【转贴】从信息安全到信息风险管理?
2006-11-07 23:27:32 / 天气: 晴朗 / 心情: 高兴 / 个人分类:Security
【转贴】从信息安全到信息风险管理?
——IT治理读书笔记
原始链接:http://bbs.chinacissp.com/viewtopic.php?t=7952
待探讨的问题
1)信息风险管理的提法有没必要?
2)信息风险管理的内涵是什么?
3)信息风险管理的外延是什么?即与相关概念的关系,这些概念包括信息安全、IT治理、企业风险管理等。
本文摘要
1)一个主题:信息
2)两个视角:公司管理层的内部,独立审计方的外部
3)三个核心:控制、风险、价值
4)四个标准:COSO、Cobit、ITIL、17799
5)五个关键词:管理、控制、治理、内部控制、审计
1、一个主题:信息
SOX404要求,公司管理层必须保证财务报告的内部控制体系的有效性,从信息这个角度进行分析,这个要求可以分为两个方面。第一,财务报告是信息,所以必须保证信息的可靠性(或者Cobit所说的信息七大Criteria:Effectiveness、Efficiency、Confidentiality、Integrity、Availability、Reliability、Compliance),这样,提供这些信息的IT Resources的控制必不可少,即IT治理;第二,财务报告是对外的,是公司营运、资产保护状况的声明,内容是否真实,仅仅IT治理是不够的,必须保证深入到业务流程中的全面内部控制体系(其目标为保证公司战略制定、营运、报告、合规性)有效性。
从第一个方面,要做GCC(信息系统总体控制)和AC(应用系统控制)项目,可以采用Cobit框架。
从第二个方面,要做内部控制体系建设项目(包括公司层面控制CLC,流程层面控制PLC),即公司层面的一般控制和流程层面的业务控制,可以采用COSO框架。
Cobit的核心词是Information,而不是IT,它在关注业务控制的COSO框架与关注IT管理的最佳实践ITIL/17799之间搭建桥梁,其内在逻辑是IT必须deliver企业需要的信息。如下:IT Resources——Information——Biz Process——Enterprise Objectives,即IT Resources(人、流程、信息、IT基础架构)提供Information,对象是企业内部的Biz Process,最终还是为了达到Enterprise Objectives.
有了Cobit,这些Information在企业内部就流转得很好(Information的七个Criteria得到保证),但要保证对外部利益相关者批露的信息的真实性,仅IT治理是不够的,更需要全面的内部控制,即COSO框架。
结论:
1)一般的信息安全指的是保证信息的三个Criteria,即CIA,见17799;
2)第二个层次的信息“安全”指的是保证信息的七个Criteria,即Effectiveness、Efficiency、Confidentiality、Integrity、Availability、Reliability、Compliance,见Cobit;
3)第三个层次,信息安全变成信息风险问题,保证企业内部的IT治理无疑是主体,但还得保证对外批露信息的真实性,所以需参考COSO。
2、两个视角:公司管理层的内部、独立审计方的外部
为什么会产生两个视角呢?——因为信息的不对称。
现代公司普遍采用经营权、所有权分离的形式,内部的公司管理层通过管理(包括控制)活动来创造价值;外部的利益相关者通过对公司治理(主要内容为公司治理结构,次要内容为内部控制体系)的要求来保证其通过报告方式批露给外部的信息的真实性;于是,外部聘请独立审计方来审计内部。
管理层与审计方思路不同
管理层在公司治理结构中,是“执行层”,在管理活动中,是“管理层”。
管理层完成的是管理活动,包括计划、组织、领导与控制四项职能,他们直接面对公司各个Function的管理,比如生产、销售、市场、研发、财务、人事等,对应的生产方面的控制、销售方面的控制、市场方面的控制、研发方面的控制、财务方面的控制、人事方面的控制(此处控制按照CPA的说法,是check,不是internal control)直接是管理人员的基本职能之一,分散在各个Function中,不会单独设立一个体系或一个部门对公司所有的活动集中起来进行风险控制或风险管理,而COSO的思路恰恰是后者。
