信息技术对企业内部控制影响分析与对策

【本文由PB创新网为您整理】一、引言

　　按COSO的定义①，企业内部控制是一种由企业董事会、管理层和其他员工执行，为达到财务报告的可靠性、经营的效果和效率、符合适应的法律和法规的目标而提供合理保证的过程，并由控制环境、风险评估、控制活动、信息和沟通、监控五个要素组成。

　　传统上，企业大量的经营活动和信息处理活动的记录主要由人工完成，经营过程的物流、资金流所形成的数据流被记载在纸介质上。会计与审计人员在这种应用背景下所形成的风险认识与控制观点，一直左右着企业内部控制系统设计。阿妮塔。s.霍兰德将其描述为：（1）大量使用硬拷贝文档记录、处理和维护交易的信息；（2）重视职责和责任分离；（3）会计数据重复记录和重复数据的大量调整；（4）会计师的反映性要多于主动性，检查性要多于预防性；（5）严重依赖年末对财务报表的检查；（6）避开信息技术；（7）控制的结构基于符合性。

　　随着经济全球化及市场竞争力度的加剧，许多企业加快了信息化的步伐，以提升企业竞争力。信息技术在企业的广泛应用，不仅改变了传统手工数据处理方式，而且触发了企业管理模式、生产方式、交易方式、作业流程的变革，人们的行为模式也随着企业业务流程化、组织扁平化、作业信息化而发生变化。虽然信息技术没有改变企业内部控制目标，但企业内部所发生的变革对传统的内部控制观点、控制方法产生很大的冲击。因此，如何构建基于信息技术环境下的企业内部控制系统已成为目前亟待解决的问题。为此，文本试图从信息技术对企业内部控制要素的影响着手，分析信息技术环境下企业内部控制呈现的新特点，探讨内部控制系统设计策略，以期达到充分利用信息技术来提高内部控制质量的目的。

　　二、信息技术对企业内部控制要素的影响分析

　　1.改善企业控制环境

　　控制环境构成一个单位的控制氛围，是所有控制方式和方法赖以存在的运行环境。它包括员工的诚实度和胜任能力、董事会或审计委员会、管理理念和经营方式、组织结构、授予权利和责任的方式、人力资源政策和实施。信息技术使企业内部控制环境发生以下的变化。

　　首先，企业组织结构趋于扁平化。由于计算机信息处理技术替代大量业务层和中间层的人工数据处理工作，数据以磁介质的方式存储在数据库中，并能通过网络迅速传输到企业各个角落。信息技术减少信息在传统组织的信道传输中延迟、失真以及噪音干扰，降低信息获取成本，扩大信息发布范围，增进组织各层次人员的信息传递与交流。原先多人分工协作的工作被信息技术重组后只需一个人就可以完成，大量的人工控制被信息系统的自动控制所取代。这种变化导致企业组织结构趋于扁平化，内部控制层次明显减少，岗位更加精简，责任更加明确，效率更加提高。

　　其次，提高员工地位和素质要求。随着组织扁平化和业务流程化与信息化，企业决策层次向下移动，基层员工获得更多的决策机会，同时对员工素质也提出了更高的要求。在新的信息技术平台下，员工需要熟悉计算机信息系统，持有实时、积极的控制观点，认识业务发生时信息技术所能提供预防、检查及纠正错误和识别舞弊的机会，充分应用信息技术与自己的专业知识控制企业的经营活动。企业人力资源管理将结合信息技术特点制定员工雇用、培训、提升和奖励政策。内部控制设计更强调以人为本、人机结合的原则，通过增强员工识别风险能力、发现问题与解决问题能力、与其他业务人员协同配合能力，利用信息技术的控制能力来提高企业内部控制质量。

