内部控制的比较(pdf 13).pdfVIP

1 内部控制的比较： COBIT?, SAC, COSO and SAS 55/78 By: Janet L. Colbert, Ph.D., CPA, CIA and Paul L. Bowen, Ph.D., CPA 近些年，审计师、管理者、会计师以及立法者都加强了对内部控制 的关注。近几年相继公布的 5篇报告就是他们多年努力的结果，这 些报告对内部控制作了定义、评估、报告及改善。这些报告为：信 息系统审计和控制基金（ISACF）公布的“对信息及相关技术的控 制目标（COBIT）”，内部审计师研究基金（IIARF）公布的“系统 可审计性和控制（SAC）”，美国反欺骗性财务报告委员会（COSO） 公布的“内部控制——整合的框架”，以及美国注册会计师协会在 财务报表审计中对内部控制结构的考虑，即审计标准公告第 55 号 （SAS55）以及后来对 SAS55 的修正，审计标准公告 78 号（SAS78）。 COBIT 报告（1996）是一个框架，为经营过程的所有者提供了一个 工具，以便他们能有效的履行信息系统的控制责任。SAC 报告 （1991，修正于 1994）在信息系统和技术的控制和审计方面为内 部审计师提供了帮助。COSO 报告（1992）在如何评价、报告和改 善内部控制方面对管理层做出了建议。SAS55 (1988b) 和 SAS78 (1995)在内部控制对规划和实施某个组织的财务审计的影响方面 为外部审计师提出了操作指南。 由于不同的实体公布的文献针对的是其自身群体的特定需要，这就 可能在内容上存在不一致。虽然这样，每篇文献注重于内部控制， 并且每个群体，如内部审计师、管理者、外部审计师都为建立或评 价内部控制投入了大量时间和精力。因而，比较在这些文献中提出 的内部控制概念对于这三个群体的成员来说是有兴趣的事。 五篇文献的比较显示出他们都以早先的文献为基础。COBIT 报告合 并 COSO 和 SAC 报告中的部分内容。它对内部控制的定义取自 COSO 报告，对信息技术控制目标的定义取自 SAC 报告。SAC 报告所体现 的内部控制概念来自于 SAS55，COSO 报告所使用的内部控制概念来 自于 SAS55 和 SAC 报告，并且 SAS78 对 SAS55 修正反映了 COSO 报 告对内部控制概念的贡献。特别是，SAS78 反映了 Winters and Guy (1992)调和 COSO 报告和 SAS55 中的内部控制概念的要求。 本文概述了四篇文献（将 SAS55/78 合并），并比较了每篇文献中 的内部控制概念。以下的表格指出了主要提示的问题。 Comparison of Control Concepts COBIT SAC COSO SASs 55/78 2 主要群体 管理者、用户、 信息系统审计 师 内部审计师 管理者 外部审计师 内部控制 被 认 为 是： 过程的集合，包 括政策、程序、 实践和组织的 结构 过程、子系统 和人员的集 合 过程 过程 组织的内 部控制目 标是 有效果和效率 的经营、保密 性、信息的完整 性和可利用性、 可靠的财务报 告、遵循法律和 法规。 有效率和效 果的经营、可 靠的财务报 告、遵循法律 和法规 经营的效果和效率、 可靠的财务报告、遵 循法律和法规 可靠的财务报告， 经营的效果和效 率、遵循法律和法 规 范围的组 成 范围： 规划和组织；发 现和实施；传送 和支持；监测 组成： 控制环境手 册和自动的 系统控制程 序 组成: 控制环境；风险管 理；控制活动；信息 和沟通；监测 组成： 控制环境；风险评 估；控制活动；信 息和沟通；监测 注重于 信息技术 信息技术 整个组织 财务报告 内部控制 评价的有 效性 一段时期 一段时期 某个时点 一段时期 内部控制 系统的责 任 管理者 管理者 管理者 管理者 大小 4 篇文献，187 页 12 个模块， 1193页 4卷，353页 两篇文献，63页 文献的概述 COBIT:信息和相关技术的控制目标 ISACF 最近开发的技术与相关技术控制目标可以充当一般应用程 序、信息系统安全和信息技术控制实践的框架。这个 COBIT 框架允 许管理层为信息技术环境的安全和控制实践定基准，允许信息技术 服务的用户确信存在充分的安全和控制，允许审计师对内部控制作 具体化的意见，并允许审计师商量信息技术和控制方面的事情。 提 供这个框架的主要动因是能够为贯穿于整个产业范围内的信息技 术控制开发清楚的政策和良好的实践。 3 COBIT 方案的已完成部分提供了一个可执行的摘要，为信息技术的 控制提供了一个框架，提供了控制目标的一览表以及审计操作指