前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇it经理述职报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
it经理述职报告范文第1篇
一、公司最终用户(系统数据录入人员)
1、数据录入,必须遵守以下原则:
1)凭单录入:严格根据相关部门提供的单据录入数据,并保证单物数量一致,绝不允许出现有单无料或者有料无单的情况;若有违反,承担全部责任;
2)正确性:严格根据管理规定和操作手册等录入数据;
3)及时性:要求所有单据必须实时录入,做到出库先输单再发货,入库先收货再录单。
2、工作的独立性
任何人员不得干涉最终用户的数据录入。最终用户的直接上级或更高级上级对最终用户的操作进行干涉的,最终用户必须立即向干涉人的直接上级报告;如果干涉人的直接上级同意上述干涉行为的,则最终用户对此类违规录入行为免责,由干涉人和干涉人的直接上级各承担50%的责任;如果未经干涉人的直接上级同意而违规录入的,最终用户和干涉人各承担50%的责任;上述违规录入由it管理部记录并作为考核处分项;
3、信息反馈
erp系统各岗位人员都同时是上层数据的使用者又是下层数据的提供者。对上层数据,如发现错误必须向直接主管和it管理部报告,并暂停录入;it管理部将报告记录并作为考核奖励项。
二、最终用户的直接主管
1、保证最终用户操作的独立性;
2、监督、检查最终用户按操作规程进行录入操作;
3、特殊情况下以最终用户身份进行录入操作,其职责和最终用户相同。
三、公司的部门主管
1、保证最终用户操作的独立性;
2、监督、检查整体生产计划的安排、执行与调整情况;
3、保证录入人员的合理配置;
4、特殊情况下以最终用户身份进行录入操作,其职责和最终用户相同。
四、公司经理班子
1、保证最终用户操作的独立性;
2、保证生产计划的制定与执行、数据录入等各环节人员安排的合理性;
3、对各层级录入数据的真实性、及时性和完整性负责。
五、it管理部
1、系统的技术保障(硬件系统管理、技术培训、技术问题处理、提供技术方案等);
2、根据相关管理规定执行系统监控,提供系统检查报告和考核依据;
3、根据系统正常运行情况,制定具体的考核制度,并另行公布。
六、人力资源中心
根据it管理部提供的考核依据和系统检查报告,按考核制度执行对it管理部和各公司的考核。
特别声明:
本人已仔细阅读本erp系统运行责任书的全部内容,充分知晓本人在erp系统运行中的职责,并已接受移交人或者it部门的相关培训,完全有能力按相关操作规程和本责任书要求进行数据录入、维护和管理。
it经理述职报告范文第2篇
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括系统对契约的监督以及对外部投资者的保护能力等。例如,在逆向选择的框架下,我们可以看到:一个更好的标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了代理风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实时披露、实现透明度原则和体现监控力度上正日益成为有效的工具。2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求,法案的409条款要求上市公司必须向投资者实时披露必要的信息,包括图片、表格等信息,302、404条款要求公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任。因此,IT治理,加强IT控制,降低风险,有效地实现公司治理,成为全球关注的问题。
公司治理是建立组织各利益相关者之间的相互制衡机制,管理风险,有效实现组织目标的一系列过程及制度。内部控制制度是实现善治的制度安排之一。IT治理是实现公司治理的工具。IT治理不等于治理IT技术,它是一个信息背景下的制度安排,包括内部控制、审计以及公司信息的披露等。IT内控是内控的一个组成部分,信息时代,企业管理信息化水平日益提高,信息资产成为企业的核心价值资产,IT在给企业带来竞争力的同时,也带来了极大的风险。因此利用IT技术加强内部控制,并对信息系统自身加强管理控制,成为公司治理及IT治理必不可少的组成部分。IT内控是强化风险管理,完善信息时代公司治理的必要手段。IT治理、内部控制、审计、风险管理体系等都是促进公司治理的有效工具。
SOX法案的出台,对企业的公司治理、IT治理及IT内控提出了更严格的要求。
一、SOX法案的要求:
1.对公司治理的要求:
(1)要求上市公司必须建立审计委员会,并对审计委员会的人员组成做出了规定,保证审计委员会的独立性,同时赋予审计委员会更多的责任:《萨班斯-奥克斯莱法》,及其紧接着全美证券交易商协会和纽约证券交易所于2003年11月又发布的新的公司治理最终规则详细地界定了审计委员会的职责, 具体来说应包括:1)每年获取并审查独立董事提交的报告。2)与管理当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报表,包括公司在“管理当局对财务状况和经营结果的讨论和”项目中进行公告的财务事项。3)讨论公司收入公告及向分析师和评估机构的财务信息、收益指南。4)讨论风险评价、风险管理政策。5)分别与管理当局、内部审计师(或其他负责内部审计机构的人员)和独立审计师定期会面。6)与独立审计师讨论所有的审计难题以及管理当局的反应。7)制定清晰的2024聘用现任或前任独立审计师的政策。8)定期向董事会报告
