（会计学专业论文）信息系统环境下的内部控制研究.pdf

华北电力大学硕士学位论文 摘要 信息系统正广泛深入地渗透到社会的政治、经济、军事、文化等各个领域，这也加 大了整个社会对信息系统的依赖性。信息技术的应用增加了企业内部控制的潜在风险， 但信息流程和业务流程的有效整合也为企业提高内部控制效率、增强内部控制效果带来 了前所未有的机遇。本文在分析了信息技术对内部控制的影响后，以美国信息系统审计 与控制协会提出的c o b i t 模型为理论指导，探讨我国企业如何构建信息系统环境下的内 部控制框架，并提出在企业进行信息系统内部控制建设的同时还要加强外部( 社会) 控 制的协同配合，使企业与整个社会共同进行信息系统的内部控制建设，提高整个社会的 信息质量和效益，保障我国市场经济的健康有序发展。 关键词：信息系统环境，内部控制体系，c o b i t a b s t r a c t w i d e l yu s e di nt h ef i e l do fp o l i t i c s ， e c o n o m i c s , m i l i t a r ya n dc u l t u r e , i n f o r m m i o n s y s t e mi si n c r e a s i n g l yr e l i e db ys o c i e t y 。t h eu s eo fi n f o r m a t i o nt e c h n o l o g yn o to n l ya d d s p o t e n t i a lr i s kt ot h ei n t e r n a lc o n t r o lo fc o r p o r m i o n ，b u ta l s op o s s i b l yi n c r e a s e st h ee f f i c i e n c y a n di m p a c to nt h ei n t e r n a lc o n t r o lv i at h ec o n f o r m i t yo fi n f o r m a t i o na n db u s i n e s s b y a n a l y s i so ft h ei m p a c to fi n f o r m a t i o nt e c h n o l o g yo nt h ei n t e r n a lc o n t r o l ，t h ea r t i c l ed i s c u s s e s h o wt oc o n s t r u c tt h ef r a m eo fi n t e r n a lc o n t r o li nt h ei n f o r m a t i o ns y s t e me n v i r o n m e n ti n c h i n a sc o r p o r a t i o nw i t ht h et h e o r e t i c a li n s t r u c t i o no fc o b i tm o d e lp r o v i d e db yu s i n f o r m a t i o ns y s t e ma u d i t & c o n t r o la s s o c i a t i o n 。i ts u g g e s t st h a tc o r p o r a t i o ns h o u l d i n c r e a s et h ei n t e r n a lc o n t r o la n dm e a n w h i l ei n c r e a s et h ei n t e r n a lc o n t r o l 。a n dt h ej o i n t c o n s t r u c t i o no ni n t e r n a lc o n t r o lo fi n f o r m a t i o ns y s t e mb yc o r p o r a t i o na n ds o c i e t yw i l l i n c r e a s et h eq u a l i t ya n de f f i c i e n c yo fi n f o r m a t i o ni ns o c i e t y ，a n de n s u r et h eh e a l t h y d e v e l o p m e n to fc h i n a sm a r k e te c o n o m y 。 k e yw o r d s ：i n f o r m a t i o ns y s t e m ，i n t e r n a lc o n t r o l ，c o b i t z h a n gy u a n ( a c c o u n t i n g ) dir e c t e db yp r o f 。z h a ob a o z h u 华北电力大学硕士学位论文 摘要 信息系统正广泛深入地渗透到社会的政治、经济、军事、文化等各个领域，这也加 大了整个社会对信息系统的依赖性。