淺析信息化環境下公司內部控制的構建

[摘要] 人類社會已經跨入信息社會和知識經濟時代，信息化改變了企業內部控制的基本環境，帶來了潛在風險，但也為提高企業內部控制效率、增強內部控制效果帶來了前所未有的機遇。本文通過信息化環境對企業內部控制環境、風險評估、控制活動、信息溝通及監督等方面的影響分析，提出了信息化條件下我國企業構建內部控制的幾個關鍵步驟。

[關鍵詞] 信息化環境 內部控制 控制環境 動態化內控制度 信息系統控制

人類社會已經跨入信息社會和知識經濟時代，企業的生存和發展則更倚重于科學有效的管理。作為企業管理核心之一的內部控制也面臨著時代發展的考驗，因此在信息化環境下重新構建企業內部控制頗具意義。

一、引言

內部控制是組織為保護其資產安全、完整，保證信息客觀、正確，促進經營管理政策得以有效實施，提高經營效率，控制經營風險，防止舞弊行為發生并進而實現組織目標的一項重要的管理制度與方法。

內部控制理論與實務隨著社會、經濟和技術等環境的變化經歷了豐富多彩的發展歷程，已歷經內部牽制、內部控制制度、內部控制結構與內部控制整體框架、企業風險管理框架等幾個不同階段。大量的現實案例證明，對于企業生產和發展而言，內部控制具有重要意義。然而，內部控制作為執行企業戰略、保證企業目標實施的重要系統，深受企業內外部環境發展變化的影響。由于內部控制實施的企業經營環境具有較大的不確定性和復雜性，因此，企業必須保持動態的內部控制觀念，將內部控制的設置與環境發展保持同步和協調一致，才能最大程度地發揮其作用。信息化是社會、經濟發展到一定程度的必然結果。企業信息化主要指企業生產過程信息化、管理決策信息化和商務活動信息化等幾方面內容。在胡錦濤總書記十七大報告中，信息化思想貫穿全篇，賦予了我國信息化全新的歷史使命。由于內部控制寓于企業經營活動的整個過程之中，信息化了的企業生產過程、管理決策和商務活動就要求與之相適應的企業內部控制制度來保證其目標的實現。

二、信息化環境對公司內部控制的影響分析

企業的內部控制活動處于企業的大環境之中。COSO報告《內部控制-整體框架》中指出，內部控制由控制環境(Control Environment)、風險評價(Risk Assessment)、控制活動(Control Activities)、信息與溝通(1nformationand Communication)、監控(Monitoring)等五個相互關聯的要素構成。而COSO委員會在其最新報告《企業風險管理框架》中則在五要素的基礎上進行了拓展，形成了八個要素，分別是內部環境、目標設定、事件識別、風險評估、風險回應、控制活動、信息和溝通、監督。

本文認為，上述對內部控制要素的分類并沒有實質上的變化，其重心仍然是控制環境、風險評估、控制活動、信息和溝通、監督等方面，在信息化環境下，企業內部控制系統的框架體系也并未發生實質性的改變，只是每項基本要素的內部構成呈現出新的內容，表現出新的特征，隨之也帶來了內部控制中新的問題。下面本文對信息化環境對內部控制各要素的影響進行分析：

1.信息化對控制環境的影響：機遇與挑戰并存

內部控制是通過一定的環境條件發生作用的，內部控制環境的變化將直接影響內部控制的有效性。COSO在其報告中將控制環境列入諸要素的首位，并且其在內控概念中闡述了這樣的觀點，即，內部控制環境是其他因素構建的基礎，如果這個基礎存在較大的缺陷，其他因素即使是構建得再完美，內控的建立和實施也無法實現其預期的目的。信息化時代環境的發展變化使企業的控制環境日益復雜，其給企業內部控制帶來了新的挑戰。企業如果能夠充分利用信息技術改善內部控制程序、增強內部控制手段，將信息技術有效地集成到業務和信息處理過程中，借助于信息技術來完善內部控制措施，提高內部控制水平，防范與控制經營風險，將使企業信息化環境下的內部控制問題得到妥善處理。反之，則會給企業帶來很大的隱患。

信息化對控制環境的影響主要有如下幾個方面：

(1)信息傳遞的方式和速度構成了企業內部控制的基礎環境變化。這一變化對內部控制的制定和實施的影響細微而本質。企業由于追求效率而摒棄了過時陳舊的信息傳遞和溝通方式，因此而突破了舊有的模式。企業如果不進行新的內控制度的構建，很容易被舊有的內控條款在所牽累或束縛，無法正常發揮其功能。

