关于信息系统内部控制体系建设的探索
关于信息系统内部控制体系建设的探索
[摘要] 中国石油从2006年起开始全面建设内控体系,本文通过对中国石油信息系统内控体系建设的探索,阐述了信息系统内控体系建设的内容及实施的意义,对其他单位信息系统内控体建设有较好的借鉴意义。
[关键词] 信息系统;内控体系;五要素;意义
1 引言
美国安然与世通事件引发社会对保护投资者利益的关注,2002年美国国会出台了《萨班斯-奥克斯利》法案, 该法案目的在于提升民众对美国金融市场及上市公司财务报告的信心。法案提出必须使用一个内部控制框架作为内控有效性评估的基础,同时明确了内部控制的整体框架构成。
中国石油集团内控体系建设项目源于《萨班斯-奥克斯利》法案。2006年,中国石油以COSO(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting, 全国虚假财务报告委员会下属的发起人委员会)内部控制整体框架为基础,融合COSO企业风险管理整体框架的主要内容,结合国家监管部门的基本要求,全面开展了内部控制体系建设。
2内部控制体系概述
中国石油内控体系建设覆盖全部业务和部门。建立了包括控制环境、风险评估、控制活动、信息与沟通、监督五要素的内部控制体系。其中:①控制环境(control environment)是指企业的基调、氛围,直接影响企业员工的控制意识,是内部控制的基础。②风险评估(risk appraisal)就是识别、分析相关风险以实现既定目标,是风险管理的基础。③控制活动(control activity)指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。④信息与沟通(information and communication)是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。⑤监督(monitoring)是对内部控制系统有效性进行评估的过程,它实际上是内部控制的一种再控制,包括持续监督、独立评估和缺陷报告等,通过监督活动的实施,可以使内部控制系统保持其有效性。内部控制五要素共同配合和相互联系,共同对企业的各经营部门和业务活动发挥作用。
3信息系统内部控制简介
信息系统内部控制五要素具体为:①控制环境:提高员工的组织影响控制意