PAGE\*MERGEFORMAT6信息化环境下企业内部控制体系探析信息化环境下企业内部控制体系探析【摘要】文章从COSO报告控制框架体系权威性的确立和对我国电信企业内部控制体系建设的实际指导方面来研究企业内部控制,介绍了建立电信行业信息技术内部控制实施方法论的必要性和国际上通用的信息技术内部控制的理论框架,以实现公司发展战略为目标,提高经济效益为中心,防范经营风险为目的,规范各种业务流程为内容,建立一整套责任体系。除应用COSO内部控制框架的控制环境、风险评估、控制活动、信息沟通、监控等五要素建立内控框架外,还以某电信公司为例,详细描述了电信公司信息技术内部控制实施的模型和关键控制点,从而为电信行业不断完善信息技术内部控制体系提供了参考。【关键词】企业内部控制;信息系统;关键点一、企业内部控制的起因和发展企业内部控制的思想产生于18世纪产业革命以后,它是企业大规模化和资本大众化的结果。到20世纪初,随着股份公司规模日益扩大,所有权与经营权进一步分离,实践中逐步出现了一些组织、调节、制约和监督生产经营活动的方法。为了纠错查弊,有些企业建立了简单的内部控制制度。信息化环境下企业的内部控制框架模型总体上应遵循COSO和COBIT主流信息技术内部控制框架,同时应根据企业实际情况和特点,进行修改、完善、补充或局部加强。美国IT治理协会(ITGovernanceInstitute)在1996年颁布的COBIT,是国际上最具权威的和最通用的有关IT控制和治理框架。COSO强调内部控制是一个程序,突出了保证财务报告可靠性这一目标,而COBIT将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。因此,通过有效地应用COBIT的框架可帮助企业达到COSO的监控要求。COBIT的主要框架主要有三个纬度:IT信息准则、IT资源和IT流程。其中:IT信息准则包括:质量、信用、安全;IT资源包括:人员、应用系统、设施、技术、数据;IT流程包括:领域、流程、活动。COBIT给出了在不同的IT生命周期的流程中(包括信息系统计划、开发、运行维护全生命周期),对不同IT资源关键的控制点和需要达到的信息准则目标。信息系统下的企业内部控制包括三个目标:经营活动的效益性、财务报告的可靠性和法律法规的遵循性;五个要素:控制环境、风险评价、控制活动、信息与沟通及监控等;同一网络:内部控制要求全面覆盖到企业所有责任单位、责任人及企业内外业务活动中。(如图1)二、信息系统环境下企业的内部控制框架(一)控制环境控制环境是对企业内部控制系统的建立和实施有重大影响的各种因素的总称。它是企业内部组织的一种氛围并确定了一个组织的基调,影响着整个组织内管理层和员工的控制意识,是内部控制结构中其他要素的基础。影响控制环境的因素有经营管理的观念、方式和风格;组织结构;董事会;授权和分配责任的方法;管理控制方法;内部审计;人事政策和实务;外部影响八个方面。在信息化条件下信息传递的方式发生着本质的改变,同时信息传递的速度大大加快,这对内部控制的制定和实施的影响产生细微而本质的变化。(二)风险评价风险评价主要侧重于新的信息系统对经济业务活动流程的影响、对生产过程控制新手段新方法的使用和对信息数据的管理等。信息系统的风险评估包括以下三个步骤:1.分析信息系统特征,确定系统目标:企业整体目标,包括建立在公司层面的战略目标、经营目标、报告目标和合规目标。其中经营目标包括绩效和获利目标及资产保全目标;报告目标包括财务报告目标,防止报送不真实的财务报告;合规性目标包括企业经营活动应遵循国家相关的法律法规及企业内部制定的规章制度,确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性等。2.识别和分析风险:企业信息系统面临的风险既有内部因素也有外部因素。内部风险有舞弊风险、财务风险、差错风险、决策风险、员工关系、信息系统安全风险。只有在全面了解各种风险的基础上,才能够预测风险可能造成的危害,从而选择处理风险的有效手段。识别和分析风险的过程是一种长期而反复的过程,在这个过程中可针对风险类型应用不同的方法,如:识别财务风险主要有生产流程分析法、财务表格分析法等。3.环境变化后的风险回应:系统外部经济、产业以及管理等控制环境随时都会发生变化,系统内部软件、硬件、人员等要素也会发生变化,当这些变化发生时,会计信息系统的活动应随之进行改变。因此,风险评估中最关键的步骤就是确认内部和外部变化的情况,并及时采取必要的行动。(三)控制活动控制活动是企业为了保证指令得到实施而制定并执行的控制政策和程序,是针对实现组织目标所涉及的风险而采取的必要防范或减少损失的措施。信息系统应用控制是被用于对具体应用系统的控制,一个应