信息技术条件下的企业内部控制

　　[摘要]本文从内部控制框架的五个基本要素入手，阐述了信息技术条件下企业内部控制的新特点与新问题。信息技术的应用增加了企业内部控制的潜在风险，但信息流程和业务流程的有效整合也给提高企业内部控制效率、增强内部控制效果带来了前所未有的机遇。文章主张把信息作为控制的关键资源，利用信息技术来构建与完善内部控制系统，并提出信息技术条件下我国企业构建内部控制框架的几个关键步骤。

　　[关键词]信息技术  内部控制  内部控制整体框架

    一、引言

　　内部控制是组织为保护其资产安全，保证信息的完整和正确，促进经营管理政策得以有效实施，提高经营效率，控制经营风险，防止舞弊行为发生并进而实现组织目标的一项重要的管理制度与方法。信息技术的高速发展与广泛应用改变着企业的管理环境与管理理念，拓宽了企业管理的范围和内容，而这一切又必定影响并改变着企业内部控制要素的具体内容与表现特征，并给企业内部控制带来了新的问题与挑战。理论界也密切注意着信息技术环境下企业内部控制制度的变化。我们可以利用信息技术改善控制程序、增强控制手段，将信息技术有效地集成到业务和信息过程中，借助于信息技术来防范与控制经营风险[1]。也有的学者进一步探讨了信息系统环境下企业内部控制制度的构建，试图建立一种数据——系统——网络的内部控制体系，以适应信息技术应用的特点[2]。这些研究推动了我国新经济下内部控制制度的发展与创新，但是大部分研究停留在技术层面，尚未深入探讨过信息时代内部控制框架的构成要素会发生怎样的深刻变化。

　　内部控制的要素及其构成方式，决定着内部控制的内容与形式。所以，笔者认为，从构成内部控制框架的基本要素人手，分析企业在新环境下面临的新问题与新要求，并据此设计与运行企业的内部控制系统，才具有更强的理论可取性和实践可行性。本文将从内部控制框架的五个基本要素人手，分析信息技术环境对企业内部控制要素产生的影响，并提出信息技术条件下我国企业构建与发展内部控制系统的若干建议。

　　二、信息技术对企业内部控制要素的影响

　　内部控制理论与实务随着社会、经济和技术等环境的变化经历了丰富多彩的发展历程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同阶段。其中，由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEl)、国际内部审计师协会(IIA)和管理会计师协会(1MA)共同组成的COSO)委员会，于1992年发表，并于1994年修订的《内部控制——整体框架》报告，标志着内部控制理论与实践进入了内部控制整体框架的新阶段。该报告是迄今为止对内部控制最为全面的描述，是内部控制发展的又一新的里程碑。

　　COSO报告指出内部控制是由企业董事会、经理阶层和其他员工实施的，为实现提高业务活动的效果与效率、增强财务报告可靠性及有关法律法规的遵从性等目标所提供合理保证的一个过程。该定义强调了内部控制实施的主体和内部控制需要达到的目标。COSO报告还指出，内部控制是由控制环境(Control Environment)、风险评价(Risk Assessment)、控制活动(Control Activities)、信息与沟通(1nformationand Communication)、监控(Monitoring)等五个相互关联的要素构成的。内部控制目标、内部控制要素及内部控制主体三者之间存在直接的关系，共同构成一个理想的内部控制整体框架。

　　在信息技术环境下，企业内部控制系统仍是由上述五个基本要素构成，框架体系并未发生实质性的改变。但是，每项基本要素的内部构成却呈现出新的内容，表现出新的特征，也随之带来了内部控制中新的问题。下面，我们分别从这五个方面讨论信息技术条件下企业内部控制要素所发生的有关变化。

　　1．控制环境。  
  
　　控制环境是对企业内控系统的建立和实施有重大影响的各种因素的总称。根据SAS N0．78的规定，影响控制环境的因素有管理哲学、组织结构、董事会或审计委员会、人力资源政策与实务、权责分派方式、品行与价值观、胜任能力等。控制环境提供企业架构，塑造企业文化，并影响着组织成员的控制意识，是其他控制要素的基础。在信息技术条件下，企业内部控制环境将发生以下主要变化，要求管理层树立信息意识，更新控制观念。

