國際上與信息技術相關的內部控制框架與規范分析

[摘 要]企業內部控制建設需要遵守相應法律、規范的要求。為了使企業內部控制建設更加完善，企業需要了解、借鑒其他實踐證明有效的相關框架與規范的內容。本文對信息技術環境下國外相關的內部控制框架與規范:COSO內部控制整合框架和風險管理框架、SOX法案、COBIT、ITIL及ISO17799等進行了分析。

[關鍵詞]內部控制;框架;規范;信息技術

doi:10.3969/j.issn.1673-0194.2009.14.002

[中圖分類號]F232[文獻標識碼]A[文章編號]1673-0194(2009)14-0008-03

企業內部控制建設需要遵守相應法律、規范的要求。為了使企業內部控制建設更加完善，企業需要了解、借鑒其他實踐證明有效的相關框架與規范的內容。目前國際上應用較多的有COSO內部控制整合框架和風險管理框架、SOX法案、COBIT、ITIL及ISO17799。

一、COSO《內部控制——整合框架》與ERM框架

COSO《內部控制——整合框架》是COSO(Committee of Sponsoring Organizations of The Treadway Commission)委員會1992年公布的，應該是目前內部控制領域最為權威的文獻之一，它與COSO 委員會于2004年發布的《企業風險管理——整合框架》(ERM框架)都被許多國家認可和采納。

COSO內部控制框架認為:內部控制是由企業董事會、經理階層和其他職員實施的，為實現營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標而提供合理保證的過程。該框架提出，一個有效的內部控制系統應該包括控制環境、風險評估、控制活動、信息和溝通、監督5個相互關聯的要素。《內部控制——整合框架》旨在幫助公司建立一套不僅限于財務和財務報告控制流程的內部控制框架，使控制目標和保持不同層次的內部控制有效所需的控制要素達到平衡。……