如何加強(qiáng)和改善公司內(nèi)部控制狀況，建立和完善公司內(nèi)控體系呢？談到這個(gè)問(wèn)題，大多數(shù)人就很自然聯(lián)想到了公司治理，而當(dāng)前IT治理作為公司治理中必不可少的關(guān)鍵環(huán)節(jié)，通過(guò)加強(qiáng)企業(yè)的IT治理水平，就可以促進(jìn)企業(yè)改善其內(nèi)部控制水平。除此之外，還有其他什么現(xiàn)成的方法或途徑可以幫助企業(yè)改善其內(nèi)控水平么？那就是：信息系統(tǒng)審計(jì)。它可以通過(guò)專(zhuān)業(yè)的第三方咨詢(xún)機(jī)構(gòu)幫助企業(yè)發(fā)現(xiàn)公司內(nèi)控體系的不足，加強(qiáng)和完善其內(nèi)控體系。具體分析如下：

（一）確保IT能夠支撐和拓展公司的戰(zhàn)略和目標(biāo)

    信息系統(tǒng)審計(jì)是近幾年非常熱的一個(gè)話題，那么信息系統(tǒng)審計(jì)是審計(jì)什么呢，它是審計(jì)公司信息化對(duì)公司整體戰(zhàn)略的支持程度、IT戰(zhàn)略和公司總體戰(zhàn)略的匹配程度、對(duì)公司業(yè)務(wù)發(fā)展的支持程度、對(duì)企業(yè)內(nèi)部組織流程和業(yè)務(wù)流程所產(chǎn)生的影響、能否促進(jìn)企業(yè)業(yè)務(wù)系統(tǒng)效率的提高等等。總之，企業(yè)的信息化建設(shè)是為公司的戰(zhàn)略和業(yè)務(wù)發(fā)展服務(wù)的，因此可以通過(guò)信息系統(tǒng)審計(jì)發(fā)現(xiàn)企業(yè)信息化存在的問(wèn)題，保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，以確保組織信息系統(tǒng)的發(fā)展能夠始終沿著正確的方向進(jìn)行，確保企業(yè)的總體戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。

（二）借鑒公認(rèn)的模型工具更全面和精細(xì)的管控企業(yè)的整個(gè)運(yùn)營(yíng)過(guò)程

    當(dāng)前國(guó)際上關(guān)于信息系統(tǒng)審計(jì)的模型雖然還沒(méi)有一個(gè)比較通用的標(biāo)準(zhǔn)，但各種不同的信息化評(píng)估模型都采用了COBIT、ITIL（BS15000/ISO20000）、ISO/IEC17799、IT項(xiàng)目管理以及平衡記分卡等工具模型的精髓，因此，其評(píng)估模型的周衍性、權(quán)威性和合理性也得到了保證。其中，COBIT模型目前已成為國(guó)際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)，其次和IT治理的相關(guān)管理標(biāo)準(zhǔn)還有ITIL（BS15000/ISO20000）、ISO/IEC17799、IT項(xiàng)目管理、信息系統(tǒng)工程監(jiān)理等。其中COBIT覆蓋整個(gè)信息系統(tǒng)的全部生命周期，其范圍最大；ISO/IEC17799這套管理標(biāo)準(zhǔn)更側(cè)重IT應(yīng)用過(guò)程的信息安全；ITIL這套標(biāo)準(zhǔn)優(yōu)勢(shì)是在運(yùn)營(yíng)維護(hù)階段；信息工程監(jiān)理則是最具有中國(guó)特色的標(biāo)準(zhǔn)，它能夠通過(guò)專(zhuān)業(yè)的、全過(guò)程的監(jiān)督和管理來(lái)規(guī)范企業(yè)信息化工程的建設(shè)，達(dá)到增強(qiáng)企業(yè)對(duì)信息化工程建設(shè)內(nèi)部控制的目的，其偏重于信息化建設(shè)階段。這幾種可以一起整合實(shí)施，來(lái)達(dá)到提升公司IT內(nèi)控能力的目的。

（三）通過(guò)對(duì)企業(yè)信息系統(tǒng)審計(jì)來(lái)規(guī)避企業(yè)內(nèi)部存在的風(fēng)險(xiǎn)

