内部控制的比较 COBITR, SAC, COSO and SAS.doc

内部控制的比较：COBIT?, SAC, COSO and SAS 55/78 By: Janet L. Colbert, Ph.D., CPA, CIAand Paul L. Bowen, Ph.D., CPA 近些年，审计师、管理者、会计师以及立法者都加强了对内部控制的关注。近几年相继公布的5篇报告就是他们多年努力的结果，这些报告对内部控制作了定义、评估、报告及改善。这些报告为：信息系统审计和控制基金（ISACF）公布的“对信息及相关技术的控制目标（COBIT）”，内部审计师研究基金（IIARF）公布的“系统可审计性和控制（SAC）SAS55 (1988b) 和SAS78 (1995)在内部控制对规划和实施某个组织的财务审计的影响方面为外部审计师提出了操作指南。 由于不同的实体公布的文献针对的是其自身群体的特定需要，这就可能在内容上存在不一致。虽然这样，每篇文献注重于内部控制，并且每个群体，如内部审计师、管理者、外部审计师都为建立或评价内部控制投入了大量时间和精力。因而，比较在这些文献中提出的内部控制概念对于这三个群体的成员来说是有兴趣的事。 五篇文献的比较显示出他们都以早先的文献为基础。COBIT报告合并COSO和SAC报告中的部分内容。它对内部控制的定义取自COSO报告，对信息技术控制目标的定义取自SAC报告。SAC报告所体现的内部控制概念来自于SAS55，COSO报告所使用的内部控制概念来自于SAS55和SAC报告，并且SAS78对SAS55修正反映了COSO报告对内部控制概念的贡献。特别是，SAS78反映了Winters and Guy (1992)调和COSO报告和SAS55中的内部控制概念的要求。 本文概述了四篇文献（将SAS55/78合并），并比较了每篇文献中的内部控制概念。以下的表格指出了主要提示的问题。 Comparison of Control Concepts COBIT SAC COSO SASs 55/78 主要群体 管理者、用户、信息系统审计师 内部审计师 管理者 外部审计师 内部控制被认为是： 过程的集合，包括政策、程序、实践和组织的结构 过程、子系统和人员的集合 过程 过程 组织的内部控制目标是 有效果和效率的经营、必威体育官网网址性、信息的完整性和可利用性、可靠的财务报告、遵循法律和法规。 有效率和效果的经营、可靠的财务报告、遵循法律和法规 经营的效果和效率、可靠的财务报告、遵循法律和法规 可靠的财务报告， 经营的效果和效 率、遵循法律和法 规 范围的组成 范围：规划和组织；发现和实施；传送和支持；监测 组成：控制环境手册和自动的系统控制程序 组成:控制环境；风险管理；控制活动；信息和沟通；监测 组成：控制环境；风险评估；控制活动；信息和沟通；监测 注重于 信息技术 信息技术 整个组织 财务报告 内部控制评价的有效性 一段时期 一段时期 某个时点 一段时期 内部控制系统的责任 管理者 管理者 管理者 管理者 大小 4篇文献，187页 12个模块，1193页 4卷，353页 两篇文献，63页 文献的概述 COBIT:信息和相关技术的控制目标 ISACF最近开发的技术与相关技术控制目标可以充当一般应用程序、信息系统安全和信息技术控制实践的框架。这个COBIT框架允许管理层为信息技术环境的安全和控制实践定基准，允许信息技术服务的用户确信存在充分的安全和控制，允许审计师对内部控制作具体化的意见，并允许审计师商量信息技术和控制方面的事情。 提供这个框架的主要动因是能够为贯穿于整个产业范围内的信息技术控制开发清楚的政策和良好的实践。 COBIT方案的已完成部分提供了一个可执行的摘要，为信息技术的控制提供了一个框架，提供了控制目标的一览表以及审计操作指南集（控制目标和审计操作指南要参考框架）。 这个项目的未来阶段将为管理层提供自我评估操作指南以及通过吸收其他的已辨识的全球性的控制标准，来识别新的或适时的控制目标。另外，还要添加控制操作指南以及辨识关键的业绩指标。 定义: COBIT 对控制的定义适应来自COSO的要求：即政策、程序和组织结构的设计是对经营目标可以实现以及意外事件能得到预防或检查和纠正提出合理的保证。 COBIT对信息技术控制目标的定义适应了SAC的要求： 即通过在特定的信息技术活动中实施控制程序，完成所要求的结果和目标的陈述。 COBIT强调了与经营过程有关的信息技术控制的作用和影响。这篇文献列出了独立于信息技术控制目标的平台和应用。 信息技术资源: COBIT将信息技术资源归为数据、应用系统、技术、设施和人力。数据得到了最广意义的定义，它不仅包括 编号、正文和日期，而且包括图形和声音。应用程序可理解为人工程序和编程程序的总和。 技术是指硬件、操作系统、网络设备等