浅议信息化环境下的内部控制

浅议信息化环境下的内部控制内容摘要：企业信息化影响了内部控制各要素，而内部控制亦反作用于企业信息化进程。信息化给企业的内部控制提出了新的挑战。本文旨在探讨信息化对内部控制诸要素的影响，并提出加强企业内部控制的几点对策建议。关键词：信息化 内部控制 COSO框架在人类社会跨入21世纪之际，由现代信息技术所引发的全球信息化浪潮冲击着传统社会生活的每一个角落。信息技术的发展，开创了人类智力解放的新纪元，是现代科技革命的重要标志。信息技术的应用渗透到了国民经济和社会发展的各个领域和各个层次，对人类社会的政治、经济和文化等方面都产生了巨大的冲击，各行各业都面临着信息化的挑战。在我国，“大力推动全社会的信息化，以信息化带动工业化”的战略已经深入人心。信息技术在企业中的运用日益广泛和深入，会计电算化、管理信息系统（MIS）、企业信息系统（EIS）、企业资源规划（ERP）、客户关系管理（CRM）、电子商务（EC）、虚拟企业等概念和应用层出不穷。企业信息化促使企业的组织形式、管理体制、控制要点等等发生重大的变化。企业组织结构趋向扁平，管理人员越来越依赖于信息系统经营和控制企业，电子商务将成为新世纪中全球贸易的发展方向。企业信息化影响了内部控制各因素，内部控制则反作用于企业的信息化进程。信息化给企业的内部控制提出了新的挑战。一、内部控制及其构成要素迄今为止，关于内部控制最为权威的定义是COSO于1992年提出并于1994年补充的内部控制一体化框架，在这份文件中，COSO将内部控制分为五个要素：控制环境、风险评估、控制活动、信息与沟通、监督，并认为这五要素相互补充，构成一个一体化的整体企业内部控制。在2004年9月COSO再次颁布了关于内部控制方面新的研究报告企业风险管理框架（Enterprise Risk Management Framework，简称ERM）。ERM将内部控制的研究重点转向了风险及其管理，认为内部控制整体构架是包含在ERM中的一体化部分。ERM在内部控制整体框架五要素的基础上进行了拓展，增加了三个风险管理要素，形成了八要素，分别是内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、信息与沟通、监督。二、信息化对内部控制的影响（一）对内部控制环境的影响。控制环境是对建立和实施企业内部控制具有重要影响的各种要素的总称。控制环境的构成要素是多方面的，主要包括：企业的治理机制、组织结构和权责分派体系、企业管理者的素质、品行和管理哲学、企业文化、人力资源政策和实务等。ERM中认为的内部环境与内部控制中的控制环境要素大致相同。信息化将有助于改善企业的治理机制。完善的信息化系统能准确、全面、及时地为董事会和监事会提供履行其监督职能的信息，同时，良好的信息系统能够使得小股东以较低成本（网络方式）参加股东大会维护自己的权益，而不必因为路途遥远等原因放弃自己的权利，可以更好地维护自身的利益。信息化为内外部治理机制的完善提供了便利，而良好的治理机制将为内部控制提供良好的基础。由于信息化的高效率，企业的组织结构将趋于扁平化，内部控制的组织层次将会减少。这对信息系统下权限划分要求更为严格。因为信息化条件下企业生产经营将更为依赖信息系统。而在信息系统下，利用信息从事非法活动等与信息技术相关的风险大大增加，企业潜在损失风险也相应增加。同时，这也要求企业通过良好的人力资源政策，对员工进行激励和约束，提高员工的整体素质和道德。信息技术的应用也使得管理者能获取的信息量倍增，那么如何在纷繁复杂的信息中，抓住重点，及时做出决策，信息技术和信息系统在企业中的作用日益重要，这些都要求管理者不但要有更强的把握信息、利用信息的能力，在运营管理企业中利用好信息资源，而且要有对信息、信息技术和信息系统重要性和风险的认识和理解，制定良好的IT战略和IT规划，这便对管理者也提出了更高的要求。同时，在网络环境下，人与人之间的直接接触将有所减少。网络世界的无形性和匿名性将对人的心理造成一定的影响，使部分人误以为借助网络为非作歹不容易被抓住，从而可能降低犯罪的心理阀值。信息资产价值的提高可能诱使掌握它的管理人员将其买给竞争对手的犯罪行为，而由于信息的无形性、可拷贝性，信息的泄密不易被发现。再者网络的远程接入性也给犯罪分子提供了方便，他们只要获得一个登录密码就可能通过网络侵入系统，窃取企业重要的信息资产，或是使信息系统崩溃，而不必像盗窃有形资产那样需要翻墙入室、避开警卫等麻烦之举。这些均对管理人员的品行和道德水平提出了更高的要求。同时也需要企业加强对信息资产、信息技术和信息系统的内部控制，通过良好的管理手段和技术手段降低风险。此外，信息化也必然对企业的管理哲学和企业文化产生一定的影响。因此，如何加强对信息系统的内部控制，利用良好的管理手段和技术方式，去降低信息化所带来的风险，为内部控制提供一个优良的环境基础，将是十分重要的。（二）对目标设定的影响内部控制是一个人为制造的系统，而设定目标是任何一个人造系统的首要环节。