在COSO-整体控制框架阶段,五要素就是要建立单独一套体系,包括内控环境、风险评估、控制活动、信息&沟通、监控,似乎是分别要在各个Function中把五要素全实施一遍,才能把风险控制住……
在COSO-ERM阶段,八要素更是通过成立单独的风险管理部门来实现,风险管理staff/manager/director要involve到各个Function部门的战略制定、营运、报告及合规等方面去,以管理风险……
管理层最终会接受这样的观点吗?即风险管理具有独特性,需要从公司各个Function(如生产销售研发)的管理中分离出来。就象由于安全具有独特性,需要从IT部门中独立出来一样。
管理层与审计方目标的同与不同
如果把公司的经营活动比作球赛,管理层实践的管理活动与审计方强调的内部控制目标都是赢得胜利,不过前者必须通过进球才能达到目标,后者仅通过减少失球的风险就可能达到目标。
所以,内部控制自诞生之日起就是“保守”的。
3、三个核心:控制、风险、价值
1)IT治理:是一个由关系和过程构成的体系,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。
2)IT治理是公司治理的关键部分,由IT治理的定义引申出去,由公司治理需要而产生的内部控制(最新版为企业风险管理ERM)的定义可以这么理解:是一个由关系和过程构成的体系,用于指导和控制企业,通过平衡企业在战略制定、营运、报告及合规性方面的风险、增加价值来确保实现企业的目标。
3)Cobit是IT治理的控制框架。Cobit的目标是平衡风险、增加价值,这两者与内部控制、内部审计的目标非常相似……
4)COSO-ERM也是内部控制的控制框架。内部控制或COSO-ERM的目标是最小化计划及组织目标实现的风险,进而promote performance.
5)由于Cobit的审计起源,它秉承的是审计行业的“保守”作风,所以Cobit与COSO一样,第一目标永远是强调“风险控制、风险管理”,其次才是“创造价值”……而管理层进行的是促使价值最大化的商业活动,风险控制永远是第二位的。
6)审计人员的视角总是控制,Cobit是IT控制,COSO是企业内部控制——它们重视控制而不是管理层关注的Execution。当今天COSO由内部控制框架演变成风险管理框架时,Cobit也有可能考虑转换吗?比如转换成“信息及相关技术的管理”……
4、四个标准:COSO、Cobit、ITIL、17799
略。
5、五个关键词:管理、控制、治理、内部控制与审计之间的关系
“管理、控制”是公司管理层实践的概念,“治理、内部控制”是审计方的视角从外至里来看公司。控制是管理的一部分,内部控制是广义公司治理的一部分。审计是所有者(或利益相关者)针对经营者的。
5.1 从独立审计方角度,内部控制来源于公司治理的需要
1)内部控制来源于公司治理的需要,概念最早的确是CPA从外部看公司,1949审计程序委员会的权威定义中,内部控制想做四件事:保护资产、保证财务资料可靠、提高运营效率、保证管理部门制定的政策贯彻执行。
2)紧接着,审计委员会发现审计人员责任过大,承担不起,于是将CPA的职责缩小。1953年第一次修改,将内部控制分为会计控制与管理控制,会计控制负责前两个目标(保护资产、保证财务资料可靠),管理控制负责后两个目标(提高运营效率、保证政策执行);经过1972年第二次、第三次修改,明确了日后广为人知的分类:内部控制分为内部会计控制、内部管理控制;
3)经过三次修改,内部控制范围不断缩小,CPA在开展其审计工作时所运用的会计控制概念,是一种纯技术的、专业化的、适用范围具有严格规定性的、防护色彩很浓的概念,它的主要宗旨是预防和发现错弊;
4)这种CPA眼中的内部控制,管理层并不认可。尤其对那些置身于企业经营活动的人来说,会计控制与管理控制区别不大、甚至没有区别。另外,由于目标的差别和内部控制理论本身不成熟,管理层很难实践内部控制的概念……
5)那么,管理层又是怎么看控制的呢?
