IT治理机制下的企业内部控制问题与建议

　　[摘　要]文章重点分析了在IT治理机制下，企业内部控制的新特点和内控建设过程中的新难题，提出了避免内控无效或不完善的改进措施及建议，以对企业开展IT治理机制下的内部控制活动有所裨益
　　[关键词]IT治理；内部控制；业务流程管理(BPM)
　　
　　一、lT治理机制下企业内部控制的特点
　　
　　从内部控制建设和实施以来，内部控制起初主要是由一些企业组织文件及简单的调查和监控表构成企业内部控制的主要内容，而现在的内部控制是一个完整的体系。以COSO内部控制整体框架为基础，融合COSO企业风险管理整体框架的主要内容，结合国家监管部门的基本要求，建立了包括体系框架、控制环境、风险评估、控制活动、信息与沟通和监督六大部分在内的内部控制体系，是公司开展内部控制体系评价的依据。同时，与公司内部控制相关的其他管理规章，也是公司开展内部控制体系评价的依据。内部控制的评价也由起初的手工测试评价到现在的系统测试，测试方法更加丰富，内容更加广泛，效率也更高。因而，lT治理机制下企业内控通常有以下几个特点。
　　
　　(一)内部控制实施的低纸化
　　现在网络的发展，不论企业的采购订单和销售发货，还是企业的资金活动和资产管理，基本上实现了网上交易和结算，以及在系统里进行审核签章，很少生成纸质文件。因而，企业内控建设的重点工作就是加强这些流程的关键环节监督，严格控制权限的分配。加强对电子文件的保存和查阅。例如，某些电子表格的保存和监督。电子表格存放在文件服务器受到保护的路径目录下，并对电子表格存放目录权限进行控制；重要和一般电子表格的变更应严格遵循申请、授权、测试和批准的完整过程，实现无纸化文件和纸质文件一样的控制效果。
　　
　　(二)内部控制测试的高效率
　　传统的内部控制测试，在内容上单一，范围上狭小，现在的内部控制测试内容全面，包括对已经建立的内控体系评价其设计的有效性和公司层面涵盖COSO框架的五个要素及反舞弊六个方面的测试，以及主体业务层面(包括跟单测试和关键控制点测试)和lT治理机制下特有的信息层面控制测试(包括总体、应用控制和电子表格的权限设置)。这样，测试的内容更为丰富，测试范围更加广泛。在内部控制框架的指导下，测试范围的确定是以风险为导向。根据不同板块的业务类型同时考虑各地区公司的业务差异，对地区公司及其所属单位公司层面、业务活动层面、信息系统总体控制的测试内容和测试单位进行确定的过程。在测试时间不变的情况下，同时采取询问、观察、检查和再执行等多种方法，内部控制的测试效率是相当高的。
　　
　　(三)内部控制评价的高频率
　　内部控制测试阶段的高效率，内容全面、范围广泛、方法多样等，并不能代表内部控制的效果就很好。然而更多层面以及更高效率的测试方案被制定，只有在IT治理机制下，结合lT治理的许多方法才能实现，因此现阶段的内部控制评价是高频率的。目前，在企业的内部控制实施过程中，比较成熟的测试方案主要有三种：(1)地区公司的自我测试。它是由地区公司总经理授权相关部门组织实施的、针对本单位内部控制设计和运行的有效性实施的检查过程。自我测试应坚持以风险为导向，兼顾覆盖面，重点关注高风险领域和业务薄弱环节。地区公司应在每年年初将自我测试计划报送内控部备案，年底将年度自我测试报告报送内控部审核；地区公司的自我测试应按照股份公司统一的标准和规范进行，测试计划、测试底稿和测试报告须纳入内控测试系统(AAM)。(2)管理层测试。它是针对股份公司业务单位内部控制设计和运行的有效性，由管理层授权审计部和内控与风险管理部具体实施的检查过程。根据管理层测试及其缺陷评估的结果出具管理层自我评估报告并对外披露。管理层测试分两个阶段进行，第一阶段管理层测试由审计部负责，第二阶段管理层测试由内控与风险管理部负责，具体包括改进测试、补充测试、更新测试以及年度财务报告控制测试。(3)外部审计师测试。外部审计师测试是审计师根据PCAQB的审计准则，为对公司-的内控控制有效性发表意见而进行的独立测试。
　　
　　二、lT治理机制对企业内部控制影响
