【浅论如何实现企业内部控制信息化8200字（论文）】

浅析如何实现企业内部控制信息化目录引言 引言《企业内部控制控制基本规范》及其配套指引的出台，使得我国终于有了自己的内部控制标准体系，接下来就是企业结合自身实际进行实施。而实施作为一项管理活动，离不开其所处的环境。当今世界，一场由信息技术革命而带来的全球化变革，深刻影响着社会生活的各个方面，企业身处这样的环境中，都在大力进行信息化建设，同样，借助于信息技术的发展，内部控制也在不断地演变发展。本文试图从信息技术对内部控制的影响及内部控制信息化的构建的视角对内部控制实施进行探讨。一、内部控制信息化的内涵及其功能（一）内部控制信息化的内涵信息是企业最重要的资源之一，没有信息就没有控制，内部控制是基于信息的控制。在信息化环境下，内部控制可以利用信息技术来提高控制效率，同时，内部控制的本身的运作方式也将信息化，从而全面实现内部控制目标。所谓内部控制信息化是指在企业信息化环境下，借助于现代信息技术，通过对内部控制的重构，实现对信息的实时采集、传输及广泛利用，从而全面实现过程控制，降低企业风险，实现企业控制目标的过程。内部控制信息化，具有不同于传统内部控制的一些新的功能。（二）内部控制信息化的功能1.实现了业务流程的自动化控制当业务流程运行到某一环节时，由于事先已嵌入了控制标准，凡是业务流程中出现与标准不相符的情形时，嵌入的控制措施就会发生作用，暂停该业务流程，同时，将相关信息发送给有关人员，真正实现业务流程的自动化控制。比如，在进行相关业务数据输入时，信息系统可以通过事先设定的程序判断操作人员是否有权限，同时，可以检查输入数据是否正确、完整。当数据输入不符合事先的设定范围时，系统就会提示出错，以拒绝数据输入，这就是控制活动发生了作用。还有在库存管理中，企业可以设定一定的库存量，这个库存量可以满足企业生产的需要，同时，占用的资金最少，当企业的库存量低于货某个值时，信息系统就会自动发出采购需求，以避免缺货而造成的停工损失等风险。2.实现了事前控制、事中控制与事后控制的有机统一内部控制信息化可以真正发挥预算的作用，全面预算是内部控制的常用手段，借助于信息技术，各种预算作为标准集成到系统中，那么，诸如费用报销、采购等业务活动，凡是需要预算控制的活动都不可能突破预算标准，同时，管理人员可更多地借助于信息技术开展业绩分析、评价等活动，将事前预算控制、事中检查控制与事后分析控制有机地统一了起来，提高了控制效率。3.确保了信息资料的真实、及时信息的真实、及时，事关企业的决策及各利益相关者利益，然而，信息在传递过程中，经常会发生失真现象。有一个很经典的例子，当十个人站在一排两两传话时，第一个人说出的一句话，传到第十个人时，听到的可能已完全不是第一个人说的话，可见，信息在传递过程中已完全失真。然而，在信息化条件下，信息失真现象基本可以避免。，只要利用信息技术，通过软硬件对信息的输入进行控制，也就是说只要控制住了输入关口，那么信息失真现象基本就可避免，因为信息的处理、输出都是自动进行的，而且信息在系统中的传递是以光速进行的，信息源有任何的变化，信息接收方几乎都能在第一时间获取。内部控制信息化确保了信息资料的真实性及传输的及时性。二、企业内部控制信息化的主要特征企业在建立信息系统时，可以将业务控制规则和会计控制规则置入计算机程序，代替人工在业务执行过程中自动对业务进行控制，这种刚性控制有利于防范经营风险。这种认识上的进步推进了企业内部控制信息化的发展，主要体现在两个方面：一是如何运用信息系统实施企业内部控制；二是如何对企业信息系统进行控制。（一）运用信息系统实施企业内部控制的主要特征关于如何运用信息系统实施企业内部控制，《企业内部控制基本规范》第七条和第四十一条给出了基本标准：企业要运用信息技术手段实施内部控制，首先要建立与企业经营管理相适应的信息系统，《企业内部控制应用指引第18号——信息系统》明确定义：“本指引所称信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。”