内部控制的一般方法

企业it内部控制实施方法

一、it内控的产生

二十世纪九十年代以来，信息技术得到了快速的发展和广泛的应用，信息化已成为全球经济社会发展的显著特征，并逐步向一场全方位的社会变革演进，it作为一种重要的生产资料、无形资产和社会财富己深入到各行各业，并日益发展成为企业核心要素。目前，it发展重点己从注重对行业和企业的覆盖，注重硬件产品的配备，逐步过渡到强调整合和开发利用信息资源，提高应用水平和服务质量，使组织的价值最大化。这是机会与风险并存的阶段，许多之前还没有涉及的深层次问题都会一一暴露出来，美国的安然、世通的倒闭，我国部分公司爆出的财务丑闻，都直指内部控制，而it内控作为整体内部控制的核心之一，对于监督管理企业整个内控系统的具有重要的意义，同时作为企业内控真正实现的重要手段将成为未来内控领域发展的方向。

二、it内控的意义

it内控对于企业的意义在于，其实现了企业战略目标与it管理目标之间的桥梁作用，并达到以下几方面的效果：

1、it内控考虑了企业自身的战略规划，通过对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，最终实现it控制与企业自身战略的一致性。

2、it在为企业战略提供了基于技术的解决方案同时，也带来了风险，所以，如何通过构建it内控来规避相关风险，是企业管理目标实现的重要保障，也是日常业务经营安全性、可靠性和有效性的有利支持。

3、通过it内控的绩效管理，可以使企业在财务、客户、过程、学习等方面保持平稳发展。而通过关键衡量指标评价企业目标的实现情况进行衡量可以确保it的绩效以及it战略目标的调整，确保正常持续的it管理。

4、it内控的风险评估体系，可以帮助企业正确分析风险及规避风险，减少控制缺陷带来的损失，并利用最佳业务实践构建同行业中较高的水平it管理。

对于企业，通过构建it内控体系，建立it控制机制，提高it治理水平，同时引入合规性的控制要求，在满足各项法律法规对it控制的要求的同时，实现企业战略与it战略的互动。

三、内控治理框架简介

1、coso框架

coso框架是coso委员会（committeeofsponsoringorganizationofthetreadwaycommittee，美国虚假财务报告全国委员会的发起组织委员会）首先提出的，作为专门研究内部控制问题的组织，于1992年9月，《内部控制——整体框架》（1994年进行了增补），即coso内部控制框架。该框架为企业整体内控提出相关的遵循依据和规范指南，如图1所示：

图1：coso框架

coso框架通过内部环境、风险评估、控制活动、信息沟通、内部监督五个控制要素对企业整体内控的规范提出一个框架性的指导意见，并在其中对it控制的重要性进行了阐述，为it内控的实施提供了一定的依据。但企业在实际it内控实施中需要更为具体的it控制理论模型来帮助确定、记录和评估it控制活动，而coso框架无法提供相关的目标和要求，使得很多企业都转向了专注于it领域的另一治理框架——cobit。

2、cobit治理框架