    作為企業(yè)提升自身的內(nèi)部控制能力，就是要對(duì)風(fēng)險(xiǎn)進(jìn)行更有效的控制。信息系統(tǒng)審計(jì)能夠?qū)π畔⑾到y(tǒng)的應(yīng)用狀況和綜合績(jī)效狀況進(jìn)行全面的評(píng)估，因此，信息系統(tǒng)審計(jì)所包含的內(nèi)容要大于信息系統(tǒng)治理所涵蓋的內(nèi)容。

    由于信息系統(tǒng)審計(jì)所包括的范圍非常的廣泛和全面，如果我們只是想借助其促進(jìn)企業(yè)內(nèi)控水平的提升，那么我們應(yīng)該加強(qiáng)其有關(guān)信息化風(fēng)險(xiǎn)控制方面的指標(biāo)，適當(dāng)弱化和刪除其他方面的指標(biāo)，以此來(lái)達(dá)到應(yīng)用的目的。

    由于信息系統(tǒng)審計(jì)本身更強(qiáng)調(diào)評(píng)估，是客觀、真實(shí)地反映企業(yè)信息化當(dāng)前的狀況，暴露出其中存在的問(wèn)題。如何更好的去解決這些問(wèn)題，如何更有效的規(guī)避風(fēng)險(xiǎn)還是要靠人自身來(lái)想辦法解決，則是我國(guó)信息化咨詢(xún)行業(yè)下一步的著眼點(diǎn)。當(dāng)然，任何一種方法或工具都不是萬(wàn)能的，有它的優(yōu)勢(shì)和局限性，我們只有抓住問(wèn)題的實(shí)質(zhì)，運(yùn)用適當(dāng)?shù)姆椒ê凸ぞ卟拍軌蛴行У慕鉀Q它。

    對(duì)企業(yè)來(lái)說(shuō)，改善其內(nèi)部控制水平，就是借助這些大家公認(rèn)的模型，通過(guò)設(shè)計(jì)、實(shí)施、維護(hù)和監(jiān)控內(nèi)部控制和風(fēng)險(xiǎn)管理體系，尤其是對(duì)IT 的控制，發(fā)現(xiàn)自身存在的不足，幫助企業(yè)建立起完善和細(xì)化相關(guān)的流程和制度，以確保公司所有業(yè)務(wù)策略、規(guī)程和業(yè)務(wù)流程都在自己的掌握之中，并且在合法合規(guī)的軌道上運(yùn)行。
參考國(guó)家審計(jì)署2003年第5號(hào)令《審計(jì)機(jī)關(guān)內(nèi)部控制測(cè)評(píng)準(zhǔn)則》中第五條規(guī)定，進(jìn)行內(nèi)部控制的評(píng)測(cè)一般分為下列四個(gè)步驟：

    1、對(duì)內(nèi)部控制進(jìn)行調(diào)查了解；

    2、對(duì)內(nèi)部控制進(jìn)行初步評(píng)價(jià)，評(píng)估控制風(fēng)險(xiǎn)；

    3、對(duì)內(nèi)部控制的執(zhí)行情況進(jìn)行符合性測(cè)試；

    4、提出內(nèi)部控制測(cè)評(píng)結(jié)果，并利用測(cè)評(píng)結(jié)果確定實(shí)質(zhì)性測(cè)試的范圍、重點(diǎn)和方法。

    在信息系統(tǒng)環(huán)境下，對(duì)信息系統(tǒng)內(nèi)部控制的評(píng)測(cè)，即信息系統(tǒng)審計(jì)可以通過(guò)下列方法實(shí)現(xiàn)上述步驟：

（一）對(duì)內(nèi)部控制情況進(jìn)行調(diào)查了解

    調(diào)閱被審單位關(guān)于計(jì)算機(jī)信息系統(tǒng)的各項(xiàng)管理制度和相關(guān)文件，對(duì)內(nèi)部控制的健全性和合理性初步了解。記錄和描述信息系統(tǒng)內(nèi)部控制制度的方法有三種：

