信息技术公司内部控制问题研究

俞佳瑾

摘要：随着科技的不断发展，信息技术得到了广泛的运用。信息技术的运用在一定程度上提高了企业的管理效率，为企业节省成本，形成新的竞争优势。但与此同时，也给企业的内部控制带来了新的问题和挑战。本文基于相关理论基础，对信息技术企业的内部控制问题进行研究，尝试寻求较佳的信息技术内部控制评价指标设计思路以及具体评价的方法。

关键词：信息技术;内部控制

现代经济社会，信息化建设逐渐深入到企业的日常经营的务中，严格管控信息系统的建设与实施，评价信息技术内部控制是否有效成为了企业关注的重点。在国内的企业中，电信行业和金融行业是践行信息技术内部控制方面的佼佼者，但在实际进行信息技术内部控制时，它们依然存在许多的问题。例如缺乏一个良好的信息技术内部控制环境且没有构建一个完整的信息技术工作沟通和汇报的机制;在建设信息系统和开展信息技术内控工作前，没有进行一个统一的战略规划，导致多个信息系统同时运行，生成的数据分散在各个系统，且由于各个系统之间的整合度较差，最终影响关键数据的传递和处理，造成严重的后果;缺乏对信息系统整体业务需求的分析，仅通过个别小组进行简单的需求探讨后，基于小组领导者个人以往使用系统的经验、对市场上现有信息系统及其供应商片面的了解来盲目地采购和启用新的信息系统;员工缺乏应用信息系统的培训，公司也没有明确的违规行为的界定以及相应的监管，这导致许多员工在工作时仅凭个人的感觉和经验来保证自己的操作没有违反相关法律法规，而即使出现了违规行为，公司也难以及时的发现并纠正，最终可能会给公司造成很大的损失。

因此，只有通过有效地整合信息技术和业务流程，才可能降低信息技术风险，提升内部控制的效率和效果。因此信息技术控制与治理的重要性越发突出。

一、理论分析

1.对前期研究的分析

国内对于内部控制的研究较多的是采用COSO模型和萨班斯法案作为指导，相比于国外，国内对于COB信息技术模型的研究起步较晚，目前尚处于理论介绍或部分借鉴的水平，对于COB信息技术模型的理解和分析还不够透彻。但由于我国的经济环境和体制与国外大不相同，盲目的借鉴国外的理论成果和实践经验也是不可取的。但是目前针对信息技术内部控制的概念没有规范的定义，国内在信息技术内部控制方面上没有一套明确且完善的指导理论。

2.COB信息技术模型在信息技术内控中的运用分析

在信息化大环境下，企业对信息技术的依赖性日渐增长，同时也面临着更多的风险，例如数据被泄露和篡改的风险，因而有效地实施信息技术内部控制变得至关重要。有效的运行不仅可以帮助企业降低信息化的风险，还能提高管理和经营的效率，促使企业形成自身的竞争优势。想要建立一套合理的信息技术内部控制体系并使其有效运行，就需要一套科学的内部控制框架来进行指导，与此同时还需要匹配一套能够了解信息技术内控运行的效果的评价标准。在目前各种与内部控制相关的理论中，COB信息技术模型应该是最符合信息技术控制这两方面需求的模型工具了。

首先，与信息技术IL以及BS7700相比较，前者关注的重点在于信息技术服务的支持和交付，后者关注信息的安全管理，而COB信息技术所关注的治理要素正是过程、控制和度量，这说明他比BS7799、信息技术IL更适合信息技术控制。

其次，尽管COSO框架被大多数企业作为内部控制的指导工具以及评估内部控制的标准，但是对于信息技术内部控制，它没有对控制的目标给出具体的定义，也没有为控制活动的实施提供指南，这就导致每个企业只能自行决定需要实现怎样的控制目标以及该实施哪些相关的控制。而COB信息技术模型提供了公司层面、业务层面以及一般控制层面的目标，对COSO框架进行了补充;除此以外，两者控制的重点也不同。COSO模型仅关注财务信息，是一个业务控制框架，缺少对信息技术控制的解释和说明。而COB信息技术在COSO的基础上还吸纳了现存的各种主要的信息技术标准，它所关注的信息既能够与业务目标保持紧密的联系，还与信息技术的资源和流程相关，弥补了COSO模型在信息技术内控方面的缺陷。因此COSO模型适合整个组织的一般控制，而COB信息技术模型更适合信息技术内部控制。

