一级国产20岁美女毛片,久久97久久,久久香蕉网,国产美女一级特黄毛片,人体艺术美女视频,美女视频刺激,湿身美女视频

　告別了輝煌與沉重的2008，我們迎來了嶄新的2009。新的一年在中國的傳統(tǒng)農(nóng)歷里是“?！蹦?，雖然國際金融風(fēng)暴的影響在國內(nèi)日益顯現(xiàn)，我們?nèi)韵嘈盼磥淼囊荒瓴簧僦袊髽I(yè)會(huì)抓住這次機(jī)遇真正牛起來。

　　新的一年很多法律法規(guī)即將實(shí)施，對(duì)國內(nèi)上市公司而言，《企業(yè)內(nèi)部控制基本規(guī)范》的實(shí)施將給不少企業(yè)帶來脫胎換骨的影響。2008年6月28日，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》(以下簡(jiǎn)稱基本規(guī)范)?；疽?guī)范自2009年7月1日起先在上市公司范圍內(nèi)施行，鼓勵(lì)非上市的其他大中型企業(yè)執(zhí)行。這個(gè)被稱為“中國版SOX”的規(guī)范，被無數(shù)人寄予了期望，未來5年內(nèi)，基本規(guī)范的實(shí)施將對(duì)中國的上市公司和大型企業(yè)的規(guī)范化運(yùn)作帶來實(shí)質(zhì)性推動(dòng)。這是我國繼實(shí)施與國際接軌的企業(yè)會(huì)計(jì)準(zhǔn)則和審計(jì)準(zhǔn)則之后，在會(huì)計(jì)審計(jì)領(lǐng)域推出的又一與國際接軌的重大改革。這部規(guī)范的推出，意味著中國企業(yè)內(nèi)部控制規(guī)范體系建設(shè)正在向國際標(biāo)準(zhǔn)靠攏。

　　這套適用于中國企業(yè)的內(nèi)部控制體系，其基本規(guī)范借鑒了COSO報(bào)告五要素框架和風(fēng)險(xiǎn)管理八要素框架;具體規(guī)范以財(cái)務(wù)報(bào)告內(nèi)部控制為主線，對(duì)與企業(yè)財(cái)務(wù)報(bào)表項(xiàng)目相關(guān)的、可能會(huì)對(duì)財(cái)務(wù)報(bào)告真實(shí)可靠性產(chǎn)生較大影響的經(jīng)濟(jì)業(yè)務(wù)事項(xiàng)以及與財(cái)務(wù)報(bào)表編報(bào)相關(guān)的業(yè)務(wù)活動(dòng)提出具體的控制規(guī)范，并對(duì)為實(shí)現(xiàn)有效的財(cái)務(wù)報(bào)告內(nèi)部控制的事前、事中和事后制度支持提出控制要求。企業(yè)的內(nèi)部控制，應(yīng)該貫穿于企業(yè)經(jīng)營活動(dòng)的決策、執(zhí)行和監(jiān)督的始終，涵蓋企業(yè)各種業(yè)務(wù)和事項(xiàng)。企業(yè)每一項(xiàng)經(jīng)營活動(dòng)，從工作的效率性及風(fēng)險(xiǎn)的控制性來講，都應(yīng)強(qiáng)調(diào)過程控制，包括宏觀上公司治理結(jié)構(gòu)的確立、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、人力資源政策、企業(yè)文化等，也包括微觀上企業(yè)股東會(huì)和董事會(huì)的決策程序，經(jīng)理層及員工的執(zhí)行程序和要求，監(jiān)事會(huì)、內(nèi)部審計(jì)委員會(huì)的監(jiān)督程序，員工獎(jiǎng)勵(lì)計(jì)劃，以及違反公司內(nèi)部控制體系的罰則等等。

