淺談內部控制在企業管理信息化中的應用

內部控制是指企業為合理保證單位經營活動的效益性、財務報告的可靠性和法律法規的遵循性，對企業經營管理及其活動過程進行檢查、約束和調節的自律系統。內部控制貫穿于經營活動的全部過程，包括控制環境、風險評估、控制活動、信息與溝通、監督等要素。隨著信息技術在企業的廣泛應用，企業在管理模式、生產方式、交易方式、作業流程等方面的變革對傳統的內部控制觀點和控制方法產生很大的沖擊，對企業內部控制體系也提出了更新的要求。企業只有對其內部控制系統進行全面地創新，才能趨利避害，借助信息化這趟列車飛速發展。

企業管理信息系統內部控制的重要性

信息管理的反饋控制理論認為，管理過程就是從信息輸入到輸出、經過反饋和修正、再形成新的信息輸入的不斷循環的過程，內部控制采取閉環控制方式，控制活動貫穿于公司的各個階層和職能部門，包括審批、授權、驗證、調節、業績檢查、保障資產安全及職責分工等，每次循環的延續時間就是管理周期，延續時間的長短則反映了管理工作效率的高低。因此有利于各種管理信息的反饋。通過內部控制中的信息反饋，管理目標的執行、差異的存在、應采取的措施等信息能夠及時準確地報告給有關管理者，有助于企業各項計劃、政策的貫徹、落實和執行。管理活動做得好，內部控制有效，企業就能夠實現它的目標，企業就可以獲得豐厚的利潤，從而保證了企業的生存和發展能力。如果內部控制無效，企業的目標難以實現，企業將失去競爭能力，甚至危及企業的生存。可見，內部控制是企業管理的重要手段，也是管理信息系統中的重要環節，企業管理者應給予高度重視。

內部控制對管理信息化的作用

(一)對控制環境的影響

一方面， 信息化將使企業組織結構趨向扁平化， 管理層次減少， 人員精簡， 進而降低成本和提高效率。同時， 扁平化組織結構能夠使物流和信息流更加順暢， 有利于工作周期的縮短、工作質量的提高。隨著扁平化組織結構的建立和信息系統的運行， 企業的權責分派體系也出現了變化， 主要包括崗位設置和交易授權。①崗位設置。信息化環境下， 工作崗位及其職責需要重新合并和劃分。就會計崗位而言， 可以按照會計信息的不同形態劃分為會計核算組、會計信息運行組、管理組。與此同時， 會計崗位的重心由傳統的總賬報表崗位轉變為會計信息運行組崗位。這種工作崗位及其職責的變化更加強調員工之間的競爭與合作， 有利于團隊的成長和發展。②交易授權。傳統的交易授權大都采用簽字和蓋章等方式， 而在信息化環境下， 交易授權一般采用計算機口令和數字簽名等手段。這種交易授權行為可以在人工介入很少的條件下， 通過計算機程序自動完成。它減少了工作量， 提高了工作效率， 但同時也出現了一個新的問題， 即交易軌跡消失， 這給內部控制的實施和評價帶來了很多困難。另一方面， 信息化對企業管理者的素質提出了更高的要求。企業所面臨的競爭加劇、變化加速， 管理者所能獲得的信息量倍增，信息技術和信息系統在企業中的作用日益凸顯。這些都要求管理者不但要有更強的把握信息、利用信息的能力，在運營管理企業中利用好信息資源， 而且要有對信息、信息技術和信息系統重要性和風險的正確認識和理解， 制定正確的信息技術戰略和信息技術規劃。

(二)對風險評估的影響

在建立信息系統之前，企業的內部控制制度往往是一堆文件和手冊，執行過程也只能是定期地檢查和評估。這使企業風險評估緩慢，企業不能及時規避風險。信息系統使得動態和實時控制成為可能，內部控制也由以事后的監督檢查為主變為事前和事中控制模式，更好地體現出基于預測和預防的風險評估機制。在信息化環境下，企業經營管理的外部環境與內部因素都發生了變化。伴隨著業務流程的重組，系統的開放性、信息的分散性、數據的共享性，使信息系統從以往的封閉集中狀態走向開放，給企業帶來的風險主要有:①由于信息的開放性和保密性， 系統程序員、系統操作員、系統維護員等各類人員對其權限內的工作都設置一定的口令或密碼，但是一旦系統操作員不懷好意，擅自改變他人的口令或密碼，改變他人的權限，則勢必造成系統管理混亂，從而給企業帶來風險。②內部控制計算機程序化， 可能導致同一錯誤反復發生。③在信息化環境下，企業業務流程的自動化降低了業務處理過程中源于人員疏忽或舞弊的風險。但由于企業的運營管理越來越依賴于信息系統，信息在企業中的作用日趨重要，信息化環境促使信息存儲高度集中、單位時間傳遞的信息量大為增加，這些都增大了與信息資產和信息系統相關的風險。信息化環境下，人們的主觀判斷被忽視，數據處理過于集中，存儲的數據可以被不留痕跡地改寫或刪除，數據的存放方式增加了數據再現的難度，數據處理過程無法觀測等等，這些新的風險構成了企業內部控制的新內容。

