企業(yè)內(nèi)部控制信息化優(yōu)化建議

李惠青

[提要] 在信息技術(shù)迅猛發(fā)展的今天，企業(yè)越來越多的業(yè)務(wù)依靠信息系統(tǒng)支撐完成，信息技術(shù)在建立與保持有效的內(nèi)部控制方面發(fā)揮著重要的作用。但是，內(nèi)部控制信息化建設(shè)與實(shí)施過程中也遇到一些新的問題和挑戰(zhàn)。本文結(jié)合中國石油企業(yè)內(nèi)部控制工作實(shí)踐，對遇到的問題進(jìn)行分析探討，并提出應(yīng)對策略和實(shí)施方法。

關(guān)鍵詞：內(nèi)部控制；信息化；問題；對策

中圖分類號：F27 文獻(xiàn)標(biāo)識碼：A

收錄日期：2016年3月9日

一、內(nèi)部控制信息化的重要性和必要性

內(nèi)部控制信息化是企業(yè)內(nèi)部控制工作的一項重要內(nèi)容，為提高內(nèi)部控制有效性、提高信息傳播與溝通的速度和質(zhì)量提供了技術(shù)支持。瞬息萬變的競爭環(huán)境對企業(yè)管理提出了更高的要求，作為企業(yè)管理重要組成部分的內(nèi)部控制，信息化建設(shè)勢在必行。企業(yè)內(nèi)部控制信息化是將信息化與內(nèi)部控制有效結(jié)合，通過信息技術(shù)支持，優(yōu)化管理流程，提高內(nèi)部控制工作效率，有效防范企業(yè)運(yùn)營風(fēng)險，促進(jìn)內(nèi)部控制高效發(fā)揮作用，更好地保障企業(yè)目標(biāo)實(shí)現(xiàn)。內(nèi)部控制信息化要求來源于以下三個方面：

（一）內(nèi)部控制框架本身的構(gòu)架特點(diǎn)。COSO（2013）內(nèi)部控制整合框架（以下簡稱新框架）擴(kuò)展了財務(wù)報告標(biāo)準(zhǔn)，既包含財務(wù)報告，也包含非財務(wù)報告。信息化是整合財務(wù)數(shù)據(jù)和非財務(wù)數(shù)據(jù)的重要工具，可以增強(qiáng)內(nèi)部控制報告的全面性和有效性。信息與溝通是內(nèi)部控制五要素之一，新框架對它的定義是“企業(yè)管理層從內(nèi)、外部獲得或生成并且使用相關(guān)的有質(zhì)量的信息來支持內(nèi)部控制的正常運(yùn)轉(zhuǎn)，并假設(shè)數(shù)據(jù)交流具有安全性和準(zhǔn)確性”。新框架下信息的溝通應(yīng)遵循三項基本原則：一是組織獲取、加工與使用高質(zhì)量的信息，以支持內(nèi)部控制發(fā)揮作用；二是組織在內(nèi)部溝通信息（包括控制目標(biāo)和職責(zé)范圍）以支持內(nèi)部控制發(fā)揮作用；三是組織與外部相關(guān)各方就影響內(nèi)部控制發(fā)揮作用的信息進(jìn)行溝通。信息就像是內(nèi)部控制的神經(jīng)系統(tǒng)，支持內(nèi)部控制運(yùn)行并有效發(fā)揮作用，對推進(jìn)企業(yè)內(nèi)部控制水平，促進(jìn)其目標(biāo)實(shí)現(xiàn)至關(guān)重要。而信息系統(tǒng)是企業(yè)獲得并且使用信息的重要工具和載體。信息化和自動化帶動了組織形式與經(jīng)營模式質(zhì)的變革，并將信息技術(shù)對內(nèi)部控制的影響融入其中。