由此可以归纳出运用信息系统实施企业内部控制的主要特征如下：一是以信息技术为手段、企业信息系统为内部控制执行平台的人工与计算机程序相结合的控制方式。这种控制手段和平台可以实现内部控制制度执行的刚性化、标准化、自动化、常态化，减少或消除人为因素的影响，提高信息沟通的效率和效果，避免企业财务报告或业务报告编制的差错和人为调整；降低内部控制成本，提高内部控制绩效。二是内部控制流程信息化。企业要根据《企业内部控制基本规范》的要求，对各个业务流程的关键风险点进行评估，将规范的内部控制制度、流程、关键控制点、控制措施等固化在信息系统中，促进内部控制规范制度的设计与运行更加有效，促进企业内部管理更加规范和健全，提高企业风险防范能力。三是企业内部管理要科学、规范、健全。因为内部控制的基础就是规范的制度流程，只有内部管理规范健全的企业才能将内部控制制度、流程和措施固化在企业信息系统中，让员工按规范的制度、流程开展业务，并对经营过程中可能遇到的风险进行有效管控。四是企业信息系统的管理软件必须具备并正确设置了满足企业内部控制需求的控制功能。由于每个企业的内部控制需求不同，无论是自行开发还是购买商品化管理软件，都需要弄清企业的内部控制需求，正确开发或启用（设置）软件的相关内部控制功能。（二）对企业信息系统进行控制的特征关于如何对企业信息系统进行控制，《企业内部控制基本规范》第四十一条以及《企业内部控制应用指引第18号——信息系统》专门针对信息系统的风险控制给出了具体标准。由于基于信息技术的企业内部控制执行系统对企业信息系统的依赖性，使企业面临与手工环境不同的新的内部控制风险，针对这些风险可以归纳出对企业信息系统进行控制的主要特征如下：一是企业信息系统的开发控制是保障信息系统能有效实施控制的前提条件。企业信息系统的规划和开发是系统运行的前期任务，如果信息系统缺乏或规划不合理，将造成“信息孤岛”或重复建设。而系统开发不符合内部控制要求或软件有错误，将导致无法利用信息系统实施有效的控制。二是控制的内容更加广泛并且要求更为严格。企业信息系统是由人、设备、数据库、规程等要素组成的。由于信息系统在运行维护过程中，受到技术因素、自然因素以及组织、管理、人员等各种环境因素的影响和威胁，可能导致各种新风险,因此需要严格的操作管理制度、组织控制措施以及现代科技手段进行控制，如果控制不严，将会造成比手工控制系统更大的危害。三是信息系统安全控制成为新的控制重点。信息系统作为企业经营管理的运作平台，承担着业务处理、控制、报告及信息存储、共享、沟通和交流等多项“重任”，信息系统及其数据库的安全可靠直接影响企业的安危和发展。系统安全控制包括访问控制、数据资源控制、系统软硬件控制、网络安全控制等方面，同时，由于信息处理和存储高度集中于电子数据处理部门，因此，该部分也是控制的重点。四是控制手段和实施方法依赖于现代科技与信息技术。对信息系统进行控制贯穿于系统规划、开发、运行维护整个生命周期，每个阶段都有对其进行控制的现代科技的方法和手段。如在系统规划和开发阶段，可以应用计算机软件工程的方法、工具和技术保障应用软件的开发质量进行控制；在运行维护阶段，可以运用对计算机加开机锁、上机人员分配不同的密码和权限、异地备份、软件隔离和病毒防杀等方法进行控制。三、信息化环境下对企业内部控制的影响内部控制的实践活动源远流长，自有人类活动以来，就存在着一定的控制，而内部控制进入人们视野，引起关注的却是在企业产生之后，其后伴随着企业的发展而发展。在古典企业阶段，企业组织形式相对简单，内部控制表现为手工环境下的内部分工、会计控制等。而到了现代企业阶段，企业的规划扩大，组织形式也逾来逾复杂，特别是进入二十一世纪，随着信息技术的发展，企业的管理环境发生了根本的改变。企业利用现代信息技术，通过信息资源的全面集成、开发和利用，实现生产过程的自动化、管理方式的网络化、经营决策的智能化及商务运营的电子化。企业信息化的发展不可避免也影响着内部控制的实践，推动内部控制的理论研究，从而推动着内部控制的变革。