IT企業內部控制實施路徑探討

首都經濟貿易大學 王海林

企業內部控制是通過一定的技術與方法實現的，這些方法構成了企業內部控制的方法體系。在I T條件下企業內部控制的實施方法既有組織機構設置、職責劃分和授權控制，內部牽制等手段，也可以利用預算控制，成本控制等財務控制方法，還可以利用規范業務流程、操作規程及業務記錄，實施內控審計，建設企業文化，建立獎懲制度及激勵機制、實施績效評價等管理方法達到控制的目的。綜合考慮可以將這些方法歸為七類。在I T環境下企業落實內部控制方法，建立內部控制體系可以遵循一定的路徑，做好以下幾方面工作。

一、梳理與設計業務流程

流程控制是把業務流程作為控制對象和手段實施的控制。通過業務流程優化、并將必要的控制流程嵌入到業務流程中，成為業務流程的一部分，達到控制的目的，因此企業設計的業務流程必須既滿足業務處理的需要，也要滿足控制的需求。基于此，企業應該首先對現有流程進行梳理、分析，本著面向服務、能夠快速響應、處理高效的原則優化現有流程、構建新流程。此過程大致經過前期規劃、診斷、設計和評價四個環節。

前期規劃。分析企業的各項業務流程，確定流程控制目標，并分析和確定各流程存在的風險。

診斷。尋找各個流程目前存在的控制弱點，確定下一步進行流程控制的關鍵點。

設計。按照前期規劃中設定的流程控制目標，根據診斷環節確定的流程控制關鍵點，設計出流程控制方案，方案應該包括業務控制的標準、控制過程、采用的控制手段與方法、控制的措施和內容等。

評價。首先確定評價方案，對設計環節確定的控制方案進行評價，并將評價結果反饋給流程設計部門和人員，最后形成實際要執行的流程方案；然后根據流程執行中反饋的業務處理結果，進行控制效果評價和分析，并將評價信息反饋給管理層。管理層可以據此改進相關工作。

二、設置組織結構與流程

組織控制是將組織作為控制的對象和手段，使各級組織及組織中的成員在完成各項任務的同時實現企業的戰略目標。

構建具有控制能力的組織結構。本著能夠快速響應、兼顧整體目標與分工協作相結合、處理好“集權”和“分權”關系、確保各級組織及其各個職能部門之間信息通道暢通幾項原則，建立起具有控制能力的組織結構。包括：一是建立和完善企業法人治理結構。建立和完善企業法人治理結構是現代企業制度的基本要求，也是企業規范化運做的基本要求。作為企業組織機構的組成部分，董事會、監事會、經理層應該職責劃分明確，形成較有效的企業治理、監督和制約機制。二是設置控制機構。根據需要和企業情況設置專門的控制機構。如審計委員會、內部審計機構等，對企業各級部門和組織實施監督和控制。三是各級部門和組織自身要有控制能力。各級部門和組織劃分工作崗位、確定崗位職責時除了滿足完成任務目標外，還應該考慮控制的需要。四是設置組織的控制層次。應該建立一種與組織結構相適應的控制層次和控制機制，通過設置不同崗位（或角色）的控制層次和不同層次間的授權落實控制，保證既具有效率優勢，又具有一定的靈活性。

設置滿足控制要求的組織流程。組織流程是實現組織目標而采取行動的過程，其本身也是一種控制手段。組織中每一項核心工作都應該有明確規定的流程，而且流程設計時要把明確的業務記錄、崗位之間的牽制、上下級之間的簽核等方式作為流程的一部分，達到控制的目的。

三、建立風險評估機制

風險是控制的“因”。每個企業都隨時面臨著來自內外部的風險，管理者無論做出什么決策，風險都存在。因此，企業必須建立風險評估機制，管理風險。管理風險是一個在明確企業風險容忍程度基礎上，利用一定的管理工具對各種風險采取不同策略和措施，從而消除或降低風險損失，確保企業經營目標實現的過程。它包括風險識別、風險評估、風險控制和風險監督幾個環節，每個環節都有具體任務和完成措施。

風險管理的各個環節中，都要考慮成本和效益原則。每一項風險都會有多種控制措施和方式可供選擇，各種控制措施的效果和成本存在差異。通常，企業不可能也不必要控制所有的風險，因此風險控制中可以忽略一些影響小、發生概率低的風險，而是將控制重點放在影響大、發生概率高的風險上，即遵循重要性原則。

四、利用信息技術、控制信息系統

在I T環境下，信息技術不僅是控制的手段和工具，利用信息技術構建的信息系統也是控制的重要對象。

業務處理和管理中利用信息技術進行控制。對于采用信息技術的企業，在業務流程梳理的基礎上，應該重新審視自身的信息系統，盡可能將業務的控制措施嵌入到信息系統中，變過去人的控制為機器的自動控制，提高業務控制的剛性程度和標準化、規范化水平。

