如何加強和改善公司內部控制狀況，建立和完善公司內控體系呢？談到這個問題，大多數(shù)人就很自然聯(lián)想到了公司治理，而當前IT治理作為公司治理中必不可少的關鍵環(huán)節(jié)，通過加強企業(yè)的IT治理水平，就可以促進企業(yè)改善其內部控制水平。除此之外，還有其他什么現(xiàn)成的方法或途徑可以幫助企業(yè)改善其內控水平么？那就是：信息系統(tǒng)審計。它可以通過專業(yè)的第三方咨詢機構幫助企業(yè)發(fā)現(xiàn)公司內控體系的不足，加強和完善其內控體系。具體分析如下：

（一）確保IT能夠支撐和拓展公司的戰(zhàn)略和目標

    信息系統(tǒng)審計是近幾年非常熱的一個話題，那么信息系統(tǒng)審計是審計什么呢，它是審計公司信息化對公司整體戰(zhàn)略的支持程度、IT戰(zhàn)略和公司總體戰(zhàn)略的匹配程度、對公司業(yè)務發(fā)展的支持程度、對企業(yè)內部組織流程和業(yè)務流程所產(chǎn)生的影響、能否促進企業(yè)業(yè)務系統(tǒng)效率的提高等等。總之，企業(yè)的信息化建設是為公司的戰(zhàn)略和業(yè)務發(fā)展服務的，因此可以通過信息系統(tǒng)審計發(fā)現(xiàn)企業(yè)信息化存在的問題，保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，以確保組織信息系統(tǒng)的發(fā)展能夠始終沿著正確的方向進行，確保企業(yè)的總體戰(zhàn)略目標的實現(xiàn)。

（二）借鑒公認的模型工具更全面和精細的管控企業(yè)的整個運營過程

    當前國際上關于信息系統(tǒng)審計的模型雖然還沒有一個比較通用的標準，但各種不同的信息化評估模型都采用了COBIT、ITIL（BS15000/ISO20000）、ISO/IEC17799、IT項目管理以及平衡記分卡等工具模型的精髓，因此，其評估模型的周衍性、權威性和合理性也得到了保證。其中，COBIT模型目前已成為國際上公認的IT管理與控制標準，其次和IT治理的相關管理標準還有ITIL（BS15000/ISO20000）、ISO/IEC17799、IT項目管理、信息系統(tǒng)工程監(jiān)理等。其中COBIT覆蓋整個信息系統(tǒng)的全部生命周期，其范圍最大；ISO/IEC17799這套管理標準更側重IT應用過程的信息安全；ITIL這套標準優(yōu)勢是在運營維護階段；信息工程監(jiān)理則是最具有中國特色的標準，它能夠通過專業(yè)的、全過程的監(jiān)督和管理來規(guī)范企業(yè)信息化工程的建設，達到增強企業(yè)對信息化工程建設內部控制的目的，其偏重于信息化建設階段。這幾種可以一起整合實施，來達到提升公司IT內控能力的目的。

（三）通過對企業(yè)信息系統(tǒng)審計來規(guī)避企業(yè)內部存在的風險

    作為企業(yè)提升自身的內部控制能力，就是要對風險進行更有效的控制。信息系統(tǒng)審計能夠對信息系統(tǒng)的應用狀況和綜合績效狀況進行全面的評估，因此，信息系統(tǒng)審計所包含的內容要大于信息系統(tǒng)治理所涵蓋的內容。

    由于信息系統(tǒng)審計所包括的范圍非常的廣泛和全面，如果我們只是想借助其促進企業(yè)內控水平的提升，那么我們應該加強其有關信息化風險控制方面的指標，適當弱化和刪除其他方面的指標，以此來達到應用的目的。

    由于信息系統(tǒng)審計本身更強調評估，是客觀、真實地反映企業(yè)信息化當前的狀況，暴露出其中存在的問題。如何更好的去解決這些問題，如何更有效的規(guī)避風險還是要靠人自身來想辦法解決，則是我國信息化咨詢行業(yè)下一步的著眼點。當然，任何一種方法或工具都不是萬能的，有它的優(yōu)勢和局限性，我們只有抓住問題的實質，運用適當?shù)姆椒ê凸ぞ卟拍軌蛴行У慕鉀Q它。

    對企業(yè)來說，改善其內部控制水平，就是借助這些大家公認的模型，通過設計、實施、維護和監(jiān)控內部控制和風險管理體系，尤其是對IT 的控制，發(fā)現(xiàn)自身存在的不足，幫助企業(yè)建立起完善和細化相關的流程和制度，以確保公司所有業(yè)務策略、規(guī)程和業(yè)務流程都在自己的掌握之中，并且在合法合規(guī)的軌道上運行。
參考國家審計署2003年第5號令《審計機關內部控制測評準則》中第五條規(guī)定，進行內部控制的評測一般分為下列四個步驟：

