论文部分内容阅读
[摘要] 中国石油从2006年起开始全面建设内控体系,本文通过对中国石油信息系统内控体系建设的探索,阐述了信息系统内控体系建设的内容及实施的意义,对其他单位信息系统内控体建设有较好的借鉴意义。
[关键词] 信息系统;内控体系;五要素;意义
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 22. 027
[中图分类号]F270.7 [文献标识码]A [文章编号]1673 - 0194(2011)22- 0049- 02
1 引言
美国安然与世通事件引发社会对保护投资者利益的关注,2002年美国国会出台了《萨班斯-奥克斯利》法案, 该法案目的在于提升民众对美国金融市场及上市公司财务报告的信心。法案提出必须使用一个内部控制框架作为内控有效性评估的基础,同时明确了内部控制的整体框架构成。
中国石油集团内控体系建设项目源于《萨班斯-奥克斯利》法案。2006年,中国石油以COSO(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting, 全国虚假财务报告委员会下属的发起人委员会)内部控制整体框架为基础,融合COSO企业风险管理整体框架的主要内容,结合国家监管部门的基本要求,全面开展了内部控制体系建设。
2内部控制体系概述
中国石油内控体系建设覆盖全部业务和部门。建立了包括控制环境、风险评估、控制活动、信息与沟通、监督五要素的内部控制体系。其中:①控制环境(control environment)是指企业的基调、氛围,直接影响企业员工的控制意识,是内部控制的基础。②风险评估(risk appraisal)就是识别、分析相关风险以实现既定目标,是风险管理的基础。③控制活动(control activity)指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。④信息与沟通(information and communication)是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。⑤监督(monitoring)是对内部控制系统有效性进行评估的过程,它实际上是内部控制的一种再控制,包括持续监督、独立评估和缺陷报告等,通过监督活动的实施,可以使内部控制系统保持其有效性。内部控制五要素共同配合和相互联系,共同对企业的各经营部门和业务活动发挥作用。
3信息系统内部控制简介
信息系统内部控制五要素具体为:①控制环境:提高员工的组织影响控制意识,主要因素包括数据的保密性、真实性、政策、程序和责任。②风险评估:IT风险评估指IT管理、数据安全、程序变更和开发以及计算机运行IT内部控制战略计划。③控制活动:必要的政策和程序用来确定管理的指示正在被执行,主要包括信息系统总体控制和应用层面的控制。④信息和沟通:对于相关信息及时的鉴别,获取和传达以及访问内部和外部信息的权限控制。⑤监督:评估信息系统的稳定性,管理和监督活动。其中控制活动是信息系统内部控制的主要环节。本文针对信息系统总体控制与应用控制,主要做了以下探索:
3.1 信息系统总体控制(General Computer Control,GCC)
中国石油集团公司制定了信息系统总体控制实施规范,适用于在信息技术的开发、实施、运行、维护及管理等方面的控制,主要包括6个方面:①信息系统控制环境。其包括总体控制环境、信息与沟通、风险评估和监控。②信息安全。由信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护和第三方安全管理组成。③信息系统项目建设管理。涵盖了项目立项审批、项目建设方法、项目管理3项内容。④信息系统变更管理。内容涉及变更管理、日常变更流程、紧急变更流程。⑤信息系统日常运维。范围包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复和问题管理。⑥最终用户操作。包括最终用户计算机操作安全制度和电子表格管理两项主要内容(详见表1)。
3.2 应用控制(Application Control,AC)
