IT角度解读《企业内部控制规范》

申请免费试用、咨询电话：400-8352-114

IT角度解读《企业内部控制规范》 1

告别了辉煌与沉重的2008，我们迎来了崭新的2009。新的一年在中国的传统农历里是“牛”年，虽然国际金融风暴的影响在国内日益显现，我们仍相信未来的一年不少中国企业会抓住这次机遇真正牛起来。

新的一年很多法律法规即将实施，对国内上市公司而言，《企业内部控制基本规范》的实施将给不少企业带来脱胎换骨的影响。2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。这个被称为“中国版SOX”的规范，被无数人寄予了期望，未来5年内，基本规范的实施将对中国的上市公司和大型企业的规范化运作带来实质性推动。这是我国继实施与国际接轨的企业会计准则和审计准则之后，在会计审计领域推出的又一与国际接轨的重大改革。这部规范的推出，意味着中国企业内部控制规范体系建设正在向国际标准靠拢。

这套适用于中国企业的内部控制体系，其基本规范借鉴了COSO报告五要素框架和风险管理八要素框架;具体规范以财务报告内部控制为主线，对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范，并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。企业的内部控制，应该贯穿于企业经营活动的决策、执行和监督的始终，涵盖企业各种业务和事项。企业每一项经营活动，从工作的效率性及风险的控制性来讲，都应强调过程控制，包括宏观上公司治理结构的确立、机构设置及权责分配、人力资源政策、企业文化等，也包括微观上企业股东会和董事会的决策程序，经理层及员工的执行程序和要求，监事会、内部审计委员会的监督程序，员工奖励计划，以及违反公司内部控制体系的罚则等等。

那么，对于企业内部的IT建设与控制而言，企业内部控制规范的实施会带来怎样的影响呢?CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控制与IT风险管理的角度，阐述企业IT控制与企业内部控制之间的关系。

1992年，Treadway委员会的发起组织委员会(the Committee of Sponsoring Organizations of the Treadway Commission)发布了《内部控制——整合框架》，2004年，该委员会又发布了《企业风险管理—整合框架》，在该框架附件C中明确：内部控制被涵盖在企业风险管理之内，是其不可分割的一部分。无论是COSO框架，还是中国自己的企业内部控制规范，其基本控制目标无外乎防范风险、控制舞弊以及确保财务报告的真实可靠。现在大部分上市公司和大型企业，其企业运营已基本依赖于企业的各种信息系统，已经基本完成了企业信息化的初步建设，因此企业的内部控制就离不开企业IT的控制。

企业内部控制规范与IT内部控制的关系

企业内部控制基本规范包含的五要素框架：

(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。

(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。

(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。

(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。

相应，IT内部控制框架也应对应于企业内部控制的五要素框架：

(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。

(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。

(三)IT控制措施。针对风险评估的结果，在IT方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及IT管理类控制措施，包括各类IT管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。

(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。

(五)监督检查。需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。

综合分析IT内部控制的组件，我们可以将IT的控制分为三个层面：

(一)公司层控制。在公司层面建立IT治理架构，完善IT组织与职责，制定IT决策机制，实行IT人员绩效考核，加强IT合规与IT审计。

(二)流程与应用层控制。分析企业业务流程与活动，在企业业务流程、应用系统层面与通用IT流程层面建立控制，重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。

(三)资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源，分析具体每个资源点的风险，建立风险控制措施。

IT内部控制实施思路

企业内部控制规范并没有对IT控制的目标和相关的控制活动做出明确的规定。国外上市公司会计监管委员会在审计准则中提及COSO内控框架可以作为评估内控的标准，但是COSO并没有提供IT 控制方面的详细控制目标和控制方法，从而进行IT治理。直到 COBIT(直译为信息及相关技术的控制目标)被提出来以后，IT 治理才有了一个开放性的标准，目前其已成为国际上公认的最先进、最权威的信息安全与信息技术管理和控制的标准。该标准不仅可以指导企业有效地利用信息资源，而且可以指导企业有效地控制与信息相关的风险。所以建设和完善IT内部控制体系的指导框架必须同时结合企业内控框架和COBIT标准。

我们建议国内企业采用企业内部控制规范作为内控评估标准，结合国际上普遍采用COBIT框架作为IT 控制的标准，将COBIT的相关IT控制目标与COSO五个要素关联起来，设计符合规范要求的IT内部控制体系。COBIT是一个很丰富IT内控框架，包括四个域、34个IT控制流程和318个详细的控制目标，是一个相当全面的信息系统内控框架体系。对于想遵循内部控制规范的企业来说，该体系所提供的控制目标和考虑一般会超过其需求。

建议首先需要对IT相关的风险进行评估，建立IT控制矩阵，以COBIT为参照依据，选取其中适合本身业务特点、复杂性和需求的控制流程和控制目标为对象，建立IT内部控制框架，作为后续制定控制文档体系和测试的基础。同时，在具体控制措施上可融合ISO27001(信息安全管理体系)、ISO20000(IT服务管理体系)、Prince2(IT项目管理)、CMMI(软件开发过程控制)等具体控制框架，分阶段分步骤的实施。

另外一般企业或多或少已经建立了一些具体的IT控制措施，在建立IT内部控制体系时要充分考虑并整合企业原有的控制措施。针对每个风险点建立控制措施，逐步从技术和管理两方面落实具体措施，并建立体系化运作与审核办法。