劉智全 姜 欣 秦雪軍

一、引言

2007年10月召開的黨的十七大報(bào)告明確提出：“信息化是我國加快實(shí)現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇，要將信息化與工業(yè)化相互融合發(fā)展。”隨著現(xiàn)今科學(xué)技術(shù)的飛速發(fā)展、信息技術(shù)的不斷進(jìn)步，信息化對企業(yè)的影響也日益加大，逐步的滲透到了企業(yè)發(fā)展管理的各個(gè)步驟當(dāng)中。而內(nèi)部控制作為企業(yè)發(fā)展過程中必不可少的指引性力量，更要適應(yīng)現(xiàn)今的發(fā)展趨勢。2008年6月28日，財(cái)政部、證監(jiān)會(huì)、審計(jì)署等聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，而在其配套指引中的《企業(yè)內(nèi)部控制應(yīng)用指引——信息系統(tǒng)》（以下簡稱《信息系統(tǒng)內(nèi)控指引》），成為了我國關(guān)于信息系統(tǒng)內(nèi)部控制的第一個(gè)指引，對信息系統(tǒng)的內(nèi)部控制進(jìn)行了系統(tǒng)的規(guī)定。將我國企業(yè)的內(nèi)部控制推進(jìn)到了一個(gè)新的發(fā)展歷程。

二、信息系統(tǒng)下企業(yè)構(gòu)建內(nèi)部控制體系的重要性

2003年，楊周南在以信息化的現(xiàn)狀及未來實(shí)踐的可能性為依據(jù)，提出了ISCA（I nformation System，Control and Aud i ting）模型，在模型中指出：“會(huì)計(jì)電算化工作的內(nèi)涵需要提升和明確，提出了會(huì)計(jì)管理信息化（簡稱會(huì)計(jì)信息化）的概念，并指出會(huì)計(jì)信息化工作的內(nèi)涵即為ISCA模型，具體包括了三個(gè)方面：一是建立和實(shí)施現(xiàn)代信息技術(shù)或計(jì)算機(jī)技術(shù)環(huán)境下的會(huì)計(jì)信息系統(tǒng)；二是建立有效、健全的信息系統(tǒng)內(nèi)部控制制度；三是對信息系統(tǒng)進(jìn)行審計(jì)。三者的有機(jī)結(jié)合構(gòu)成了AIS（AccountingInformation System）的ISCA模型?！?/p>

從這一模型中可以看出，信息系統(tǒng)已經(jīng)滲透到了內(nèi)部控制中，而建立一個(gè)有效的信息系統(tǒng)下的內(nèi)部控制制度則是這一模型中的關(guān)鍵性問題。但在現(xiàn)有的內(nèi)部控制體系中，仍存在著一些缺陷，與企業(yè)的信息系統(tǒng)環(huán)境下對內(nèi)部控制的要求存在著一定的差距。

三、信息系統(tǒng)對內(nèi)部控制的要求

在建立信息系統(tǒng)內(nèi)部控制時(shí)，主要從兩方面著手：一方面要利用信息技術(shù)對業(yè)務(wù)進(jìn)行控制；另一方面，則要注重信息系統(tǒng)自身的控制。這是從內(nèi)部控制的對象出發(fā)，從不同角度，不同側(cè)重點(diǎn)，對企業(yè)進(jìn)行了從經(jīng)濟(jì)業(yè)務(wù)到信息系統(tǒng)的整體的，合理的控制。在2008年新頒發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》中，也特別針對這兩點(diǎn)進(jìn)行了說明，第11條明確規(guī)定：“企業(yè)應(yīng)當(dāng)創(chuàng)造條件，有效利用計(jì)算機(jī)信息技術(shù)加強(qiáng)企業(yè)內(nèi)部控制，逐步實(shí)現(xiàn)生產(chǎn)管理系統(tǒng)、營銷管理系統(tǒng)、預(yù)算管理系統(tǒng)、財(cái)務(wù)會(huì)計(jì)管理系統(tǒng)等的信息集成和共享，不斷提高內(nèi)部控制的效率與效果?！痹摋l規(guī)定正是對第一方面控制的明確要求。第52條規(guī)定：“信息系統(tǒng)控制要求企業(yè)結(jié)合實(shí)際情況和計(jì)算機(jī)信息技術(shù)應(yīng)用程度，建立與本企業(yè)經(jīng)營管理業(yè)務(wù)相適應(yīng)的信息化控制流程?！笔菍Φ诙矫婵刂频拿鞔_要求。

