新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

一、lT治理機制下企業(yè)內(nèi)部控制的特點

從內(nèi)部控制建設(shè)和實施以來，內(nèi)部控制起初主要是由一些企業(yè)組織文件及簡單的調(diào)查和監(jiān)控表構(gòu)成企業(yè)內(nèi)部控制的主要內(nèi)容，而現(xiàn)在的內(nèi)部控制是一個完整的體系。以COSO內(nèi)部控制整體框架為基礎(chǔ)，融合COSO企業(yè)風險管理整體框架的主要內(nèi)容，結(jié)合國家監(jiān)管部門的基本要求，建立了包括體系框架、控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督六大部分在內(nèi)的內(nèi)部控制體系，是公司開展內(nèi)部控制體系評價的依據(jù)。同時，與公司內(nèi)部控制相關(guān)的其他管理規(guī)章，也是公司開展內(nèi)部控制體系評價的依據(jù)。內(nèi)部控制的評價也由起初的手工測試評價到現(xiàn)在的系統(tǒng)測試，測試方法更加豐富，內(nèi)容更加廣泛，效率也更高。因而，lT治理機制下企業(yè)內(nèi)控通常有以下幾個特點。

(一)內(nèi)部控制實施的低紙化

現(xiàn)在網(wǎng)絡(luò)的發(fā)展，不論企業(yè)的采購訂單和銷售發(fā)貨，還是企業(yè)的資金活動和資產(chǎn)管理，基本上實現(xiàn)了網(wǎng)上交易和結(jié)算，以及在系統(tǒng)里進行審核簽章，很少生成紙質(zhì)文件。因而，企業(yè)內(nèi)控建設(shè)的重點工作就是加強這些流程的關(guān)鍵環(huán)節(jié)監(jiān)督，嚴格控制權(quán)限的分配。加強對電子文件的保存和查閱。例如，某些電子表格的保存和監(jiān)督。電子表格存放在文件服務(wù)器受到保護的路徑目錄下，并對電子表格存放目錄權(quán)限進行控制；重要和一般電子表格的變更應(yīng)嚴格遵循申請、授權(quán)、測試和批準的完整過程，實現(xiàn)無紙化文件和紙質(zhì)文件一樣的控制效果。

(二)內(nèi)部控制測試的高效率

傳統(tǒng)的內(nèi)部控制測試，在內(nèi)容上單一，范圍上狹小，現(xiàn)在的內(nèi)部控制測試內(nèi)容全面，包括對已經(jīng)建立的內(nèi)控體系評價其設(shè)計的有效性和公司層面涵蓋COSO框架的五個要素及反舞弊六個方面的測試，以及主體業(yè)務(wù)層面(包括跟單測試和關(guān)鍵控制點測試)和lT治理機制下特有的信息層面控制測試(包括總體、應(yīng)用控制和電子表格的權(quán)限設(shè)置)。這樣，測試的內(nèi)容更為豐富，測試范圍更加廣泛。在內(nèi)部控制框架的指導(dǎo)下，測試范圍的確定是以風險為導(dǎo)向。根據(jù)不同板塊的業(yè)務(wù)類型同時考慮各地區(qū)公司的業(yè)務(wù)差異，對地區(qū)公司及其所屬單位公司層面、業(yè)務(wù)活動層面、信息系統(tǒng)總體控制的測試內(nèi)容和測試單位進行確定的過程。在測試時間不變的情況下，同時采取詢問、觀察、檢查和再執(zhí)行等多種方法，內(nèi)部控制的測試效率是相當高的。

