梁晟,科索路咨詢高級(jí)經(jīng)理，曾負(fù)責(zé)某電信信息數(shù)據(jù)管理體系設(shè)計(jì)與規(guī)劃，梳理數(shù)據(jù)信息管理體系和接口，確保信息規(guī)劃質(zhì)量。

2006年6月5日，上海證券交易所（下文簡(jiǎn)稱上證所）率先發(fā)布了《上海證券交易所上市公司內(nèi)部控制指引》（下文簡(jiǎn)稱《指引》），對(duì)上市公司建立健全和有效實(shí)施內(nèi)部控制制度提供了原則性指導(dǎo)，明確了公司董事會(huì)對(duì)公司內(nèi)控制度所負(fù)的責(zé)任，并要求上市公司從2006年年度報(bào)告起披露內(nèi)部控制自我評(píng)估報(bào)告和會(huì)計(jì)師事務(wù)所對(duì)自我評(píng)估報(bào)告的核實(shí)評(píng)價(jià)意見(jiàn)。

IT是內(nèi)控的一部分

IT內(nèi)控是公司內(nèi)部控制的一部分，是審計(jì)的對(duì)象?！吨敢返谑畻l款規(guī)定了“公司使用計(jì)算機(jī)信息系統(tǒng)的，還應(yīng)制定信息管理的內(nèi)控制度”，并且列出信息管理的內(nèi)控制度至少應(yīng)涵蓋的內(nèi)容：

（一）信息處理部門與使用部門權(quán)責(zé)的劃分。

分析：無(wú)論公司的信息處理部門組織結(jié)構(gòu)如何，都必須與使用部門進(jìn)行明確的權(quán)責(zé)劃分，并且成文定義。明確定義的權(quán)責(zé)將加強(qiáng)信息處理部門與使用部門間的溝通和相互理解，避免推諉和責(zé)任不清造成的管理漏洞和效率低下。

（二）信息處理部門的功能及職責(zé)劃分。

分析：由于信息系統(tǒng)的特性，信息處理部門本身的功能和職責(zé)劃分是復(fù)雜的。因?yàn)楣δ芎吐氊?zé)的復(fù)雜性增加了IT服務(wù)和運(yùn)營(yíng)的風(fēng)險(xiǎn)，所以必須建立相應(yīng)機(jī)制加以管理。信息處理部門管理者首先必須明確本部門在整個(gè)公司中起到的作用和承擔(dān)的角色，明確提供的服務(wù)和相應(yīng)的責(zé)任，并且成文定義。

（三）系統(tǒng)開(kāi)發(fā)及程序修改的控制。

分析：系統(tǒng)開(kāi)發(fā)和程序修改主要包括兩部分：新應(yīng)用軟件的開(kāi)發(fā)和實(shí)施、現(xiàn)有應(yīng)用軟件的變更和維護(hù)。新應(yīng)用軟件獲得和實(shí)施失敗風(fēng)險(xiǎn)很高。為了降低這種風(fēng)險(xiǎn)，企業(yè)應(yīng)該建立成體系的軟件開(kāi)發(fā)質(zhì)量控制方法，比如標(biāo)準(zhǔn)軟件開(kāi)發(fā)工具和IT構(gòu)件的選用。

（四）程序及資料的存取、數(shù)據(jù)處理的控制。

分析：程序和數(shù)據(jù)存取訪問(wèn)控制需要技術(shù)和管理兩方面的共同保障。首先，信息和系統(tǒng)安全技術(shù)是防止非法訪問(wèn)的有效方法，比如各類密碼保護(hù)、防火墻、數(shù)據(jù)加密存儲(chǔ)、密鑰技術(shù)等。其次，需要從管理和流程上保證程序和數(shù)據(jù)的訪問(wèn)安全，最重要的就是建立完善的系統(tǒng)用戶管理制度。

（五）檔案、設(shè)備、信息的安全控制。

分析：由于信息技術(shù)的廣泛使用，信息安全一直是得到信息處理部門和信息使用部門極大關(guān)注的一個(gè)問(wèn)題。信息資產(chǎn)安全的漏洞可能造成機(jī)密信息外泄、病毒入侵等問(wèn)題，嚴(yán)重的信息安全問(wèn)題可能危及整個(gè)公司的運(yùn)營(yíng)，造成財(cái)務(wù)和聲譽(yù)上的重大損失。