四、信息系統(tǒng)下企業(yè)內(nèi)部控制體系建設(shè)的理論基礎(chǔ)

1.COBIT理論

在對信息系統(tǒng)內(nèi)部控制進(jìn)行研究中，COBIT則是比較權(quán)威的研究成果。COBIT（Control Objectives for Information and Related Technology）即信息及相關(guān)技術(shù)控制目標(biāo)，作為安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，是建立在國際標(biāo)準(zhǔn)ISO/IEC27000、COSO的《內(nèi)部控制——整合框架》及《企業(yè)風(fēng)險(xiǎn)管理——整合框架》、OGC（Office Government Commerce）的 ITIL（IT infrastructure Library，信息技術(shù)基礎(chǔ)架構(gòu)庫）等標(biāo)準(zhǔn)的基礎(chǔ)上，成為IT治理的核心標(biāo)準(zhǔn)。

COBIT將IT過程、IT資源及信息與組織的策略與目標(biāo)聯(lián)系起來，形成一個(gè)三維的體系結(jié)構(gòu)。其中，IT準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源主要包括人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的與信息相關(guān)的資源；IT過程則是在IT準(zhǔn)則的指導(dǎo)下，對信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控四個(gè)方面確定信息技術(shù)處理過程。

2.信息系統(tǒng)生命周期

對信息系統(tǒng)的開發(fā)和應(yīng)用的過程就是對問題的提出、分析及解決過程，并進(jìn)行相應(yīng)的評價(jià)與維護(hù)。信息系統(tǒng)生命周期包括系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施和系統(tǒng)運(yùn)行維護(hù)五個(gè)階段。而每一個(gè)階段都是以上一個(gè)階段為基礎(chǔ)，層層遞進(jìn)，并且首尾相接，只有將上一個(gè)階段全部完成才能引導(dǎo)進(jìn)入下一個(gè)階段。

從信息系統(tǒng)是生命周期角度看，而COBIT雖然覆蓋了信息系統(tǒng)生命周期的全過程，但系統(tǒng)分析下來，其主要關(guān)注點(diǎn)并不全面。COBIT的IT過程分為四個(gè)域：策劃與組織、獲取與實(shí)施、交付與支持、監(jiān)控與評價(jià)，而這幾個(gè)域則可看出是分別與信息系統(tǒng)生命周期中的系統(tǒng)規(guī)劃、系統(tǒng)實(shí)施、系統(tǒng)運(yùn)行維護(hù)、系統(tǒng)評價(jià)（也就是系統(tǒng)運(yùn)行維護(hù)階段中的一部分）相對應(yīng)。由此可以看出，COBIT對系統(tǒng)分析與設(shè)計(jì)方面的關(guān)注力度還是不夠的，它主要是側(cè)重于業(yè)務(wù)角度對IT進(jìn)行控制，例如，COBIT將業(yè)務(wù)目標(biāo)與IT目標(biāo)通過一定的維度、標(biāo)準(zhǔn)進(jìn)行整合，強(qiáng)調(diào)IT目標(biāo)是業(yè)務(wù)運(yùn)行的保障。

五、信息系統(tǒng)下企業(yè)內(nèi)部控制體系的建設(shè)

1.信息系統(tǒng)自身控制設(shè)計(jì)

所謂系統(tǒng)自身控制主要是針對信息系統(tǒng)生命周期中的薄弱環(huán)節(jié)，系統(tǒng)分析與系統(tǒng)設(shè)計(jì)，囊括了與程序設(shè)計(jì)、運(yùn)行維護(hù)、數(shù)據(jù)處理過程、硬件設(shè)備相關(guān)的控制制度。在這一部分中，企業(yè)根據(jù)信息技術(shù)實(shí)施情況，分析新的控制風(fēng)險(xiǎn)，結(jié)合實(shí)際情況局部加強(qiáng)內(nèi)控力度?？梢詮囊韵聨讉€(gè)方面入手：系統(tǒng)的開發(fā)、維護(hù)控制；程序編寫控制；數(shù)據(jù)處理控制；系統(tǒng)軟件的操作控制；安全控制等。還可以從應(yīng)用軟件中的電算化步驟及相關(guān)的人工程序方面處理，如：輸入控制；計(jì)算機(jī)處理控制；數(shù)據(jù)文件控制；輸出控制。盡管現(xiàn)階段對這一系統(tǒng)的研究并不多，但其重要性是不容忽視的，應(yīng)加大對信息系統(tǒng)自身控制的投資力度，對于人員的聘用及培訓(xùn)應(yīng)嚴(yán)格要求，及時(shí)對系統(tǒng)進(jìn)行維護(hù)、升級，以防止?jié)撛陲L(fēng)險(xiǎn)的趁虛而入。

