罗兰公司的内部审计在对IT部门进行审计的时候发现,经常有非罗兰公司的人员登入网络,审计人员认为这会导致罗兰的信息泄漏和可能出现更为极端的系统瘫痪的风险,故此建议IT部门进行改进。罗兰同时要求IT部门,罗兰公司也对其内部审计的独立性和客观性进行了更为细致的评估。
  1请列举COSO的五要素,并指出内审属于该五要素的那一个要素的内容?
  2IT部门应当如何避免非罗兰公司人员登入网络,并且完善其访问控制?
  3IT部门针对极端的系统瘫痪风险,应当采取什么样的政策和措施?
  4请定义内部审计的独立性和客观性。
  5.请列举内部控制给企业带来的优点和局限性。
  答案解析
  1请列举COSO的五要素,并指出内审属于该五要素的那一个要素的内容?
  内控的五个方面是:控制环境,风险评估,控制活动,信息和交流,审查和监控。
  内部审计属于审查和监控的范畴。
  2IT部门应当如何避免非罗兰公司人员登入网络,并且完善其访问控制?
  IT部门应当建立防火墙和良好的访问控制是避免非罗兰公司登入网络的重要方式。完善其访问控制的方式有:
  1.只有获得授权的用户才能访问系统
  2.管理员可以控制单个用户的访问权限以及各个用户对系统信息的访问
  3.管理员可以按访问日期、访问持续时间以及访问地点实施跟踪,发现异常访问或异常使用。
  3IT部门针对极端的系统瘫痪风险,应当采取什么样的政策和措施?
  1.确定灾后数据恢复小组及其领导,获取*6领导支持,参与者明确其所要负责的事项及责任;
  2.进行风险评估,分析灾难对企业运营的影响、数据恢复的成本及数据恢复速度对企业的影响等;
  3.遇到灾难,很可能临时组织的资源是有限的,因此要分出任务的轻重缓急、优先次序,先做最重要的。
  4.确定灾后数据恢复的流程和程序,需要时对相关人进行紧急培训;
  5.应及时、透明的和员工交流.如需要也要做好公共关系方面的工作.
  6.确定数据恢复所需要的设备包括硬件和软件、技术支持等,必要时寻求热站或冷站
  7.搜集备份的数据以进行恢复
  4请定义内部审计的独立性和客观性。
  独立性
  *6审计官应有足够高的汇报链,如董事会
  内审工作的履行不应偏袒组织内的任一领域和职能
  内审工作的范围、执行和结果不应受任何干预
  客观性
  内审人员应避免利益冲突
  内审人员的审计范围应该定期轮换
  由一个内审工作之外的人员监督首席审计官所负责的职能和审计
  5.请列举内部控制给企业带来的优点和局限性。
  内部控制的优点:
  1.资产的保护
  2.符合现有法律和法规的要求,即合规性
  3.组织目标和使命的实现
  4.财务报告记录的可信度
  5.良好的内控提高营运效率
  内部控制的局限性:
  1.管理层不执行相关的控制
  2.利益冲突:如采购经理选择其配偶的公司作为供应商
  3.员工之间、员工与外部人之间的共谋
  4.内部控制的成本有效性