内部审计职责及权限

2024-07-26

内部审计职责及权限（精选6篇）

篇1：内部审计职责及权限

第十五条、内部审计的职责是促成公司的有效经营管理并帮助董事会和审计委员会履行其所负有的责任。

审计部应每年向董事会和总裁分别提交年度内部审计业务工作报告和行政工作报告。

第十六条、具体而言，内部审计应履行如下职责：

（一）对公司内部监控机制的可靠性、有效性和完整性进行审查和评估；

（二）对公司组织结构、系统和程序是否恰当进行审查和评估，以确保成果与既定目标一致；

（三）对以确保遵守各项规章制度和既定内部政策为目标的各项制度进行审查和评估；

（四）对企业的人力、财政和物质资源的利用是否切实有效、厉行节约并有所保障进行审查和评估；

（五）对资产的安全和完整进行审查和评估；

（六）了解和评价公司出现重大风险的可能性，并帮助公司改进风险管理工作；

（七）必要时，对属于内部审计任务规定范围内的涉及被指控的任何措施行为和渎职的案件进行调查；

（八）进行特别调查，查明薄弱环节和故障所在；

（九）确保内部审计、调查和检查报告的完整性、及时性、客观性和准确性；

（十）向审计委员会提供帮助服务。

第十七条、内部审计为履行职责而开展的活动，应该包括保证活动和咨询活动。

第十八条、保证活动是为了对公司的风险管理、内部控制和治理过程进行独立评价而客观地审查证据的行为。保证活动包括但不限于：

（一）经营审计和管理审计；

（二）绩效审计；

（三）财务审计；

（四）合规性审计（包括履约审计）；

（五）内部控制审核；

（六）舞弊审计；

（七）经济责任审计（包括离任审计）；

（八）重大事项审计；

（九）各类审计调研及调查；

（十）其他审计事项。

第十九条、咨询活动是指提供建议以及相关的服务活动，这种服务的性质与范围通过与客户协商确定，目的是增加价值并提高企业的运作效率。咨询活动包括但不限于：顾问服务、建议、协调、流程设计与优化、培训等。

审计部应该考虑将要提供的咨询服务的类别，并为每种咨询业务制定专门的政策或程序：

1、正式的咨询服务。属于计划内的工作，且有书面协议规定；

2、非正式的咨询服务。日常性的活动，如参加常务委员会、周期有

限的项目、专门会议、日常的信息交流等；

3、特别咨询服务。参加兼并或收购小组或系统转化小组；

4、紧急咨询服务。参加为维护营运而建立的小组，或为满足特别要求提供临时帮助而建立的小组。

第二十条、内部审计履行职责所必须的经费和预算，经审计委员会审定后报董事长批准，由公司财务予以保证。

第二十一条、审计部对董事长和审计委员会负责，在履行职责时，享有业务上的独立性。内部审计必须接受董事长及审计委员会提出的要求，但内部审计有权启动、采取和通报内部审计认为系履行其职责所必需的任何行动。

第二十二条、为有效地履行内部审计职责，董事会授予内部审计如下权限：

（一）审计部可以根据董事会批准的年度审计计划，在职责范围内，自主确定审计项目和审计对象；

（二）；审计部可根据需要委派审计人员对有关单位或特定的事项实施内部审计。

实施审计过程中，除特别限定外，受委派的审计人员具有与委派其工作的审计部同等的审计权限；

（三）在履行职责时，内部审计可以不受限制地任意、直接、立即查阅属于公司的所有文件与记录，包括但不限于：

1、规章制度、会议记要、工作计划和总结等内部文件资料；

2、凭证、账册、报表、对账记录、实物等会计资料；

3、签订的各类合同、招投标活动纪录、材料物资核价单、供应单位及人员信息档案等资料；

4、工程计划、施工图纸、预算、结算、决算等文件资料；

5、行政管理、人力资源管理、档案管理等文件资料；

6、其他与审计工作相关的资料。

（四）进行内部审计时，被审计单位应当按照审计部规定的期限和要求，向审计部报送、提供与审计内容相关的原始文件资料或其复印件。如有必要，报经批准，审计部可以暂时封存会计账册、凭证、档案等原始文件和资料；