2.加強(qiáng)信息系統(tǒng)業(yè)務(wù)控制

在業(yè)務(wù)控制部分，將COBIT模型的四個(gè)域引入到了信息系統(tǒng)內(nèi)部控制中，根據(jù)每個(gè)域的不同內(nèi)容，結(jié)合信息系統(tǒng)的每一業(yè)務(wù)模塊進(jìn)行系統(tǒng)的控制。（1）規(guī)劃與組織：這個(gè)域包含戰(zhàn)略和戰(zhàn)術(shù)，注重于IT怎樣才能更好地幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，以及需要從哪些方面對戰(zhàn)略和戰(zhàn)術(shù)進(jìn)行計(jì)劃、交流和管理，同時(shí)要做好組織規(guī)劃和技術(shù)設(shè)施的準(zhǔn)備工作；這是對整體方向的一個(gè)控制，（2）獲取與實(shí)施：這個(gè)域是通過選擇、開發(fā)或獲取相關(guān)的IT解決方案來實(shí)現(xiàn)IT戰(zhàn)略的，同時(shí)它的實(shí)施需要與業(yè)務(wù)處理過程緊密結(jié)合，除此之外，它還覆蓋了系統(tǒng)的維護(hù)與更新以保證生命周期的順利運(yùn)轉(zhuǎn)；（3）交付與支持：這個(gè)域關(guān)注提供所需要的服務(wù)，包括從安全服務(wù)到培訓(xùn)服務(wù)。同時(shí)還包括應(yīng)用系統(tǒng)的數(shù)據(jù)處理，這屬于應(yīng)用控制的范圍；（4）監(jiān)控：這個(gè)域關(guān)注IT過程的運(yùn)行效率是否進(jìn)行經(jīng)常性的評估以及檢查他們是否滿足控制需求。當(dāng)然，對業(yè)務(wù)的控制并不是獨(dú)立存在的，它是建立在系統(tǒng)控制的基礎(chǔ)之上的，與系統(tǒng)控制是共存的。

3.建立信息系統(tǒng)評價(jià)控制

作為一個(gè)有效的，可實(shí)施的內(nèi)部控制系統(tǒng)，評價(jià)系統(tǒng)是必不可少的。有效的自我評價(jià)機(jī)制應(yīng)是能進(jìn)行系統(tǒng)控制與業(yè)務(wù)控制的業(yè)績考核與并充分的反映其他控制模塊的實(shí)施情況，如將各責(zé)任單位和全體員工實(shí)施情況納入績效考評。

4.加強(qiáng)信息系統(tǒng)內(nèi)部控制與外界監(jiān)管的聯(lián)系

建立一個(gè)完善的信息系統(tǒng)內(nèi)部控制制度并不是企業(yè)自身所能完全達(dá)到的，首先，軟件供應(yīng)商、實(shí)施服務(wù)機(jī)構(gòu)、咨詢機(jī)構(gòu)等社會(huì)服務(wù)機(jī)構(gòu)多方的協(xié)助，以建立一個(gè)可實(shí)施性較強(qiáng)的系統(tǒng)性內(nèi)部控制制度；其次，國務(wù)院相關(guān)部門應(yīng)對企業(yè)進(jìn)行監(jiān)管；最后，審計(jì)機(jī)構(gòu)或部門，一般指會(huì)計(jì)師事務(wù)所也應(yīng)對企業(yè)內(nèi)部控制的有效性出具審計(jì)報(bào)告。

[1]楊周南.論會(huì)計(jì)管理信息化的模型.會(huì)計(jì)研究，2003，（10）.

[2]金文.基于COBIT的信息系統(tǒng)管理、控制與審計(jì)的模型構(gòu)建研究.審計(jì)研究，2005，（4）.

[3]吳炎太，林斌，基于生命周期的信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)管理研究.審計(jì)研究，2009，（6）.