信息系统内部控制框架剖析.docVIP

信息系统内部控制框架剖析 　　[摘 要] 当前信息系统内部控制缺乏系统性,对信息系统战略规划等方面的风险也缺乏可操作的控制方法。本文依据系统控制理论,在风险导向控制的原则下,按照目标驱动的逆向操作方法,构建信息系统内部控制框架。该框架涵盖了与信息系统相关的多层级的控制目标和控制要素,通过对内部控制目标自上而下的过程分解和自下而上的控制评价,实现从内部控制的总体评价到具体信息系统控制过程风险评价的转换,并在系统管理中实现控制、评价、纠偏、控制的完整循环,保证内部控制的系统性和内部控制评价的可操作性。 　　[关键词] 层级框架;目标驱动;层级控制;过程分解;控制评价 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 04 . 017 　　[中图分类号]F239.1 [文献标识码]A [文章编号]1673 - 0194(2010)04 - 0047 - 04 　　 　　一、信息系统内部控制研究范围和内涵 　　 　　信息系统的研究内容主要涉及信息系统治理(IT治理)、IS审计和IS内部控制(ISIC)。本文将属于IT治理和IS审计的内容,IT监管纳入IS内部控制之中。在拟定的框架下, ISIC主要包括风险识别、评价与监管3个方面的内容,在ISIC中,风险是控制的主要对象,评价是控制的主要依据,监管/审计是控制的主要措施,三者之间紧密相连、相互作用,共同构成一个完整的内部控制过程。然而在不同的内部控制层次上,这些过程具有不同的目标,因而围绕评价进行的控制活动需要服务于企业的总体目标,即ISIC以治理层制定的目标为导向,在相关组织、信息资源和过程驱动的基础上,研究IS流程的各个阶段风险影响要素;通过识别、解析这些风险要素,建立风险与控制目标要素的映射关系;再依照IS相关交易和实施过程,进行螺旋式自下而上的评价,基于评价结果确定适宜的控制措施;最后,对风险的关键点进行控制和监控,进而优化IS整体的内部控制水平。从以上的过程来看,评估活动涉及内部控制过程的各个阶段,ISIC离不开组织资源、信息资源和管理决策流程的持续支持,而且ISIC的评价就建立在这三者的基础之上。 　　 　　二、信息系统内部控制框架 　　 　　根据系统论,具体来说,内部控制的一般框架由3个相关的要素:IS治理模式、IS管理与技术和IS支持的作业流程构成。在外部环境作用下,各要素围绕内部控制及评价模型相互影响,相互作用。其中治理模式主要考虑IS风险政策、应用IS的本质、竞争者和监管者的行为以及战略资源的分配等问题,属于治理层次。而组织管理与技术则是面向可理解的执行活动,它主要关注IS的功能管理和价值链管理及相应的信息交流与沟通等方面。作业流程主要指如何跟踪、优化、实施和维护更新等支持的业务流程活动,它同具体业务密不可分,是日常持续发生的,业务所必需的。 　　(一) 信息内部控制的框架结构 　　1 . 信息系统内部控制过程的总体框架 　　根据对企业信息系统治理和框架要素的分析,可以确定内部控制过程的总体框架,即:设定标准和目标→过程控制→控制评价→报告控制结果。内控需要考虑以下3个层面:企业层面、业务流程层面和IS控制层面,这3个层面通过控制目标和控制标准紧密结合在一起。因而,设定合理的控制目标和控制标准成为lS内控的首要环节,它不仅影响IS控制过程的质量,还影响IS决策的结果。在目标和标准设定完成之后,框架的重要部分是lS的过程控制和评价,“评价→纠偏→控制→评价→纠偏”的循环构成了IS风险控制不断优化完善的过程。过程控制主要分析系统涉及的IT活动和业务活动,并对过程进行分解,针对这些活动的IS过程控制(一般控制和应用控制)质量,很大程度上决定着业务流程控制质量,并进而影响财务信息的质量和有效性。控制评价主要分为3个方面:过程评价、风险评价和评价结果分析。其中,评价结果分析主要是查看评价过程控制措施是否恰当和评价控制目标执行是否有效(即控制目标是否能够实现),如果对过程控制和风险控制评价的结果有偏差,就继续“评价、纠偏和控制”的循环过程;一旦目标获得实现,就可以进行新的内控循环。 　　2.IS内部控制的层级框架 　　一般来讲,IS具有多级管理,涉及组织结构的决策层、管理层、作业层等各个层级。相应的ISIC框架,则是由治理层、管理与技术层和作业流程层形成的3层结构,是一个基于层次的、自上而下的、面向内部监管的框架。 　　从实际控制过程来看,治理层的控制活动主要是保证良好的治理结构,如独立的监控委员会、高质量的内部审计活动等。管理与技术层则涉及将IT应用的全生命周期中业务运营过程及其伴随的风险,包括组织与管理、物理环境控制、系统软件控制等。组织和管理包括系统操作的职责分离、IS投入的财务预