it述职报告
it述职报告范文第1篇
只有不到10%的工科毕业生能够胜任在国际化企业工作,毕业生缺乏实践经验和英语口语水平差的状况使中国难以发展以服务为基础的产业。
如果中国软件专业的本科和研究生毕业生英语水平不高的话,这些企业进军国际市场的举动可能会毫无意义。
《国际先驱论坛报》评论:
如果麦肯锡的报告结论属实,那么中国将有可能因为人才问题而无法发展最新的产业以及应对迅速扩张的外资,中国和印度多年来的“龙象之争”,竟然会输在英语教育上!
上面的报告和评论客观地指出了我国教育体系的英语教育部分存在的问题,更因为IT行业是我国各行业中和国际最接轨的一个,使得该问题表现更为突出,如何系统地解决这个问题,不仅涉及到大学基础阶段的公共外语教学的改革问题,还涉及到IT类专业学生高年级阶段的专业外语教学问题。需要一个体系弥补从公共外语阶段到实际的IT企业工作之间的差距。这个体系应该更注重在国际化IT企业可能会使用到的商务英语内容和技术英语内容,甚至还应该包含学生写英文简历和用英文面试的内容。本文把这样的一个涵盖商务、技术和求职英语内容,注重听说读写综合技能培养的,为IT从业人士和准从业人士定制的英语教学与认证体
系称作IT职业英语。
经过仔细分析,我们认为,为了系统提高我国IT类专业学生和IT从业人士的实际英语综合技能,从而提高我国IT行业的整体国际竞争力,下面的十一类人应该学习相应级别的IT职业英语课程。
三类学生
准备在知名IT企业工作的在校IT类专业学生
2005年麦肯锡的研究报告得出,中国目前工科毕业生中只有不到10%的毕业生具备在国际环境下工作所需要的语言技能,我们观察到的情况可能更糟糕,因为即便这百分之十中的学生在谈到技术交流的时候,也是普遍缺乏信心的。知名IT企业的面试官表示,英语四、六级证书早已经无法证实应聘者在工作中的实际英语应用水平,需要一个IT行业英语特有的英语技能证书来证明你在IT工作环境下具备相当的听、说、读、写综合能力,IT职业英语水平证书和IT职业英语技能分析报告能够在瞬间向企业展示应聘者所具备的IT职业英语技能水平。
具备“外语+IT”两项工具的复合人才是当前我国IT业的顶级人才,但目前往往需要企业买单来培训员工英语。以Sun公司为例,其中国研发中心大致要花两年左右时间培训已经经过高等教育的新员工英语。像Sun这样的国际IT公司当然十分渴望具备良好外语水平的IT人才。51job有关软件人员年薪与外语水平成正相关的报道用数字告诉人们英语水平一般和精通者的年薪相差近一倍,起点如此未来的差距就更大,而更大的差距还不是物质上的,精神上对自我价值的认知上产生的影响更是无法用金钱衡量的。图1为51job 的薪情分析报告。
准备出国留学的IT类专业学生
留学不等于逃避了未来工作对语言的要求,要在英语国家学IT类专业,实际上需要提前满足这些语言要求,因为实际情况是在留学学习过程中,与IT相关的综合英语技能是课堂发言、小组讨论、报告写作都必须具备的。而如果在留学过程中希望实习或半工半读,则更需要超凡的英语沟通技能才有可能找到工作,哪怕是临时的,其难度要比在国内的国际IT公司应聘更难,因为和你竞争的将会是母语为英语的竞争者。这就意味着,在留学前,不仅需要把留学考试考好,还需要学习IT职业英语的实际技能,以便未来有比较成功的留学体验。
在校外语类专业学生
早在1998年8月的一份《关于外语专业面向21世纪本科教育改革的若干意见》中就已指出了外语人才培养模式与社会发展和经济发展不适应的问题,通过对国家部委、国有企业、外经贸公司、部队和教育部门的问卷调查表明,对于单一外语类毕业生的需求量已降至零,而期望外语专业本科生具有宽泛知识的则占66%。能够在外语基础上增加对IT行业的了解,将是复合型人才中最受欢迎的。目前国际IT企业中的研发中的翻译和协调工作,行政、市场、售前、售后等工作都需要外语功底深厚又懂IT知识的外语人才。由于我国教育体制中文理分科教育机制的限制,此类人才实属凤毛麟角,其价值自然非凡。纯外语类专业高年级学生,如果希望投入一个不断蓬勃发展的朝阳产业,更应该学一些和IT专业结合的英语课程。
三类教师或培训师
IT类院校专业外语教师
多年来,计算机类专业的专业外语一直是计算机英语阅读课程。随着我国英语教育改革的不断深化,专业外语教师必须寻找符合时展的新型实用教程。多年来,专业外语教师一直希望能够教授学生包括口语、写作等在内的实用英语技能,但一直缺乏以实际应用为导向的系统而科学的教程。由来自信息产业部、清华大学、北外、新东方和国际IT企业技术与人力资源多方面专家打造的IT职业英语教学与认证体系提供了一个新思路。不过,采用这个体系对您的英语口语能力有一点挑战,当然您可以依赖IT职业英语配套的美国IT专家的配音来要求学生模仿,借助标准课件来控制课堂,在IT职业英语课程中,教师在课堂上更多角色应该是组织者和评论者,教师使用30%~40%的时间讲授,60%~70%的时间要学生来演练。
IT类院校公共外语教师
长期以来,高等教育一直习惯于外语系老师只担任公共外语教学任务的分工方式,而由计算机或软件学院的专业外语老师教授专业外语,而专业外语教师往往英语功底不是很好,教材也只注重阅读和词汇,习惯了就成了自然。现在我们知道,寄希望于学生在有了普通英语的功底后又学了专业外语就能够适应工作中的需要是没有道理的。英语听力、口语和写作这些实用技能必须是在教授的时候就与IT技术交流结合到一起的,专业词汇的听说应用没有一定的学习过程是不可能的。对大量的IT类专业学生讲述能听能说能写的IT专业外语,需要由原来只教授公共外语的教师来完成,这应该是一个非常有意义的挑战。我们不会希望我们教的学生未来一工作就说不出来什么吧!这个责任感对于那些在名字冠以XX信息大学、XX信息职业学院任职的外语系公外教师更大一些。
社会培训机构外语培训讲师
有调查表明,在参加实用英语技能培训的人群中,40%左右的生源来自IT行业,这多半是因为全球IT行业的行业语言是英语所致。能够为IT从业人员和准从业人员提供针对IT行业的英语培训具有相当高的市场价值,而实现这一价值的前提是存在这些懂英语教学又懂IT的培训师,系统学习IT职业英语教学方法和理念,成为IT职业英语授权讲师是提升讲师个人独特价值的一个最佳途径,毕竟中国的IT行业是各行业中最与国际接轨的一个。
五类IT业从业人员
已经在国际IT企业的技术工程师
能够进入国际IT企业本身已经证实了有一定的英语技能,但进入其中并不等于从此一帆风顺。IT技术人才在工作两三年后就会面临这样的职业发展路线问题,“您是走技术路线还是走管理路线?”不管是走哪一条路,能够用流利英语进行商务和技术交流都是必须的,提升IT职业英语技能是获得升迁、提高工作效率的必由之路。在这里不再需要任何证书,会开口说、能动笔写的本身就是最佳的证明。试看各大IT企业在华的高层哪有在英语沟通上有障碍的呢?
IT职业英语课程提供了一个简捷、高效的教学模式,需要的就是课上的互动式参与和不断完成新任务,这门课程告诉您:“外语不是被教会的而是练会的!”
