刘智全 姜 欣 秦雪军

一、引言

2007年10月召开的党的十七大报告明确提出：“信息化是我国加快实现工业化和现代化的必然选择，要将信息化与工业化相互融合发展。”随着现今科学技术的飞速发展、信息技术的不断进步，信息化对企业的影响也日益加大，逐步的渗透到了企业发展管理的各个步骤当中。而内部控制作为企业发展过程中必不可少的指引性力量，更要适应现今的发展趋势。2008年6月28日，财政部、证监会、审计署等联合发布了《企业内部控制基本规范》，而在其配套指引中的《企业内部控制应用指引——信息系统》（以下简称《信息系统内控指引》），成为了我国关于信息系统内部控制的第一个指引，对信息系统的内部控制进行了系统的规定。将我国企业的内部控制推进到了一个新的发展历程。

二、信息系统下企业构建内部控制体系的重要性

2003年，杨周南在以信息化的现状及未来实践的可能性为依据，提出了ISCA（I nformation System，Control and Aud i ting）模型，在模型中指出：“会计电算化工作的内涵需要提升和明确，提出了会计管理信息化（简称会计信息化）的概念，并指出会计信息化工作的内涵即为ISCA模型，具体包括了三个方面：一是建立和实施现代信息技术或计算机技术环境下的会计信息系统；二是建立有效、健全的信息系统内部控制制度；三是对信息系统进行审计。三者的有机结合构成了AIS（AccountingInformation System）的ISCA模型。”

从这一模型中可以看出，信息系统已经渗透到了内部控制中，而建立一个有效的信息系统下的内部控制制度则是这一模型中的关键性问题。但在现有的内部控制体系中，仍存在着一些缺陷，与企业的信息系统环境下对内部控制的要求存在着一定的差距。

三、信息系统对内部控制的要求

在建立信息系统内部控制时，主要从两方面着手：一方面要利用信息技术对业务进行控制；另一方面，则要注重信息系统自身的控制。这是从内部控制的对象出发，从不同角度，不同侧重点，对企业进行了从经济业务到信息系统的整体的，合理的控制。在2008年新颁发的《企业内部控制基本规范》中，也特别针对这两点进行了说明，第11条明确规定：“企业应当创造条件，有效利用计算机信息技术加强企业内部控制，逐步实现生产管理系统、营销管理系统、预算管理系统、财务会计管理系统等的信息集成和共享，不断提高内部控制的效率与效果。”该条规定正是对第一方面控制的明确要求。第52条规定：“信息系统控制要求企业结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程。”是对第二方面控制的明确要求。

四、信息系统下企业内部控制体系建设的理论基础

1.COBIT理论

在对信息系统内部控制进行研究中，COBIT则是比较权威的研究成果。COBIT（Control Objectives for Information and Related Technology）即信息及相关技术控制目标，作为安全与信息技术管理和控制的标准，是建立在国际标准ISO/IEC27000、COSO的《内部控制——整合框架》及《企业风险管理——整合框架》、OGC（Office Government Commerce）的 ITIL（IT infrastructure Library，信息技术基础架构库）等标准的基础上，成为IT治理的核心标准。

COBIT将IT过程、IT资源及信息与组织的策略与目标联系起来，形成一个三维的体系结构。其中，IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源主要包括人、应用系统、技术、设施及数据在内的与信息相关的资源；IT过程则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控四个方面确定信息技术处理过程。

2.信息系统生命周期

对信息系统的开发和应用的过程就是对问题的提出、分析及解决过程，并进行相应的评价与维护。信息系统生命周期包括系统规划、系统分析、系统设计、系统实施和系统运行维护五个阶段。而每一个阶段都是以上一个阶段为基础，层层递进，并且首尾相接，只有将上一个阶段全部完成才能引导进入下一个阶段。

从信息系统是生命周期角度看，而COBIT虽然覆盖了信息系统生命周期的全过程，但系统分析下来，其主要关注点并不全面。COBIT的IT过程分为四个域：策划与组织、获取与实施、交付与支持、监控与评价，而这几个域则可看出是分别与信息系统生命周期中的系统规划、系统实施、系统运行维护、系统评价（也就是系统运行维护阶段中的一部分）相对应。由此可以看出，COBIT对系统分析与设计方面的关注力度还是不够的，它主要是侧重于业务角度对IT进行控制，例如，COBIT将业务目标与IT目标通过一定的维度、标准进行整合，强调IT目标是业务运行的保障。

五、信息系统下企业内部控制体系的建设

1.信息系统自身控制设计

所谓系统自身控制主要是针对信息系统生命周期中的薄弱环节，系统分析与系统设计，囊括了与程序设计、运行维护、数据处理过程、硬件设备相关的控制制度。在这一部分中，企业根据信息技术实施情况，分析新的控制风险，结合实际情况局部加强内控力度。可以从以下几个方面入手：系统的开发、维护控制；程序编写控制；数据处理控制；系统软件的操作控制；安全控制等。还可以从应用软件中的电算化步骤及相关的人工程序方面处理，如：输入控制；计算机处理控制；数据文件控制；输出控制。尽管现阶段对这一系统的研究并不多，但其重要性是不容忽视的，应加大对信息系统自身控制的投资力度，对于人员的聘用及培训应严格要求，及时对系统进行维护、升级，以防止潜在风险的趁虚而入。

2.加强信息系统业务控制

在业务控制部分，将COBIT模型的四个域引入到了信息系统内部控制中，根据每个域的不同内容，结合信息系统的每一业务模块进行系统的控制。（1）规划与组织：这个域包含战略和战术，注重于IT怎样才能更好地帮助企业实现业务目标，以及需要从哪些方面对战略和战术进行计划、交流和管理，同时要做好组织规划和技术设施的准备工作；这是对整体方向的一个控制，（2）获取与实施：这个域是通过选择、开发或获取相关的IT解决方案来实现IT战略的，同时它的实施需要与业务处理过程紧密结合，除此之外，它还覆盖了系统的维护与更新以保证生命周期的顺利运转；（3）交付与支持：这个域关注提供所需要的服务，包括从安全服务到培训服务。同时还包括应用系统的数据处理，这属于应用控制的范围；（4）监控：这个域关注IT过程的运行效率是否进行经常性的评估以及检查他们是否满足控制需求。当然，对业务的控制并不是独立存在的，它是建立在系统控制的基础之上的，与系统控制是共存的。

3.建立信息系统评价控制

作为一个有效的，可实施的内部控制系统，评价系统是必不可少的。有效的自我评价机制应是能进行系统控制与业务控制的业绩考核与并充分的反映其他控制模块的实施情况，如将各责任单位和全体员工实施情况纳入绩效考评。

4.加强信息系统内部控制与外界监管的联系

建立一个完善的信息系统内部控制制度并不是企业自身所能完全达到的，首先，软件供应商、实施服务机构、咨询机构等社会服务机构多方的协助，以建立一个可实施性较强的系统性内部控制制度；其次，国务院相关部门应对企业进行监管；最后，审计机构或部门，一般指会计师事务所也应对企业内部控制的有效性出具审计报告。

[1]杨周南.论会计管理信息化的模型.会计研究，2003，（10）.

[2]金文.基于COBIT的信息系统管理、控制与审计的模型构建研究.审计研究，2005，（4）.

[3]吴炎太，林斌，基于生命周期的信息系统内部控制风险管理研究.审计研究，2009，（6）.