(2)增加高管人员及董事会的责任:CEOs and CFOs必须保证财务报告真实,要求发行人的CEO和CFO保证定期报告没有对重大事件的不真实表述,也没有遗漏必须披露的重大事件,并保证财务报告在所有重大方面都公允反映了发行人的财务状况和经营成果。在此基础上,法案单独规定了对管理人员证明财务报告时失职的刑事处罚。CEO和CFO如果知道定期报告不符合上述要求但仍然做出保证的,将判处不超过100万美元的罚款,或是不超过10年的监禁,或是二者同罚;如果是蓄意做出书面保证的,将判处不超过500万的罚款,或是不超过20年的监禁,或是二者同罚。
2.萨班斯法案对内控的要求:
(1)法案302要求:公司管理层设计所需的内部控制,并保证首席官员能知道该公司及其合并报表子公司的所有重大信息,尤其是报告期内的重大信息;评价公司的内部控制在签署报告前90天内的有效性;在该定期报告中发布他们上述评价的结论。
(2)法案404节要求:编制的年度报告中包括内部控制报告,包括:强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价
3.萨班斯对审计师的要求:增加了审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价IT 控制与一般控制的设计及效果。评价 IT 控制设计效果,确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。
二、对上市电信运营商的挑战
萨班斯法案对高管严格的法律处罚令其中许多公司的最高管理层都如坐针毡、夜不能寐。美国有多达5000家大中型公众公司在2004年11月15日后结束的财政年度中紧张异常,这而对于公司治理尚不完善的电信企业领导来说,更是意味着要承担重大国际法律责任的风险。公司治理决定企业的兴衰,企业的兴衰决定国家的兴衰,因此公司治理建设不能出现任何重大失误。
我国电信企业在公司治理制度在股份制改造过程逐步,中国网通借美国上市契机建立了新型的公司治理结构,董事长与CEO分离,在董事会下设4个委员会:审计委员会、战略规划委员会、公司治理委员会和薪酬委员会。2005年3月7日,在京召开的中国电信集团实业工作会议明确:经过3年左右的时间,逐步规范法人治理结构。由于我们的企业处于转型的特定时期,公司治理水平与日、美等发达国家有一定的差距。信息产业部电信研究院公布的《中国电信业国际竞争力发展报告(2004年)》显示,我国电信业国际竞争力在全世界主要国家和地区中(共33个国家和地区)排名第14位,然而细细看来,却发现了很多隐忧。报告将国际竞争力解析为3大竞争力:环境竞争力、市场竞争力和企业竞争力,其中企业竞争力排名27,企业竞争力指数包括“技术创新”、“生产率”和“公司治理结构”,排名分别为18、28和21.不难看出,目前我国电信企业的公司治理水平。要成为电信强国,环境竞争力、市场竞争力和企业竞争力三者缺一不可,因此,我国目前距离电信强国还有较大差距。从分析要素来看,法律和制度框架、政府效率,以及企业技术创新、公司治理结构等 “软件”能力偏弱,单条腿走路。我国几大运营商中虽然已经有中国移动和中国电信进入了财富500强,虽然几大运营商均已上市实现了公司化治理,但由于脱胎于老的国有企业,因此公司管理能力和治理结构仍有待提高。因此,提高企业竞争力,就应该从改善公司治理结构做起。
三、运用信息化手段,完善公司治理
1.完善公司治理机制。我国电信运营商需要健全公司内部治理的规则和程序、建立公司的合法守规管理、完善约束与激励机制、加强公司的内部控制体系以及建立公司的风险管理与控制机制。虽然在现有的公司治理结构中,有些公司也有审计委员会、独立董事等监督机制,但这些人员的任职资格、发挥作用的程度、以及职责定位等都需要进一步改进。
2、利用信息技术,完善公司治理的监控体系。公司治理是一种对公司管理和运营进行监督和控制的体系。其核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托-代理关系。由于委托人(所有者)和代理人(经营者)是不同的利益主体,委托人(所有者)与代理人(经营者)相比处于信息劣势的情况下,必然有代理成本或激励问题的产生。为完善公司治理,必须重视委托与代理之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使代理成本最小化,提高企业的经营绩效。萨班斯法案强化公司治理要求的目的也是提高上市公司透明度,提高公布信息的质量,加强信息披露,从而保护投资者的利益。
在市场中,信息交换是否充分,是否对称,直接关系到市场经济是否公平、是否有效。为了保证信息公平、公开,人们设立了一系列内外部机制。独立董事担任的审计委员会,公司聘请的会计师事务所都层层对公司财务信息的真实性、准确性、及时性进行审核、这些约束与激励机制的有效性取决于公司信息真实与准确性和处理与传递效率的问题。在这点上,IT技术正成为日益有效的工具。
萨班斯302、404、以及409等条款对公司的要求,使得IT在公司治理机制中的作用日益凸现。由于信息技术不以人们的意志为转移地在各类组织中的普遍,IT在各类组织中的多层次、横纵向嵌入,正在改变着组织的业务流程,进而改变组织的结构、组织的管理及公司治理;特别是电信对IT的依赖性非常大,没有相应IT治理机制的公司治理,使无法满足萨班斯的严格要求的。由于IT治理已成为完善公司治理的重要手段,成为实现 IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证,花旗银行等美国大企业已经引进或正在引进IT治理机制。
国资委连续举办的旨在推动企业建立全面风险管理系统,进一步完善公司治理机制的企业全面风险管理培训上,也提到在公司董事会层面建立IT治理委员会,建立IT治理机制,完善信息的公司治理,促进现有公司治理制度安排的有效执行。但由于信息技术在治理方面所具有的复杂性,完善IT治理机制,构建符合萨班斯要求、适应时代的公司治理机制任重道远。
