方面的压力。所以,你是乖乖接受预算削减的现状,还是想方设法抓住目前的经济形势,竭力推销更多的it计划来帮助企业简化业务流程呢?请看看这些it经理是怎么做的。

与业务部门共患难

jason cowie,凯普澳大利亚控股公司(cape australia holdings)区域it经理:

离2009年年底越来越近了,首席信息官们通常又在准备迎接管理人员施加的这种压力:削减it成本,并且帮助改善年终效益。

今年形势不一样,因为全球陷入了金融危机。各部门已经开始感受到全面削减预算的压力,而这个压力会继续存在。现在许多企业在考虑裁员,预算很难得到批准。这种情况下,cio最省事的一条路子就是,寻求满足管理人员削减预算的方法,暂时搁置所有项目,并且致力于维持日常业务活动的运行。

不过,还有另一条路子可以考虑,做cio最擅长的事情:让业务部门通过it技术获得效率,最终节省成本,增加利润。

削减你部门的预算至关重要,向公司其余部门表明你部门愿意与大家共患难。因为这有助于避免一旦新的it项目预算得到审批,各部门之间可能出现的利益纠纷。

可以考虑采用削减预算的小诀窍,比如限制商务旅行,推迟员工培训,冻结人员招聘,减少知识库订购,选择价格较便宜的耗材和配件。其次,可以考虑延长硬件资产的使用寿命。这可以减少每个月的折旧费用或租金;而业务部门受到的影响只不过是硬件资产多用一年。

最后,审核贵公司与外部提供商签订的服务级别协议所要达到的目标。把这些目标降低到仍可以接受的水平,以便腾出内部资源用于其他项目,同时尽量减少外部雇用的人员,这同时能够降低成本。你会惊讶地发现,这些小变化其实也能带来大影响。

力求为整个公司创新。不要考虑只会影响it部门的项目,因为这类项目不会帮助公司渡过金融危机。眼下正是cio大显身手的大好时机,确认哪些技术能通过改进系统或实行自动化来改善业务流程。

多与一线员工交流,了解他们在哪些方面觉得很沮丧。为帮助一线员工而量身定制的解决办法更有可能得到管理人员的赞同及支持。主要的供应商或企业级经销商也许是你在这方面的最好朋友,具体取决于你如何应对具体情况。

别指望传统的客户与供应商关系,供应商们也碰到了危机,对新项目会很谨慎。不妨考虑建立这样的一种凯时k66会员登录的合作伙伴关系:双方分担成本、资源和设计的影响。在经济不确定时期,管理人员会寻求能够在6到12个月内带来回报的项目。

只有这么做,才能让it部门积极主动地帮助业务部门,同时增加利润,帮助企业渡过这场危机。

正确对待kbg和gbg预算

ian cash,墨尔本皇家护理中心(royal district nursing service)负责信息服务的总经理:

简单来说,预算分两个部分:一是为了维持业务运转(kbg)而需要投入的预算,另一个是为了推动业务运转(gbg)而需要投入的预算。kbg预算好比是为了修补墙壁上的裂缝而需要投入的支出。没有这笔预算,房子仍不会倒下来,但住在里面的人会有一种不放心或被忽视的感觉,于是开始抱怨,计算机的运行速度会慢下来,打给凯时k66会员登录的技术支持部门的电话会多起来,还时常会听到有人在办公室痛苦地叫喊。

另一方面,削减gbg预算好比是在等隔壁那块地皮空出来之后却不购买。换句话说,这可能意味着决定不投资于一套新的电话系统,而新系统原本有望带来种种机会。生活还是在继续,但是可能会因为错失良机而遗憾。

对kbg预算要有正确的认识,关键在于了解企业要提供什么样的产品和服务,还要了解预期的相关服务级别。减慢更新周期、减少支持人员对测试体系的服务级别会有直接影响,可能还会对工作效率带来重大影响。

gbg预算通常涉及长远规划,所以要是项目看起来有点庞大又不明确,就有必要细分成多个小项目,并且明确要做的工作。要注意:高层管理人员更感兴趣的是把钱花在设备上,而不是花在服务上。你一定要据理力争,表明产品和服务与gbg项目同样紧密相关。

对kbg和gbg预算影响最大的就是公司要求全面削减人员,但你应该始终为这个命令做好准备,争取在应对变化方面保持控制性和灵活性,还要确保各方面都很透明。

我建议采取下列方法:

1.把预算审核当作重新认识一些积极面和消极面的一个过程。重点关注积极面――它们会带来诸多机会。

2.想一想有什么创新的方法来换一种做法。借机清理不可行的项目。

3.应当在高层管理班子层面讨论要不要削减gbg预算,项目负责人就有机会陈述自己的理由。

4.准备好针对应加以审核或精简的项目向高层管理班子提出异议。

5.确保管理人员很清楚削减kbg预算带来的影响――服务级别下降后,工作人员可能会抱怨。

6.对经过修改的计划进行投资和风险分析。确保已确认了风险和机会都很大的gbg项目,因为这类项目可以大幅削减成本。

7.确保在争论当中,你把重点放在从较长远的角度来看会受到什么样的影响。

it部门需要做三项工作

stephen beacham,辛克澳大利亚公司(schenker australia)负责信息技术的总经理:

it部门必须履行节省成本、改进业务的职责。如果it部门希望自己被视作业务部门的凯时k66会员登录的合作伙伴,那么节省成本与改进业务这两个挑战并不是相互排斥的。it部门不可以说,节省成本会影响其交付凯时k66会员登录的解决方案的能力。

it部门需要做三项工作:审查it成本结构、评估所有待办项目以及审查潜在项目。

审查it成本结构。你需要了解it成本的结构。先是区分固定费用和变动费用。你最大的一笔变动费用一般是人员费用。你要看一下贵企业的结构,提出几个问题:我有没有搞好职能部门之间的平衡?我需要改变组织结构吗?我的所有人都是优秀员工吗?我签下了能够以较低的成本将他们变成固定职员的员工吗?我能以更低的费用把业务活动外包出去吗?我有没有考虑过离岸开发,离岸开发行得通吗?

对非人员方面的变动成本而言,眼下正是对供应商进行横向比较、确定是否可以节省成本的大好时机。重要的一点是,如果业务部门提出要求,你要能够证明成本结构的合理性。你还要证明已经事先全面审核了it预算。

评估所有待办项目。哪些待办项目有着最充分的商业理由?应着重关注这些项目。如果你重视削减成本,管理人员会与你一起确定主次之分,重点开展带来创收机会、提高工作效率、节省成本的项目。你需要着重列出可用资源,这将有助于确定可以开展多少项提案。

别忘了考虑风险。高回报的项目可能同样有着高风险。在形势艰难时期,你不能孤注一掷。