（工商管理专业论文）基于中国企业IT内控管理体系的研究.pdf

基于中国企业i t 内控管理体系的研究 研究生：封磊导师：李东教授东南大学 摘要 近些年，国内国外相继发生由于内控不适当而发生的财务丑闻使得各国国家 都加强了内控风险方面的控制，为此美国出台了著名的萨班斯奥克斯利法 案；澳大利亚制定了公司法经济改革法案；中国制定了企业内部控制基 本规范。 合理建立内部控制制度无论从宏观还是从微观来讲，都具有十分深刻的意 义。从微观来讲，合理建立内部控制制度是目前每个企业在股份制的条件下保证 经理人的合理行权及股东合理权益的公认重要手段。这一制度建立的恰当与否直 接关系到公司治理、股东的权益，做好内控的建设和实施是企业正常高效运转的 保证。从宏观来讲，合理建设内部控制制度，是满足上市公司内部控制评价报告 制度要求、促进资本市场健康发展的客观需要；是使我们国家财政稳固强大的必 然要求；也是我国建立惩治和预防腐败体系的重要措施。 公司内控和i t 内控体系等在不同层面相互补充、相互支持、相互融合，推动 公司整体上建构一个合理、合法、健康的内控结构，对风险控制、反营私舞弊、 健康运营等提供完整的控制框架和控制目标，况且从公司长远健康发展看，或者 从我国证监会、财政部等政策和法规遵守来说，强化公司内控、i t 内控能力并使 之相互衔接和融合，建设并完善这一体系都是势在必行。 本文将先就内控制度建立方面的相关理论进行回顾和深入分析，深刻理解内 部控制的相关概念、内容、地位以及内部控制体系建立的原则，再以i t 内控与 内控管理体系的关系做相关阐述，最后以先声药业萨班斯4 0 4i t 内控项目为例， 通过介绍该集团内控制度建设的实例，对应理论，来讨论建立高效实用的内控制 度所应注意的问题以及着眼点。供相关i t 管理层、i t 审计人员、i t 工程师以及 咨询人员参考借鉴。 关键词：萨班斯法案；i t 内控管理；项目实施；i t 治理；i t 安全 r e s e a r c ho ni ti n t e r n a lc o n t r o ls y s t e mo f c h i n e s ec o m p a n y 一 g r a d u a t e ：f e n gl e is u p e r v i s o r ：l id o n g s o u t h e a s tu n i v e r s i t y a b s t r a c t t h es a r b a n e s o x l e ya c to f2 0 0 2w a sp a s s e di nt h eu si nr e s p o n s et ot h ev a r i o u s c o r p o r a t ef i n a n c i a lr e p o r t i n gs c a n d a l so ft h el a t e19 9 0 s t h ec o r p o r a t el a w e c o n o m i cr e f o r mp r o g r a ma c to fa u s t r a l i aa n dt h eb a s i cs t a n d a r df o re n t e r p r i s e i n t e m a lc o n t r o lo fc h i n aw e r er e c e n t l yp a s s e dt or e g u l a t ec o r p o r a t eg o v e r n a n c ei n t h e s ec o u n t r i e s a d e q u a t ei n t e r n a lc o n t r o ls y s t e mh a ss i g n i f i c a n ti m p a c to nb o t hm i c r o s c o p i ca n d m a c r o s c o p i ce c o n o m y s i g n i f i c a n t l yr a i s e dt h em a n a g e m e n ta c c o u n t a b i l i t yl e v e l ， i n t e r n a lc o n t r o li sr e c o g n i z e da st h ec r u c i a ls t e pt og u a r a n t e ee f f i c i e n to p e r a t i o no f l i s t e de n t e r p r i s e sa sw e l la st h es h a r e h o l d e r s r i g h t sa n di n t e r e s t s i ti sa l s oan e c e s s a r y m e a s u r e m e n tt or e g u l a t ea n ds t a b i l i z e dt h ec a p i t a lm a r k e ti nc h i n a a sa l li m p o r t a n tp a r