总第 610 期
【作 者】
阳 杰 应里孟
【作者单位】
(温州大学城市学院 浙江温州 325035)
【摘 要】
【摘要】 在我国信息系统内部控制规范体系建设伊始,借鉴国际上相关机构制定的相关规范和最新动态,是我们立足国情、有的放矢地开展规范制定的基础。在国际上众多规范制定机构中,信息系统审计与控制协会(ISACA)的出版物的内容相对专业和完整,可资借鉴。
【关键词】 信息系统审计 COBIT 规范体系
一、我国信息系统内部控制规范的现状
2005年6月,财政部、国资委和证监会向国务院联合上报了《关于借鉴<萨班斯法案>完善我国上市公司内部控制制度的报告》,并获国务院同意。2006年,上海证券交易所和深圳证券交易所分别出台了《上市公司内部控制指引》,国资委也颁布了《中央企业全面风险管理指引》。之后,我国于2008年5月发布了《企业内部控制基本规范》,并在2010年4月发布了配套的《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。其中,《企业内部控制应用指引》是主体,是对企业按照内部控制原则和内部控制五要素建立、健全企业内部控制,是对18项具体经济业务所提供的指引。财政部还针对每个指引进行了详细的解读,这其中就有专门针对信息系统的《企业内部控制应用指引第18号——信息系统》,该指引是基于COBIT框架构建起来的,是对信息系统整个生命周期实施的控制。《企业内部控制评价指引》着眼于帮助企业管理层对企业内部控制进行自我评价,并且专门对内部控制评价报告进行规范。《企业内部控制审计指引》是注册会计师和会计师事务所执行内部控制审计业务的执业规范。这三个指引是对《企业内部控制基本规范》内容的细化,目的是增强它的可操作性。总的来说,我国的内部控制规范体系基本成型。