    1、書(shū)面說(shuō)明法

    書(shū)面說(shuō)明法是將調(diào)查得到的內(nèi)部控制制度記錄下來(lái)，并用文字詳細(xì)敘述的方法。運(yùn)用這種方法時(shí)，審計(jì)人員往往是按著主要經(jīng)濟(jì)業(yè)務(wù)的運(yùn)行順序，或每一經(jīng)濟(jì)活動(dòng)的流程環(huán)節(jié)向有關(guān)人員一一詢(xún)問(wèn)并予以記錄，最后整理結(jié)合，形成文字說(shuō)明材料。書(shū)面說(shuō)明法的優(yōu)點(diǎn)是可以根據(jù)實(shí)際情況靈活地選擇內(nèi)容，并且能做出較深入和具體的描述。但這種方法也有局限性，針對(duì)經(jīng)濟(jì)業(yè)務(wù)復(fù)雜、經(jīng)濟(jì)活動(dòng)環(huán)節(jié)較多的企業(yè)，用書(shū)面說(shuō)明難免冗長(zhǎng)。

    2、調(diào)查表法

    調(diào)查表法是指審計(jì)人員將那些與保證信息的正確性和可靠性以及保證資產(chǎn)的完整性有密切關(guān)系的事項(xiàng)列作調(diào)查對(duì)象，設(shè)計(jì)成標(biāo)準(zhǔn)化的調(diào)查表，交由企業(yè)有關(guān)人員填寫(xiě)，再由審計(jì)人員收集調(diào)查結(jié)果，統(tǒng)一將問(wèn)題歸納整理。調(diào)查表的優(yōu)點(diǎn)是調(diào)查范圍明確，省時(shí)省力，可以提高評(píng)審工作效率；審計(jì)人員通過(guò)調(diào)查表可以抓住企業(yè)內(nèi)部控制中的強(qiáng)點(diǎn)和薄弱環(huán)節(jié)。但這種方法也有局限性，如果調(diào)查表的問(wèn)題設(shè)置不當(dāng)，就不能客觀全面地反映內(nèi)部控制制度的情況。

    3、流程圖法

    流程圖是指用特定的符號(hào)和圖形來(lái)描述某項(xiàng)業(yè)務(wù)的整個(gè)處理過(guò)程，用圖解的形式將主要經(jīng)營(yíng)環(huán)節(jié)和憑證，記錄傳遞關(guān)系直觀地表達(dá)出來(lái)的一種方法。流程圖的優(yōu)點(diǎn)是，可以把文字?jǐn)⑹鰷p少到最低程度，形象直觀，能幫助審計(jì)人員較快地發(fā)現(xiàn)控制系統(tǒng)的薄弱環(huán)節(jié)。其缺點(diǎn)是，繪制流程圖技術(shù)不過(guò)關(guān)，就不能準(zhǔn)確地反映被審單位的內(nèi)部控制制度，就會(huì)影響審計(jì)工作質(zhì)量。

（二）對(duì)內(nèi)部控制進(jìn)行初步評(píng)價(jià)

    審計(jì)人員在完成內(nèi)部控制制度的描述之后，通過(guò)與被審單位相關(guān)人員座談和實(shí)地觀察，了解硬件配置、軟件運(yùn)行及維護(hù)、相關(guān)人員操作經(jīng)驗(yàn)等計(jì)算機(jī)信息系統(tǒng)使用環(huán)境，并根據(jù)取得的資料對(duì)被審單位的內(nèi)部控制制度進(jìn)行評(píng)價(jià)。

    1、評(píng)價(jià)內(nèi)部控制的健全性。

    評(píng)價(jià)內(nèi)部控制的健全性既要從總體的一般控制來(lái)評(píng)價(jià)，又要從具體的應(yīng)用控制來(lái)評(píng)價(jià)。一般控制是信息系統(tǒng)有可能安全、可靠地運(yùn)行和處理的前提。如果沒(méi)有恰當(dāng)?shù)目刂骗h(huán)境，沒(méi)有強(qiáng)有利的制度保證，不管系統(tǒng)設(shè)計(jì)的如何好，程序和數(shù)據(jù)也會(huì)被篡改，整個(gè)系統(tǒng)的安全就沒(méi)有保證。因此，一般控制如有缺陷，將對(duì)整個(gè)信息系統(tǒng)產(chǎn)生普遍的影響，即使應(yīng)用控制很強(qiáng)，也難以發(fā)揮其功能。同樣，如果應(yīng)用控制有缺陷，則會(huì)直接影響到數(shù)據(jù)輸入、處理和輸出的正確性。

