信息技術(shù)公司內(nèi)部控制問(wèn)題研究

俞佳瑾

摘要：隨著科技的不斷發(fā)展，信息技術(shù)得到了廣泛的運(yùn)用。信息技術(shù)的運(yùn)用在一定程度上提高了企業(yè)的管理效率，為企業(yè)節(jié)省成本，形成新的競(jìng)爭(zhēng)優(yōu)勢(shì)。但與此同時(shí)，也給企業(yè)的內(nèi)部控制帶來(lái)了新的問(wèn)題和挑戰(zhàn)。本文基于相關(guān)理論基礎(chǔ)，對(duì)信息技術(shù)企業(yè)的內(nèi)部控制問(wèn)題進(jìn)行研究，嘗試尋求較佳的信息技術(shù)內(nèi)部控制評(píng)價(jià)指標(biāo)設(shè)計(jì)思路以及具體評(píng)價(jià)的方法。

關(guān)鍵詞：信息技術(shù);內(nèi)部控制

現(xiàn)代經(jīng)濟(jì)社會(huì)，信息化建設(shè)逐漸深入到企業(yè)的日常經(jīng)營(yíng)的務(wù)中，嚴(yán)格管控信息系統(tǒng)的建設(shè)與實(shí)施，評(píng)價(jià)信息技術(shù)內(nèi)部控制是否有效成為了企業(yè)關(guān)注的重點(diǎn)。在國(guó)內(nèi)的企業(yè)中，電信行業(yè)和金融行業(yè)是踐行信息技術(shù)內(nèi)部控制方面的佼佼者，但在實(shí)際進(jìn)行信息技術(shù)內(nèi)部控制時(shí)，它們依然存在許多的問(wèn)題。例如缺乏一個(gè)良好的信息技術(shù)內(nèi)部控制環(huán)境且沒(méi)有構(gòu)建一個(gè)完整的信息技術(shù)工作溝通和匯報(bào)的機(jī)制;在建設(shè)信息系統(tǒng)和開(kāi)展信息技術(shù)內(nèi)控工作前，沒(méi)有進(jìn)行一個(gè)統(tǒng)一的戰(zhàn)略規(guī)劃，導(dǎo)致多個(gè)信息系統(tǒng)同時(shí)運(yùn)行，生成的數(shù)據(jù)分散在各個(gè)系統(tǒng)，且由于各個(gè)系統(tǒng)之間的整合度較差，最終影響關(guān)鍵數(shù)據(jù)的傳遞和處理，造成嚴(yán)重的后果;缺乏對(duì)信息系統(tǒng)整體業(yè)務(wù)需求的分析，僅通過(guò)個(gè)別小組進(jìn)行簡(jiǎn)單的需求探討后，基于小組領(lǐng)導(dǎo)者個(gè)人以往使用系統(tǒng)的經(jīng)驗(yàn)、對(duì)市場(chǎng)上現(xiàn)有信息系統(tǒng)及其供應(yīng)商片面的了解來(lái)盲目地采購(gòu)和啟用新的信息系統(tǒng);員工缺乏應(yīng)用信息系統(tǒng)的培訓(xùn)，公司也沒(méi)有明確的違規(guī)行為的界定以及相應(yīng)的監(jiān)管，這導(dǎo)致許多員工在工作時(shí)僅憑個(gè)人的感覺(jué)和經(jīng)驗(yàn)來(lái)保證自己的操作沒(méi)有違反相關(guān)法律法規(guī)，而即使出現(xiàn)了違規(guī)行為，公司也難以及時(shí)的發(fā)現(xiàn)并糾正，最終可能會(huì)給公司造成很大的損失。

因此，只有通過(guò)有效地整合信息技術(shù)和業(yè)務(wù)流程，才可能降低信息技術(shù)風(fēng)險(xiǎn)，提升內(nèi)部控制的效率和效果。因此信息技術(shù)控制與治理的重要性越發(fā)突出。

一、理論分析

1.對(duì)前期研究的分析

國(guó)內(nèi)對(duì)于內(nèi)部控制的研究較多的是采用COSO模型和薩班斯法案作為指導(dǎo)，相比于國(guó)外，國(guó)內(nèi)對(duì)于COB信息技術(shù)模型的研究起步較晚，目前尚處于理論介紹或部分借鑒的水平，對(duì)于COB信息技術(shù)模型的理解和分析還不夠透徹。但由于我國(guó)的經(jīng)濟(jì)環(huán)境和體制與國(guó)外大不相同，盲目的借鑒國(guó)外的理論成果和實(shí)踐經(jīng)驗(yàn)也是不可取的。但是目前針對(duì)信息技術(shù)內(nèi)部控制的概念沒(méi)有規(guī)范的定義，國(guó)內(nèi)在信息技術(shù)內(nèi)部控制方面上沒(méi)有一套明確且完善的指導(dǎo)理論。