　　那么，對(duì)于企業(yè)內(nèi)部的IT建設(shè)與控制而言，企業(yè)內(nèi)部控制規(guī)范的實(shí)施會(huì)帶來怎樣的影響呢?CIO們?nèi)绾蜗到y(tǒng)考慮從企業(yè)IT的內(nèi)部控制建設(shè)來保障企業(yè)內(nèi)部控制。本文從IT內(nèi)部控制與IT風(fēng)險(xiǎn)管理的角度，闡述企業(yè)IT控制與企業(yè)內(nèi)部控制之間的關(guān)系。

　　1992年，Treadway委員會(huì)的發(fā)起組織委員會(huì)(the Committee of Sponsoring Organizations of the Treadway Commission)發(fā)布了《內(nèi)部控制——整合框架》，2004年，該委員會(huì)又發(fā)布了《企業(yè)風(fēng)險(xiǎn)管理—整合框架》，在該框架附件C中明確：內(nèi)部控制被涵蓋在企業(yè)風(fēng)險(xiǎn)管理之內(nèi)，是其不可分割的一部分。無論是COSO框架，還是中國自己的企業(yè)內(nèi)部控制規(guī)范，其基本控制目標(biāo)無外乎防范風(fēng)險(xiǎn)、控制舞弊以及確保財(cái)務(wù)報(bào)告的真實(shí)可靠?，F(xiàn)在大部分上市公司和大型企業(yè)，其企業(yè)運(yùn)營已基本依賴于企業(yè)的各種信息系統(tǒng)，已經(jīng)基本完成了企業(yè)信息化的初步建設(shè)，因此企業(yè)的內(nèi)部控制就離不開企業(yè)IT的控制。

　　企業(yè)內(nèi)部控制規(guī)范與IT內(nèi)部控制的關(guān)系

　　企業(yè)內(nèi)部控制基本規(guī)范包含的五要素框架：

　　(一)內(nèi)部環(huán)境。內(nèi)部環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱，是實(shí)施內(nèi)部控制的基礎(chǔ)。內(nèi)部環(huán)境主要包括治理結(jié)構(gòu)、組織機(jī)構(gòu)設(shè)置與權(quán)責(zé)分配、企業(yè)文化、人力資源政策、內(nèi)部審計(jì)機(jī)構(gòu)設(shè)置、反舞弊機(jī)制等。

　　(二)風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是及時(shí)識(shí)別、科學(xué)分析和評(píng)價(jià)影響企業(yè)內(nèi)部控制目標(biāo)實(shí)現(xiàn)的各種不確定因素并采取應(yīng)對(duì)策略的過程，是實(shí)施內(nèi)部控制的重要環(huán)節(jié)。風(fēng)險(xiǎn)評(píng)估主要包括目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)應(yīng)對(duì)。

　　(三)控制措施?？刂拼胧┦歉鶕?jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、結(jié)合風(fēng)險(xiǎn)應(yīng)對(duì)策略所采取的確保企業(yè)內(nèi)部控制目標(biāo)得以實(shí)現(xiàn)的方法和手段，是實(shí)施內(nèi)部控制的具體方式。控制措施結(jié)合企業(yè)具體業(yè)務(wù)和事項(xiàng)的特點(diǎn)與要求制定，主要包括職責(zé)分工控制、授權(quán)控制、審核批準(zhǔn)控制、預(yù)算控制、財(cái)產(chǎn)保護(hù)控制、會(huì)計(jì)系統(tǒng)控制、內(nèi)部報(bào)告控制、經(jīng)濟(jì)活動(dòng)分析控制、績效考評(píng)控制、信息技術(shù)控制等。

　　(四)信息與溝通。信息與溝通是及時(shí)、準(zhǔn)確、完整地收集與企業(yè)經(jīng)營管理相關(guān)的各種信息，并使這些信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級(jí)之間進(jìn)行及時(shí)傳遞、有效溝通和正確應(yīng)用的過程，是實(shí)施內(nèi)部控制的重要條件。信息與溝通主要包括信息的收集機(jī)制及在企業(yè)內(nèi)部和與企業(yè)外部有關(guān)方面的溝通機(jī)制等。

