淺析如何實現企業內部控制信息化目錄引言 引言《企業內部控制控制基本規范》及其配套指引的出臺，使得我國終于有了自己的內部控制標準體系，接下來就是企業結合自身實際進行實施。而實施作為一項管理活動，離不開其所處的環境。當今世界，一場由信息技術革命而帶來的全球化變革，深刻影響著社會生活的各個方面，企業身處這樣的環境中，都在大力進行信息化建設，同樣，借助于信息技術的發展，內部控制也在不斷地演變發展。本文試圖從信息技術對內部控制的影響及內部控制信息化的構建的視角對內部控制實施進行探討。一、內部控制信息化的內涵及其功能（一）內部控制信息化的內涵信息是企業最重要的資源之一，沒有信息就沒有控制，內部控制是基于信息的控制。在信息化環境下，內部控制可以利用信息技術來提高控制效率，同時，內部控制的本身的運作方式也將信息化，從而全面實現內部控制目標。所謂內部控制信息化是指在企業信息化環境下，借助于現代信息技術，通過對內部控制的重構，實現對信息的實時采集、傳輸及廣泛利用，從而全面實現過程控制，降低企業風險，實現企業控制目標的過程。內部控制信息化，具有不同于傳統內部控制的一些新的功能。（二）內部控制信息化的功能1.實現了業務流程的自動化控制當業務流程運行到某一環節時，由于事先已嵌入了控制標準，凡是業務流程中出現與標準不相符的情形時，嵌入的控制措施就會發生作用，暫停該業務流程，同時，將相關信息發送給有關人員，真正實現業務流程的自動化控制。比如，在進行相關業務數據輸入時，信息系統可以通過事先設定的程序判斷操作人員是否有權限，同時，可以檢查輸入數據是否正確、完整。當數據輸入不符合事先的設定范圍時，系統就會提示出錯，以拒絕數據輸入，這就是控制活動發生了作用。還有在庫存管理中，企業可以設定一定的庫存量，這個庫存量可以滿足企業生產的需要，同時，占用的資金最少，當企業的庫存量低于貨某個值時，信息系統就會自動發出采購需求，以避免缺貨而造成的停工損失等風險。2.實現了事前控制、事中控制與事后控制的有機統一內部控制信息化可以真正發揮預算的作用，全面預算是內部控制的常用手段，借助于信息技術，各種預算作為標準集成到系統中，那么，諸如費用報銷、采購等業務活動，凡是需要預算控制的活動都不可能突破預算標準，同時，管理人員可更多地借助于信息技術開展業績分析、評價等活動，將事前預算控制、事中檢查控制與事后分析控制有機地統一了起來，提高了控制效率。3.確保了信息資料的真實、及時信息的真實、及時，事關企業的決策及各利益相關者利益，然而，信息在傳遞過程中，經常會發生失真現象。有一個很經典的例子，當十個人站在一排兩兩傳話時，第一個人說出的一句話，傳到第十個人時，聽到的可能已完全不是第一個人說的話，可見，信息在傳遞過程中已完全失真。然而，在信息化條件下，信息失真現象基本可以避免。，只要利用信息技術，通過軟硬件對信息的輸入進行控制，也就是說只要控制住了輸入關口，那么信息失真現象基本就可避免，因為信息的處理、輸出都是自動進行的，而且信息在系統中的傳遞是以光速進行的，信息源有任何的變化，信息接收方幾乎都能在第一時間獲取。內部控制信息化確保了信息資料的真實性及傳輸的及時性。二、企業內部控制信息化的主要特征企業在建立信息系統時，可以將業務控制規則和會計控制規則置入計算機程序，代替人工在業務執行過程中自動對業務進行控制，這種剛性控制有利于防范經營風險。這種認識上的進步推進了企業內部控制信息化的發展，主要體現在兩個方面：一是如何運用信息系統實施企業內部控制；二是如何對企業信息系統進行控制。（一）運用信息系統實施企業內部控制的主要特征關于如何運用信息系統實施企業內部控制，《企業內部控制基本規范》第七條和第四十一條給出了基本標準：企業要運用信息技術手段實施內部控制，首先要建立與企業經營管理相適應的信息系統，《企業內部控制應用指引第18號——信息系統》明確定義：“本指引所稱信息系統，是指企業利用計算機和通信技術，對內部控制進行集成、轉化和提升所形成的信息化管理平臺。”