2.COB信息技術(shù)模型在信息技術(shù)內(nèi)控中的運(yùn)用分析

在信息化大環(huán)境下，企業(yè)對(duì)信息技術(shù)的依賴(lài)性日漸增長(zhǎng)，同時(shí)也面臨著更多的風(fēng)險(xiǎn)，例如數(shù)據(jù)被泄露和篡改的風(fēng)險(xiǎn)，因而有效地實(shí)施信息技術(shù)內(nèi)部控制變得至關(guān)重要。有效的運(yùn)行不僅可以幫助企業(yè)降低信息化的風(fēng)險(xiǎn)，還能提高管理和經(jīng)營(yíng)的效率，促使企業(yè)形成自身的競(jìng)爭(zhēng)優(yōu)勢(shì)。想要建立一套合理的信息技術(shù)內(nèi)部控制體系并使其有效運(yùn)行，就需要一套科學(xué)的內(nèi)部控制框架來(lái)進(jìn)行指導(dǎo)，與此同時(shí)還需要匹配一套能夠了解信息技術(shù)內(nèi)控運(yùn)行的效果的評(píng)價(jià)標(biāo)準(zhǔn)。在目前各種與內(nèi)部控制相關(guān)的理論中，COB信息技術(shù)模型應(yīng)該是最符合信息技術(shù)控制這兩方面需求的模型工具了。

首先，與信息技術(shù)IL以及BS7700相比較，前者關(guān)注的重點(diǎn)在于信息技術(shù)服務(wù)的支持和交付，后者關(guān)注信息的安全管理，而COB信息技術(shù)所關(guān)注的治理要素正是過(guò)程、控制和度量，這說(shuō)明他比BS7799、信息技術(shù)IL更適合信息技術(shù)控制。

其次，盡管COSO框架被大多數(shù)企業(yè)作為內(nèi)部控制的指導(dǎo)工具以及評(píng)估內(nèi)部控制的標(biāo)準(zhǔn)，但是對(duì)于信息技術(shù)內(nèi)部控制，它沒(méi)有對(duì)控制的目標(biāo)給出具體的定義，也沒(méi)有為控制活動(dòng)的實(shí)施提供指南，這就導(dǎo)致每個(gè)企業(yè)只能自行決定需要實(shí)現(xiàn)怎樣的控制目標(biāo)以及該實(shí)施哪些相關(guān)的控制。而COB信息技術(shù)模型提供了公司層面、業(yè)務(wù)層面以及一般控制層面的目標(biāo)，對(duì)COSO框架進(jìn)行了補(bǔ)充;除此以外，兩者控制的重點(diǎn)也不同。COSO模型僅關(guān)注財(cái)務(wù)信息，是一個(gè)業(yè)務(wù)控制框架，缺少對(duì)信息技術(shù)控制的解釋和說(shuō)明。而COB信息技術(shù)在COSO的基礎(chǔ)上還吸納了現(xiàn)存的各種主要的信息技術(shù)標(biāo)準(zhǔn)，它所關(guān)注的信息既能夠與業(yè)務(wù)目標(biāo)保持緊密的聯(lián)系，還與信息技術(shù)的資源和流程相關(guān)，彌補(bǔ)了COSO模型在信息技術(shù)內(nèi)控方面的缺陷。因此COSO模型適合整個(gè)組織的一般控制，而COB信息技術(shù)模型更適合信息技術(shù)內(nèi)部控制。

此外，COB信息技術(shù)模型在理解和實(shí)施方面也非常的容易，盡管信息系統(tǒng)比較復(fù)雜，但是在COB信息技術(shù)模型的指導(dǎo)下，相關(guān)控制活動(dòng)的難度大大降低。最后，COB信息技術(shù)模型不僅是信息化建設(shè)的重要參考標(biāo)準(zhǔn)，還能夠滿足后期評(píng)審人員評(píng)估信息化環(huán)境的質(zhì)量、信息技術(shù)控制運(yùn)行效果的需要，幫助企業(yè)更好的了解當(dāng)前信息化內(nèi)部控制的水平，對(duì)潛在的控制風(fēng)險(xiǎn)加以把控。