COSO报告提出了内部控制“营运效率与效果、财务报告的可靠性和遵循相关法令”的三大目标。企业信息化虽对企业产生深远的影响，但并未改变其总体目标，只是在各项内控活动内容和具体目标范围上会有所拓展。在信息化条件下，营运的效率及效果目标则不能仅要求企业以利润最大化为目标，追求有形价值的增加，信息资源等无形财富也应该成为企业价值的一部分。因此，创造知识、积累商誉、保护环境等也将对企业产生重大影响。在财务报告的可靠性方面，信息化条件下企业提供的信息不能再局限于财务报告，为满足企业内外各信息使用者的信息需求，在信息披露类型上应该有所扩展。增加报告的类型这一要求，实质上就是面对信息化条件下各界所做出的回应。信息化条件下，企业内部控制对相关法令的遵循性提供合理保证仍是其目标之一。但较之于传统方式下，国家各项法律、法规、制度将趋于完善，企业需要遵循的法规也更为广泛（包括信息技术、信息系统方面的规定等），企业对相关法规的遵循性在信息化条件下将更为重要。（三）对风险管理诸要素的影响风险是普遍存在的，企业在日常的生产经营总会面临着来自内部或外部的风险。特别是信息化条件下，企业间竞争愈演愈烈，企业的经营风险也在不断增加，内部控制的执行显得非常必要。可见，事件识别、风险评估、风险回应这三个风险管理要素是提高企业内控效率和效果的关键。 在信息化的条件下，信息技术的应用，改变了企业的业务流程，降低了传统方式下人工错弊的风险。但是，与此同时，信息系统的应用，将使得企业信息的采集、处理和运用更加依赖信息技术和信息系统的实施效果。而信息系统条件下，信息在生成和传输的过程中又产生了新的风险，这些都增加了信息化条件下内部控制执行的难度。因此，在信息化条件下，企业应该特别关注与信息、信息系统方面的事件识别、风险评估和风险回应。因为在信息化条件下，信息系统失灵导致重要信息的遗失或泄漏，都将给企业造成不可估量的损失。这就要求企业建立起良好的信息技术治理机制，减少引起带来损失或灾难的可能性。从另外一个角度来说，企业也应该积极利用信息技术，作为事件识别、风险评估和风险回应的有效工具。利用信息化条件下的高数据处理能力，企业可以搜集和处理大量涉及企业风险方面的有关数据、信息，设立风险识别和评估模型系统，为企业风险的识别和评估提供基础。而且，企业可以利用信息系统强大的数据处理功能支持，构建起自身的数字神经系统，提高企业对数字等相关数据的敏感度，对相关数据的异常变动可能存在的问题做出一个积极、有效、及时的风险回应。（四）对控制活动的影响控制活动是企业为了保证管理指令能够得到有效执行而制定实施的控制政策与程序。由于控制活动必须根据企业的业务流程情况和具体的控制点进行设置，而企业信息化极大影响了企业的业务流程和具体控制点，因此，控制活动必然受到企业信息化的直接影响。信息化环境下的控制活动分为两部分：自动化业务控制和信息系统控制。自动化业务控制是指以计算机程序为主要方式的信息系统中，业务的经营控制都是由计算机程序自动完成的。自动化业务控制的对象仍然是企业的生产经营过程，但其形式和手段均发生了较大变化。信息系统控制是企业对信息系统作为一个整体而为保证其系统正确性、完整性和安全性而采取的控制措施，其对象是企业的信息系统，包括计算机软硬件资源、应用系统、数据和相关人员等信息系统的组成要素。随着网络技术和电子商务的发展，信息系统控制还必须考虑网络安全和电子商务控制的问题。自动化业务控制和信息系统控制对控制活动有着不同的要求，使得对传统的控制活动均产生了变化。信息化环境下的交易授权可以由计算机程序自动完成，使得授权过程不明显，控制的失效往往在发生损失后才被察觉。因此，管理者对交易授权的关注应该转移到对相关计算机程序的正确性和完整性的检查上。在信息化环境下，计算机能够避免人类通常会犯的错误或舞弊，手工环境下的一些不相容的职责可以由计算机来执行，所以职责分离和员工的相互检查成为不必要的控制活动。同样，也没有必要针对自动业务流程进行监管和独立稽核。然而，对于信息系统的开发、实施、维护和操作等活动，职责分离、监管以及独立稽核仍然是重要的控制措施。在信息化环境下，业务记录不再是书面的签章、编码、交叉索引等，而是通过登录密码、操作日志等技术手段进行业务记录，其有效性受信息系统的正确性、完整性和安全性的影响。在信息化环境下，对计算机硬件设备的接触控制与传统方式下并无太大的区别，主要通过实物防护措施来进行。但对于信息资产的接触控制，由于网络的远程接入性，应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统审计等等技术手段和管理措施加以实现。（五）对信息和沟通的影响为识别、评估和回应风险而有效地管理组织并实现其目标，组织的各个层次都需要信息。管理层建立信息系统来获取、捕捉、处理、分析和报告有关的信息，将他们转变为行动的指南。信息是沟通的基础，沟通须满足各个团体和个人的预期，使他们能有效地执行其职责。企业信息化对内部控制的信息与沟通这一要素产生了有利的影响。在一个完善的企业信息系统支持下，董事会能够与管理层进行良好的沟通，更为有效地履行其监督职责。