（六）在網(wǎng)站上進(jìn)行公開(kāi)信息披露活動(dòng)的控制。

分析：在網(wǎng)站上進(jìn)行公開(kāi)信息披露活動(dòng)，需要信息處理部門與公司執(zhí)行層和內(nèi)部控制體系其他部門的緊密聯(lián)系。為了保證信息披露的正確性和及時(shí)性，公司應(yīng)該制定一套流程進(jìn)行信息披露活動(dòng)的管理，包括網(wǎng)站上的信息披露。

IT是內(nèi)控的重要輔助

計(jì)算機(jī)應(yīng)用系統(tǒng)不僅是整個(gè)企業(yè)業(yè)務(wù)的重要支撐，也是對(duì)公司運(yùn)營(yíng)活動(dòng)進(jìn)行控制的重要輔助手段。以具體運(yùn)營(yíng)流程為基礎(chǔ)展開(kāi)的IT控制，直接關(guān)系運(yùn)營(yíng)活動(dòng)的實(shí)施。這類IT控制包括應(yīng)用控制，即針對(duì)特定業(yè)務(wù)流程，以軟件應(yīng)用方案為依托進(jìn)行控制活動(dòng)。如對(duì)財(cái)務(wù)報(bào)表的編制和匯報(bào)進(jìn)行控制，就需要對(duì)財(cái)務(wù)模塊進(jìn)行有效的控制。

以IT為基礎(chǔ)和手段的控制方法，效率要明顯高于傳統(tǒng)手工或基于紙張的控制方式；利用IT固化內(nèi)控流程可以簡(jiǎn)化企業(yè)的內(nèi)控過(guò)程，降低內(nèi)控成本，優(yōu)化內(nèi)控項(xiàng)目的成本效益比，并幫助企業(yè)達(dá)到內(nèi)控效力持續(xù)性的要求。IT的規(guī)范化操作程序以及信息系統(tǒng)的信息備份功能，能夠降低內(nèi)控審計(jì)的難度。

IT管理者應(yīng)該清晰地認(rèn)識(shí)到IT在公司建立內(nèi)部控制中的優(yōu)勢(shì)和承擔(dān)的責(zé)任。由于信息技術(shù)的復(fù)雜性，IT部門有責(zé)任幫助和配合公司其他部門建立合適的“應(yīng)用控制”。這不僅能幫助公司達(dá)到內(nèi)部控制的要求，也有利于提升IT在公司中的價(jià)值。

IT內(nèi)部控制不可孤立

IT內(nèi)部控制應(yīng)該滿足第六條款所描述的“目標(biāo)設(shè)定，內(nèi)部環(huán)境，風(fēng)險(xiǎn)確認(rèn)，風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)管理策略選擇，控制活動(dòng)，信息溝通，檢查監(jiān)督”這八個(gè)要素的要求。IT內(nèi)部控制并不是孤立的，而是公司以業(yè)務(wù)目標(biāo)為主導(dǎo)的整體內(nèi)部控制項(xiàng)目的一部分。

簡(jiǎn)單來(lái)說(shuō)，企業(yè)必須首先確定公司的主要經(jīng)營(yíng)活動(dòng)以及與這些經(jīng)營(yíng)活動(dòng)相關(guān)的業(yè)務(wù)流程和活動(dòng)，劃分內(nèi)部控制的工作范圍。其次，企業(yè)在工作范圍內(nèi)定義具體的控制對(duì)象。再次，針對(duì)控制對(duì)象，進(jìn)行風(fēng)險(xiǎn)分析、評(píng)估，決定每項(xiàng)風(fēng)險(xiǎn)的管理策略，制定企業(yè)具體的控制程序、控制目標(biāo)以及審計(jì)標(biāo)準(zhǔn)。然后，對(duì)現(xiàn)行的運(yùn)作，實(shí)施變革以達(dá)到預(yù)定目標(biāo)。最后，評(píng)價(jià)控制措施的實(shí)施后果，加以鞏固或改進(jìn)。

