我国信息系统内部控制应用指引的分析及完善—

摘　要：信息技术的发展和应用在辅助企业经营的同时，也带来了许多的风险。加强信息系统的内部控制对企业具有十分重要的意义。本文将《企业内部控制配套指引》中关于信息系统的内部控制有关内容与COBIT的IT控制的理论框架进行比较，提出相应改进意见。

关键词：信息系统内部控制COBIT
 

内部控制已经成为企业改善经营管理、提高运营效率的关键。我国的《企业内部控制基本规范》和《企业内部控制配套指引》构成了内部控制规范体系。然而，体系仍存在许多不足，包括信息系统内部控制的建立、评价和审计方面，有待进一步完善。

一、我国信息系统内部控制应用指引

在《企业内部控制应用指引》第18号中，对信息系统内部控制的有关内容进行了描述。指引在某种程度上贯彻了风险管理的思想，在总则中首先明确了企业在利用信息系统实施内部控制中应关注的风险，包括系统规划、系统开发和系统运行和维护这些生命周期不同阶段的风险，其后更细致地说明了对风险的应对措施。

但是，应用指引仍然存在着一些的缺陷。例如，它所阐述的信息系统生命周期不够完整，逻辑不够清晰；虽说明了应对风险的措施，却没有明确所面临的风险等，对企业建立良好的信息系统内部控制指导意义有限。因此，我们需要在借鉴国内外先进经验的基础上，对应用指引进行改良，以建立适合我国现实的信息系统内部控制。

二、COBIT框架及特点——基于与我国内部控制应用指引的对比

COBIT是目前国际公认的最权威、最先进的安全和信息技术管理和控制标准。COBIT作为IT内部控制框架，为衡量、审计和控制信息系统提供了一般适用的模型，对我国完善信息系统内部控制的相关规定具有重要的借鉴意义。

COBIT将IT过程、IT资源、与业务要求相适应的IT目标相结合，形成一个综合框架。IT控制目标通过在IT过程中管理IT资源来实现。控制框架提供了IT治理目标、IT过程和IT控制之间清晰的逻辑关系。与我国应用指引相比，COBIT有以下特点：

（一）存在一个逻辑清晰的框架，以指导生命周期不同阶段内部控制的设计

COBIT关于IT控制的设置基于一个基本思想：企业为获取经营所需信息，应投资于IT资源；进而需通过IT过程来管理和控制IT资源，高效地获得信息。在这种思想指导下，COBIT对IT内部控制的设置实际上就是对IT生命周期不同阶段（即四个域）各个过程的控制。COBIT将IT管理和控制分为四个域：计划与组织、获取与实施、交付与支持和监测与评价；进而对四个域细分其具体过程，分为34个具体过程；然后对34个过程再进行细分，分为若干活动。若此形成一个三层次的过程体系，层层细化，通过控制各个过程（活动），实现具体的控制目标，进而实现整个IT的控制目标。

而我国的应用指引虽在总则中表明了信息系统生命周期应关注的风险，但却不够细致，生命周期不完整，缺乏指导意义。

（二）目标的业务导向

COBIT认为，IT的最终目标是为企业实现业务活动提供其所需的符合信息标准的信息，因此要求IT目标必须与业务要求相适应。如果IT能够成功的交付服务以实现企业战略，就应清楚应交付什么服务以及如何交付。这就需要将企业战略目标转化为IT的业务目标，再将其转换为IT自己的目标，进而定义为实现企业IT战略所需的IT资源和能力。一旦相应目标确定下来，就应该对这些目标进行监控，以确保实际的交付可以满足预期的需求。

我国的应用指引在多处强调了信息系统内部控制的设计与业务的结合，如企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级等等。然而与COBIT将业务导向在目标这一框架的较高层级强调不同，它只是较零星地提及。

（三）面向过程的控制

COBIT提供了一个一般性的过程模型，该模型展示了IT职能常见的所有过程，为IT运营和业务管理者提供了一个易于理解的通用的参考模型。COBIT首先将信息系统生命周期划分为四个域，包括计划与组织、获取与实施、交付与支持、监控与评价，对应IT项目的四个阶段：规划、实施、运行及评价；其次，COBIT在这四个域中采用过程模型的方式定义IT活动，将四个域进一步分解为34个过程和若干个活动，层层递进，通过对这些过程进行控制实现IT控制目标。

我国应用指引考虑了信息系统的生命周期，但并不完整；没有将生命周期各个阶段细分为过程、活动来组织信息系统的内部控制，而是零散地罗列防范和控制风险的措施。

三、我国信息系统内部控制应用指引的改进——基于COBIT的思考

借鉴COBIT的思想，结合我国现实，本文提出对信息系统内部控制应用指引的如下改进建议：

（一）建立逻辑框架

COBIT以与业务相适应的IT目标为导向，通过IT过程管理IT资源，最后实现IT目标。在这一逻辑框架下，COBIT组织各部分的内容，最终形成了一个逻辑清晰、完整的框架体系。而我国应用指引缺乏一个统领全局的框架。鉴于指引在总则中强调了信息系统生命周期的风险，因此可尝试建立这样的体系：企业为保证信息系统能够安全、高效地提供企业所需信息，必须防范和控制信息系统生命周期各阶段的风险；因此必须明确企业生命周期的各阶段的风险；最后提出如何识别、防范和处理这些风险。或者可以模仿COBIT，基于过程来构建信息系统内部控制。 

（二）完善各个生命周期的控制

由于应用指引只涵盖生命周期的两个阶段，相对COBIT而言较为不完整，因此有必要对信息系统生命周期的有关内容进行完善。强调生命周期的完整性可以应对我国信息系统的建设欠规划、缺管理的问题，避免信息系统建设半途而废。

（三）强调与业务流程的结合

我国目前企业的信息化建设面临着尴尬的境地，许多企业信息化失败的一个重要原因就是缺乏对业务流程的了解、梳理和重组，信息化建设未和业务流程相结合，无法满足业务的需求。我国应用指引在多处强调了与业务流程结合的重要性，COBIT更是将其与IT目标相结合，要求IT目标与业务目标相适应。因此，我国的信息系统内部控制指引可将对业务流程的强调放在一个更显著的位置，强调在建立信息系统及其内部控制时应充分考虑企业的业务现实。

【参考文献】

[1] 吴炎太，林斌，孙烨.2009.基于生命周期的信息系统内部控制风险管理研究^[J].审计研究（6）：87-92.

[2] 吴炎太.控制思想在信息系统建设中的应用^[J]. 财会通讯（7）：22-24.

[3] IT Governance 4.l[EB/OL].