to fc o r p o r a t eg o v e r n a n c es y s t e m ，i ti n t e m a lc o n t r o l c o m p l e m e n t sa n ds u p p o r t st h ew h o l ei n t e r n a lc o n t r o lm a n a g e m e n ts y s t e mi nm a n y l e v e l sa n dc o n t r i b u t e dt ot h ee s t a b l i s h m e n to fac o m p l e t ea n dh e a l t h yc o r p o r a t e g o v e m a n c ee n v i r o n m e n t t h i sa r t i c l er e v i e w e da n da n a l y z e dt h ev a r i o u st h e o r i e sa n dp r i n c i p l e sa b o u t i n t e r n a lc o n t r o ls y s t e m u s i n gt h ei t4 0 4i n t e r n a lc o n t r o ls y s t e mp r o g r a ma d v o c a t e d b ys i m c e r ea se x a m p l e ，t h ea u t h o ra l s oe x p a t i a t et h er e l a t i o nb e t w e e ni tm a n a g e m e n t a n dt h ee n t i r ei n t e r n a lc o n t r o ls y s t e ma n dd i s c u s s e do nh o wt ob u i l dah i g h l ye f f i c i e n t a n dp r a c t i c a li n t e r n a lc o n t r o ls y s t e mi nal i s t e dc o m p a n y k e y w o r d s ： s a r b a n e s - o x l e ya c t ， i ti n t e r n a l c o n t r o l ，p r o j e c t i m p l e m e n t a t i o n ，i tg o v e r n a n c e ，i ts e c u r i t y i i 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 研究生签名 莉谚期：掣泐飙冯掣 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人 电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论 文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包 括刊登) 授权东南大学研究生院办理。 东南人学硕士学位论文第一章绪论 1 1 研究的背景及意义 1 1 1 研究背景 第一章绪论 2 0 0 1 年1 2 月，美国最大的能源公司安然公司，突然申请破产保护，此 后，美国上市公司会计舞弊丑闻不断，规模也屡创新高，先是2 0 0 2 年6 月的美 国第二大长途电话和数据公司世界通信公司涉嫌会计舞弊，而后是美国办公设备 巨人施乐、默克等公司。为了改变这一局面，2 0 0 2 年7 月3 0 日美国国会和政府 通过了萨班斯一奥克斯利法案( s o x ) ，澳大利亚制定了公司法经济改革 法案。在国内，国家自然科学基金委员会原会计贪污挪用逾2 亿元科研资金大 案、四川长虹5 亿美元应收货款被骗案、中航油新加坡公司违规炒作油品期货造 成5 5 4 亿美元巨额亏损。而种种事实也使我国也不得不重视内部控制制度的问 题。 1 9 9 7 年5 月，中国人民银行颁布加强金融机构内部控制的指导原则， 这是我国第一个关于内部控制的行政规定。 2 0 0 0 年7 月1 日，我国实施新会计法，以此明确了“各单位应当建立、 健全本单位会计监督制度”。 2 0 0 1 年1 0 月，中国证监会发布了关于做好证券公司内部评审工作的通知。 2 0 0 2 年，中国证监会首席会计师张为国提出，拟在3 5 年内借鉴美国萨班 斯奥克利斯法案中有关完善上市公司内部控制制度及其报告制度的做法。 2 0 0 8 年5 月，财政部、证监会、审计署、银监会、保监会为了加强和规范 企业内部控制，提高企业经营管理水平和风险行为防范能力，促进企业可持续发 展，维护社会主义市场经济秩序和社会公众利益，共同发布了企业内部控制基 本规范，自2 0 1 0 年1 月1 日起在上市公司范围内施行，鼓励非上市的大中型 企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评 价，披露年度自我评价报告。