香港上市IT审计概述-XX集团香港上市IT审计准备与路线图.doc

香港上市IT审计概述-XX集团香港上市IT审计准备与路线图
*
香港上市IT审计概述
-**集团香港上市IT审计准备与路线图
**软件科技有限公司
行业咨询部叶谷松
2008- 8-14
提纲
香港上市公司IT审计参考依据
**香港上市建议路线图
Q&A
提纲
香港上市公司IT审计参考依据
Turnbull报告和COSO框架
BS7799(ISO/IEC 27002和ISO 27001:2005)
**香港上市建议路线图
Q&A
香港相关法规制度
《企业管治常规守则》及《企业管治报告》
是《主板上市规则》和《创业板上市规则》的附录
于2005年1月或以后开始的会计期生效
(部分条款2005年7月或以后开始的会计期生效)
《内部监控与风险管理的基本架构》
应港交所邀请,
主要目的是就内部监控与风险管理的基本架构提供一般指引及建议
香港相关法规制度
《守则》的参考依据:
英国财务汇报委员会(Financial Reporting Council)《企业管治综合守则》(Combined Code on Corporate Governance)(《综合守则》)所载的原则和指引。
《指引》的参考依据:
《内部监控:综合守则的董事指南》(Turnbull指引)
《内部监控-综合架构》(Internal Control–Integrated Framework) (COSO框架)
《指引》的主要参考依据介绍
Turnbull报告
董事会对公司的内部控制负责,应制定正确的内部控制政策,并寻求日常的保证,使内部控制系统有效发挥作用,还应进一步确认内部控制在风险管理方面是有效的。
在决定内部控制政策,并在此基础上评估特定环境下内部控制的构成时,董事会应对以下问题进行深入思考:(1)公司面临风险的性质和程度;(2)公司可承受风险的程度和类型;(3)风险发生的可能性;(4)公司减少事故的能力及对已发生风险的影响;(5)实施特殊风险控制的成本,以及从相关风险管理中获取的利益。
执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。公司员工有义务将内部控制作为实现其责任目标的组成部分,他们应集体具备必要的知识、技能、信息和授权,以建立、运行和监督公司内部控制系统。这要求对公司及其目标,所处的产业和市场以及面临的风险有深入的理解。
合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面,这些要素结合在一起,对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应,以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊,并保证已对负债进行了确认和管理。
《指引》的主要参考依据介绍
Turnbull报告(续)
公司的内部控制应反映组织结构在内的控制环境,包括:(1)控制活动;(2)信息和沟通程序;(3)持续性监督程序。特恩布尔报告指出了健全的内部控制所应具备的基本特征:(1)它根植于公司的经营之中,形成公司文化的一部分。换言之,它不仅仅是为了取悦监管者而进行的年度例行检查; (2)针对公司面临的不断变化的风险,具有快速反应的能力; (3)具有对管理中存在的缺陷或失败进行快速报告的能力,并且能及时地采取纠正措施。
对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程,包括一年中复核的范围、收到报告的频率以及年度评估的程序等,这也将为公司年报和记录中的内部控制声明提供适当的支持。
《指引》的主要参考依据介绍
COSO框架
三个目标:
营运的效益和效率;财务报告的可靠性;遵循法律法规及合同。
五个要素:
内控环境、风险评估、内控活动、信息及沟通、监督。
SOX 404 IT控制需求
安全(Security)
基于应用和平台;定位在那些可能影响财务和支持基础设施的应用上
需要有安全的操作系统、数据库、网络、防火墙和基础设施
审计师会寻找过度访问、缺乏职责分离、不恰当的访问授权的问题,他们也会测试关键过程,以确定控制的有效性
变更控制(Change Control)
需要有程序能控制和确保对生产系统变更的恰当批准
通过技术性控制来限制和控制开发者访问生产系统
灾难恢复(Disaster Recovery)
定位在基本的财务数据备份和恢复上
IT治理(IT Governance)
IT是否存在清晰的策略、程序和沟通?职责分离是否明确?IT组织是否有合适