信息技術公司內部控制問題研究

俞佳瑾

摘要：隨著科技的不斷發展，信息技術得到了廣泛的運用。信息技術的運用在一定程度上提高了企業的管理效率，為企業節省成本，形成新的競爭優勢。但與此同時，也給企業的內部控制帶來了新的問題和挑戰。本文基于相關理論基礎，對信息技術企業的內部控制問題進行研究，嘗試尋求較佳的信息技術內部控制評價指標設計思路以及具體評價的方法。

關鍵詞：信息技術;內部控制

現代經濟社會，信息化建設逐漸深入到企業的日常經營的務中，嚴格管控信息系統的建設與實施，評價信息技術內部控制是否有效成為了企業關注的重點。在國內的企業中，電信行業和金融行業是踐行信息技術內部控制方面的佼佼者，但在實際進行信息技術內部控制時，它們依然存在許多的問題。例如缺乏一個良好的信息技術內部控制環境且沒有構建一個完整的信息技術工作溝通和匯報的機制;在建設信息系統和開展信息技術內控工作前，沒有進行一個統一的戰略規劃，導致多個信息系統同時運行，生成的數據分散在各個系統，且由于各個系統之間的整合度較差，最終影響關鍵數據的傳遞和處理，造成嚴重的后果;缺乏對信息系統整體業務需求的分析，僅通過個別小組進行簡單的需求探討后，基于小組領導者個人以往使用系統的經驗、對市場上現有信息系統及其供應商片面的了解來盲目地采購和啟用新的信息系統;員工缺乏應用信息系統的培訓，公司也沒有明確的違規行為的界定以及相應的監管，這導致許多員工在工作時僅憑個人的感覺和經驗來保證自己的操作沒有違反相關法律法規，而即使出現了違規行為，公司也難以及時的發現并糾正，最終可能會給公司造成很大的損失。

因此，只有通過有效地整合信息技術和業務流程，才可能降低信息技術風險，提升內部控制的效率和效果。因此信息技術控制與治理的重要性越發突出。

一、理論分析

1.對前期研究的分析

國內對于內部控制的研究較多的是采用COSO模型和薩班斯法案作為指導，相比于國外，國內對于COB信息技術模型的研究起步較晚，目前尚處于理論介紹或部分借鑒的水平，對于COB信息技術模型的理解和分析還不夠透徹。但由于我國的經濟環境和體制與國外大不相同，盲目的借鑒國外的理論成果和實踐經驗也是不可取的。但是目前針對信息技術內部控制的概念沒有規范的定義，國內在信息技術內部控制方面上沒有一套明確且完善的指導理論。

2.COB信息技術模型在信息技術內控中的運用分析

在信息化大環境下，企業對信息技術的依賴性日漸增長，同時也面臨著更多的風險，例如數據被泄露和篡改的風險，因而有效地實施信息技術內部控制變得至關重要。有效的運行不僅可以幫助企業降低信息化的風險，還能提高管理和經營的效率，促使企業形成自身的競爭優勢。想要建立一套合理的信息技術內部控制體系并使其有效運行，就需要一套科學的內部控制框架來進行指導，與此同時還需要匹配一套能夠了解信息技術內控運行的效果的評價標準。在目前各種與內部控制相關的理論中，COB信息技術模型應該是最符合信息技術控制這兩方面需求的模型工具了。

首先，與信息技術IL以及BS7700相比較，前者關注的重點在于信息技術服務的支持和交付，后者關注信息的安全管理，而COB信息技術所關注的治理要素正是過程、控制和度量，這說明他比BS7799、信息技術IL更適合信息技術控制。