（一）对内部控制环境的影响从内部控制五要素来看，内部环境将影响企业员工的控制意识和内部各成员实施控制的自觉性，内部环境要素还会影响其他内控要素的设计与运行，因此内部环境是企业实施内部控制的基础，内部环境包括企业治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等，企业信息化将全面影响企业内部环境。首先，从企业的组织结构上来看，企业的组织结构将会随着企业信息化发生改变。传统企业的企业组织结构适应的是非信息化环境，更多地采用的是科层制的形式，管理决策自上而下，因而层级多，官僚化倾向严重，管理效率低下。而在信息化的环境下，信息成为了基础资源，企业组织架构构建可以基于信息技术的网络平台，借助于网络平台，信息快速传递，决策者能够直接面向顾客、面向市场，管理的效率会极大地提高。由于组织结构趋向扁平化与网络化，管理层级也相应减少，减少了冗员。但同时，原先基于岗位的分工、以及由此而带来的职责和权限的划分会变得模糊，因此，在信息化条件下，需要对企业的机构设置及权责分配重新加以调整，以适应内部控制的要求。其次，在信息化条件下，人的思维模式、行为方式也会发生变化。由于人与人之间直接面对面的沟通交流将减少，同时，网络的无形性、匿名性，可能会降低人们的道德水平，加之，信息的资产价值提高，及信息的可拷贝性、删除的无痕迹性等特点，会诱使人们做出犯罪行为，如窃取商业机密，卖给竞争对手等，所有这些，都会给内部控制带来新的影响，因此，必须研究信息化条件下的内部审计，强化内部审计职能，同时，要重视企业文化建设，特别是内部控制文化建设，在人力资源政策上要更加重视人员素质要求，以适应信息化条件下的内部环境。（二）对内部控制活动的影响企业在生产经营过程中，不断交织着实物流、资金流和信息流，有形的是实物流，如原材料采购进来后，按照生产工艺流程，经过各个生产环节，从半成品到产成品，伴随着有形的实物流的，则是无形的资金流，通过资金流动，完成从起点到终点的循环往复，实现价值增值。而在实物流与资金流背后，还有信息流，通过信息流，我们知道了实物流转的位置，价值是否增值，借助于信息流实现控制职能。但在企业的手工控制环境中，其“三流”是并不统一的，信息流滞后于物流和资金流，导致控制效率低下，控制成本较高。在内部控制五要素中，控制活动是主体，而控制活动是要借助于一系列控制措施如授权审批、会计控制、预算控制等来实现的，在信息化条件下，内部控制手段和形式都发生了很大的变化。首先，借助于信息技术，将各种控制措施以计算机程序的形式固化下来，从而排除各种人为干扰，实现过程控制、实时控制与标准化控制。其次，借助于信息技术，能够使原来手工环境下的顺序控制发展为并行控制。通过信息技术平台，供应链环节上各个节点的业务和财务信息，并行在系统里进行处理，并将结果输送到各个需要的部门，真正实现了供应链管理。由于控制效率的提高，控制范围也得到了拓展，供应商、客户、企业实现了互通，基于供应链的价值链管理也就成为了可能。但由于信息技术的运用，也使得信息系统本身的安全性凸显了出来，对系统本身的控制成为必须要考虑的一项重要因素，包括软、硬件资料、相关数据的安全和相关人员控制等，以及由此延伸的网络安全、电子商务控制等。企业信息化也会影响内部控制其他几个要素，如会改变人们对风险的态度，风险的实时预警成为可能，信息化使获取信息更为便捷，沟通更为顺畅，信息化也使实时监督成为了可能。企业信息化影响内部控制的各个方面，人们对内部控制的认识也从基于职责到基于业务流程以至于基于风险管理的全面内控延伸。四、企业内部控制信息化环节存在的问题（一）对信息系统作用的认知力不足企业不能够正确认识信息系统的作用，其主要体现在两个方面:管理层方面。受信息化的自动化效应的影响，企业管理层只关注信息化建设，忽略了实现信息系统与管理思想相融合的重要性与迫切性；操作层方面，企业相关部门不能够及时将业务信息录入系统，以致大量的信息失真，从而给企业核算、决策等工作带来极大的困扰。因此，上述两方面均在不同程度上影响着内部控制信息化效果，使得企业资源流失、浪费等现象日益突出。