　　(1)管理结构扁平化，使得内部控制的组织结构发生改变。随着企业的扩张，其管理层次和机构也在发展，其结果是组织结构越来越臃肿，管理流程越来越复杂，造成大量的冗员和官僚的作风。而当今的高速变化的市场，却需要企业在第一时间对市场做出反应，满足顾客的要求。信息技术的广泛应用，使得企业组织结构趋向扁平化成为可能，使得决策者和执行者能够快速沟通，真正做到向管理要效益。新经济下，企业内部控制层次明显地减少，但责任更加明确，效率更加提高[3]。

　　(2)内部控制的方式与管理观念将发生改变。信息技术的应用产生了巨大的竞争力，增强了企业的灵活性，使得“在大公司里有着小公司的灵魂与速度”。在企业这种新型的扁平式组织结构之中，对等的信息使得无论信息处于何处，企业内外部人员都能够容易地获得，领导不再是组织等级的上层，而成为行动的中心。信息经济要求并导引着企业组织从机械式向有机式并最终向虚拟组织发展演变，要求企业的领导阶层学会在一个流动和动态的环境中发现内聚力和构造组织，既要有利于创造、革新、加快速度，又能在不断磨合中加强内部控制和向心力。

　　2．风险评价

　　每个企业都面临着来自内部和外部的不同的风险，风险评估就是分析和辨认实现企业所定目标时可能发生的风险适时加以处理。信息技术手段的不断应用，在给企业带来风险的同时也带来了控制风险的机会和工具。

　　(1)风险控制体系的变革，使内部控制的范围加大。在信息技术环境下，虽然企业的整体目标没有改变，但是经济、产业及管理的外部环境与内部因素都发生了变化，自然，伴随业务流程的改变，系统的开放性、信息的分散性、数据的共享性，极大的改变了以往封闭集中状态下的运行环境，从而改变了传统的风险控制内容和方法。例如强大的、复杂的计算机系统增加了企业潜在的风险，因为人们的主观判断被忽略，数据处理过于集中，存储的数据可以被不留痕迹地改写和删除，数据的存放形式增加了数据再现的难度，数据处理过程无法观测等等。这些新的风险点构成了内部控制的新内容。新的技术带来了新的风险，我们应辨认已发生的改变，并采取必要的行动，扩大控制的范围。

　　(2)有效利用信息技术，作为控制风险的工具。我们应该明确这样一种认识：风险的存在不是我们把信息技术拒之门外的理由，我们应树立信息意识，更新控制观念，改变思维定式，有效利用信息技术为企业服务。如果我们把信息技术作为防范风险的工具，与业务活动有效结合起来，一个控制良好的电子数据处理系统具有更大的潜力来减少错误和舞弊的发生，保证企业业务处理活动严格按商业规则进行。所以，我们应该，也有可能把信息技术作为强化内部控制的一个有效工具。

　　3．控制活动

　　控制活动是企业为了保证指令得到实施而制定并执行的控制政策和程序，是针对实现组织目标所涉及的风险而采取的必要防范或减少损失的措施。SAS NO．78列举的控制活动有绩效评估、信息处理、实物控制和职责分工等。信息技术的广泛应用，对控制手段也有一定的影响。

　　(1)信息技术的引入增强了控制手段的多样性、灵活性、高效性，加强了内部控制的预防、检查与纠正的功能。控制的重点由对人的控制为主转变为对人、机共同控制为主，控制程序也应当与计算机处理相适应。

　　(2)信息技术的恰当应用，可以使企业摆脱人员与资源的限制，经济有效的实现内部控制的目标。在新环境下应形成新的控制理念：好的内部控制不应仅依赖过多的审核人员或复杂的控制程序，而应该依赖信息时代的控制哲学和恰当适用的信息技术。