构建IT内控系统的思路
(1)不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统和其处理流程作一些改进,改进的内容包括其控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。
(2)要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架, 需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的COSO 和加拿大的COCO , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。SEC对该标准的认同等于从另外一个侧面承认COSO框架。COSO 认为内控是由企业董事会、经理层和其他员工实施的, 为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统, 我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。
但是很明显,SEC所2024的COSO控制框架有助于遵循萨班斯法案,虽然它针对的是内部控制,但没有对IT控制目标和相关控制活动提出具体的要求与限制。由于COSO框架缺少对IT内部控制的内容,所以单独以COSO为构建IT内部控制的框架显然是不合适的。COBIT为管理IT风险与IT控制提供了一个综合性的框架,是另外一个被国际认可的业内标准,由4大部分、34个IT处理流程、318个详细控制目标组成。COBIT也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下,我们只考虑应用COBIT中与财务报告相关的控制。
因此Cobit与COSO结合作为构建IT内部控制框架,将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以BS15000以及ISO17799等一些国际标准,这些标准都是IT运营、安全方面可审计的一套标准管理控制体系。
(3)要建立一套自评估机制,确保内部控制系统的持续有效
从来看, 企业的发展阶段和管理状况,以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效,管理层对内部控制有效性的声明,要求公司必须建立一套自我评价机制,评价内部控制系统设计、执行是否有效,以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域,以及控制漏洞,及时审势度势,弥补内控系统的缺陷,确保内部控制系统持续有效。这也是萨班斯法案所要求的。
控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的。国际内部审计师协会(IIA)在1996年的报告中了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
图1 自评估流程(略)
如图1所示,自评人员首先选择要评审的内控流程, 然后对其设计的健全性进行评价, 如果健全, 则测试其运行的有效性, 最后综合设计测试和运行测试, 评价内控系统的健全性和有效性。如果设计测试结果为不健全, 则直接进行内控系统的评价, 而不再进行运行的有效性测试。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指, 为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了帮助评估控制设计,图2(略)提供了一个IT控制设计与运行有效性模型,它将依赖于企业所达到的状态、阶段,我们认为有必要花时间来改进控制程序的设计和有效性。
图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言,一些企业可能愿意接受等级不高于3的IT内部控制。然而,考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求,对一些关键性的控制活动,控制的可靠性则不能低于3等级。
控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当,就需要对其和以后的运行是否有效予以测试,而该测试由控制负责人及内部控制程序管理团队来进行。
一般而言,有些控制(如一般控制)程序是其他控制程序(如应用控制)的基础,企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时,组织应该考虑IT控制是如何财务信息披露与报告过程的。
一些企业利用外部服务机构所提供的外包服务,这也应该视为企业整个经营职责的一部分,在整个IT内部控制程序中应予以考虑。
it经理述职报告范文第3篇
【关键词】 企业内部控制;信息系统;关键点
一、企业内部控制的起因和发展
企业内部控制的思想产生于 18 世纪产业革命以后,它是企业大规模化和资本大众化的结果。到 20 世纪初,随着股份公司规模日益扩大 ,所有权与经营权进一步分离,实践中逐步出现了一些组织、 调节、 制约和监督生产经营活动的方法。为了纠错查弊,有些企业建立了简单的内部控制制度。
