企业信息化与内部控制关系研究.docx

企业信息化与内部控制关系研究摘要： 企业 信息化系统（以 计算 机为核心）与内部控制是 现代 企业两个主要的子系统。 研究 信息化与企业内部控制之间的关系 问题 具有较重要的意义。本文主要对企业信息化与内部控制间的相互关系问题进行 分析 ，认为：企业信息化 影响 了内部控制各要素，而内部控制亦反作用于企业的信息化进程。在此基础上，笔者在最后提出了加强企业内部控制的几点对策建议。关键词：信息化；内部控制；影响；COSO框架 Abstract：Information system and internal control are the two major sub-systems for a modern enterprise as a whole syser-relationship between informationalization and internal contship between the two: informationalization affects factors of internal control, while internal control interacts on the process of informationalizatuggestions for the consolidation of internal contAffect; COSO Framework 自20世纪90年代以来，随着信息技术的迅速 发展 和广泛 应用 ，各个领域都掀起了研究信息化的浪潮。在内部控制方面也不例外。虽然国内研究内部控制的 文献 较为多见，论述信息化、信息技术下的内部控制应用问题的文献也不少，但大部分的文献只局限于探讨 会计 电算化下的内部控制问题（会计电算化也只是信息化的一部分），或仅涉及信息化条件下内部控制的应用研究等问题。鲜有文章研究信息技术、信息化与内部控制的关系问题。 本文即从信息化与企业内部控制的之间的相互关系入手，认为：企业信息化影响了内部控制各因素，内部控制则反作用于企业的信息化进程。分析信息化对内部控制的影响时主要分析信息化对内部控制各要素的影响； 内部控制对企业信息化的影响则主要从企业信息化建设的时间维度分析企业内部控制对信息化进程的制约作用。系统分析两者之间的互动关系之后，笔者就此提出了在企业信息化条件下，加强内部控制的几点对策建议。 一 信息化对企业内部控制各要素的影响 迄今为止，关于内部控制最为权威的定义是COSO于1992年提出并于1994年补充的内部控制一体化框架，在这份文件中，COSO将内部控制分为五个要素：控制环境、风险评估、控制活动、信息与沟通、监督，并认为这五要素相互补充，构成一个一体化的整体企业内部控制。在2004年9月COSO再次颁布了关于内部控制方面新的研究报告企业风险管理框架（Enterprise Risk Management Framework，简称ERM）。ERM将内部控制的研究重点转向了风险及其管理，认为内部控制整体构架是包含在ERM中的一体化部分。ERM在内部控制整体框架五要素的基础上进行了拓展，增加了三个风险管理要素，形成了八要素，分别是内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、信息与沟通、监督。 在信息化条件下，COSO框架中关于内部控制各要素必然会受到影响。就此，本文先结合内部控制整体框架五要素和企业风险管理框架的八要素，依次分析信息化对各要素的影响。 （一）对内部控制环境的影响。控制环境是对建立和实施企业内部控制具有重要影响的各种要素的总称。控制环境的构成要素是多方面的，主要包括：企业的治理机制、组织结构和权责分派体系、企业管理者的素质、品行和管理 哲学 、企业文化、人力资源政策和实务等。ERM中认为的内部环境与内部控制中的控制环境要素大致相同。信息化将有助于改善企业的治理机制。完善的信息化系统能准确、全面、及时地为董事会和监事会提供履行其监督职能的信息，同时，良好的信息系统能够使得小股东以较低成本（ 网络 方式）参加股东大会维护自己的权益。