信息系统应用控制包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。这些控制结合在一起,可以保证系统中的安全性。主要包括:①完整性。包括所有的交易都经过处理,且只处理一次;不允许数据的重复录入与处理以及例外情况的发现与解决。②准确性。包括所有的数据(包括金额和账户)是正确和合理的;例外情况被及时发现以保证交易被记录在正确的会计期间。③有效性。包括交易被适当授权;系统不接受虚假交易;例外情况被发现和处理。④接触控制。包括未经授权,不得对数据进行修改;数据的保密性;物理设备的保护等。
信息系统总体控制和应用控制是相互关联的。 信息系统总体控制是应用系统控制的基础, 应用系统控制依赖于信息系统总体控制, 信息系统总体控制和应用控制共同保证信息处理的完整性和准确性。
4信息系统内部控制的意义
信息系统内部控制的实施,加强了企业在应用信息技术方面的科学性与规范性,提高了企业在信息技术的开发、实施及运维管理等方面的控制能力,增强企业信息系统的运行效力。主要体现在以下几个方面:
(1)从单一的制度建设向综合性的管理体系转变。通过完善控制环境,开展风险辨识,明确控制主体及措施,建立畅通的沟通渠道和严格监督机制,全面明确信息管理体系的具体要求和评价标准,为建立有效运行的信息管理体系提供依据,代表了信息的管理目标水平。
(2)从传统管理向风险管理转变。建立了信息风险评估标准、程序、方法和运行机制,开展了风险辨识、风险分析和风险评价,完成了风险评估,建立了业务层面风险数据库,引领信息管理从传统管理向以风险管理为核心的转变,更加突出了管理的重点,为提高信息风险管理水平奠定了基础。
(3)从职能管理向流程管理转变。引入流程管理的理念,以风险管理为导向,以流程为载体,体现业务管理活动端到端的工作流程,实现管理界面、岗位职责、管理权限、控制措施的有机结合。通过流程梳理,补充了缺失的管理程序,完善了相关制度,使公司对信息相关业务的管控措施更加完善和具有操作性,管控能力得到进一步提高。
(4)从事后监督向过程监督转变。内部控制内控监督的方式与传统监督方式不同,通过对过程的控制确保管理目标的实现,紧紧围绕重要风险、重要流程、关键控制、重点监控这一主线开展,关注的是在信息管理过程中岗位人员是否实施了有效的控制。通过内控,改变了过去不按程序实施的管理习惯,强化了程序控制理念,确保了信息管理目标的实现。
[关键词] 信息系统;内控体系;五要素;意义
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 22. 027
[中图分类号]F270.7 [文献标识码]A [文章编号]1673 - 0194(2011)22- 0049- 02
1 引言
美国安然与世通事件引发社会对保护投资者利益的关注,2002年美国国会出台了《萨班斯-奥克斯利》法案, 该法案目的在于提升民众对美国金融市场及上市公司财务报告的信心。法案提出必须使用一个内部控制框架作为内控有效性评估的基础,同时明确了内部控制的整体框架构成。
中国石油集团内控体系建设项目源于《萨班斯-奥克斯利》法案。2006年,中国石油以COSO(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting, 全国虚假财务报告委员会下属的发起人委员会)内部控制整体框架为基础,融合COSO企业风险管理整体框架的主要内容,结合国家监管部门的基本要求,全面开展了内部控制体系建设。
2内部控制体系概述
中国石油内控体系建设覆盖全部业务和部门。建立了包括控制环境、风险评估、控制活动、信息与沟通、监督五要素的内部控制体系。其中:①控制环境(control environment)是指企业的基调、氛围,直接影响企业员工的控制意识,是内部控制的基础。②风险评估(risk appraisal)就是识别、分析相关风险以实现既定目标,是风险管理的基础。③控制活动(control activity)指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。④信息与沟通(information and communication)是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。⑤监督(monitoring)是对内部控制系统有效性进行评估的过程,它实际上是内部控制的一种再控制,包括持续监督、独立评估和缺陷报告等,通过监督活动的实施,可以使内部控制系统保持其有效性。内部控制五要素共同配合和相互联系,共同对企业的各经营部门和业务活动发挥作用。
