羅蘭公司的內(nèi)部審計在對IT部門進行審計的時候發(fā)現(xiàn),經(jīng)常有非羅蘭公司的人員登入網(wǎng)絡,審計人員認為這會導致羅蘭的信息泄漏和可能出現(xiàn)更為極端的系統(tǒng)癱瘓的風險,故此建議IT部門進行改進。羅蘭同時要求IT部門,羅蘭公司也對其內(nèi)部審計的獨立性和客觀性進行了更為細致的評估。
  1請列舉COSO的五要素,并指出內(nèi)審屬于該五要素的那一個要素的內(nèi)容?
  2IT部門應當如何避免非羅蘭公司人員登入網(wǎng)絡,并且完善其訪問控制?
  3IT部門針對極端的系統(tǒng)癱瘓風險,應當采取什么樣的政策和措施?
  4請定義內(nèi)部審計的獨立性和客觀性。
  5.請列舉內(nèi)部控制給企業(yè)帶來的優(yōu)點和局限性。
  答案解析
  1請列舉COSO的五要素,并指出內(nèi)審屬于該五要素的那一個要素的內(nèi)容?
  內(nèi)控的五個方面是:控制環(huán)境,風險評估,控制活動,信息和交流,審查和監(jiān)控。
  內(nèi)部審計屬于審查和監(jiān)控的范疇。
  2IT部門應當如何避免非羅蘭公司人員登入網(wǎng)絡,并且完善其訪問控制?
  IT部門應當建立防火墻和良好的訪問控制是避免非羅蘭公司登入網(wǎng)絡的重要方式。完善其訪問控制的方式有:
  1.只有獲得授權的用戶才能訪問系統(tǒng)
  2.管理員可以控制單個用戶的訪問權限以及各個用戶對系統(tǒng)信息的訪問
  3.管理員可以按訪問日期、訪問持續(xù)時間以及訪問地點實施跟蹤,發(fā)現(xiàn)異常訪問或異常使用。
  3IT部門針對極端的系統(tǒng)癱瘓風險,應當采取什么樣的政策和措施?
  1.確定災后數(shù)據(jù)恢復小組及其領導,獲取*6領導支持,參與者明確其所要負責的事項及責任;
  2.進行風險評估,分析災難對企業(yè)運營的影響、數(shù)據(jù)恢復的成本及數(shù)據(jù)恢復速度對企業(yè)的影響等;
  3.遇到災難,很可能臨時組織的資源是有限的,因此要分出任務的輕重緩急、優(yōu)先次序,先做最重要的。
  4.確定災后數(shù)據(jù)恢復的流程和程序,需要時對相關人進行緊急培訓;
  5.應及時、透明的和員工交流.如需要也要做好公共關系方面的工作.
  6.確定數(shù)據(jù)恢復所需要的設備包括硬件和軟件、技術支持等,必要時尋求熱站或冷站
  7.搜集備份的數(shù)據(jù)以進行恢復
  4請定義內(nèi)部審計的獨立性和客觀性。
  獨立性
  *6審計官應有足夠高的匯報鏈,如董事會
  內(nèi)審工作的履行不應偏袒組織內(nèi)的任一領域和職能
  內(nèi)審工作的范圍、執(zhí)行和結果不應受任何干預
  客觀性
  內(nèi)審人員應避免利益沖突
  內(nèi)審人員的審計范圍應該定期輪換
  由一個內(nèi)審工作之外的人員監(jiān)督首席審計官所負責的職能和審計
  5.請列舉內(nèi)部控制給企業(yè)帶來的優(yōu)點和局限性。
  內(nèi)部控制的優(yōu)點:
  1.資產(chǎn)的保護
  2.符合現(xiàn)有法律和法規(guī)的要求,即合規(guī)性
  3.組織目標和使命的實現(xiàn)
  4.財務報告記錄的可信度
  5.良好的內(nèi)控提高營運效率
  內(nèi)部控制的局限性:
  1.管理層不執(zhí)行相關的控制
  2.利益沖突:如采購經(jīng)理選擇其配偶的公司作為供應商
  3.員工之間、員工與外部人之間的共謀
  4.內(nèi)部控制的成本有效性