内部控制无法回避IT控制挑战.docVIP

内部控制无法回避IT控制挑战处于信息时代的企业，业务经营活动、各种数据传递以及财务报告的产生与传递越来越多地依赖IT系统的自动化处理。自动化过程给企业带来效率的同时也带来控制风险。为了防范这些风险，现代企业的内部控制体系亟需包含基于IT系统的内部控制政策与程序。 在PCAOB（美国公众会计监管委员会）审计标准Ⅱ中也特别指出，IT控制设计很重要，不可低估控制设计在整个IT控制环境中的重要性，并强调IT控制能有力地支持整个内部控制环境。该标准又进一步指出：公司整体内部控制系统的有效性依赖于“其他控制是否有效”（指的是控制环境或IT一般控制的有效性）。 因此，理解IT控制与IT控制体系设计的相关理念，成为企业必备的重要能力。 首先，我们定义IT控制是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成。IT控制目标是指通过对具体的IT活动实施控制程序，以达到期望结果或目的的总体描述。可见，事实上，有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里IT风险指的是IT使企业不能实现其经营目标的风险。 然后，我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延： 1．从人员职责角度看：首先是以下三类人员的职责： #61548; 管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证； #61548; 低层管理者与员工――主要职责是执行控制； #61548; 审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。 2．从IT控制的构成角度看：IT控制包括IT控制环境、IT一般控制、IT应用控制。 3．从IT控制对象与范围看：IT控制对象包括企业IT生命周期的所有流程。 实现IT控制，中国企业需要应对三大挑战 国内企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言，运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强有力的支持。 随着萨班斯法案的出台，财务报告的内部控制几乎离不开IT控制，即使业务层面的管理控制也是IT支撑环境下的控制。但是，信息技术是一把双刃剑，其潜在风险也越来越大，企业在建立有效的IT控制，以保证财务报告的有效性方面正面临着巨大的挑战。 但是，目前国内企业的内部控制体系多为传统的会计控制及管理控制，对IT控制缺少系统的考虑，企业的IT控制面临三大挑战。 挑战之一：CIO缺乏内部控制理论与实践。 以萨班斯法案的要求来说明，404条款的遵照执行有四个阶段：1.公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式，以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作，以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。 法案的要求使很多人认为，IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责，但问题在于，大多数IT专业人士对复杂的内部控制并不精通或了解，因此难负其责。尽管不能说IT人员没有参与风险管理，但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO（首席信息官）们现在到了不得不补课的时候了，当务之急是补充有关内部控制方面的知识，理解企业所制定的SOX遵循计划，才能专门针对IT控制拟定一个遵循执行计划，并把这个计划与总体的SOX遵循计划相整合。 挑战之二：缺乏系统的IT控制体系 事实上，每个企业或多或少都有一些IT控制制度，很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到，我们需要的是“发现问题，解决问题；发现新问题，解决新问题”的持续改进体系。同时鉴于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范且不成体系，控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域，缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。 挑战之三：现有IT控制体系不具有可审计性 萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性，这就要求企业必须有完善的内部控制流程及审计轨迹，在控制发挥作用的同时生成相应的文档记录，以便在对内部控制设计及运行的有效性进行评价时有足够的证据。 我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度，但该体系