（二）追求高效的企業(yè)管理理念。隨著信息技術(shù)大發(fā)展與企業(yè)工作效率的需求，我國大中型企業(yè)基本實(shí)現(xiàn)了辦公自動化和信息化，企業(yè)越來越多使用財務(wù)管理信息系統(tǒng)、ERP系統(tǒng)等信息技術(shù)，處理大量交易和人工無法完成的復(fù)雜數(shù)據(jù)信息，工作效率大大提高。內(nèi)部控制也不例外，內(nèi)部控制環(huán)境、內(nèi)部控制流程、內(nèi)部控制測試、內(nèi)部控制評價工作都與信息技術(shù)息息相關(guān)。內(nèi)部控制流程以前全部是用紙質(zhì)表格、人工簽字審批，現(xiàn)在將部分內(nèi)部控制流程嵌入信息系統(tǒng)進(jìn)行流轉(zhuǎn)，審批人隨時可以進(jìn)行辦公；內(nèi)部控制測試的方法有詢問、觀察、檢查和再執(zhí)行，以前就是測試人員到現(xiàn)場進(jìn)行實(shí)地測試，翻看紙質(zhì)資料，耗時、耗力、費(fèi)用高，現(xiàn)在通過信息技術(shù)支持，測試人員可以遠(yuǎn)程對于嵌入信息系統(tǒng)的內(nèi)部控制流程進(jìn)行測試。也因?yàn)樾畔⑾到y(tǒng)的使用，特別是隨著“互聯(lián)網(wǎng)+”、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新的信息技術(shù)的涌現(xiàn)，使得內(nèi)部控制不僅要對人進(jìn)行控制，對于加強(qiáng)信息網(wǎng)絡(luò)安全的內(nèi)部控制也提出了更高要求。提高企業(yè)內(nèi)部控制信息化水平，并融入企業(yè)全面信息管理成為一項重要課題。

（三）政府監(jiān)管和內(nèi)部控制有效性評價要求。政府監(jiān)管方面，財政部等五部委聯(lián)合頒布的《企業(yè)內(nèi)部控制基本規(guī)范》指出，“企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)對業(yè)務(wù)和事項的自動控制，減少或消除人為操縱因素。”《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》進(jìn)一步明確了促進(jìn)企業(yè)有效實(shí)施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理水平，減少人為因素的主旨和各項具體內(nèi)容。信息與溝通也是評價內(nèi)部控制有效性的標(biāo)準(zhǔn)之一。財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會制定的《企業(yè)內(nèi)部控制評價指引》指出，企業(yè)組織開展信息與溝通評價，應(yīng)當(dāng)以內(nèi)部信息傳遞、財務(wù)報告、信息系統(tǒng)等相關(guān)應(yīng)用指引為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機(jī)制的健全性、財務(wù)報告的真實(shí)性、信息系統(tǒng)的安全性，以及利用信息系統(tǒng)實(shí)施內(nèi)部控制的有效性等進(jìn)行認(rèn)定和評價。

二、企業(yè)內(nèi)部控制信息化現(xiàn)狀

（一）信息化工作現(xiàn)狀?？傮w而言，中國石油集團(tuán)信息化建設(shè)走在了大型企業(yè)的前列。但由于建設(shè)的目的、時間等因素影響，目前在用的各個系統(tǒng)相對獨(dú)立。例如，由普聯(lián)公司開發(fā)的FMIS7.0在集團(tuán)公司財務(wù)系統(tǒng)全面應(yīng)用，實(shí)現(xiàn)了集團(tuán)公司層面會計一級集中核算，是獨(dú)立的信息系統(tǒng)。人力資源系統(tǒng)（HR系統(tǒng)）在集團(tuán)公司各單位成功應(yīng)用，因上線日期早于ERP系統(tǒng)，目前未與ERP系統(tǒng)融合。另外，如合同管理系統(tǒng)、安全環(huán)保管理系統(tǒng)、物資管理系統(tǒng)等也是獨(dú)立的。這是造成各個信息系統(tǒng)數(shù)據(jù)不能相互共享的現(xiàn)狀。系統(tǒng)使用者對來源于其他信息系統(tǒng)的數(shù)據(jù)需要人工干預(yù)、整理后，手工再錄入自己使用的系統(tǒng)中。

（二）內(nèi)部控制信息化工作情況

1、內(nèi)部控制信息系統(tǒng)。在內(nèi)部控制信息化建設(shè)過程中，集團(tuán)公司建立符合發(fā)展戰(zhàn)略并與經(jīng)營管理活動一體化的信息系統(tǒng)，為內(nèi)部控制提供足夠的信息資源和順暢的溝通渠道，統(tǒng)一部署ERP系統(tǒng)作為主要支撐系統(tǒng)進(jìn)行相關(guān)信息處理。

