從IT角度看內控

2014-11-08 20:40:48 大云網　點擊量：評論 (0)

2006年6月5日，上海證券交易所（下文簡稱上證所）率先發(fā)布了《上海證券交易所上市公司內部控制指引》（下文簡稱《指引》），對上市公司建立健全和有效實施內部控制制度提供了原則性指導，明確了公司董事會對公司

2006年6月5日，上海證券交易所（下文簡稱上證所）率先發(fā)布了《上海證券交易所上市公司內部控制指引》（下文簡稱《指引》），對上市公司建立健全和有效實施內部控制制度提供了原則性指導，明確了公司董事會對公司內控制度所負的責任，并要求上市公司從2006年年度報告起披露內部控制自我評估報告和會計師事務所對自我評估報告的核實評價意見。

IT是內控的一部分

IT內控是公司內部控制的一部分，是審計的對象。《指引》第十條款規(guī)定了“公司使用計算機信息系統(tǒng)的，還應制定信息管理的內控制度”，并且列出信息管理的內控制度至少應涵蓋的內容：

（一）信息處理部門與使用部門權責的劃分。

分析：無論公司的信息處理部門組織結構如何，都必須與使用部門進行明確的權責劃分，并且成文定義。明確定義的權責將加強信息處理部門與使用部門間的溝通和相互理解，避免推諉和責任不清造成的管理漏洞和效率低下。

（二）信息處理部門的功能及職責劃分。

分析：由于信息系統(tǒng)的特性，信息處理部門本身的功能和職責劃分是復雜的。因為功能和職責的復雜性增加了IT服務和運營的風險，所以必須建立相應機制加以管理。信息處理部門管理者首先必須明確本部門在整個公司中起到的作用和承擔的角色，明確提供的服務和相應的責任，并且成文定義。

（三）系統(tǒng)開發(fā)及程序修改的控制。

分析：系統(tǒng)開發(fā)和程序修改主要包括兩部分：新應用軟件的開發(fā)和實施、現(xiàn)有應用軟件的變更和維護。新應用軟件獲得和實施失敗風險很高。為了降低這種風險，企業(yè)應該建立成體系的軟件開發(fā)質量控制方法，比如標準軟件開發(fā)工具和IT構件的選用。

（四）程序及資料的存取、數(shù)據處理的控制。

分析：程序和數(shù)據存取訪問控制需要技術和管理兩方面的共同保障。首先，信息和系統(tǒng)安全技術是防止非法訪問的有效方法，比如各類密碼保護、防火墻、數(shù)據加密存儲、密鑰技術等。其次，需要從管理和流程上保證程序和數(shù)據的訪問安全，最重要的就是建立完善的系統(tǒng)用戶管理制度。

（五）檔案、設備、信息的安全控制。

分析：由于信息技術的廣泛使用，信息安全一直是得到信息處理部門和信息使用部門極大關注的一個問題。信息資產安全的漏洞可能造成機密信息外泄、病毒入侵等問題，嚴重的信息安全問題可能危及整個公司的運營，造成財務和聲譽上的重大損失。

（六）在網站上進行公開信息披露活動的控制。

分析：在網站上進行公開信息披露活動，需要信息處理部門與公司執(zhí)行層和內部控制體系其他部門的緊密聯(lián)系。為了保證信息披露的正確性和及時性，公司應該制定一套流程進行信息披露活動的管理，包括網站上的信息披露。

IT是內控的重要輔助

計算機應用系統(tǒng)不僅是整個企業(yè)業(yè)務的重要支撐，也是對公司運營活動進行控制的重要輔助手段。以具體運營流程為基礎展開的IT控制，直接關系運營活動的實施。這類IT控制包括應用控制，即針對特定業(yè)務流程，以軟件應用方案為依托進行控制活動。如對財務報表的編制和匯報進行控制，就需要對財務模塊進行有效的控制。

