基于信息技術的內部控制研究

摘 要:介紹了內部控制的定義，然后闡述了內部控制的內涵，以及什么是企業的目標，最后研究了在信息技術條件下對于企業內部控制的意義與作用。

關鍵詞:內部控制;企業目標;實時管理

中圖分類號:F23

文獻標識碼:A

文章編號:1672-3198(2010)07-0270-02

內部控制的研究歷來備受會計與審計領域的關注。健全的內部控制被視為能夠解決許多潛在問題的有效方法。而現今隨著信息技術的發展，使得內部控制更易于實現，起到“實時”管理與反饋的效果。

1 內部控制的定義

人們對內部控制的定義經歷了從簡單到復雜、從靜態到動態、從以制度為本到以人為本的一種邏輯演繹，體現了人們對內部控制認識的逐漸深化，加深了人們對內部控制的進一步理解，從而使人們對內部控制這一客觀事物的認識更能貼近事物的本原。所謂內部控制，是由企業建立的，通過約束和激勵等手段，以保障企業各利益相關者的行為能夠按契約的要求進行，并能夠促使契約自我優化的一種系統化的機制，其目的是為了實現企業目標。

2 內部控制的內涵

由于國際上虛假財務報表事件時有發生。為此，美國成立了“反虛假財務報告委員會”(即Treadway委員會)。COSO(The Commitee of Sponsoring Organization of the Treadway Commission簡稱COSO)從屬于Treadway委員會，專門致力于內部控制研究。1992年提出了“內部控制-一體化結構”的研究報告，根據其理論，內部控制由5部分組成:

2.1 控制環境

控制環境是內部控制體系整體框架的基礎，是有效實施內部控制的保障，直接影響著企業內部控制的貫徹執行、企業經營目標及整體戰略目標的實現。控制環境確定了公司的總體態度，是內部控制所有其他組成要素的基礎。是所有其他內控組成部分的基礎，也是反映政府、銀行、非銀行金融機構以及生產性企業的各級管理層對內控的要求。控制環境中的要素有價值觀、激勵與誘導機制、精神指導、員工能力、管理哲學與經營風格、組織結構、規章制度和人事政策等等。主要的問題是管理層要充分說明內控的完整性:公司要有積極的控制環境，使整個組織中的員工具有控制覺悟和自覺的控制態度，特別是高級管理層要積極地進行控制;員工的能力與其責任要相匹配。

2.2 風險評估

風險評估是識別及分析影響公司目標實現的風險過程，是風險管理的基礎。在風險評估中，應識別和分析對實現目標具有阻礙作用的風險，明確在重要會計科目、披露事項和相關財務報告認定中產生重大錯報的風險。風險評估中的要素包括:對整體目標和業務活動目標的制定和銜接、對內部和外部風險的識別與分析、對影響目標實現的變化的認識和各項政策與工作程序的調整。

風險的識別與評估強調有效的內控系統需要不斷地識別和評估有可能阻礙實現目標的種種物質風險。這種評估應包括公司和公司集團所面對的全部風險。需要不時調整內控，以便恰當地處理任何新的或過去不加控制的風險。

2.3 控制活動

控制活動是為了合理地保證經營管理目標的實現，指導員工實施管理指令，管理和化解風險而采取的政策和程序，包括高層檢查、直接管理、信息加工、實物控制、確定指標、職責分離等等。在控制活動中主要關注控制與風險評估過程的聯系、控制活動的適當形式及其實施、對執行政策和管理指令的保證、控制活動的針對性(尤其是對信息系統的控制)等等。有關控制活動和職責分離的原則包括:

(1)控制活動應當是公司日常工作的不可分割的一部分。有效的內控系統需要建立適當的控制結構，明確定義各經營級別的控制活動。這些活動應當包括高層審查、對違規經營的跟進情況、批準和授權制度、查證核實與對帳制度。

(2)有效的內控系統需要適當分離職責，人員的安排不能發生責任沖突。要識別和盡力縮小有潛在利益沖突的地方，并遵從謹慎的和獨立的監督評審。

2.4 信息與交流

存在于所有經營管理活動中，使員工得以搜集和交換為開展經營、從事管理和進行控制等活動所需要的信息，包括管理者對員工的工作業績的經常性評價。在信息方面要注意內部信息和外部信息的搜集和整理;在交流方面也要注意內部和外部信息的交流渠道和方式。有關的原則包括;

(1)一個有效的內控系統需要充分的和全面的內部財務、經營和遵從方面的數據，以及關于外部市場中與決策相關的事件和條件的信息。

(2)有效的內控需要建立可靠的信息系統，涵蓋公司的全部重要活動。這些系統，包括那些以某種電子形式存儲和使用的數據的系統，都必須受到安全保護和獨立的監督評審，并通過對突發事件的充分安排加以支持。

