淺談信息技術條件下企業內部控制

[摘要] 信息技術的廣泛應用增加了企業內部控制的潛在風險，但信息流程和業務流程的有效整合也給提高企業內部控制效率、增強內部控制效果帶來了前所未有的機遇。本文主張企業在進行內部控制系統設計時，需要考慮信息技術條件下企業內部控制的新特點與新問題，從組織控制、流程控制、信息系統控制三方面制定對應的設計策略。

[關鍵詞] 信息系統 內部控制 風險控制 設計策略

一、引言

近些年來我國企業的信息化建設取得了很大成就，信息技術在企業得到了廣泛應用。 在信息技術條件下，企業已經實現了業務和財務的一體化，資源得到了高度的共享。為了有效地保護資產的安全與完整，保證會計信息的真實、可靠，提高經營效益，企業迫切需要對傳統內部控制進行整合和優化，以提高管理者經營決策的效率和效果。為此，文本將從信息技術對企業內部控制要素的影響著手，分析信息技術條件下企業內部控制特點，探討內部控制體系設計策略，以期達到充分利用信息技術來提高內部控制質量的目的。

二、信息技術對企業內部控制的影響分析

1992年美國 COSO報告中對內部控制做了如下定義：“內部控制是由企業董事會、經理階層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的實現而提供合理保證的過程。”其構成要素包括：控制環境、風險評估、控制活動、信息和溝通、監控。該報告是迄今為止對內部控制最全面、最權威的描述。在信息技術條件下，企業內部控制系統仍是由上述五個基本要素構成，框架體系并未發生實質性的改變。但是正所謂“水能載舟，亦能覆舟”，信息技術對于企業內部控制的發展帶來了新的挑戰，也帶來了新的機遇。

1.信息技術對企業內部控制提出了新的挑戰

信息技術的廣泛應用，為企業帶來了新的風險，也對內部控制發展提出了新的要求

（1)交易授權批準缺乏有效牽制

交易授權、批準控制是最基礎的內部控制。信息技術條件下操作權限的授予與手工環境完全不同。手工環境下處理一項經濟業務時，在該項業務的各個環節都需要由擁有相應權限的人員簽章，這自然形成了層層復核、道道把關的嚴格審核機制。而在信息技術條件下，操作人員利用特殊的授權文件或口令獲取某項權利或進行特定操作。用口令方式授權是信息技術條件下常見的和基本的內部控制，但口令一旦失控將會對企業造成重大損失。

（2)電子信息處理缺乏可視痕跡

手工環境下，企業的經濟業務處理均記錄于紙張之上，這些紙質原件的數據若被修改，則很容易辨別出修改的線索和痕跡，這也是傳統紙質原件的一個基本特征。但是，信息系統環境下原來紙質的數據被直接記錄在磁盤或光盤上，很容易被刪除或篡改，并且在技術上對電子數據的非法修改可以做到不留痕跡，這樣就很難辨別哪一個是業務記錄的“原件”。另外電磁介質容易受到損壞，這使得企業信息很大程度上存在丟失或毀壞的危險。

（3)系統整合集成加大信息風險

傳統的內部控制主要針對單獨的交易處理，而在信息技術條件下，整合集成系統要求集中存儲數據和程序，則在很大程度上帶來了信息安全隱患，容易出現一損俱損、全軍覆滅的危險。而且，對于日益復雜的信息系統，其內部稽核難度加大、成本增加。如由外部監理機構完成，則可能泄露商業機密，影響其競爭力;如由企業內部自行解決，則必須配備具有復合知識結構的管理人員才能勝任。

（4)網絡的開放性危及信息安全

網絡技術的發展日新月異，在這個環境中一切信息理論上都是可以被訪問到的。因此，網絡下的信息系統很難避免非法侵襲，即有可能遭到非法訪問甚至黑客或病毒的侵擾。這種攻擊可能來自于系統外部，也可能來自于系統內部，而且一旦發生將造成巨大的損失。

2.信息技術為內部控制提供了新的機遇

信息技術是一把雙刃劍，在為企業內部控制帶來全新風險的同時，也為其控制風險提供了嶄新的工具。

(1)事前檢查提高信息質量

企業開發信息系統時，要針對性的設計事前控制程序，即在業務活動發生、有關數據入數據庫之前，檢查這些數據的準確性、完整性和合法性。此外，如果輸入數據不符合既定邏輯和控制標準，處理則被中斷，同時通知負責控制的管理人員。這樣一來，只有數據準確、完整、合法，繼續處理也符合流程，相關數據才能被加入到數據庫中。