2、內(nèi)部控制流程使用的信息系統(tǒng)。筆者所在單位是中國石油集團(tuán)建設(shè)內(nèi)部控制體系的第一批試點(diǎn)單位，體系建設(shè)于2007年啟動，2010年1月1日起正式實(shí)施。經(jīng)過6年多的運(yùn)行，目前發(fā)展到以風(fēng)險管理為主要內(nèi)容，涵蓋公司經(jīng)營管理各領(lǐng)域，較為完善和有效運(yùn)行的內(nèi)部控制體系階段。2015年底，公司以法律、經(jīng)營、財務(wù)風(fēng)險為控制點(diǎn)的流程逐步完善，涵蓋財務(wù)管理、經(jīng)營管理、物資管理、人力資源管理、合同管理、安全環(huán)保、技術(shù)質(zhì)量、三重一大、工程項目管理等業(yè)務(wù)管理領(lǐng)域流程173個，關(guān)鍵控制點(diǎn)181個，60%以上的業(yè)務(wù)流程已通過信息系統(tǒng)進(jìn)行流轉(zhuǎn)。由于ERP系統(tǒng)主要包含財務(wù)、物流、人力資源等核心模塊，但在滿足企業(yè)內(nèi)部控制要求的日常業(yè)務(wù)審批及專業(yè)管理方面功能不足。因此，公司目前應(yīng)用EMIS辦公自動化系統(tǒng)進(jìn)行內(nèi)部控制業(yè)務(wù)流程處理，以滿足日常工作需要。如合同管理業(yè)務(wù)，從合同相對方評價，各類合同審核會簽，合同簽訂，合同履行、變更與解除，合同結(jié)算，合同專用章管理到合同歸檔、統(tǒng)計分析，糾紛處理等流程都在EMIS辦公自動化系統(tǒng)流轉(zhuǎn)，過程中涉及到的表單資料掃描上傳系統(tǒng)，相關(guān)崗位在流程各步驟的處理意見均可追溯查詢。對于嵌入EMIS系統(tǒng)的這部分流程，內(nèi)部控制測試可以實(shí)現(xiàn)遠(yuǎn)程操作，一般不必到現(xiàn)場進(jìn)行測試。EMIS辦公自動化系統(tǒng)尚未實(shí)現(xiàn)與ERP系統(tǒng)的對接。

3、內(nèi)部控制測試使用的信息系統(tǒng)。中國石油內(nèi)部控制測試系統(tǒng)使用的是ARCM3.X。在測試系統(tǒng)中，進(jìn)行測試的內(nèi)部控制流程通過操作員及主審、項目經(jīng)理、測試管理員三級審核，完成從創(chuàng)建測試任務(wù)到出具測試結(jié)果的工作流程。系統(tǒng)管理員進(jìn)行業(yè)務(wù)建模、自動創(chuàng)建測試任務(wù)，主審分配測試任務(wù)給測試員，被測試單位接受測試任務(wù)、測試員填寫測試任務(wù)、提交測試結(jié)果，主審審核測試任務(wù)（主審審核不通過的測試任務(wù)，測試員需要重新填寫測試狀態(tài)）、將測試審核結(jié)果提交項目經(jīng)理審核（主審審核通過并且測試狀態(tài)是存在例外事項的測試任務(wù)，項目經(jīng)理可以審核為“缺陷”和“非缺陷”），項目經(jīng)理將審核結(jié)果提交測試管理員（主審審核通過的測試任務(wù)測試管理員可以審核為不通過，這樣主審可以重新審核測試任務(wù)。項目經(jīng)理審核完的測試任務(wù)，測試管理員審核為不通過，那么主審需要重新審核，項目經(jīng)理也需要重新審核），完成以上步驟后，由項目經(jīng)理進(jìn)行缺陷評估、測試結(jié)果統(tǒng)計分析，測試管理員輸出測試結(jié)果統(tǒng)計報表。以上測試任務(wù)填寫及審核均支持在線和離線狀態(tài)。通過內(nèi)部控制測試管理模塊，實(shí)現(xiàn)內(nèi)控審計測試結(jié)果錄入、審核、查詢與統(tǒng)計分析。

三、企業(yè)內(nèi)部控制信息化存在的問題

信息技術(shù)不僅是工具，更是企業(yè)經(jīng)營管理的環(huán)境，和其他環(huán)境因素相互影響和適應(yīng)，共同決定著公司的組織結(jié)構(gòu)、管理模式與流程?；仡檭?nèi)部控制體系建設(shè)與運(yùn)行歷程，每一次進(jìn)步都離不開信息技術(shù)的支持，也存在一些突出問題。