此外，COB信息技術模型在理解和实施方面也非常的容易，尽管信息系统比较复杂，但是在COB信息技术模型的指导下，相关控制活动的难度大大降低。最后，COB信息技术模型不仅是信息化建设的重要参考标准，还能够满足后期评审人员评估信息化环境的质量、信息技术控制运行效果的需要，帮助企业更好的了解当前信息化内部控制的水平，对潜在的控制风险加以把控。

二、信息技术内部控制理论分析

随着全球一体化进程的不断推进，越来越多的大型企业放弃原先的手工作业，选择用信息技术来处理和管理信息。如果能将信息技术和企业业务有效的整合，企业就能为自身创造竞争优势。但是建立一个完善的信息技术系统不仅需要大量的资金投入，还会给业务的运作带来新的风险。因此如何高效地运用信息技术资源、维护信息技术资产、降低信息技术风险成为企业关注的重点，信息技术内控随之成为了当下一个新的研究热点。

目前还没有权威的机构和文件对信息技术内部控制作出较为规范的定义，但COSO报告针对内部控制给出以下的定义：内部控制是一个过程，它由董事会、管理层以及企业的员工来实施，通过实施内部控制来为实现提高经营效果和效率、增强财务报告的可靠性、遵从适用的法律法规这类目标提供合理的保证。COB信息技术 2019中对于企业信息和技术治理的定义：它由董事会执行，并由董事会监督流程、结构和关系机制的定义和实施，促使业务部门和信息技术部门的人员各尽其职，支持业务和信息技术的协调一致，以及从信息技术促成的业务投资中创造业务价值。有专家提出了治理系统需要遵循的六大原则：满足利益相关者的需求、采用整体的方法、动态的治理系统、将治理和管理分开、根据企业需求量身定制、端到端的治理系统，其中采用整体的方法是指治理的系统中要包含流程、组织结构、信息流、政策和程序等组件协同运作。动态的治理系统是指当系统的某些设计因素，例如企业战略、目标、信息技术风险、威胁环境、信息技术相关问题等，发生变化对系统产出影响时，就要对治理系统进行相应的改进。

信息技术内部控制实际上已成为了企业整体内部控制的重要部分，而内部控制是有世界认可的标准的，即COSO，因此信息技术内控也是需要满足内部控制的标准的。与此同时还要考慮是否符合相关的法律法规要求，例如SOX-404对内部控制提出了相关的要求，而信息技术内部控制作为整体内部控制的子集，其实施的有效性直接决定了整体内部控制体系能否通过SOX-404的合规性测试，因此在开展信息技术内控之前要制定相关的合规计划。尽管信息技术拥有传统手工操作无法实现的强大功能，但是内部控制固有的局限性加之信息系统自身存在的缺陷使得信息技术内控始终不可能提供绝对的保证。

三、COB信息技术在信息技术内部控制实践中的应用分析

（一）作用分析

COB信息技术模型是指导信息技术控制实施的最好的工具，它所提出的COB信息技术核心模型、流程能力级别、成熟度级别、信息质量标准等都是可以融入到信息技术控制实施的各个阶段之中，辅助信息技术控制更好地实践。例如：在确定控制范围前，需要了解企业信息技术内部控制的现状和问题，此时可以借鉴COB信息技术 2019中对信息技术相关问题设计因素给出的参考资料以及流程能力级别。由于COB信息技术模型将控制的目标在域、过程和活动这三个层次上进行逐步的分解，可以得出40个高层级的控制目标和多个具体的控制目标。通过分析各个层次上的控制目标的实现情况，可以评估出系统的控制风险。同时还可以参考COB信息技术 2019中风险概况设计因素所标识的各类信息技术风险类别，防止在识别风险时有所遗漏。