5.2 从公司管理层角度,控制是管理的一部分,控制就是内部控制
1)管理的目的是实现组织的目标。
2)管理包括四项职能,计划、组织、领导、控制。可见介绍管理学书籍中的任意一本管理学课本的目录。
3)计划包括考虑内外部环境、目标制定(包括战略的、战术的、长期的、短期的、全面的、专项的)、决策等。
4)组织包括组织架构、人员、岗位、职责、组织变革等。
5)领导包括领导风格、考虑人的因素、激励、沟通等。
6)控制贯穿于管理的前三项职能,存在于管理活动的全过程中;在管理学上,的确也有“管理就是控制”的定义……可见,控制的范围之广。
7)控制本身不是目的,但无目标的控制是不成立的;控制的目标就是保证计划及组织目标的实现。
控制的主体:管理层。
9)控制的对象:整个组织的所有活动:管理(计划、组织、领导)+执行。
10)控制的过程:建立绩效标准——衡量实际工作——比较——采取纠正行动;
11)作为一项工作本身,控制活动又必须包含管理的前三项职能:
计划:一个切实可行的、科学的计划
组织:专司的职责分明的组织
领导:考虑人的因素并建立良好的沟通机制与信息反馈渠道
12)在公司内,管理层眼中的控制一般有人员控制、组织控制、财务控制(预算控制/会计控制/内部审计/财务风险管理)、实物控制,都是对应管理部门的基本职能之一……
5.3 看完管理层眼中的“内部控制”,再回头看CPA怎样将会计控制发展成ERM(全面风险管理)?
1)公司的经理们一直在实践中运用着“管理控制“的概念,CPA在工作中执行“会计控制”的概念……冲突出现了,会计师协会希望能把他们整合起来。
2)1988年第一次尝试:内部控制结构。它包含三要素,控制环境、控制系统、控制程序。这有两个可喜变化,第一,不再区分会计控制与管理控制;第二将控制环境纳入。
3)1992年第二次尝试:COSO-内部控制整体框架。1994年修改后它提出三个目标、五个要素(五个要素可以理解为7799的11个Domain,即内部控制需要从这五个方面来考虑)、26个准则(principles)。它存在的问题详见Nosir的妙文“屁股决定脑袋的COSO内控框架”……
4)COSO-内部控制整体框架中,内部控制通常分为一般控制与业务控制。
A.一般控制,是指对企业经营活动赖以进行的内部环境所实施的总体控制,因而亦称基础控制或环境控制。它包括组织控制、人员控制、业务记录以及内部审计等项内容。这类控制的特征,是并不直接地作用于企业的生产经营活动,而是通过应用控制对全部业务活动产生影响。
B.应用控制(业务控制),是指直接作用于企业生产经营业务活动的具体控制,因此亦称业务控制,如业务处理程序中的批准与授权、审核与复核、以及为保证资产安全而采用的限制接近等项控制。这类控制的特征,在于它们构成了生产经营业务处理程序的一部分,并都具有防止和纠正一种或几种错弊的作用。
5)2004年第三次尝试:COSO-ERM。明确将控制转变为管理,明确说明内部控制的对象就是风险,提出四个目标、八个要素。
6)COSO-ERM中八要素之一的“控制活动”明确提出,信息系统的控制分为一般控制和应用控制,此部分就把COSO与SOX驱动的信息系统控制联系起来了。
7)从COSO-内部控制整体框架到 COSO-ERM,从管理层的语言思维来说,发生了两件事:第一,回过头来看,它实际上明确了内部控制的控制对象是风险;第二,将风险的控制转变成了管理,扩大了外延。
这样就回答了为什么1994版本COSO-整体控制框架中未将目标设定、风险处理活动纳入其中,因为当时还是控制框架,目标设定属于计划职能……现在改成ERM是一种必然。
9)COSO-ERM既然是风险方面的管理,它实际上涵盖了组织活动的所有风险,我们所关注的信息风险(或技术风险)仅占其中很小的一部分。从ERM的四个目标角度来看,企业风险应该包括战略制定风险、营运风险、报告风险及合规性风险……
10)COSO-ERM既然是对风险的一项管理活动,它必然通过“计划、组织、领导、控制”四项职能来实现,这四项职能与COSO-ERM的四个目标、八大要素有内在关系。要素内部环境涵盖的内容属于组织&领导职能范畴,目标设定属于计划职能,信息&沟通的沟通属于领导职能范畴,监控属于控制职能,事项识别/风险评估/风险反应/控制活动等四个要素构成了风险管理活动过程。
11)COSO-ERM认为:为达到内部控制的目标,有两条途径。第一步,风险导向内部控制或风险管理(减少风险,不拉后腿),保证企业管理活动的实现,以减少企业实现目标的风险(经营/财务报告/遵循性);第二步,绩效导向内部控制或风险管理(推动绩效,创造价值),促进企业管理,达到价值最大化。
12)举例而言,投资信息安全,第一步可减少公司构建于IT上应用的风险,从而减少公司经营风险;第二步,投资安全可以开展电子商务,从而真正为公司创造价值。
5.4 那内部控制与审计又是什么关系呢?
