信息技术条件下的企业内部控制

【本文由PB创新网为您整理】[摘要]本文从内部控制框架的五个基本要素入手，阐述了信息技术条件下企业内部控制的新特点与新问题。信息技术的应用增加了企业内部控制的潜在风险，但信息流程和业务流程的有效整合也给提高企业内部控制效率、增强内部控制效果带来了前所未有的机遇。文章主张把信息作为控制的关键资源，利用信息技术来构建与完善内部控制系统，并提出信息技术条件下我国企业构建内部控制框架的几个关键步骤。

　　[关键词]信息技术  内部控制  内部控制整体框架

    一、引言

　　内部控制是组织为保护其资产安全，保证信息的完整和正确，促进经营管理政策得以有效实施，提高经营效率，控制经营风险，防止舞弊行为发生并进而实现组织目标的一项重要的管理制度与方法。信息技术的高速发展与广泛应用改变着企业的管理环境与管理理念，拓宽了企业管理的范围和内容，而这一切又必定影响并改变着企业内部控制要素的具体内容与表现特征，并给企业内部控制带来了新的问题与挑战。理论界也密切注意着信息技术环境下企业内部控制制度的变化。我们可以利用信息技术改善控制程序、增强控制手段，将信息技术有效地集成到业务和信息过程中，借助于信息技术来防范与控制经营风险[1]。也有的学者进一步探讨了信息系统环境下企业内部控制制度的构建，试图建立一种数据——系统——网络的内部控制体系，以适应信息技术应用的特点[2]。这些研究推动了我国新经济下内部控制制度的发展与创新，但是大部分研究停留在技术层面，尚未深入探讨过信息时代内部控制框架的构成要素会发生怎样的深刻变化。

　　内部控制的要素及其构成方式，决定着内部控制的内容与形式。所以，笔者认为，从构成内部控制框架的基本要素人手，分析企业在新环境下面临的新问题与新要求，并据此设计与运行企业的内部控制系统，才具有更强的理论可取性和实践可行性。本文将从内部控制框架的五个基本要素人手，分析信息技术环境对企业内部控制要素产生的影响，并提出信息技术条件下我国企业构建与发展内部控制系统的若干建议。

　　二、信息技术对企业内部控制要素的影响

　　内部控制理论与实务随着社会、经济和技术等环境的变化经历了丰富多彩的发展历程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同阶段。其中，由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEl)、国际内部审计师协会(IIA)和管理会计师协会(1MA)共同组成的COSO)委员会，于1992年发表，并于1994年修订的《内部控制——整体框架》报告，标志着内部控制理论与实践进入了内部控制整体框架的新阶段。该报告是迄今为止对内部控制最为全面的描述，是内部控制发展的又一新的里程碑。

　　COSO报告指出内部控制是由企业董事会、经理阶层和其他员工实施的，为实现提高业务活动的效果与效率、增强财务报告可靠性及有关法律法规的遵从性等目标所提供合理保证的一个过程。该定义强调了内部控制实施的主体和内部控制需要达到的目标。COSO报告还指出，内部控制是由控制环境(Control Environment)、风险评价(Risk Assessment)、控制活动(Control Activities)、信息与沟通(1nformationand Communication)、监控(Monitoring)等五个相互关联的要素构成的。内部控制目标、内部控制要素及内部控制主体三者之间存在直接的关系，共同构成一个理想的内部控制整体框架。

　　在信息技术环境下，企业内部控制系统仍是由上述五个基本要素构成，框架体系并未发生实质性的改变。但是，每项基本要素的内部构成却呈现出新的内容，表现出新的特征，也随之带来了内部控制中新的问题。下面，我们分别从这五个方面讨论信息技术条件下企业内部控制要素所发生的有关变化。