信息技术的应用增加了企业内部控制的潜在风险， 但信息流程和业务流程的有效整合也为企业提高内部控制效率、增强内部控制效果带来 了前所未有的机遇。本文在分析了信息技术对内部控制的影响后，以美国信息系统审计 与控制协会提出的c o b i t 模型为理论指导，探讨我国企业如何构建信息系统环境下的内 部控制框架，并提出在企业进行信息系统内部控制建设的同时还要加强外部( 社会) 控 制的协同配合，使企业与整个社会共同进行信息系统的内部控制建设，提高整个社会的 信息质量和效益，保障我国市场经济的健康有序发展。 关键词：信息系统环境，内部控制体系，c o b i t a b s t r a c t w i d e l yu s e di nt h ef i e l do fp o l i t i c s ， e c o n o m i c s , m i l i t a r ya n dc u l t u r e , i n f o r m m i o n s y s t e mi si n c r e a s i n g l yr e l i e db ys o c i e t y 。t h eu s eo fi n f o r m a t i o nt e c h n o l o g yn o to n l ya d d s p o t e n t i a lr i s kt ot h ei n t e r n a lc o n t r o lo fc o r p o r m i o n ，b u ta l s op o s s i b l yi n c r e a s e st h ee f f i c i e n c y a n di m p a c to nt h ei n t e r n a lc o n t r o lv i at h ec o n f o r m i t yo fi n f o r m a t i o na n db u s i n e s s b y a n a l y s i so ft h ei m p a c to fi n f o r m a t i o nt e c h n o l o g yo nt h ei n t e r n a lc o n t r o l ，t h ea r t i c l ed i s c u s s e s h o wt oc o n s t r u c tt h ef r a m eo fi n t e r n a lc o n t r o li nt h ei n f o r m a t i o ns y s t e me n v i r o n m e n ti n c h i n a sc o r p o r a t i o nw i t ht h et h e o r e t i c a li n s t r u c t i o no fc o b i tm o d e lp r o v i d e db yu s i n f o r m a t i o ns y s t e ma u d i t & c o n t r o la s s o c i a t i o n 。i ts u g g e s t st h a tc o r p o r a t i o ns h o u l d i n c r e a s et h ei n t e r n a lc o n t r o la n dm e a n w h i l ei n c r e a s et h ei n t e r n a lc o n t r o l 。a n dt h ej o i n t c o n s t r u c t i o no ni n t e r n a lc o n t r o lo fi n f o r m a t i o ns y s t e mb yc o r p o r a t i o na n ds o c i e t yw i l l i n c r e a s et h eq u a l i t ya n de f f i c i e n c yo fi n f o r m a t i o ni ns o c i e t y ，a n de n s u r et h eh e a l t h y d e v e l o p m e n to fc h i n a sm a r k e te c o n o m y 。 k e yw o r d s ：i n f o r m a t i o ns y s t e m ，i n t e r n a lc o n t r o l ，c o b i t z h a n gy u a n ( a c c o u n t i n g ) dir e c t e db yp r o f 。z h a ob a o z h u 声明尸明 本人郑重声明：此处所提交的硕士学位论文信息系统环境下的内部控制研究， 是本人在华北电力大学攻读硕士学位期间，在导师指导下进行的研究工作和取得的研究 成果。据本人所知，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得华北电力大学或其他教育机构的学位或证书而 使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示了谢意。 