劉智全 姜 欣 秦雪軍

一、引言

2007年10月召開的黨的十七大報告明確提出：“信息化是我國加快實現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇，要將信息化與工業(yè)化相互融合發(fā)展。”隨著現(xiàn)今科學技術的飛速發(fā)展、信息技術的不斷進步，信息化對企業(yè)的影響也日益加大，逐步的滲透到了企業(yè)發(fā)展管理的各個步驟當中。而內部控制作為企業(yè)發(fā)展過程中必不可少的指引性力量，更要適應現(xiàn)今的發(fā)展趨勢。2008年6月28日，財政部、證監(jiān)會、審計署等聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》，而在其配套指引中的《企業(yè)內部控制應用指引——信息系統(tǒng)》（以下簡稱《信息系統(tǒng)內控指引》），成為了我國關于信息系統(tǒng)內部控制的第一個指引，對信息系統(tǒng)的內部控制進行了系統(tǒng)的規(guī)定。將我國企業(yè)的內部控制推進到了一個新的發(fā)展歷程。

二、信息系統(tǒng)下企業(yè)構建內部控制體系的重要性

2003年，楊周南在以信息化的現(xiàn)狀及未來實踐的可能性為依據(jù)，提出了ISCA（I nformation System，Control and Aud i ting）模型，在模型中指出：“會計電算化工作的內涵需要提升和明確，提出了會計管理信息化（簡稱會計信息化）的概念，并指出會計信息化工作的內涵即為ISCA模型，具體包括了三個方面：一是建立和實施現(xiàn)代信息技術或計算機技術環(huán)境下的會計信息系統(tǒng)；二是建立有效、健全的信息系統(tǒng)內部控制制度；三是對信息系統(tǒng)進行審計。三者的有機結合構成了AIS（AccountingInformation System）的ISCA模型。”

從這一模型中可以看出，信息系統(tǒng)已經滲透到了內部控制中，而建立一個有效的信息系統(tǒng)下的內部控制制度則是這一模型中的關鍵性問題。但在現(xiàn)有的內部控制體系中，仍存在著一些缺陷，與企業(yè)的信息系統(tǒng)環(huán)境下對內部控制的要求存在著一定的差距。

三、信息系統(tǒng)對內部控制的要求

在建立信息系統(tǒng)內部控制時，主要從兩方面著手：一方面要利用信息技術對業(yè)務進行控制；另一方面，則要注重信息系統(tǒng)自身的控制。這是從內部控制的對象出發(fā)，從不同角度，不同側重點，對企業(yè)進行了從經濟業(yè)務到信息系統(tǒng)的整體的，合理的控制。在2008年新頒發(fā)的《企業(yè)內部控制基本規(guī)范》中，也特別針對這兩點進行了說明，第11條明確規(guī)定：“企業(yè)應當創(chuàng)造條件，有效利用計算機信息技術加強企業(yè)內部控制，逐步實現(xiàn)生產管理系統(tǒng)、營銷管理系統(tǒng)、預算管理系統(tǒng)、財務會計管理系統(tǒng)等的信息集成和共享，不斷提高內部控制的效率與效果。”該條規(guī)定正是對第一方面控制的明確要求。第52條規(guī)定：“信息系統(tǒng)控制要求企業(yè)結合實際情況和計算機信息技術應用程度，建立與本企業(yè)經營管理業(yè)務相適應的信息化控制流程?！笔菍Φ诙矫婵刂频拿鞔_要求。

四、信息系統(tǒng)下企業(yè)內部控制體系建設的理論基礎

1.COBIT理論

在對信息系統(tǒng)內部控制進行研究中，COBIT則是比較權威的研究成果。COBIT（Control Objectives for Information and Related Technology）即信息及相關技術控制目標，作為安全與信息技術管理和控制的標準，是建立在國際標準ISO/IEC27000、COSO的《內部控制——整合框架》及《企業(yè)風險管理——整合框架》、OGC（Office Government Commerce）的 ITIL（IT infrastructure Library，信息技術基礎架構庫）等標準的基礎上，成為IT治理的核心標準。

COBIT將IT過程、IT資源及信息與組織的策略與目標聯(lián)系起來，形成一個三維的體系結構。其中，IT準則維集中反映了企業(yè)的戰(zhàn)略目標，主要從質量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源主要包括人、應用系統(tǒng)、技術、設施及數(shù)據(jù)在內的與信息相關的資源；IT過程則是在IT準則的指導下，對信息及相關資源進行規(guī)劃與處理，從信息技術的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控四個方面確定信息技術處理過程。

2.信息系統(tǒng)生命周期

對信息系統(tǒng)的開發(fā)和應用的過程就是對問題的提出、分析及解決過程，并進行相應的評價與維護。信息系統(tǒng)生命周期包括系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設計、系統(tǒng)實施和系統(tǒng)運行維護五個階段。而每一個階段都是以上一個階段為基礎，層層遞進，并且首尾相接，只有將上一個階段全部完成才能引導進入下一個階段。