（一）企業(yè)對內(nèi)部控制信息化重視程度不夠。自2008年《企業(yè)內(nèi)部控制基本規(guī)范》發(fā)布以來，即我國企業(yè)內(nèi)部控制實(shí)施近8年來，也是信息技術(shù)迅猛發(fā)展的歷史階段。但很多企業(yè)對內(nèi)部控制信息化重視程度不夠，內(nèi)部控制信息化程度不高，難以適應(yīng)瞬息萬變的內(nèi)外部環(huán)境。

（二）已有的信息系統(tǒng)與內(nèi)部控制相脫節(jié)，信息孤島現(xiàn)象仍未消除。由于系統(tǒng)上線的時間不同，財務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)、各業(yè)務(wù)系統(tǒng)之間都各自分離。企業(yè)目前在用的信息系統(tǒng)多樣，已有的信息系統(tǒng)與內(nèi)部控制相脫節(jié)，影響了信息的及時獲取和傳遞，無法為內(nèi)部控制建設(shè)提供有效支撐，使內(nèi)部控制功能不能得到充分發(fā)揮。如財務(wù)管理信息系統(tǒng)、人力資源管理信息系統(tǒng)、辦公自動化管理信息系統(tǒng)、ERP管理信息系統(tǒng)都未實(shí)現(xiàn)融合，信息“孤島”現(xiàn)象仍然是一個大問題。使內(nèi)部控制人員難以通過信息系統(tǒng)實(shí)時監(jiān)控有關(guān)事件和內(nèi)外部活動，無法對經(jīng)濟(jì)、行業(yè)因素和控制問題進(jìn)行迅速響應(yīng)，面對經(jīng)營活動中存在的潛在風(fēng)險反應(yīng)遲緩，難以預(yù)先診斷經(jīng)營風(fēng)險狀況。

（三）內(nèi)部控制信息化程度有待提高。企業(yè)信息傳遞涉及方方面面，內(nèi)部控制環(huán)境是內(nèi)部控制有效性的土壤。目前，企業(yè)的內(nèi)部控制環(huán)境需要借助信息技術(shù)更上一個臺階。部分重點(diǎn)業(yè)務(wù)流程未嵌入信息系統(tǒng)，使企業(yè)整體業(yè)務(wù)流程運(yùn)行的流暢性受到影響。信息化覆蓋面不全，內(nèi)部控制的主要工作未實(shí)現(xiàn)信息化，仍依賴手工完成。內(nèi)部控制測試和外部評估工作主要方式是現(xiàn)場測試、跟單測試、關(guān)鍵控制測試、電子表格測試，主要依靠人工，測試過程資料（包含跟單測試表的測試步驟及發(fā)現(xiàn)，離線表單的測試對象描述等）和結(jié)果均需手工整理后，二次錄入ARCM3.X信息系統(tǒng)進(jìn)行分析、查詢與統(tǒng)計分析。

（四）信息化對內(nèi)部控制工作提出新要求。信息技術(shù)的發(fā)展對企業(yè)面臨的市場環(huán)境風(fēng)險和企業(yè)內(nèi)部控制工作產(chǎn)生更深影響，也給企業(yè)內(nèi)部控制工作提出了新的要求。一是信息數(shù)據(jù)是企業(yè)的一項重要資產(chǎn)，內(nèi)部控制需要滿足保護(hù)信息資產(chǎn)的需求；二是互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、信息系統(tǒng)融合，使得企業(yè)的網(wǎng)絡(luò)從局域網(wǎng)到廣域網(wǎng)，信息系統(tǒng)從單獨(dú)分離到綜合信息系統(tǒng)，一旦遭到人為或自然破壞，整個系統(tǒng)將陷入癱瘓，需要提高防范與信息系統(tǒng)有關(guān)風(fēng)險的能力，加強(qiáng)信息系統(tǒng)安全內(nèi)部控制工作；三是信息化使得內(nèi)部控制人工干預(yù)減少，人的主觀能動性減弱，對信息系統(tǒng)的靈活性、智能型要求提高。