对外软件外包企业的研发人员
这其实和在外企里工作没什么不同,由于近些年国际IT企业进行严格的成本控制,很多工作最后都要由外包企业来完成,很多情况下软件外包企业的工程师需要驻扎在发包单位里一段时间,英语不好还是没有办法沟通的,而碍于面子、不懂装懂最后得到的惩罚更大。由于能够完成相同难度的IT任务的工程师其实并不少,多数软件外包企业最终发现是开发人员的英语技能决定了项目的成败。另外很多外包企业的优秀人才(主要标志是英语沟通能力强)通过外包项目最终被外企雇佣。
项目协调人或IT类企业外语翻译
协调人也好,翻译也罢,总之,在IT企业中由于很多员工英语存在问题,所以他们寄希望于专职的沟通者或翻译能够存在。这些人英语要非常好,技术上有背景就可以。这些人的薪酬待遇并不亚于研发人员,在有了一定经验后,往往会被提升为项目经理,或者转为培训经理等职,他们在同一岗位工作的时间一般不会太久,因为他们太抢手了。
国际化IT企业的市场人员、售前咨询、售后服务、技术支持、行政人员
所有上述人员都需要一定程度的IT职业英语技能,否则无法适应在国际IT公司内部的英语需求。市场人员尤其是精通英语的市场人员毫无疑问是紧缺人才,而做售前咨询、售后服务的人员如果具备外语特长,工作业绩就更好了。用英语做技术支持和用汉语做是两个完全不同的概念,前者是绝对的高薪阶层。做行政也要学习基本的IT职业英语,总不能等经理要帮忙取一个router(路由器),而您给带来一只rooster(公鸡)吧。
外向型国营或民营IT企业项目经理、市场经理、商务发展经理、驻外人员
我国的IT行业在向国际化发展,几乎所有有些名气的IT公司都希望他们的员工具备良好的英语水平,因为这是企业走向国际化必须的人才。联想集团并购IBM的PC 和笔记本电脑部之后掀起的英语学习浪潮至今未息;各大电信公司急聘外派人员的广告也从未间断;候选人要求必备的当然是英语技能,再清晰些就是那些能够用流利的英语进行有关IT行业的商务谈判和技术谈判的人才。
it述职报告范文第2篇
(Disaster Recovery Plan,灾难恢复计划)。
现实表明,传统的风险管理意识和经验已经不能应对信息化时代出现的新威胁和新挑战,企业需要更新的风险意识和风险管理知识,需要开发并综合应用各种新的计划、组织流程和降低风险的技术方案。在新的风险和威胁挑战的推动下,业务连续性管理计划(BCP,Business Continuity Plan)、危机管理计划(CMP,Crisis Management Plan)和灾难恢复计划(DRP)应运而生。
摩托罗拉公司在上个世纪后20年的全球化生产和商业活动中已经充分认识到业务连续性管理的重要性,从公司战略、政策、组织和战术流程等各个层面在全球建立、推广和执行业务连续性计划,危机管理计划和灾难恢复计划。公司已经建立了一整套符合相关法律法规要求的风险管理体系,并在全球供应链生产管理和市场营销管理活动中成功应用。
设立专业职能小组
首先,把风险管理提高到战略高度,公司《内部控制标准》中对BCP、CMP和DRP都作了明确的定义,以公司基本政策的形式做出清楚的管理层承诺。
公司要求在达到或超过100名员工的地区和办公运营场所必须遵照标准操作流程和指南建立并实施BCP和CMP管理,建立相应的危机管理队伍,选定代表联络人,这个人的职责包括:
负责本地的年度风险评估;
参照事业部制定的统一计划模板制定计划;
定期培训、评审、测试计划;
在危机发生时负责计划的启动、执行;
危机发生后,进行事后总结、评估、整改计划;
负责对上一级风险管理组织的汇报和协调。
公司在全球事业部组织层面上设立了相应的BCP、CMP专业职能部门,统一制定标准框架、参考计划流程、计划文档样板、关键任务模板,制定并执行长期性的培训计划,负责企业层面、跨部门地区的事务协调,管理企业级核心流程计划的测试,并负责可能造成企业级影响安全事件的监控及响应处置等。
公司在基本法《内部控制标准》中对信息系统控制要求作了明确定义,IT部门作为公司关键业务流程服务的提供者,必须和信息系统所支持的业务部门及业务系统所有人一起负责信息系统和数据中心的业务影响评估(BIA, Business Impact Analysis),制定、维护、测试和执行DRP计划。
IT部门在公司全球信息系统安全部门内建立了专业的职能小组,命名为企业柔性管理办公室(ERO,Enterprise Resiliency Office),负责IT DRP标准和框架的制定,指导IT部门DRP策略定义和DRP计划制定,指导信息系统DRP与核心业务流程BCP、 CMP的衔接与集成,并负责与管理BCP、CMP职能部门的组织和协调,向公司最高层领导报告存在的问题和改进建议。企业柔性管理办公室向公司首席信息安全官报告工作。
生命周期持续方案
作为上市公司,摩托罗拉需要满足业务经营所在国家和地区的各种法律和法规的监管要求,如萨班斯法案。其中很多法规都对IT系统的数据备份和信息系统的DRP管理有明确的规定。由此,公司面临严格的定期外部审计,必须能够通过相关系统性的审计检验和测试,并提供完整的证据,表明公司符合相关法律规定。
公司IT内部ERO部门在长期实践,并参考业界最佳经验的基础上,如BS/ISO 17799、BS 25999等,逐步形成了完整的DRP管理框架体系。针对IT应用系统和数据中心的DRP计划,在业务影响评估,DRP创建、维护、测试,关键定量管理指标的考校等方面都制定了系列政策、框架文件、技术指南、标准操作规程等,并融入生命周期持续改进循环内,整个生命周期如附图所示。
DRP战术流程标准化
为了便于培训、普及、推广和保证易用,公司ERO部门制定了大量DRP技术标准指南和计划文档模板,保证了DRP在编写、测试、实施和维护过程的一致性和标准化。
一、根据行业标准,在业务影响性分析报告模板中对风险可能造成的损失尽可能量化,从而能够为业务部门管理层提供具有统一标准衡量尺度的风险指示(见表1),方便管理层理解和平衡风险,并从投入产出的角度选择灾难恢复策略。
二、由于公司内部存在大量的IT系统,为了区分轻重缓急和保证合理分配公司IT资源,本着分而治之的原则,ERO部门制定了应用系统分级标准,根据系统业务影响分析报告中的系统恢复时间目标(Recovery Time Objective,RTO),把应用系统分为0~3级,并根据现有IT水平给出每类系统的灾难恢复策略的建议方案(见表2)。
三、根据IT应用系统分级,在灾难恢复计划框架中定义统一的系统DRP测试要求,测试种类分为:
基础测试:包括计划的评审,桌面演练,关注于计划本身的完整性和相关人员对恢复流程的熟悉程度,所有DR(数据恢复)分类为三级的IT系统必须每3年进行至少一次基础测试;
中级测试:灾难恢复计划的模拟演练,关注于计划操作的有效性,所有DR分类为二级的IT系统必须每2年至少进行一次中级测试。
高级测试Ⅰ:并行或迁移测试,关注于实际数据恢复的有效性,确认RTO(Recovery Time Objective)和RPO(Recovery Point Objective)是否在测试中成功达到,所有DR分类为一级或零级的IT系统必须每年至少进行一次高级测试Ⅰ。
高级测试Ⅱ:完全业务中断测试,关注于备份场所处理能力的有效性,确认RTO和RPO是否在测试中成功达到,所有DR分类为一级或零级的IT系统必须每年至少进行一次高级测试Ⅱ。
四、采用业界领先的专用灾难恢复计划管理系统LDRPS (Living Disaster Recovery Planning System),提供统一、可重用和可灵活自定义的DRP模板、关键任务流程样板和其他在灾难恢复计划管理寿命中期各种不同角色和人员需要使用的管理维护功能模块,相比与传统Office手工文档模板,能够帮助DRP的计划人员以更高效、更经济和人机界面更友好的方式创建、维护IT系统和数据中心的灾难恢复计划,极大地改善和提高IT人员和业务部门对灾难恢复计划工作支持的积极性。
通常一个完整的IT部门应用系统的DRP文件包含如下内容:
1)计划的综述;
2)灾难的职责和计划的启动流程;