（2)事中網上公證形成三方牽制

由于信息技術環境下原始憑證以數字方式存儲，不能像手工系統那樣對每一張憑證作痕跡檢驗。可是，利用網絡技術所特有的實時傳輸功能和日益豐富的互聯網服務項目，則可以實現原始交易憑證的第三方監控，即網上公證。這樣一來，信息技術條件下的內部控制的職責分離原則，通過人機分離甚至機機分離依然得以實現。

（3)事后追溯利用電子審計線索

在手工系統中，憑證、賬簿和報表嚴格按照一定標準和程序填寫登記，所形成的紙質審計線索高度可視，比較有效。在信息技術條件下，數據的生成、存儲和傳遞方式都發生了巨大變化，紙質文檔大量減少甚至消失，審計線索不再可視。然而，利用信息技術記載和再現原始業務依然可行，利用電子審計線索追溯業務的來龍去脈甚至變得更為便利高效。高度集成整合的信息系統，為每一筆交易建立了單獨的審計線索，環環相扣的連接關系使原始業務的再現更為方便易行。

由此可見，信息技術的應用使得內部控制挑戰與機遇并存，風險與收益同增。有效的內部控制應該是范圍擴大、控制程序靈活多樣的綜合性控制;是人工控制和信息系統自動控制相結合的全面控制。

三、信息技術條件下內部控制體系的設計策略

針對上述分析，企業在進行內部控制體系設計時，應綜合考慮信息技術條件下內部控制的特點，從組織控制、流程控制、信息系統控制三方面制定對應設計策略。

1.組織控制設計策略

組織控制設計主要任務是權責分派與不相容職務分離。在信息技術應用條件下，企業組織的權責范圍遵循以流程為核心的原則。首先將企業主要業務分解為產品流程、質量流程、服務流程、物流流程等，并在這些流程層面上重新定義企業各部門在業務流程中的職責以及它們之間的協調關系。然后再進一步將這些流程分解為一系列相關作業集合，并結合業務的信息化程度來定義企業作業崗位以及對應的崗位責任制度。作業崗位權責分派應能最大限度地發揮每個員工的主觀能動性和潛能。不相容職務分離設計應結合重組后的業務特點和人機系統的控制功能，通過信息系統使用權限設置、應用軟件的作業流程邏輯順序的設置、業務控制參數的設置，充分發揮信息系統內部監控能力，實現信息化環境下業務流程不相容職務分離的制度安排。

2.流程控制設計策略

流程控制主要是對企業的業務流程和信息流程進行有效的控制。由于信息技術使企業業務流程與信息流程融合在一起，業務流程控制與信息流程控制成為企業內部控制體系設計的重要內容，控制重心也從適時控制向事前控制、實時控制轉移。因此，在企業流程控制的設計中，專業人員的首要任務是熟悉企業業務流程和信息流程以及它們之間的聯系，對業務流程和信息流程的各類風險進行評估，確定風險重要程度。其次依據風險的重要程度確定業務流程與信息流程的關鍵控制點、建立控制模型，設定控制參數與控制程序，并將其嵌入到信息系統中，形成人機結合、業務活動與信息處理集合的內部控制體系。這樣，在企業經營過程中，信息系統就能動態跟蹤業務活動的信息，自動監控這些活動所產生的數據是否在控制范圍內，預測發展趨勢，實時輸出預警信號，從而有效控制企業的經營活動過程。

3.信息系統控制設計策略

信息系統控制是指信息系統建設和應用控制，具體包括信息系統的設計、開發、測試、驗收、運行、維護等生命周期活動的所有環節。信息系統建設控制的設計策略是認真進行系統開發前期的可行性研究;加強對開發商的資質驗證;通過公開招標的方式選擇適合企業營運環境的計算機信息系統軟、硬件與開發商。在項目實施過程中，應加強對IT項目管理，建立嚴密進度控制和質量控制機制、驗收程序及第三方監理和審計的控制，保障信息系統質量。

信息系統應用控制的設計包括操作權限與操作規程控制設計、信息安全與數據處理流程控制設計。操作權限控制設計策略是通過對系統資源進行分類管理、員工作業權限程序化方式，限制超越權限的非法接觸和訪問。操作規程控制設計策略是通過制定軟硬件操作規程、作業運行規程，規范計算機用戶的操作行為。

信息安全控制包括數據和程序安全控制、網絡安全控制，通過數據保密、訪問控制、身份識別、數據備份等措施保障信息系統資源的安全。數據處理流程控制設計包括數據輸入、處理、輸出的控制。例如在信息系統的數據輸入窗口設置各類有效的檢測方法，最大限度地減少操作人員在數據輸入過程中出錯的可能性，保障未經批準的業務不能輸入信息系統內，從而以提高信息系統數據處理質量。

參考文獻:

[美]詹姆斯·霍爾:《信息系統審計與鑒證》.中信出版社，2003