二、信息技術(shù)內(nèi)部控制理論分析

隨著全球一體化進(jìn)程的不斷推進(jìn)，越來(lái)越多的大型企業(yè)放棄原先的手工作業(yè)，選擇用信息技術(shù)來(lái)處理和管理信息。如果能將信息技術(shù)和企業(yè)業(yè)務(wù)有效的整合，企業(yè)就能為自身創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。但是建立一個(gè)完善的信息技術(shù)系統(tǒng)不僅需要大量的資金投入，還會(huì)給業(yè)務(wù)的運(yùn)作帶來(lái)新的風(fēng)險(xiǎn)。因此如何高效地運(yùn)用信息技術(shù)資源、維護(hù)信息技術(shù)資產(chǎn)、降低信息技術(shù)風(fēng)險(xiǎn)成為企業(yè)關(guān)注的重點(diǎn)，信息技術(shù)內(nèi)控隨之成為了當(dāng)下一個(gè)新的研究熱點(diǎn)。

目前還沒(méi)有權(quán)威的機(jī)構(gòu)和文件對(duì)信息技術(shù)內(nèi)部控制作出較為規(guī)范的定義，但COSO報(bào)告針對(duì)內(nèi)部控制給出以下的定義：內(nèi)部控制是一個(gè)過(guò)程，它由董事會(huì)、管理層以及企業(yè)的員工來(lái)實(shí)施，通過(guò)實(shí)施內(nèi)部控制來(lái)為實(shí)現(xiàn)提高經(jīng)營(yíng)效果和效率、增強(qiáng)財(cái)務(wù)報(bào)告的可靠性、遵從適用的法律法規(guī)這類(lèi)目標(biāo)提供合理的保證。COB信息技術(shù) 2019中對(duì)于企業(yè)信息和技術(shù)治理的定義：它由董事會(huì)執(zhí)行，并由董事會(huì)監(jiān)督流程、結(jié)構(gòu)和關(guān)系機(jī)制的定義和實(shí)施，促使業(yè)務(wù)部門(mén)和信息技術(shù)部門(mén)的人員各盡其職，支持業(yè)務(wù)和信息技術(shù)的協(xié)調(diào)一致，以及從信息技術(shù)促成的業(yè)務(wù)投資中創(chuàng)造業(yè)務(wù)價(jià)值。有專(zhuān)家提出了治理系統(tǒng)需要遵循的六大原則：滿足利益相關(guān)者的需求、采用整體的方法、動(dòng)態(tài)的治理系統(tǒng)、將治理和管理分開(kāi)、根據(jù)企業(yè)需求量身定制、端到端的治理系統(tǒng)，其中采用整體的方法是指治理的系統(tǒng)中要包含流程、組織結(jié)構(gòu)、信息流、政策和程序等組件協(xié)同運(yùn)作。動(dòng)態(tài)的治理系統(tǒng)是指當(dāng)系統(tǒng)的某些設(shè)計(jì)因素，例如企業(yè)戰(zhàn)略、目標(biāo)、信息技術(shù)風(fēng)險(xiǎn)、威脅環(huán)境、信息技術(shù)相關(guān)問(wèn)題等，發(fā)生變化對(duì)系統(tǒng)產(chǎn)出影響時(shí)，就要對(duì)治理系統(tǒng)進(jìn)行相應(yīng)的改進(jìn)。

信息技術(shù)內(nèi)部控制實(shí)際上已成為了企業(yè)整體內(nèi)部控制的重要部分，而內(nèi)部控制是有世界認(rèn)可的標(biāo)準(zhǔn)的，即COSO，因此信息技術(shù)內(nèi)控也是需要滿足內(nèi)部控制的標(biāo)準(zhǔn)的。與此同時(shí)還要考慮是否符合相關(guān)的法律法規(guī)要求，例如SOX-404對(duì)內(nèi)部控制提出了相關(guān)的要求，而信息技術(shù)內(nèi)部控制作為整體內(nèi)部控制的子集，其實(shí)施的有效性直接決定了整體內(nèi)部控制體系能否通過(guò)SOX-404的合規(guī)性測(cè)試，因此在開(kāi)展信息技術(shù)內(nèi)控之前要制定相關(guān)的合規(guī)計(jì)劃。盡管信息技術(shù)擁有傳統(tǒng)手工操作無(wú)法實(shí)現(xiàn)的強(qiáng)大功能，但是內(nèi)部控制固有的局限性加之信息系統(tǒng)自身存在的缺陷使得信息技術(shù)內(nèi)控始終不可能提供絕對(duì)的保證。