3)各职能组成员组成及其承担的任务;
4)通信;
5)备份场所和恢复策略;
6)应用系统的关联性;
7)恢复流程描述;
8)计划的测试;
9)计划的日常维护;
10)软件清单;
11)硬件清单;
12)其他设备清单;
13)重要记录。
it述职报告范文第3篇
2002年安然、世通等公司造假案件和安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以“萨班斯法案”对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任。纵观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也相续出台, 如美国证券交易委员会(SEC)于2003年6月5日根据法案的要求颁布了404条款的细化条例, PCAOB于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。
“萨班斯法案”的出台,使全球各国监管部门、企业和投资者都把眼球关注在公司治理和全面风险管理上。为保护投资者、降低风险,各国纷纷效仿“萨班斯法案”,出台自己的公司治理广泛要求以及全面风险管理指南。被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案” 的“SOX法案”引发了全球公司治理与风险管理翻天覆地的变化。如何更好地规范公司治理、完善公司全面风险管理框架,如何发挥信息技术在公司治理和风险管理中的作用,是目前理论界与实务界普遍关注的话题。公司治理与IT治理,IT治理与目前风险管理等议题正逐渐成为人们关注的焦点。公司内部从董事会到CEO、到CFO、再到CIO等高级管理人员都参与到公司治理、合法合规等实践中来,打破了原有职责范围的局限,重新认识自己的责任定位。
302条款和404条款核心要求
302条款的要求:
该条款要求由首席执行官和首席财务官在内的企业高管层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
*对建立和维护与财务报告有关的内部控制负责;
*设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
*与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,IT系统驱动着财务报告的流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循“萨班斯法案”,也要对IT内部控制的有效性予以评估。
为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出[部分]:
……内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。
404条款管理要求:
*“萨班斯法案”的404条款要求管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
*管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。
*识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
*对从一上个会计年度末以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
*年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
*管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。
*如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
显然,404条款对于公司内部控制情况做出了严厉要求,目的是为了使得公众更易于察觉到公司的欺诈行为,并确保公司财务报告的可靠性。而上市公司为了遵循该条款将付出沉重的代价,包括大量的时间和人力、财力的投入。
在“SOX404”项目中的IT
事实上,早在1994年TSE的题为“董事何去何从?提高加拿大公司治理的指南”中就认为:整合企业的内部控制和管理信息系统是董事会的五个“首要责任”之一,对此责任的解释,是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如在批准企业战略时,董事会需明确各种评价战略的标准和监督执行战略的体系;同样,在审查和批准财务信息时,董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。总之,该指南认为董事会必须关注内部控制和信息系统,因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性,并有助于改善公司的控制环境。
在“萨班斯法案”中,我们看到了一脉相承的要求,只不过这些要求是以前所未有的法律形式固定下来的,良好的公司治理和高管层对IT的职责再也不是一个可有可无的美好远景。
*公司数据的完整性受到公司IT控制的充分性影响;
*公司交易从交易开始、记录、处理到报告全程应用IT;
*加快并支持财务报告的IT控制;
*IT控制的有效性记录与评价的要求;
*IT一般控制与应用控制;
*利用IT自动记录并监控控制制度的执行。
因此,“萨班斯法案”开始要求CIO必须成为管理控制专家,不仅要参与到公司治理领域,以使IT与业务一致,还要在完善内部控制和全面风险管理体系中发挥作用。IT也成为公司治理、全面风险管理关注的新领域。
眼下,我国几十家在美国上市的企业正在紧锣密鼓地忙符合“SOX法案”的项目。对于符合“SOX法案”项目而言,更引起广泛关注的是上市公司管理当局要评价信息时代财务报告内部控制的设计与执行的有效性,并对此负责,外部审计师要连同财务报告审计一起审计内部控制。这主要是针对“SOX404”条款的遵从,所以很多符合“SOX法案”的项目也称为“SOX404” 项目。
“SOX法案”最主要的特征表现在:法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程,都做到高透明度、可控制、实时风险管理并防治诈欺,并且这些流程必须有可追查到交易源头的详细记录。
对于这些在海外上市的中国企业而言,必须在2006财年结束前通过此项法案的认证,否则,证券市场会认为企业财务管理不规范、报表值得怀疑、股价不可信。如果中国企业大量不合规范,可能影响对中国企业整体的信任。严格的披露要求、紧迫的披露时限和严重的违规处罚,令在美国的上市公司加紧“萨班斯符合项目”,未通过的加紧建设完善的内部控制体系,特别是IT内部控制体系,已通过的公司正在寻求如何加强持续符合“萨班斯法案”。
SOX的实施问题
对于上市公司来说,“SOX404”条款的实施是遵从“萨班斯法案”的一个重要举措,必须由公司董事、管理层、“SOX404”项目小组、内控总监与其他人士积极监察和参与。“SOX404”条款的遵照执行有四个明显的区分阶段:
1.公司应制订内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照;
2.公司被要求记录控制措施评估方式,以及未来将被用来弥补控制缺陷的政策和流程(如果有的话);
3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用;
4.管理层必须将前述三个阶段的各项活动情况整理成为一份正式的报告。
在“SOX404”项目中,企业应该考虑以下问题:
* “萨班斯法案”需要对各个部门的员工和管理者进行培训。
* 要求管理者和审计师增加文档纪录、测试和检查。
* 纠正在检查中发现的任何潜在缺陷。
* 完善风险评估和控制行为的测试与监督战略。
* 投入更高的审计费用。
* 法规遵从软件的购买―买哪一种?
