返回
sox的信息技术控制合规要求对信息技术审计的启示

sox的信息技术控制合规要求对信息技术审计的启示

ID:11123366

大小:27.50 KB

页数:8页

时间:2018-07-10

sox的信息技术控制合规要求对信息技术审计的启示_第1页
sox的信息技术控制合规要求对信息技术审计的启示_第2页
sox的信息技术控制合规要求对信息技术审计的启示_第3页
sox的信息技术控制合规要求对信息技术审计的启示_第4页
sox的信息技术控制合规要求对信息技术审计的启示_第5页
资源描述:

《sox的信息技术控制合规要求对信息技术审计的启示》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、SOX的信息技术控制合规要求对信息技术审计的启示理论与研究SOX的信息技术控制合规要求对信息技术审计的启示口周明美国(《萨班斯法案))(以下简称SOX)404条款已成为业界关注的热点,它对企业控制的要求包括了对信息技术控制的评价,这是信息技术审计的重要内容.SOX对信息技术控制的合规和评价,从作用,内容到测试方法对信息技术审计都具有十分重要的借鉴意义.一,SOX对信息技术控制合规的要求1,目的和缘由.SOX的核心是要确认企业内部控制的有效性,从而保证财务报告的真实可靠.由于现代企业的财务及业务信息的处理都建立在信息技术的应用之上,因而信息技术的控制建设和评价是企业内部控制建设的重

2、要内容.2,范围和内容.与SOX合规要求相关的信息技术控制在企业中至少有3个方面:公司管理执行,业务流程和信息技术服务,分别对应于信息,技术实体层的控制,应用系统控制和信息技术一般性控制.信息技术实体层的控制确定了企业控制的基调和文化,信息技术实体层的控制是企业整个控制环境的一部分;应用系统控制嵌入业务流程直接支持财务控制目标;信息技术一般性控制嵌入信息技术流程提供可靠的操作环境.信息技术控制具体有以下方面:信息技术环境,计算机运行(操作),程序和数据的访问,程序开发和程序变更.(1)信息技术环境.包括信息技术治理流程,监控和报告.信息技术治理流程包括信息系统的战略规划,信息技术

3、风险管理流程,符合和合规管理,信息技术策略,流程和标准,需要监控和报告信息技术对业务需求的符合性.要设计信息技术治理结构,以便信息技术增加对业务的价值,减少信息技术风险.这包括信息技术组织结构要支持适当的职责分离和促进企业目标的实现.(2)计算机运行.包括信息技术基础架构(设施)的定义,获取,安装,配置,集成和维护;日常信息服务的控制包括服务质量的管理,第三方服务管理,系统可用性,客户关系管理,配置和系统管理,问题和事件管理,运行管理日志,设备管理.系统软件的控制包括操作系统,数据库系统,中间件软件,通讯软件,安全软件和使用工具软件的获取,实现,配置和维护.系统软件提供了事件跟踪

4、,系统日志和监控功能.(3)程序和数据的访问.充分的安全控制活动,如保护密码,网络防火墙,数据封装和密钥可以有效地防止未授权的访问;用户账号和权限控制支持适当的职责分离.(4)程序开发和程序变更.程序开发中的控制减少获取和实现的风险:系统设计和实现,文档需求,测试审批,项目管理和项目风险评估.程序变更的控制包括变更请求的审批授权,变更的审查,文档,测试和评估.变更管理的流程要与其他流程如事件管理,问题管理,可用性管理和基础架构变更控制集成.5,测试与评估.美国上市公司会计监督委员会(PCAOB)在"企业控制审计标准No.2"中,讨论了信息技术与财务报告的内部控制的关系,强调识别信

5、息技术控制,测试其设计和操作有效性的重要性.(1)控制应被测试,这些控制包括信息技术的一般控制,它们是其他控制的基础.(2)要评估系统的性质和复杂性,包括使用信息技术(系统)来支持企业合规声明的流程和控制信息.(3)要评估在每个财务报告流程中设计信息技术的程度.(4)当控制设计被评估后,就要测试设计的合理性和有效性.(5)控制的有效性反映在两个层面上:首先是控制设计上的有效性,其次是控制在实际运行中的有效性.如果两者的结论都是控制无效,那么就要建立一个纠正计划.二SOX的信息技术控制合规要求与信息技术审计的比较1,目标不同:信息技术审计是一个获取并评价证据,以判断信息系统是否能够

6、保证资产的安全,数据的完整以及有效率地利用企业的资源并有效果地实现企业目标的过程.信息技术审计的目标:提高信息系统资产安全,实现信息资产保护;保证数据完整性,确保数据是精确而且真实公正提高系统效率和效果,确保实现企业目标;确保系统的合法性,合规性.而SOX对信息技术控制的要求是着眼于财务报告的真实理论与研究可靠,强调财务信息的安全,完整和真实,因此只包含了信息技术审计的第二个目标和第一个目标的一部分,它不考虑企业整个信息技术应用的治理,管理与控制的所有需求和准则.2,范围和内容不同.(1)企业层面控制.SOX对信息技术环境控制的内容不包括企业信息体系的定义,技术方向的决策,信息技

7、术投资决策和管理,项目管理,业绩评估,内部控制及合规性评估,而这些方面却是信息技术审计的重要内容.(2)一般控制.如前所述,SOX要求的信息技术一般控制包含信息技术环境,计算机运行(操作),程序和数据的访问,程序开发和程序变更四个方面.具体体现在PCAOB确定的l3个控制目标:应用软件的获取和开发,技术设施的获取,培训操作和使用,安装和授权使用系统,管理变更,定义和管理服务水平,管理第三方服务,保障系统安全,配置管理,问题和事件管理,数据管理,运行管理,保障业务持续性.而信息技术

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。