（五）根据需要，审计部参加公司有关的会议，会签有关文件。公司其他部门、各下属公司召开财务、经营、管理等工作会议，重要合同、协议的洽谈与签订，应当邀请审计部参加。

审计部是大额采购、发包工程等事项的招标、评标工作小组的成员单位之一；

（六）公司有关部门和下属公司编制的经营、财务等计划和执行结果报告，应当抄送公司审计部；

（七）审计部进行审计工作时，有权实地察看、盘点或监督盘点实物；有权进行工作流程测试；

（八）审计部履行职责时，有权就审计事项向有关单位和个人进行书面或口头调查、询问，公司下属单位和个人应当如实向审计部反映情况，提供有关证明材料。口头询问应作笔录，并由审计人员和被询问人员签署；

（九）审计人员应根据预定的审计目标，在预定的审计范围内实施内

部审计。如有必要并经批准，可调整审计目标，扩大审计范围，或进行追溯、延伸审计；

（十）内部审计可以直接受理工作人员个人就可能存在的欺诈、浪费、滥用职权、不遵守行政、人事和其他制度或与内部审计的任务规定相关的其他不规范活动提出的投诉或提供的信息；

（十一）董事会保证所有工作人员均有权与内部审计进行秘密接触和向其提供信息，而无打击报复之虞。但明知信息不属实或故意无视其真实性或错误性而向内部审计提供的，将不影响公司有关内部举报政策中的有关措施；

（十二）内部审计在履行职责过程中，对被审计单位的下列行为，有权作出制止的决定，提出改进经营管理的建议，并报告公司董事会和管理层：

1、阻挠、妨碍审计工作的行为；

2、转移、隐匿、篡改、毁弃会计凭证、账簿、报以及其他与经济活动和审计事项有关的资料；

3、截留、挪用公司资金，转移、隐匿、侵占公司财产行为；

4、其他违反公司内部规章、侵害公司经济利益的行为。

（十三）审计部向董事会或公司管理层提交的审计报告和其他汇报材料，可以不抄送、抄发相关单位和个人；

（十四）对阻挠、妨碍内部审计工作以及提供虚假信息和拒绝提供资料的单位、部门或人员，经审计委员会同意并经董事长批准，审计部可以采取必要的措施，并提出追究有关人员责任的建议；

（十五）审计部认为按照法律法规和公司规定，应当对有关责任人给予处分、处罚或追究刑事责任的，可以向董事会或公司管理层提出处理建议；

（十六）对遵守和维护财经法规、经济效益显著的部门和个人提出表彰和奖励的建议。

篇2：内部审计职责及权限

2、主题审计项目进行

3、举报调查负责

篇3：企业内部上网权限分组方案

据IDC调查结果显示:

如图1所示, 员工30%~40%的互联网使用花费在新闻、娱乐、购物、无意义的闲聊 (QQ、MSN) 等于工作无关的活动上滥用互联网对企业产生的负面影响。

深信服最大亮点就是将管理控制手段做得更加细致化, 人性化;针对不同客户群体进行功能设计, 使客户可以选择个性化的功能方案, 进一步满足客户的差异化需求;针对这些亮点作者所在公司互联网出口带宽有限的情况下, 为了更好的满足公司广大员工对互联网访问的需求, 同时, 也为了防止因管理不力造成网络阻塞, 影响公司工作正常运转, 决定对互联网访问权限进行规范管理。作者所在的信息部经过反复斟酌、并报上级领导批准对公司内部员工进行了全面的网络权限调整。决定采用深信服行为控制解决方案并对现有的访问控制组进行重新分组。

2 具体分组方案

目前公司采用的是电信50MB光钎、移动100MB光钎、联通50MB光钎接入, 通过深信服下一代防火墙接入公司内网, 旁路链接深信服AC1800设备。

2.1 按权限进行分组

公司互联网访问权限除信息中心和高管外划分为三类, 即不限时间上网权限、有限制时间上网权限、无上网权限三种。不限制时间上网权限对互联网的访问不受时间限制, 有限制时间上网权限每天对互联网的访问时长不超过2小时, 无上网权限禁止对互联网的访问。其中QQ用户组和外来人员属于无限制上网权限类型。