信息化环境下企业的内部控制框架模型总体上应遵循COSO和COBIT主流信息技术内部控制框架,同时应根据企业实际情况和特点,进行修改、完善、补充或局部加强。美国IT治理协会(ITGovernance Institute)在1996年颁布的COBIT,是国际上最具权威的和最通用的2024IT控制和治理框架。COSO强调内部控制是一个程序,突出了保证财务报告可靠性这一目标,而COBIT将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。因此,通过有效地应用COBIT的框架可帮助企业达到COSO的监控要求。COBIT的主要框架主要有三个纬度:IT信息准则、IT资源和IT流程。其中: IT信息准则包括:质量、信用、安全;IT资源包括:人员、应用系统、设施、技术、数据;IT流程包括:领域、流程、活动。COBIT给出了在不同的IT生命周期的流程中(包括信息系统计划、开发、运行维护全生命周期),对不同IT资源关键的控制点和需要达到的信息准则目标。信息系统下的企业内部控制包括三个目标:经营活动的效益性、财务报告的可靠性和法律法规的遵循性;五个要素:控制环境、风险评价、控制活动、信息与沟通及监控等;同一网络:内部控制要求全面覆盖到企业所有责任单位、责任人及企业内外业务活动中。(如图1)
二、信息系统环境下企业的内部控制框架
(一)控制环境
控制环境是对企业内部控制系统的建立和实施有重大影响的各种因素的总称。它是企业内部组织的一种氛围并确定了一个组织的基调,影响着整个组织内管理层和员工的控制意识,是内部控制结构中其他要素的基础。影响控制环境的因素有经营管理的观念、方式和风格;组织结构;董事会;授权和分配责任的方法;管理控制方法;内部审计;人事政策和实务;外部影响八个方面。在信息化条件下信息传递的方式发生着本质的改变,同时信息传递的速度大大加快,这对内部控制的制定和实施的影响产生细微而本质的变化。
(二)风险评价
风险评价主要侧重于新的信息系统对经济业务活动流程的影响、对生产过程控制新手段新方法的使用和对信息数据的管理等。信息系统的风险评估包括以下三个步骤:
1.分析信息系统特征,确定系统目标:企业整体目标,包括建立在公司层面的战略目标、经营目标、报告目标和合规目标。其中经营目标包括绩效和获利目标及资产保全目标;报告目标包括财务报告目标,防止报送不真实的财务报告;合规性目标包括企业经营活动应遵循国家相关的法律法规及企业内部制定的规章制度,确保企业2024规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性等。
2.识别和分析风险:企业信息系统面临的风险既有内部因素也有外部因素。内部风险有舞弊风险、财务风险、差错风险、决策风险、员工关系、信息系统安全风险。只有在全面了解各种风险的基础上,才能够预测风险可能造成的危害,从而选择处理风险的有效手段。识别和分析风险的过程是一种长期而反复的过程,在这个过程中可针对风险类型应用不同的方法,如:识别财务风险主要有生产流程分析法、财务表格分析法等。
3.环境变化后的风险回应:系统外部经济、产业以及管理等控制环境随时都会发生变化,系统内部软件、硬件、人员等要素也会发生变化,当这些变化发生时,会计信息系统的活动应随之进行改变。因此,风险评估中最关键的步骤就是确认内部和外部变化的情况,并及时采取必要的行动。
(三)控制活动
控制活动是企业为了保证指令得到实施而制定并执行的控制政策和程序,是针对实现组织目标所涉及的风险而采取的必要防范或减少损失的措施。信息系统应用控制是被用于对具体应用系统的控制,一个应用系统一般由多个相关计算机程序组成,有些应用系统可能是复杂的综合系统,牵涉到多个计算机程序和组织单元。与此相应,应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算的准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。对信息系统应用控制的测评内容包括各项业务的授权控制、完整性控制、准确性控制。
(四)信息与沟通
相关的信息是一种人们行使各自职能的形式,并能在一定的时限内被识别、掌握和沟通。智能网络衔接着企业的各职能部门, 信息过程和业务过程实现了同步,在业务流转各个环节所需的同类信息只需在业务过程中一次输入,无需像传统手工信息传递系统下进行多次传递,实现了会计和业务的一体化处理,减少了差错率。反映业务活动各个方面的信息存储于同一公共平台,开放的信息系统为内部员工、管理者以及顾客、供应商等外部团体提供了开放的沟通渠道,有利于内部沟通与外部沟通的进行,使得组织内的员工清楚了解内部控制制度的规定、各自的责任,管理者随时掌握内部控制制度的执行与生效情况,并可以从外部信息中获悉2024本企业内部控制功能的重要信息从而实现会计和业务的一体化处理,使会计核算从事后的静态核算转变为事中的动态核算,信息需求者可以获取实时信息,使得工作在空间和时间上的接近不再是至关重要的问题。这样,内部控制可以由顺序化向并行化发展。
(五)内部监控
在信息技术环境下,内部控制是基于一种人机结合的控制模式,许多控制程序、控制指标、控制方法被设置在计算机信息系统内部。这些程序化内部控制的有效性取决于应用程序,如果程序发生差错或不起作用,由于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性,使得失效长期不被发现,从而使系统在特定方面发生错误或违规行为的可能性较大。因此监控的一项重要内容就是要及时了解原来设置在信息系统内的控制程序、控制参数是否过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改设置在信息系统的控制参数或程序。主管部门或审计人员对某些数据产生怀疑时,可以利用监控人员备份的原始记录进行分析调查、辨明真伪。系统分析 、程序设计 、计算机操作 、数据输入 、文件程序管理等职务应予以分离 ,系统操作人员、管理人员和维护人员这三种不相容职务相互分离 ,互不兼任。