1)从CPA角度看,ERM中已明确说明,内部控制是ERM的一部分。内审人员不承担建立ERM体系的责任,而是负责监控(监督与评价)ERM。
2)在COSO-整体控制框架中,内审人员对CFO和内审委员会负责;在COSO-ERM中,内审人员现在可能要对CFO、内审委员会和风险主管(risk officer, CRO)负责。
3)COSO-ERM中,新设立风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理体系(这就需要参与到Function部门的战略制定、营运、报告、合规性等方面工作中)外,还要帮助其他经理人报告企业风险信息,并可能是风险管理委员会的成员之一。
4)从管理层角度看,控制是管理的一项职能,公司内任何管理部门同时承担控制职责,所以只有内部审计部门,没听说过内部控制部门……
5)另外,内部控制体系是审计的对象。
6)内部控制评审又是审计的基础。因为审计工作是先从评审内部控制体系着手,然后根据评价的结果,确定审计的范围、重点和方法。
6 、落到实处
1)由SOX驱动的审计,要求公司CEO/CFO必须证明其公司拥有适当的内部控制。所以,内部控制不再属于“最佳实践”范畴,而变成法律合规性。
2)由公众公司会计监督委员会(PCAOB)制定的“财务报告内部控制审计准则”作为审计标准于2004年3月9日颁布。
3)SOX404要求公司对财务报告的内部控制体系与程序有效性负责,比如可以符合公认的行业标准COSO。这样,作为公司风险管理时,COSO-ERM涵盖公司所有活动的风险;作为404合规性框架时,COSO-ERM在公司层面仅需要考虑与财务报告相关的一般控制与流程控制(CLC/PLC,即公司层面的一般控制与流程层面的业务控制);信息系统层面,仅需要考虑与财务报告相关的应用系统控制(AC)与基础信息系统控制(GCC),采用Cobit框架进行设计。
4)由于管理层对内部控制体系有效性负责,并由管理层来收集证据去证实有效性声明——落实到SOX项目中,咨询方首先帮助客户建立内部控制体系;其次,帮客户推行体系并在执行过程中形成证据链;最后,和客户一起来测试这个体系。CPA的工作就是证实管理层的声明。
7、结论
1)对于SOX驱动的内控体系建设项目中的信息系统控制项目,就是一个典型的信息风险管理项目。
2)它的特点是以IT治理框架(如Cobit)为主,参考强调业务控制的框架(如COSO)。
8、五个参考文档
1)陈关亭博士 《企业内部控制设计》
2)Nosir 《屁股决定脑袋的COSO内控框架》、《内审忧思》、读《风险导向内部审计》
3)李若山 《COSO报告下的内部控制新发展》
4)《内部控制与审计的关系》
5)《管理的第四项职能-控制》
9、附录:六张图
略。
——IT治理读书笔记
原始链接:http://bbs.chinacissp.com/viewtopic.php?t=7952
待探讨的问题
1)信息风险管理的提法有没必要?