四、企業(yè)內(nèi)部控制信息化優(yōu)化建議

（一）管理層重視，加大信息化投入力度。由于企業(yè)經(jīng)營發(fā)展過程中面臨的不確定性和風(fēng)險日益增加，環(huán)境變化越趨復(fù)雜和快速。為建立實(shí)施符合現(xiàn)代社會發(fā)展的內(nèi)部控制體系，首先企業(yè)高層必須重視信息化管理工作，加大信息化投入，從源頭抓起，統(tǒng)籌安排，將企業(yè)內(nèi)部控制體系駛?cè)氚踩€(wěn)定的信息系統(tǒng)高速公路，將信息源源不斷、安全高效地輸送到組織運(yùn)行的各個角落，用制度約束系統(tǒng)，以系統(tǒng)規(guī)范行為。

（二）加快推進(jìn)以ERP系統(tǒng)為核心的信息化建設(shè)。內(nèi)部控制要求獲取的信息全面完整、質(zhì)量高，不僅包括內(nèi)外部財務(wù)報告信息，還包括非財務(wù)報告信息。完整和全面的數(shù)據(jù)對數(shù)據(jù)轉(zhuǎn)為內(nèi)部控制信息至關(guān)重要。在信息化管理工作方面，加快各業(yè)務(wù)系統(tǒng)融合是獲取全面數(shù)據(jù)、管理提升的有效手段。加快推進(jìn)以ERP系統(tǒng)為核心的信息化建設(shè)，建成統(tǒng)一的信息系統(tǒng)平臺是集團(tuán)公司既定的工作部署。實(shí)現(xiàn)ERP與其他系統(tǒng)融合，通過信息化建設(shè)提高公司管理創(chuàng)新，是公司對信息系統(tǒng)建設(shè)的總體要求。通過整合集團(tuán)公司在用信息系統(tǒng)，統(tǒng)一操作平臺，消除信息“孤島”，實(shí)現(xiàn)業(yè)務(wù)集成和數(shù)據(jù)共享。利用綜合信息平臺為內(nèi)部控制有效運(yùn)行提供支撐，實(shí)時取數(shù)、數(shù)據(jù)共享、動態(tài)分析、預(yù)警功能，實(shí)現(xiàn)企業(yè)管理事前預(yù)測、事中控制、事后分析。

（三）通過內(nèi)部控制信息化優(yōu)化內(nèi)部控制體系

1、通過加大信息化覆蓋面，優(yōu)化內(nèi)部控制環(huán)境。集團(tuán)公司利用綜合信息平臺和移動互聯(lián)網(wǎng)，及時向全體員工發(fā)布傳達(dá)企業(yè)各項信息，向客戶、供應(yīng)商等外部利益相關(guān)方傳遞相關(guān)信息，消除信息不對稱帶來的負(fù)面影響。中國石油內(nèi)網(wǎng)主頁包含公司信息、行業(yè)信息、辦公平臺。如企業(yè)文化欄目，發(fā)布公司年度報告、社會責(zé)任報告等；規(guī)章制度欄目，發(fā)布在用和失效的規(guī)章制度，實(shí)現(xiàn)制度管理信息化，方便員工及時查詢，有章可循，工作合規(guī)。集團(tuán)公司建立了公眾微博、微信號，傳遞管理理念與企業(yè)文化，使員工可以隨時隨地訪問、接收相關(guān)信息。在以往通過匿名舉報、舉報熱線電話、郵箱等方式基礎(chǔ)上，內(nèi)部控制信息化增加信訪和舉報監(jiān)督渠道，預(yù)防舞弊行為發(fā)生。把內(nèi)部控制融入公司文化，變成全員、全過程的員工自覺行動。

2、利用信息系統(tǒng)固化內(nèi)部控制流程，提高工作效率。信息在企業(yè)各層級傳遞的速度和質(zhì)量影響內(nèi)部控制有效性。如果依賴人工建立實(shí)施內(nèi)部控制，不僅消耗大量的人力物力，還會造成效率低下，最終導(dǎo)致內(nèi)部控制流于形式。因此，需要利用綜合信息平臺，實(shí)現(xiàn)各部門、各層級之間的業(yè)務(wù)流轉(zhuǎn)、信息傳遞，提高信息傳遞速度和質(zhì)量。內(nèi)部控制主要通過流程進(jìn)行控制活動，信息化本身的目的之一，就是促使企業(yè)將好的管理做法固化為信息化中的規(guī)則與流程。