信息系统各岗位要明确职责分工,并对各类人员制定岗位责任制度,各岗位都要得到一定的授权,并用密码控制,对操作密码要严格管理,指定专人定期更换操作员的密码。企业通常通过持续的监督活动、专门的评价活动或两者相结合实现对控制的监督。持续的监督活动:持续的监督活动通常贯穿于企业的日常经营活动与常规管理工作中。在企业中表现为管理层和职员共同进行定期或不定期对会计信息系统的内部控制进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。专门的评价活动:企业可以通过内部审计对内部控制的设计和执行进行专门的评价,也可以利用与外部各方沟通或交流获取信息监督相关的控制活动。评估者应具有足够相关经验和能力,并且理解系统应该如何运作及实际如何运作,并根据风险评估和持续监督程序确定独立评估的范围和频率。其中内部审计是评价活动中非常重要的手段。
从以上分析可以看出,信息技术的应用使得内部控制框架的内部构成发生了新的变化,为提高企业内部控制效率、增强内部控制效果,带来了新的机会的同时,也产生了系统安全性等潜在的风险。信息系统下的内部控制制度与传统的内部控制制度相比较,是范围扩大、控制程序灵活多样的综合性控制;是控制的重点为职能部门和计算数据处理部门并重的全面控制;是人工控制和计算机自动控制相结合的多方位控制。
三、信息环境下某电信企业内部控制的控制分析
(一)管理层对与财务报告2024的内部控制的评估
首席执行官/财务总监代表管理层对与财务报告2024的内部控制进行年度验证,并披露评价报告,包括:有责任建立并维护一套完整的2024财务报告的内部控制体系和程序评价;财务报告内部控制制度有效性使用的评价框架;评估与生成财务报告相关内部控制体系和程序的有效性;外部审计师进行验证,包括:对管理层内部控制评价过程的有效性发表独立审计意见以及对公司内控制度的有效性发表独立审计意见。流程如图2。
(二)电信公司信息系统规划
对信息系统的控制活动可分为两类,第一类是一般控制(General Control),简称ITGC,它帮助管理阶层确保系统能持续、适当的运转;第二类是应用控制 (Application Control),简称ITAC,它包括应用软件中的电算化步骤及相关的人工程序。(一般控制包括:对资料中心运作的控制;对系统软件的控制;存取安全的控制;对应用系统的发展及维护的控制。应用控制包括:输入控制;输出控制。)如图3。
1.信息系统总体控制(ITGC)
(1)信息系统总体控制(ITGC)的设计建立相应的管理规定及制度包括以下方面:企业信息系统安全管理规程、企业信息系统变更管理细则、企业信息系统开发管理细则、企业信息系统数据备份管理细则、企业信息系统管理规范订立及修改细则、信息系统管理职责分工标准;(2)制订系统策略明细规定;(3)建立信息系统总体控制的风险评估文档;(4)不断测评并持续改进。
2.信息系统应用控制(ITAC)
(1)ITAC控制指企业内部控制业务流程中涉及信息系统处理的控制。主要有两种控制类型:ITGC(系统自动处理的控制),ITMC(根据系统生成的报告人工处理或需人工参与的系统处理控制);(2)ITAC控制设计基本工作步骤:建立业务流程和IT应用系统的对应关系根据流程的风险点找到关键的ITAC控制点记录,描述ITAC控制,编写ITAC控制文档针对所描述的ITAC应用控制进行穿行测试将ITAC控制更新到已有的业务流程文档总结ITAC控制的不足并进行整改持续测试直至所有控制符合要求。根据流程风险找到ITAC控制点。所有报告准确且没有重大遗漏;所有在信息披露工作中应被考虑的事项都与公司的管理层进行充分及时的沟通;所有交易都按照会计准则及SEC规定被记录、总结并报告;存在实物资产与会计记录的核对比较。表1列出了ITAC的控制关键点。
3.IT应用控制分类
IT应用控制分类可以分成以下11类:(1) 编辑校验、 有效性校验: 例如,输入供应商名称、代码等信息时,自动会检查相关信息以确保无效采购合同不能被生成;(2)逻辑关系校验:包括范围、限制、字符类型测试、合理性测试(例如:信用卡数字有预先定义好的规定字符类型及长度要求);(3)可配置的参数控制:例如:当采购价格变动大于1%时,发票不可以被支付;(4)关键控制报告:在流程中使用的或依赖的,包括由系统生成的用于数据比较、核对目的的那些报告;(5)系统审批:例如,系统设置了一个采购订单大于10万美金时的审批流程,并可记录相关审批程序;(6)不相容职责相分离;(7)业务授权:符合最小权限授予规则;(8)异常报告;(9)数据传输或接口控制:例如,接收系统将收到信息的字节数或者记录数与发送系统发出的相关信息进行比较检验,以确保信息大小在传输过程中没有被更改; 当传输数据的工作异常终止时,相关责任人会被及时通报,或者该工作会被记录到工作日志中并且该日志会得到定期审阅的;(10)系统会计凭证;(11)自动计算。
【参考文献】
[1] COBIT 3rd Edition,the COBIT Steering Committee and the IT Governance Institute July 2000[M].
[2] 王众托.企业信息化与管理变革[M].北京:中国人民大学出版社,2001.
[3] 苏楠.基于信息论的网络集成课程教学研究[J].硅谷,2008(4).
[4] 姚友胜.基于网络的企业内部控制[M].北京:中国财政经济出版社,2006.
[5] GAP Enterprises,Ltd.,NEW COSO Framework,2003.
[6] 王桢.网络环境下国有企业内部控制框架研究[D].合肥工业大学,2007.
[7] 朱荣恩,应唯,等.企业内部控制制度设计――理论与实践[M].上海:上海财经大学出版社,2005.