信息化为内外部治理机制的完善提供了便利，而良好的治理机制将为内部控制提供良好的基础。 由于信息化的高效率，企业的组织结构将趋于扁平化，内部控制的组织层次将会减少。这对信息系统下权限划分要求更为严格。因为信息化条件下企业生产经营将更为依赖信息系统。而在信息系统下，利用信息从事非法活动等与信息技术相关的风险大大增加，企业潜在损失风险也相应增加。同时，这也要求企业通过良好的人力资源政策，对员工进行激励和约束，提高员工的整体素质和道德。信息技术的应用也使得管理者能获取的信息量倍增，那么如何在纷繁复杂的信息中，抓住重点，及时做出决策，这便对管理者也提出了更高的要求。此外，信息化也必然对企业的管理哲学和企业文化产生一定的影响。因此，如何加强对信息系统的内部控制，利用良好的管理手段和技术方式，去降低信息化所带来的风险，为内部控制提供一个优良的环境基础，将是十分重要的。（二）对目标设定的影响。内部控制是一个人为制造的系统，而设定目标是任何一个人造系统的首要环节。COSO报告提出了内部控制“营运效率与效果、财务报告的可靠性和遵循相关法令”的三大目标。企业信息化虽对企业产生深远的影响，但并未改变其总体目标，只是在各项内控活动 内容 和具体目标范围上会有所拓展。在信息化条件下，营运的效率及效果目标则不能仅要求企业以利润最大化为目标，追求有形价值的增加，信息资源等无形财富也应该成为企业价值的一部分。因此，创造知识、积累商誉、保护环境等也将对企业产生重大影响。在财务报告的可靠性方面，信息化条件下企业提供的信息不能再局限于财务报告，为满足企业内外各信息使用者的信息需求，在信息披露类型上应该有所扩展。 增加报告的类型这一要求，实质上就是面对信息化条件下各界所做出的回应。信息化条件下，企业内部控制对相关法令的遵循性提供合理保证仍是其目标之一。但较之于传统方式下，国家各项 法律 、法规、制度将趋于完善，企业需要遵循的法规也更为广泛（包括信息技术、信息系统方面的规定等），企业对相关法规的遵循性在信息化条件下将更为重要。 （三）对风险管理诸要素的影响。风险是普遍存在的，企业在日常的生产经营总会面临着来自内部或外部的风险。特别是信息化条件下，企业间竞争愈演愈烈，企业的经营风险也在不断增加，内部控制的执行显得非常必要。可见，事件识别、风险评估、风险回应这三个风险管理要素是提高企业内控效率和效果的关键。在信息化的条件下，信息技术的应用，改变了企业的业务流程，降低了传统方式下人工错弊的风险。但是，与此同时，信息系统的应用，将使得企业信息的采集、处理和运用更加依赖信息技术和信息系统的实施效果。而信息系统条件下，信息在生成和传输的过程中又产生了新的风险， 这些都增加了信息化条件下内部控制执行的难度。因此，在信息化条件下，企业应该特别关注与信息、信息系统方面的事件识别、风险评估和风险回应。因为在信息化条件下，信息系统失灵导致重要信息的遗失或泄漏，都将给企业造成不可估量的损失。这就要求企业建立起良好的信息技术治理机制，减少引起带来损失或灾难的可能性。从另外一个角度来说，企业也应该积极利用信息技术，作为事件识别、风险评估和风险回应的有效工具。利用信息化条件下的高数据处理能力，企业可以搜集和处理大量涉及企业风险方面的有关数据、信息，设立风险识别和评估模型系统，为企业风险的识别和评估提供基础。而且，企业可以利用信息系统强大的数据处理功能支持，构建起自身的数字神经系统，提高企业对数字等相关数据的敏感度，对相关数据的异常变动可能存在的问题做出一个积极、有效、及时的风险回应。 （四）对控制活动的影响。控制活动是企业为了保证管理指令能够得到有效执行而制定实施的控制政策与程序。由于控制活动必须根据企业的业务流程情况和具体的控制点进行设置，而企业信息化极大影响了企业的业务流程和具体控制点，因此，控制活动必然受到企业信息化的直接影响。信息化环境下的控制活动分为两部分：自动化业务控制和信息系统控制。 自动化业务控制是指以计算机程序为主要方式的信息系统中，业务的经营控制都是由计算机程序自动完成的。