内部控制制度的建立和完善成为企业的重要经营支 持，故各集团企业纷纷寻找自身问题，进行改革，以使企业的经营具有长远盈利 性。在这个过程中，企业必须注意多方面的问题，以更深更广的眼界去着眼内控 东南大学硕上学位论文第一章绪论 制度的建设，使企业的内控制度与经济、审计、会计有机结合，具有长远的发展 意义。 1 1 2 研究意义 首先是外部需求特别是萨班斯法案颁布后加强上市企业内控对外报告需求 的推动；其次是内部需求特别是企业加强风险管理、提高内控管理与整体流程管 理水平需求的推动。其中i t 内控作为企业内部控制的有机组成部分，对企业竞 争力和经济效益的影响越来越大，i t 内控不同程度凸现出在中国企业业务支持 方面的关键作用。 合理建立内部控制制度无论从宏观还是从微观来讲，都具有十分深刻的意 义。从微观来讲，合理建立内部控制制度是目前每个企业在股份制的条件下保证 经理人的合理行权及股东合理权益的公认重要手段。这一制度建立的恰当与否直 接关系到公司治理、股东的权益，做好内控的建设和实施是企业正常高效运转的 保证。从宏观来讲，合理建设内部控制制度，是满足上市公司内部控制评价报告 制度要求、促进资本市场健康发展的客观需要；是使我们国家财政稳固强大的必 然要求；也是我国建立惩治和预防腐败体系的重要措施。 1 2 研究的问题与方法 1 2 1 问题的提出 针对企业内控管理出台了许多的框架体系，那么对于企业内部的i t 建设与 控制而言，i t 内控与内部控制有什么关系、企业实施i t 内控会给企业经营带来 怎样的影响、如何系统考虑i t 内控建设。 各个国家都制定了不同的法规，在内控方面国外企业相对中国企业走的比较 早，目前中国企业在国外上市都要求按照相关法案来执行企业内控，中国企业怎 样实施内控才能通过相关法案、通过相关法案能够企业带来哪些优势。 本文通过理论结合案例具体阐述i t 内控的实施全过程并提出相关注意点与 经验分享。 2 东南大学硕：学位论文第一章绪论 1 2 2 研究方法 本文的研究方法主要有文献研究、归纳分析和案例分析，以获得科学、准确 的研究结论。主要研究方法包括： 文献研究：本文通过大量阅读内控管理体系方面的现有研究资料，包括相关 书籍、学术期刊及网络资源，总结出内控管理体系尤其i t 内控方面的研究成果。 归纳分析：通过对现有资料的归纳，总结i t 内控管理体系设计维度与要素。 案例分析：以先声药业i t 内控管理项目做案例，来辅助说明i t 内控项目设 计的过程与方法。 1 3 研究的内容与框架 1 3 1 研究内容 根据本文的研究目标及拟解决的关键问题，本文各章内容安排如下： 本文第一部分绪论，概述选题的研究背景，提出本文的研究目标及拟解决的 关键问题； 第二部分为内部控制，主要针对内部控制的概念、内容、发展轨迹做具体阐 述，同时也针对i t 内控与内控管理体系之间的关系及影响做说明，引出i t 内控 管理体系。 第三部分为i t 内控，主要针对i t 内控的重要性、理论体系、分类、实施过 程做具体详细的阐述。 第四部分为i t 内控对企业经营管理的影响，主要结合中国目前国情，说明 中国企业目前实施i t 内控面临的挑战，针对现实情况在阐述企业实施i t 内控的 对策以及思路。 第五部分为i t 内控项目实践，以先声药业在美国上市实施i t 内控项目为背 景。详细阐述了项目的主要阶段、工作内容、主要成果，最后针对项目实施经验 做了相关分享。 第六部分为研究结论与展望，主要针对i t 内控管理体系的研究分析，认为 企业的长期发展离不开i t 内控以及在i t 内控框架的重要性。最后根据i t 内控 拓展到i t 安全管理与服务管理优化方面做了相关阐述。 东南大学硕七学位论文第一章绪论 1 3 2 研究框架 1 4 本文的创新点 图1 - 1 本文的研究框架 1 、在各个国家加强内部控制、风险控制的大环境下，以及中国在2 0 0 9 年7 月l 同即将推行企业内部控制基本规范之际，推动内部控制、风险控制的同 时提出优化建议。 2 、研究更加贴近现实，通过对先声药业实施i t 内控管理体系的实例研究提 出的经验可以给其他企业提供参考，研究的结果具备现实指导意义。 3 、针对美国的萨班斯法案与中国的企业内部控制基本规范做了相关研 究，从而使得法案的遵循实施更符合中国国情。 4 、本文理论结合实际的研究，为i t 管理层、i t 审计人员、i t 工程师以及咨 询人员提供了非常详实的经验分享。 4 东南大学硕十学位论文第二章内部控制 2 1 内部控制的概念 第二章内部控制 内部控制( i n t e r n a lc o n t r 0 1 ) 一词，最早出现在1 9 3 6 年美国会计师协会( 美 国注册会计师协会的前身) 发布的注册会计师对财务报表的审查文告中，定 义为保护现金和其它资产，检查会计事务的准确性，而在公司内部的手段和方法。 近几十年来，随着内部控制理论以及认识的不断发展。1 9 8 6 年，最高审计机关 国际组织在第十二届国际审计会议上发表的总声明，对内部控制做出了权威 性解释t “内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序 和效果性，保证管理决策的贯彻，维护资产和资源的安全，保证会计记录的准确 和完整，并提供及时的、可靠的财务和管理信息”。 