部控制的改进工作，节省改进工作的时间避免不必要的人力物力浪费有助于取得较好较快的改进效果。

信息化环境是知识经济社会中企业所共处的生态环境，这种环境已经形成而且其影响会越来越显著。

企业信息化的程度会随着信息技术不间断的快速发展逐渐提高，相应地企业的内部控制系统将逐渐变得更加庞大和复杂。

信息技术依然会作为把双刃剑，由于企业对信息技术的应用不断深入，企业的生产经营和管理模式相应地产生了比较大的变化，企业的竞争能力得到了定的强化，企业的运作效率有所提高，企业将获得更多的经济效益，但是同时企业信息化的深入发展又使企业面临着些新的挑战和问题，内部控制的各构成要素都将发生变化，各要素将具有些新的特征，因此企业内部控制系统将面临些新的特殊风险。

企业面临相应的挑战。

信息技术会对未来的内部控制系统产生更为剧烈的影响，引发更多新的有待我们研究和探讨的内部控制问题，促使我国企业防范信息技术带来的新的组织确定信息安全的影响因素，为组织保障信息安全提供了全面地指导。

信息安全管理实施细则可有效指导信息安全管理体系的建立与实施，其主要作用是为组织在制定信息安全策略时提供参照，但是信息安全管理实施细效的信息安全体系进行信息安全方面风险的有效管理提供了帮助。

信息安全管理实施细则从安全方针资产的分类与控制物理和环境的安全人员安全组织安全等个方面规定了项有关安全管理方面的控制措施用于帮助信息安全管理领域具备定的代表性。

组织已经吸纳了标准，将列为标准。

信息安全管理体系规范提出了组织设立信息安全管理体系和该体系运行过程中的基本要求，说明了组织的安全政策，为组织建立有信息化环境下企业内部控制的改进第章导论是信息安全管理方面的标准体系，该标准体系包括信息安全管理体系规范和信息安全管理实施细则两个部分，由英国标准协会于年制定，在世界上的认为信息安全包含九个方面内容，即意识责任道德民主响应风险评估安全设计和实施安全管理和再评估。

的框架，即英国标准协会，其职责为进行标准的研发以及提供国际认证的评审服务。

势在于其认为对信息安全的维护不应仅仅依赖于采用信息安全技术，建立相应管理制度与政策将对信息安全的维护发挥更为重要的作用。

另外，在年发布了新的信息系统安全指导方针，从文化的视角阐述信息安全，部控制之中。

信息系统安全指导方针年月，决议采用信息系统安全指导方针来指导企业建立相应的管理制度来健全信息系统的内部控制，该指导方针由信息计算机与通讯政策组织设定。

这方针的优的基础上，将内部控制的范围拓展到全面的风险管理过程从而满足企业内部控制的需要。

以上两个框架在控制活动和信息与沟通两个要素中特别阐明了信息系统在企业内部控制中的功能，都将信息技术的影响纳入到内内部控制整体框架为基础，发布了企业风险管理整体框架。

企业风险管理整体框架将内部控制整体框架的内容覆盖，对企业风险管理领域有所关注，拓展了内部控制的范围。

它认为企业应在内部控制整体框架义，该框架于年发表，并于年进行了修订。

内部控制整体框架对内部控制的定义比较完整，并且对内部控制的目标和构成要素进行了说明。

由于内部控制整体框架尚未足够重视企业的风险管理，因此，在年时以企业内部控制的改进国内外研究现状国外研究现状国外政府和机构出台的框架指引内部控制整体框架和企业风险管理整体框架美国委员会的内部控制整体框架在内部控制理论发展过程中具有重要意内部控制有所忽视。

所以，如何合理地利用信息技术，如何建成个良好的信息系统，对企业内部控制进行相应的改进，促进企业的传统管理向当前的信息化管理转变己经成为值得深入研究和探索的课题。

第章导论信息化环境下性我国的许多企业并未有充分的意识，有的企业在信息化后并未取得预计的效果，但是在信息化过程中也确实花费了大量的人力和物力进行信息化建设，有自行开发软件也有购买软件的，究其原因，往往是因为对信息系统的相关许多新的特殊风险。

企业如果想防范信息化过程所带来的新的特殊风险，则必须及时及时调整传统的内部控制的制度和程序，使得企业的内部控制体系是与信息化环境相适应的。

然而，对于信息化环境下内部控制的重要性和必要所增加但是同时我们发现企业信息化的深入发展使企业面临者些新的挑战和问题，内部控制的每个构成要素都将产生变化，呈现出新的特征，企业的管理体制和组织形式也将会有很大的变化，从而企业的内部控制系统会面临潜在风险。

信息技术是把双刃剑，由于企业对信息技术的应用不断深入，企业的生产经营和管理模式相应地产生了比较大的变化，企业的竞争能力得到了定的强化，借助现代信息技术，企业的内部控制的深度和广度都会有所潜在风险。

信息技术是把双刃剑，由于企业对信息技术的应用不断深入，企业的生产经营和管理模式相应地产生了比较大的变化，企业的竞争能力得到了定的强化，借助现代信息技术，企业的内部控制的深度和广度都会有所增加但是同时我们发现企业信息化的深入发展使企业面临者些新的挑战和问题，内部控制的每个构成要素都将产生变化，呈现出新的特征，企业的管理体制和组织形式也将会有很大的变化，从而企业的内部控制系统会面临许多新的特殊风险。