自动化业务控制的对象仍然是企业的生产经营过程，但其形式和手段均发生了较大变化。信息系统控制是企业对信息系统作为一个整体而为保证其系统正确性、完整性和安全性而采取的控制措施，其对象是企业的信息系统，包括计算机软硬件资源、应用系统、数据和相关人员等信息系统的组成要素。自动化业务控制和信息系统控制对控制活动有着不同的要求，使得对传统的控制活动均产生了变化。 （五）对信息和沟通的影响。为识别、评估和回应风险而有效地管理组织并实现其目标，组织的各个层次都需要信息。管理层建立信息系统来获取、捕捉、处理、分析和报告有关的信息，将他们转变为行动的指南。信息是沟通的基础，沟通须满足各个团体和个人的预期，使他们能有效地执行其职责。 企业信息化对内部控制的信息与沟通这一要素产生了有利的影响。在一个完善的企业信息系统支持下，董事会能够与管理层进行良好的沟通，更为有效地履行其监督职责。管理层亦能够就企业管理哲学和 方法 及授权等内容与全体员工进行具体和有效的沟通，使员工明确其预期和责任，更好的履行其职责。同时，信息系统还能提供外部的事项、活动及环境有关的信息，为客户、供应商、债权人、股东、潜在投资者、监管部门等外部群体提供一个高效的沟通渠道。因此，一个良好的信息系统将有助于提高风险管理的（包含内控）的效率和效果。当然，这其中也需要警惕信息技术可能带来的信息过量和凭借高速信息处理能力造假的问题发生。（六）对监督的影响。监督是对企业风险管理要素的存在、运行和结果进行适时评估的过程。在这个过程中，内部控制要适应变化的环境，在企业得到贯彻落实，就需要对内部控制的监督。在信息化条件下，借助于信息技术自身的特点，可使一部分的监督过程自动完成，并且可能实现实时监督，从而提高监督的效果和效率。且信息化环境下监督的重点应该放在信息系统的开发、实施、维护和操作过程中，其具体实施可考虑由内部审计部门负责执行。 在信息化环境下，监督可以通过日常的、持续的监督活动来完成（持续性监督），也可以通过个别、单独的评估来实现（特殊性监督）。持续性监督存在于不断循环的经营活动中，特殊性监督一般存在于时候活动中，为使得监督能应用于企业的各个层次中，二者的有机结合能确保内部控制的高度有效性。 二 内部控制对信息化的反作用 影响 分析 在文章开头部分，我们就已经讲到，国内的 文献 较少系统分析信息化与内部控制的影响，而 研究 内部控制对信息化的反作用则更少。而实际上，二者的关系影响是互动的：信息化影响了内部控制，内部控制反过来影响 企业 信息化的进程。前面我们已经分析了信息化对内部控制的影响，下面我们就分析一下内部控制对信息化又会有怎样的影响。按照企业从设计、建立到实施信息系统这个时间顺序，我们可以得出在时间维度下，企业内部控制对企业信息化进程的反作用影响。在企业信息化的不同阶段，内部控制对企业信息化的影响也不同。可以从三点进行分析：企业原有的内部控制基础将影响企业信息化进程、信息化进程中企业内部控制将影响信息化的质量和效率、信息化后企业内部控制将影响信息系统的安全性和可用性。 （一）企业原有的内部控制基础将影响企业信息化进程企业是否应该实施企业信息化？是企业决定信息化首要的 问题 。而这一切又取决于企业管理层所制定的信息化规划、战略。管理层制定的信息化战略，又来源于其对信息化的认识，对企业整体行业状况及自身经营状况的宏观把握和其对信息化有利于企业改进完善内部控制和其他管理的认识程度，而这些管理层对信息化认识及其所制定的信息化战略规划是企业内部控制的重要组成部分。因此，管理层的支持与否，成为企业信息化的首要决定因素。 思想汇报 同时，原有的内部控制将影响到企业各类数据的准确性和完整性。对建立一个新的信息系统来说，原始数据的规范与否，能否提供一个有效的数据基础将对企业信息化具有十分重要的作用。如果企业最初的内部控制无效或者低效，那么建立在其基础上的提供信息的系统的有效性也值得怀疑。内部控制的薄弱，信息的有效性也便大打折扣。在一大堆存在差错、漏弊的数据基础上去实施企业信息化，将无法发挥信息化所应该有的功效，甚至可能因为数据信息错弊误导了决策，导致更大的损失。