(三)對控制活動的影響

信息化環境下的控制活動分為兩部分: 自動化業務控制和信息系統控制。自動化業務控制的控制對象仍然是企業的生產經營過程， 但其形式和控制手段發生了很大變化。它以計算機程序的形式嵌入企業信息系統之中， 對業務的控制由計算機自動完成。信息系統控制是企業為了保證信息系統的正確性、完整性和安全性而采取的控制措施， 其控制對象是企業信息系統， 包括計算機軟硬件資源、應用系統、數據和相關人員等信息系統的所有組成要素。隨著網絡技術和電子商務的發展， 信息系統控制還必須考慮網絡安全和電子商務控制的問題。信息化環境下的交易授權可以由計算機程序自動完成，這使得授權過程不明顯， 控制的失效往往在發生損失后才被察覺。因此， 管理者對交易授權的關注應該轉移到對相關計算機程序的正確性和完整性的檢查上。

(四)對信息溝通的影響

在完善的信息系統的支持下， 企業員工能夠較好地取得他們在執行、管理和控制企業經營活動過程中所需的信息， 使其職責能夠順利履行。當然，也要警惕信息技術可能帶來的信息過量的問題，以及部分員工借助高速信息處理能力造假的。內部控制活動是否暢通直接影響企業對信息的獲取和利用程度。成功的內部控制能使員工對稱地獲取企業內部信息，明確生產、管理目標，使每個員工都清楚地知道其承擔的特定職責。同時內部控制為員工開辟了向上級部門溝通重要信息的渠道，避免職工與企業矛盾。同時，為員工對外界顧客、供應商、政府主管機關和股東等做有效的溝通提供了方法。具體表現在:(1)內部控制影響企業管理指令被貫徹執行。管理決策層的計劃或指令能否及時、恰當地得到落實，很大程度上依賴于內部控制的監督和激勵機制是否完善。內部控制如果建立有效的監督和激勵機制，就會把員工的職責和利益有機地聯系在一起，從而調動員工工作的積極性和主動性，發揮員工的主人翁精神，使管理層的決策得到順利落實。(2)內部控制加強了企業和職工的信息溝通。內部控制系統保證信息在企業內部各層次中的暢通，使員工能夠知悉其營業，清楚其所擔負的特定任務，了解內部控制制度的各項規定、它們如何生效;員工在執行任務時，一旦有非預期的事項發生應采取什么行動，并預防再度發生。同時，員工擁有在組織中向上溝通重要信息的方法。這能使企業和職工之間的矛盾及時得到反映和解決。(3)內部控制把企業各部門整合在一起，使企業信息得到有效共享。企業中各部門之間既相互聯系，又有一定的獨立性。內部控制能把各部門有機地整合在一起，實現各部門信息共享，從而使管理層能及時掌握企業的產銷、庫存等情況，并適時調整生產計劃。

(五)對監控的影響

內部控制的程序化使得內部控制具有一定的依賴性并增加了差錯發生的可能性。網絡技術的應用使得內部控制具有人工控制與程序控制相結合的特點。這些程序化的內部控制的有效性取決于應用程序的有效性。如果程序發生差錯或不起作用， 人們對計算機系統的依賴性、麻痹大意以及程序運行的重復性會使得失效控制長期難以被發現， 從而使系統在特定方面發生錯誤或違規行為的可能性加大。

(六)對信息的可靠性的影響

內部控制對信息存取安全的控制，影響會計數據的可靠性，對信息存取安全的控制，應注重對應用軟件自身安全缺陷和設備自身安全性能低這兩個方面實施控制，確保會計數據安全可靠。現有的會計應用軟件系統在設計、開發階段，普遍存在著系統需求中安全需求少、軟件設計重功能輕安全的現象，軟件設計選用的語言和資料庫考慮安全性能少，以至軟件投入運行后暴露諸多安全隱患，如信息存取時，不能保證數據完整性;數據易被竊取;數據溢出等安全問題。這類現象和問題目前尚未得到徹底的改變，同時，許多安全設施并未配置齊全，特別是硬件自身安全性能低。這些安全隱患增加了內部控制的難度，也體現了內部控制對信息存取安全的控制的必要性。