it经理述职报告范文第4篇
2006年6月5日,上海证券交易所(下文简称上证所)率先了《上海证券交易所上市公司内部控制指引》(下文简称《指引》),对上市公司建立健全和有效实施内部控制制度提供了原则性指导,明确了公司董事会对公司内控制度所负的责任,并要求上市公司从2006年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。
IT是内控的一部分
IT内控是公司内部控制的一部分,是审计的对象。《指引》第十条款规定了“公司使用计算机信息系统的,还应制定信息管理的内控制度”,并且列出信息管理的内控制度至少应涵盖的内容:
(一)信息处理部门与使用部门权责的划分。
分析:无论公司的信息处理部门组织结构如何,都必须与使用部门进行明确的权责划分,并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解,避免推诿和责任不清造成的管理漏洞和效率低下。
(二)信息处理部门的功能及职责划分。
分析:由于信息系统的特性,信息处理部门本身的功能和职责划分是复杂的。因为功能和职责的复杂性增加了IT服务和运营的风险,所以必须建立相应机制加以管理。信息处理部门管理者首先必须明确本部门在整个公司中起到的作用和承担的角色,明确提供的服务和相应的责任,并且成文定义。
(三)系统开发及程序修改的控制。
分析:系统开发和程序修改主要包括两部分:新应用软件的开发和实施、现有应用软件的变更和维护。新应用软件获得和实施失败风险很高。为了降低这种风险,企业应该建立成体系的软件开发质量控制方法,比如标准软件开发工具和IT构件的选用。
(四)程序及资料的存取、数据处理的控制。
分析:程序和数据存取访问控制需要技术和管理两方面的共同保障。首先,信息和系统安全技术是防止非法访问的有效方法,比如各类密码保护、防火墙、数据加密存储、密钥技术等。其次,需要从管理和流程上保证程序和数据的访问安全,最重要的就是建立完善的系统用户管理制度。
(五)档案、设备、信息的安全控制。
分析:由于信息技术的广泛使用,信息安全一直是得到信息处理部门和信息使用部门极大关注的一个问题。信息资产安全的漏洞可能造成机密信息外泄、病毒入侵等问题,严重的信息安全问题可能危及整个公司的运营,造成财务和声誉上的重大损失。
(六)在网站上进行公开信息披露活动的控制。
分析:在网站上进行公开信息披露活动,需要信息处理部门与公司执行层和内部控制体系其他部门的紧密联系。为了保证信息披露的正确性和及时性,公司应该制定一套流程进行信息披露活动的管理,包括网站上的信息披露。
IT是内控的重要辅助
计算机应用系统不仅是整个企业业务的重要支撑,也是对公司运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制,直接关系运营活动的实施。这类IT控制包括应用控制,即针对特定业务流程,以软件应用方案为依托进行控制活动。如对财务报表的编制和汇报进行控制,就需要对财务模块进行有效的控制。
以IT为基础和手段的控制方法,效率要明显高于传统手工或基于纸张的控制方式;利用IT固化内控流程可以简化企业的内控过程,降低内控成本,优化内控项目的成本效益比,并帮助企业达到内控效力持续性的要求。IT的规范化操作程序以及信息系统的信息备份功能,能够降低内控审计的难度。
IT管理者应该清晰地认识到IT在公司建立内部控制中的优势和承担的责任。由于信息技术的复杂性,IT部门有责任帮助和配合公司其他部门建立合适的“应用控制”。这不仅能帮助公司达到内部控制的要求,也有利于提升IT在公司中的价值。
IT内部控制不可孤立
IT内部控制应该满足第六条款所描述的“目标设定,内部环境,风险确认,风险评估,风险管理策略选择,控制活动,信息沟通,检查监督”这八个要素的要求。IT内部控制并不是孤立的,而是公司以业务目标为主导的整体内部控制项目的一部分。
简单来说,企业必须首先确定公司的主要经营活动以及与这些经营活动相关的业务流程和活动,划分内部控制的工作范围。其次,企业在工作范围内定义具体的控制对象。再次,针对控制对象,进行风险分析、评估,决定每项风险的管理策略,制定企业具体的控制程序、控制目标以及审计标准。然后,对现行的运作,实施变革以达到预定目标。最后,评价控制措施的实施后果,加以巩固或改进。
IT的内部控制必须遵循公司的内部控制机制策略,确保IT控制符合公司内部控制的基调。此外,IT控制还担当支持企业高层管理活动的责任,在企业内设定业务目标,确立企业政策,在组织资源配置及管理决策时,IT负责辅助企业制定政策方针并在组织内部传达交流。
通过上述三方面的分析,我们可以发现,IT控制可以归纳为三个层次:公司控制、应用控制和基础控制。公司层面的控制决定了IT内部控制的基调;应用层面的控制与业务流程相结合,体现在应用系统中,比如ERP和MRP;基础层面的控制则体现在IT服务过程中。
在现实中,由于IT运行环境和IT应用水平迥异,不同的公司在建立IT内部控制过程中的控制重点各不相同,复杂的局面可能会使许多企业一时无所适从。《指引》作为上证所的一份规范性文件,虽然给出了内部控制的框架,但是仍无法像管理手册或者行动指南那样说明IT如何才能达到《指引》所要求的水平。
面对已经到来的内控要求,上市公司急需一套普遍适用的IT内部控制方法论来弥补《指引》的这一缺憾:必须满足《指引》的要求,可以协助IT建立合适的内部控制机制;以IT控制为主要任务,考虑全面并被广泛认可;提供可操作的行动指南和评价体系,指导企业在进行IT控制的同时,方便审计机构制订评估标准,并利于双方就审计细节达成一致。
链接:为什么不能照搬美国萨班斯法案
首先,萨班斯法案2024内部控制的规定的操作成本太高,对规模较小的中国企业来说操作难度太大。大型美国公司仅在第一年建立内部控制系统的平均成本就高达430万美元,这对规模偏小的中国上市企业来说是不现实的……
it经理述职报告范文第5篇
“薪”情一:职类比拼――销售研发“薪”情不错
根据德翰创业标准岗位等级状况,从上至下分位六个等级区间,分别是高层管理、部门正职经理(通常成为部长)、部门副职经理、高级行政/专业人员、行政/专业人员和员工。下面我们就几个关键层级选取不同职类进行对比分析。
五大总监分成两个集团,第一集团是销售总监和技术总监,销售总监的年收入高达18.3万元;第二集团是其他三大总监,最低的是财务总监年收入为15.1万元。总体来说,总监中,最高和最低相差21%。再看看部长们的薪情如何?