　　(五)監(jiān)督檢查。監(jiān)督檢查是企業(yè)對(duì)其內(nèi)部控制的健全性、合理性和有效性進(jìn)行監(jiān)督檢查與評(píng)估，形成書面報(bào)告并作出相應(yīng)處理的過程，是實(shí)施內(nèi)部控制的重要保證。監(jiān)督檢查主要包括對(duì)建立并執(zhí)行內(nèi)部控制的整體情況進(jìn)行持續(xù)性監(jiān)督檢查，對(duì)內(nèi)部控制的某一方面或者某些方面進(jìn)行專項(xiàng)監(jiān)督檢查，以及提交相應(yīng)的檢查報(bào)告、提出有針對(duì)性的改進(jìn)措施等。企業(yè)內(nèi)部控制自我評(píng)估是內(nèi)部控制監(jiān)督檢查的一項(xiàng)重要內(nèi)容。

　　(一)IT內(nèi)部控制環(huán)境。內(nèi)部環(huán)境在企業(yè)IT領(lǐng)域的體現(xiàn)是IT的內(nèi)部控制環(huán)境，同樣IT內(nèi)部控制環(huán)境是實(shí)施IT內(nèi)部控制的基礎(chǔ)。主要包括IT治理架構(gòu)、IT組織與職責(zé)，IT決策機(jī)制，IT合規(guī)與IT審計(jì)等。

　　(二)IT風(fēng)險(xiǎn)評(píng)估。企業(yè)信息化帶來的IT風(fēng)險(xiǎn)已經(jīng)成為企業(yè)風(fēng)險(xiǎn)管理的主要方面。風(fēng)險(xiǎn)評(píng)估主要包括目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)應(yīng)對(duì)。IT目標(biāo)設(shè)定可以理解為IT戰(zhàn)略與IT規(guī)劃，IT風(fēng)險(xiǎn)識(shí)別與分析應(yīng)對(duì)包括對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)、IT流程的風(fēng)險(xiǎn)以及應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)識(shí)別分析與應(yīng)對(duì)。

　　(三)IT控制措施。針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果，在IT方面需要實(shí)施具體的IT控制措施，包括IT技術(shù)類控制措施，如防火墻、防病毒、入侵檢測(cè)、身份管理、權(quán)限管理等，以及IT管理類控制措施，包括各類IT管控制度與流程，如開發(fā)管理、項(xiàng)目管理、變更管理、安全管理、運(yùn)營管理、職責(zé)分離，授權(quán)審批等。

　　(四)信息與溝通。在IT領(lǐng)域也需要明確具體的IT管理制度和溝通機(jī)制，建立服務(wù)臺(tái)與事件管理程序，及時(shí)傳達(dá)企業(yè)內(nèi)部層級(jí)之間和與企業(yè)外部相關(guān)的信息。

　　(五)監(jiān)督檢查。需要建立IT內(nèi)部控制體系的審核機(jī)制，評(píng)價(jià)IT控制的有效性。通過IT技術(shù)手段如日志、監(jiān)控系統(tǒng)、綜合分析平臺(tái)等，和管理手段如內(nèi)部IT審核、管理評(píng)審、專項(xiàng)檢查等措施，不斷改進(jìn)企業(yè)的IT內(nèi)部控制。

　　

　　綜合分析IT內(nèi)部控制的組件，我們可以將IT的控制分為三個(gè)層面：

　　(一)公司層控制。在公司層面建立IT治理架構(gòu)，完善IT組織與職責(zé)，制定IT決策機(jī)制，實(shí)行IT人員績效考核，加強(qiáng)IT合規(guī)與IT審計(jì)。