　　1．控制环境。  
  
　　控制环境是对企业内控系统的建立和实施有重大影响的各种因素的总称。根据SAS N0．78的规定，影响控制环境的因素有管理哲学、组织结构、董事会或审计委员会、人力资源政策与实务、权责分派方式、品行与价值观、胜任能力等。控制环境提供企业架构，塑造企业文化，并影响着组织成员的控制意识，是其他控制要素的基础。在信息技术条件下，企业内部控制环境将发生以下主要变化，要求管理层树立信息意识，更新控制观念。

　　(1)管理结构扁平化，使得内部控制的组织结构发生改变。随着企业的扩张，其管理层次和机构也在发展，其结果是组织结构越来越臃肿，管理流程越来越复杂，造成大量的冗员和官僚的作风。而当今的高速变化的市场，却需要企业在第一时间对市场做出反应，满足顾客的要求。信息技术的广泛应用，使得企业组织结构趋向扁平化成为可能，使得决策者和执行者能够快速沟通，真正做到向管理要效益。新经济下，企业内部控制层次明显地减少，但责任更加明确，效率更加提高[3]。

　　(2)内部控制的方式与管理观念将发生改变。信息技术的应用产生了巨大的竞争力，增强了企业的灵活性，使得“在大公司里有着小公司的灵魂与速度”。在企业这种新型的扁平式组织结构之中，对等的信息使得无论信息处于何处，企业内外部人员都能够容易地获得，领导不再是组织等级的上层，而成为行动的中心。信息经济要求并导引着企业组织从机械式向有机式并最终向虚拟组织发展演变，要求企业的领导阶层学会在一个流动和动态的环境中发现内聚力和构造组织，既要有利于创造、革新、加快速度，又能在不断磨合中加强内部控制和向心力。

　　2．风险评价

　　每个企业都面临着来自内部和外部的不同的风险，风险评估就是分析和辨认实现企业所定目标时可能发生的风险适时加以处理。信息技术手段的不断应用，在给企业带来风险的同时也带来了控制风险的机会和工具。

　　(1)风险控制体系的变革，使内部控制的范围加大。在信息技术环境下，虽然企业的整体目标没有改变，但是经济、产业及管理的外部环境与内部因素都发生了变化，自然，伴随业务流程的改变，系统的开放性、信息的分散性、数据的共享性，极大的改变了以往封闭集中状态下的运行环境，从而改变了传统的风险控制内容和方法。例如强大的、复杂的计算机系统增加了企业潜在的风险，因为人们的主观判断被忽略，数据处理过于集中，存储的数据可以被不留痕迹地改写和删除，数据的存放形式增加了数据再现的难度，数据处理过程无法观测等等。这些新的风险点构成了内部控制的新内容。新的技术带来了新的风险，我们应辨认已发生的改变，并采取必要的行动，扩大控制的范围。

　　(2)有效利用信息技术，作为控制风险的工具。我们应该明确这样一种认识：风险的存在不是我们把信息技术拒之门外的理由，我们应树立信息意识，更新控制观念，改变思维定式，有效利用信息技术为企业服务。如果我们把信息技术作为防范风险的工具，与业务活动有效结合起来，一个控制良好的电子数据处理系统具有更大的潜力来减少错误和舞弊的发生，保证企业业务处理活动严格按商业规则进行。所以，我们应该，也有可能把信息技术作为强化内部控制的一个有效工具。

　　3．控制活动

　　控制活动是企业为了保证指令得到实施而制定并执行的控制政策和程序，是针对实现组织目标所涉及的风险而采取的必要防范或减少损失的措施。SAS NO．78列举的控制活动有绩效评估、信息处理、实物控制和职责分工等。信息技术的广泛应用，对控制手段也有一定的影响。

　　(1)信息技术的引入增强了控制手段的多样性、灵活性、高效性，加强了内部控制的预防、检查与纠正的功能。控制的重点由对人的控制为主转变为对人、机共同控制为主，控制程序也应当与计算机处理相适应。

　　(2)信息技术的恰当应用，可以

[1] [2] [3]  下一页