内部控制信息系统用户管理制度doc.docx
《内部控制信息系统用户管理制度doc.docx》由会员分享,可在线阅读,更多相关《内部控制信息系统用户管理制度doc.docx(5页珍藏版)》请在冰豆网上搜索。
内部控制信息系统用户管理制度doc
内部控制-信息系统用户管理制度1
信息系统账号管理制度
第一节总则
第一条为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。
第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。
第三条本规定所指账号管理包括:
1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理。
2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理
3、用户账号密码的管理。
第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。
第五条信息技术部根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。
第六条用户账号申请、审批及设置由不同人员负责。
第二节普通账号管理
第七条申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。
第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必要性和
符合职责分工的要求。
第九条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为负责。
一
旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号。
第十条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。
第十一条人员离职的情况下,该员工的账户应当被及时的禁用。
离职人员的离职手续办理完毕后,人力资源部需通过邮件或书面的方式通知员工所属部门主管负责该
员工权限收回的工作。
员工所属部门主管根据该用户的岗位申请删除离职人员
账号及权限。
第十二条账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。
第三节特权账号和超级用户账号管理
第十三条特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。
超级用户账号指系统中最高权限账号,如administrator(或
admin)、root等管理员账号。
第十四条只有经授权的用户才可使用特权账号和超级用户账号,严禁共享账号。
第十五条信息技术部每季度查看系统日志,监督特权账号和超级用户账号使用情况,并填写《系统日志审阅表》(附件三)。
第十六条尽量避免特权账号和超级用户账号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。
第十七条临时使用超级用户账号必须有监督人员在场记录其工作内容。
第十八条超级用户账号临时使用完毕后,账号管理人员立即更改账号密码。
第四节用户账号及权限审阅
第十九条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅,并填写《账号/权限清理清单》(附件四)。
第二十条信息技术部指定专人负责每季度对系统层面账号及权限进行审阅,并填写《账号/权限清理清单》。
第二十一条员工离职后,账号管理人员及时禁用或删除离职人员所使用的账号。
如果离职人员是系统管理员,则及时更改特权账号或超级用户口令。
第五节用户账号口令管理
第二十二条用户账号口令发放要严格保密,用户必须及时更改初始口令。
第二十三条用户账号口令最小长度为6位,并具有一定复杂度。
第二十四条用户账号口令必须严格保密,并定期进行更改,密码更新周期不得超过90天。
第二十五条严禁共享个人用户账号口令。
第二十六条超级用户账号需通过保密形式由信息技术部负责人留存一份。
第六节附则
第二十七条本制度由公司总部信息技术部负责解释和修订。
第二十八条本制度自发布之日起开始执行。
编号:
申请表编号:
内部控制在制度基础审计中若干问题的探讨1
内部控制在制度基础审计中若干问题的
探讨
(作者:
___________单位:
___________邮编:
___________)
一、内部控制在制度基础审计中的作用
制度基础审计方法的出现,对于审计事业的发展起到了不可估量的作用。
因为在制度基础审计方法的指导下进行实质性测试,审计的方法方向和重点都比较明确,从而提高了审计工作的针对性,提高了审计工作的效率,保证了审计质量,并且在客观上促进了企业的内部控制水平的提高。
内部控制是制度基础审计存在和发展的前提条件,它对于审计的作用主要体现在:
(一)内部控制可以降低审计风险。
如果被审计单位建立了健全有效的内部控制,就可以在经济业务处理过程中及会计数据记录和会计报表数据加工过程中及时发现和防范可能出现的差错和错弊,从而减少会计报表的误差,降低报表出现严重失误的可能性。
在审查会计报表时,审计人员可以依靠内部控制而不致出现大的审计风险。
(二)内部控制可以保证审计测试的质量。
在审计实践中,无论是实质性测试还是符合性测试,都存在抽样误差。
如果被审计单位没有建立健全有效的内部控制制度,则抽取的样本很可能就正好是偏高或偏低的项目,据此样本作出的审计结论就会有很大的审计风险;
