羅蘭公司的內(nèi)部審計(jì)在對(duì)IT部門進(jìn)行審計(jì)的時(shí)候發(fā)現(xiàn),經(jīng)常有非羅蘭公司的人員登入網(wǎng)絡(luò),審計(jì)人員認(rèn)為這會(huì)導(dǎo)致羅蘭的信息泄漏和可能出現(xiàn)更為極端的系統(tǒng)癱瘓的風(fēng)險(xiǎn),故此建議IT部門進(jìn)行改進(jìn)。羅蘭同時(shí)要求IT部門,羅蘭公司也對(duì)其內(nèi)部審計(jì)的獨(dú)立性和客觀性進(jìn)行了更為細(xì)致的評(píng)估。
  1請(qǐng)列舉COSO的五要素,并指出內(nèi)審屬于該五要素的那一個(gè)要素的內(nèi)容?
  2IT部門應(yīng)當(dāng)如何避免非羅蘭公司人員登入網(wǎng)絡(luò),并且完善其訪問控制?
  3IT部門針對(duì)極端的系統(tǒng)癱瘓風(fēng)險(xiǎn),應(yīng)當(dāng)采取什么樣的政策和措施?
  4請(qǐng)定義內(nèi)部審計(jì)的獨(dú)立性和客觀性。
  5.請(qǐng)列舉內(nèi)部控制給企業(yè)帶來的優(yōu)點(diǎn)和局限性。
  答案解析
  1請(qǐng)列舉COSO的五要素,并指出內(nèi)審屬于該五要素的那一個(gè)要素的內(nèi)容?
  內(nèi)控的五個(gè)方面是:控制環(huán)境,風(fēng)險(xiǎn)評(píng)估,控制活動(dòng),信息和交流,審查和監(jiān)控。
  內(nèi)部審計(jì)屬于審查和監(jiān)控的范疇。
  2IT部門應(yīng)當(dāng)如何避免非羅蘭公司人員登入網(wǎng)絡(luò),并且完善其訪問控制?
  IT部門應(yīng)當(dāng)建立防火墻和良好的訪問控制是避免非羅蘭公司登入網(wǎng)絡(luò)的重要方式。完善其訪問控制的方式有:
  1.只有獲得授權(quán)的用戶才能訪問系統(tǒng)
  2.管理員可以控制單個(gè)用戶的訪問權(quán)限以及各個(gè)用戶對(duì)系統(tǒng)信息的訪問
  3.管理員可以按訪問日期、訪問持續(xù)時(shí)間以及訪問地點(diǎn)實(shí)施跟蹤,發(fā)現(xiàn)異常訪問或異常使用。
  3IT部門針對(duì)極端的系統(tǒng)癱瘓風(fēng)險(xiǎn),應(yīng)當(dāng)采取什么樣的政策和措施?
  1.確定災(zāi)后數(shù)據(jù)恢復(fù)小組及其領(lǐng)導(dǎo),獲取*6領(lǐng)導(dǎo)支持,參與者明確其所要負(fù)責(zé)的事項(xiàng)及責(zé)任;
  2.進(jìn)行風(fēng)險(xiǎn)評(píng)估,分析災(zāi)難對(duì)企業(yè)運(yùn)營的影響、數(shù)據(jù)恢復(fù)的成本及數(shù)據(jù)恢復(fù)速度對(duì)企業(yè)的影響等;
  3.遇到災(zāi)難,很可能臨時(shí)組織的資源是有限的,因此要分出任務(wù)的輕重緩急、優(yōu)先次序,先做最重要的。
  4.確定災(zāi)后數(shù)據(jù)恢復(fù)的流程和程序,需要時(shí)對(duì)相關(guān)人進(jìn)行緊急培訓(xùn);
  5.應(yīng)及時(shí)、透明的和員工交流.如需要也要做好公共關(guān)系方面的工作.
  6.確定數(shù)據(jù)恢復(fù)所需要的設(shè)備包括硬件和軟件、技術(shù)支持等,必要時(shí)尋求熱站或冷站
  7.搜集備份的數(shù)據(jù)以進(jìn)行恢復(fù)
  4請(qǐng)定義內(nèi)部審計(jì)的獨(dú)立性和客觀性。
  獨(dú)立性
  *6審計(jì)官應(yīng)有足夠高的匯報(bào)鏈,如董事會(huì)
  內(nèi)審工作的履行不應(yīng)偏袒組織內(nèi)的任一領(lǐng)域和職能
  內(nèi)審工作的范圍、執(zhí)行和結(jié)果不應(yīng)受任何干預(yù)
  客觀性
  內(nèi)審人員應(yīng)避免利益沖突
  內(nèi)審人員的審計(jì)范圍應(yīng)該定期輪換
  由一個(gè)內(nèi)審工作之外的人員監(jiān)督首席審計(jì)官所負(fù)責(zé)的職能和審計(jì)
  5.請(qǐng)列舉內(nèi)部控制給企業(yè)帶來的優(yōu)點(diǎn)和局限性。
  內(nèi)部控制的優(yōu)點(diǎn):
  1.資產(chǎn)的保護(hù)
  2.符合現(xiàn)有法律和法規(guī)的要求,即合規(guī)性
  3.組織目標(biāo)和使命的實(shí)現(xiàn)
  4.財(cái)務(wù)報(bào)告記錄的可信度
  5.良好的內(nèi)控提高營運(yùn)效率
  內(nèi)部控制的局限性:
  1.管理層不執(zhí)行相關(guān)的控制
  2.利益沖突:如采購經(jīng)理選擇其配偶的公司作為供應(yīng)商
  3.員工之間、員工與外部人之間的共謀
  4.內(nèi)部控制的成本有效性