(1) 信息中心组:上网无限时, 但对P2P软件下载进行限制。

(2) 高管组:上网无限时, 但对P2P软件下载进行限制。

(3) QQ无限时组:上网无限时, 可以上QQ, 但是聊天内容信息中心进行监制。同时不可以进行P2P软件下载。

(4) 无限时用户组:上网无限时, 但不可以上QQ, 不可以进行P2P软件下载。

(5) 默认组:只可以上公司内网 (如企业内部网站, rtx.oa.edp.drp系统) , 不能上其他外网。

2.2 按员工的工作性质进行分组

除高管层和信息中心之外, 其余员工将通过与互联网的密切程度进行分级:

(1) 一级员工:与互联网有密切关系的员工, 将开通无限时QQ、P2P流媒体、B2B支付、下载、金融操作权限。如:招商部的招商代表, 推广部的推广内勤, 营销管理部信息商务管理人员, 及各部门领导。

(2) 二级员工:与互联网有部分关系的员工, 将根据具体情况开通两小时或四小时用户。如:各行管, 研究人员, 一般将分于两小时或四小时外网时间开通QQ、B2B支付、单线程下载权限。

(3) 三级员工:与互联网毫无关系的员工和掌握公司重要数据信息的员工, 只可以上公司日常办公内网, 不能上其他外网。如:生产科室员工、财务部门, 研发系统部分实验室电脑。

如员工有特殊工作要求要开通流媒体观看, 飞信等聊天软件, 则需在OA上申请, 待部门领导同意方可开通。

2.3 按出口路由进行分组

(1) 公司业务系统、各大银行、国家官方网上办公系统全部分配为电信路由。

(2) 日常网站、WEB80端口访问、下载分配为联通路由。

(3) 影音、多媒体、下载则分配移动路由。

2.4 按照内部用户线路流量进行分组

为了保证公司网络系统正常运行对部分用户组进行流量控制。

2.4.1 2小时用户、外来人员用户、QQ无限时间用户:

(1) 流量控制为限制带宽。

(2) 限制上行带宽不超过总带宽的:10%即640 KB/s。

(3) 限制下行带宽不超过总带宽的:10%即640 KB/s。

(4) 限制单用户最高带宽:上行256 KB/s下行512KB/s。

(5) 说明:该用户组基本与工作无密切关系、QQ用户也是传递与对方业务客户的文档文件, 但同时QQ属于主动式聊天工具, 极容易感染病毒。因此权限设置相对严格、流量也相应的降低、保证其安全性同时又不影响正常使用。

2.4.2 无限时间、无线用户

(1) 流量控制为限制带宽。

(2) 限制上行带宽不超过总带宽的:10%640 KB/s。

(3) 限制下行带宽不超过总带宽的:20%1280 KB/s。

(4) 限制单用户最高带宽:上行256KB/s下行1024KB/s。

(5) 说明:该组用户基本上为公司中层领导以及与互联网有密切关系的员工, 此类用户用于上网查询资料范围广泛、对速度有一定的要求所以因此相应的权限有所放宽、并使其带宽达到正常的高速宽带水平。

2.4.3 视频会议用户

(1) 流量控制为带宽保证。

(2) 带宽分配策略类型:带宽保证。

(3) 带宽保证策略:动态保证。

(4) 优先级:优先级1。

(5) 保证上行带宽不低于总带宽的:70%4480 KB/s。

(6) 保证下行带宽不低于总带宽的:50%3200 KB/s。

(7) 在线用户分配策略:平均分配。

(8) 说明:视频系统终端对网络带宽和开放的端口要求很高、因此采取无任何限制保证终端设备正常使用。同时分配策略采取平均分配, 充分保证视频会议的正常运行。

3 实施效果

实施上述方案后, 基本上能为作者所在企业的办公电脑提供了一个正常健康的办公环境, 主要表现在以下方面:

(1) 网络满足全厂不同人员在企业局域网络内办公的需求, 接入因特网的速度也比较满意;

(2) 基本杜绝了大规模的病毒爆发;

(3) PC专注业务性和管控性加强。

随着Internet接入的普及和带宽的增加, 一方面员工上网的条件得到改善, 另一方面也给企业的网络带来了更高的危险性、复杂性和混乱性, 再加上内部员工的不当操作使信息维护人员疲于奔命。作者所在公司将借助深信服AC上网行为管理设备, 通过合理的设置分组访问权限, 杜绝了员工对不良网站和危险资源的访问, 并控制用BT、电驴等乱下载对企业网络带来的安全隐患。

摘要：本文详细讲述了深信服行为管理设备在一家上市制药公司, 通过网络行为访问控制分组所起到的重要作用。实施内部网络行为管理系统。有效的形成内部人员上网规范、降低木马入侵对计算机系统的破坏概率, 很大程度上提高了员工的工作效率。

篇4：内部审计职责及权限

关键词：ERP；ERP系统；权限；风险；IT；内部控制

中图分类号：F275 文献标识码：A 文章编号：1006-8937（2015）17-0140-02

1 ERP系统权限管理与内部控制概述

1.1 ERP权限管理概述

ERP是企业资源计划（Enterprise Resources Planning）的简称，主要宗旨是将企业的所有资源通过信息化系统进行科学合理的组织、管理和控制，以求收益、效果最佳化。ERP系统是以软件为载体，为企业采购、生产、库存、销售、财务等业务人员提供的一个统一经营管理工作平台。

企业要把ERP系统用好，必须依照企业内部各部门岗位职责的划分，在ERP系统通过合理的授权，才能在ERP系统完成各部门的业务操作。对每个岗位业务操作的合理、有效授权，即权限管理。

1.2 内部控制概述

内部控制是企业防控内部运营和操作风险的程序、制度、措施和方法的总称，是对企业内部职能部门和业务单位实施管理和控制的系统方法。IT一般性控制就是对所有利用计算机和通信技术进行企业业务集成、转化和提升的信息化管理平台进行风险控制。

一般基于企业业务层面的内部控制是把企业的关键业务按归口管理要求，划分成流程，通过流程内风险控制点的形式加以管控。比如内控货币资金管理、固定资产管理、一般采购管理等流程中，都会考虑IT应用控制的要求。

2 通过ERP系统权限管理实现IT内部控制措施和

手段分析

随着ERP系统被越来越多的企业所认同，企业业务运作更加依赖于ERP系统，导致企业出现了新的业务风险。如何对这些风险进行有效防范，需要在ERP系统授权配置管理上深度融合企业内部风险控制的要求，既要有识别风险的意识，又要有防范风险的措施和手段加以保障。

2.1 配置控制

配置控制指对系统功能启用的控制，主要有两层含义：①保证启用系统自动控制功能，自动实现对业务风险及操作规范性的控制；②按照标准模版要求，统一配置系统。例如：对于物资采购流程，在ERP系统中创建采购申请的权限由物资部门计划人员拥有；根据采购审批制度，在ERP系统中合理配置采购申请的审批流程，要求在系统中至少进行一级审批。

2.2 业务操作控制

业务操作控制是指为了保证用户在系统中能够按照规范的业务流程进行系统操作而设置的相关控制。业务操作控制包含业务流程控制、数据输入控制、数据质量控制等。该环节要防范未经授权非法处理业务、系统处理不正确导致业务无法正常运行风险。例如：销售模块客户主数据维护流程，客户主数据的维护必须经过审批。

2.3 权限控制

权限控制是指为了保证用户职责的有效履行，对其在系统进行操作或数据访问的控制。权限控制包括角色分配管理、关键系统操作授权管理、ERP组织级别管理等。例如：应收帐款管理、信用管理流程，权限控制要求客户信用主数据的维护必须经过审批；在ERP系统中维护客户信用主数据的权限由经授权的财务部门信用主数据维护管理员拥有；基于不相容原则，该人员不能同时负责销售订单创建/维护。