3信息系统内部控制简介
信息系统内部控制五要素具体为:①控制环境:提高员工的组织影响控制意识,主要因素包括数据的保密性、真实性、政策、程序和责任。②风险评估:IT风险评估指IT管理、数据安全、程序变更和开发以及计算机运行IT内部控制战略计划。③控制活动:必要的政策和程序用来确定管理的指示正在被执行,主要包括信息系统总体控制和应用层面的控制。④信息和沟通:对于相关信息及时的鉴别,获取和传达以及访问内部和外部信息的权限控制。⑤监督:评估信息系统的稳定性,管理和监督活动。其中控制活动是信息系统内部控制的主要环节。本文针对信息系统总体控制与应用控制,主要做了以下探索:
3.1 信息系统总体控制(General Computer Control,GCC)
中国石油集团公司制定了信息系统总体控制实施规范,适用于在信息技术的开发、实施、运行、维护及管理等方面的控制,主要包括6个方面:①信息系统控制环境。其包括总体控制环境、信息与沟通、风险评估和监控。②信息安全。由信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护和第三方安全管理组成。③信息系统项目建设管理。涵盖了项目立项审批、项目建设方法、项目管理3项内容。④信息系统变更管理。内容涉及变更管理、日常变更流程、紧急变更流程。⑤信息系统日常运维。范围包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复和问题管理。⑥最终用户操作。包括最终用户计算机操作安全制度和电子表格管理两项主要内容(详见表1)。
3.2 应用控制(Application Control,AC)
信息系统应用控制包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。这些控制结合在一起,可以保证系统中的安全性。主要包括:①完整性。包括所有的交易都经过处理,且只处理一次;不允许数据的重复录入与处理以及例外情况的发现与解决。②准确性。包括所有的数据(包括金额和账户)是正确和合理的;例外情况被及时发现以保证交易被记录在正确的会计期间。③有效性。包括交易被适当授权;系统不接受虚假交易;例外情况被发现和处理。④接触控制。包括未经授权,不得对数据进行修改;数据的保密性;物理设备的保护等。
信息系统总体控制和应用控制是相互关联的。 信息系统总体控制是应用系统控制的基础, 应用系统控制依赖于信息系统总体控制, 信息系统总体控制和应用控制共同保证信息处理的完整性和准确性。
4信息系统内部控制的意义
信息系统内部控制的实施,加强了企业在应用信息技术方面的科学性与规范性,提高了企业在信息技术的开发、实施及运维管理等方面的控制能力,增强企业信息系统的运行效力。主要体现在以下几个方面:
(1)从单一的制度建设向综合性的管理体系转变。通过完善控制环境,开展风险辨识,明确控制主体及措施,建立畅通的沟通渠道和严格监督机制,全面明确信息管理体系的具体要求和评价标准,为建立有效运行的信息管理体系提供依据,代表了信息的管理目标水平。
(2)从传统管理向风险管理转变。建立了信息风险评估标准、程序、方法和运行机制,开展了风险辨识、风险分析和风险评价,完成了风险评估,建立了业务层面风险数据库,引领信息管理从传统管理向以风险管理为核心的转变,更加突出了管理的重点,为提高信息风险管理水平奠定了基础。
(3)从职能管理向流程管理转变。引入流程管理的理念,以风险管理为导向,以流程为载体,体现业务管理活动端到端的工作流程,实现管理界面、岗位职责、管理权限、控制措施的有机结合。通过流程梳理,补充了缺失的管理程序,完善了相关制度,使公司对信息相关业务的管控措施更加完善和具有操作性,管控能力得到进一步提高。
(4)从事后监督向过程监督转变。内部控制内控监督的方式与传统监督方式不同,通过对过程的控制确保管理目标的实现,紧紧围绕重要风险、重要流程、关键控制、重点监控这一主线开展,关注的是在信息管理过程中岗位人员是否实施了有效的控制。通过内控,改变了过去不按程序实施的管理习惯,强化了程序控制理念,确保了信息管理目标的实现。