　　(二)流程與應(yīng)用層控制。分析企業(yè)業(yè)務(wù)流程與活動(dòng)，在企業(yè)業(yè)務(wù)流程、應(yīng)用系統(tǒng)層面與通用IT流程層面建立控制，重點(diǎn)關(guān)注與財(cái)務(wù)報(bào)表相關(guān)的各種業(yè)務(wù)與應(yīng)用系統(tǒng)的技術(shù)控制與流程控制。

　　(三)資源層控制。針對(duì)企業(yè)業(yè)務(wù)運(yùn)作所依賴的各類信息資產(chǎn)和IT資源，分析具體每個(gè)資源點(diǎn)的風(fēng)險(xiǎn)，建立風(fēng)險(xiǎn)控制措施。

　　IT內(nèi)部控制實(shí)施思路

　　企業(yè)內(nèi)部控制規(guī)范并沒有對(duì)IT控制的目標(biāo)和相關(guān)的控制活動(dòng)做出明確的規(guī)定。國外上市公司會(huì)計(jì)監(jiān)管委員會(huì)在審計(jì)準(zhǔn)則中提及COSO內(nèi)控框架可以作為評(píng)估內(nèi)控的標(biāo)準(zhǔn)，但是COSO并沒有提供IT 控制方面的詳細(xì)控制目標(biāo)和控制方法，從而進(jìn)行IT治理。直到 COBIT(直譯為信息及相關(guān)技術(shù)的控制目標(biāo))被提出來以后，IT 治理才有了一個(gè)開放性的標(biāo)準(zhǔn)，目前其已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的信息安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不僅可以指導(dǎo)企業(yè)有效地利用信息資源，而且可以指導(dǎo)企業(yè)有效地控制與信息相關(guān)的風(fēng)險(xiǎn)。所以建設(shè)和完善IT內(nèi)部控制體系的指導(dǎo)框架必須同時(shí)結(jié)合企業(yè)內(nèi)控框架和COBIT標(biāo)準(zhǔn)。

　　我們建議國內(nèi)企業(yè)采用企業(yè)內(nèi)部控制規(guī)范作為內(nèi)控評(píng)估標(biāo)準(zhǔn)，結(jié)合國際上普遍采用COBIT框架作為IT 控制的標(biāo)準(zhǔn)，將COBIT的相關(guān)IT控制目標(biāo)與COSO五個(gè)要素關(guān)聯(lián)起來，設(shè)計(jì)符合規(guī)范要求的IT內(nèi)部控制體系。COBIT是一個(gè)很豐富IT內(nèi)控框架，包括四個(gè)域、34個(gè)IT控制流程和318個(gè)詳細(xì)的控制目標(biāo)，是一個(gè)相當(dāng)全面的信息系統(tǒng)內(nèi)控框架體系。對(duì)于想遵循內(nèi)部控制規(guī)范的企業(yè)來說，該體系所提供的控制目標(biāo)和考慮一般會(huì)超過其需求。

　　建議首先需要對(duì)IT相關(guān)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，建立IT控制矩陣，以COBIT為參照依據(jù)，選取其中適合本身業(yè)務(wù)特點(diǎn)、復(fù)雜性和需求的控制流程和控制目標(biāo)為對(duì)象，建立IT內(nèi)部控制框架，作為后續(xù)制定控制文檔體系和測(cè)試的基礎(chǔ)。同時(shí)，在具體控制措施上可融合ISO27001(信息安全管理體系)、ISO20000(IT服務(wù)管理體系)、Prince2(IT項(xiàng)目管理)、CMMI(軟件開發(fā)過程控制)等具體控制框架，分階段分步驟的實(shí)施。

　　另外一般企業(yè)或多或少已經(jīng)建立了一些具體的IT控制措施，在建立IT內(nèi)部控制體系時(shí)要充分考慮并整合企業(yè)原有的控制措施。針對(duì)每個(gè)風(fēng)險(xiǎn)點(diǎn)建立控制措施，逐步從技術(shù)和管理兩方面落實(shí)具體措施，并建立體系化運(yùn)作與審核辦法。