对内部控制的关注最初源自企业自身对规范化管理和股东掌握企业运营的 准确信息的需要。此外最重要的推动因素就是外部审计师审计财务报表的要求。 此后，各国政府也逐渐开始积极推动内部控制领域的进程，以期减小企业的舞弊 和违规行为对市场经济秩序的消极影响。因此，内部控制理论与实践的不断发展 是学术界、职业组织、大型企业及政府组织共同推动作用的结果。此外，内部控 制领域的发展历程显示，一些影响巨大的公司经营失败或舞弊事件的发生，往往 加速了内部控制理论研究以及实践应用的发展进程，并催生了一些里程碑式的文 献和立法规定。最典型的代表莫过于美国2 0 0 2 年出台的萨班斯一奥克斯利法 案。该法案的第4 0 4 条款不仅要求公司管理层定期评估公司财务内控的有效性， 并且要求外部审计师对管理层的评估结果和公司财务内控的有效性出具审计意 见。那么，内部控制的作用究竟是什么呢? 如果用一句话概括，那就是：有效的 内部控制有助于在合理的程度上提高企业运营的效果和效率、保护企业资产，确 保财务报告的可靠性以及企业对法律法规的遵循。 2 2 内部控制的内容 内部控制主要由控制环境、风险评价、控制活动、信息和沟通及监督5 个部 东南太学碰i 岸位论立 第一章内部控制 分组成。( 参见图2 - 1 ) 信自自4 时地# & 一自 井童f “芜 信息 - n 自自* 自g * 自 - 口4 n h 责a 面蒯日i 刊 * 理层i * * 日# * m e 镕* g j 自自帮削成功 措施的口喜琉 2 2 1 控制环境 乏一菇墒 幽2 - 1 内部控制的山，彝 控制环境指影响组织实行内部控制的各种因素，其中包括组纵特征、产品与 服务构成、组织文化、领导风格、法律制度、管理层对内部控制的认识和组织信 息管理系统等。这些因素都直接或间接地对内部控制的推行、效果或效率产生正 面或负面影响。 2 2 2 风险评价 风险评价指对风险的真实性、风险可能造成的损丈、防范风险u r 能采取的有 效措施、这些措施可能产生的效果和风险发生后将产生的内外部影响进行分析和 评价。 2 2 3 控制活动 控制活动是对可能发生或已经发生的风险采取应对措施，纠正偏差，使组织 的运行朝着既定目标发展其中包括相关的政策和程序。 广11lj 东南人学硕士学位论文第二章内部控制 2 2 4 信息沟通 信息沟通内部控制涉及到组织的各个环节和各个方面，为了获得充分准确的 信息、控制措施得到充分响应、风险评估客观公正，广泛的信息来源和相关人员 之间的充分沟通与理解是内部控制中十分重要的工作环节。 2 2 5 监督 监督整个内部控制过程，包括风险评价和控制措施，本身都必须处于有效的 监控之中，并根据具体情况进行及时的动态调整，以提高内部控制的准确性、有 效性和控制效率。 2 3 内部控制的发展轨迹 职责结果”二= 业务结桓。蕴殃结桓j7 曩险踣桓：葶+ 一信息结构 对象是资产 及其记录的 安全性 基于不同业 务类型的内 部控制，内 部会计控制 和内部管理 控制 基于不同业 务类型的内 部控制，内 部会计控制 和内部管理 控制 侧重于研究 组织的决 策、执行、 监督及其之 间的相互关 系 将基于职责 结构、业务 结构、组织 结构和风险 结构的内部 控制与信息 化技术集成 图2 2 内部控制发展轨迹 2 3 1 基于职责结果的内部控制 为防止发生舞弊行为或错误事项，人们将一个组织的各项工作职责进行了细 分，并认真研究了各项职责的特性和相互关系，在此基础上，找出各项职责之间 的制约关系，并将这种关系设计到资产及其记录的处理流程之中，形成了最早的 内部控制理论和实务。实际这种理论和实务应该被称为“内部牵制”。例如，出纳 与会计的分离、资产保管与会计记录的分离、业务授权与相关资产保管的分离、 经营责任与记录责任的分离等，内部牵制是内部控制的原始或初级形态。 2 3 2 基于业务结构的内部控制 早期的内部控制主要对象是资产及其记录的安全性。然而，如果内部控制的 7 东南大学硕上学位论文第二章内部控制 目的仅仅是查错防弊，那么它的成本和效率会成为一些人诘问的把柄。如果内部 控制的机制在资产保管和记录安全上能发挥作用，那么，将其拓展到其他经营管 理领域，同样也会发挥作用。于是，人们又将内部管理理论和实务进一步向前发 展，提出了基于不同业务类型的内部控制，将内部控制分为内部会计控制和内部 管理控制。这种理论和实务既能在一定程度上解决了内部控制成本和效率问题， 又扩张了其内容，使其作用范围扩大到组织的管理活动中。 但是客观地讲，这种分类弊端也非常突出。在实务中，人们极易将完整的内 部控制体系割裂开来，导致履行不同职责的人只会关心于自己的控制，忽视从而 也就不能很好地利用其它控制。最明显的例子就是，在工作中一般只对内部会计 控制感兴趣，而对内部管理控制而言，则不闻不问。 2 3 3 基于组织结构的内部控制 基于职责结构的内部控制适用于组织规模较小、业务相对简单、控制目的单 一的情况，而且主要针对执行层面。这种控制对于现代大型企业而言，应该说还 是杯水车薪，无济于事。现代大型组织的控制除了关注执行层面外，更重要的是 要关注决策层面、战略层面、决策与执行两层面的关系、执行与监督两层面的关 系。