由此可以歸納出運用信息系統實施企業內部控制的主要特征如下：一是以信息技術為手段、企業信息系統為內部控制執行平臺的人工與計算機程序相結合的控制方式。這種控制手段和平臺可以實現內部控制制度執行的剛性化、標準化、自動化、常態化，減少或消除人為因素的影響，提高信息溝通的效率和效果，避免企業財務報告或業務報告編制的差錯和人為調整；降低內部控制成本，提高內部控制績效。二是內部控制流程信息化。企業要根據《企業內部控制基本規范》的要求，對各個業務流程的關鍵風險點進行評估，將規范的內部控制制度、流程、關鍵控制點、控制措施等固化在信息系統中，促進內部控制規范制度的設計與運行更加有效，促進企業內部管理更加規范和健全，提高企業風險防范能力。三是企業內部管理要科學、規范、健全。因為內部控制的基礎就是規范的制度流程，只有內部管理規范健全的企業才能將內部控制制度、流程和措施固化在企業信息系統中，讓員工按規范的制度、流程開展業務，并對經營過程中可能遇到的風險進行有效管控。四是企業信息系統的管理軟件必須具備并正確設置了滿足企業內部控制需求的控制功能。由于每個企業的內部控制需求不同，無論是自行開發還是購買商品化管理軟件，都需要弄清企業的內部控制需求，正確開發或啟用（設置）軟件的相關內部控制功能。（二）對企業信息系統進行控制的特征關于如何對企業信息系統進行控制，《企業內部控制基本規范》第四十一條以及《企業內部控制應用指引第18號——信息系統》專門針對信息系統的風險控制給出了具體標準。由于基于信息技術的企業內部控制執行系統對企業信息系統的依賴性，使企業面臨與手工環境不同的新的內部控制風險，針對這些風險可以歸納出對企業信息系統進行控制的主要特征如下：一是企業信息系統的開發控制是保障信息系統能有效實施控制的前提條件。企業信息系統的規劃和開發是系統運行的前期任務，如果信息系統缺乏或規劃不合理，將造成“信息孤島”或重復建設。而系統開發不符合內部控制要求或軟件有錯誤，將導致無法利用信息系統實施有效的控制。二是控制的內容更加廣泛并且要求更為嚴格。企業信息系統是由人、設備、數據庫、規程等要素組成的。由于信息系統在運行維護過程中，受到技術因素、自然因素以及組織、管理、人員等各種環境因素的影響和威脅，可能導致各種新風險,因此需要嚴格的操作管理制度、組織控制措施以及現代科技手段進行控制，如果控制不嚴，將會造成比手工控制系統更大的危害。三是信息系統安全控制成為新的控制重點。信息系統作為企業經營管理的運作平臺，承擔著業務處理、控制、報告及信息存儲、共享、溝通和交流等多項“重任”，信息系統及其數據庫的安全可靠直接影響企業的安危和發展。系統安全控制包括訪問控制、數據資源控制、系統軟硬件控制、網絡安全控制等方面，同時，由于信息處理和存儲高度集中于電子數據處理部門，因此，該部分也是控制的重點。四是控制手段和實施方法依賴于現代科技與信息技術。對信息系統進行控制貫穿于系統規劃、開發、運行維護整個生命周期，每個階段都有對其進行控制的現代科技的方法和手段。如在系統規劃和開發階段，可以應用計算機軟件工程的方法、工具和技術保障應用軟件的開發質量進行控制；在運行維護階段，可以運用對計算機加開機鎖、上機人員分配不同的密碼和權限、異地備份、軟件隔離和病毒防殺等方法進行控制。三、信息化環境下對企業內部控制的影響內部控制的實踐活動源遠流長，自有人類活動以來，就存在著一定的控制，而內部控制進入人們視野，引起關注的卻是在企業產生之后，其后伴隨著企業的發展而發展。在古典企業階段，企業組織形式相對簡單，內部控制表現為手工環境下的內部分工、會計控制等。而到了現代企業階段，企業的規劃擴大，組織形式也逾來逾復雜，特別是進入二十一世紀，隨著信息技術的發展，企業的管理環境發生了根本的改變。企業利用現代信息技術，通過信息資源的全面集成、開發和利用，實現生產過程的自動化、管理方式的網絡化、經營決策的智能化及商務運營的電子化。企業信息化的發展不可避免也影響著內部控制的實踐，推動內部控制的理論研究，從而推動著內部控制的變革。