公司目前主要工作：一是繼續(xù)將剩余40%的流程和新增業(yè)務(wù)流程固化到信息系統(tǒng)；二是著力解決流程審批時限問題。為保證流程執(zhí)行的及時性，集團(tuán)公司發(fā)布了業(yè)務(wù)限時辦結(jié)制度，各項流程審批時限，要求各環(huán)節(jié)簽批的業(yè)務(wù)兩天內(nèi)完成。各部門也細(xì)化了業(yè)務(wù)辦結(jié)時限。對于無法登錄系統(tǒng)進(jìn)行審批的，通過信息平臺的授權(quán)功能實(shí)現(xiàn)崗位授權(quán)審批。

內(nèi)部控制辦公室（以下簡稱內(nèi)控辦）以內(nèi)部控制流程為切入點(diǎn)，對信息傳遞過程的速度與質(zhì)量進(jìn)行分析，優(yōu)化內(nèi)部控制流程。通過梳理業(yè)務(wù)流程，不斷完善內(nèi)部控制體系職能分配及管理業(yè)務(wù)職責(zé)劃分，進(jìn)一步規(guī)范崗位職責(zé)，明確崗位授權(quán)，消除管理業(yè)務(wù)重疊、橫向縱向職能不清晰、沒有制度支撐、管理職能不落實(shí)等問題。每年梳理發(fā)布“各單位、各部門內(nèi)控手冊流程圖及需要上報的報表資料清單”，使得各部門職責(zé)明確，流程清晰，減少公司管理的盲點(diǎn)。內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)了對業(yè)務(wù)和事項的自動控制，極大提高了信息傳遞速度和工作效率，減少控制成本、提高控制效率、減少或消除人為操縱因素，并為內(nèi)部控制測試工作信息化奠定了基礎(chǔ)。

3、內(nèi)部控制測試工作信息化。內(nèi)部控制測試是對內(nèi)部控制體系設(shè)計有效性和執(zhí)行有效性進(jìn)行檢查，分現(xiàn)場測試和非現(xiàn)場測試兩種方式。公司現(xiàn)行的《內(nèi)部控制體系管理辦法》規(guī)定，“原則要求測試覆蓋率不低于50%，重要流程覆蓋率不低于70%，關(guān)鍵控制覆蓋率要達(dá)到90%”。通過信息系統(tǒng)流轉(zhuǎn)的業(yè)務(wù)流程，實(shí)施證據(jù)表單都已掃描上傳系統(tǒng)，對于這類流程的測試，內(nèi)控辦主要通過信息系統(tǒng)隨時隨地進(jìn)行非現(xiàn)場測試，有效化解了人手不足的問題，又滿足了測試覆蓋率，對提高內(nèi)部控制有效性起到了積極的推動作用。

（四）注重信息安全控制。信息系統(tǒng)自身也存在風(fēng)險，需要加強(qiáng)執(zhí)行過程管理和內(nèi)部控制測試。集團(tuán)公司內(nèi)部控制測試內(nèi)容包括公司層面控制測試、業(yè)務(wù)活動層面控制測試（含跟單測試和關(guān)鍵控制測試）和信息系統(tǒng)層面控制測試三部分。信息系統(tǒng)安全控制包含訪問控制、數(shù)據(jù)資源控制、系統(tǒng)軟硬件控制、網(wǎng)絡(luò)安全控制等方面。具體包括控制環(huán)境、信息安全、項目建設(shè)管理、系統(tǒng)變更管理、信息系統(tǒng)日常運(yùn)作、最終用戶操作等。

