云南省图书馆机构用户,欢迎您!
这一方面得益于近年来证监会对首次公开发行股票的公司的内部控制审查的加强,促使大部分新上市公司的内部控制更加规范化;另一方面,新上市的公司其内部控制体系在不同程度上融进了IT技术和系统,体现了企业内部控制趋于信息化的发展趋势,因而提升我国企业对于将IT技术嵌入到企业内部控制中的认知,对提升我国企业整体内部控制水平有着积极的推动作用。 2012年财政部、证监会、审计署、银监会和保监会发布了《我国境内外同时上市公司2011年执行企业内部控制规范体系情况分析报告》。报告显示在67家境内外同时上市公司中,有49家公司存在内部控制缺陷,信息系统控制方面的控制缺陷是披露的内部控制五大缺陷之一。IT内部控制体系的设计与实施成为我国企业内部控制的发展重点。 (二)我国企业IT内部控制应用现状 在信息化技术高度发达的今天,中国企业将IT技术应用到内部控制等企业管理流程已经成为公认的趋势,但如何将IT技术与内部控制有效融合仍然是大多数管理层难以解决的问题。用友集团和工信部电子一所发布的《2010年中国企业信息化指数调研报告》显示,“2010年中国企业信息化综合指数为48.06,中国企业信息化的整体信息化成熟度基本达到中等水平”。在IT技术高度与时代发展耦合的今天,中国企业信息化的水平还有很大的待完善空间。数字背后体现出来的是中国企业现今普遍的冲劲有余、后劲不足的亚健康状态。该份报告还将企业信息化程度分为基础应用、关键应用、扩展整合及优化升级、战略应用四个阶段。报告还表明,我国企业约有34.3%处在基础应用阶段,24.5%处在关键应用阶段,扩展整合及优化升级阶段占39.2%。但战略应用阶段的企业只有20%。一半以上企业仍处在信息化建设的第一和第二阶段,大多数中国企业信息技术应用还未达成与企业战略融合发展的目标,这也表明目前中国企业信息化水平的提升仍需关注信息技术应用范围的扩大。本次调研数据还显示,我国企业信息化建设目前存在诸多不足,如不同规模、不同行业企业不均衡的信息化发展,IT治理结构缺陷的存在,对信息技术认知度偏低等,而信息化技术应用的发展制约了IT内部控制的发展和应用。 二、IT内部控制存在的问题 (一)缺乏可执行的IT內部控制体系 实施IT内部控制不是盲目堆砌先进软硬件的过程,运用信息技术加强内部控制,实现企业信息的集成和共享才是企业内部控制应关注的主要问题。目前,我国关于内部控制的规范依然是基于权责分离和权力制约的理论,关于IT对内部控制的影响基本停留在COSO报告层面,尚未形成完整的、可执行的IT内部控制体系。企业即使提出有关IT控制规范基本上也是在信息孤岛状态下提出的,企业内部控制规范并没有对IT控制的目标和相关控制活动做出明确规定。现行信息系统缺乏或规划不合理,导致企业经营管理效率低下;系统开发不符合内部控制要求,导致无法利用信息技术实施有效控制。企业不重视信息资源的开发应用,尽管各业务流程节点的IT集成让企业感受到了集成化的优势,但各业务流程采用的信息系统还未得到足够的统一,信息共享程度未开发到应有的水平,缺乏体系化运作和管理方法,严重制约了IT内部控制的有效执行。 (二)IT治理与企业IT内部控制难以有效融合 IT治理、信息系统与内部控制的有效融合能够固化企业管理机制,实现对业务和事项的自动控制,防止人为要素变化导致内部控制方式的变化,确保内部控制制度固化、优化、“e”化并长期执行下去,加速信息的传递与沟通,降低运营成本。目前我国多数企业只是将IT部门作为IT管理活动的主要职能部门,为业务部门提供技术基础设施,制定管理制度,IT部门缺少规范化风险管理意识;且IT控制制度多存在于系统变更和安全管理等领域,缺乏从公司透明度角度出发且结合支持完整业务流程的内部控制制度,技术部门和业务部门相互独立,不对IT资源和业务流程脱节负责,IT内部控制孤立存在。利益相关者未能完全有效的参与到整个IT管理活动中去,使得IT资源难以真正融合为企业运行的内在组件,IT和业务两张皮致使企业IT资源失去其应有的效用。各标准体系间交叉或冲突导致IT标准体系的兼容性和互补性大打折扣,难以有效支撑业务流程高效运转,导致无法利用信息技术实施有效控制。
