信息化环境下企业内部控制体系探析研究.pdfVIP

信息化环境下企业内部控制体系探析 蒙文翰曾繁荣 (梓林电子科技大学桂林541004) 【摘要】本文从CoS0报告部控制框架体系的权威性确立，和其对我国电信企业内部控制体系建设的实际指导方 面来研究企业内部控制，介绍了建立电信行业信息技术内部控制实施方法论的必要性和团际Ij通用的信息技术内部 控制的理论框架。以实现公司发展战略为目标，提高经济效益为中心，防范经营风险为目的，规范各种业务流程为 内容，建。证并实施的一整套责任体系。除应用cOsO内部控制框架的控制环境、风险评估、控制活动、信息沟通、监 控等五要素建记内控框架外，还以某电信公司为例，详细描述J，电信公司信息技术内部控制实施的模型，从而为电信 行业小断完善信息技术内部控制体系提供厂参考。 【关键词】企业内部控制信息系统关键点 2008年6月28日财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内 部控制基本规范》，财政部副部长王军在此间举行的新闻发布会上宣布，该基本规范将于2009年7 月1日起首先在上市公司范围内施行．面对目前的金融危机，我国的企业抵御金融危机应先修内部控 制． 一、企业内部控制的起冈和发展 企业内部控制的思想产生于18世纪产业革命以后，它是企业人规模化和资本人众化的结果。 到20世纪初，随着股份公司规模日益扩大，所有权与经营权进一步分离，实践中逐步出现了一 些组织、调节、制约和监督生产经营活动的方法，为了纠错查弊，有些企业建立了简单的内部控 制制度。最甲J定义内部控制的是1936年发布的《独立公共会计师对会计报表的审查》，该文件 将内部控制定义为”为了保护公司现金和其他资产的安全、检查账簿记录准确性而在公司内部采 型将IT过程、IT资源及信息与组织的策略与目标联系起来，形成一个三维的体系结构，并将控制 定义为：“一系列策略、程序、实践和组织结构的设计，以便对业务目标提供有效的确证，对意外 事作进行防护、监控和纠正。”COBIT模型可以有效的指导企业利用信息资源，管理与信息相关的 风险，对丁实施信息化的企业在IT系统控制及审计方面起到了很好的指导性作用。 信息化环境下企业的内部控制框架模璎总体上应遵循COSO和CoBIT主流信息技术内部控制框架， 139 强调内部控制是一个稃序，突出了保证财务报告可靠性这一日标，而CoBIT将内部控制视为一个包括 政策、程序、实务署ll组织结构的支持企业完成目标的程序。因此，通过有效地应用COBIT的框架可帮 其中：IT信息准则包括：质量、信用、安全；IT资源包括：人员、应用系统、设施、技术、数据；IT 流程包括：领域、流程、活动。CoBIT给出了在不同的IT生命周期的流程中(包括信息系统计划、开发、 运行维护全生命周期)，对不同的IT资源的关键的控制点和需要达到的信息准则目标。信息系统下的 企业内部控制包括三个目标：经营活动的效益性、财务报告的可靠性和法律法规的遵循性；五个要 素：控制环境、风险评价，控制活动、信息与沟通及监控等；同一网络：内部控制要求全面覆盖剑 企业所有责任单位、责任人及企业内外业务活动中。 SoX法案即《萨班斯奥克斯莱法案》又称《2002年公众公司会计改革和投资者保护法》。美国国 会为纠正2001年安然事件后爆发的连串上市公司会计丑闻，恢复投资者对股票市场的信心，推出此 亡羊补牢之举。该法案丁2002年7月发布。SOX法案主要针对公司财务．了1闻中揭露出来的问题，修补 关章程强调：①公司内部所使朋的信息系统的本质和特点会影响公司对形成财务报告的内部控制。 ②信息基本有关系统开发，系统变更，系统管理和系统安全的适当控制有助确保产生财务报表的相 关控制能有效地执行。③相关审计人员应从所有交易及事什的源头追踪交易和事件于系统中的演化， 直到交易和事件反映在财务报表上。SoX法案条款中虽然没有具体写到信息技术的问题，但是条款中 关于上市公司必须有足够的证据证明内部控制有效性等要求，事实上对应用信息系统的企业提出了 更高的要求：建立完善的内部控制流程、对包括信息系统在内的内部控制设计及运行的有效性进行 评估、对信息系统的性质、复杂程度以及企业信息技术的使用状况做出详细评价。 二、信息系统环境下企业的内部控制框架 信息系统下的企业内部控制包括三个目标：经营活动的效益性、财务报告的可靠性和 法律法规的遵循性；五个要素：控制环境、风险评价、控