* 利用COSO建立的内部控制框架给IT部门的系统控制带来的变更。
完善内部控制可能需要几年的时间实现完全转变,并且可能要有很大的投入。从国内外的实施经验来看,基于风险的、由上至下的确定范围和测试策略的方法将减少目前工作所需的时间。
* 优化关键控制;
* 优化应用控制;
* 实施持续控制监督;
* 重新设计控制;
* 使流程和系统合理化。
“萨班斯法案”遵从成本
“萨班斯法案”的严厉性和高昂的执行成本从一开始就遭人诟病,已有包括新加坡“创新科技”在内的一批著名公司主动申请摘牌退市,更多的中国国企和银行也毫不犹豫地放弃了在美国上市的既定计划。该成本之高昂,据安永的调查显示:收入超过50亿美元的公司中,四分之一的公司在“萨班斯”符合项目启动之前弥补了500多个单独控制; 超过70%的公司在“萨班斯”符合项目启动之前对IT系统和控制进行了重大修改,在这70%的公司中,与404条款有关的成本耗费要比最初预计值高出50%;58%的年收入不足50亿美元的公司把超过半数的内部审计资源用于与404条款相关的活动中;76%的公司期望使用一些控制自评估(CSA)的表格来满足目前404条款的要求; 53% 的企业想在一年内开展企业风险管理 (ERM);87%的企业想通过由404条款带来的职责分明和控制负责人的推动获取价值。
来自普华永道的另一份调查清晰地描述了“萨班斯”遵从的投入,如下表:
根据国际财务执行官(FEI)对321家企业的调查结果,每家需要遵守“萨班斯法案”的美国大型企业第一年实施404条款的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150万美元的额外审计费用(增幅达到35%)。全球著名的通用电气公司就表示,404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。
欧洲最大的金融机构之一,荷兰国际集团(ING)负责人也抱怨说,随着银行和保险业忙于采用一批新规则,这些行业会出现“监管疲劳”。欧洲各银行在承担了实施“萨班斯法案”以及转向国际会计准则所带来的成本后,现在又面临着引入巴塞尔2号协议而产生的成本。有关规章变化的速度使法律、财务和合规部门员工疲于应付。
该集团首席执行官陶曼特(Michel Tilmant)表示,“你需要让机构适应这些监管变化,”陶曼特先生表示,“你必须确保正确执行了规定,并有时间调整心态。”
股权持有者们认为新法案的代价是值得的,推行404条款会带来一个前所未有的好光景。因为“萨班斯法案”的本质是对企业管理全方位的要求,比如企业是不是设计了一套完善的内部控制框架,这个框架是不是在企业内有效运营,并能够防止企业在内部控制流程中的一些风险。从长远来看,会提升公司治理水平,或许更多人会认同404条款对于美国资本市场健康发展的作用。毕竟,一旦发生公司丑闻,投资者的损失将远远超过公司目前付出的成本。
中国在美上市企业的“生死时速”
中国公司风险管理和内部控制薄弱,整体准备状况较差,进展缓慢。有调查显示,40%在美国上市的海外公司在原定期限前难以达到404条款的要求,更何况一直在外部监管不健全环境下成长的中国企业!离最终通过考验的时刻正在迫近,如何在短时间内,抓住主要问题,完善公司内部控制,是国内众多在美上市企业迫切关注的问题。同时,那些没有在美国上市的企业也开始关注“萨班斯法案”,因为,如香港联交所和中国内地新颁布的《中华人民共和国公司法》和《中华人民共和国证券法》也都出台了类似的规定。
严格的公司治理与信息披露要求不仅影响到在美国上市的公司,国内公司目前也面临这种强制压力。无论是上海证券交易所,还是香港联交所,都已经先后公布了与“SOX法案”类似的相关法规,对上市公司建立内部稽核制度和信息披露要求进行了探讨,也对与财务报告相关的IT控制提出了要求。可见,与“SOX法案”遵从类似的项目,必将进入更多中国公司董事会和管理层的议事日程。
我国近期也出台一系列加强公司治理、严格公司信息披露,保护投资者的法律、法规以及指引:
2005年10月27日通过的新《证券法》、新《公司法》结合中国股权结构集中的特点,在公司治理问题上,特别增加控制股东的诚信义务,既包括对公司的诚信义务,也包括对中小股东的诚信义务。新《公司法》确认控制股东对公司和其他股东负有诚信义务,并明确控制股东的赔偿责任范围和责任追究机制。新《公司法》还细化董事、经理等高管人员的诚信义务,引进股东代表诉讼制度,允许具有公益心的股东在公司怠于或者拒绝对损害公司利益的高管人员追究责任时,以自己的名义、为了公司的利益而对于高管人员提讼。“揭开公司面纱”制度被正式引进新《公司法》。“揭开公司面纱”是在英美国家的司法实践中发展起来的判例规则。“面纱”就是公司的法人人格,即公司以其全部资产对其债务承担有限责任。揭开这层“面纱”就是为了实现公平正义的目的,在具体案例中漠视或忽视公司的法人人格,责令躲在背后的股东或公司的内部人员对公司债权人直接承担责任。
it述职报告范文第4篇
IT管理模型的重要性
在过去的十年中,尽管互联网和电子商务的重要性不断增长,但大型企业CIO的平均任期却下滑到仅2年多一点。一些偏激的人甚至说CIO已经成了“Career Is Over(事业终结)”的代名词,而新任命的CIO都有很大的压力在有限的时间内理顺多种矛盾、力争做出成绩的时候。
CIO面对的传统挑战包括:维护原有系统的费用和风险不断增长、吸收和推广复杂的新技术、提高IT用户的满意度、提高IT部门反应的灵敏度、保留和激励员工、防止员工过劳和降低费用。此外,目前CIO还被要求去加速新的电子商务战略的引入、在公司中担当变革促进者的角色,以推动新技术的应用并影响公司的未来战略方向。
对IT部门来说,日益增强的重视程度和期望值也带来了工作压力。随着当今业务模型对科技依赖程度的不断增强,运营的卓越性已成为关键。IT系统的开发和部署需要明确的运营模型才能有效的规避风险,提高稳固性。
电子商务计划涉及多种职能,跨越多个部门。因此越来越需要借助IT部门去协调这些复杂的团队协作力量,他们需要建立紧密的业务同盟、拥有共同的目标、明确不同业务伙伴和IT部门间的角色和职责。
由于需要有效整合客户、合作伙伴和供应商之间的业务关系,电子商务面临着更多的挑战。虽然传统IT系统通常是企业内部应用、并可借助命令保证新系统和流程的实施,但电子商务却包括了外部的组织机构,要使此类机构采用新系统,只能采用劝说而非强制的方式。因此,CIO必须在客户和供应商面前扮演销售人员和传道者的角色。
以往为了适应科技的变革和业务的压力,许多IT部门的机制是随意发展起来的。当企业将大量的资源投入到电子商务上时,IT部门需要开发一个更为正规的、能够清楚说明IT运营愿境的管理框架,明确IT的目标、运营方式、不同合作伙伴的角色和职责以及评测方式。
IT管理机制的组成部分
IT管理机制是一个框架,包括了多种原则和模式,分别描述了IT愿境、目标、投资来源、组织结构、全球化、标准、体系结构、项目生命周期、评测指标和外部采购。明确这些原则的目的是使IT部门更好地与业务部门协作。IT管理机制使IT部门的运营更加透明、能预测的期望、同时确保了IT服务具有更高的效率和稳固性。
一个简洁清晰的愿境是IT管理框架的原动力,它描述了IT部门将为企业做出的贡献。愿境应采用业务评测指标的形式来表达(如获利率,市场份额,竞争力等等)。CIO应当建议和促使CEO要求各业务部门就各自的职责制定电子商务战略,共同支持企业的愿境目标。
愿境可以通过一系列的目标来量化。某些典型目标包括:
——通过推广多渠道面对客户每年将增加20%的新客户
——在12个月内通过呼叫中心整合降低零售业务15%的成本
——3年内通过互联网接收40%的交易委托
这些目标应落实在各业务部门(而非IT).,业务部门负责人的目标完成情况将受到评估。这些目标将成为其业绩评估的一部分,而不是那些即使没有完成也不会受到制裁的“锦上添花”的目标。业务部门将制定计划来完成每个目标。每项计划都将包括多个项目。IT部门需要创建相应的机制,有效配合业务部门实施项目(参见与业务挂钩和项目投资来源)。这样,企业将能够切实开展一系列支持整个IT愿境的行动。
与业务挂钩和项目投资来源
为了高效地协作,IT部门和业务部门需要采用一致的组织模型和投资模型来推动相互的合作和明确各自的角色与职责。投资模型是非常重要的,因为资金来源是行动的动力。
许多组织机构将实施电子商务战略责任交给IT部门或某个单独的业务部门。由于这些业务部门无法改变其他部门(如销售、财务、人力资源等)的业务流程,因此在这种情形下电子商务系统的影响力和效益将大大受到限制。中央投资针对的电子商务计划所面临的挑战包括:
——难以在业务部门间区分计划优先次序(根据什么?)