(三)內(nèi)部控制評價的高頻率

內(nèi)部控制測試階段的高效率，內(nèi)容全面、范圍廣泛、方法多樣等，并不能代表內(nèi)部控制的效果就很好。然而更多層面以及更高效率的測試方案被制定，只有在IT治理機制下，結(jié)合lT治理的許多方法才能實現(xiàn)，因此現(xiàn)階段的內(nèi)部控制評價是高頻率的。目前，在企業(yè)的內(nèi)部控制實施過程中，比較成熟的測試方案主要有三種：(1)地區(qū)公司的自我測試。它是由地區(qū)公司總經(jīng)理授權(quán)相關(guān)部門組織實施的、針對本單位內(nèi)部控制設(shè)計和運行的有效性實施的檢查過程。自我測試應(yīng)堅持以風險為導(dǎo)向，兼顧覆蓋面，重點關(guān)注高風險領(lǐng)域和業(yè)務(wù)薄弱環(huán)節(jié)。地區(qū)公司應(yīng)在每年年初將自我測試計劃報送內(nèi)控部備案，年底將年度自我測試報告報送內(nèi)控部審核；地區(qū)公司的自我測試應(yīng)按照股份公司統(tǒng)一的標準和規(guī)范進行，測試計劃、測試底稿和測試報告須納入內(nèi)控測試系統(tǒng)(AAM)。(2)管理層測試。它是針對股份公司業(yè)務(wù)單位內(nèi)部控制設(shè)計和運行的有效性，由管理層授權(quán)審計部和內(nèi)控與風險管理部具體實施的檢查過程。根據(jù)管理層測試及其缺陷評估的結(jié)果出具管理層自我評估報告并對外披露。管理層測試分兩個階段進行，第一階段管理層測試由審計部負責，第二階段管理層測試由內(nèi)控與風險管理部負責，具體包括改進測試、補充測試、更新測試以及年度財務(wù)報告控制測試。(3)外部審計師測試。外部審計師測試是審計師根據(jù)PCAQB的審計準則，為對公司-的內(nèi)控控制有效性發(fā)表意見而進行的獨立測試。

二、lT治理機制對企業(yè)內(nèi)部控制影響

IT治理機制下，企業(yè)內(nèi)部控制是通過控制系統(tǒng)與財務(wù)系統(tǒng)(F－MIS系統(tǒng))及其他管理信息系統(tǒng)的對接來實施的。這些對企業(yè)活動進行的控制都是在信息系統(tǒng)層面上操作的，因此，沒有更為成熟的lT技術(shù)的支持是很難完成的。IT治理機制對企業(yè)內(nèi)控的影響，主要就是控制信息系統(tǒng)設(shè)計的完善程度。在利用信息系統(tǒng)控制風險時，應(yīng)當關(guān)注以下幾個方面：(1)缺乏系統(tǒng)整體規(guī)劃，造成信息溝通不順暢，只能局部有效，不能對整體進行決策。例如，由于整體規(guī)劃的缺乏，企業(yè)各部門間就存在業(yè)務(wù)處理上的不及時和割裂，導(dǎo)致業(yè)務(wù)活動的受阻。如，采購物資審批遲遲不下，生產(chǎn)部門無原料，銷售缺貨，嚴重影響企業(yè)的正常經(jīng)營活動。(2)系統(tǒng)的邏輯設(shè)計不符合內(nèi)部控制要求，不能達到控制的目標。邏輯設(shè)計的不合格，直接導(dǎo)致業(yè)務(wù)信息對接不上，無法匯總信息，不能總體決策業(yè)務(wù)活動和評價業(yè)務(wù)的質(zhì)量，內(nèi)部控制也不能取證。(3)系統(tǒng)設(shè)計的可信性研究。建立健全的IT治理結(jié)構(gòu)，引入財務(wù)可信性審計機制，實現(xiàn)信息系統(tǒng)可信性和信息質(zhì)量的共同提高，增強了企業(yè)的內(nèi)部控制能力。(4)系統(tǒng)的權(quán)限設(shè)置不恰當，不能對信息實施有效的控制。電子表格的編制人和審核人需要實行權(quán)限分離。(5)系統(tǒng)的維護不及時和安全性不高。例如，經(jīng)常出現(xiàn)系統(tǒng)登錄不上，或者某系部分打不開，找不出原因，也沒有及時派人解決問題，出現(xiàn)被攻擊或系統(tǒng)崩潰的情況。因此，公司必須設(shè)置IT管理部門且IT部門必須制定《信息系統(tǒng)安全政策》，實施配置和管理邏輯安全工具和技術(shù)，以限制對操作系統(tǒng)的訪問，保證系統(tǒng)的安全，避免出現(xiàn)對信息系統(tǒng)及數(shù)據(jù)未授權(quán)和不恰當訪問的情況。
三、基于lT治理的企業(yè)內(nèi)部控制的措施和建議