因此，这就是需要在组织结构上进行规划，从整体关系上达到控制的要求和 目的。 基于组织结构的内部控制侧重于研究组织的决策、执行、监督及其之间的相 互关系，并以此为依据，设计组织的内部控制体系。此时，对内部控制的表述不 再是“制度”而是“框架”。在这样的框架中，控制环境、风险评估和内部监督成为 重要的要素，这些也是早期内部控制理论和实务有所忽视的。 2 3 4 基于风险结构的内部控制 面对同趋激烈的生存竞争环境，一个大型组织在重大问题上的决策稍有不 慎，便可有灭顶之灾。风险管理相对于日常工作中的资产安全性及其记录正确性 而言，显得更加重要。因为真正的风险一旦来临，无论资产和记录的质量如何， 可能都在瞬间荡然无存。面对这种情况，不但财务人员和审计人员，而且高层管 理人员；不但执行人员，而且决策人员，都将内部控制的重点由资产安全及其记 录正确性逐渐向风险管理转移。风险管理要求内部控制不应仅仅局限于单个岗 8 东南大学硕十学位论文第二章内部控制 位、单项职责、单项业务、单项流程，而是要包括组织活动的全过程；控制视角 不仅仅要放在某几个关键控制点上，而是要包括凡是可能诱发和产生风险的所有 活动上。 在这种环境下，内部控制的框架被进一步扩大，特别关注了风险管理问题， 将组织目标、影响目标实现的事件、风险和机会、风险反应对策等要素纳入了内 部控制的视野。此时，内部控制与组织的风险管理几乎融合为一体。这不但影响 了组织的管理活动，而且也影响了组织的内部审计。 2 3 5 基于信息结构的内部控制 随着组织对内部控制的需求不断扩大，内部控制的内容日益复杂，内部控制 的流程也日益程序化。在这种情况下，内部控制的固有缺陷也就明显。例如，内 部控制的有效性过度地依赖人和制度，过度地依赖于组织结构和管理流程的细 分，过度依赖于程序的严禁。这就使得内部控制的成本偏高，效率底下，反应速 度缓慢，灵活性偏差。这也正是大家在没有法律强制要求的情况下，都倾向于将 内部控制简化的重要原因。 如果认真分析，我们就会发现，大家总是倾向于简化内部控制的原因可能就 在于，高配置、低手段，既设计了高级的内部控制，运用的是手工方式。如果我 们将手工方式作为传统方式，将信息化方式视为现代方式，那么，传统的内部控 制实际上是忽视了信息化技术的作用，由于人们对信息化技术的认识不到位，所 以限制了人们对内部控制的利用和作用范围。 我们应该看到，信息化技术可以降低内部控制成本，提高内部控制效率；可 以将人为控制变为程序控制，并使控制变得灵活可靠；可以形成手工条件不可能 设置的控制，增强控制的功能；可以快速获取和传递信息，及时反馈信息，提高 控制效果。由于信息化的内部控制有无可质疑的优势，也具有不可替代性，因此， 内部控制的进一步发展，方向必然是信息化，即要建立基于信息化结构的内部控 制。那么，什么是基于信息结构的内部控制? 简单地说，就是将基于职责结构、 业务结构、组织结构和风险结构的内部控制与信息化技术集成起来。建立基于信 息化结构的内部控制，一是要利用信息化技术对职责结构、业务结构、组织结构 和风险结构的内部控制进行相应的调整和改造；二是要使内部控制的运作方式信 息化。 9 东南人学硕士学位论文第二章内部控制 2 4i t 内控与内控体系的关系 2 4 1i t 内控对目标设定的影响 内部控制是一个人为制造的系统，而设定目标是任何一个人造系统的首要环 节。内部控制一体化框架( 内部控制一体化框架是由美国虚假 财务报告委员会下属的发起人委员会( t h ec o m m i t t e eo f s p o n s o r i n go r g a n i z a t i o n s o ft h en a t i o n a lc o m m i s s i o no ff r a u d u l e n tf i n a n c i a lr e p o r t i n g ) 颁布的内控标准， 以下简称c o s o ) 报告提出了内部控制“营运效率与效果、财务报告的可靠性和遵 循相关法令”的三大目标。企业信息化虽对企业产生深远的影响，但并未改变其 总体目标，只是在各项内控活动内容和具体目标范围上会有所拓展。 在信息化条件下，营运的效率及效果目标则不能仅要求企业以利润最大化为 目标，追求有形价值的增加，信息资源等无形财富也应该成为企业价值的一部分。 因此，创造知识、积累商誉、保护环境等也将对企业产生重大影响。在财务报告 的可靠性方面，信息化条件下企业提供的信息不能再局限于财务报告，为满足企 业内外各信息使用者的信息需求，在信息披露类型上应该有所扩展。增加报告的 类型这一要求，实质上就是面对信息化条件下各界所做出的回应。信息化条件下， 企业内部控制对相关法令的遵循性提供合理保证仍是其目标之一。但较之于传统 方式下，国家各项法律、法规、制度将趋于完善，企业需要遵循的法规也更为广 泛( 包括信息技术、信息系统方面的规定等) ，企业对相关法规的遵循性在信息 化条件下将更为重要。 2 4 2i t 内控对内部控制环境的影响 控制环境是对建立和实施企业内部控制具有重要影响的各种要素的总称。控 制环境的构成要素是多方面的，主要包括：企业的治理机制、组织结构和权责分 派体系、企业管理者的素质、品行和管理哲学、企业文化、人力资源政策和实务 等。