——造成IT部门(由于预算有限,因此希望将费用降到最低)和其他业务部门(希望获得最大投资来实现部门效益)间的紧张态势。业务部门将中央投资视为“免费午餐”,因此尽量先夸大需求(因为他们知道要想获得他们最所要的将需要做出适当让步)。
——将IT部门视为“管理者”,而非服务提供者或合作伙伴
——无法让业务部门对电子商务实施的成功负有责任
某些联合(业务和IT部门)项目的投资模型使业务部门将部分预算预留于电子商务项目,从而规避了以上挑战。由于此类模型要求业务部门按需求量的大小来预留预算,因此可以有效减少在电子商务项目上的膨胀需求(和不切实际的需求)。
在思科的案例中,应用软件、项目管理、IT系统开发和支持费用均由用户部门来负担。我们将它名为”项目投资源于用户”(Client Funded Project)模型。IT部门负担基础设施的费用(如数据中心服务器、数据库等)。这种投资模型将实现ROI(投资利润率)的任务分配给了特定的业务部门,这些业务部门必须在电子商务系统投资和人力、其它计划等投资间进行权衡。
在联合投资模型中,区分预算和控制的概念是非常重要的。在许多组织机构中盛行一条黄金准则:“有黄金就有控制权。”一旦由业务部门来掌握预算它所面临的一个很大的诱惑就是绕过IT部门,通过外部的咨询专家或建立相同的职能部门(俗称“灰色IT”)来开发电子商务系统。这将增加机构的费用和风险。CIO需要CEO级别的支持来确保将电子商务预算(一旦获得)用于企业IT部门。这样,IT部门将能够利用企业的IT架构,并保证系统得到完善的整合和支持。
设计高效IT管理机制的关键是确保不增加管理层或成本。例如:思科尽量避免使用成本分摊或内部收费,因为这将需要系统进行相应跟踪,从而可能需要增加繁杂的工作。
当项目很大且整体性很强、对业务的增益只能在很长的开发周期完成后才会体现时,可能需要详细的步进式的控制。但是,如果项目被细分为多个可以快速实施的模块、并能在短期内带来效益时,就可以通过效益评测进行有效管理,而不必进行过多的监控项目活动。基于效益评测、减少详细任务控制的管理系统的实施和运营费用较低。
组织结构
确保IT部门和业务部门紧密协作的另一个有效方法就是借助组织结构模型。此类机制可用于实现紧密的工作伙伴关系:
——IT小组职能专门化:应将IT部门划分为与企业组织结构对应的多个应用小组(如建立销售IT、财务IT、人力资源IT等团队),这样可保证IT项目经理和分析师熟悉各自业务部门的语言、问题和实力。
——同处工作:应当将业务部门的IT小组与其用户安排在同一地点办公、并参加业务部门的会议等等。这样他们能够全面地溶入业务部门的运营中,同时有助于确保IT人员了解业务问题和需求,并有助于防止业务部门建立自己的灰色IT小组。
——联合评估:在对各业务部门的IT小组进行评估时,应当部分参考业务部门的意见。这将与面试、年度业绩评估和升职联系起来。因此,业务部门将参与IT员工(分配到该业务部门的)的选择和奖励(或惩罚)过程。这种方式也有助于保证IT部门以客户满意为己任。项目启动后,需要划分业务部门和IT部门的任务。
职责分明是通过将“怎样(how)”与“什么(what)”的分隔来实现的。业务部门将设定为电子商务系统的最终所有者,因此需要确定系统应实现“什么”功能,及采用“什么”顺序。IT要负责确保运营的高度整合性、可靠性和低费用,因此需要规定“怎样”采用技术(服务器、数据库、操作系统等等)实现业务部门的目标。
需要明确项目负责人和业务主导者的职责。项目负责人必须是高级领导者,他是确保电子商务项目成功的最终负责人,并确保项目的实施(即系统得以应用)业务主导者是业务部门中非常有能力的高级经理,对当前流程具有丰富的管理经验,并将定义新的流程模型和协助定义成功评测指标。IT项目经理与业务主导者紧密合作共同定义项目业务需求。
数据完整性和安全性
当业务流程电子化后,业务部门需要继续对业务流程负责是非常重要的。责任感的降低通常是从对数据完整性和安全性规则缺乏清晰了解开始的。
从数据输入系统开始业务部门就需要对数据质量全权负责,同时要确认应用软件进行了正确的计算。IT部门负责数据保护——即确保实施完善的备份措施。
谈到安全,需要区分权限和访问控制的关系。权限规定了谁被允许看和做什么。这需要深入了解业务流程,并设定必要的风险级别——因此这是业务部门的职责(应用软件的业务所有者应确定用户的优先权)。访问控制则是通过多种机制(加密,认证)实现的,以保证只有授权的用户才能够得到许可。IT部门负责采用相应的技术确保访问权限的控制。
IT管理机制实施
为支持快速增长、积极的并购策略和在电子商务实施方面获取领先地位的目标,思科的IT管理模型已发展到当前的状态。尽管思科的业务环境可能属于特定的行业(高科技),其管理模型仍可以广泛的应用于不同行业的企业或公共部门,因为优秀IT管理机制的目标是相同的。
在原有IT部门中启动IT管理框架应当执行以下步骤:
1)为IT管理机制变革的启动建立CEO级的支持(这包括重新定义IT/业务部门的职责、投资模型和活动的优先级)。
2)清晰地说明IT愿境目标和基本规则
3)通过投资模型、共享目标、构建与特定职能部门接轨的IT团队、员工同处和清晰地描述IT项目中IT和业务部门的角色和职责,实现IT和业务部门的接轨。争取采用实际的方式确保新的IT管理框架不会增加IT服务的费用。
4)建立明确和实质的对电子商务系统的业务负责制观念。确保运营部门(销售、人力资源、财务)成为电子商务项目的真正负责人,而非那些没有运营责任的IT部门或单独的电子商务小组。
5)将电子商务计划和现有业务计划周期相结合(评估、预算等),以便电子商务成为现有业务计划的一个完整部分。
6)定义标准评估和拟定过程。宣传企业范围标准的重要性(及对最终客户的好处)。对相关人员发布已定标准。定期评估和升级标准。
7)开发企业体系结构。当系统陈旧时,通过移植替换部件构建和扩展通用体系结构的组件。
8)对IT系统的项目生命周期进行标准化,建立评估里程碑以确保项目的稳定实施。建立体系结构评估,确保项目遵循既定标准。与业务部门定期评估项目,以确定进度。
9)定期评测和发布项目评测指标。与行业的同类企业进行比较,并与其他行业的最佳企业进行比较。
10)着重宣传IT管理机制在支持企业电子商务活动的影响力和成功之处。
结论
随着电子商务成为“日常业务”的一部分,为实现企业未来的成功,IT部门需要设定更高级别的职责。IT管理机制是组织原则的框架,它涉及愿境、组织结构以及IT部门在提供卓越运营支持时所应具备的技术能力。优秀的管理模型还会清楚地描述为确保共同成功,业务部门所应担负的职责。发展IT管理机制使IT部门能够提升自身能力,同时增加对其所服务的业务部门的透明度。缺乏强大IT管理模型的企业将难以跻身互联网经济的前列。 (来源:千龙网)
通知:《2010中国网络传销调查报告》正式发布
it述职报告范文第5篇
萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。
当前it系统越来越多地对业务经营活动进行自动化处理,这就需要it提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言,it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统,或综合运用各种经营管理、财务管理方面的软件,it系统将为有效的财务报告内部控制系统提供强有力的支持。
pcaob第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,it内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下,重视it内部控制,完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统, 并通过有效的it内控评价活动保证其持续健全有效, 以支持ceo 和cfo 的承诺进行初步探讨。
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例, pcaob于2004 年3月9日发布第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
对建立和维护与财务报告有关的内部控制负责。
设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,it系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对it内部控制的有效性予以评估。
为强调这一点,pcaob第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括it一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,pcaob第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。
pcaob第2号审计标准还专门讲述了it在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估it在该过程中的应用范围。………[部分]
因此所有企业构建it内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。
二、我国电信运营企业面临的挑战
由于电信企业的信息化水平比较高,业务对it的依赖程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开it,即使业务控制也是在it支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善it内部控制,包括it一般控制和it应用控制。但我们的现状不容乐观。
1. it专业人士,尤其是管理层,缺乏内部控制理论与实践来满足萨班斯法案的要求。
法案的要求使很多人认为,it专业人士应该对其负责的it系统所产生的信息质量及完整性负责,但问题在于,大多数it专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明it人员没有参与风险管理,但至少it管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 pcaob指出首席信息官(cio)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的sox遵循计划;(3)专门针对it控制拟定一个遵循执行计划;(4)把这个计划与总体的sox遵循计划相整合。
2 缺乏系统的内部控制制度
事实上,每个电信企业都或多或少会都有一些it内部控制制度,正是由于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些it控制制度可能不太规范,控制政策程序不太完善, it控制制度一般存在于系统安全和变更管理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,问题最多的领域。
3.现有的it内部控制不具有可审计性
it述职报告范文第6篇
潍坊市经济学校山东诸城262200
【摘要】高职院校技能大赛是检验职业教育改革与建设成果的一种形式,是促进校企合作的桥梁,技能竞赛充分发挥了高职生动手能力强的特点,调动了高职生学习的积极性,以兴趣带动学习,本文论述了技能比赛在高职院校人才培养中的重要性并以实例论证。
http://
关键词 技能比赛;高职;人才培养
On the importance of the skills competition in personnel training in vocational colleges
Cheng cui-yu,Jiao feng-liang
【Abstract】Vocational colleges Skills Competition is a form of inspection and vocational education reform and construction achievements, is a bridge to promote school-enterprise cooperation, Skills Competition and give full play to the characteristics of the vocational college students hands-on ability to mobilize the enthusiasm of college students´ learning,This article discusses the importance of the skills competition in vocational colleges personnel training and demonstration examples interest-driven learning.
【Key words】Skills competitions; Vocational; Personnel training
教育部【16号文】指出:高职学校就是要培养生产、建设、服务、管理第一线的高素质技能型专门人才,这是高职院校的立校之本。但是许多学校尚未建立起与之相适应的教学体系,专业的人才培养模式也没有进行相应的调整,从而教学评价体系、课程设置、教学形式与方法,考核形式等等也存在种种问题。这些情况赧然告诉我们:目前的高职教育仍然未能摆脱传统教育形式留下的后遗症——高职教育存在的两大弊端:一是重知识轻能力,而是重教轻学。