    1、對內部控制進行調查了解；

    2、對內部控制進行初步評價，評估控制風險；

    3、對內部控制的執(zhí)行情況進行符合性測試；

    4、提出內部控制測評結果，并利用測評結果確定實質性測試的范圍、重點和方法。

    在信息系統(tǒng)環(huán)境下，對信息系統(tǒng)內部控制的評測，即信息系統(tǒng)審計可以通過下列方法實現(xiàn)上述步驟：

（一）對內部控制情況進行調查了解

    調閱被審單位關于計算機信息系統(tǒng)的各項管理制度和相關文件，對內部控制的健全性和合理性初步了解。記錄和描述信息系統(tǒng)內部控制制度的方法有三種：

    1、書面說明法

    書面說明法是將調查得到的內部控制制度記錄下來，并用文字詳細敘述的方法。運用這種方法時，審計人員往往是按著主要經(jīng)濟業(yè)務的運行順序，或每一經(jīng)濟活動的流程環(huán)節(jié)向有關人員一一詢問并予以記錄，最后整理結合，形成文字說明材料。書面說明法的優(yōu)點是可以根據(jù)實際情況靈活地選擇內容，并且能做出較深入和具體的描述。但這種方法也有局限性，針對經(jīng)濟業(yè)務復雜、經(jīng)濟活動環(huán)節(jié)較多的企業(yè)，用書面說明難免冗長。

    2、調查表法

    調查表法是指審計人員將那些與保證信息的正確性和可靠性以及保證資產(chǎn)的完整性有密切關系的事項列作調查對象，設計成標準化的調查表，交由企業(yè)有關人員填寫，再由審計人員收集調查結果，統(tǒng)一將問題歸納整理。調查表的優(yōu)點是調查范圍明確，省時省力，可以提高評審工作效率；審計人員通過調查表可以抓住企業(yè)內部控制中的強點和薄弱環(huán)節(jié)。但這種方法也有局限性，如果調查表的問題設置不當，就不能客觀全面地反映內部控制制度的情況。

    3、流程圖法

    流程圖是指用特定的符號和圖形來描述某項業(yè)務的整個處理過程，用圖解的形式將主要經(jīng)營環(huán)節(jié)和憑證，記錄傳遞關系直觀地表達出來的一種方法。流程圖的優(yōu)點是，可以把文字敘述減少到最低程度，形象直觀，能幫助審計人員較快地發(fā)現(xiàn)控制系統(tǒng)的薄弱環(huán)節(jié)。其缺點是，繪制流程圖技術不過關，就不能準確地反映被審單位的內部控制制度，就會影響審計工作質量。

（二）對內部控制進行初步評價

    審計人員在完成內部控制制度的描述之后，通過與被審單位相關人員座談和實地觀察，了解硬件配置、軟件運行及維護、相關人員操作經(jīng)驗等計算機信息系統(tǒng)使用環(huán)境，并根據(jù)取得的資料對被審單位的內部控制制度進行評價。

    1、評價內部控制的健全性。

    評價內部控制的健全性既要從總體的一般控制來評價，又要從具體的應用控制來評價。一般控制是信息系統(tǒng)有可能安全、可靠地運行和處理的前提。如果沒有恰當?shù)目刂骗h(huán)境，沒有強有利的制度保證，不管系統(tǒng)設計的如何好，程序和數(shù)據(jù)也會被篡改，整個系統(tǒng)的安全就沒有保證。因此，一般控制如有缺陷，將對整個信息系統(tǒng)產(chǎn)生普遍的影響，即使應用控制很強，也難以發(fā)揮其功能。同樣，如果應用控制有缺陷，則會直接影響到數(shù)據(jù)輸入、處理和輸出的正確性。

    2、評價內部控制的合理性。

    評價信息系統(tǒng)內部控制的合理性，主要考慮的布局是否合理，有沒有不必要的控制，評價時要特別注意信息系統(tǒng)應用控制中的程序化控制。

（三）對內部控制的執(zhí)行情況進行符合性測試

    即使再健全的內部控制，在實際業(yè)務處理過程中也不一定被認真執(zhí)行，因此，應檢查被審單位內部控制過程中形成的文件和記錄，包括各種操作日志、軟件修改記錄、災難恢復記錄等，并對其實際執(zhí)行情況還要進行符合性測試。
符合性測試的幾種方法：

    1、檢查證據(jù)法

    審計人員通過對有關會計資料和文件的審查，來確定內部控制制度是否被遵循以及遵循的程度。

    2、重新測試法

    審計人員選擇某一項經(jīng)濟業(yè)務，按照內部控制制度規(guī)定的業(yè)務處理程序重新實做一遍，來審查被審單位進行的業(yè)務處理程序是否達到理想的效果。

    3、實地觀察法

    審計人員到業(yè)務處理現(xiàn)場實地觀察，來考核內部控制的執(zhí)行是否良好。

（四）提出內部控制測評結果

    在實施完對信息系統(tǒng)內部控制評審后，審計人員要對內部控制作出評價，以確定內部控制是否真正發(fā)揮作用。如果認為內部控制沒有得到執(zhí)行，或執(zhí)行表明內部控制存在重大隱患，此時，審計人員應提出評審中是否依賴已有的控制。

    另外，審計人員應當提出一個概括反映信息系統(tǒng)內部控制弱點的屬性和程度的總結報告，并將報告列入審計底稿。對報告可以從以下三個方面加以利用：一是確定實質性審計的范圍、重點和措施。二是將信息系統(tǒng)的控制弱點納入審計意見，以便其改進工作。三是為確定具體使用何種計算機輔助審計技術提供依據(jù)。
由此可見，對信息系統(tǒng)內部控制的評審則涉及到審計學、信息技術、企業(yè)管理、項目管理、服務管理、信息安全學等跨學科的知識領域，要求第三方咨詢機構的審計人員素質很高，且國內尚無完整的標準規(guī)范可以遵循，這也是我們下一步亟待解決的問題之一。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：企業(yè)IT治理指南：淺談如何實施信息系統(tǒng)審計

本文網(wǎng)址：http://www.ezxoed.cn/html/news/10515524492.html