(2)信息化環境影響企業的組織結構。由于信息溝通的路線產生變化，企業往往形成扁平式組織結構，管理層次減少，領導不再是組織等級的上層，而成為行動的中心，信息更加容易獲得。這要求企業的領導階層學會在一個流動和動態的環境中發現內聚力和構造組織，既要有利于創造、革新、加快速度，又要在不斷磨合中加強內部控制和向心力。

(3)信息化環境全方位影響著企業的治理機制。信息化環境對企業的信息系統要求更高，因為只有企業信息系統更加完善而有效，董事會、監事會才可以更及時全面地了解企業的信息，以便更好地進行戰略制定、經理人員選擇和績效評價，并進行企業運營情況監控等等，形成更加合理的治理機制。

(4)信息化環境影響著企業管理者的領導方式。企業所面臨的商務環境競爭加劇、變化加速，管理者所能獲得的信息量倍增，信息技術和信息系統在企業中的作用日益重要，這些都要求管理者不但要有更強的把握信息、利用信息的能力，在運營管理企業中利用好信息資源，而且要站在更高的戰略層面上，制定更加合理的企業戰略和企業經營規劃。

2.信息化對風險評價方面的影響：擴大了風險評估的范圍

企業隨時面臨著來自內外部的各種風險，因此對影響企業目標實現的未來不確定因素進行風險評估是內控機制的另一個重要的方面。信息化的環境在給企業帶來機遇的同時也帶來了控制風險的難度。

(1)信息化環境使內部控制的范圍加大，內容復雜化，因此內部控制目標實現的風險加大。在信息技術環境下，雖然企業的整體目標沒有改變，但是經濟、產業及管理的外部環境與內部因素都發生了變化，業務流程因此而改變，以往封閉集中的運行環境，變得開放，以往狹窄單一的信息流形成共享，從而改變了傳統的風險控制內容和方法。例如計算機系統增加了企業潛在的風險，數據處理過于集中，存儲的數據可以被不留痕跡地改寫和刪除，數據的存放形式增加了數據再現的難度，數據處理過程無法觀測等等。這些新的風險點構成了內部控制的新內容。

(2)信息化使得風險評估獲得了更多的信息支撐，這是信息化環境對風險控制有利的一面。隨著控制風險的加大，更應該有效利用信息技術為內部控制服務。一個控制良好的電子數據處理系統具有更大的潛力來減少錯誤和舞弊的發生，保證企業業務處理活動嚴格按商業規則進行。所以，企業管理階層應該也有可能把信息技術作為強化內部控制的一個有效工具，使之為高效實現內控目的而服務。

3.信息化對控制活動的影響

業務流程控制與信息系統控制是控制活動的重要內容。控制活動過程中會需要大量的信息傳遞活動，這些活動經過不同的信息傳遞路徑，形成各種信息指令和反饋，從而有效控制企業的業務作業流程。因此控制活動必須根據企業業務流程的情況和具體的控制點進行設置。而信息技術應用使傳統人工控制形式演變為人機系統控制，控制重心將集中在作業流程的人機控制與信息系統控制。一些傳統的內部控制規則和程序在新的技術環境下失去存在的意義，新的控制規則和程序建立在充分利用信息技術、用最少的資源達到更佳控制目標的基礎上。信息技術的引入增強了控制手段的多樣性、靈活性、高效性，加強了內部控制的預防、檢查與糾正的功能。

4.信息化對信息和溝通的影響：使得組織成員之間信息交流和溝通更加便利和有效率

信息化環境對內部控制的信息和溝通這一要素產生了有利的影響。由于大量的企業環境信息、政策信息、經營信息、財務會計信息、作業信息集中存儲在企業數據庫系統內，并不斷被實時更新，在這個信息平臺上，員工可以十分便捷地從計算機數據庫中查閱有關的政策和法規，獲取與其職責相關的控制信息，明確各自的權利與責任，了解自己的活動如何與他人的工作相關以及例外情況如何報告或處理的途徑。在完善的企業信息系統的支持下，企業員工能夠更好地取得他們在執行、管理和控制企業經營過程中所需的信息，使員工順利履行其職責，提高效率。

另外，企業在網絡平臺上構建與利益相關者聯系的機制，使組織的相關成員可以實時獲取經營信息與財務會計信息，及時進行溝通，達到最佳協同合作和利益共享。

5.信息化環境對監督的影響

監控更注意更新信息系統內部設置的控制參數與控制程序，借助信息技術，可以使一部分的監控過程自動完成，并且可能實現實時監控，從而提高監控的效果和效率。應當注意的是，在信息技術環境下，內部控制是基于一種人機結合的控制模式，許多控制程序、控制指標、控制方法被設置在計算機信息系統內部。因此監控的一項重要內容就是要及時了解原來設置在信息系統內的控制程序、控制參數是否過時，并針對企業經營環境變化情況，及時評估業務流程控制點的運行狀態，重新調整或更改設置在信息系統的控制參數或程序。