　　(3)同时应该看到，随着计算机使用范围的扩大，利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加。如储存在计算机磁性媒介上的数据容易被篡改；数据库技术的提高使数据高度集中，未经授权的人员有可能通过计算机和网络浏览全部数据文件，复制、伪造、销毁企业重要的数据，使得计算机犯罪具有很大的隐蔽性和危害性，因此，也增加了信息技术环境下内部控制的难度与复杂性。

　　4．信息与沟通

　　企业在其经营与控制的过程中，需要按某种形式辨识并取得来自企业内部及外部的信息，并在组织内部进行沟通，以使员工清楚地获取有关其控制责任的信息，履行其责任。与现代信息技术相结合的信息系统具有开放化、实时化、电子化的技术特点，在内部控制系统中层现出新的特点并发挥出新的作用。

　　(1)在新经济时代，网络衔接企业各职能部门，实现会计和业务的一体化处理，使会计核算从事后的静态核算转变为事中的动态核算，信息需求者可以获取实时信息，“使得工作在空间和时间上的接近不再是至关重要的问题”[4]，这样，内部控制可以由顺序化向并行化发展。通过这种方式，可以使企业的设计、制造、销售、工业工程等人员并肩工作，共同控制企业的物流和信息流。

　　(2)开放的信息系统为内部员工、管理者以及顾客、供应商等外部团体提供了开放的沟通管道，有利于内部沟通与外部沟通的进行，使得组织内的员工清楚了解内部控制制度的规定，各自的责任；管理者随时掌握内部控制制度的执行与生效情况，并可以从外部信息中获悉关于本企业内部控制功能的重要信息。

　　(3)网络开放的环境很难避免非法侵扰，会计信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。同时，我们还应注意新环境下信息系统的信息品质。在网络环境下，财务信息的传递借助于网络完成，电子符号代替了会计数据，磁性介质代替了纸张，财务数据流动过程中签字盖章等传统交易授权手段不再存在，从而使网络信息的真实性受到质疑，这都给内部控制提出了新的问题。

　　5．监控

　　内部控制的程序化使得内部控制具有一定的依赖性并增加了差错反复发生的可能性。信息技术的应用，使得内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序，如果程序发生差错或不起作用，由于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性，使得失效控制长期不被发现，从而使系统“在特定方面发生错误或违规行为的可能性较大”。所以，在信息技术环境下，更应注意对内部控制的监督，由适当的人员，在适当的时候，及时评估控制的设计和运作情况。

　　由此可见，信息技术的应用使得内部控制框架的内部构成产生了新的变化，给提高企业内部控制效率、增强内部控制效果，带来了新的机会，也产生了潜在的风险。信息系统下的内部控制制度与手工会计系统的内部控制制度相比较，是范围扩大、控制程序灵活多样的综合性控制；是控制的重点为职能部门和计算数据处理部门并重的全面控制；是人工控制和计算机自动控制相结合的多方位控制。

　　三、信息技术条件下内部控制系统的构建与实施

　　传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。由于信息技术的更多应用，赋予了其新的内涵，发展成为以系统安全保障与稽核牵制制度相结合的控制体系。随着信息时代的到来，我们应把信息看作为内部控制中可以利用的一项资源，内部控制系统可分为系统控制与管理控制两大类。

　　(一)系统控制

　　系统控制是指与程序设计、运行维护、数据处理过程、硬件设备等相关的可靠性控制制度。根据信息技术应用下的企业内部控制中新的控制风险，企业应加强在这几方面的控制力度。

　　它包括一般控制与应用控制。一般控制帮助管理阶层确保系统能持续、适当的运转，具体含有应用系统开发、建立和维护控制，系统软件与操作控制，数据和程序控制，存取安全控制，网络安全控制等。应用控制是对会计信息系统中具体的数据处理活动所进行的控制，包括应用软件中的电算化步骤及相关的人工程序，划分为输入控制、计算机处理与数据文件控制和输出控制[5]。