（一）對內部控制環境的影響從內部控制五要素來看，內部環境將影響企業員工的控制意識和內部各成員實施控制的自覺性，內部環境要素還會影響其他內控要素的設計與運行，因此內部環境是企業實施內部控制的基礎，內部環境包括企業治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等，企業信息化將全面影響企業內部環境。首先，從企業的組織結構上來看，企業的組織結構將會隨著企業信息化發生改變。傳統企業的企業組織結構適應的是非信息化環境，更多地采用的是科層制的形式，管理決策自上而下，因而層級多，官僚化傾向嚴重，管理效率低下。而在信息化的環境下，信息成為了基礎資源，企業組織架構構建可以基于信息技術的網絡平臺，借助于網絡平臺，信息快速傳遞，決策者能夠直接面向顧客、面向市場，管理的效率會極大地提高。由于組織結構趨向扁平化與網絡化，管理層級也相應減少，減少了冗員。但同時，原先基于崗位的分工、以及由此而帶來的職責和權限的劃分會變得模糊，因此，在信息化條件下，需要對企業的機構設置及權責分配重新加以調整，以適應內部控制的要求。其次，在信息化條件下，人的思維模式、行為方式也會發生變化。由于人與人之間直接面對面的溝通交流將減少，同時，網絡的無形性、匿名性，可能會降低人們的道德水平，加之，信息的資產價值提高，及信息的可拷貝性、刪除的無痕跡性等特點，會誘使人們做出犯罪行為，如竊取商業機密，賣給競爭對手等，所有這些，都會給內部控制帶來新的影響，因此，必須研究信息化條件下的內部審計，強化內部審計職能，同時，要重視企業文化建設，特別是內部控制文化建設，在人力資源政策上要更加重視人員素質要求，以適應信息化條件下的內部環境。（二）對內部控制活動的影響企業在生產經營過程中，不斷交織著實物流、資金流和信息流，有形的是實物流，如原材料采購進來后，按照生產工藝流程，經過各個生產環節，從半成品到產成品，伴隨著有形的實物流的，則是無形的資金流，通過資金流動，完成從起點到終點的循環往復，實現價值增值。而在實物流與資金流背后，還有信息流，通過信息流，我們知道了實物流轉的位置，價值是否增值，借助于信息流實現控制職能。但在企業的手工控制環境中，其“三流”是并不統一的，信息流滯后于物流和資金流，導致控制效率低下，控制成本較高。在內部控制五要素中，控制活動是主體，而控制活動是要借助于一系列控制措施如授權審批、會計控制、預算控制等來實現的，在信息化條件下，內部控制手段和形式都發生了很大的變化。首先，借助于信息技術，將各種控制措施以計算機程序的形式固化下來，從而排除各種人為干擾，實現過程控制、實時控制與標準化控制。其次，借助于信息技術，能夠使原來手工環境下的順序控制發展為并行控制。通過信息技術平臺，供應鏈環節上各個節點的業務和財務信息，并行在系統里進行處理，并將結果輸送到各個需要的部門，真正實現了供應鏈管理。由于控制效率的提高，控制范圍也得到了拓展，供應商、客戶、企業實現了互通，基于供應鏈的價值鏈管理也就成為了可能。但由于信息技術的運用，也使得信息系統本身的安全性凸顯了出來，對系統本身的控制成為必須要考慮的一項重要因素，包括軟、硬件資料、相關數據的安全和相關人員控制等，以及由此延伸的網絡安全、電子商務控制等。企業信息化也會影響內部控制其他幾個要素，如會改變人們對風險的態度，風險的實時預警成為可能，信息化使獲取信息更為便捷，溝通更為順暢，信息化也使實時監督成為了可能。企業信息化影響內部控制的各個方面，人們對內部控制的認識也從基于職責到基于業務流程以至于基于風險管理的全面內控延伸。四、企業內部控制信息化環節存在的問題（一）對信息系統作用的認知力不足企業不能夠正確認識信息系統的作用，其主要體現在兩個方面:管理層方面。受信息化的自動化效應的影響，企業管理層只關注信息化建設，忽略了實現信息系統與管理思想相融合的重要性與迫切性；操作層方面，企業相關部門不能夠及時將業務信息錄入系統，以致大量的信息失真，從而給企業核算、決策等工作帶來極大的困擾。因此，上述兩方面均在不同程度上影響著內部控制信息化效果，使得企業資源流失、浪費等現象日益突出。