各职类部长中,产品/研发部长和客户服务部长“薪”情最佳,显然有点鹤立鸡群的感觉,其中产品/研发部长以15.17万元摘冠,客户服务部长以14.83万元紧随其后,足见企业将产品和服务摆在何等重要的位置。而最低的市场部长只能以7.41万元望洋兴叹。部长间最高与最低的薪酬差距为105%,职类间薪酬差距相当明显。
还有一点值得注意的是,各职类总监与部长之差距显而易见的不同。以研发和销售为例,产品/研发部长比技术总监低14.7%,而销售部长比销售总监则低45.5%,这总薪酬差距也反映出企业对不同层级岗位价值差异的理念。接下来看看行政/专业人员的薪酬状况如何。
在各职类中,状元被客户服务工程师以8.28万元摘得,榜眼和探花分别是研发类的软件工程师和人力资源类的人事专员。而办公室行政员则只能以4.65万元排在所有职类的末席。在行政/专业人员这个岗位层级上,已经依然延续着大差距的现象,最高与最低之间的相差77.9%。与部长级不同的是,双高的现象已经没有,薪酬变化趋势更加平稳。
“薪”路历程各有各味
纵观三个层级的比较还可以看出各职类薪酬发展的几个特点。
销售类属于典型的低开高走型。在上图列出的四个职类中,专业人员层级中销售类的薪酬最低,但至高层却收于最高。从高级销售代表至销售总监增幅达192%。
研发类属于典型的高开高走型。不但在专业人员层级中最高,在部门正职这个层级上更是傲视群雄,直到高层也高居榜眼之位。
人力资源类属于高开低走型。本来专业人员层级还明显处于较为有利的第二位,但是到部门正职层级时,不但被研发类远远抛开,还被销售类接近。至高层则只能倒退至第三。
财务类则属于低开低走型。几乎在每个层级都收于末尾,且走势相当平稳。
“薪”情二:行业比拼――硬件行业总经理“薪”花怒放
尽管经历了IT业的冬天,但是各IT公司并没有蛰伏,而是继续上演着没有硝烟的人才争夺战,以备在春天来临之际大展身手,宣告泡沫挤尽之后的IT业依然前途光明,充满活力。为了揭示北京各IT企业在人才争夺中所实施的最新薪酬发展动态,德翰创业公司与今年7月成功完成了《2003年度北京IT行业薪酬福利调查报告》,其中涉及软件、硬件、网络、系统集成、通信等IT小行业,所有样本中,软件、系统集成、网络和硬件企业样本量分别为47%、14%、14%和11%。(见图五)德翰创业薪酬分析师在对该四个IT小行业的薪酬福利进行分析比较的时候,发现存在一些明显的行业特征,再次,主要对这四个行业的总经理薪酬福利状况做一个大致比较。
硬件行业总经理“薪”情高涨
不言而喻,总经理是公司的灵魂和舵手,总经理的决策能力与执行能力与企业的盛衰成败具有天然的最重大关系,对于IT行业而言,优秀的总经理成为稀缺资源,有实力的企业可以通过具有竞争力的薪酬水平、合理的薪酬结构以及人性化的福利吸引优秀的领导者。分析表明,硬件行业对优秀的总经理表现出了极大的热情,在受调查的软件、硬件、系统集成和网络四个行业中,以22.35万元的年度整体薪酬在中位值排名中高居榜首。以下分别是软件行业16.71万元、系统集成行业13.12万元、网络行业9.61万元。(见图六)
从数据可以看出,软件行业、系统集成行业与网络行业的总经理年度整体薪酬中位值几乎呈等差排列,差值约为3.5万元,而硬件行业与软件行业的差值达5.64万元,与最低的网络行业比较,几乎是其2倍多,足见硬件行业对总经理一职的诱惑程度。
由于网络行业在IT泡沫中所受创伤较重,因此在总经理薪酬比拼中落得下风,然而随着IT业春天脚步声的靠近,网络行业也在酝酿再生。在对四个行业高管层薪酬增幅调查中,网络行业最为乐观,数据也证明了他们的态度,网络行业预计今年高管层薪酬增幅的中位值为11.5%,远远高于其他三个行业,这说明网络行业不甘心在最核心人才的争夺和激励中的劣势,正调整步伐,奋起直追。
硬件行业总经理“薪”态平稳
通常薪酬结构能够反映出职业特征和企业战略需要。某职位的年度总现金收入是年度保底现金和年度可变工资的总和。从某职位的年度保底现金与年度可变工资的关系可以看出该职位的薪酬波动性。一般来说,年度保底现金所占比例越大,则其薪酬波动性越小,也就是说,目标总薪酬的获得把握越大。调查表明,当前中国更多的职业经理人更加看重既得利益。有这样一个案例,某企业以10万元年薪吸引了一个职业经理人做分公司的总经理,然而在薪酬结构上的反映是每月基本工资2000元,只有完成年度经营目标才可以获得全额年薪。于是,该经理基于风险较大的原因而去职。从这个案例可以看出,从个体的角度出发,高级经理人仍然希望个人具有更多的安全感。毕竟,像XX那样只领取1美元工资的总经理还是凤毛麟角。
事物的两面性是,较小的薪酬波动性也必然导致超额可变薪酬难以获取。也就是说,可变薪酬比重越低,那么每单位超额业绩所获得的边际薪酬回报就越小。