　　(二)管理控制

　　管理控制是运用现代管理学的组织规划、资源使用限制等原理，制定诸如业务流程、工作程序、岗位设置、职责分工、授权批准等一系列内部管理制度。信息技术的引进以及现代社会经济环境的崭新变化，使我们要在以往内部控制形式上注入新的特色。下面也分别从构成内部控制框架的五个基本要素，谈一谈信息技术环境下构建内部控制系统应注意的几个问题。

　　1．完善内部控制环境，培养企业整体的信息技术能力

　　企业为了适应控制环境的变化，需要从一个新的角度来看待信息技术，要重视公司进行网络化管理的整体的IT能力，而不是简单的建立诸如储存系统、存货控制系统等几个孤立的IT系统。

　　(1)建立健全的组织结构与权责分派体系。企业应对原有的组织机构进行适当的调整，以适应信息系统的要求。企业可以按会计数据的不同形态，划分为输入组、数据处理组和会计信息分析组等；也可以按会计岗位和工作职责划分为计算机会计主管、软件操作、审核操作、审核记账、电算维护、电算审查、数据分析等岗位。组织结构的设置必须适合企业的实际规模，符合企业总体经营目标，并且应按精简、合理的原则对组织机构的设置进行成本效益分析。

　　(2)重新调整内部控制中的内在关系。网络技术突破了信息传递和信息处理的瓶颈，管理的幅度增大，层次减少，高耸性的组织结构逐渐趋于扁平，隐藏在这一表征后面的实质是从根本上对组织的人员和职能之间的关系的重新界定。在新经济时代，网络使得内、外部人员平等地进行动态协调与沟通，企业中的每一个人都可以成为控制网络上的一个决策点或节点，内部控制由命令与控制向集中与协调转变。

　　(3)强调内部控制框架中的“软控制”与人的重要性。内部控制由人来进行并受人的因素影响，保证组织内所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践是内部控制有效的关键因素之一。实践表明，基于环境现状构建内部控制机制是一种被动性的做法，故此，我们应越来越重视将道德规范、行为准则、能力素质的建设直接纳入内部控制结构的内容，更加强调“软控制”的作用[6]。在信息技术环境下，企业尤其应该注重培养组织中人员的信息观念，理解企业信息化建设和管理改革、内部控制创新之间的关系，并重视和实现这个改革。

　　信息时代同样是知识经济的时代，企业发展将主要依靠科技、知识与人才。“人本主义”作为构建内部控制机制的信条已经越来越多地被企业接受，企业管理者应当重视对人员的选择、使用和培养，这不再只是内部控制的环境因素，它也日益成为内部控制结构的有机组成部分。

　　2．评估与现行的业务过程和信息过程有关的风险，利用信息资源进行风险控制

　　(1)建立新型的风险控制体系，加强内部控制创新。新经济是在高科技不断创新的基础上建立起来的，企业在新经济环境下运行具有很大风险，企业的生产经营活动需要相应的内部控制制度创新做保证。因此借助于信息技术，利用信息资源，及时的将资本市场、产品市场、供求状况、顾客信息、政策法规的信息进行收集和整理，通过计算机的多模型模拟，进行敏感度分析，及时调控经营风险，完善投资决策，是一个越来越被重视的领域。

　　(2)注意识别新环境下的新风险，制定相应的控制程序有效降低风险。对于内部控制的研究不可能脱离其赖以存在的环境及企业内外部各种风险因素。在IT高速发展的今天，信息的传播、处理和反馈的速度都大大加快了，由此导致企业会常常同时改变业务和信息过程。在这个改变过程中，不能再盲目地采用传统的控制政策和程序，而必须重新评价它，以适应新业务发展的需要。我们应把注意力集中在评估特定业务环境下的风险，并制定相应的控制程序，而不能拘泥于特定的控制程序，并进而限制了对技术的使用。