（二）標準化問題處理存在缺陷標準化是企業進行內部控制信息化管理的前提條件，其通常涉及到業務流程、崗位職責、職責分離、組織架構、管理權限等部分，然而，企業在對上述方面進行標準化處理時缺乏科學合理性、有效性，致使企業難以順利實現內部控制信息化，從而制約到企業穩定發展。（三）內部控制信息系統沒有融入風險管理現在階段，企業內部控制和風險管理逐漸走向融合，風險管理是企業內部控制的有機組成部分。似足，大部分企業在建設內部控制信息系統的時候，沒有考慮風險符理。甚者，有的企業把企業內部控制和風險符理分成兩個系統來建設，既增加了成本，又達不到應有的效果。（四）內部控制信息系統沒有和企業其它信息系統結合有些企業的內部控制信息系統沒有和等其它運營信息系統建立有效的連接，形成信息孤島。內部控制信息系統需要的數據是通過人工輸入，這樣的數據不能及時反映企業業務流程的運行情況，還容易出現錯誤；內部控制信息系統對數據分析做出的反應也不能自動的傳遞給等運營信息系統。這種情況下，內部控制信息系統不能及時對業務流程中的風險進行及時有效的控制。（五）內控專業人才缺乏成為制約企業內控建設的瓶頸現階段，企業內部控制的實施主要依賴外部力量，如管理咨詢機構、行業專家以及IT廠商。他們雖然對內部控制認識全面，經驗豐富，但是他們對企業的了解度不高，內部控制實施過程中可能會與其它企業同質化，不能最大程度滿足企業的需求。另外，企業內部控制實施完成，內部控制的日常工作還需要企業來完成。企業缺乏自己的內部控制專業人才已經成為企業內部控制迚設的瓶頸，所以企業需要引進或者培養的內部控制專業人才，積極參與內部控制的實施，根據實際情況提出自己的需求，并對外部力量進行監督，避免內部控制實施形式化。另外，企業在實施內部控制的過程中，要重視培養內部控制人才。五、加強企業內部控制信息化管理的策略（一）營造和諧穩定的信息化環境良好的信息化環境既有助于企業實現內部控制信息化，又有利于加強企業內部控制信息化管理。其中營造和諧穩定的信息化環境應從下述三方面做起：第一，推進管理思想與信息化相機融合，促使管理要求與信息系統管理思想一致性，依托于先進的信息技術，盡可能規避人為因素造成的負面影響；第二，結合企業發展需求與特點，借鑒國外的優秀經驗推進內部控制信息化管理變革；第三，企業管理者應嚴格按照相關要求對信息系統予以操作，嚴禁無規則操作。（二）建立風險機制，做好標準化工作企業借助風險機制能夠對各類風險予以識別、分析、評估及認定等。其中企業主要圍繞下述四大方面實施標準化工作：第一，組織架構標準化。企業以科學性、合理性原則為指導，借助風險機制從采購、生產、銷售等多個環節構建組織架構;第二，業務流程與崗位職責標準化。企業鼓勵廣大一線管理人員均能夠參與到業務流程調整優化行列中。運用風險機制挖掘業務流程中可能出現的風險，同時，明確各崗位職工職責權限，對崗位職工實行問責制。為實現企業業務流程及崗位職責標準化還要求企業構建系統標準化模版，其中該模版涉及到管理權限、標準業務流程、職責權限配置等多個方面。實踐表明，通過實現業務流程及崗位職責標準化不僅有助于提高企業內部控制管理，而且還有利于實現企業內部控制信息化；第三，表單標準化。企業應明確各員工崗位職責權限，進一步規范業務流程，加強業務審核、業務申請等多個部門之間的溝通與交流，從而真正意義上實現審批表單標準化；第四，ERP系統主數據標準化。ERP系統中包含物料、供應商及客戶等主數據，由上可知，通過實現系統主數據定義與編碼標準化以推進企業內部控制信息化、現代化。（三）建立利用風險管理機制企業信息化管理系統對信息數據進行有效的收集、控制以及管理，通過實現資源的合理配置，大大提升企業生產效率和決策水平，從而，促進企業的可持續發展。通常情況下，企業信息化水平與內部控制呈現正相關，即企業信息化越高，內部控制質量越高；反之亦然。構建內部控制風險管理機制并非只是控制企業內部風險，而是涵蓋了企業生產經營過程中可能出現的所有風險，包括內部風險與外部風險。而風險管理有所不同，巴塞爾委員會指出，風險管理注重實現對特定業務的戰略評審，以對同一行業不同企業間的風險、收益