但如果被审计单位的内部控制制度健全,抽样样本代表性就强,抽样审计的风险就小得多。
(三)内部控制会影响审计抽查的范围和时间。
审计的过程就是在分析评价被审计单位内部控制的基础上,搜集证据,分析证据,并据此作出审计结论的过程。
审计证据可以分为资料证据和检查证据。
如果一个单位的内部控制健全有效,其会计记录自然会是客观真实的,审计人员抽查的资料就会较少,从而相应减少审计人员核查资料的时间;反之,则审计人员就要抽查较多的资料,甚至进行详细审计。
(四)内部控制有助于确定合理的审计程序。
审计工作是通过执行一定的审计程序来获取所需要的审计证据,审计程序不同,所获得的证据也就不同,进而会影响到审计结论。
因此,设计合理的审计程序,是审计成功的保证。
如果被审计单位有着良好的内部控制制度,审计人员可以直接应用企业内部审计人员的资料,而不需要亲自搜集资料,节省审计时间。
(五)内部控制决定抽样方法的应用和质量。
制度基础审计出现和发展除了受内部控制发展的影响外,抽样方法的发展也功不可没。
抽样就是运用概率统计的原理抽取一部分业务资料进行检查,据以推断业务资料的整体情况。
抽样极大地减少了审计人员的工作时间和精力。
但是,如果没有健全有效的内部控制,就很难保证所抽取的资料具有代表性,从而难以保证据以作出的审计结论的正确性。
二、内部控制制度在制度基础审计中的局限性
虽然内部控制制度对于制度基础审计有着如此多的帮助,但是随着时间的推移,内部控制本身的一些弱点也逐渐为人们所发现,在一定程度上阻碍了制度基础审计的发展。
具体表现在:
(一)成本收益因素。
成本收益原则是当今企业经营管理最基本的原则,不论哪方面的决策,都必须考虑成本与收益的关系。
内部控制固然能够减少会计处理过程中错弊的发生,提高审计效率,但如果内部控制的成本超过了可能发生错误造成的损失和浪费,企业的管理人员就会想方设法减少控制程序,这就使得内部控制总是存在缺陷。
(二)员工的串通舞弊。
内部控制是通过进行明确的职责划分来分离不相容职务,从而避免一个人独立从事某项工作进行舞弊的可能性。
但在有些方面,内部控制则是无能为力的,如两个或多个员工合伙串通舞弊。
(三)人员素质。
内部控制归根到底是由人去理解执行的,如果执行人员素质不尽如人意,那么,内部控制的效果就要大打折扣。
而且,内部控制大多是针对普通员工和中低层管理人员的,但对企业的高管人员往往缺乏有效的监督和惩罚措施,如高层管理人员有意进行不正当活动,或管理当局授意下属进行一些不正当行为以粉饰经营业绩,内部控制往往无能为力。
事实上,高层管理人员若作出不正当行为,其所带来的损失和危害比普通员工要大的多。
(四)缺乏对例外事件的控制措施。
内部控制制度一般是针对经常、重复发生的业务制定的,制度一旦制定下来,就具有相对稳定
性。
如果出现不经常发生的事件,或制定制度时未预计到的事件,原有控制制度就可能不适用,而临时控制措施又不能及时发挥作用,从而影响内部控制的效果。
(五)缺乏一套权威的内部控制评价标准。
内部控制制度的评价标准既是对内部控制制度完整性、合理性和有效性进行评定的客观依据,又是内部控制制度建立的准则和指南。
从一定意义上说,内部控制评价标准本身就是一种控制手段。
然而,到现在为止,我国尚缺乏一套权威的内部控制评价标准体系,使审计人员对内部控制的评价多凭借个人对于内部控制的理解,出于审计目的对内部控制作出评价。
职业素质不同,对同一套内部控制的评价可能出现天壤之别。
三、解决内部控制在制度基础审计中局限性的方法
为克服内部控制的薄弱环节,使制度基础审计更加完善,促进我国的审计事业飞速发展,笔者认为应采取以下措施:
(一)建立一套内部控制评价标准。
只有出台一套权威、合理、为各方所认同的评价标准,审计人员对内部控制的评价才有章可循,对内控制度的评价活动才具有可操作性,才能进一步规范其审计行为,得出客观公正的、符合实际的内部控制测试结果,真正提高审计效率,降低审计风险。
(二)提高审计人员的职业素质。
内部控制的评价是由审计人员来完成的,因此,审计人员的职业素质对内部控制的测试结果必然有一定影响。
若要使内部控制的评价与实际相符,不因为审计人员的
不同而出现不同的结果,就必须加强审计人员的自身职业素质培养,努力提高审计人员的业务水平,加深其对内部控制的理解。
(三)严格遵守审计准则。
外部审计人员在利用内部控制资料前,要从四个方面确定资料的可信度:
一是了解企业组织架构,审查企业是否设置内部控制制度,有效性如何;二是审查企业的内部控制程序是否适当,内部控制体系中的个人是否享有应有的职权,是否具有独立性;三是审查内部审计师是否具有专业能力,能够发挥应有的作用;四是审查并判断内部审计师是否具有职业精神和职业道德。
如果审查结果表明内部审计工作是可以信赖的,外部审计师则可以根据自身对企业内部控制测试的结果,判断并采用内部审计师的资料,以达到提高审计工作效率的目的。
(四)完善和健全公司的内部控制制度。
其一,必须培养领导人的内部控制意识,使领导层成为内部控制的倡导者和组织者,带头执行内部控制制度,接受内部控制制度的制约。
其二,要发挥员工在内部控制中的作用。
在制定内部控制时,要征求普通员工的意见,增强普通员工对内部控制的认同感,提高普通员工遵守内部控制制度的积极性。
其三,要细化控制制度,使其具有可操作性。
要以书面形式制定内部控制制度,且语言通俗,表达明确,语义缜密,并做好制度的执行工作。
(五)完善公司治理结构。
内部控制是公司治理结构的一部分,治理结构是内部控制的前提和基础,没有有效的治理结构,就不可能有一个良好的内部控制。
所以,要加强董事会的监督职能,建立董事
升级会员 