信息化将有助于改善企业的治理机制。完善的信息化系统能准确、全面、及 时地为董事会和监事会提供履行其监督职能的信息，同时良好的信息系统能够使 得小股东以较低成本参加股东大会维护自己的权益。信息化为内外部治理机制的 完善提供了便利，而良好的治理机制将为内部控制提供良好的基础。由于信息化 的高效率，企业的组织结构将趋于扁平化，内部控制的组织层次将会减少。这对 1 0 东南大学硕十学位论文第二章内部控制 信息系统下权限划分要求更为严格。因为信息化条件下企业生产经营将更为依赖 信息系统。而在信息系统下，利用信息从事非法活动等与信息技术相关的风险大 大增加，企业潜在损失风险也相应增加。同时，这也要求企业通过良好的人力资 源政策，对员工进行激励和约束，提高员工的整体素质和道德。信息技术的应用 也使得管理者能获取的信息量倍增，那么如何在纷繁复杂的信息中，抓住重点， 及时做出决策，这便对管理者也提出了更高的要求。此外，信息化也必然对企业 的管理哲学和企业文化产生一定的影响。因此，如何加强对信息系统的内部控制， 利用良好的管理手段和技术方式，去降低信息化所带来的风险，为内部控制提供 一个优良的环境基础，将是十分重要的。 2 4 3i t 内控对风险管理诸要素的影响 风险是普遍存在的，企业在日常的生产经营总会面临着来自内部或外部的风 险。特别是信息化条件下，企业间竞争愈演愈烈，企业的经营风险也在不断增加， 内部控制的执行显得非常必要。可见，事件识别、风险评估、风险回应这三个风 险管理要素是提高企业内控效率和效果的关键。 在信息化的条件下，信息技术的应用，改变了企业的业务流程，降低了传统 方式下人工舞弊的风险。但是与此同时，信息系统的应用将使得企业信息的采集、 处理和运用更加依赖信息技术和信息系统的实施效果。而信息系统条件下，信息 在生成和传输的过程中又产生了新的风险，这些都增加了信息化条件下内部控制 执行的难度。因此，在信息化条件下，企业应该特别关注与信息、信息系统方面 的事件识别、风险评估和风险回应。因为在信息化条件下，信息系统失灵导致重 要信息的遗失或泄漏，都将给企业造成不可估量的损失。这就要求企业建立起良 好的信息技术治理机制，减少引起带来损失或灾难的可能性。 从另外一个角度来说，企业也应该积极利用信息技术，作为事件识别、风险 评估和风险回应的有效工具。利用信息化条件下的高数据处理能力，企业可以搜 集和处理大量涉及企业风险方面的有关数据、信息，设立风险识别和评估模型系 统，为企业风险的识别和评估提供基础。而且企业可以利用信息系统强大的数据 处理功能支持，构建起自身的数字神经系统，提高企业对数字等相关数据的敏感 度，对相关数据的异常变动可能存在的问题做出一个积极、有效、及时的风险回 应。 东南大学硕十学位论文第二章内部控制 2 4 4i t 内控对控制活动的影响 控制活动是企业为了保证管理指令能够得到有效执行而制定实施的控制政 策与程序。由于控制活动必须根据企业的业务流程情况和具体的控制点进行设 置，而企业信息化极大影响了企业的业务流程和具体控制点，因此，控制活动必 然受到企业信息化的直接影响。信息化环境下的控制活动分为两部分：自动化业 务控制和信息系统控制。自动化业务控制是指以计算机程序为主要方式的信息系 统中，业务的经营控制都是由计算机程序自动完成的。自动化业务控制的对象仍 然是企业的生产经营过程，但其形式和手段均发生了较大变化。信息系统控制是 企业对信息系统作为一个整体而为保证其系统正确性、完整性和安全性而采取的 控制措施，其对象是企业的信息系统，包括计算机软硬件资源、应用系统、数据 和相关人员等信息系统的组成要素。自动化业务控制和信息系统控制对控制活动 有着不同的要求，使得对传统的控制活动均产生了变化。 2 4 5i t 内控对信息和沟通的影响 为识别、评估和回应风险而有效地管理组织并实现其目标，组织的各个层次 都需要信息。管理层建立信息系统来获取、捕捉、处理、分析和报告有关的信息， 将他们转变为行动的指南。信息是沟通的基础，沟通须满足各个团体和个人的预 期，使他们能有效地执行其职责。 企业信息化对内部控制的信息与沟通这一要素产生了有利的影响。在一个完 善的企业信息系统支持下，董事会能够与管理层进行良好的沟通，更为有效地履 行其监督职责。管理层亦能够就企业管理哲学和方法及授权等内容与全体员工进 行具体和有效的沟通，使员工明确其预期和责任，更好的履行其职责。同时，信 息系统还能提供外部的事项、活动及环境有关的信息，为客户、供应商、债权人、 股东、潜在投资者、监管部门等外部群体提供一个高效的沟通渠道。因此，一个 良好的信息系统将有助于提高风险管理的效率和效果。 2 4 6i t 内控对监督的影响 监督是对企业风险管理要素的存在、运行和结果进行适时评估的过程。在这 个过程中，内部控制要适应变化的环境，在企业得到贯彻落实，就需要对内部控 制的监督。在信息化条件下，借助于信息技术自身的特点，可使一部分的监督过 1 2 东南大学硕十学位论文 第二章内部摔制 程自动完成，并且可能实现实时监督，从而提高监督的效果和效率。且信息化环 境下监督的重点应该放在信息系统的开发、实施、维护和操作过程中，其具体实 施可考虑由内部审计部门负责执行。