2)信息风险管理的内涵是什么?
3)信息风险管理的外延是什么?即与相关概念的关系,这些概念包括信息安全、IT治理、企业风险管理等。
本文摘要
1)一个主题:信息
2)两个视角:公司管理层的内部,独立审计方的外部
3)三个核心:控制、风险、价值
4)四个标准:COSO、Cobit、ITIL、17799
5)五个关键词:管理、控制、治理、内部控制、审计
1、一个主题:信息
SOX404要求,公司管理层必须保证财务报告的内部控制体系的有效性,从信息这个角度进行分析,这个要求可以分为两个方面。第一,财务报告是信息,所以必须保证信息的可靠性(或者Cobit所说的信息七大Criteria:Effectiveness、Efficiency、Confidentiality、Integrity、Availability、Reliability、Compliance),这样,提供这些信息的IT Resources的控制必不可少,即IT治理;第二,财务报告是对外的,是公司营运、资产保护状况的声明,内容是否真实,仅仅IT治理是不够的,必须保证深入到业务流程中的全面内部控制体系(其目标为保证公司战略制定、营运、报告、合规性)有效性。
从第一个方面,要做GCC(信息系统总体控制)和AC(应用系统控制)项目,可以采用Cobit框架。
从第二个方面,要做内部控制体系建设项目(包括公司层面控制CLC,流程层面控制PLC),即公司层面的一般控制和流程层面的业务控制,可以采用COSO框架。
Cobit的核心词是Information,而不是IT,它在关注业务控制的COSO框架与关注IT管理的最佳实践ITIL/17799之间搭建桥梁,其内在逻辑是IT必须deliver企业需要的信息。如下:IT Resources——Information——Biz Process——Enterprise Objectives,即IT Resources(人、流程、信息、IT基础架构)提供Information,对象是企业内部的Biz Process,最终还是为了达到Enterprise Objectives.
有了Cobit,这些Information在企业内部就流转得很好(Information的七个Criteria得到保证),但要保证对外部利益相关者批露的信息的真实性,仅IT治理是不够的,更需要全面的内部控制,即COSO框架。
结论:
1)一般的信息安全指的是保证信息的三个Criteria,即CIA,见17799;
2)第二个层次的信息“安全”指的是保证信息的七个Criteria,即Effectiveness、Efficiency、Confidentiality、Integrity、Availability、Reliability、Compliance,见Cobit;
3)第三个层次,信息安全变成信息风险问题,保证企业内部的IT治理无疑是主体,但还得保证对外批露信息的真实性,所以需参考COSO。
2、两个视角:公司管理层的内部、独立审计方的外部
为什么会产生两个视角呢?——因为信息的不对称。
现代公司普遍采用经营权、所有权分离的形式,内部的公司管理层通过管理(包括控制)活动来创造价值;外部的利益相关者通过对公司治理(主要内容为公司治理结构,次要内容为内部控制体系)的要求来保证其通过报告方式批露给外部的信息的真实性;于是,外部聘请独立审计方来审计内部。
管理层与审计方思路不同
管理层在公司治理结构中,是“执行层”,在管理活动中,是“管理层”。
管理层完成的是管理活动,包括计划、组织、领导与控制四项职能,他们直接面对公司各个Function的管理,比如生产、销售、市场、研发、财务、人事等,对应的生产方面的控制、销售方面的控制、市场方面的控制、研发方面的控制、财务方面的控制、人事方面的控制(此处控制按照CPA的说法,是check,不是internal control)直接是管理人员的基本职能之一,分散在各个Function中,不会单独设立一个体系或一个部门对公司所有的活动集中起来进行风险控制或风险管理,而COSO的思路恰恰是后者。