学位论文作者签名：互丝亟日期：竺里! ：! ：! 歹 关于学位论文使用授权的说明 本人完全了解华北电力大学有关保留、使用学位论文的规定，即：学校有权保管、 并向有关部门送交学位论文的原件与复印件；学校可以采用影印、缩印或其它复制手 段复制并保存学位论文；学校可允许学位论文被查阅或借阅；学校可以学术交流为 目的，复制赠送和交换学位论文；同意学校可以用不同方式在不同媒体上发表、传播 学位论文的全部或部分内容。 一 ( 涉密的学位论文在解密后遵守此规定) 作者签名：i 垫盏 导师签名： 日期：2 塑：芝，多 华北电力大学硕士学位论文 1 1选题背景及研究意义 第一章引言 随着i t 技术特别是以i n t e r n e t 为代表的网络技术的发展和应用，我们正逐步 向信息化社会迈进。信息是维持社会正常运转的重要的基础性资源，信息系统正广 泛深入地渗透到社会的政治、经济、军事、文化等各个领域，这也加大了整个社会 对信息系统的依赖性。一方面，信息系统使工作、生活诸多方面的结构和运行模式 产生了变革，改变了人们的思维模式，人类社会正在享受着信息化带来的方便和效 益；而另一方面，如果不加强对信息系统的控制，必将会导致信息化过程、信息系 统及其业务应用产生巨大风险。为了防范这些风险，现代企业的内部控制体系亟需 包含基于信息系统的内部控制政策与程序。 令人担忧的是，许多企业还未意识到信息环境下内部控制的必要性和重要性， 从我国目前信息系统发展的实际情况来看，一方面企业不惜重金通过软件或自行开 发等手段去购建信息系统，另一方面却又不重视电信息系统的内部控制建设，从而 使信息化后，企业经营失败、会计信息失真及不守法经营行为，在很大程度上均归 结为内部控制的不健全和失效。面对我国企业信息系统内部控制总体薄弱的客观事 实，如何根据自身特点，寻求建立和完善内部控制的措施，已经成为我国多数企业 实现信息化必须重点考虑的课题。 从理论的角度来看，信息系统环境下企业内部控制研究是以c o b i t 模型为基础 并应用高科技时代网络技术，对传统内部控制理论与方法进行整合和优化，建立一 套适合信息系统环境的内部控制理论框架体系，因此研究信息系统内部控制具有一 定的理论探索意义。从实践的角度来看，在信息系统环境下，企业已经实现了业务 和财务的一体化，资源得到了高度的共享。为了有效地保护资产的安全与完整，保 证会计信息的真实、可靠，提高经营效益，企业迫切需要对传统内部控制进行整合 和优化，以提高管理者经营决策的效率和效果，因此研究信息系统内部控制具有一 定的应用价值和推广价值。 总之，为了保证信息系统环境下的内部控制能够发挥预期效果，提高整个社会 的信息质量，需要研究信息系统环境下的内部控制理论框架及具体实施。因此，在 当前形势下研究信息系统内部控制具有紧迫性且具有重大理论意义和现实意义。 1 2国内外研究现状 华北电力大学硕士学位论文 2 0 世纪9 0 年代开始随着信息系统的发展，系统越来越复杂化、大型化和网络 化。各种各样的信息系统成为各种业务处理的核心，与此同时，互联网也开始向世 界范围扩充。互联网的爆炸性发展对社会影响的广度和深度是以往任何一次产业革 命所无法比拟的。互联网使信息资源的作用得到充分发挥，但也产生了众多不安全 因素。大量的事实证明信息系统的安全、可靠和有效变得越来越重要。信息系统成 为政府和企业的中枢，在美国、日本及欧洲的先进国家，几乎所有的政府和企业都 认识到了信息系统内部控制的重要性，许多组织都致力于研究如何有效管理和控制 信息及信息相关技术，并取得了许多成果，在发达国家，信息系统的内部控制已经 得到了普及。 国际上唯一的信息系统审计和控制协会一一美国信息系统审计与控制协会 ( i s a c a ) 已在世界上i 0 0 多个国家和地区设立了1 6 0 多个分会，制定和颁布了c o b i t 模型来指导和规范信息系统的管理和控制n 1 。它是一个在国际上公认为最先进、最 权威的安全与信息技术管理和控制的标准，目前已经更新至第四版。它在商业风险、 控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系 已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资 源，有效地管理与信息相关的风险。 英国标准协会( b r i t i s hs t a n d a r d si n s t i t u t e ，b s i ) 于1 9 9 5 年2 月制定了 信息安全管理标准b s 7 7 9 9 ，是目前国际上具有代表性的信息安全管理体系标准，标 准包括如下两部分：b s 7 7 9 9 - i ：1 9 9 9 信息安全管理实施细则和b s 7 7 9 9 - 2 ：2 0 0 2 信息安全管理体系规范。b s 7 7 9 9 - i ：1 9 9 9 信息安全管理实施细则是组织建 立并实施信息安全管理体系的一个指导性的准则，主要为组织制定其信息安全策略 和进行有效的信息安全控制提供的一个大众化的最佳惯例，它于2 0 0 0 年被i s o 组 织采纳，正式成为i s o i e c1 7 7 9 9 标准。该标准2 0 0 5 年经过最新改版，发展成为 i s o i e c1 7 7 9 9 ：2 0 0 5 标准。