在信息系統(tǒng)中，可以從以下幾個層面對信息技術(shù)下的數(shù)據(jù)進行控制。首先，數(shù)據(jù)質(zhì)量控制。手工錄入電子表格的數(shù)據(jù)要與原始單據(jù)進行匯總核對，將更新后的電子表格內(nèi)容打印出來，由審核崗人員比對原始數(shù)據(jù)，并審核簽字。若電子表格的數(shù)據(jù)從外部數(shù)據(jù)自動導(dǎo)入，需將更新后的電子表格內(nèi)容打印出來，由審核崗人員比對外部數(shù)據(jù)來源，審核后簽字確認，保證數(shù)據(jù)的完整與準確。由電子表格復(fù)核崗人員對電子表格的計算公式或數(shù)據(jù)鏈接關(guān)系進行定期檢查，以保證表內(nèi)邏輯計算的正確性。其次，數(shù)據(jù)安全控制。用戶需要直接訪問系統(tǒng)中的數(shù)據(jù)時，應(yīng)提出申請，由用戶主管領(lǐng)導(dǎo)和應(yīng)用系統(tǒng)負責人進行審批后執(zhí)行。進入機房人員需根據(jù)進入機房的事由，經(jīng)進入機房授權(quán)人員同意后，按規(guī)定填寫《機房出入登記表》進入機房。機房負責人定期檢查機房出入登記情況。再次，數(shù)據(jù)共享控制。用戶申請遠程登錄賬號時，填寫《遠程登錄賬號申請表》并提交給用戶主管領(lǐng)導(dǎo)和網(wǎng)絡(luò)管理負責人審批后方可實施。網(wǎng)絡(luò)管理負責人每三個月審核用戶遠程登錄賬號是否合理，以及是否存在無人使用的用戶賬號，將審核結(jié)果填寫在《遠程登錄權(quán)限檢查表》中。并簽字確認。最后，數(shù)據(jù)系統(tǒng)控制上。機房負責人指定人員每周對設(shè)備運行狀況進行巡檢，檢查人員對檢查結(jié)果簽字確認：應(yīng)用系統(tǒng)負責人指定人員依據(jù)備份策略，執(zhí)行備份操作，并對執(zhí)行結(jié)果進行檢查：幫助熱線支持人員定期分類匯總當季發(fā)生的問題，形成書面分析報告，向本部門主管領(lǐng)導(dǎo)匯報。

新環(huán)境下的企業(yè)內(nèi)部控制，應(yīng)將IT治理機制和內(nèi)部控制有效地結(jié)合起來，利用lT治理機制的優(yōu)勢更好地進行企業(yè)內(nèi)部控制活動，內(nèi)部控制不斷改進的過程，也是IT治理理念不斷完善的過程。因此，構(gòu)建完善的企業(yè)內(nèi)部控制體系，建議內(nèi)部控制架構(gòu)者和企業(yè)用戶重點關(guān)注與IT治理有關(guān)的活動環(huán)節(jié)，以更好地實現(xiàn)企業(yè)內(nèi)部控制目標和企業(yè)治理目標。一是培養(yǎng)公司員工lT意識，真正理解軟件設(shè)計中內(nèi)部控制的目的；二是加強內(nèi)部控制架構(gòu)者和用戶需求的交流，提高企業(yè)內(nèi)控機制的適用性；三是建立lT治理和內(nèi)部控制部門，分管和協(xié)調(diào)企業(yè)的IT治理和內(nèi)部控制問題，構(gòu)建內(nèi)部控制持續(xù)有效的保障機制。

[參考文獻]

[1]王幾林，李河君基于ElM，流程管理的IT治理初探[J]會計之友，2009(8)

[2]劉玉廷全面提升企業(yè)經(jīng)營管理水平的重要舉措——《企業(yè)內(nèi)部控制配套指引》解讀[J]會計研究，2010(5)