2.4 不相容岗位分离控制

不相容岗位分离控制特指通过系统操作权限分配中的不相容权限控制达到不相容岗位分离的作用。不相容岗位分离是指那些由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和弊端行为的职务、岗位或系统操作权限，不相容岗位分离即对这类行为予以控制。例如：对于物资采购流程，在ERP系统中进行发票校验的权限由财务部门发票校验人员拥有，基于不相容原则，该人员不能同时负责操作收货过账；进行付款的账务处理的权限由财务部门付款账务处理人员拥有，基于不相容原则，该人员不能同时负责付款申请。

3 ERP系统的权限风险分析

3.1 来自系统层面的风险

由于系统管理员、应用管理员等系统维护人员能直接接触数据库软件、熟悉信息系统技术，他们的有意作案或无意的误操作所造成的影响很难估量，所以这些关键技术人员需持证上岗，签订保密协议和授权书，同时必须有严格的管理制度，严格约束。

此外，为防止非法用户和黑客侵入信息系统，可通过设置防火墙、采用身份识别系统等技术防护措施。

3.2 ERP权限设计缺陷带来的风险

主要表现在权限设计不当，存在与用户工作岗位不相称的系统权限，有违背不相容岗位原则的系统用户和角色。这样在出现误操作时，给系统带来的危害是很大的。

3.3 授权不当带来的风险

①超职责范围的授权导致用户权限过大。这种情况一般存在于岗位变迁，权限只增不减，不再负责的业务权限未删除；②人员离职，用户、密码未及时变更；③擅自把用户给非岗位人员使用。

这些权限的不当使用，都会给ERP带来信息泄露，违规操作等业务风险。

3.4 不相容岗位职责不分带来的风险

一个员工拥有多个系统帐号、一人拥有跨模块流程的权限、一人操作多岗位业务，这些都可以造成不相容岗位权限交叉、信息泄密等风险。

4 利用IT内部控制管理规避ERP权限风险的措施

和方法

企业信息化带来的IT风险已经成为企业风险管理的主要方面。在此结合内部控制管理要求，总结规避ERP权限风险的措施和方法。

4.1 实施IT风险评估

企业信息化建设初期，常常会忽视风险评估，随着企业在IT内部控制要求日趋明确化，IT风险评估也就毫无争议的成为企业防范IT风险的必要措施。IT风险评估主要包括IT目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。企业在具体实施方法上可以选择业界口碑好，具有相应资质的第三方公司帮助进行风险评估。经过IT风险评估，信息系统安全问题风险分析和评价、系统安全建设整改建议就一目了然，做到心中有数。

4.2 做好IT控制措施与监督检查

IT控制措施包括IT技术类控制措施和IT管理类控制措施。

①IT技术控制措施主要是对防火墙、防病毒、入侵检测、身份管理等安全设施、软件定期更新，做好安全防护策略；权限管理方面，ERP系统相对于其它的应用系统，其集成性的显著特点，使得ERP系统的权限管理更具代表性。具体规避ERP权限风险的方法建议定期梳理风险权限、不相容权限、敏感权限等，通过定期专项检查、内控审计等方法规避权限风险；目前有的企业通过开发权限风险分析工具辅助人工检查，也一个不错的参考方法。

②IT管理类控制措施，主要是制定相应的管控制度与规定，如开发管理、项目管理、变更管理、安全管理、运营管理、授权审批等；制定规范业务流程，明确岗位职责的相关文件。通过管理制度的落地执行，有效控制风险。

③聘请业界有资质的专业审计公司做IT风险控制检查。

5 结语

总之，IT一般控制流程是企业内部控制体系不可或缺的内容，ERP系统应用到企业内部控制中，特别是ERP权限管理贯穿于内部控制的所有流程，是企业内部控制日益完善的标志。企业在应用ERP系统的过程中，应该注意防范以上文中分析的各种风险。

参考文献：

[1] 财政部会计司.企业内部控制讲解[M].北京：经济科学出版社，2010.