b s 7 7 9 9 - 2 2 0 0 2 信息安全管理体系规范规定了建 立、实施和文件化信息安全管理体系( i s m s ) 的要求，规定了根据独立组织的需要应 实施安全控制的要求。它为组织建立并实施信息安全管理体系，进行有效的信息安 全风险管理，确保商务可持续性发展，明确提出安全控制要求。此部分经过长时间 讨论修订，也于2 0 0 5 年成为正式的i s o 标准，即i s o i e c2 7 0 0 1 ：2 0 0 5 。 英国政府部门c c t a ( c e n t r a lc o m p u t i n ga n dt e l e c o m m u n i c a t i o n sa g e n c y ) 在 2 0 世纪8 0 年代末制订了i t i l ，即i t 基础架构库( i n f o r m a t i o nt e c h n o l o g y i n f r a s t r u c t u r el i b r a r y ，i t i l ，信息技术基础架构库) ，现由英国商务部 o g c ( o f f i c eo fg o v e r n m e n tc o m m e r c e ) 负责管理，主要适用于i t 服务管理( i t s m ) 。 i t i l 为企业的i t 服务管理实践提供了一个客观、严谨、可量化的标准和规范，企 业的i t 部门和最终用户可以根据自己的能力和需求定义自己所要求的不同服务水 平，参考i t i l 来规划和制定其i t 基础架构及服务管理，从而确保i t 服务管理能 2 华北电力大学硕士学位论文 为企业的业务运作提供更好的支持。对企业来说，实施i t i l 的最大意义在于把i t 与业务紧密地结合起来了，从而让企业的i t 投资回报最大化。目前，i t i l 已经在 全球i t 服务管理领域得到了广泛的认同和支持。为适应快速发展变化的i t 服务管 理市场，英国商务部( o g c ) 决定对i t i l2 0 ( i t i l 第二版) 进行修订，并力求在 2 0 0 6 年年底推出i t i l 3 0 ( i t i l 第三版) ，以满足用户的需求。 c m m i 是1 9 9 1 年由卡内基梅隆大学软件工程协会发布。早期的c m m l l 0 2 版本是 应用于软件业项目的管理方法，而c m m l l 1 版本已经演进为一种为软件开发、系统 工程及研发提供流程改进指导的框架，其专业领域已覆盖软件工程、系统工程、集 成产品开发和系统采购等。c m m i 虽然源于美国，但在世界各地得到了广泛的推广与 接受。在日本、欧洲、台湾、印度等地都有很多企业在推广与应用c m m i 模型，尤 其在印度c m m i 的应用甚至超过了美国。有专家预测在未来的几年内，c m m i 将成为 i s 0 9 0 0 0 之后的又一个国际上普遍接受的标准。 国际审计实务委员会( i a p c ) 先后公布了国际审计准则1 5 电子数据处理 环境下的审计、国际审计准则1 6 计算机辅助审计技术、国际审计准则2 0 电子数据处理环境对会计制度和有关的内部控制研究与评价的影响和计算 机环境下的审计及其他五项准则或实务公告，明确了在计算机信息系统环境下审 计的目的与范围，技术与能力的要求，审计计划的考虑，内部控制研究、评价及风 险评估的影响，制定与实施审计程序应关注的方面等。 美国于1 9 7 3 年开始制定计算机审计的有关法规，1 9 7 4 年注册会计师协会颁布 了 ：审计标准说明第3 号，题为“e d p 对审计人员研究和评价内部控制的影响 ， 要求注册公共会计师审计时对会计软件系统的内部控制做出评价，明确指出了e d p 应用的概念、性质及它对审计人员在研究和评价系统内部控制行为中的影响；同年 还颁布了 审计标准说明第4 8 号，题为“计算机处理对财务报表的影响”，它说 明e d p 系统不仅影响内部控制评价，而且对整个审计过程都产生影响，并提出了审 查e d p 系统所需的程序和方法。1 9 8 4 年美国e d p 审计人员协会发布了一套e d p 控制 标准 e d p 控制目的二_ 一1 9 8 4 年版。1 9 8 4 年，重新发布的s a s i - 2 4 8 ，取代原 来的s a sn o 3 ，更加广泛完整地阐述了计算机应用对检查会计报表等方面的影响。 美国注册会计师协会下属的审计准则委员会( a s b ) 于2 0 0 1 年4 月发布了第9 4 号 准则i t 对c p a 评价内部控制的影响，它对下列三方面问题做出了规范：i t 对企 业内部控制的影响；i t 对c p a 了解内部控制的影响；i t 对c p a 评价审计风险的影 响。 我国对信息系统内部控制的关注比国外起步晚，我国在1 9 9 9 年颁布了独立 审计准则第2 0 号计算机信息系统环境下的审计，指出了在计算机信息系统 环境内部控制研究、评价与风险评估程序。国务院办公厅2 0 0 1 年1 1 月1 6 日颁布 的关于利用计算机信息系统开展审计工作有关问题的通知，明确审计机关有权 3 华北电力大学硕士学位论文 检查被审计单位运用计算机管理财政收支、财务收支的信息系统，对信息系统的数 据接口、电子信息的保存要求、系统的测试、网络远程审计和审计人员在计算机审 计中的义务等做出了规定。