其次，盡管COSO框架被大多數企業作為內部控制的指導工具以及評估內部控制的標準，但是對于信息技術內部控制，它沒有對控制的目標給出具體的定義，也沒有為控制活動的實施提供指南，這就導致每個企業只能自行決定需要實現怎樣的控制目標以及該實施哪些相關的控制。而COB信息技術模型提供了公司層面、業務層面以及一般控制層面的目標，對COSO框架進行了補充;除此以外，兩者控制的重點也不同。COSO模型僅關注財務信息，是一個業務控制框架，缺少對信息技術控制的解釋和說明。而COB信息技術在COSO的基礎上還吸納了現存的各種主要的信息技術標準，它所關注的信息既能夠與業務目標保持緊密的聯系，還與信息技術的資源和流程相關，彌補了COSO模型在信息技術內控方面的缺陷。因此COSO模型適合整個組織的一般控制，而COB信息技術模型更適合信息技術內部控制。

此外，COB信息技術模型在理解和實施方面也非常的容易，盡管信息系統比較復雜，但是在COB信息技術模型的指導下，相關控制活動的難度大大降低。最后，COB信息技術模型不僅是信息化建設的重要參考標準，還能夠滿足后期評審人員評估信息化環境的質量、信息技術控制運行效果的需要，幫助企業更好的了解當前信息化內部控制的水平，對潛在的控制風險加以把控。

二、信息技術內部控制理論分析

隨著全球一體化進程的不斷推進，越來越多的大型企業放棄原先的手工作業，選擇用信息技術來處理和管理信息。如果能將信息技術和企業業務有效的整合，企業就能為自身創造競爭優勢。但是建立一個完善的信息技術系統不僅需要大量的資金投入，還會給業務的運作帶來新的風險。因此如何高效地運用信息技術資源、維護信息技術資產、降低信息技術風險成為企業關注的重點，信息技術內控隨之成為了當下一個新的研究熱點。

目前還沒有權威的機構和文件對信息技術內部控制作出較為規范的定義，但COSO報告針對內部控制給出以下的定義：內部控制是一個過程，它由董事會、管理層以及企業的員工來實施，通過實施內部控制來為實現提高經營效果和效率、增強財務報告的可靠性、遵從適用的法律法規這類目標提供合理的保證。COB信息技術 2019中對于企業信息和技術治理的定義：它由董事會執行，并由董事會監督流程、結構和關系機制的定義和實施，促使業務部門和信息技術部門的人員各盡其職，支持業務和信息技術的協調一致，以及從信息技術促成的業務投資中創造業務價值。有專家提出了治理系統需要遵循的六大原則：滿足利益相關者的需求、采用整體的方法、動態的治理系統、將治理和管理分開、根據企業需求量身定制、端到端的治理系統，其中采用整體的方法是指治理的系統中要包含流程、組織結構、信息流、政策和程序等組件協同運作。動態的治理系統是指當系統的某些設計因素，例如企業戰略、目標、信息技術風險、威脅環境、信息技術相關問題等，發生變化對系統產出影響時，就要對治理系統進行相應的改進。

信息技術內部控制實際上已成為了企業整體內部控制的重要部分，而內部控制是有世界認可的標準的，即COSO，因此信息技術內控也是需要滿足內部控制的標準的。與此同時還要考慮是否符合相關的法律法規要求，例如SOX-404對內部控制提出了相關的要求，而信息技術內部控制作為整體內部控制的子集，其實施的有效性直接決定了整體內部控制體系能否通過SOX-404的合規性測試，因此在開展信息技術內控之前要制定相關的合規計劃。盡管信息技術擁有傳統手工操作無法實現的強大功能，但是內部控制固有的局限性加之信息系統自身存在的缺陷使得信息技術內控始終不可能提供絕對的保證。

三、COB信息技術在信息技術內部控制實踐中的應用分析

（一）作用分析

COB信息技術模型是指導信息技術控制實施的最好的工具，它所提出的COB信息技術核心模型、流程能力級別、成熟度級別、信息質量標準等都是可以融入到信息技術控制實施的各個階段之中，輔助信息技術控制更好地實踐。例如：在確定控制范圍前，需要了解企業信息技術內部控制的現狀和問題，此時可以借鑒COB信息技術 2019中對信息技術相關問題設計因素給出的參考資料以及流程能力級別。由于COB信息技術模型將控制的目標在域、過程和活動這三個層次上進行逐步的分解，可以得出40個高層級的控制目標和多個具體的控制目標。通過分析各個層次上的控制目標的實現情況，可以評估出系統的控制風險。同時還可以參考COB信息技術 2019中風險概況設計因素所標識的各類信息技術風險類別，防止在識別風險時有所遺漏。

