一、lT治理機制下企業內部控制的特點
從內部控制建設和實施以來,內部控制起初主要是由一些企業組織文件及簡單的調查和監控表構成企業內部控制的主要內容,而現在的內部控制是一個完整的體系。以COSO內部控制整體框架為基礎,融合COSO企業風險管理整體框架的主要內容,結合國家監管部門的基本要求,建立了包括體系框架、控制環境、風險評估、控制活動、信息與溝通和監督六大部分在內的內部控制體系,是公司開展內部控制體系評價的依據。同時,與公司內部控制相關的其他管理規章,也是公司開展內部控制體系評價的依據。內部控制的評價也由起初的手工測試評價到現在的系統測試,測試方法更加豐富,內容更加廣泛,效率也更高。因而,lT治理機制下企業內控通常有以下幾個特點。
(一)內部控制實施的低紙化
現在網絡的發展,不論企業的采購訂單和銷售發貨,還是企業的資金活動和資產管理,基本上實現了網上交易和結算,以及在系統里進行審核簽章,很少生成紙質文件。因而,企業內控建設的重點工作就是加強這些流程的關鍵環節監督,嚴格控制權限的分配。加強對電子文件的保存和查閱。例如,某些電子表格的保存和監督。電子表格存放在文件服務器受到保護的路徑目錄下,并對電子表格存放目錄權限進行控制;重要和一般電子表格的變更應嚴格遵循申請、授權、測試和批準的完整過程,實現無紙化文件和紙質文件一樣的控制效果。
(二)內部控制測試的高效率
傳統的內部控制測試,在內容上單一,范圍上狹小,現在的內部控制測試內容全面,包括對已經建立的內控體系評價其設計的有效性和公司層面涵蓋COSO框架的五個要素及反舞弊六個方面的測試,以及主體業務層面(包括跟單測試和關鍵控制點測試)和lT治理機制下特有的信息層面控制測試(包括總體、應用控制和電子表格的權限設置)。這樣,測試的內容更為豐富,測試范圍更加廣泛。在內部控制框架的指導下,測試范圍的確定是以風險為導向。根據不同板塊的業務類型同時考慮各地區公司的業務差異,對地區公司及其所屬單位公司層面、業務活動層面、信息系統總體控制的測試內容和測試單位進行確定的過程。在測試時間不變的情況下,同時采取詢問、觀察、檢查和再執行等多種方法,內部控制的測試效率是相當高的。
(三)內部控制評價的高頻率
內部控制測試階段的高效率,內容全面、范圍廣泛、方法多樣等,并不能代表內部控制的效果就很好。然而更多層面以及更高效率的測試方案被制定,只有在IT治理機制下,結合lT治理的許多方法才能實現,因此現階段的內部控制評價是高頻率的。目前,在企業的內部控制實施過程中,比較成熟的測試方案主要有三種:(1)地區公司的自我測試。它是由地區公司總經理授權相關部門組織實施的、針對本單位內部控制設計和運行的有效性實施的檢查過程。自我測試應堅持以風險為導向,兼顧覆蓋面,重點關注高風險領域和業務薄弱環節。地區公司應在每年年初將自我測試計劃報送內控部備案,年底將年度自我測試報告報送內控部審核;地區公司的自我測試應按照股份公司統一的標準和規范進行,測試計劃、測試底稿和測試報告須納入內控測試系統(AAM)。(2)管理層測試。它是針對股份公司業務單位內部控制設計和運行的有效性,由管理層授權審計部和內控與風險管理部具體實施的檢查過程。根據管理層測試及其缺陷評估的結果出具管理層自我評估報告并對外披露。管理層測試分兩個階段進行,第一階段管理層測試由審計部負責,第二階段管理層測試由內控與風險管理部負責,具體包括改進測試、補充測試、更新測試以及年度財務報告控制測試。(3)外部審計師測試。外部審計師測試是審計師根據PCAQB的審計準則,為對公司-的內控控制有效性發表意見而進行的獨立測試。
二、lT治理機制對企業內部控制影響
