羅蘭公司的內(nèi)部審計在對IT部門進行審計的時候發(fā)現(xiàn),經(jīng)常有非羅蘭公司的人員登入網(wǎng)絡(luò),審計人員認為這會導(dǎo)致羅蘭的信息泄漏和可能出現(xiàn)更為極端的系統(tǒng)癱瘓的風(fēng)險,故此建議IT部門進行改進。羅蘭同時要求IT部門,羅蘭公司也對其內(nèi)部審計的獨立性和客觀性進行了更為細致的評估。
  1請列舉COSO的五要素,并指出內(nèi)審屬于該五要素的那一個要素的內(nèi)容?
  2IT部門應(yīng)當如何避免非羅蘭公司人員登入網(wǎng)絡(luò),并且完善其訪問控制?
  3IT部門針對極端的系統(tǒng)癱瘓風(fēng)險,應(yīng)當采取什么樣的政策和措施?
  4請定義內(nèi)部審計的獨立性和客觀性。
  5.請列舉內(nèi)部控制給企業(yè)帶來的優(yōu)點和局限性。
  試題解析
  1請列舉COSO的五要素,并指出內(nèi)審屬于該五要素的那一個要素的內(nèi)容?
  內(nèi)控的五個方面是:控制環(huán)境,風(fēng)險評估,控制活動,信息和交流,審查和監(jiān)控。
  內(nèi)部審計屬于審查和監(jiān)控的范疇。
  2IT部門應(yīng)當如何避免非羅蘭公司人員登入網(wǎng)絡(luò),并且完善其訪問控制?
  IT部門應(yīng)當建立防火墻和良好的訪問控制是避免非羅蘭公司登入網(wǎng)絡(luò)的重要方式。完善其訪問控制的方式有:
  1.只有獲得授權(quán)的用戶才能訪問系統(tǒng)
  2.管理員可以控制單個用戶的訪問權(quán)限以及各個用戶對系統(tǒng)信息的訪問
  3.管理員可以按訪問日期、訪問持續(xù)時間以及訪問地點實施跟蹤,發(fā)現(xiàn)異常訪問或異常使用。
  3IT部門針對極端的系統(tǒng)癱瘓風(fēng)險,應(yīng)當采取什么樣的政策和措施?
  1.確定災(zāi)后數(shù)據(jù)恢復(fù)小組及其領(lǐng)導(dǎo),獲取*6領(lǐng)導(dǎo)支持,參與者明確其所要負責(zé)的事項及責(zé)任;
  2.進行風(fēng)險評估,分析災(zāi)難對企業(yè)運營的影響、數(shù)據(jù)恢復(fù)的成本及數(shù)據(jù)恢復(fù)速度對企業(yè)的影響等;
  3.遇到災(zāi)難,很可能臨時組織的資源是有限的,因此要分出任務(wù)的輕重緩急、優(yōu)先次序,先做最重要的。
  4.確定災(zāi)后數(shù)據(jù)恢復(fù)的流程和程序,需要時對相關(guān)人進行緊急培訓(xùn);
  5.應(yīng)及時、透明的和員工交流.如需要也要做好公共關(guān)系方面的工作.
  6.確定數(shù)據(jù)恢復(fù)所需要的設(shè)備包括硬件和軟件、技術(shù)支持等,必要時尋求熱站或冷站
  7.搜集備份的數(shù)據(jù)以進行恢復(fù)
  4請定義內(nèi)部審計的獨立性和客觀性。
  獨立性
  ?*6審計官應(yīng)有足夠高的匯報鏈,如董事會
  ?內(nèi)審工作的履行不應(yīng)偏袒組織內(nèi)的任一領(lǐng)域和職能
  ?內(nèi)審工作的范圍、執(zhí)行和結(jié)果不應(yīng)受任何干預(yù)
  客觀性
  ?內(nèi)審人員應(yīng)避免利益沖突
  ?內(nèi)審人員的審計范圍應(yīng)該定期輪換
  ?由一個內(nèi)審工作之外的人員監(jiān)督首席審計官所負責(zé)的職能和審計
  5.請列舉內(nèi)部控制給企業(yè)帶來的優(yōu)點和局限性。
  內(nèi)部控制的優(yōu)點:
  1.資產(chǎn)的保護
  2.符合現(xiàn)有法律和法規(guī)的要求,即合規(guī)性
  3.組織目標和使命的實現(xiàn)
  4.財務(wù)報告記錄的可信度
  5.良好的內(nèi)控提高營運效率
  內(nèi)部控制的局限性:
  1.管理層不執(zhí)行相關(guān)的控制
  2.利益沖突:如采購經(jīng)理選擇其配偶的公司作為供應(yīng)商
  3.員工之間、員工與外部人之間的共謀
  4.內(nèi)部控制的成本有效性