　　
　　IT治理机制下，企业内部控制是通过控制系统与财务系统(F－MIS系统)及其他管理信息系统的对接来实施的。这些对企业活动进行的控制都是在信息系统层面上操作的，因此，没有更为成熟的lT技术的支持是很难完成的。IT治理机制对企业内控的影响，主要就是控制信息系统设计的完善程度。在利用信息系统控制风险时，应当关注以下几个方面：(1)缺乏系统整体规划，造成信息沟通不顺畅，只能局部有效，不能对整体进行决策。例如，由于整体规划的缺乏，企业各部门间就存在业务处理上的不及时和割裂，导致业务活动的受阻。如，采购物资审批迟迟不下，生产部门无原料，销售缺货，严重影响企业的正常经营活动。(2)系统的逻辑设计不符合内部控制要求，不能达到控制的目标。逻辑设计的不合格，直接导致业务信息对接不上，无法汇总信息，不能总体决策业务活动和评价业务的质量，内部控制也不能取证。(3)系统设计的可信性研究。建立健全的IT治理结构，引入财务可信性审计机制，实现信息系统可信性和信息质量的共同提高，增强了企业的内部控制能力。(4)系统的权限设置不恰当，不能对信息实施有效的控制。电子表格的编制人和审核人需要实行权限分离。(5)系统的维护不及时和安全性不高。例如，经常出现系统登录不上，或者某系部分打不开，找不出原因，也没有及时派人解决问题，出现被攻击或系统崩溃的情况。因此，公司必须设置IT管理部门且IT部门必须制定《信息系统安全政策》，实施配置和管理逻辑安全工具和技术，以限制对操作系统的访问，保证系统的安全，避免出现对信息系统及数据未授权和不恰当访问的情况。
　　
　　三、基于lT治理的企业内部控制的措施和建议
　　
　　在信息系统中，可以从以下几个层面对信息技术下的数据进行控制。首先，数据质量控制。手工录入电子表格的数据要与原始单据进行汇总核对，将更新后的电子表格内容打印出来，由审核岗人员比对原始数据，并审核签字。若电子表格的数据从外部数据自动导入，需将更新后的电子表格内容打印出来，由审核岗人员比对外部数据来源，审核后签字确认，保证数据的完整与准确。由电子表格复核岗人员对电子表格的计算公式或数据链接关系进行定期检查，以保证表内逻辑计算的正确性。其次，数据安全控制。用户需要直接访问系统中的数据时，应提出申请，由用户主管领导和应用系统负责人进行审批后执行。进入机房人员需根据进入机房的事由，经进入机房授权人员同意后，按规定填写《机房出入登记表》进入机房。机房负责人定期检查机房出入登记情况。再次，数据共享控制。用户申请远程登录账号时，填写《远程登录账号申请表》并提交给用户主管领导和网络管理负责人审批后方可实施。网络管理负责人每三个月审核用户远程登录账号是否合理，以及是否存在无人使用的用户账号，将审核结果填写在《远程登录权限检查表》中。并签字确认。最后，数据系统控制上。机房负责人指定人员每周对设备运行状况进行巡检，检查人员对检查结果签字确认：应用系统负责人指定人员依据备份策略，执行备份操作，并对执行结果进行检查：帮助热线支持人员定期分类汇总当季发生的问题，形成书面分析报告，向本部门主管领导汇报。
　　新环境下的企业内部控制，应将IT治理机制和内部控制有效地结合起来，利用lT治理机制的优势更好地进行企业内部控制活动，内部控制不断改进的过程，也是IT治理理念不断完善的过程。因此，构建完善的企业内部控制体系，建议内部控制架构者和企业用户重点关注与IT治理有关的活动环节，以更好地实现企业内部控制目标和企业治理目标。一是培养公司员工lT意识，真正理解软件设计中内部控制的目的；二是加强内部控制架构者和用户需求的交流，提高企业内控机制的适用性；三是建立lT治理和内部控制部门，分管和协调企业的IT治理和内部控制问题，构建内部控制持续有效的保障机制。
　　
　　[参考文献]
　　[1]王几林，李河君基于ElM，流程管理的IT治理初探[J]会计之友，2009(8)
　　[2]刘玉廷全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J]会计研究，2010(