三、COB信息技術(shù)在信息技術(shù)內(nèi)部控制實(shí)踐中的應(yīng)用分析

（一）作用分析

COB信息技術(shù)模型是指導(dǎo)信息技術(shù)控制實(shí)施的最好的工具，它所提出的COB信息技術(shù)核心模型、流程能力級(jí)別、成熟度級(jí)別、信息質(zhì)量標(biāo)準(zhǔn)等都是可以融入到信息技術(shù)控制實(shí)施的各個(gè)階段之中，輔助信息技術(shù)控制更好地實(shí)踐。例如：在確定控制范圍前，需要了解企業(yè)信息技術(shù)內(nèi)部控制的現(xiàn)狀和問(wèn)題，此時(shí)可以借鑒COB信息技術(shù) 2019中對(duì)信息技術(shù)相關(guān)問(wèn)題設(shè)計(jì)因素給出的參考資料以及流程能力級(jí)別。由于COB信息技術(shù)模型將控制的目標(biāo)在域、過(guò)程和活動(dòng)這三個(gè)層次上進(jìn)行逐步的分解，可以得出40個(gè)高層級(jí)的控制目標(biāo)和多個(gè)具體的控制目標(biāo)。通過(guò)分析各個(gè)層次上的控制目標(biāo)的實(shí)現(xiàn)情況，可以評(píng)估出系統(tǒng)的控制風(fēng)險(xiǎn)。同時(shí)還可以參考COB信息技術(shù) 2019中風(fēng)險(xiǎn)概況設(shè)計(jì)因素所標(biāo)識(shí)的各類(lèi)信息技術(shù)風(fēng)險(xiǎn)類(lèi)別，防止在識(shí)別風(fēng)險(xiǎn)時(shí)有所遺漏。

在確定關(guān)鍵控制點(diǎn)時(shí)，可以借助COB信息技術(shù) 2019中提出的目標(biāo)級(jí)聯(lián)模型。通過(guò)該模型，可以根據(jù)企業(yè)目標(biāo)的優(yōu)先級(jí)來(lái)確定控制目標(biāo)的重要程度，進(jìn)而確定該控制目標(biāo)所對(duì)應(yīng)的信息技術(shù)流程或活動(dòng)的重要性，找出關(guān)鍵的控制點(diǎn)。完成關(guān)鍵控制點(diǎn)的識(shí)別之后，企業(yè)還應(yīng)該參考COB信息技術(shù)提出的控制目標(biāo)來(lái)改善和調(diào)整所設(shè)計(jì)的控制點(diǎn)。

進(jìn)行信息技術(shù)內(nèi)部控制有效性評(píng)價(jià)時(shí)，能力成熟度模型CMMI能夠用于衡量流程的實(shí)施情況。能力成熟度模型將能力的級(jí)別劃分為0～5級(jí)，COB信息技術(shù)模型為所有的流程活動(dòng)定義了能力級(jí)別。企業(yè)根據(jù)流程活動(dòng)的實(shí)現(xiàn)情況來(lái)確定流程所達(dá)到的級(jí)別，進(jìn)而確定企業(yè)目前的控制水平。在COB信息技術(shù) 2019中每項(xiàng)高層級(jí)控制目標(biāo)除了關(guān)聯(lián)一個(gè)COB信息技術(shù)核心模型的信息技術(shù)流程之外，還配有其他的六個(gè)組件，包括組織結(jié)構(gòu)、信息流和信息項(xiàng)、人員技能、政策程序等。對(duì)于這些組件COB信息技術(shù) 2019也提供了相應(yīng)的績(jī)效考核標(biāo)準(zhǔn)，在評(píng)估信息技術(shù)內(nèi)控有效性時(shí)，也應(yīng)予以考慮。