信息系統(tǒng)控制測試含信息系統(tǒng)總體控制和信息系統(tǒng)應(yīng)用控制。信息系統(tǒng)總體控制GCC指的是內(nèi)部控制中對信息系統(tǒng)相關(guān)部分的控制，保證由信息系統(tǒng)支持的流程控制是可靠的、生成的數(shù)據(jù)和報告是可信的。集團(tuán)公司根據(jù)COSO要素、COBIT等國內(nèi)外通用的信息系統(tǒng)審計標(biāo)準(zhǔn)，制定并發(fā)布信息系統(tǒng)總體控制規(guī)范，包含實(shí)施規(guī)范和測試規(guī)范。實(shí)施規(guī)范要求將信息系統(tǒng)控制的執(zhí)行最終落實(shí)在各崗位人員具體操作上，并在執(zhí)行過程中保留完整的證據(jù)鏈，保證信息系統(tǒng)總體控制執(zhí)行的規(guī)范化。測試規(guī)范要求有配套的測試監(jiān)督方法和定期檢查機(jī)制，保證信息系統(tǒng)控制執(zhí)行的有效性，形成一個執(zhí)行——檢查——整改的良性循環(huán)。集團(tuán)公司范圍內(nèi)信息系統(tǒng)的日常管理和信息運(yùn)營維護(hù)工作參照此標(biāo)準(zhǔn)進(jìn)行。信息系統(tǒng)應(yīng)用控制方面，關(guān)注企業(yè)業(yè)務(wù)管理流程及專業(yè)管理流程中影響財務(wù)數(shù)據(jù)的交易處理環(huán)節(jié)或系統(tǒng)處理環(huán)節(jié)的控制，已有的控制設(shè)計涉及ERP、FMIS等管理系統(tǒng)。對于新上線的信息系統(tǒng)及原信息系統(tǒng)的功能變更均會導(dǎo)致應(yīng)用控制變化，且各個系統(tǒng)所處理的業(yè)務(wù)流程以及實(shí)現(xiàn)方式的不同，應(yīng)用控制再根據(jù)不同的系統(tǒng)逐個識別。

五、啟示

（一）加強(qiáng)內(nèi)部控制信息化頂層設(shè)計，注重內(nèi)部控制信息化工作的持續(xù)性和推動力。幾乎所有的集團(tuán)和單位都不同程度存在信息系統(tǒng)重復(fù)建設(shè)的問題，造成資源和成本浪費(fèi)。對于新建公司和準(zhǔn)備實(shí)施此項工作的企業(yè)，應(yīng)加以借鑒。企業(yè)應(yīng)該制定與戰(zhàn)略決策相適應(yīng)的信息技術(shù)長期規(guī)劃，統(tǒng)籌安排，分步實(shí)施。既滿足公司發(fā)展的需要，又降低成本。通過綜合信息平臺實(shí)現(xiàn)業(yè)務(wù)集成和數(shù)據(jù)共享，提升內(nèi)部控制有效性。同時，內(nèi)部控制信息化工作是一項長期工作，需要注重內(nèi)部控制信息化工作的持續(xù)性和推動力，為企業(yè)持續(xù)健康穩(wěn)健發(fā)展提供保障。

（二）信息化不是萬能的，制度是根本，職業(yè)判斷不能忽視。沒有信息化是萬萬不能的，但信息化也不是萬能的。對于內(nèi)部控制工作而言，企業(yè)的制度是根本，首先應(yīng)建立完善適合企業(yè)經(jīng)營情況的制度。內(nèi)部控制是以人為主體，實(shí)施內(nèi)控的是人，監(jiān)督檢查的主體是人。業(yè)務(wù)流程運(yùn)行與實(shí)際出現(xiàn)差異時，應(yīng)及時分析解決和持續(xù)優(yōu)化，必要時按規(guī)定做出合理變更；遇有緊急、臨時、突發(fā)等特殊情況，業(yè)務(wù)流程中未明確具體程序時，應(yīng)由業(yè)務(wù)主管領(lǐng)導(dǎo)酌情相機(jī)處置，并做好記錄，而不是一味僵化執(zhí)行。

（三）復(fù)合型人才培養(yǎng)。與其他系統(tǒng)控制測試相比，信息系統(tǒng)控制測試人員需具有信息管理技術(shù)、業(yè)務(wù)流程基礎(chǔ)、財務(wù)核算基礎(chǔ)三方面的綜合技術(shù)能力。因此，需要有計劃、分步驟加強(qiáng)復(fù)合型測試人員培養(yǎng)。同時，測試人員本身也應(yīng)持續(xù)學(xué)習(xí)新知識，跟上日新月異的信息化發(fā)展速度，滿足內(nèi)部控制信息化工作需求。

主要參考文獻(xiàn)：

[1]黃宇.“云時代”下創(chuàng)新財務(wù)檢查工作的思考與探索.廣西財務(wù)與會計，2015.1.

[2]王瑋琪.融合石油企業(yè)現(xiàn)有信息系統(tǒng)之我見[J].中國石油財會，2014.3.

[3]魯冰.COSO內(nèi)部控制整合框架修訂進(jìn)展及啟示[J].財務(wù)與會計，2013.7.