专家详解：从IT角度解读《企业内部控制规范》.docVIP

　　专家详解：从IT角度解读《企业内部控制规范》 告别了辉煌与沉重的2008，我们迎来了崭新的2009。新的一年在中国的传统农历里是“牛”年，虽然国际金融风暴的影响在国内日益显现，我们仍相信未来的一年不少中国企业会抓住这次机遇真正牛起来。 　　新的一年很多法律法规即将实施，对国内上市公司而言，《企业内部控制基本规范》的实施将给不少企业带来脱胎换骨的影响。2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。这个被称为“中国版SOX”的规范，被无数人寄予了期望，未来5年内，基本规范的实施将对中国的上市公司和大型企业的规范化运作带来实质性推动。这是我国继实施与国际接轨的企业会计准则和审计准则之后，在会计审计领域推出的又一与国际接轨的重大改革。这部规范的推出，意味着中国企业内部控制规范体系建设正在向国际标准靠拢。 　　这套适用于中国企业的内部控制体系，其基本规范借鉴了COSO报告五要素框架和风险管理八要素框架;具体规范以财务报告内部控制为主线，对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范，并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。企业的内部控制，应该贯穿于企业经营活动的决策、执行和监督的始终，涵盖企业各种业务和事项。企业每一项经营活动，从工作的效率性及风险的控制性来讲，都应强调过程控制，包括宏观上公司治理结构的确立、机构设置及权责分配、人力资源政策、企业文化等，也包括微观上企业股东会和董事会的决策程序，经理层及员工的执行程序和要求，监事会、内部审计委员会的监督程序，员工奖励计划，以及违反公司内部控制体系的罚则等等。 　　那么，对于企业内部的IT建设与控制而言，企业内部控制规范的实施会带来怎样的影响呢?CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控制与IT风险管理的角度，阐述企业IT控制与企业内部控制之间的关系。 　　1992年，Treadittee of Sponsoring Organizations of the Treadission)发布了《内部控制——整合框架》，2004年，该委员会又发布了《企业风险管理—整合框架》，在该框架附件C中明确：内部控制被涵盖在企业风险管理之内，是其不可分割的一部分。无论是COSO框架，还是中国自己的企业内部控制规范，其基本控制目标无外乎防范风险、控制舞弊以及确保财务报告的真实可靠。现在大部分上市公司和大型企业，其企业运营已基本依赖于企业的各种信息系统，已经基本完成了企业信息化的初步建设，因此企业的内部控制就离不开企业IT的控制。 　　企业内部控制规范与IT内部控制的关系 　　企业内部控制基本规范包含的五要素框架： 　　(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。 　　(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 　　(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 　　(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 　　(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。 　　(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部控制环境是实施IT内部控制的基