（二）标准化问题处理存在缺陷标准化是企业进行内部控制信息化管理的前提条件，其通常涉及到业务流程、岗位职责、职责分离、组织架构、管理权限等部分，然而，企业在对上述方面进行标准化处理时缺乏科学合理性、有效性，致使企业难以顺利实现内部控制信息化，从而制约到企业稳定发展。（三）内部控制信息系统没有融入风险管理现在阶段，企业内部控制和风险管理逐渐走向融合，风险管理是企业内部控制的有机组成部分。似足，大部分企业在建设内部控制信息系统的时候，没有考虑风险符理。甚者，有的企业把企业内部控制和风险符理分成两个系统来建设，既增加了成本，又达不到应有的效果。（四）内部控制信息系统没有和企业其它信息系统结合有些企业的内部控制信息系统没有和等其它运营信息系统建立有效的连接，形成信息孤岛。内部控制信息系统需要的数据是通过人工输入，这样的数据不能及时反映企业业务流程的运行情况，还容易出现错误；内部控制信息系统对数据分析做出的反应也不能自动的传递给等运营信息系统。这种情况下，内部控制信息系统不能及时对业务流程中的风险进行及时有效的控制。（五）内控专业人才缺乏成为制约企业内控建设的瓶颈现阶段，企业内部控制的实施主要依赖外部力量，如管理咨询机构、行业专家以及IT厂商。他们虽然对内部控制认识全面，经验丰富，但是他们对企业的了解度不高，内部控制实施过程中可能会与其它企业同质化，不能最大程度满足企业的需求。另外，企业内部控制实施完成，内部控制的日常工作还需要企业来完成。企业缺乏自己的内部控制专业人才已经成为企业内部控制迚设的瓶颈，所以企业需要引进或者培养的内部控制专业人才，积极参与内部控制的实施，根据实际情况提出自己的需求，并对外部力量进行监督，避免内部控制实施形式化。另外，企业在实施内部控制的过程中，要重视培养内部控制人才。五、加强企业内部控制信息化管理的策略（一）营造和谐稳定的信息化环境良好的信息化环境既有助于企业实现内部控制信息化，又有利于加强企业内部控制信息化管理。其中营造和谐稳定的信息化环境应从下述三方面做起：第一，推进管理思想与信息化相机融合，促使管理要求与信息系统管理思想一致性，依托于先进的信息技术，尽可能规避人为因素造成的负面影响；第二，结合企业发展需求与特点，借鉴国外的优秀经验推进内部控制信息化管理变革；第三，企业管理者应严格按照相关要求对信息系统予以操作，严禁无规则操作。（二）建立风险机制，做好标准化工作企业借助风险机制能够对各类风险予以识别、分析、评估及认定等。其中企业主要围绕下述四大方面实施标准化工作：第一，组织架构标准化。企业以科学性、合理性原则为指导，借助风险机制从采购、生产、销售等多个环节构建组织架构;第二，业务流程与岗位职责标准化。企业鼓励广大一线管理人员均能够参与到业务流程调整优化行列中。运用风险机制挖掘业务流程中可能出现的风险，同时，明确各岗位职工职责权限，对岗位职工实行问责制。为实现企业业务流程及岗位职责标准化还要求企业构建系统标准化模版，其中该模版涉及到管理权限、标准业务流程、职责权限配置等多个方面。实践表明，通过实现业务流程及岗位职责标准化不仅有助于提高企业内部控制管理，而且还有利于实现企业内部控制信息化；第三，表单标准化。企业应明确各员工岗位职责权限，进一步规范业务流程，加强业务审核、业务申请等多个部门之间的沟通与交流，从而真正意义上实现审批表单标准化；第四，ERP系统主数据标准化。ERP系统中包含物料、供应商及客户等主数据，由上可知，通过实现系统主数据定义与编码标准化以推进企业内部控制信息化、现代化。（三）建立利用风险管理机制企业信息化管理系统对信息数据进行有效的收集、控制以及管理，通过实现资源的合理配置，大大提升企业生产效率和决策水平，从而，促进企业的可持续发展。通常情况下，企业信息化水平与内部控制呈现正相关，即企业信息化越高，内部控制质量越高；反之亦然。构建内部控制风险管理机制并非只是控制企业内部风险，而是涵盖了企业生产经营过程中可能出现的所有风险，包括内部风险与外部风险。而风险管理有所不同，巴塞尔委员会指出，风险管理注重实现对特定业务的战略评审，以对同一行业不同企业间的风险、收益