在2 0 0 6 年2 月颁布的中国注册会计师审计准则中， 第1 2 11 号了解被审计单位及其环境并评估重大错报风险中提出了信息技术对 提高企业内部控制的效率和效果的作用及其引起的风险。从目前的研究情况来看， 我国从事这方面研究的机构主要有：上海的信息技术会计协会，审计署，中国会计 学会也关注信息化，但是主要集中的关注会计信息化，相关准则只作为审计准则的 一部分而提出，没有专门的标准，且其他机构在这方面研究较少。随着对信息系统 依赖性的增加，信息系统内部控制对于企业成功是至关重要的，企业管理层对信息 化的风险有了一定的认识，但从整体上来看，我国信息系统内部控制尚处于起步阶 段。 4 华北电力大学硕士学位论文 第二章信息系统环境下内部控制概述 2 1信息系统环境下内部控制相关概念 2 1 1 内部控制的概念 从当代管理学角度来解释，所谓控制即操作、管理、指挥、调节的意思。任何 组织管理都非常希望在一种有条不紊的高效率下开展经营活动，提供可靠的财务会 计信息和各项管理信息以供自身和其他方面使用，需要一些控制来减少决策的失误 和防止工作中的错误舞弊行为。当这种控制在组织系统内部实施时，通常称其为内 部控制。内部控制是组织为了提高经营效率和充分有效的获取和使用各种资源，达 到既定的管理目标，而在内部实施的各种制约和调节的组织、计划、方法和程序。 内部控制其实是一种管理控制，是有效实旌组织策略的必备工具。 1 9 9 2 年美国c o s o 报告中对内部控制做了如下定义乜1 ：“内部控制是由企业董事 会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法 令的遵循性等目标的实现而提供合理保证的过程。 其构成要素包括：控制环境、 风险评估、控制活动、信息和沟通、监控。 2 1 2 信息系统环境对内部控制的影响 随着我国企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报 告流程对信息系统的依赖程度也随之越来越高。对大多数企业而言，运用整合的e r p 系统，或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强 有力的支持。 随着萨班斯法案的出台，财务报告的内部控制几乎离不开信息系统控制，即使 业务层面的管理控制也是信息系统环境下的控制。但是，信息技术是一把双刃剑， 其潜在风险也越来越大，企业在建立有效的信息系统内部控制，以保证财务报告的 有效性方面正面临着巨大的挑战。 ( 1 ) 交易授权批准缺乏有效牵制 授权、批准是常见的、基础的内部控制。信息系统环境下操作权限的授予与手 工环境不同。运用手工环境处理一项经济业务时，在该项业务的各个环节都需要由 拥有相应权限的人员签章，这自然形成了层层复核、道道把关的严格审核机制。而 在信息系统环境下，操作人员利用特殊的授权文件或口令获取某项权利或进行特定 操作。用口令方式授权是信息系统环境下常见的和基本的内部控制，但口令一旦失 s 华北电力大学硕士学位论文 控将会对企业造成重大损失。 ( 2 ) 程序化操作易使差错反复发生 信息系统环境下的内部控制具有人工控制和程序控制相结合的特点。许多信息 系统应用程序中包含内部控制功能，如凭证的借贷平衡检验等。通常这种控制能够 检查某些特定类型的非法或异常交易，但程序化控制的有效性取决于应用程序的科 学性。由于内部控制的程序化，人们在长期的使用过程中对程序化的内部控制产生 了一定的依赖性，如果程序发生差错或不起作用，失效的控制将会长期不被发现， 并且多次重复，从而使系统在特定方面发生错误或违规行为的可能性更大、问题更 严重。 ( 3 ) 电子信息处理缺乏可视痕迹 在手工环境下，企业的经济业务均记录于纸张之上，这些纸质原件的数据若被 修改，则很容易辨别出修改的线索和痕迹，这也是传统纸质原件的一个基本特征。 但是，信息系统环境下原来纸质的数据被直接记录在磁盘或光盘上，很容易被删除 或篡改，并且在技术上对电子数据的非法修改可以做到不留痕迹，这样就很难辨别 哪一个是业务记录的“原件。另外，电磁介质容易受到损坏，这使得企业信息存 在丢失或毁坏的危险。同时，随着电子商务的迅猛发展，网上交易愈加普遍，在不 久的将来，企业的全部原始凭证可能都将成为数字格式，这使企业对网上公证机构 的依赖性进一步增强。但直到目前，相应的技术和法规还远未达到完善程度，这也 给信息系统内部控制的实现带来了较大困难。 ( 4 ) 系统整合集成加大信息风险 传统的内部控制主要针对单独的交易处理，而在信息系统环境下，整合集成系 统要求集中存储数据和程序，则在一定程度上带来了信息安全隐患，容易出现一损 俱损、全军覆灭的危险。而且，对于日益庞大复杂的信息系统，其内部稽核难度加 大、成本增加。如由外部监理机构完成，则可能泄露商业机密，影响其竞争力；如 由企业内部自行解决，则必须配备具有复杂高深查核技术的专业人员才能胜任。 ( 5 ) 网络开放性危及信息安全 一 网络是一个开放的环境，在这个环境中一切信息在理论上都是可以被访问到 的。因此，网络下的信息系统很难避免非法侵袭，即有可能遭到非法访问甚至黑客 或病毒的侵扰。