三、信息化環境下企業如何對內部控制進行重新構建

隨著企業信息化的逐步實施，企業的內部控制面臨新的挑戰。保證內部控制有效運轉的前提是要求信息傳導和反饋的快捷和準確。通過信息化手段整合企業資源，以便提高內部控制效率和優化內部控制流程，企業應以推進企業信息化進程為契機，優化企業的內部控制制度。通過分析企業信息化后對內部控制的影響，筆者為現代企業設計內部控制制度提出以下應對策略：

1.建立健全的、與信息化環境相適應的組織結構與權責分派體系

企業應對傳統環境下的組織機構進行適當的調整，以貼合信息化環境的特點，以適應信息系統的要求。控制的目的是要使一切都在管理人員的掌握之中，所有的生產經營活動都有條不紊地進行，要實現每一人和每一物在恰當的時候處在恰當的位置上。因此，組織結構的設置必須適合企業的實際規模，符合企業總體經營目標，并且應按精簡、合理、高效的原則對組織機構的設置進行成本-效益分析，以保證按最佳線路最恰當的流程實現業務目標。

2.推行以人為本、制度管理與人性化并重的“柔性控制”

在信息化環境下，企業尤其應該注重培養組織中人員的信息觀念，理解企業信息化建設和管理改革、內部控制創新之間的關系。信息時代，“以人為本”作為構建內部控制機制的信條已經越來越多地被企業接受，企業管理者應當重視對人員的選擇、使用和培養。

3.應信息化環境特點的要求，動態化構建內部控制框架

在這一思想的指導下，進行內部控制構建必須事先預計到各種可能性，規定每一個崗位在所有可能的情況下應當履行的職責、程序和手續，并據此制定政策。一般來說，管理人員只能根據自己的歷史經驗和邏輯推理能力來預測各類事件發生的可能性，但隨著企業信息化的進程，影響企業經營的環境不僅日益復雜，而且愈來愈不穩定，其變化不僅無法控制，而且難以預測。因此，未來的內部控制不應該只是一個固定的、一成不變的模式，它應該而且必須隨著企業內外部環境的變化而變化，應變能力和學習能力是企業內部控制構建中應格外加以關注的重要內容。

4.完善信息系統控制

企業實現信息化，往往涉及到信息開放和共享，企業內部機密和關鍵數據的信息破壞和泄露的風險比以往大大增加。所以，對信息系統的有效控制是企業內部控制的前提。企業應加強系統安全、數據完整、信息保密等方面的控制。從信息系統控制的手段和特點可以看出，信息系統的控制需要企業的上下各級組織機構和各類員工的參與。企業管理階層應制定有效的信息管理內控措施，構建實時的監控體系。同時還必須有嚴格的監督與管理手段，有效地防治危險因素對系統的侵襲。

5.建立健全內部控制風險評估體系和監控制度

在信息化環境中，毋庸置疑企業提高了運作效率和速度。但是，由于新技術的應用和信息系統的開放和共享，企業的風險進一步加大，具體的風險可表現為財務風險、經營風險、管理風險、環境風險等。針對這些風險，企業管理層應實施有效的風險評估制度，采取積極的措施來應對。實踐表明，許多企業的內部控制失敗，很大的原因是由于企業未實施風險評價制度。企業應該通過風險預警系統的設置來實施事前控制。針對信息化環境加大了的風險狀況，企業更應注重對內部控制的監控，針對控制目標的多元化趨勢，定期對內部控制的設計和執行情況進行檢查和評價，協助管理當局監督其控制政策和程序的有效性，來促成有利于實現企業目標的控制環境的營造，減少實際與控制目標的偏差。

6.定期評估，實事求是調整規則和制度

技術的發展會帶來新的風險。而大多數人對風險的意識是有一定滯后性的，同時由于沒有哪一套規則在環境發生變化時還能很好地適應，因此應注意識別新環境下的新風險，除了制定相應的控制程序有效降低風險外，內部控制系統必須經常評估和更新。既然控制程序和企業具體環境相關，當新的業務和信息流程提出后，控制目標應當保持不變，但為達到該目標的具體控制措施必須改變以適應新的環境，不要讓內部控制程序限制能使企業運行更加有效的程序和技術手段的使用。要通過定期評估增強內部控制系統的預防性功能，更好地為實現企業目標服務。

參考文獻:

[1]吳水澎:《公司董事會、監事會效率與內控機制研究》，中國財政經濟出版社，2005年10月第一版

[2]張宇寧:《論信息化條件下企業內部控制環境的優化》，《企業經濟》，2002年第八期

[3]王立勇:《杜絕內患——企業內部控制系統分析》，中國經濟出版社，2004年第一版