基于信息技术环境的企业内部控制思考研究.pdf

基于信息技术环境的企业内部控制思考 王海林 【摘要】本文对信息技术环境下的企业内部控制进行了探讨。分析了信息技术对内部控制的影响， 对IT 控制、信息技术环境下的内部控制等概念进行了辨析，分析了COSO 内部控制整合框架和风 险管理框架、SOX 法案, COBIT, ITIL 及我国企业内部控制规范等目前国内外广泛采用或研究的内 部控制框架或法律规范，提出了内部控制系统、内部控制系统的工程实施体系、内部控制系统的 评价体系是内部控制不可分割的三要素，并对它们进行了详细分析。 【关键词】内部控制 信息技术 控制系统 一、问题的提出 我国2007 年10 月召开的党的十七大的报告明确提出 “信息化是我国加快实现工业化和现代 化的必然选择，要将信息化与工业化相互融合发展。”面对国家信息化加速发展的崭新机遇，企业 信息化的步伐必然加快。在解决了信息技术基础设施建设、满足了信息技术在业务处理、企业管 理中的基本应用的同时，信息技术带来的问题与风险也会相伴而来，而且信息化程度越高，对信 息技术的依赖程度越强，信息技术环境下的控制与管理问题也会越突出。 事实上伴随着信息化应用的发展，管理部门早已开始重视这个问题，1989 年 12 月，财政部 颁布了我国第一个关于会计电算化的全国性行政法规《会计核算软件管理的几项规定（试行）》； 1994 年6 月、1996 年6 月又发布了《会计电算化管理办法》、《会计核算软件基本功能规范》、《会 计电算化工作规范》，使会计电算化管理和操作有了较为全面的法规体系；2001 年6 月发布的《内 部会计控制规范——基本规范（试行）》中明确提出将电子信息技术控制作为内部会计控制的方法 之一，并要求加强对财务会计电子信息系统的控制；2006 年6 月和9 月，上海和深圳证券交易所 分别发布实施了《上市公司内部控制指引》，对计算机信息系统的内控提出了要求；2007 年 3 月 财政部发布的《企业内部控制规范（征求意见稿）》中专门对计算机信息系统的控制制定了具体规 范, 2008 年5 月印发的《企业内部控制基本规范》中要求“企业应当运用信息技术加强内部控制， 建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事 项的自动控制，减少或消除人为操纵因素。” 企业内部控制的自身需要和外部监管要求促使企业必须考虑和重视信息化的影响。当然我们 也要看到，上述规范虽然从早期的规范会计核算软件的具体操作，到较全面规范计算机信息系统 控制，有了很大进步，但它们仍然仅仅是企业需要遵守的基本规范，是企业信息技术环境下内部 控制的一部分。在企业信息化深入发展的今天，全面研究信息技术环境下的内部控制是非常必要 的。 二、信息技术环境下内部控制的相关概念 （一）COSO 关于内部控制 关于内部控制，许多机构和学者都进行过研究，给出了定义。1992 年，COSO （Committee of Sponsoring Organizations of The Treadway Commission）委员会公布的《内部控制——整合框架》 应该是目前内部控制领域最为权威的文献之一，它与COSO 委员会于2004 年发布的《企业风险 管理——整合框架》（下称ERM 框架）被普遍认可和采纳。COSO 内部控制框架认为：内部控制 是由企业董事会、经理阶层和其他职员实施的，为实现营运的效率效果、财务报告的可靠性、相 关法令的遵循性等目标而提供合理保证的过程。该框架提出了一个有效的内部控制系统应该包括 控制环境、风险评估、控制活动、信息和沟通、监督五个相互关联的要素；ERM 框架虽然是企业 风险管理框架，但它涵盖了内部控制，是对内部控制的拓展和细化，该框架没有重新定义内部控 1 制，而是肯定了92 年框架中内部控制定义和框架的有效性，并提出了由内部环境、目标设定、事 件识别、风险评估、风险对策、控制活动、信息和交流、监控构成的企业全面风险管理的八要素。 总结这两个框架，可以发现内部控制具有的基本特征： （1）内部控制是一个过程，它是到达结果的手段而不是结果本身； （2 ）内部控制受组织各个层次的人作用的