在COSO-整体控制框架阶段,五要素就是要建立单独一套体系,包括内控环境、风险评估、控制活动、信息&沟通、监控,似乎是分别要在各个Function中把五要素全实施一遍,才能把风险控制住……
在COSO-ERM阶段,八要素更是通过成立单独的风险管理部门来实现,风险管理staff/manager/director要involve到各个Function部门的战略制定、营运、报告及合规等方面去,以管理风险……
管理层最终会接受这样的观点吗?即风险管理具有独特性,需要从公司各个Function(如生产销售研发)的管理中分离出来。就象由于安全具有独特性,需要从IT部门中独立出来一样。
管理层与审计方目标的同与不同
如果把公司的经营活动比作球赛,管理层实践的管理活动与审计方强调的内部控制目标都是赢得胜利,不过前者必须通过进球才能达到目标,后者仅通过减少失球的风险就可能达到目标。
所以,内部控制自诞生之日起就是“保守”的。
3、三个核心:控制、风险、价值
1)IT治理:是一个由关系和过程构成的体系,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。
2)IT治理是公司治理的关键部分,由IT治理的定义引申出去,由公司治理需要而产生的内部控制(最新版为企业风险管理ERM)的定义可以这么理解:是一个由关系和过程构成的体系,用于指导和控制企业,通过平衡企业在战略制定、营运、报告及合规性方面的风险、增加价值来确保实现企业的目标。
3)Cobit是IT治理的控制框架。Cobit的目标是平衡风险、增加价值,这两者与内部控制、内部审计的目标非常相似……
4)COSO-ERM也是内部控制的控制框架。内部控制或COSO-ERM的目标是最小化计划及组织目标实现的风险,进而promote performance.
5)由于Cobit的审计起源,它秉承的是审计行业的“保守”作风,所以Cobit与COSO一样,第一目标永远是强调“风险控制、风险管理”,其次才是“创造价值”……而管理层进行的是促使价值最大化的商业活动,风险控制永远是第二位的。
6)审计人员的视角总是控制,Cobit是IT控制,COSO是企业内部控制——它们重视控制而不是管理层关注的Execution。当今天COSO由内部控制框架演变成风险管理框架时,Cobit也有可能考虑转换吗?比如转换成“信息及相关技术的管理”……
4、四个标准:COSO、Cobit、ITIL、17799
略。
5、五个关键词:管理、控制、治理、内部控制与审计之间的关系
“管理、控制”是公司管理层实践的概念,“治理、内部控制”是审计方的视角从外至里来看公司。控制是管理的一部分,内部控制是广义公司治理的一部分。审计是所有者(或利益相关者)针对经营者的。
5.1 从独立审计方角度,内部控制来源于公司治理的需要
1)内部控制来源于公司治理的需要,概念最早的确是CPA从外部看公司,1949审计程序委员会的权威定义中,内部控制想做四件事:保护资产、保证财务资料可靠、提高运营效率、保证管理部门制定的政策贯彻执行。
2)紧接着,审计委员会发现审计人员责任过大,承担不起,于是将CPA的职责缩小。1953年第一次修改,将内部控制分为会计控制与管理控制,会计控制负责前两个目标(保护资产、保证财务资料可靠),管理控制负责后两个目标(提高运营效率、保证政策执行);经过1972年第二次、第三次修改,明确了日后广为人知的分类:内部控制分为内部会计控制、内部管理控制;
3)经过三次修改,内部控制范围不断缩小,CPA在开展其审计工作时所运用的会计控制概念,是一种纯技术的、专业化的、适用范围具有严格规定性的、防护色彩很浓的概念,它的主要宗旨是预防和发现错弊;
4)这种CPA眼中的内部控制,管理层并不认可。尤其对那些置身于企业经营活动的人来说,会计控制与管理控制区别不大、甚至没有区别。另外,由于目标的差别和内部控制理论本身不成熟,管理层很难实践内部控制的概念……
5)那么,管理层又是怎么看控制的呢?