信息化條件下企業內部控制的創新

(一)實施業務流程重組，使業務流程與信息流程相協調

信息技術使企業業務流程與信息流程融合在一起，如果企業的業務流程仍然保持手工環境下的狀態，必然造成信息系統與業務流程之間存在許多沖突，從而使企業生產經營管理出現低效率，而且會形成內部控制的弱點，產生許多問題。因此，要提高企業內部控制的效果，首先必須從根本上重新考慮并徹底重建企業的業務流程，使企業能最大限度地適應以顧客、競爭、變化為特征的現代企業經營環境。業務流程控制與信息流程控制成為企業內部控制系統設計的重要內容。在企業流程控制中，企業業務流程必須與信息流程相協調，并針對組織內部控制目標的要求，對業務流程和信息流程的各類風險進行評估，確定風險重要程度。依據風險的重要程度確定業務流程與信息流程的關鍵控制點，建立控制模型，設定控制參數與控制程序，并將其嵌入到信息系統中，形成人機結合、業務活動與信息處理集合的內部控制系統，這樣在企業經營過程中，信息系統就能動態跟蹤業務活動的信息，自動監控這些活動所產生的數據是否在控制范圍內，預測發展趨勢，實時輸出預警信號。組織成員也能依據這些作業點的反饋信號及時制定正確決策，有效控制企業的經營活動過程。

(二)強化風險意識，建立新型的風險控制體系

在信息化條件下，任何信息系統失靈導致重要信息的遺失或泄漏，都將給企業造成不可估量的損失。這就要求企業強化風險意識，注意識別新環境下的新風險。同時還要建立相應的風險控制機制，做到有備無患。首先，應建立風險評估的信號和指標體系，針對可能出現的技術風險和管理風險等，建立起一套風險預警指標，這就相當于給信息系統安裝了風險警報系統，可以及時發現和評價所出現的風險;其次，應健全風險控制的運行體系。收到預警信號后應及時采取措施，以防風險的發生。這是計算機信息系統運行的“防火墻”;再次，應該建立風險處理的快速反應部門，目的是幫助企業能迅速地對事故及故障做出反應，將事故及故障造成的損害降到最小，并通過對已發事件進行分析來防范此類事件再次發生，達到進一步防范風險的作用。

(三)監控與操作分離，強化系統內部的相互牽制

職責分離是內部控制的一個重要組成部分。為了強化系統的內部控制，可以在系統內分設操作與監控兩個崗位，對每一筆業務同時進行多方備份。一旦主管部門或審計人員對某些數據產生懷疑時，可以利用監控人員備份的原始記錄進行分析調查、辯明真偽。系統分析、程序設計、計算機操作、數據輸入、文件程序管理等職務應予以分離，系統操作人員、管理人員和維護人員這三種不相容職務相互分離，互不兼任。信息系統各崗位要明確職責分工，并對各類人員制定崗位責任制度，各崗位都要得到一定的授權，并用密碼控制。對操作密碼要嚴格管理，指定專人定期更換操作員的密碼。通過設立一種相互稽核、相互監督和相互制約的機制來保障信息的真實可靠，減少發生錯誤和舞弊的可能性。

企業的內部控制是否健全有效，特別是對會計核算有何影響，需要在持續的控制之后，對此做出評價。在實際工作中，由于各種原因，在評價內部控制時，往往注重對業務處理控制的了解、測試和評價，忽視了對信息系統控制是否有效執行、是否健全的審查，從而導致由于信息系統控制的漏洞而有意無意地改變了信息系統中有關數據，這樣就無法保障后續會計處理的會計信息的質量。企業不僅要建立信息系統控制，還必須對所建立的各項控制進行測試和評價，特別是要對會計信息系統控制是否健全、有效做出評價，以便及時發現問題，及時糾正。對會計信息系統及相關業務系統的控制測試包括控制設計測試和控制執行測試兩個方面。控制設計測試是確定會計信息系統的控制設計是否合理、適當，也就是對會計信息系統控制的健全性進行測試。控制執行測試是確定現行會計信息系統控制是否存在并發揮作用，也就是對會計信息系統控制的有效性進行測試。由于信息系統控制既包括人工控制，又包括計算機程序控制，因此單純依靠傳統的控制測試方法是無法完成該項工作的，還必須采用計算機輔助審計技術，才能對信息系統控制進行全面測試。在實際工作中，應針對不同的控制形式，選擇相應的控制測試技術。

在對會計信息系統控制進行測試之后，要對各項控制是否健全、有效做出評價。針對識別出的控制薄弱環節，進行深入研究與分析，提出完善會計信息系統控制的建議，及時改進。對于信息系統控制制度方面的問題，要從根本上解決。