從信息系統(tǒng)是生命周期角度看，而COBIT雖然覆蓋了信息系統(tǒng)生命周期的全過程，但系統(tǒng)分析下來，其主要關注點并不全面。COBIT的IT過程分為四個域：策劃與組織、獲取與實施、交付與支持、監(jiān)控與評價，而這幾個域則可看出是分別與信息系統(tǒng)生命周期中的系統(tǒng)規(guī)劃、系統(tǒng)實施、系統(tǒng)運行維護、系統(tǒng)評價（也就是系統(tǒng)運行維護階段中的一部分）相對應。由此可以看出，COBIT對系統(tǒng)分析與設計方面的關注力度還是不夠的，它主要是側重于業(yè)務角度對IT進行控制，例如，COBIT將業(yè)務目標與IT目標通過一定的維度、標準進行整合，強調IT目標是業(yè)務運行的保障。

五、信息系統(tǒng)下企業(yè)內部控制體系的建設

1.信息系統(tǒng)自身控制設計

所謂系統(tǒng)自身控制主要是針對信息系統(tǒng)生命周期中的薄弱環(huán)節(jié)，系統(tǒng)分析與系統(tǒng)設計，囊括了與程序設計、運行維護、數(shù)據(jù)處理過程、硬件設備相關的控制制度。在這一部分中，企業(yè)根據(jù)信息技術實施情況，分析新的控制風險，結合實際情況局部加強內控力度?？梢詮囊韵聨讉€方面入手：系統(tǒng)的開發(fā)、維護控制；程序編寫控制；數(shù)據(jù)處理控制；系統(tǒng)軟件的操作控制；安全控制等。還可以從應用軟件中的電算化步驟及相關的人工程序方面處理，如：輸入控制；計算機處理控制；數(shù)據(jù)文件控制；輸出控制。盡管現(xiàn)階段對這一系統(tǒng)的研究并不多，但其重要性是不容忽視的，應加大對信息系統(tǒng)自身控制的投資力度，對于人員的聘用及培訓應嚴格要求，及時對系統(tǒng)進行維護、升級，以防止?jié)撛陲L險的趁虛而入。

2.加強信息系統(tǒng)業(yè)務控制

在業(yè)務控制部分，將COBIT模型的四個域引入到了信息系統(tǒng)內部控制中，根據(jù)每個域的不同內容，結合信息系統(tǒng)的每一業(yè)務模塊進行系統(tǒng)的控制。（1）規(guī)劃與組織：這個域包含戰(zhàn)略和戰(zhàn)術，注重于IT怎樣才能更好地幫助企業(yè)實現(xiàn)業(yè)務目標，以及需要從哪些方面對戰(zhàn)略和戰(zhàn)術進行計劃、交流和管理，同時要做好組織規(guī)劃和技術設施的準備工作；這是對整體方向的一個控制，（2）獲取與實施：這個域是通過選擇、開發(fā)或獲取相關的IT解決方案來實現(xiàn)IT戰(zhàn)略的，同時它的實施需要與業(yè)務處理過程緊密結合，除此之外，它還覆蓋了系統(tǒng)的維護與更新以保證生命周期的順利運轉；（3）交付與支持：這個域關注提供所需要的服務，包括從安全服務到培訓服務。同時還包括應用系統(tǒng)的數(shù)據(jù)處理，這屬于應用控制的范圍；（4）監(jiān)控：這個域關注IT過程的運行效率是否進行經常性的評估以及檢查他們是否滿足控制需求。當然，對業(yè)務的控制并不是獨立存在的，它是建立在系統(tǒng)控制的基礎之上的，與系統(tǒng)控制是共存的。

3.建立信息系統(tǒng)評價控制

作為一個有效的，可實施的內部控制系統(tǒng)，評價系統(tǒng)是必不可少的。有效的自我評價機制應是能進行系統(tǒng)控制與業(yè)務控制的業(yè)績考核與并充分的反映其他控制模塊的實施情況，如將各責任單位和全體員工實施情況納入績效考評。

4.加強信息系統(tǒng)內部控制與外界監(jiān)管的聯(lián)系

建立一個完善的信息系統(tǒng)內部控制制度并不是企業(yè)自身所能完全達到的，首先，軟件供應商、實施服務機構、咨詢機構等社會服務機構多方的協(xié)助，以建立一個可實施性較強的系統(tǒng)性內部控制制度；其次，國務院相關部門應對企業(yè)進行監(jiān)管；最后，審計機構或部門，一般指會計師事務所也應對企業(yè)內部控制的有效性出具審計報告。

[1]楊周南.論會計管理信息化的模型.會計研究，2003，（10）.

[2]金文.基于COBIT的信息系統(tǒng)管理、控制與審計的模型構建研究.審計研究，2005，（4）.

[3]吳炎太，林斌，基于生命周期的信息系統(tǒng)內部控制風險管理研究.審計研究，2009，（6）.