5.2 从公司管理层角度,控制是管理的一部分,控制就是内部控制
1)管理的目的是实现组织的目标。
2)管理包括四项职能,计划、组织、领导、控制。可见介绍管理学书籍中的任意一本管理学课本的目录。
3)计划包括考虑内外部环境、目标制定(包括战略的、战术的、长期的、短期的、全面的、专项的)、决策等。
4)组织包括组织架构、人员、岗位、职责、组织变革等。
5)领导包括领导风格、考虑人的因素、激励、沟通等。
6)控制贯穿于管理的前三项职能,存在于管理活动的全过程中;在管理学上,的确也有“管理就是控制”的定义……可见,控制的范围之广。
7)控制本身不是目的,但无目标的控制是不成立的;控制的目标就是保证计划及组织目标的实现。
控制的主体:管理层。 9)控制的对象:整个组织的所有活动:管理(计划、组织、领导)+执行。
10)控制的过程:建立绩效标准——衡量实际工作——比较——采取纠正行动;
11)作为一项工作本身,控制活动又必须包含管理的前三项职能:
计划:一个切实可行的、科学的计划
组织:专司的职责分明的组织
领导:考虑人的因素并建立良好的沟通机制与信息反馈渠道
12)在公司内,管理层眼中的控制一般有人员控制、组织控制、财务控制(预算控制/会计控制/内部审计/财务风险管理)、实物控制,都是对应管理部门的基本职能之一……
5.3 看完管理层眼中的“内部控制”,再回头看CPA怎样将会计控制发展成ERM(全面风险管理)?
1)公司的经理们一直在实践中运用着“管理控制“的概念,CPA在工作中执行“会计控制”的概念……冲突出现了,会计师协会希望能把他们整合起来。
2)1988年第一次尝试:内部控制结构。它包含三要素,控制环境、控制系统、控制程序。这有两个可喜变化,第一,不再区分会计控制与管理控制;第二将控制环境纳入。
3)1992年第二次尝试:COSO-内部控制整体框架。1994年修改后它提出三个目标、五个要素(五个要素可以理解为7799的11个Domain,即内部控制需要从这五个方面来考虑)、26个准则(principles)。它存在的问题详见Nosir的妙文“屁股决定脑袋的COSO内控框架”……
4)COSO-内部控制整体框架中,内部控制通常分为一般控制与业务控制。
A.一般控制,是指对企业经营活动赖以进行的内部环境所实施的总体控制,因而亦称基础控制或环境控制。它包括组织控制、人员控制、业务记录以及内部审计等项内容。这类控制的特征,是并不直接地作用于企业的生产经营活动,而是通过应用控制对全部业务活动产生影响。
B.应用控制(业务控制),是指直接作用于企业生产经营业务活动的具体控制,因此亦称业务控制,如业务处理程序中的批准与授权、审核与复核、以及为保证资产安全而采用的限制接近等项控制。这类控制的特征,在于它们构成了生产经营业务处理程序的一部分,并都具有防止和纠正一种或几种错弊的作用。
5)2004年第三次尝试:COSO-ERM。明确将控制转变为管理,明确说明内部控制的对象就是风险,提出四个目标、八个要素。
6)COSO-ERM中八要素之一的“控制活动”明确提出,信息系统的控制分为一般控制和应用控制,此部分就把COSO与SOX驱动的信息系统控制联系起来了。
7)从COSO-内部控制整体框架到 COSO-ERM,从管理层的语言思维来说,发生了两件事:第一,回过头来看,它实际上明确了内部控制的控制对象是风险;第二,将风险的控制转变成了管理,扩大了外延。
这样就回答了为什么1994版本COSO-整体控制框架中未将目标设定、风险处理活动纳入其中,因为当时还是控制框架,目标设定属于计划职能……现在改成ERM是一种必然。 9)COSO-ERM既然是风险方面的管理,它实际上涵盖了组织活动的所有风险,我们所关注的信息风险(或技术风险)仅占其中很小的一部分。从ERM的四个目标角度来看,企业风险应该包括战略制定风险、营运风险、报告风险及合规性风险……
10)COSO-ERM既然是对风险的一项管理活动,它必然通过“计划、组织、领导、控制”四项职能来实现,这四项职能与COSO-ERM的四个目标、八大要素有内在关系。要素内部环境涵盖的内容属于组织&领导职能范畴,目标设定属于计划职能,信息&沟通的沟通属于领导职能范畴,监控属于控制职能,事项识别/风险评估/风险反应/控制活动等四个要素构成了风险管理活动过程。
11)COSO-ERM认为:为达到内部控制的目标,有两条途径。第一步,风险导向内部控制或风险管理(减少风险,不拉后腿),保证企业管理活动的实现,以减少企业实现目标的风险(经营/财务报告/遵循性);第二步,绩效导向内部控制或风险管理(推动绩效,创造价值),促进企业管理,达到价值最大化。
12)举例而言,投资信息安全,第一步可减少公司构建于IT上应用的风险,从而减少公司经营风险;第二步,投资安全可以开展电子商务,从而真正为公司创造价值。
5.4 那内部控制与审计又是什么关系呢?