这两大弊端像两块顽固的巨石,阻碍着目前发展并不成熟的高职院校的发展,不利于调动学生的学习主动性和积极性,不利于培养学生的开拓创新精神,也不利于实现人才培养与社会中行业企业的对接。此外,多数一线教师日常工作繁忙,在完成教学任务的同时,不仅要应付形形色色的教学材料检查、评比,还要进行学生管理工作,加上个人理论水平与实践水平的限制,使教师满足于完成教学工作量,无暇顾及业务钻研,形成教学团队建设后劲不足的怪圈。只是进行常规教学检查与考核很难从根本上解决上述问题。而通过举办技能比赛,进行参与更高层次比赛的人才选拔,树立精品意识,可在一定程度上改善上述状况。
我们的教学应该做到“能力培养为本,技能训练优先”,融“教、学、做、研、赛”为一体,通过定期举办学生校内技能大赛,学科小组比赛等活动,掀起学生练技能、比技能的高潮,逐步形成“以赛促教、以赛促学、以赛促练、以赛促改”的教学特色。
下面以笔者所在的信息工程系举办的IT活动月为例,介绍一下举办此类技能比赛的情况。我系此项活动的宗旨是将课内教学和课外活动相结合,加强课外兴趣小组和第二课堂活动工作,利用竞赛培养学生学习兴趣,促进专业知识学习,将专业学习与兴趣学习相结合,提高学生的综合技能。
it述职报告范文第7篇
【关键词】 IT审计; 财务共享服务模式; 大数据; 云会计
【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937(2016)24-0128-04
一、引言
财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式,目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值,其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下,集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来,统一交给财务共享中心进行处理[1],实现了业务处理、数据存储的集中,同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”,包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险,依托大数据、云计算等信息新技术,通过对大数据进行采集、处理、分析以发现问题。
IT审计一直受到诸多学者的重视,曹立明[3]分析了IT审计本质、目标与方法,认为IT审计是会计信息化的内在要求,并对会计信息化IT审计的目标、内容和实施条件进行分析,最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例,在分析了广州地铁信息系统审计现状的基础上,构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手,对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险,并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。
综观上述文献,大多数文献都基于传统信息系统,并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代,财务共享服务模式成为大型集团企业的首要选择,其IT架构更多地运用到云计算技术,并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计,从数据的角度发现疑点,以减轻审计工作量,提高审计工作效率。有鉴于此,本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析,梳理其数据流程,在此基础上构建IT审计框架模型,并对其实施流程进行阐述。
二、大数据时代基于财务共享服务模式的IT审计框架
(一)财务共享服务模式下IT审计的特征分析
一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6],审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征,其IT审计范围如图1所示。同时,三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。
1.组织层面的IT审计
组织层面的IT审计主要检查财务共享IT架构的设计是否合理,以及是否得到有效实施,其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰,即降低财务核算成本,其IT战略规划应当以实现该目标为前提,并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查,并对其实施的有效性进行审计。
2.一般控制层面的IT审计
一般控制层面的IT审计是为了确保IT系统运行的可持续性,能够为应用控制提供支撑,审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中,借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储,其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。
3.应用控制层面的IT审计
应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性,以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享,为财务核算系统提供数据支撑,其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。
(二)IT审计程序流程框架
COBIT(Control Objectives for Information and related Technology)即信息系统和技术控制目标,是一种用于“IT审计”的知识体系,由美国信息系统审计与控制协会(ISACA)于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性,因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别,在构建IT审计流程框架时应当充分考虑到这一点。
财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准,在IT审计过程中起着指导作用,包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程,如图2所示。
(三)IT审计数据流程框架
在财务共享服务模式的IT审计中,审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率,审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心,并建立IT审计知识库,帮助审计人员进行高效的IT审计。在审计过程中,审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注,通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后,可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库,形成IT审计的数据闭环,如图3所示。
三、大数据时代基于财务共享服务模式的IT审计流程
大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统,在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。
(一)制定审计目标
审计人员在进行财务共享服务模式下的IT审计时,应当充分考虑该模式下的特点,结合财务共享的IT战略规划,明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本,为了实现该目标,其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求,也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中,审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中,审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施;社会审计中,审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。
(二)风险评估
财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术,因此财务共享服务模式下IT审计的审计风险与以往所有差别,例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解,可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告,即IT审计指南中的IT技术可信评估。除了IT技术风险外,审计人员还应当充分考虑财务共享服务模式下独特的审计环境,结合财务共享服务模式下的业务流程再造,对财务共享中心内部控制制度建设情况进行评估,得出可能的其他审计风险以及风险发生的可能性,通过建立二维风险矩阵的方式对风险进行定性和定量的评估。
(三)制定审计计划
根据风险评估的结果,在考虑企业IT管理框架、人力资源配置等因素的基础上,审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点,分别制定总体审计计划和具体审计计划,包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是,财务共享服务模式下运用了大数据技术,传统审计手段很难进行有效的IT审计,应当在审计计划中明确使用大数据审计等审计手段。
(四)设计审计程序
财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用,审计人员可以通过大数据爬虫获取互联网数据,从财务共享数据中心获取集团大数据,然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析,实施审计程序。同时,审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目,辅助确定IT审计中的主要风险点。
1.IT管理层控制
审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷,向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈,以评价集团企业在财务共享服务模式下IT管理层控制的有效性。
2.IT一般控制
审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式,也可以直接通过第三方IT咨询机构获取企业IT技术评估报告,以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内,不需要整改。
3.IT应用控制
审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据,例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点,或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外,穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。
(五)执行审计程序
按照设计好的审计程序进行下一步工作,审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试,根据实际需求实施实质性程序,通过大数据审计、穿行测试等审计手段得出审计证据,并将从中得出的主要控制风险告之相关人员,记录测试和交流沟通的结果。
(六)形成审计意见,出具管理层建议
按照得到的审计证据,结合最初制定的审计目标得出最后的审计结果,并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议,在与管理层进行沟通后取得其对管理建议的相关回复。
出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识,完成审计大数据闭环。
四、结语
财务共享服务模式的建设需要大数据、云计算等技术支撑,但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析,以期对财务共享服务模式下的IT审计提供理论指导,帮助集团企业降低或规避其财务共享服务模式下的IT风险。
【参考文献】
[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学,2015(5):160-163.