在信息化环境下，监督可以通过同常的、持 续的监督活动来完成( 持续性监督) ，也可以通过个别、单独的评估来实现( 特 殊性监督) 。 东南大学硕十学位论文第三章i t 内部控制 3 1i t 内控的重要性 第三章i t 内部控制 当前i t 系统越来越多地对业务经营活动进行自动化处理，这就需要i t 提供 必要数量的控制程序。因此，遵循萨班斯法案的程序需要包括基于i t 系统的控 制程序。对大多数企业而言，i t 在建立与保持有效的财务报告内部控制方面将 发挥重要作用。通过运用整合的e r p 系统，或综合运用各种经营管理、财务管 理方面的软件，i t 系统将为有效的财务报告内部控制系统提供强有力的支持。 从企业这个规范实施来看，从美国这个萨班斯成功经验来看，大概有4 0 左右的 工作量是在i t 内控领域。 3 2i t 内控的理论体系 3 2 1i t 内部控制环境 内部环境在企业i t 领域的体现是i t 的内部控制环境，同样i t 内部控制环 境是实施i t 内部控制的基础。主要包括i t 治理架构、i t 组织与职责，i t 决策 机制，i t 合规与i t 审计等。 3 2 2l t 风险评估 企业信息化带来的i t 风险已经成为企业风险管理的主要方面。风险评估主 要包括目标设定、风险识别、风险分析和风险应对。i t 目标设定可以理解为i t 战略与i t 规划，i t 风险识别与分析应对包括对信息资产的风险、i t 流程的风险 以及应用系统的风险识别分析与应对。 3 2 3i t 控制措施 针对风险评估的结果，在i t 方面需要实施具体的i t 控制措施，包括i t 技 术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及i t 管理类控制措施，包括各类i t 管控制度与流程，如开发管理、项目管理、变更 管理、安全管理、运营管理、职责分离，授权审批等。 1 4 东南人学硕士学位论文第三章i t 内部控制 3 2 4 信息与沟通 在i t 领域也需要明确具体的i t 管理制度和沟通机制，建立服务台与事件管 理程序，及时传达企业内部层级之间和与企业外部相关的信息。 3 2 5 监督检查 需要建立i t 内部控制体系的审核机制，评价i t 控制的有效性。通过i t 技 术手段如日志、监控系统、综合分析平台等，和管理手段如内部i t 审核、管理 评审、专项检查等措施，不断改进企业的i t 内部控制。 3 3i t 内控的分类 i i t 组织 程序变更管理i 财务系统 i t 治理系统开发管理收付费系统 程序和数据的访进销存系统 问权限工资系统 i t 运作其他系统 3 3 1 公司层面控制 图3 。1i t 内控的分类 1 、控制环境主要考虑的因素 管理层董事会对信息技术的关注；信息技术组织结构、信息技术人员培训 及能力培养；信息技术策略与制度：数据和应用系统的归属制与职责分离。 2 、风险评估主要考虑的因素 信息技术战略计划的制定及对业：务运作的支持；识别技术风险的机制及降 低风险的行动计划与预算；与外部审计师的交流。 3 、控制活动主要考虑的因素 记录系统和控制；信息技术职责分工；设计更新控制流程；数据及相关信息 技术资产的安全。 4 、沟通主要考虑的因素 信息技术确保准确及时的报告；财务部与信息部的合作及使用外部组织提供 东南大学硕上学位论文第三章i t 内部控制 的服务；信息技术用户的参与度和满意度；应用数据备份流程；灾难恢复业务 持续运行计划。 5 、监控主要考虑的因素 入侵检测系统和对问题的跟进；适宜的信息技术内部审计计划；信息技术绩 效的监控。 3 3 2 信息系统一般控制 信息系统的开发和实施：开发与实施活动的管理、项目启动、需求分析与设 计、系统自行开发管理；信息系统的建设与软件包的选择、测试和质量保证、数 据转换、上线、文档与培训等；信息系统的变更和维护：授权和跟踪变更申请、 系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训、变更管理等； 信息系统的操作和运行：对系统操作的总体控制、批处理、备份管理、管理数据 中心环境、第三方管理、帐号与权限管理、用户培训、服务水平协议、问题管理、 事件管理等：系统和数据的访问安全：信息安全组织和管理、信息安全策略和流 程、数据操作、数据批量处理、数据安全、操作系统安全、内部网络安全、边界 网络安全、物理安全等；应用系统的控制：系统的安全管理，访问控制，流程和 系统的完整性，数据管理与数据质量等。 3 3 3 应用系统控制 应用程序控制是业务流程和财务流程中控制的一部分，是在应用系统中由程 序自动执行的控制，用以替代很多由人工完成的基础性检查工作。由于应用程序 控制普遍适用于各种交易的处理，所以应用程序控制是否有效对于财务报表的完 整性和正确性以及公司内控的有效性有着重要的影响。主要包括实时校验编辑检 查；登陆权限岗位分离；自动系统接h 对账例行程序；计算机计算；配置控制。 其中有一部分为关键应用系统，如电子表格控制。目前电子表格在公司的生 产运营、信息管理、数据分析、财务核算与报告各个环节广泛运用。电子表格中 的公式、宏及表间链接等功能增加了电子表格计算的复杂程度，同时也增加了电 子表格数据完整性及计算准确性的风险。