　　再次，改善信息不对称状况，提高对“内部人” 的监控水平。现代企业由于所有权与经营权分离，真实的会计信息披露对公司治理起着重要的作用。信息技术集成了业务信息处理流程与会计信息处理过程，由于数据同源并在计算机内部连续处理，有效地提高了会计信息的实时性和准确性。而投资者经过合适权限的授权，通过计算机网络就能随时访问企业数据库的相关数据， 在一定程度上改善了信息不对称性状况，增强信息的透明度以及对企业经营者的监控能力，促使企业内部人提高诚信度与道德观，规范企业经营行为。

　　2.扩大风险评估范围

　　信息技术应用改变企业传统营运模式，也带来业务流程和信息系统的新风险。例如企业在信息技术平台上运行ERP系统、电子商务、供应链管理系统、客户关系管理系统，通过企业之间、企业内部的信息传递实现协同合作、优化资源配置。企业物流和资金流的流量、流速均由计算机精密排程，与联盟企业、市场情况环环相扣，以求最低成本、最快速度、最好质量组织企业经营活动。因此，供应链的任何环节出现突发事件都会波及企业的正常运行，给企业带来损失。此外，由于企业所有数据存放在数据库服务器内，网络开放性、数据共享性必将增加信息系统的风险，如数据可能被非授权人员拷贝、删除、修改，破坏；计算机病毒感染、黑客入侵、使用人员违规操作也会造成计算机系统故障或信息系统崩溃。企业风险识别、评估与防范，不仅要考虑内外部环境，而且要考虑业务流程与信息流程的耦合度、协作企业的关联度、信息系统的依赖度等因素，规避供应链作业流程和信息系统的新风险给企业带来的危害。

　　3.业务流程控制与信息系统控制成为控制活动的一项重要内容

　　在信息技术平台上，企业运行的ERP系统实行流程化管理。企业战略远景的实现、信息系统的导入、企业文化价值观的具体呈现，最终落实到企业的业务作业流程。

　　信息技术应用使传统人工控制形式演变为人机系统控制，控制重心将集中在作业流程的人机控制与信息系统控制。一些传统的内部控制规则和程序在新的技术环境下失去存在的意义，新的控制规则和程序建立在充分利用信息技术、用最少的资源达到更佳控制目标的基础上。

　　围绕业务流程，企业会计、审计人员与业务人员将密切协作，共同分析信息技术环境下的企业订单、采购、库存、计划、生产制造、质量控制、运输、分销、财务会计、人事管理等环节的作业过程、管理过程和信息过程的新特点，制定对应控制规则，设计企业预算控制、成本费用控制、资金控制、投资控制、信息记录控制、计算机信息系统控制、业绩评价等控制制度和控制程序，并将这些控制程序和控制参数输入到计算机信息系统内部，形成完整、严密的面向流程的人机内部控制系统。这样，企业员工可以根据信息系统反映的信息流及时监控业务过程的物流、资金流、作业流，通过反馈信息与控制参数的比较，制定决策、预防风险、修正作业错误，防范业务舞弊。另外，在计算机信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系，以避免信息系统故障，保留IT审计线索，杜绝利用信息技术进行贪污、舞弊的行为。

　　4.组织成员之间信息交流和沟通更加便利

　　信息与沟通是指企业在其经营过程中识别企业内、外部信息，并在组织内沟通，以便员工了解、执行其职责。

　　信息技术应用改变企业信息孤岛的状况，大量的企业环境信息、政策信息、经营信息、财务会计信息、作业信息集中存储在企业数据库系统内，并不断被实时更新。基于互联网、企业网、数据库技术的客户/服务器（C/S）和浏览器/WEB服务器（B/S）混合结构的网络平台为企业成员提供了很好的沟通条件。在这个平台上，员工可以十分便捷地从计算机数据库中查阅有关的政策和法规，获取与其职责相关的控制信息，明确各自的权利与责任，了解自己的活动如何与他人的工作相关以及例外情况如何报告或处理的途径。另外，企业在网络平台上构建与利益相关者联系的机制，使组织的相关成员可以实时获取经营信息与财务会计信息，及时进行沟通，达到最佳协同合

[1] [2]  下一页