    2、評(píng)價(jià)內(nèi)部控制的合理性。

    評(píng)價(jià)信息系統(tǒng)內(nèi)部控制的合理性，主要考慮的布局是否合理，有沒(méi)有不必要的控制，評(píng)價(jià)時(shí)要特別注意信息系統(tǒng)應(yīng)用控制中的程序化控制。

（三）對(duì)內(nèi)部控制的執(zhí)行情況進(jìn)行符合性測(cè)試

    即使再健全的內(nèi)部控制，在實(shí)際業(yè)務(wù)處理過(guò)程中也不一定被認(rèn)真執(zhí)行，因此，應(yīng)檢查被審單位內(nèi)部控制過(guò)程中形成的文件和記錄，包括各種操作日志、軟件修改記錄、災(zāi)難恢復(fù)記錄等，并對(duì)其實(shí)際執(zhí)行情況還要進(jìn)行符合性測(cè)試。
符合性測(cè)試的幾種方法：

    1、檢查證據(jù)法

    審計(jì)人員通過(guò)對(duì)有關(guān)會(huì)計(jì)資料和文件的審查，來(lái)確定內(nèi)部控制制度是否被遵循以及遵循的程度。

    2、重新測(cè)試法

    審計(jì)人員選擇某一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)，按照內(nèi)部控制制度規(guī)定的業(yè)務(wù)處理程序重新實(shí)做一遍，來(lái)審查被審單位進(jìn)行的業(yè)務(wù)處理程序是否達(dá)到理想的效果。

    3、實(shí)地觀察法

    審計(jì)人員到業(yè)務(wù)處理現(xiàn)場(chǎng)實(shí)地觀察，來(lái)考核內(nèi)部控制的執(zhí)行是否良好。

（四）提出內(nèi)部控制測(cè)評(píng)結(jié)果

    在實(shí)施完對(duì)信息系統(tǒng)內(nèi)部控制評(píng)審后，審計(jì)人員要對(duì)內(nèi)部控制作出評(píng)價(jià)，以確定內(nèi)部控制是否真正發(fā)揮作用。如果認(rèn)為內(nèi)部控制沒(méi)有得到執(zhí)行，或執(zhí)行表明內(nèi)部控制存在重大隱患，此時(shí)，審計(jì)人員應(yīng)提出評(píng)審中是否依賴(lài)已有的控制。

    另外，審計(jì)人員應(yīng)當(dāng)提出一個(gè)概括反映信息系統(tǒng)內(nèi)部控制弱點(diǎn)的屬性和程度的總結(jié)報(bào)告，并將報(bào)告列入審計(jì)底稿。對(duì)報(bào)告可以從以下三個(gè)方面加以利用：一是確定實(shí)質(zhì)性審計(jì)的范圍、重點(diǎn)和措施。二是將信息系統(tǒng)的控制弱點(diǎn)納入審計(jì)意見(jiàn)，以便其改進(jìn)工作。三是為確定具體使用何種計(jì)算機(jī)輔助審計(jì)技術(shù)提供依據(jù)。
由此可見(jiàn)，對(duì)信息系統(tǒng)內(nèi)部控制的評(píng)審則涉及到審計(jì)學(xué)、信息技術(shù)、企業(yè)管理、項(xiàng)目管理、服務(wù)管理、信息安全學(xué)等跨學(xué)科的知識(shí)領(lǐng)域，要求第三方咨詢(xún)機(jī)構(gòu)的審計(jì)人員素質(zhì)很高，且國(guó)內(nèi)尚無(wú)完整的標(biāo)準(zhǔn)規(guī)范可以遵循，這也是我們下一步亟待解決的問(wèn)題之一。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：企業(yè)IT治理指南：淺談如何實(shí)施信息系統(tǒng)審計(jì)

本文網(wǎng)址：http://www.guhuozai8.cn/html/news/10515524492.html