　　3．控制手段中应充分引入信息技术，增强内部控制

　　(1)增强内部控制系统的预防性功能，给企业带来更大的价值。一个有效的内部控制制度需要预防性的、检查性的和纠正性的控制。传统的内部控制制度通常是根据已输出的会计信息在年末检查财务错误和舞弊，大部分的内部控制的预防功能被限制丁，这也同时影响丁企业的所有者和经营者对内部控制制度的理解与重视程度。在信息技术环境下，广泛地使用信息技术为支持决策和改善业务与信息过程提供了战略机会，也提供了预防、检查和纠正错误或舞弊的机会。例如，我们今天的技术水平已能在计算机中加入芯片，随时监控你的工作和运行程序，在你犯错误或程序出现问题时及时提示你该做什么，或与技术支持相联系，向他们报告问题。因此，会计与审计人员在建立内部控制制度时，应充分考虑技术的能力，打破传统上独立的、反映的和检查性的模式，而具备“实时”的控制思想：即利用信息技术将控制嵌入到会计信息系统中，在更广泛的IT环境中来看待企业内部控制，针对关键控制点制定相应的控制手段，强调预防、业务操作和对规章制度的遵守情况，从传统的发现问题、事后补救的做法，发展为做到事前预防和事中控制。

　　(2)利用信息技术，实现企业的一体化集成管理。企业应在新环境下，通过信息化的手段完成产、供、销业务的连贯，实现财务处理与业务处理的一体化，建立一个实时有效的计划和预算系统。在流程信息化的过程中，改革传统的业务结构，提高运营效率，降低成本，加强企业内部基础管理的规范性。

　　4．加强对会计信息系统的控制

　　随着计算机在会计工作中的普遍应用，管理部门对由计算机产生的各种数据、报表等会计信息的依赖越来越大，这些会计信息的产生只有在严格的控制下，才能保证其可靠性和准确性。同时也只有在严格的控制下，才能预防和减少计算机犯罪的可能性。

　　信息技术为达到记录、维护和产生精确、完整和及时的信息这一目标带来了机遇。但是，当企业在系统的开发与应用时，应更加强调，在业务活动发生时，在有关数据进入企业数据库之前，检查这些数据的精确性、完整性和合法性。如果不恰当的数据出现在记录和维护过程中，将会对公司造成某种程度的伤害。如果不精确、不完整、不合法的数据被记录和维护，结果会影响以后的所有处理，包括错误的报告和信息利用的质量。

　　5．定期评估，重新设计规则

　　新的技术带来了新的大部分人还没有意识到的风险，内部控制系统必须经常评估和更新。没有哪一套规则在环境发生变化时还能很好地适应，所以，对专业人员来说，评估内部控制的有效性是非常重要的。既然控制程序和企业具体环境相关，当新的业务和信息流程提出后，控制目标应当保持不变，但为达到该目标的具体控制措施必须改变以适应新的环境，不要让内部控制程序限制能使企业运行更加有效的技术的使用。

　　四、结论

　　把信息作为控制的资源，利用信息技术来构建与完善内部控制系统是我们讨论的一个实际的、及时的控制观点。随着计算机、网络等信息技术在会计中的广泛应用，一些传统的核对、计算、存储等内部会计控制方式都被计算机轻而易举地替代。但任何先进手段都是被人所指挥、所掌握，一些传统的企业内部会计控制制度如职务分离控制、业务程序控制等仍有自身生存和发展的土壤，仍将有效地发挥自己的积极作用。在采用新型内部控制手段时，要结合传统有效的内部控制方式。毕竟，在信息时代，技术既不是救星，也不是恶魔。技术有时会分散我们的注意力并误导我们，但是，新系统也可以帮助企业更加有效的应用信息，进行真正的变革与创新。

　　新经济，新技术使企业的运行环境发生了根本性的变化，它给企业带来风险的同时也带来了控制风险的机会与工具。会计职业界应在传统的控制观念基础上，充分利用信息技术，开展内部控制的创新工作，建立与时代相适应的内部控制制度，满足企业管理的需要，为企业带来更大的价值。财务与会计·刘志远　刘洁