　實(shí)施IT內(nèi)部控制體系主要可以三個(gè)層面進(jìn)行：IT公司層面、IT一般控制層面及IT應(yīng)用程序控制層面。

　　IT公司層面涉及如下四個(gè)方面：

　　n 政策制訂：公司整體的IT治理架構(gòu)、決策機(jī)制和IT基本策略

　　n 信息與溝通：IT制度的發(fā)布，溝通機(jī)制與管理程序

　　n 風(fēng)險(xiǎn)評(píng)估：建立風(fēng)險(xiǎn)評(píng)估流程和IT風(fēng)險(xiǎn)矩陣，包括信息資產(chǎn)評(píng)估程序，流程風(fēng)險(xiǎn)評(píng)估

　　n 監(jiān)控檢查：建立IT技術(shù)監(jiān)控措施，內(nèi)部IT審核、管理評(píng)審、專項(xiàng)檢查等措施

　　IT一般控制層面主要包含以下幾個(gè)方面：

　　n 信息系統(tǒng)的開發(fā)和實(shí)施：開發(fā)與實(shí)施活動(dòng)的管理、項(xiàng)目啟動(dòng)、需求分析與設(shè)計(jì)、系統(tǒng)自行開發(fā)管理;

　　n 信息系統(tǒng)的建設(shè)與軟件包的選擇、測(cè)試和質(zhì)量保證、數(shù)據(jù)轉(zhuǎn)換、上線、文檔與培訓(xùn)等;

　　n 信息系統(tǒng)的變更和維護(hù)：授權(quán)和跟蹤變更申請(qǐng)、系統(tǒng)編程、測(cè)試和質(zhì)量保證、遷移到生產(chǎn)環(huán)境的授權(quán)、文檔和培訓(xùn)、變更管理等;

　　n 信息系統(tǒng)的操作和運(yùn)行：對(duì)系統(tǒng)操作的總體控制、批處理、備份管理、管理數(shù)據(jù)中心環(huán)境、第三方管理、帳號(hào)與權(quán)限管理、用戶培訓(xùn)、服務(wù)水平協(xié)議、問題管理、事件管理等;

　　n 系統(tǒng)和數(shù)據(jù)的訪問安全：信息安全組織和管理、信息安全策略和流程、數(shù)據(jù)操作、數(shù)據(jù)批量處理、數(shù)據(jù)安全、操作系統(tǒng)安全、內(nèi)部網(wǎng)絡(luò)安全、邊界網(wǎng)絡(luò)安全、物理安全等。

　　n 應(yīng)用系統(tǒng)的控制：系統(tǒng)的安全管理，訪問控制，流程和系統(tǒng)的完整性，數(shù)據(jù)管理與數(shù)據(jù)質(zhì)量等。

　　IT應(yīng)用程序控制主要包括在信息系統(tǒng)如ERP系統(tǒng)中針對(duì)財(cái)務(wù)相關(guān)的控制流程，主要包括

　　n 采購與應(yīng)付賬款

　　n 銷售管理

　　n 資金管理

　　n 薪酬與福利

　　n 會(huì)計(jì)結(jié)算流程

　　n 折舊、折耗與攤銷的計(jì)算

　　n 成本管理

　　IT內(nèi)部控制體系實(shí)施階段

　IT內(nèi)部控制體系建設(shè)包括以下主要階段：

　　階段一：現(xiàn)狀調(diào)研及診斷。本階段主要實(shí)施任務(wù)是對(duì)IT內(nèi)控現(xiàn)狀進(jìn)行了解，確認(rèn)IT控制的相關(guān)范圍，審閱相關(guān)政策和程序，調(diào)研和識(shí)別企業(yè)內(nèi)部控制規(guī)范所要求范圍內(nèi)的重點(diǎn)應(yīng)用系統(tǒng)及模塊清單，對(duì)信息系統(tǒng)的相關(guān)控制設(shè)計(jì)情況進(jìn)行了解，在現(xiàn)有的業(yè)務(wù)流程控制文檔基礎(chǔ)上，識(shí)別的有關(guān)自動(dòng)/半自動(dòng)活動(dòng)控制活動(dòng)描述，提出調(diào)研報(bào)告和改進(jìn)建議。