企业如果想防范信息化过程所带来的新的特殊风险，则必须及时及时调整传统的内部控制的制度和程序，使得企业的内部控制体系是与信息化环境相适应的。

然而，对于信息化环境下内部控制的重要性和必要性我国的许多企业并未有充分的意识，有的企业在信息化后并未取得预计的效果，但是在信息化过程中也确实花费了大量的人力和物力进行信息化建设，有自行开发软件也有购买软件的，究其原因，往往是因为对信息系统的相关内部控制有所忽视。

所以，如何合理地利用信息技术，如何建成个良好的信息系统，对企业内部控制进行相应的改进，促进企业的传统管理向当前的信息化管理转变己经成为值得深入研究和探索的课题。

第章导论信息化环境下企业内部控制的改进国内外研究现状国外研究现状国外政府和机构出台的框架指引内部控制整体框架和企业风险管理整体框架美国委员会的内部控制整体框架在内部控制理论发展过程中具有重要意义，该框架于年发表，并于年进行了修订。

内部控制整体框架对内部控制的定义比较完整，并且对内部控制的目标和构成要素进行了说明。

由于内部控制整体框架尚未足够重视企业的风险管理，因此，在年时以内部控制整体框架为基础，发布了企业风险管理整体框架。

企业风险管理整体框架将内部控制整体框架的内容覆盖，对企业风险管理领域有所关注，拓展了内部控制的范围。

它认为企业应在内部控制整体框架的基础上，将内部控制的范围拓展到全面的风险管理过程从而满足企业内部控制的需要。

以上两个框架在控制活动和信息与沟通两个要素中特别阐明了信息系统在企业内部控制中的功能，都将信息技术的影响纳入到内部控制之中。

信息系统安全指导方针年月，决议采用信息系统安全指导方针来指导企业建立相应的管理制度来健全信息系统的内部控制，该指导方针由信息计算机与通讯政策组织设定。

这方针的优势在于其认为对信息安全的维护不应仅仅依赖于采用信息安全技术，建立相应管理制度与政策将对信息安全的维护发挥更为重要的作用。

另外，在年发布了新的信息系统安全指导方针，从文化的视角阐述信息安全，认为信息安全包含九个方面内容，即意识责任道德民主响应风险评估安全设计和实施安全管理和再评估。

的框架，即英国标准协会，其职责为进行标准的研发以及提供国际认证的评审服务。

是信息安全管理方面的标准体系，该标准体系包括信息安全管理体系规范和信息安全管理实施细则两个部分，由英国标准协会于年制定，在世界上的信息化环境下企业内部控制的改进第章导论信息安全管理领域具备定的代表性。

组织已经吸纳了标准，将列为标准。

信息安全管理体系规范提出了组织设立信息安全管理体系和该体系运行过程中的基本要求，说明了组织的安全政策，为组织建立有效的信息安全体系进行信息安全方面风险的有效管理提供了帮助。

信息安全管理实施细则从安全方针资产的分类与控制物理和环境的安全人员安全组织安全等个方面规定了项有关安全管理方面的控制措施用于帮助组织确定信息安全的影响因素，为组织保障信息安全提供了全面地指导。

信息安全管理实施细则可有效指导信息安全管理体系的建立与实施，其主要作用是为组织在制定信息安全策略时提供参照，但是信息安全管理实施细则所提供的参照并不适用于每个组织，因为其并没有将信息系统环境和技术上的限制因素全部纳入考虑。

的框架美国信息系统控制与审计协会是个国际性组织，其主要职责为制定和颁布信息安全和信息控制方面的标准。

全球有超过千家大型企业采用的出版物作为指引，同时不少国家在制定信息安全和信息技术方面的相关规范时，也将的出版物作为参考和借鉴，的出版物之所以具备如此的权威性和应用的广泛性，是因为在制定相关出版物时充分对国际上信息安全和信息控制领域的出版物进行分析，吸收了它们的精髓，进行了整合，同时自身还进行了创新与深化。

到目前为止，美国信息系统控制与审计协会共开发了五个框架，分别为信息及相关技术控制目标框架价值框架风险框架认证框架，以及用于信息安全的业务模型，。

其中，价值框架和风险框架是的补充性框架，对的内容有所补充和延伸。

开发价值框架的目的在于对企业投资决策进行指导，以便企业有效地实现投资收益。

开发风险框架的目的在于帮助管理者控制与信息技术相关的风险。

信息及相关技术控制目标框架是用于为信息系统内部控制提供指导的框架，它是由美国信息系统控制与审计协会和其附属的研究机构信息技术治理协会制定和颁布的。

作为安全与信息技术控制和管理标准，其已经在世界上百多个国家的企业及各类组织中得到运用，指导这些组织对与信息相关的风险进行有效地管理。

建设是项复杂的系统工程，企业内部控制建设并非朝夕就能完成，在内部控制建设过程中需要企业各个部门的人员统观念尽心尽力执行与配合，这则依赖于企业