¿Cuál es la relación entre el control interno empresarial y el control interno de TI?
El marco de cinco elementos incluido en los estándares básicos de control interno corporativo;
(1) Ambiente interno. El ambiente interno es el término general para varios factores internos que influyen y restringen el establecimiento y la implementación del control interno de una empresa, y es la base para la implementación del control interno. El entorno interno incluye principalmente estructura de gobierno, estructura organizacional y distribución de derechos y responsabilidades, cultura corporativa, políticas de recursos humanos, instituciones de auditoría interna y mecanismos antifraude.
(2) Evaluación de riesgos. La evaluación de riesgos es el proceso de identificación oportuna, análisis científico y evaluación de diversos factores inciertos que afectan la realización de los objetivos de control interno de una empresa y la adopción de contramedidas. Es un vínculo importante en la implementación del control interno. La evaluación de riesgos incluye principalmente el establecimiento de objetivos, la identificación de riesgos, el análisis de riesgos y la respuesta a los riesgos.
(3) Medidas de control. Las medidas de control son métodos y medios para garantizar la realización de los objetivos de control interno de la empresa basándose en los resultados de la evaluación de riesgos y combinados con estrategias de respuesta a los riesgos. Es una forma específica de implementar el control interno. Desarrollar medidas de control basadas en las características y requisitos del negocio y asuntos específicos de la empresa, incluyendo principalmente control de división de responsabilidades, control de autorizaciones, control de aprobaciones, control presupuestario, control de protección de la propiedad, control del sistema contable, control de informes internos, análisis de la actividad económica. control, control de evaluación del desempeño y Controles de Tecnologías de la Información.
(4) Información y comunicación. La información y la comunicación es el proceso de recopilar diversa información relacionada con la gestión empresarial de manera oportuna, precisa y completa, y transmitir esta información de manera adecuada entre los niveles relevantes de la empresa de manera oportuna, comunicándola de manera efectiva y aplicándola correctamente. es el proceso de implementación del control interno. Condiciones importantes.
(5) Supervisión e inspección. La supervisión e inspección es un proceso en el que una empresa supervisa, inspecciona y evalúa la solidez, racionalidad y eficacia de su control interno, elabora un informe escrito y realiza el procesamiento correspondiente, lo cual es una garantía importante para la implementación del control interno.
En consecuencia, el marco de control interno de la tecnología de la información también debe prestar atención al marco de cinco elementos del control interno empresarial:
(1) Entorno de control interno de la tecnología de la información. El entorno interno en el campo de TI empresarial es el entorno de control interno de TI, y el mismo entorno de control interno de TI es la base para implementar el control interno de TI. Incluye principalmente estructura de gobierno de TI, organización y responsabilidades de TI, mecanismo de toma de decisiones de TI, cumplimiento de TI y auditoría de TI.
(2) Evaluación de riesgos de tecnologías de la información. Los riesgos de TI provocados por la informatización empresarial se han convertido en un aspecto importante de la gestión de riesgos empresariales. La evaluación de riesgos incluye principalmente el establecimiento de objetivos, la identificación de riesgos, el análisis de riesgos y la respuesta a los riesgos. El establecimiento de objetivos de TI puede entenderse como la estrategia de TI y la identificación, análisis y respuesta de riesgos de TI que incluyen el riesgo de activos de información, el riesgo de procesos de TI y la identificación, análisis y respuesta de riesgos de sistemas de aplicaciones.
(3) Medidas de control de las tecnologías de la información. Según los resultados de la evaluación de riesgos, es necesario implementar medidas específicas de control de TI en TI, incluidas medidas de control técnico de TI, como firewalls, antivirus, detección de intrusos, gestión de identidades, gestión de derechos, etc. y medidas de control de la gestión de TI, incluidos varios sistemas y procesos de control de la gestión de TI, como gestión de desarrollo, gestión de proyectos, gestión de cambios, gestión de seguridad, gestión de operaciones, separación de funciones, autorización y aprobación, etc.
(4) Información y comunicación. En el campo de TI, también es necesario definir sistemas de gestión de TI y mecanismos de comunicación específicos, establecer procedimientos de mesa de servicio y gestión de incidentes, y comunicar oportunamente información relacionada con los niveles internos y las empresas externas.
(5) Supervisión e inspección. Es necesario establecer un mecanismo de auditoría del sistema de control interno de TI para evaluar la efectividad de los controles de TI. A través de medios técnicos informáticos como logs, sistemas de seguimiento y plataformas de análisis integral. , así como auditorías internas de TI, revisiones de gestión, inspecciones especiales y otros métodos de gestión. , continuaremos mejorando los controles internos corporativos de TI.
Análisis integral de los componentes del control interno de TI, Gu Antianxia divide el control de TI en tres niveles:
(1) Control a nivel de empresa. Establecer una estructura de gobierno de TI a nivel corporativo, mejorar la organización y las responsabilidades de TI, formular mecanismos de toma de decisiones de TI, implementar evaluaciones de desempeño del personal de TI y fortalecer el cumplimiento y la auditoría de TI.
(2) Control de la capa de procesos y aplicaciones.
Analizar los procesos y actividades comerciales de la empresa y establecer controles en los niveles de procesos comerciales, sistemas de aplicaciones y procesos generales de TI, enfocándose en el control técnico y el control de procesos de varios sistemas comerciales y de aplicaciones relacionados con los estados financieros.
(3) Control de la capa de recursos. Analice los riesgos de cada punto de recurso específico y establezca medidas de control de riesgos para los diversos activos de información y recursos de TI de los que dependen las operaciones comerciales empresariales.