（二）對(duì)COB信息技術(shù)運(yùn)用效果的評(píng)價(jià)分析

盡管在內(nèi)部控制評(píng)價(jià)時(shí)定性評(píng)價(jià)的方式被廣為使用，但評(píng)價(jià)人員的主觀判斷給評(píng)價(jià)效果帶來(lái)的不利影響也是不可否認(rèn)的。因此在設(shè)計(jì)指標(biāo)時(shí)，應(yīng)考慮利用定量的指標(biāo)來(lái)彌補(bǔ)定性指標(biāo)自身的局限性，兩者相結(jié)合有利于更清晰準(zhǔn)確地反映控制的情況。在實(shí)踐中，內(nèi)部控制的五要素可以作為定性指標(biāo)體系的一級(jí)指標(biāo)，而二級(jí)指標(biāo)和具體的應(yīng)用指標(biāo)，需要結(jié)合公司的實(shí)際情況以及評(píng)價(jià)的目的和重點(diǎn)來(lái)制定。定性指標(biāo)體系也可以基于COB信息技術(shù) 2019核心模型來(lái)設(shè)定，即以控制目標(biāo)的五個(gè)大的領(lǐng)域作為一級(jí)目標(biāo)，再?gòu)募?xì)分的40個(gè)高層控制目標(biāo)中，以企業(yè)控制的重點(diǎn)和評(píng)價(jià)的目的為依據(jù)，挑出關(guān)鍵的控制項(xiàng)作為二級(jí)指標(biāo)。具體評(píng)價(jià)的項(xiàng)目可以參考COB信息技術(shù) 2019中定義的指標(biāo)示例。

定量指標(biāo)一般可以選取分別代表企業(yè)盈利能力、償債能力和營(yíng)運(yùn)能力的三項(xiàng)指標(biāo)，即銷(xiāo)售凈利率、權(quán)益乘數(shù)以及總資產(chǎn)周轉(zhuǎn)率。根據(jù)三項(xiàng)指標(biāo)之間的聯(lián)系，最終可以得出一項(xiàng)全面反映企業(yè)財(cái)務(wù)經(jīng)驗(yàn)狀況的指標(biāo)，即權(quán)益凈利率。

四、研究結(jié)論與建議

（一）研究結(jié)論

通過(guò)上述分析，本文認(rèn)為：

信息技術(shù)內(nèi)部控制是企業(yè)整體控制的一部分，其有效性影響到整體內(nèi)部控制的運(yùn)行能否符合SOX-404的合規(guī)要求。同時(shí)信息技術(shù)技術(shù)也成為了內(nèi)部控制的一個(gè)十分重要的控制對(duì)象。信息技術(shù)內(nèi)控根據(jù)不同的控制內(nèi)容可以分為公司層面、應(yīng)用層面、通用層面三個(gè)層次的控制。

信息技術(shù)內(nèi)部控制的目標(biāo)根據(jù)COB信息技術(shù) 2019中定義的五個(gè)控制域可以概括為維護(hù)信息質(zhì)量以滿足業(yè)務(wù)需求、合理利用信息技術(shù)資源并優(yōu)化信息技術(shù)成本、有效管控信息技術(shù)技術(shù)的相關(guān)風(fēng)險(xiǎn)、監(jiān)控和評(píng)價(jià)信息技術(shù)運(yùn)行和控制效果、確保遵守相關(guān)法律法規(guī)和契約協(xié)議這五方面的目標(biāo)。

COB信息技術(shù) 2019中提出的核心模型、能力成熟度模型和其他績(jī)效評(píng)估標(biāo)準(zhǔn)都是信息技術(shù)實(shí)施六個(gè)階段中不可缺少的，COB信息技術(shù)模型和這六個(gè)步驟相輔相成。

（二）研究建議

目前部分國(guó)內(nèi)企業(yè)對(duì)于信息技術(shù)內(nèi)控尚不夠重視，多數(shù)企業(yè)還未嘗試使用COB信息技術(shù)模型來(lái)指導(dǎo)信息技術(shù)內(nèi)部控制。本文建議，公司的管理層能夠加強(qiáng)對(duì)信息技術(shù)內(nèi)部控制的重視，不斷地學(xué)習(xí)、掌握新的信息技術(shù)內(nèi)控知識(shí)，對(duì)員工進(jìn)行信息技術(shù)技術(shù)應(yīng)用的專(zhuān)業(yè)培訓(xùn)，根據(jù)自身的業(yè)務(wù)模式、戰(zhàn)略目標(biāo)和決策，合理的利用COB信息技術(shù)模型建立適合自身的信息技術(shù)內(nèi)部控制體系。

參考文獻(xiàn)：

[1]王素梅.企業(yè)信息化環(huán)境下內(nèi)部控制效果評(píng)價(jià)研究[D].首都經(jīng)濟(jì)貿(mào)易大學(xué)，2013.

[2]郭楠.企業(yè)信息化內(nèi)部控制評(píng)價(jià)研究[D].首都經(jīng)濟(jì)貿(mào)易大學(xué)，2014.

[3]張麗娟.電信運(yùn)營(yíng)企業(yè)內(nèi)部控制的研究[D].廣西大學(xué)，2007.