i t 内控中的一个重点就是关注在编制 和维护电子表格过程中的相关控制。即使相对简单的电子表格计算的一个偏差也 可能会对财务报告及披露产生重大错报的风险。内嵌在电子表格中的宏或其他功 1 6 东南人学硕士学位论文第三章i t 内部控制 能可能会严重影响电子表格中数据的准确性。公司需要对电子表格实施的控制是 否能支持重大会计事项及披露进行谨慎的评估。 在i t 内控中需评价的电子表格是指由用户程序( 如e x c e l 、a c c e s s 、l o t u s 等) 编制的各种支持财务报告及披露的电子表格或文本文件，包括直接或间接作 为财务记账依据的电子表格、用于财务相关信息核对的电子表格、以及支持财务 信息披露的电子表格，所涉及的使用部门通常包括财务部门编制及使用的电子表 格以及由其他业务部门传递至财务部门供其作为会计核算及报告披露依据的电 子表格。 对电子表格的控制包括开发控制、变更控制、版本控制、存取控制、输入控 制、安全控制、存储归档控制、备份控制、文档记录、权限控制、逻辑检查。 3 4i t 内控实施过程 i t 内控实施主要经历现状调研及诊断、风险识别与分析、体系设计与整改 方案、培训宣贯与运行推广、体系改进修正和监督优化这五个阶段。 ( 参见图 3 2 ) 嚣? 诊甑少 z 零鬈与 么篓啤方誊，死。，彳 ；飞宣贯 l 对 t 彩# 。，疆 - 体系修萨和 t i 么。督伉 - - i 图3 - 2i t 内控实施五个阶段 1 7 东南人学硕上学位论文第三章l t 内部控制 3 4 1 现状调研及诊断 本阶段主要实施任务是对i t 内控现状进行了解，确认i t 控制的相关范围，审 阅相关政策和程序，调研和识别企业内部控制规范所要求范围内的重点应用系统 及模块清单，对信息系统的相关控制设计情况进行了解，在现有的业务流程控制 基础上，识别的有关自动半自动活动控制活动描述，提出调研报告和改进建议。 3 4 2 风险识别与分析 本阶段主要实施任务是在对现有的信息系统建设、实施与支持运维各个流程 进行充分的风险评估、调研及访谈的基础上，找到现有内控体系与完善的内控体 系之间的差距，并分析所得到的差距结果，建立i t 风险控制矩阵。 3 4 3 体系设计与整改方案 本阶段主要实施任务是参照“信息系统和技术控制目标”( c o n t r o lo b j e c t i v e s f o ri n f o r m a t i o na n dr e l a t e dt e c h n o l o g y ，以下简称c o b i t ) 框架要求，设计一套具 有比较完善严谨、实际操作性以及可推广性的i t 内部控制体系。主要工作就是建 立i t 内部控制体系框架文档体系，该文档体系是未来建立i t 控制管理细则文档系 统的基础和指导准则。 3 4 4 培训宣贯与运行推广 本阶段的主要实施任务通过宣讲、培训等方式，对企业各单位和人员进行内 控流程设计和相关制度介绍和学习，在领导统一的部署下，督导其改进流程的实 施。并根据建立好的i t 控制框架体系进行试运行，推广实施。 3 4 5 体系改进修正和监督优化 本阶段的实施任务是在i t 内控体系试运行一段时间的基础上，通过测试，出 具评估报告，并将各个部门和终端操作人员在试运行阶段发现的问题、产生的问 题及反馈意见，经过讨论研究，出具试运行阶段评估分析报告。结合反馈意见汇 总评估报告和企业内部控制要求，进行讨论研究，通过分析问题，进而对整个 e i 冲内控体系进行有针对性改进或修正，进而对流程的实际可操作性和可行性进 一步的优化和完善。 东南人学硕十学位论文第四章l t 内控对企业经营管理的影响 第四章i t 内控对企业经营管理的影响 处于信息时代的企业，业务经营活动、各种数据传递以及财务报告的产生与 传递越来越多地依赖i t 系统的自动化处理。自动化过程给企业带来效率的同时 也带来控制风险。为了防范这些风险，现代企业的内部控制体系亟需包含基于i t 系统的内部控制政策与程序。 在美国公众会计监管委员会( 以下简称p c a o b ) 审计标准中也特别指出， i t 控制设计很重要，不可低估控制设计在整个i t 控制环境中的重要性，并强调 i t 控制能有力地支持整个内部控制环境。该标准又进一步指出：公司整体内部 控制系统的有效性依赖于“其他控制是否有效”( 指的是控制环境或i t 一般控制 的有效性) 。因此，理解i t 控制与i t 控制体系设计的相关理念，成为企业必备 的重要能力。 4 1 中国企业实施i t 内部控制面临的挑战 国内企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报告 流程对i t 的依赖程度也随之越来越高。对大多数企业而言，运用整合的e r p 系统， 或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强有力 的支持。随着萨班斯法案的出台，财务报告的内部控制几乎离不开i t 控制，即使 业务层面的管理控制也是i t 支撑环境下的控制。但是，信息技术是一把双刃剑， 其潜在风险也越来越大，企业在建立有效的i t 控制，以保证财务报告的有效性方 面正面临着巨大的挑战。 4 1 1i t 管理