　　階段二：風(fēng)險(xiǎn)識(shí)別與分析。本階段主要實(shí)施任務(wù)是在對(duì)現(xiàn)有的信息系統(tǒng)建設(shè)、實(shí)施與支持運(yùn)維各個(gè)流程進(jìn)行充分的風(fēng)險(xiǎn)評(píng)估、調(diào)研及訪談的基礎(chǔ)上，找到現(xiàn)有內(nèi)控體系與完善的內(nèi)控體系之間的差距，并分析所得到的差距結(jié)果，建立IT風(fēng)險(xiǎn)控制矩陣。

　　階段三：IT內(nèi)部控制體系設(shè)計(jì)與整改方案。本階段主要實(shí)施任務(wù)是參照《企業(yè)內(nèi)部控制規(guī)范》及COBIT框架要求，結(jié)合ISO20000與ISO27001標(biāo)準(zhǔn)，設(shè)計(jì)一套具有比較完善嚴(yán)謹(jǐn)、實(shí)際操作性以及可推廣性的IT內(nèi)部控制體系。主要工作就是建立IT內(nèi)部控制體系框架文檔體系，該文檔體系是未來建立IT控制管理細(xì)則文檔系統(tǒng)的基礎(chǔ)和指導(dǎo)準(zhǔn)則。

　　階段四：培訓(xùn)宣貫與運(yùn)行推廣實(shí)施。本階段的主要實(shí)施任務(wù)通過宣講、培訓(xùn)等方式，對(duì)企業(yè)各單位和人員進(jìn)行內(nèi)控流程設(shè)計(jì)和相關(guān)制度介紹和學(xué)習(xí)，在領(lǐng)導(dǎo)統(tǒng)一的部署下，督導(dǎo)其改進(jìn)流程的實(shí)施。并根據(jù)建立好的IT控制框架體系進(jìn)行試運(yùn)行，推廣實(shí)施。

　　階段五：體系改進(jìn)修正和監(jiān)督優(yōu)化。本階段的實(shí)施任務(wù)是在IT內(nèi)控體系試運(yùn)行一段時(shí)間的基礎(chǔ)上，通過測(cè)試，出具評(píng)估報(bào)告，并將各個(gè)部門和終端操作人員在試運(yùn)行階段發(fā)現(xiàn)的問題、產(chǎn)生的問題及反饋意見，經(jīng)過討論研究，出具試運(yùn)行階段評(píng)估分析報(bào)告。結(jié)合反饋意見匯總評(píng)估報(bào)告和企業(yè)內(nèi)部控制案要求，進(jìn)行討論研究，通過分析問題，進(jìn)而對(duì)整個(gè)ERP內(nèi)控體系進(jìn)行有針對(duì)性改進(jìn)或修正，進(jìn)而對(duì)流程的實(shí)際可操作性和可行性進(jìn)一步的優(yōu)化和完善。

　　小結(jié)

　　新年新氣象，金融風(fēng)暴引起了業(yè)界對(duì)企業(yè)內(nèi)部控制的廣泛關(guān)注，中國《企業(yè)內(nèi)部控制基本規(guī)范》今年的正式實(shí)施將給國內(nèi)企業(yè)的CIO與IT行業(yè)帶來新的要求，也將帶來新的活力與新的思路。國外SOX法案對(duì)IT控制與IT審計(jì)大大推動(dòng)的現(xiàn)象在國內(nèi)也將逐步重現(xiàn)，或許這也是金融風(fēng)暴的正面影響之一吧。