管理层亦能够就企业管理哲学和方法及授权等内容与全体员工进行具体和有效的沟通，使员工明确其预期和责任，更好的履行其职责。同时，信息系统还能提供外部的事项、活动及环境有关的信息，为客户、供应商、债权人、股东、潜在投资者、监管部门等外部群体提供一个高效的沟通渠道。因此，一个良好的信息系统将有助于提高风险管理的（包含内控）的效率和效果。当然，这其中也需要警惕信息技术可能带来的信息过量和凭借高速信息处理能力造假的问题发生。（六）对监督的影响监督是对企业风险管理要素的存在、运行和结果进行适时评估的过程。在这个过程中，内部控制要适应变化的环境，在企业得到贯彻落实，就需要对内部控制的监督。在信息化条件下，借助于信息技术自身的特点，可使一部分的监督过程自动完成，并且可能实现实时监督，从而提高监督的效果和效率。应当注意的是，对信息系统的开发、实施和维护过程所进行的监督应当成为监督的重点。同时，“控制自我评估（CSA，ControlSelfAppraisal）”仍然是很有益的作法。CSA是企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率效果，以期能更好地达成内部控制的目标。CSA有助于提高组织内部控制的自我意识，帮助人们了解哪里存有缺陷以及可能引至的后果，然后采取行动改进这种状况，对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。在信息化环境下，监督可以通过日常的、持续的监督活动来完成（持续性监督），也可以通过个别、单独的评估来实现（特殊性监督）。持续性监督存在于不断循环的经营活动中，特殊性监督一般存在于时候活动中，为使得监督能应用于企业的各个层次中，二者的有机结合能确保内部控制的高度有效性。三、信息化环境下加强内部控制的对策（一）实施IT治理，从公司治理的高度对企业信息化作出制度安排。IT治理是一个相当新的概念，是从公司治理的高度，对企业信息化作出制度安排，制定与企业战略相融合的IT战略，并从战略投资、企业管理变革的角度，降低IT风险。IT治理的目标是帮助管理层建立以企业战略为导向，以外界环境为依据，以业务和IT相整合为中心的观念，正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求，整合信息资源，制定并执行推动企业发展的IT战略。IT治理的主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理IT相关风险。（二）加强信息系统控制，实施信息系统审计。在企业信息化环境下，对信息系统的有效控制是企业开展正常的生产经营活动的前提和保障。有效的信息系统控制是技术与制度相结合的体系，决不仅仅是一个技术问题，不能仅由技术人员负责，而应当受到企业最高管理层的高度重视。内部审计机构是信息系统控制最重要的执行者之一。内部审计机构在信息系统的开发、实施、维护和操作过程中应当进行严格的独立审查，并定期对信息系统加以检查，以保证信息系统的正确性、完整性和安全性。内部审计机构应当将发现的问题及时报告给企业管理当局，提高管理当局对信息系统控制的重视程度，帮助管理当局弥补信息系统控制中的缺陷。有条件的企业还应当实施信息系统审计。信息系统审计是独立信息系统审计师，为了信息系统的安全、可靠与有效，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向被审计单位的最高管理当局，提出问题与建议的一系列活动。信息系统审计综合运用IT技术与审计理论和方法为信息系统的使用者提供合理的保证。信息系统审计主要包括以下几个方面：（1）评价信息系统的管理、规划与组织方面的策略、政策、标准、程序和相关实务。（2）评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率，以确保其充分支持企业的商业目标。（3）对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持企业保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。（4）评价灾难恢复与业务持续计划，这些计划保证在发生灾难时，能够使企业持续处理业务。（5）对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足企业的业务目标。（6）评估业务系统与处理流程，确保根据企业的业务目标对相应风险实施管理。（三）实施业务流程重组。如果企业进行了一定程度的信息化，实施了蕴含先进管理思想的企业信息系统，但其业务流程仍然保持手工环境下的状态，必然造成信息系统与业务流程之间存在许多冲突，从而使企业生产经营管理出现低效率，而且会形成内部控制的弱点和许多问题。因此，企业信息化过程中实施业务流程重组具有十分重要的意义。业务流程重组（BPR，BusinessProcessReengineering）的概念最早由著