这种攻击可能来自于系统外部，也可能来自于系统内部，而且一旦 发生将造成巨大的损失。 在信息系统环境下，企业已经实现了业务和财务的一体化，资源得到了高度的 共享。为了有效的保护资产的安全与完整，保证会计信息的真实、可靠，提高经营 效益，企业迫切需要对传统内部控制进行整合和优化。 6 华北电力大学硕士学位论文 2 2信息系统环境下内部控制的特点、分类及目标 2 2 1 信息系统环境下内部控制的特点 ( 1 ) 部分内部控制自动化和程序化 信息系统环境下的内部控制，除包括许多规章制度外，还包括不少以程序的形 式建立在计算机系统中的控制。例如，在计算机会计信息系统中，会计凭证输入后， 计算机可自动检查会计科目的编码是否合法、凭证编号是否重复、输入数据是否正 确；在处理完一批凭证后，计算机可自动检查借方金额合计是否等于贷方金额合计， 如果不等，计算机会给出错误信息，这些都是以程序的形式建立在系统中的控制。 ( 2 ) 控制的重点是电子数据处理部门 在手工操作业务中，每一项经济业务活动都可划分为授权、主办、核准、执行、 记录和符合等步骤，并把这些步骤分别交给不同的部门或人员来办理。但在计算机 信息系统中，大量的工作都集中到电子数据处理部门，一些职能部门往往只负责原 始数据的生成、审核、编码以及分析处理计算机输出的报告。原始数据从输入计算 机到记账、报表输出都有计算机自动处理，全部的责任与数据都高度集中于电子数 据处理部门。因此，电子数据处理部门应是控制的重点。 ( 3 ) 系统开发阶段的控制是其他控制有效发挥作用的前提。 开发信息系统的成本是非常高的，如果设计出来的系统不能满足用户的要求或 设计含有错误，那么，即使以后的各项控制措施是严密完善的，也会给单位带来巨 大的损失，而且一旦系统投入使用，要修改将是非常困难并要耗费巨额成本的。因 此，系统开发阶段必须实行强有力的控制，即使发现和修正错误，并在系统里建立 必要的程序控制，在系统设计时，注意留下审计线索或嵌入审计程序，以保证开发 出来的系统能满足用户的需求以及今后审计的需要。 ( 4 ) 控制的要求更为严格，内容更加扩大 信息系统数据处理比手工业务操作具有更大的风险，要求更加严格，控制的内 容更加扩大，并覆盖系统开发、实施、维护、风险控制、灾难恢复等信息系统生命 周期各阶段。例如，需要重新划分各种不相容的职务，管理和保护各种机器设备、 机房设施以及为数众多的计算机程序和文件，否则，就会造成更大的危害。 2 2 2 信息系统环境下内部控制的分类 按照一定的标准对信息系统环境下的内部控制加以分类，有助于对其理解、审 查和评价，国内外常见的几种划分方式包括： ( 1 ) 依据控制的范围，可分为一般控制和应用控制。 7 华北电力大学硕士学位论文 一般控制立足于管理角度，所采用的控制措施普遍适用于某一单位的信息系 统，控制对象包括信息系统的组织结构、运行环境、信息系统的开发、维护和运行、 信息系统的使用人员等。应用控制立足于技术角度，不同的应用系统有不同的控制 要求，但一般都包括输入控制、计算机处理与数据文件控制、以及输出控制。一般 控制是应用控制的基础，应用控制是一般控制的深化。 ( 2 ) 依据控制的预定意图，可分为预防性控制、检查性控制和纠正性控制。 预防控制时为了防止错弊的发生而设置的控制；检查性控制时用来检查、发现 已发生的错弊而设置的控制；纠正性控制是为了消除或减轻错弊时造成的损失和影 响而设置的控制。预防性控制时一种积极的控制，它试图在错弊发生之前加以防范， 输入环节的控制大部分是预防性控制；检查性控制时一种中性控制，它试图在错弊 发生的同时就能发现；纠正性控制是一种消极控制，它是假定错弊已经发生，设置 一些可以减少错弊影响的手段。 ( 3 ) 依据控制所采取的工具或手段的不同，可分为手工控制和计算机程序控 制。 一般控制大部分是手工控制，应用控制大部分是程序化控制。由于计算机信息 系统是一个人机系统，因此，内部控制既有手工控制，也有程序化控制。 ( 4 ) 依据控制实施部门的不同，可分为电算化部门控制和用户控制。 电算化部门控制是指由电算化部门人员或计算机程序实施的控制；用户控制时 指会计数据使用部门对计算机数据处理实施的控制。 2 2 3 信息系统环境下内部控制的目标 信息系统内部控制的目标，是指通过控制所要解决的问题和所要达到的目的， 可概括为以下六个方面： ( 1 ) 确保系统的合规合法 信息系统与手工业务操作一样，系统本身及其所处理的经济业务必须符合国家 有关的法律、法令、方针、政策，符合有关部门颁布的各种规章制度、条列等，如 现行的会计制度、财务制度等。因此，在设计系统的过程中以及系统运行阶段，必 须建立适当的内部控制，确保系统及其所处理的经济业务合规合法。 ( 2 ) 保证系统处理的数据正确无误 保证系统处理的数据的正确性，使信息系统内部控制的基本目标。为了保证系 统处理数据的正确性，在系统设计过程中，要注意设计程序化的控制，如平衡控制、 合法性控制、综述核对控制、合理性检验、纠错系统检验、输入数据类型检验、顺 序检验等。在系统运行过程中，要对数据输入环节进行严格的控制，确保输入数据 的正确性。 8 华北电力大学硕士学位论文 ( 3 ) 提高系统的安全性 保证计算机信息系统得安全可靠，是系统能够正常运行的前提和基础。因此， 在系统正式投入运行之前，就应考虑系统的安全性，通过建立严密完善的硬件、软 件和数据安全措施，来保护系统的安全可靠。 ( 4 ) 提高系统运行的效率 信息系统的运行效率在很大程度上决定于输入数据的速度。因此，在系统输入 设计化解中，可采用适当的控制设计技术，提高系统输入的效率。例如，在计算机 会计信息系统中，凭证编号由计算机自动生成，会计科目以编码的形式输入，规范 摘要的格式，常用的摘要可用代码输入等。 ( 5 ) 提高系统的可维护性 系统维护的工作不仅量大而且复杂。可维护性是指系统易理解、易修改和扩充。 为了达到这一控制目标，从系统开发工作一开始，就应该考虑到今后的维护工作。 在系统开发过程中，必须对系统开发的每一个环节进行严格的管理和控制。 ( 6 ) 增强系统的可审计性 所谓可审计性，是指有能力、有资格的审计人员，能够在一个合理的时间和人 力限度内，对系统的正确性和可靠性等做出公正的评价。影响计算机信息系统可审 计性的因素较多，其中一个重要的因素就是审计线索。计算机信息系统的审计线索 既容易被销毁，也容易被篡改，若设计时考虑不周，则很难进行事后审计。因此， 只有在计算机信息系统的输入、处理和输出等设计环节采取适当的控制措施，例如： 在计算机会计信息系统中设立总账、明细账、记账凭证等各种数据库，才能保留各 种审计线索，才便于对会计数据的追踪审查。 2 3 信息系统环境下内部控制标准概述 c o s o 报告中的内部控制整体框架较为广泛地适用于企业内部控制尤其是财务 控制领域。信息系统内部控制对组织业务目标的实现是如此的重要，促使我们考虑 如何进行管理和控制。c o b i t ( c o n t r o lo b j e c t i v e sf o ri n f o r m a t i o na n dr e l a t e d t e c h n o l o g y ) 模型是信息系统管理和控制的一个开放性标准，目前已成为国际上公 认的最先进、最权威的安全与信息技术管理和控制的标准。该标准辅助管理层进行 有效的信息系统内部控制，目前已在一百多个国家的重要组织中应用，用以指导这 些组织有效利用信息资源，有效地管理与信息相关的风险。c o b i t 有不少成功案例。 美国的一些州已把c o b i t 标准作为虚拟政府策略的一部分，用它来保持较低的成本 并为它的客户和委托人提供一定的服务质量。戴尔公司把c o b i t 作为c s a ( c o n t r o l s e l fa s s e s s m e n t ) 策略的一部分日】，帮助公司保持高质量。它使信息系统管理和控 9 华北电力大学硕士学位论文 制的工作量化和标准化，减轻对复杂信息系统管理工作的难度，在商业风险、控制 需要和技术问题之间架起了一座桥梁，为企业管理的成功提供了集成的i t 管理。 1 0 华北电力大学硕士学位论文 第三章信息系统环境下内部控制标准c o blt 研究 3 1 信息及相关技术控制目标c o b it 3 1 1c o bit 的历史背景 信息及相关技术控制目标( c o n t r o lo b j e c t i v e sf o ri n f o r m a t i o na n dr e l a t e d t e c h n o l o g y ，c o b i t ) 是i t 治理协会i s a c a 提出的i t 治理框架，是目前国际上公 认的最权威的安全与信息技术管理和控制的标准。它不仅是为了用户和审计者而设 计，同时也为管理层和公司流程的所有者提供了详细的指导。 c o b i t 在1 9 9 6 年被首次提出后，经过1 9 9 8 年、2 0 0 0 年和2 0 0 5 年三次修改补充， 现在已经发展到c o b i t 4 0 。c o b i t 已经在世界一百多个国家中被广泛使用，它帮助 这些使用者有效地管理信息相关风险和信息资源，达到其对信息的要求。随着i t 治理在国内的发展，引入c o b i t 对于内部控制和企业风险管理提供了有效的帮助和 指导。 c o b i t 4 0 参考全球范围内六个主要的i t 相关的标准、框架和实践，包括： c o s o ：内部控制整合框架( 1 9 9 4 ) 、企业风险管理整合框架( 2 0 0 4 ) 。 o g c ：i t i l ( 1 9 9 2 2 0 0 4 ) 。 i s o ：i s o i e c ：1 7 7 9 9 ：2 0 0 5 ，信息安全管理实施准则。 s e i ：s e i 成熟度模型( 1 9 9 3 ) 、s e l 成熟度模型整合( 2 0 0 0 ) 。 p m i ：知识项目管理( 2 0 0 0 ) 。 i s f ：信息安全最佳实践标准( 2 0 0 3 ) 。 3 1 2c o b it 的组成部分 c o b i t 4 0 的组成如图3 - 1 所示。业务会对i t 流程提供要求，i t 流程对业务起 到支持的作用，为业务提供所需的信息。i t 流程的具体的控制目标，通过控制实践 进行实施，这些控制目标也在审计指南中反映出来。 华北电力大学硕士学位论文 图3 - hc o b i t 4 0 的组成图 审计指南在对i t 流程和控制目标进行充分了解的基础上进行审计。审计指南帮 助中介评估机构或信息系统审计师对信息系统控制进行了解、评估和实施审计h 1 。 