(3)有效的內控系統需要有效的交流渠道，確保所有員工充分理解和堅持現行的政策和程序，影響他們的職責，并確保其他的相關信息傳達到應被傳達到的人員。

2.5 監督評審

監督評審是經營管理部門對內控的管理監督和內審監察部門對內控的再監督與再評價活動的總稱。監督評審可以是持續性的或分別單獨的，也可以是兩者結合起來進行的。主要應關注監督評審程序的合理性、對內控缺陷的報告和對政策程序的調整等等。在監督評審活動和缺陷的糾正方面應當遵循下述原則:

(1)應當不斷的在日常工作中監督評審內控的總體效果。對主要風險的監督評審應當是公司日常活動的一部分，并且各級經營層和內部審計人員應當定期予以評價。

(2)對內控系統應當進行有效和全面的內部審計。內審要獨立進行，應得到適合的培訓，并配備稱職和得力的人員。內審作為內控系統監督評審的一部分，應當向董事會或其審計委員會直接報告工作，并向高級管理層直接報告。

(3)不論是經營層或是其他控制人員發現了內控的缺陷，都應當及時地向適當的管理層報告，并使其得到果斷處理。應當把有關物質的內控缺陷報告給高級管理層和董事會。

3 內部控制的目標

2004年10月，Treadway委員會針對國際企業界頻繁發生的經營管理人員舞弊現象(內部控制風險強調不夠)，廢除了原用很久的企業內部控制報告，頒布了一個概念全新的COSO報告，即《企業風險管理-總體框架》新的風險管理框架無論在內容還是在范圍上都有所擴大和提高。具體表現在:

(1)提出了一個新的觀念-風險組合觀。企業風險管理是一個過程，風險管理要有效，則其設計必須包括所有的要素并堅決執行。

(2)增加了戰略目標。在原有的經營、財務報告和合法性目標基礎上，提出比原有三個層次更高的戰略目標，并擴大了報告目標的范疇。戰略目標來源于企業的任務或對未來的預期，經營、報告和合法目標都與其相關。企業的風險管理在應用于實現企業其他三類目標的過程中，也應用于企業的戰略制定階段。

(3)增加了三個風險管理要素，即“目標制定”、“事項識別”和“風險反應”。把企業風險管理分為內部環境、目標制訂、風險評估、事項識別、風險反應、控制活動、信息和溝通、監控八個相互關聯的要素，主要貫穿在企業經營管理過程中。新的框架強調在整個企業范圍內注意管理風險的重要性，強調企業的風險管理應針對企業目標的實現在企業戰略階段就應該考慮。

4 信息技術觀的內部控制

基于信息技術的內部控制實現主要體現在內部會計控制部分。隨著計算機在會計工作中的普遍應用，管理部門對由計算機產生的各種數據、報表等會計信息的依賴越來越大，這些會計信息的產生只有在嚴格的控制下，才能保證其可靠性和準確性。同時也只有在嚴格的控制下，才能預防和減少計算機犯罪的可能性。信息技術為達到記錄、維護和產生精確、完整和及時的信息這一目標帶來了機遇。但是，當企業在系統的開發與應用時，應更加強調，在業務活動發生時，在有關數據進入企業數據庫之前，檢查這些數據的精確性、完整性和合法性。如果不恰當的數據出現在記錄和維護過程中，將會對公司造成某種程度的傷害。如果不精確、不完整、不合法的數據被記錄和維護，結果會影響以后的所有處理，包括錯誤的報告和信息利用的質量。

4.1 提升內部會計控制系統的預防性功能

一個有效的內部會計控制制度需要預防性的、檢查性的和糾正性的控制。傳統的內部控制制度通常是根據已輸出的會計信息在年末檢查財務錯誤和舞弊，大部分的內部控制的預防功能被限制了，這也同時影響了企業的所有者和經營者對內部控制制度的理解與重視程度。在信息技術環境下，廣泛地使用信息技術為支持決策和改善業務與信息過程提供了戰略機會，也提供了預防、檢查和糾正錯誤或舞弊的機會。我們今天的技術水平已能在計算機中加入芯片，隨時監控你的工作和運行程序，在你犯錯誤或程序出現問題時及時提示你該做什么，或與技術支持相聯系，向他們報告問題。因此，會計與審計人員在建立內部控制制度時，應充分考慮技術的能力，打破傳統上獨立的、反映的和檢查性的模式，而具備“實時”的控制思想:即利用信息技術將控制嵌入到會計信息系統中，在更廣泛的IT環境中來看待企業內部控制，針對關鍵控制點制定相應的控制手段，強調預防、業務操作和對規章制度的遵守情況，從傳統的發現問題、事后補救的做法，發展為做到事前預防和事中控制。

4.2 實現信息化一體化集成管理

企業應在新環境下，通過信息化的手段完成產、供、銷業務的連貫，實現財務處理與業務處理的一體化，建立一個實時有效的計劃和預算系統。在流程信息化的過程中，改革傳統的業務結構，提高運營效率，降低成本，加強企業內部基礎管理的規范性。

參考文獻

[1]章鐵生.信息技術條件下的內部控制規范:國際實踐與啟示[J].會計研究，2007，(7).

[2]陳志斌.信息化生態環境下企業內部控制框架研究[J].會計研究，2007，(1).