以IT為基礎和手段的控制方法，效率要明顯高于傳統(tǒng)手工或基于紙張的控制方式；利用IT固化內控流程可以簡化企業(yè)的內控過程，降低內控成本，優(yōu)化內控項目的成本效益比，并幫助企業(yè)達到內控效力持續(xù)性的要求。IT的規(guī)范化操作程序以及信息系統(tǒng)的信息備份功能，能夠降低內控審計的難度。

IT管理者應該清晰地認識到IT在公司建立內部控制中的優(yōu)勢和承擔的責任。由于信息技術的復雜性，IT部門有責任幫助和配合公司其他部門建立合適的“應用控制”。這不僅能幫助公司達到內部控制的要求，也有利于提升IT在公司中的價值。

IT內部控制不可孤立

IT內部控制應該滿足第六條款所描述的“目標設定，內部環(huán)境，風險確認，風險評估，風險管理策略選擇，控制活動，信息溝通，檢查監(jiān)督”這八個要素的要求。IT內部控制并不是孤立的，而是公司以業(yè)務目標為主導的整體內部控制項目的一部分。

簡單來說，企業(yè)必須首先確定公司的主要經營活動以及與這些經營活動相關的業(yè)務流程和活動，劃分內部控制的工作范圍。其次，企業(yè)在工作范圍內定義具體的控制對象。再次，針對控制對象，進行風險分析、評估，決定每項風險的管理策略，制定企業(yè)具體的控制程序、控制目標以及審計標準。然后，對現(xiàn)行的運作，實施變革以達到預定目標。最后，評價控制措施的實施后果，加以鞏固或改進。

IT的內部控制必須遵循公司的內部控制機制策略，確保IT控制符合公司內部控制的基調。此外，IT控制還擔當支持企業(yè)高層管理活動的責任，在企業(yè)內設定業(yè)務目標，確立企業(yè)政策，在組織資源配置及管理決策時，IT負責輔助企業(yè)制定政策方針并在組織內部傳達交流。

通過上述三方面的分析，我們可以發(fā)現(xiàn)，IT控制可以歸納為三個層次：公司控制、應用控制和基礎控制。公司層面的控制決定了IT內部控制的基調；應用層面的控制與業(yè)務流程相結合，體現(xiàn)在應用系統(tǒng)中，比如ERP和MRP；基礎層面的控制則體現(xiàn)在IT服務過程中。

在現(xiàn)實中，由于IT運行環(huán)境和IT應用水平迥異，不同的公司在建立IT內部控制過程中的控制重點各不相同，復雜的局面可能會使許多企業(yè)一時無所適從?！吨敢纷鳛樯献C所發(fā)布的一份規(guī)范性文件，雖然給出了內部控制的框架，但是仍無法像管理手冊或者行動指南那樣說明IT如何才能達到《指引》所要求的水平。

面對已經到來的內控要求，上市公司急需一套普遍適用的IT內部控制方法論來彌補《指引》的這一缺憾：必須滿足《指引》的要求，可以協(xié)助IT建立合適的內部控制機制；以IT控制為主要任務，考慮全面并被廣泛認可；提供可操作的行動指南和評價體系，指導企業(yè)在進行IT控制的同時，方便審計機構制訂評估標準，并利于雙方就審計細節(jié)達成一致。

鏈接:為什么不能照搬美國薩班斯法案

首先，薩班斯法案關于內部控制的規(guī)定的操作成本太高，對規(guī)模較小的中國企業(yè)來說操作難度太大。大型美國公司僅在第一年建立內部控制系統(tǒng)的平均成本就高達430萬美元，這對規(guī)模偏小的中國上市企業(yè)來說是不現(xiàn)實的……

其次，公司治理方面與國際或者美國的企業(yè)有差距，不能一蹴而就，如果照搬薩班斯法案，可能會帶來水土不服；

第三，很多中國上市公司的基礎還比較差，要達到薩班斯法案那樣對的要求太難。