對信息系統實施控制。管理中，由信息技術基礎設施、應用系統、數據和人員等所有信息技術資源構成的系統統稱為信息技術系統，簡稱信息系統。企業應該充分利用手工的或信息技術的方法、技術和程序對信息系統實施控制。一是實施信息系統控制的第一步是進行信息系統風險分析。即明確信息系統規劃、設計、實施、運行、維護直到壽命期結束報廢的全過程中由于人為的或非人為的因素導致系統運行正確性、可靠性、安全性以及運行效率等方面面臨的風險。二是了解必須遵守和可供借鑒的信息系統控制規范。除了《會計核算軟件管理的幾項規定》、《企業內部控制基本規范》有關信息系統部分的條款和《信息系統控制應用指引》等我國企業信息系統控制需要遵守的規范外，目前國際上還有COSO《內部控制整合框架》與ERM框架、國際信息系統審計與控制基金會的COBIT、國際標準化組織的ISO 17799/27002、英國計算機和電信中心CCTA提出的ITIL等較為成熟并被較多使用的控制規范。它們中有的是直接對企業信息系統、信息技術服務與管理提出的標準與規范，有的是作為內部控制框架中信息技術部分的規范。這些框架或規范為企業構建自身的信息系統控制體系提供了借鑒和參考標準。三是建立信息系統控制體系。從內容上，企業信息系統控制體系即包括法律法規體系、制度建設、安全機制的構建、信息系統相關機構和職責設置，也包括信息系統風險分析與評價、安全保障技術、安全控制措施，還包括經過認證的安全產品的選擇等。基于對I T全面治理考慮，企業信息系統控制體系應該從技術、管理、組織等幾方面構建。技術體系是信息系統安全的技術保障系統，由安全保障技術選擇和使用、技術安全控制措施等構成；管理體系是由與信息系統規劃、開發、實施、運行維護、報廢整個生命期相關的管理活動構成的系統；組織體系是保證信息系統正常運轉的組織保障系統，由組織機構和崗位設置和人員管理等幾部分構成。

五、建立規章制度

規章制度等規范體系是重要的內部控制形式和手段，通過規章制度的制定和落實可以使被控制者有章可循，使控制者有據可依。企業建立規章制度時，應該首先明確企業必須遵守的國家的相關法律法規、行業規章，將其融入企業制定的規章制度中，同時根據企業的控制目標、業務流程、組織設置、崗位和權限劃分等要求，明確哪些控制需要用規章的形式實施，建立起具有良好操作性和可執行性的相應的制度規范。

六、完善預算管理和內控審計機制

預算管理。預算管理是一種全方位、全過程、全員的管理。它涉及企業生產經營的產、供、銷全過程和人、財、物各方面。在I T環境下，通過預算數據可以實現對組織、人員、作業環節等的實時控制，因此預算控制是I T環境下企業內部控制的重要手段和方法。

內控審計。內控審計是對企業內部控制實施過程和實施效果的再控制，是企業內部控制體系中不可缺少的一環。內控審計既包括委托專職機構和人員，依照企業事先確定的經營管理活動應該遵循的控制標準對企業在經營管理活動中執行控制標準的情況進行的審查、評價、鑒證，也包括企業內部稽核或審計人員進行的核查、自我評價。前者可以檢查和確認企業內部控制的真實性、合規性、有效性、充分性及適當性，確認和評價企業控制設計和控制運行缺陷和缺陷等級，分析缺陷形成原因，提出改進內部控制建議；后者可以幫助企業及時掌握自身執行控制的情況，發現執行中存在的問題等，從而達到自我監督、及時管理的目的。

七、重視企業文化建設

企業內部控制從本質上看是對人的控制，而人又是千差萬別的，這就要求控制一定要以人為本，不僅要有制度約束、流程規范，也要有價值引導、文化培養、風俗熏陶和思想教育，即“導之以德，齊之以禮，有恥且格。”在控制中更多地重視和運用企業文化的力量是重視人，以人為本的體現。

企業文化是一個企業的靈魂。它不僅極大地決定著員工的價值取向、工作動力和行為方式，也是企業行為規范的內在約束。從企業整體利益的需要出發，制定一套行為準則來統一企業全體人員的信念、規范他們的行為、協調企業成員之間的關系，使之共同自覺地維護企業利益，是實現企業控制目標的重要保證。在越來越重視“軟實力”、“軟管理”、“軟控制”的今天，企業文化應該受到越來越多的關注和重視。

［1］［美］S c ott G reen著，張翼、林小馳譯：《薩班斯法案內控指南》，經濟科學出版社2007年版.