在确定关键控制点时，可以借助COB信息技术 2019中提出的目标级联模型。通过该模型，可以根据企业目标的优先级来确定控制目标的重要程度，进而确定该控制目标所对应的信息技术流程或活动的重要性，找出关键的控制点。完成关键控制点的识别之后，企业还应该参考COB信息技术提出的控制目标来改善和调整所设计的控制点。

进行信息技术内部控制有效性评价时，能力成熟度模型CMMI能够用于衡量流程的实施情况。能力成熟度模型将能力的级别划分为0～5级，COB信息技术模型为所有的流程活动定义了能力级别。企业根据流程活动的实现情况来确定流程所达到的级别，进而确定企业目前的控制水平。在COB信息技术 2019中每项高层级控制目标除了关联一个COB信息技术核心模型的信息技术流程之外，还配有其他的六个组件，包括组织结构、信息流和信息项、人员技能、政策程序等。对于这些组件COB信息技术 2019也提供了相应的绩效考核标准，在评估信息技术内控有效性时，也应予以考虑。

（二）对COB信息技术运用效果的评价分析

尽管在内部控制评价时定性评价的方式被广为使用，但评价人员的主观判断给评价效果带来的不利影响也是不可否认的。因此在设计指标时，应考虑利用定量的指标来弥补定性指标自身的局限性，两者相结合有利于更清晰准确地反映控制的情况。在实践中，内部控制的五要素可以作为定性指标体系的一级指标，而二级指标和具体的应用指标，需要结合公司的实际情况以及评价的目的和重点来制定。定性指标体系也可以基于COB信息技术 2019核心模型来设定，即以控制目标的五个大的领域作为一级目标，再从细分的40个高层控制目标中，以企业控制的重点和评价的目的为依据，挑出关键的控制项作为二级指标。具体评价的项目可以参考COB信息技术 2019中定义的指标示例。

定量指标一般可以选取分别代表企业盈利能力、偿债能力和营运能力的三项指标，即销售净利率、权益乘数以及总资产周转率。根据三项指标之间的联系，最终可以得出一项全面反映企业财务经验状况的指标，即权益净利率。

四、研究结论与建议

（一）研究结论

通过上述分析，本文认为：

信息技术内部控制是企业整体控制的一部分，其有效性影响到整体内部控制的运行能否符合SOX-404的合规要求。同时信息技术技术也成为了内部控制的一个十分重要的控制对象。信息技术内控根据不同的控制内容可以分为公司层面、应用层面、通用层面三个层次的控制。

信息技术内部控制的目标根据COB信息技术 2019中定义的五个控制域可以概括为维护信息质量以满足业务需求、合理利用信息技术资源并优化信息技术成本、有效管控信息技术技术的相关风险、监控和评价信息技术运行和控制效果、确保遵守相关法律法规和契约协议这五方面的目标。

COB信息技术 2019中提出的核心模型、能力成熟度模型和其他绩效评估标准都是信息技术实施六个阶段中不可缺少的，COB信息技术模型和这六个步骤相辅相成。

（二）研究建议

目前部分国内企业对于信息技术内控尚不够重视，多数企业还未尝试使用COB信息技术模型来指导信息技术内部控制。本文建议，公司的管理层能够加强对信息技术内部控制的重视，不断地学习、掌握新的信息技术内控知识，对员工进行信息技术技术应用的专业培训，根据自身的业务模式、战略目标和决策，合理的利用COB信息技术模型建立适合自身的信息技术内部控制体系。

参考文献：

[1]王素梅.企业信息化环境下内部控制效果评价研究[D].首都经济贸易大学，2013.

[2]郭楠.企业信息化内部控制评价研究[D].首都经济贸易大学，2014.

[3]张丽娟.电信运营企业内部控制的研究[D].广西大学，2007.