从《2003年北京市IT企业薪酬福利调查报告》中可以看出,在硬件、系统集成、软件三个行业中,硬件行业的总经理年度保底现金收入比例是最高的,达到了92.86%。系统集成紧随其后,为92.58%,软件行业居末席,为90.18%。(见图七)由此可以看出,硬件行业总经理是“薪”态最平稳的,虽然难以享受超额可变奖金,但坐拥既得利益也是自得其乐。看来,硬件行业意图从全方位增加对高级经理人才的吸引。
相反,软件行业显得更有进取心一些,他们鼓励超额的价值创造。当然,在超额完成目标的情况下,总经理的回报会更加丰厚一些。
硬件行业总经理“薪”中无“福”
通常来说,福利是企业提供给员工的非现金收入,也是企业内部可以跨越岗位等级实现统一发放的一种薪酬形式。从受调查公司数据可以看出,绝大多数企业提供的福利都是类似的,三险折现金额都相近。有较大区别的是住房补贴。四个行业总经理的福利在整体薪酬中所占比例都相当小,网络最高,为4.97%,软件和系统集成其次,分别为4.39%和3.81%,硬件行业比例最低,为2.15%。(见表1及图八)这样的比例要比中低层员工更低,这说明,随着职位的升高,福利所能起到的保留人才的作用在减弱,在许多企业中到最后也就是象征性的保留。这里面,硬件行业尤为突出,比例所占比例明显比其他三个行业低。这也说明,硬件行业有意在现金收入上增加对总经理的吸引力,而不是在较隐性的福利上下功夫,几乎可以说是“薪”中无“福”。
总之,在受调查的四个行业中,硬件行业总经理现在的“薪”情是最好的,但是也应该看到,其他几个行业正在加快步伐,增强对核心高级人才的吸引力。尤其是在薪酬结构的合理设计以及福利多样性、人性化的设置上,企业还需要继续发展,以达到高“薪”而去,满意而归。
“薪”情三:规模比拼――大公司让你“薪”飞扬
在进行薪酬调查时,公司规模是一个重要的匹配参数,企业自身在使用薪酬调查报告,或进行相关数据分析时,公司规模的匹配都是必经之路。不同规模的公司在某种程度上会体现出相当的差异性,下面我们就选取三个方面对不同规模的公司数据进行对比,可以看到明显的规律性和差异性。
下文中多处用到规模在100人以下、300人以上的公司进行对比,为了方便起见,分别称这三类公司为A类、B类公司。
以软件工程师、高级软件工程师和研发经理三个岗位为例,A类公司的软件工程师、高级软件工程师和研发经理的年度整体薪酬分别为6.89万元、9.58万元、11.18万元,而B类公司同等职位分别为9.52万元、12.94万元、14.37万元,B类公司比A类的薪酬分别高出38.2%、35.0%、28.5%。对于IT技术人员来说,选择去较大的公司,可以获得更优厚的待遇。当然进入大公司,尤其是优秀的大公司难度自然不小。所以说大公司是“薪”高气傲。
以上特征仅针对研发类人员,不同职类的薪酬特征表现不一定相同。
毕业生“薪”之所属
以从事计算机及相关工作的本科生和硕士生为例,不同规模公司之间差距非常显著。主要特征有二:
(1)起薪随公司规模增大而提高,且差距较显著
对于本科生的基本月薪而言,C类公司起薪中位值为4400元/月,比A类的2500元/月高出76%。这使得较大规模的公司在吸引应届毕业生方面具有绝对的优势。
上述统计结果与目前市场的人才供给状况是相关的。由于本科毕业生的供给非常充足,而且由于教育质量的不同而参差不齐,所以本科毕业生这个群体呈现出较大的差异化:优秀本科毕业生仍然是企业(尤其是有规模的大中型企业)追逐的对象,所以工资仍处于较高水平;而更多的本科毕业生徘徊于就业与否的门口,所以,许多希望控制成本的中小型公司就可以以较低的薪酬招聘来本科毕业生。
(2)学历越高,薪酬差距越小
不同规模的公司给予本科生的起薪差距非常显著,对研究生而言,尽管差距依旧不小,然而距离在缩短,B类公司给硕士毕业生提供5600元/月的起薪时,A公司也能提供4500元/月,B类比A类仅高出24%,这相对于本科毕业生的差距来说,无疑是小得多的。
这同样与市场供求状况相关联。由于研究生相对本科生数量要少得多,而研究生又是高科技企业招聘数量较大的群体,故而对于这种相对稀缺的资源,企业之间展开了争夺,所以,相对本科毕业生而言,公司规模对研究生起薪的影响迅速缩小。
(3)公司规模越大,不同学历的薪酬差距越小
可以看出,A类公司研究生起薪比本科生高80%,而对于规模B类公司而言,这种差距分别缩小倒67%和27%。
这说明规模较小的公司更加看重学历,而大公司更看中其他因素。从另一方面来看,由于大公司更注重团队精神以及个人能力,所以有意的缩小本科生与研究生的起薪差距,希望两者能用绩效证明转正后应享受的待遇水平。