我国信息系统内部控制应用指引的分析及完善摘要:信息技术的发展和应用在辅助企业经营的同时,也带来了许多的风险。加强信息系统的内部控制对企业具有十分重要的意义。本文将《企业内部控制配套指引》中关于信息系统的内部控制有关内容与cobit的it控制的理论框架进行比较,提出相应改进意见。关键词:信息系统内部控制;cobit中图分类号:f272文献标识码:a文章编号:1001-828x(2012)10-000-01内部控制已经成为企业改善经营管理、提高运营效率的关键。我国的《企业内部控制基本规范》和《企业内部控制配套指引》构成了内部控制规范体系。然而,体系仍存在许多不足,包括信息系统内部控制的建立、评价和审计方面,有待进一步完善。一、我国信息系统内部控制应用指引在《企业内部控制应用指引》第18号中,对信息系统内部控制的有关内容进行了描述。指引在某种程度上贯彻了风险管理的思想,在总则中首先明确了企业在利用信息系统实施内部控制中应关注的风险,包括系统规划、系统开发和系统运行和维护这些生命周期不同阶段的风险,其后更细致地说明了对风险的应对措施。但是,应用指引仍然存在着一些的缺陷。例如,它所阐述的信息系统生命周期不够完整,逻辑不够清晰;虽说明了应对风险的措施,却没有明确所面临的风险等,对企业建立良好的信息系统内部控制指导意义有限。因此,我们需要在借鉴国内外先进经验的基础上,对应用指引进行改良,以建立适合我国现实的信息系统内部控制。二、cobit框架及特点——基于与我国内部控制应用指引的对比cobit是目前国际公认的最权威、最先进的安全和信息技术管理和控制标准。cobit作为it内部控制框架,为衡量、审计和控制信息系统提供了一般适用的模型,对我国完善信息系统内部控制的相关规定具有重要的借鉴意义。cobit将it过程、it资源、与业务要求相适应的it目标相结合,形成一个综合框架。it控制目标通过在it过程中管理it资源来实现。控制框架提供了it治理目标、it过程和it控制之间清晰的逻辑关系。与我国应用指引相比,cobit有以下特点:(一)存在一个逻辑清晰的框架,以指导生命周期不同阶段内部控制的设计cobit关于it控制的设置基于一个基本思想:企业为获取经营所需信息,应投资于it资源;进而需通过it过程来管理和控制it资源,高效地获得信息。在这种思想指导下,cobit对it内部控制的设置实际上就是对it生命周期不同阶段(即四个域)各个过程的控制。cobit将it管理和控制分为四个域:计划与组织、获取与实施、交付与支持和监测与评价;进而对四个域细分其具体过程,分为34个具体过程;然后对34个过程再进行细分,分为若干活动。若此形成一个三层次的过程体系,层层细化,通过控制各个过程(活动),实现具体的控制目标,进而实现整个it的控制目标。而我国的应用指引虽在总则中表明了信息系统生命周期应关注的风险,但却不够细致,生命周期不完整,缺乏指导意义。(二)目标的业务导向cobit认为,it的最终目标是为企业实现业务活动提供其所需的符合信息标准的信息,因此要求it目标必须与业务要求相适应。如果it能够成功的交付服务以实现企业战略,就应清楚应交付什么服务以及如何交付。这就需要将企业战略目标转化为it的业务目标,再将其转换为it自己的目标,进而定义为实现企业it战略所需的it资源和能力。一旦相应目标确定下来,就应该对这些目标进行监控,以确保实际的交付可以满足预期的需求。我国的应用指引在多处强调了信息系统内部控制的设计与业务的结合,如企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级等等。然而与cobit将业务导向在目标这一框架的较高层级强调不同,它只是较零星地提及。(三)面向过程的控制cobit提供了一个一般性的过程模型,该模型展示了it职能常见的所有过程,为it运营和业务管理者提供了一个易于理解的通用的参考模型。cobit首先将信息系统生命周期划分为四个域,包括计划与组织、获取与实施、交付与支持、监控与评价,对应it项目的四个阶段:规划、实施、运行及评价;其次,cobit在这四个域中...