[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革,2014(2):102-106.
[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师,2012(12):108-113.
[4] 覃宪姬,陈瑜,佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计,2014(8):62-69.
[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计,2013(12):67-69.
[6] 李有华.企业IT审计方法研究及应用[J].中国内部审计,2013(10):63-65.
it述职报告范文第8篇
关键词:企业内部控制基本规范;内部控制;会计信息系统
2008年6月28日,财政部、证监会、审计署、银监会、保监会联合了我国首部《企业内部控制基本规范》(以下简称基本规范)。基本规范自2010年1月1日起首先在上市公司范围内实施,鼓励非上市的其他大中型企业执行。这意味着中国企业内部控制规范体系建设正在向国际标准靠拢。
这套适用于中国企业的内部控制体系,其基本规范借鉴了COSO(The Committee of Sponsoring Organization)报告五要素框架和风险管理八要素框架;具体范围以财务报告内部控制为主线,对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范,并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。本文从IT内部控制与IT风险管理的角度,阐述企业IT控制与会计信息系统内部控制之间的关系。
一、会计信息系统内部控制制度包含的五要素框架
美国COSO了关于内部控制的概念界定和评价内部控制系统的指导性框架的报告,这一报告被国际社会公认为可接受的内部控制的权威性报告,对我国会计信息系统的内部控制制度的建立具有重要的参考价值。COSO报告认为内部控制系统包括5个组成要素:控制环境、风险评估、控制活动、信息与沟通、监控。相应,会计信息系统内部控制框架也对应于企业内部控制的五要素框架。因此,对会计信息系统内部控制制度的探讨也应从这5个方面进行。
(一)内部环境
内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境在企业IT领域的体现是IT的内部控制环境,主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。在IT环境下,因为企业内部管理结构扁平化,使得内部控制的组织结构发生改变。这要求内部控制的方式与管理手段随之改变。IT经济引导着企业组织从机械式向有机式并最终向虚拟组织发展演变,要求企业的领导阶层学会在一个流动和动态的环境中发现内聚力和构造组织,既要有创新和发展,又能在不断磨合中加强内部控制和向心力。IT改变企业的架构、企业文化,并影响各成员控制意识,这要求管理层树立信息意识,更新控制观念。
(二)风险评估
风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节,也是COSO内部控制整体框架的独特之处。IT手段的不断应用,给企业带来竞争优势的同时也带来了风险,在IT环境下,虽然企业的整体目标没有改变,但是经济、产业及管理的外部环境与内部因素都发生了变化。伴随业务流程的改变,系统的开发性、信息的分散性、数据的共享性,使系统从以往封闭集中状态走向开放,给会计信息系统带来了风险。这些风险构成了内部控制的新内容,扩大了会计信息系统内部控制的范围,必须有效利用IT作为控制风险的工具。应树立信息意识,更新控制观念,改变思维定式,有效利用IT为企业服务。把IT作为防范风险的工具,与业务活动有效结合起来,建立一个控制良好的电子数据处理系统,保证企业业务处理活动严格按商业规则进行。
(三)控制措施
控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法与手段,是实施内部控制的具体方式,主要包括职责分工控制、授权控制、绩效评估控制、财产保护控制、会计系统控制、内部报告控制、信息技术控制等。IT的广泛应用,增强了控制手段的灵活性、高效性,加强了内部控制的预防、检查与纠正的功能,经济有效地实现内部控制的目标。IT环境下的会计信息系统控制的重点由对人的控制为主转变为对人、机共同控制为主,控制程序与计算机处理相协调适应。随着计算机使用范围的扩大,利用计算机进行贪污、舞弊、诈骗等犯罪活动有所增加。因此,也增加了IT环境下内部控制的难度与复杂性。
(四)信息与沟通
信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。IT衔接企业各职能部门实现了会计和业务的一体化处理,会计核算从事后的静态核算转变为事中的动态控制,信息需求者可以获取实时信息,使得工作在空间和时间上的接近不再是至关重要的问题。内部控制由顺序化向并行化发展,企业的设计、制造、销售、会计等人员并肩工作,共同控制企业的物流、资金流和信息流。
(五)监督检查
监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。在IT环境下,一些内部控制被计算机程序化并嵌入在计算机应用系统内,因此内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序,如果程序发生差错或计算机感染病毒,由于人们对计算机系统的依赖性、麻痹大意及程序运行的重复性,使得失效控制长期不被发现,甚至导致系统在特定方面发生错误或违规行为的可能性较大。所以,在IT环境下,注意对内部控制的监督,由适当的人员,在适当的时候,及时评估控制的设计和运作情况。
二、建立健全会计信息系统内部控制制度的建议
鉴于会计信息系统的特点,借助COSO框架,建立会计信息系统内部控制制度应考虑如下因素:
(一)完善企业内部控制环境
1、组织结构调整。信息技术的引入使管理幅度增大、层次减少,高耸型的组织结构逐渐趋于扁平。同时,网络使内、外部人员进行更多的沟通,内部控制由命令与控制向集中与协调转变。因此,必须进行组织结构调整才能更好地进行内部控制。企业应通过组织结构调整、建立恰当的组织机构和职责分工制度,并通过部门设置、人员分工、岗位职责的制定、权限的划分等形式进行控制,从而达到相互牵制、相互制约、防止或减少舞弊发生的目的。应设立会计岗位和系统管理岗位。会计岗位负责基本的核算及档案管理等工作;系统管理岗位负责会计信息系统的操作、管理、维护等工作。岗位的设置应遵循不相容职务分离的原则,使不同岗位之间相互监督,相互制约,以达到控制的目的。
2、培养管理人员的内部控制观念和信息观念。管理者的观念在很大程度上决定了企业的内部控制制度能否顺利实施,也大大影响着内部控制的效率和效果。在会计信息化条件下,应该注重培养管理人员的内控观念和信息观念,理解企业信息化建设、内部控制和企业发展的关系。随着企业流程重组和组织结构变革,管理人员必须更新观念,有效实施内部控制制度,注重管理实效,对企业进行现代化管理。
3、加强董事会的建设,发挥董事会的作用和职能。企业应当以董事会作为内部控制系统的核心,加强董事会建设,发挥董事会的作用和职能,完全履行其监控、引导和监督的责任,消除内部人控制现象,完善内部控制环境,保证内部控制的有效运行。