IT治理機制下,企業內部控制是通過控制系統與財務系統(F-MIS系統)及其他管理信息系統的對接來實施的。這些對企業活動進行的控制都是在信息系統層面上操作的,因此,沒有更為成熟的lT技術的支持是很難完成的。IT治理機制對企業內控的影響,主要就是控制信息系統設計的完善程度。在利用信息系統控制風險時,應當關注以下幾個方面:(1)缺乏系統整體規劃,造成信息溝通不順暢,只能局部有效,不能對整體進行決策。例如,由于整體規劃的缺乏,企業各部門間就存在業務處理上的不及時和割裂,導致業務活動的受阻。如,采購物資審批遲遲不下,生產部門無原料,銷售缺貨,嚴重影響企業的正常經營活動。(2)系統的邏輯設計不符合內部控制要求,不能達到控制的目標。邏輯設計的不合格,直接導致業務信息對接不上,無法匯總信息,不能總體決策業務活動和評價業務的質量,內部控制也不能取證。(3)系統設計的可信性研究。建立健全的IT治理結構,引入財務可信性審計機制,實現信息系統可信性和信息質量的共同提高,增強了企業的內部控制能力。(4)系統的權限設置不恰當,不能對信息實施有效的控制。電子表格的編制人和審核人需要實行權限分離。(5)系統的維護不及時和安全性不高。例如,經常出現系統登錄不上,或者某系部分打不開,找不出原因,也沒有及時派人解決問題,出現被攻擊或系統崩潰的情況。因此,公司必須設置IT管理部門且IT部門必須制定《信息系統安全政策》,實施配置和管理邏輯安全工具和技術,以限制對操作系統的訪問,保證系統的安全,避免出現對信息系統及數據未授權和不恰當訪問的情況。
三、基于lT治理的企業內部控制的措施和建議
在信息系統中,可以從以下幾個層面對信息技術下的數據進行控制。首先,數據質量控制。手工錄入電子表格的數據要與原始單據進行匯總核對,將更新后的電子表格內容打印出來,由審核崗人員比對原始數據,并審核簽字。若電子表格的數據從外部數據自動導入,需將更新后的電子表格內容打印出來,由審核崗人員比對外部數據來源,審核后簽字確認,保證數據的完整與準確。由電子表格復核崗人員對電子表格的計算公式或數據鏈接關系進行定期檢查,以保證表內邏輯計算的正確性。其次,數據安全控制。用戶需要直接訪問系統中的數據時,應提出申請,由用戶主管領導和應用系統負責人進行審批后執行。進入機房人員需根據進入機房的事由,經進入機房授權人員同意后,按規定填寫《機房出入登記表》進入機房。機房負責人定期檢查機房出入登記情況。再次,數據共享控制。用戶申請遠程登錄賬號時,填寫《遠程登錄賬號申請表》并提交給用戶主管領導和網絡管理負責人審批后方可實施。網絡管理負責人每三個月審核用戶遠程登錄賬號是否合理,以及是否存在無人使用的用戶賬號,將審核結果填寫在《遠程登錄權限檢查表》中。并簽字確認。最后,數據系統控制上。機房負責人指定人員每周對設備運行狀況進行巡檢,檢查人員對檢查結果簽字確認:應用系統負責人指定人員依據備份策略,執行備份操作,并對執行結果進行檢查:幫助熱線支持人員定期分類匯總當季發生的問題,形成書面分析報告,向本部門主管領導匯報。
新環境下的企業內部控制,應將IT治理機制和內部控制有效地結合起來,利用lT治理機制的優勢更好地進行企業內部控制活動,內部控制不斷改進的過程,也是IT治理理念不斷完善的過程。因此,構建完善的企業內部控制體系,建議內部控制架構者和企業用戶重點關注與IT治理有關的活動環節,以更好地實現企業內部控制目標和企業治理目標。一是培養公司員工lT意識,真正理解軟件設計中內部控制的目的;二是加強內部控制架構者和用戶需求的交流,提高企業內控機制的適用性;三是建立lT治理和內部控制部門,分管和協調企業的IT治理和內部控制問題,構建內部控制持續有效的保障機制。
[參考文獻]
[1]王幾林,李河君基于ElM,流程管理的IT治理初探[J]會計之友,2009(8)
[2]劉玉廷全面提升企業經營管理水平的重要舉措——《企業內部控制配套指引》解讀[J]會計研究,2010(5)