IT的內(nèi)部控制必須遵循公司的內(nèi)部控制機(jī)制策略，確保IT控制符合公司內(nèi)部控制的基調(diào)。此外，IT控制還擔(dān)當(dāng)支持企業(yè)高層管理活動(dòng)的責(zé)任，在企業(yè)內(nèi)設(shè)定業(yè)務(wù)目標(biāo)，確立企業(yè)政策，在組織資源配置及管理決策時(shí)，IT負(fù)責(zé)輔助企業(yè)制定政策方針并在組織內(nèi)部傳達(dá)交流。

通過(guò)上述三方面的分析上海證券交易所上市公司內(nèi)部控制指引，我們可以發(fā)現(xiàn)，IT控制可以歸納為三個(gè)層次：公司控制、應(yīng)用控制和基礎(chǔ)控制。公司層面的控制決定了IT內(nèi)部控制的基調(diào)；應(yīng)用層面的控制與業(yè)務(wù)流程相結(jié)合，體現(xiàn)在應(yīng)用系統(tǒng)中，比如ERP和MRP；基礎(chǔ)層面的控制則體現(xiàn)在IT服務(wù)過(guò)程中。

在現(xiàn)實(shí)中，由于IT運(yùn)行環(huán)境和IT應(yīng)用水平迥異，不同的公司在建立IT內(nèi)部控制過(guò)程中的控制重點(diǎn)各不相同，復(fù)雜的局面可能會(huì)使許多企業(yè)一時(shí)無(wú)所適從?！吨敢纷鳛樯献C所發(fā)布的一份規(guī)范性文件，雖然給出了內(nèi)部控制的框架上海證券交易所上市公司內(nèi)部控制指引，但是仍無(wú)法像管理手冊(cè)或者行動(dòng)指南那樣說(shuō)明IT如何才能達(dá)到《指引》所要求的水平。

面對(duì)已經(jīng)到來(lái)的內(nèi)控要求，上市公司急需一套普遍適用的IT內(nèi)部控制方法論來(lái)彌補(bǔ)《指引》的這一缺憾：必須滿足《指引》的要求，可以協(xié)助IT建立合適的內(nèi)部控制機(jī)制；以IT控制為主要任務(wù)，考慮全面并被廣泛認(rèn)可；提供可操作的行動(dòng)指南和評(píng)價(jià)體系，指導(dǎo)企業(yè)在進(jìn)行IT控制的同時(shí)，方便審計(jì)機(jī)構(gòu)制訂評(píng)估標(biāo)準(zhǔn)，并利于雙方就審計(jì)細(xì)節(jié)達(dá)成一致。

鏈接:為什么不能照搬美國(guó)薩班斯法案

首先，薩班斯法案關(guān)于內(nèi)部控制的規(guī)定的操作成本太高，對(duì)規(guī)模較小的中國(guó)企業(yè)來(lái)說(shuō)操作難度太大。大型美國(guó)公司僅在第一年建立內(nèi)部控制系統(tǒng)的平均成本就高達(dá)430萬(wàn)美元，這對(duì)規(guī)模偏小的中國(guó)上市企業(yè)來(lái)說(shuō)是不現(xiàn)實(shí)的……

其次，公司治理方面與國(guó)際或者美國(guó)的企業(yè)有差距，不能一蹴而就，如果照搬薩班斯法案，可能會(huì)帶來(lái)水土不服；

第三，很多中國(guó)上市公司的 基礎(chǔ)還比較差，要達(dá)到薩班斯法案那樣對(duì) 的要求太難。

更多財(cái)稅咨詢、上市輔導(dǎo)、財(cái)務(wù)培訓(xùn)請(qǐng)關(guān)注理臣咨詢官網(wǎng) 素材來(lái)源：部分文字/圖片來(lái)自互聯(lián)網(wǎng)，無(wú)法核實(shí)真實(shí)出處。由理臣咨詢整理發(fā)布，如有侵權(quán)請(qǐng)聯(lián)系刪除處理。