在確定關鍵控制點時，可以借助COB信息技術 2019中提出的目標級聯模型。通過該模型，可以根據企業目標的優先級來確定控制目標的重要程度，進而確定該控制目標所對應的信息技術流程或活動的重要性，找出關鍵的控制點。完成關鍵控制點的識別之后，企業還應該參考COB信息技術提出的控制目標來改善和調整所設計的控制點。

進行信息技術內部控制有效性評價時，能力成熟度模型CMMI能夠用于衡量流程的實施情況。能力成熟度模型將能力的級別劃分為0～5級，COB信息技術模型為所有的流程活動定義了能力級別。企業根據流程活動的實現情況來確定流程所達到的級別，進而確定企業目前的控制水平。在COB信息技術 2019中每項高層級控制目標除了關聯一個COB信息技術核心模型的信息技術流程之外，還配有其他的六個組件，包括組織結構、信息流和信息項、人員技能、政策程序等。對于這些組件COB信息技術 2019也提供了相應的績效考核標準，在評估信息技術內控有效性時，也應予以考慮。

（二）對COB信息技術運用效果的評價分析

盡管在內部控制評價時定性評價的方式被廣為使用，但評價人員的主觀判斷給評價效果帶來的不利影響也是不可否認的。因此在設計指標時，應考慮利用定量的指標來彌補定性指標自身的局限性，兩者相結合有利于更清晰準確地反映控制的情況。在實踐中，內部控制的五要素可以作為定性指標體系的一級指標，而二級指標和具體的應用指標，需要結合公司的實際情況以及評價的目的和重點來制定。定性指標體系也可以基于COB信息技術 2019核心模型來設定，即以控制目標的五個大的領域作為一級目標，再從細分的40個高層控制目標中，以企業控制的重點和評價的目的為依據，挑出關鍵的控制項作為二級指標。具體評價的項目可以參考COB信息技術 2019中定義的指標示例。

定量指標一般可以選取分別代表企業盈利能力、償債能力和營運能力的三項指標，即銷售凈利率、權益乘數以及總資產周轉率。根據三項指標之間的聯系，最終可以得出一項全面反映企業財務經驗狀況的指標，即權益凈利率。

四、研究結論與建議

（一）研究結論

通過上述分析，本文認為：

信息技術內部控制是企業整體控制的一部分，其有效性影響到整體內部控制的運行能否符合SOX-404的合規要求。同時信息技術技術也成為了內部控制的一個十分重要的控制對象。信息技術內控根據不同的控制內容可以分為公司層面、應用層面、通用層面三個層次的控制。

信息技術內部控制的目標根據COB信息技術 2019中定義的五個控制域可以概括為維護信息質量以滿足業務需求、合理利用信息技術資源并優化信息技術成本、有效管控信息技術技術的相關風險、監控和評價信息技術運行和控制效果、確保遵守相關法律法規和契約協議這五方面的目標。

COB信息技術 2019中提出的核心模型、能力成熟度模型和其他績效評估標準都是信息技術實施六個階段中不可缺少的，COB信息技術模型和這六個步驟相輔相成。

（二）研究建議

目前部分國內企業對于信息技術內控尚不夠重視，多數企業還未嘗試使用COB信息技術模型來指導信息技術內部控制。本文建議，公司的管理層能夠加強對信息技術內部控制的重視，不斷地學習、掌握新的信息技術內控知識，對員工進行信息技術技術應用的專業培訓，根據自身的業務模式、戰略目標和決策，合理的利用COB信息技術模型建立適合自身的信息技術內部控制體系。

參考文獻：

[1]王素梅.企業信息化環境下內部控制效果評價研究[D].首都經濟貿易大學，2013.

[2]郭楠.企業信息化內部控制評價研究[D].首都經濟貿易大學，2014.

[3]張麗娟.電信運營企業內部控制的研究[D].廣西大學，2007.