该指南根据c o b i t 框架，对框架内具体的各个控制目标和i t 流程进行了详细的审 计指导，对信息系统审计人员是一个有力的工具，使系统审计师能够方便地进行系 统控制审计，并且提供系统控制建议。 i t 流程通过活动目标进行正确有效的实施。为了对i t 业务活动进行有效控制， 有效地管理企业的资源，传递商业所需要的信息，对企业的运营起支持作用， c o b i t 4 0 提供了三方面的评价标准：关键绩效指标( k e yp e r f o r m a n c ei n d i c a t o r ) 、 关键目标指标( k e yg o a li n d i c a t o r ) 和成熟度模型( m a t u r i t ym o d e l ) 。通过对 这三方面的管理，可以对企业的信息资源进行正确有效的管理o 关键目标指标( k e yg o a li n d i c a t o r ) ：关键目标指标是用于指导和监督i t 传 递商业价值的处理和控制活动系统的创建和维护。这些指标为处理活动提供了指 导，并有助于对处理活动的结果进行判断，从而为企业创造出价值。 关键绩效指标( k e yp e r f o r m a n c ei n d i c a t o r ) ：关键绩效指标评价关键成功因 素。这些指标通过对i t 处理活动的执行情况进行检测，得到该活动是否达到了企 业商业目标的相关信息。 成熟度模型璐1 ( m a t u r i t ym o d e l ) ：成熟度模型是由软件工程协会定义软件开发 能力成熟性的方法演化得到的。该模型制定了一个基准，使得企业可以根据相关的 指标判定自己所处的等级，从而确定关键成功因素，通过关键绩效指标进行监控和 彰 、文 移圃眵、囱匿 华北电力大学硕士学位论文 评价。 成熟度模型对c o b i t 的3 4 个i t 流程分别作了独立的描述，让管理层能够了解 到：公司目前i t 治理的程度；行业内竞争者和被行业广泛接受的做法以及与其的 差距；提高公司i t 流程管理和控制具体从哪些方面采取行动。 建立成熟度模型以上述的定性模型为基础，加入意识和交流、政策、标准和流 程、工具和自动操作、技能和专业知识、职责和责任、目标设定和衡量等特征的内 容。成熟度模型使得管理层能够容易地辨别自己的情况。在c o b i t 中，成熟度模型 关注公司的能力。公司的能力由公司的类型、环境和战略决定，应该最大程度符合 其运营流程。注意，此时c o b i t 并不是关注公司的绩效。 总的来说，成熟度模型能衡量i t 流程管理和开发的程度，同时也帮助管理层了 解i t 流程管理的缺点，并在相对应的方面设立目标。 3 1 3c o bit 的原理与框架 c o b i t 控制目标体系口1 是从商业需求( 也称业务需要) 、i t 资源、i t 流程这三者 之间所产生的循环。为了满足商业需求，公司使用相关的i t 资源，通过对i t 流程 的管理和控制，满足i t 控制目标，提供公司需要的信息，促进公司目标的达成。 所以，c o b i t 是由商业需求发起，促进对i t 资源的有效管理，i t 资源通过i t 流程 支持着企业的业务活动，给企业创造价值。如图3 - 3 所示。 i t 流程i t 资源 图3 - 3 商业流程、i t 资源、i t 流程的循环 c o b i t 将企业的i t 流程和i t 资源以及对业务的需求进行了整合，成为三维立 方体，如图3 - 4 所示。 1 3 华北电力大学硕士学位论文 i t 流 程 图3 4 ：c o b i t 对r i 流程、r i 资源、业务需求的三维整合图 c o b i t 为了能够使i t 满足公司的要求，将i t 与公司的需要结合，将i t 流程进 行了组织，对信息的要求进行定义，并且辨别出了相关的i t 资源。对于公司的需 要，i t 流程提供支持，提供其需要的信息。i t 流程需要的i t 资源是基础构造和人， i t 流程需要运行应用程序。c o b i t 4 0 对于每个i t 流程，都给出了业务需求、信息 需求、i t 资源、详细的控制目标、活动目标、测评标准等相关内容。 在c o b i t 4 0 中，业务需求对信息标准的要求有七个特征阳1 ：正确性、有效性、 机密性、完整性、可用性、合规性、可靠性。对于这七个特征的解释如图3 - 5 所示。 图3 5 ：业务需求对信息标准要求的特征 c o b i t 定义的i t 资源包括信息、应用程序、基础构造和人1 。对于每个资源的 定义如图3 - 6 所示。 1 4 华北电力大学硕士学位论文 图3 6 ：n 资源的4 个方面的定义 i t 流程是对信息及相关资源进行计划、处理和控制的过程。c o b i t 按照信息系 统的生命周期将i t 流程划分为4 个域，并确定了各个域内的i t 流程。因此，c o b i t 将企业对i t 信息的要求和i t 资源的要求以及i t 的各个流程紧密地融为了一体。 c o b i t 总图u 们如图3 - 7 所示。 ( 1 ) 规划与组织：这个域包括战略和战术，关注i t 如何才能更好地有助于业 务目标，以及战略和战术的实现需要从不同的方面去计划、交流和管理，同时合理 的组织和技术设施也要准