1)从CPA角度看,ERM中已明确说明,内部控制是ERM的一部分。内审人员不承担建立ERM体系的责任,而是负责监控(监督与评价)ERM。
2)在COSO-整体控制框架中,内审人员对CFO和内审委员会负责;在COSO-ERM中,内审人员现在可能要对CFO、内审委员会和风险主管(risk officer, CRO)负责。
3)COSO-ERM中,新设立风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理体系(这就需要参与到Function部门的战略制定、营运、报告、合规性等方面工作中)外,还要帮助其他经理人报告企业风险信息,并可能是风险管理委员会的成员之一。
4)从管理层角度看,控制是管理的一项职能,公司内任何管理部门同时承担控制职责,所以只有内部审计部门,没听说过内部控制部门……
5)另外,内部控制体系是审计的对象。
6)内部控制评审又是审计的基础。因为审计工作是先从评审内部控制体系着手,然后根据评价的结果,确定审计的范围、重点和方法。
6 、落到实处
1)由SOX驱动的审计,要求公司CEO/CFO必须证明其公司拥有适当的内部控制。所以,内部控制不再属于“最佳实践”范畴,而变成法律合规性。
2)由公众公司会计监督委员会(PCAOB)制定的“财务报告内部控制审计准则”作为审计标准于2004年3月9日颁布。
3)SOX404要求公司对财务报告的内部控制体系与程序有效性负责,比如可以符合公认的行业标准COSO。这样,作为公司风险管理时,COSO-ERM涵盖公司所有活动的风险;作为404合规性框架时,COSO-ERM在公司层面仅需要考虑与财务报告相关的一般控制与流程控制(CLC/PLC,即公司层面的一般控制与流程层面的业务控制);信息系统层面,仅需要考虑与财务报告相关的应用系统控制(AC)与基础信息系统控制(GCC),采用Cobit框架进行设计。
4)由于管理层对内部控制体系有效性负责,并由管理层来收集证据去证实有效性声明——落实到SOX项目中,咨询方首先帮助客户建立内部控制体系;其次,帮客户推行体系并在执行过程中形成证据链;最后,和客户一起来测试这个体系。CPA的工作就是证实管理层的声明。
7、结论
1)对于SOX驱动的内控体系建设项目中的信息系统控制项目,就是一个典型的信息风险管理项目。
2)它的特点是以IT治理框架(如Cobit)为主,参考强调业务控制的框架(如COSO)。
8、五个参考文档
1)陈关亭博士 《企业内部控制设计》
2)Nosir 《屁股决定脑袋的COSO内控框架》、《内审忧思》、读《风险导向内部审计》
3)李若山 《COSO报告下的内部控制新发展》
4)《内部控制与审计的关系》
5)《管理的第四项职能-控制》
9、附录:六张图
略。
引用链接 推荐 收藏 导入论坛 等级(0) 编辑 管理 查看(242) 评论(0) 评分(0/0)
-
删除
48fe96bc3a543d6
引用于48fe96bc3a543d68e379,
发布于2007-01-08 22:52:48
- 48fe96bc3a543d68e379bb4bd942cce148fe96bc3a54