(二)正确地进行风险评估和风险分析
会计信息化后,由于会计信息系统自身的特点,增加了会计工作的风险。主要包括:第一,开发和设计中存在的风险。由于系统研发人员对会计工作的不了解或者考虑问题不全面,致使实际工作中的情况不能与系统相吻合,容易出现差错,从而导致的风险。第二,操作不规范和造成的风险。第三,计算机维护不当造成的风险。会计信息都储存在磁介质中,如果计算机维护不当,容易使会计信息丢失或被删改。第四,不可控制的风险。如突然断电、自然灾害、病毒攻击、黑客侵入等。这些都是会计信息化所带来的风险。管理者必须对这些风险进行正确的评估和分析,才能防患于未然,有效地进行内部控制。
1、系统操作控制。由于操作系统的用户较多,加上自身的缺陷,系统面临着来自各方面的潜在威胁。因此,必须对系统操作进行严格的控制。首先,要明确规定每个用户的安全级别和身份标识,并分别定义具体的访问对象。每个岗位的人员只能按照所授予的权限对系统进行操作,不能越权使用。其次,要对进出机房的人员进行登记,对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录,并对日志文件定期进行安全检查和评估。由于企业实行会计信息化后内部控制重点的转变,企业必须对会计数据的输入、输出和处理过程进行严格的控制。在会计核算软件中,对输入过程的控制,首先是授权控制,输入的数据必须经过授权,没有经过授权的输入应当是无效的。其次要保证输入数据的正确性,通过各种手段对输入过程进行控制。一般的软件在研发时就对相应数据的输入格式和类型进行了规定,但是为了保证数据的正确性,需要采用重复输入校验的手段进行控制,可以是同一人多次输入,也可以是不同的人各自输入进行校验。输出控制的目的是保证结果的完整性和正确性。输出的数据同样也应有授权,如对用户进行访问范围控制等,并对发送对象已经发送的数量有明确的规定和记录。对于数据在传输过程中的控制可以采用顺序编码的方式,并对数据发送和接收的时间进行记录,便于日后查询。
2、系统维护控制。系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作,包括硬件维护和软件维护。硬件维护主要包括定期进行检查并做好记录;在系统运行过程中出现硬件故障要及时进行故障分析并做好记录。而软件维护包括正确性维护、适应性维护和完善性维护。在软件修改、升级和硬件更换过程中,要保证实际会计数据的连续和安全,并由有关人员进行监督。
3、信息化会计档案管理的控制。会计档案管理的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等,而数据的备份则是数据恢复与重建的基础,是一种常见的数据控制手段,采用磁性介质保存会计档案要定期进行检查和定期复制,防止由于磁性介质损坏而使会计档案丢失。网络中利用两个服务器进行双机镜像映射备份是备份的先进形式。
(三)完善IT控制措施
针对风险评估的结果,在会计信息系统方面需要实施具体的IT控制措施,包括IT管理类控制措施,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等,以及IT技术类控制措施,如数据加密、访问控制、数字签名、隧道(VPN)、防病毒、入侵检测、身份管理、权限管理等。下面将以网络会计信息系统中较为先进的数据加密技术和数字签名技术为例进行介绍。
数据加密技术是保护信息通过公共网络传输和防止电子窃听的首选方法。现代加密技术分为对称加密(专用密钥,private key)和非对称加密(公开密钥,public key)两大类。对称加密法是最传统的方式,其特点是关联双方共享一把专用密钥进行加密和解密运算,专用密钥法面临的最大难题是密钥网上分发的安全性问题。非对称加密法1976年问世,它将密钥一分为二,即一把公钥和一把私钥,具有加密钥不同于解密钥、并且在计算上不能由加密钥推出解密钥的特点,有效解决了密钥分发的管理问题,特别适合计算机网络的应用环境。譬如总公司对下属企业公开其“密钥对”中的公钥,下属企业可以用公钥对上报的报表信息加密,安全地传送给总公司,然后由总公司用其保留的私钥进行解密。
数字签名是指在Internet环境下,电子符号代替了会计数据,磁介质代替了纸介质,财务数据流动过程中的签字盖章等传统手段将完全改变,为验证对方身份、保证数据真实性和完整性,在计算机通信中采用数字签名这一安全控制手段。基于数字签名还可建立不可否认机制,也就是说,只要用户或应用程序已执行某一动作,就不能否认其行动。数字签名是上述公开密钥密码技术的另一类应用。它的主要方式如:会计信息的披露方从信息文本中通过一种信息摘要算法产生一固定长度(如128位)的摘要值,用自己的私钥对摘要值加密,来形成披露方的数字签名,连同原文一起发出;关联方首先用同样的摘要算法对报文计算摘要值,接着再用披露方一同发来的公钥对数字签名解密,如果两个摘要值相同,证明信息在发送途中未被篡改,而且报文确定来自所称的披露方。财务系统中远程处理时可用数字签名技术代替签字盖章的传统确认手段,当然这得是在国家有相应的财务制度许可的条件下。
(四)建立信息与沟通机制
企业建立健全了规章制度和业务流程之后,如何贯彻落实?这就需要企业有相应的信息和沟通机制,它是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证,包括信息渠道和反馈机制。如:企业领导层的政策方针要通过信息渠道下达给企业员工,这是一个是自上而下逐步灌输的过程。还要有一个自下而上的反馈机制,企业员工发现风险,发现问题,要通过汇报机制逐层汇报给上级部门,这样就能避免很多问题的发生。作为内部控制的重要组成部分的会计信息系统内部控制也是如此,会计信息系统的主要目的是记录、处理、存储、归纳和交流信息,任何交易必须能够追踪其从发生到终止的过程,所有交易必须在系统中留下审计线索,为内部控制提供保证。
(五)建立健全监督检查机制
整个内部控制的过程必须施以恰当的监督检查,通过监督检查活动在必要时对其加以修正。这里所指的监督检查主要包括4个方面:职业道德的约束,公司应成立由董事长、财务总监、首席法律顾问等组成的“职业道德遵行委员会,负责调查违反行为准则的人员;通过外部审计,检查和确认财务报告的合法性、公允性和一贯性;通过内部审计,对内部各部门的财务、管理、效益进行审计;加强集团对分部的监控和分部的内部控制状况。
其中,内部审计是监督检查最常用的途径。企业应该设立内部审计部门,并定期或不定期地对企业的会计信息系统进行审计。内部审计应包括:对会计资料定期进行审计,会计信息化系统账务处理是否正确;审查机内数据与书面资料的一致性;监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞等。
三、结束语
《企业内部控制基本规范》的颁布实施将对我国企业的内部控制发展产生重大影响,实施会计信息化的单位应该结合信息化内部会计控制的目标和特点,提出更高的控制要求,扩大有效的控制范围,采取更好的控制方式,重新构建一套较为完善的内部会计控制体系,从而规范单位的会计行为,提高会计信息的可靠性、有用性,保证其对单位内部管理与外部信息服务的作用,以增强企业的竞争能力和生存能力,从而进一步发挥会计信息化的优势。
参考文献:
1、企业内部控制课题研究组.企业内部控制基本规范解读及应用指南[M].中国商业出版社,2009.