(四)加強人力資源管理，保證員工業務素質和道德素養

完善的管理控制系統必須和人融合在一起。在企業的管理活動中，人力是最主動、最關鍵的因素。要搞好一個企業，提高勞動生產率，增加經濟效益，最重要的是調動人的積極性，進行人力資源的開發。人的資源潛力是很大的。有調查指出，職工每天只需發揮20%～30%的能力用于工作就能基本完成任務。如果能充分調動職工的積極性，他們的潛力可以發揮到80%～90%。另外，隨著科學技術的進步，腦力勞動逐漸成為主要勞動形式，這更需要調動職工的積極性、主動性和創造性。我國企業必須根據企業管理信息化程度的不同，加強對員工的專業培訓，以適應信息化管理崗位的新要求，形成良好的人力資源結構。引入競爭機制，根據市場競爭、優勝劣汰的原則，形成任人唯賢的用人機制，為企業的發展和壯大配置合格的人才。其次，管理者的素質在企業經營管理中起著非常重要的作用，管理者的素質不同，對企業發展產生的影響也不相同，進而影響到企業內部控制的效率和效果。企業管理者的素質不僅僅指知識與技能，還包括道德觀、價值觀、世界觀等各方面。企業承受營業風險的種類、整個企業的管理方式、企業管理階層對法規的反應、對企業財務的重視程度以及對人力資源的政策及看法等，都深深地影響著內部控制的成效。

在信息化條件下，加強人力資源的管理，是企業完善內部控制的基礎。企業實施信息化后，對員工業務素質和道德素養提出了更高的要求。員工不但要熟悉更多的業務流程，而且還要熟悉信息系統的操作方法。因而人力資源管理的目標主要是通過相應的人事政策激勵員工和制定良好的培訓政策等提高員工的素質。同時，由于信息化條件下與信息資源相關的風險的存在，要求企業制定良好的績效考評機制和激勵約束機制。對員工進行道德素質教育，引導其形成良好、健康的心態，增強其組織歸屬感，信賴感;加大懲罰力度，如在職員發生偏離內部控制行為時，給予經濟上的重罰，同時在內部媒體中進行披露;對于嚴重的偏離行為，還可以采取解聘、甚至尋求法律途徑進行處罰，以防范內部人員的道德風險。

(五)建立安全管理控制制度，保證網絡和信息系統的安全

建章立制，強化企業內部制度，實行系統信息化管理以后，信息系統的正常、安全、有效運行的關鍵是操作使用。如果單位管理制度不健全或實施不力，都會給各種非法舞弊行為以可乘之機。因此，管理方式和對象的改變，也給內部控制下的制度賦予了新的內涵。應嚴格機構和人員的管理與控制，對各類人員制訂崗位責任制度;應嚴格系統操作環境管理和控制系統;制訂一套完整而嚴格的操作規定來控制操作程式。操作規程應明確職責、操作程式和注意事項;應建立健全檔案管理制度。這就要求在技術上對企業信息系統包括通信平臺、網絡平臺、操作系統平臺、應用平臺等在內的各個層次建立綜合的多層次的安全控制體系。為了防范來自外部的非法訪問，企業信息系統應建立訪問控制措施，如防火墻技術、郵件系統控制、網上信息查詢控制、漏洞掃描技術、入侵檢測技術等;為了防止會計數據在通過公共網絡傳輸過程中發生錯誤、丟失、泄密等事故，企業應采取數字簽名技術和數據加密技術等，保證數據安全、完整;修改、刪除數據時，隨時留存操作日志，留下操作的痕跡以便日后檢查;每次操作完成退出系統時，除進行數據備份等方法以外，為防止非法篡改，一些重要的數據庫文件，可以定義為專用文件，采用專門技術定義為隱形文件，未經授權，難以動用;采取專門的管理制度，如專機專用、專室專用等措施，以保證數據的安全;高度重視計算機病毒的防范，通過服務器的網絡殺毒軟件進行實時監控、追蹤病毒，同時可以掛接或捆綁防病毒軟件，加強自身的防毒能力，對外來的軟件和傳輸的數據必須經過病毒檢查，及時升級防病毒軟件。

綜上所述，內部控制實質上是企業完善管理的內部問題，是企業運用控制理論，通過管理信息系統實現企業內部管理的合理性、經濟性、效率性;加強企業在信息化環境下對會計工作的有效監管，維護資產和資源的安全和完整，提高經濟效益的重要管理手段。我國的企業管理必須引入或加強內部控制，完善信息化環境下的內部控制制度，以增強企業的競爭能力和生存能力，保證企業可持續發展。

(作者單位:弘生集團有限公司)