当然，企业原有内控基础薄弱并不能成为企业拒绝信息化的理由。相反，企业信息化倒是一个借助信息技术手段有效地改进和完善内部控制的契机。只不过在这样的情况下，要求我们在信息化的前期准备阶段，要对原有的内部控制、数据基础进行改进和完善。（二）信息化进程中企业内部控制将影响信息化的质量和效率在企业信息化的过程中，企业的内部控制，特别是针对信息化项目的内部控制将在很大程度上影响企业信息化的质量和效率。实际上，信息化的过程并不简单地只是一个技术 应用 问题，它是一个企业通过 计算 机手段改变其信息的收集、传送、处理、存储和输出的过程，而在这个过程中，信息化过程必然受到来自人力、物力、资金等各方面资源因素的影响。这主要体现在以下方面： 第一，最高管理层的支持与否，是企业信息化成败的决定性因素。最高领导的支持构成企业内部控制环境的第一层次，它对信息化的实际有效执行具有重要影响。最高层领导的重视与支持，将形成良好的控制环境，保证企业信息化的顺利完成。最高层领导层对信息化工作的作用主要有两方面：一是给与政策上的支持，二是设置机构专门负责信息化项目的建设。第二，组织和人才上的保障。企业信息化是一项系统工程，其涉及面广，对相关的信息化系统实施人员也要求较高。为保证信息化建设的成功，有必要从组织和人才上给与保障。建立起一个专门的信息技术结构，独立负责开展企业的信息化工作。该机构必须能全面负责、协调整个企业的信息化工作并拥有既懂信息管理，又懂技术管理的人才。第三，资金控制机制保障。企业信息化是一个耗资巨大的系统工程，硬件设备、软件系统、 网络 设备、人才引进等，都会耗费大量资金。因此，为保证良好的预算控制，须在信息化过程中构建有效的资金控制机制，一方面保证项目进展过程中资金流量的充分、及时；另一方面也可防范利用信息化项目挪用资金的行为。第四，项目管理控制。将企业信息化进程作为一个项目来进行单独管理，项目运行的优良与否将极大影响企业信息化的效率和质量。我们不仅要关注信息化项目的短期效果，更应关注长期影响，因此在项目开发建设过程中，必须有效地做好职责分工和监督，除保质保量地完成项目基础工作外，还要关注整个项目的后期维护及升级因素，真正做到良好的项目进程管理和质量管理。 （三）信息化后企业内部控制将影响信息系统的安全性和可用性。一旦企业实施了信息化系统，那么企业日常的经营运转将更多地依赖于信息系统所提供的信息。信息系统自身的安全性和可用性将直接影响信息的质量，再影响到管理层对企业经营管理效率性和有效性。因为信息系统的失效和崩溃、商业秘密等重要数据的丢失、泄露都将给企业带来巨大的损失。因而保障信息系统的安全性和可用性将成为信息化后企业的重要任务。而这一任务的完成，将不仅仅是一个技术问题，更需要相应的制度安排和管理措施。对信息系统的内部控制则是重要措施之一。加强和完善信息化下的内部控制，将能保障信息系统的安全性、可靠性和可用性，使企业利用其数字神经系统，保持信息化的优势。 三 信息化条件下加强企业内部控制的对策 （一）实施信息技术治理，从公司治理的高度，对企业信息化作出制度安排信息技术治理是指，从公司治理的高度，对企业信息化做出制度安排，制定与企业战略相融合的信息技术战略，并从战略投资、企业管理变革的角度，降低其信息技术风险。站在公司治理角度实施信息技术治理，将使得良好的信息技术治理有助于公司治理机制的完善，而公司治理机制的完善将为企业内部控制的完善提供良好的基础。 （二）加强信息系统控制，实施信息系统审计在信息化条件下，对信息系统的有效控制是企业开展正常的生产经营活动的前提和保障。企业最高领导者对信息系统控制的重视，将有助于控制行为的有效进行。内部审计是其他内部控制措施的再控制，内部审计作用的有效发挥对于提高公司内部控制的效率有着举足轻重的作用。在信息化条件下，内部审计机构将是信息系统控制最重要的执行者之一。内部审计机构通过对信息系统在开发、实施、维护和操作过程中进行检查，将发现的问题及时报告给管理当局，这在一定程度上能弥补信息系统控制中的缺陷，保证信息系统的正确性、完整性和安全性。在条件允许的情况下，还应实施信息系统审计。信息系统审计是独立信息系统审计师