內部控制系統信息化建設若干問題研究

應立冬

【摘 要】 借助IT技術來開展內部控制管理，在我國業界已逐步形成共識。然而，面對即將到來的信息化浪潮，許多企業并未準備好。文章基于這種現狀，對內部控制信息化優勢進行闡述，提出了內部控制系統信息化的實施目標，并分析了實施過程中存在的主要問題。

【關鍵詞】 內部控制； 信息化； 實施目標

一、引言

2008年財政部聯合五部委制定發布《企業內部控制基本規范》（以下簡稱《基本規范》），到2010年的《企業內部控制配套指引》（具體包括《應用指引》18項、《評價指引》、《審計指引》），標志著我國內部控制框架體系已經形成，為摸索前行中的中國企業指明了方向，可以預見內部控制建設在我國將迎來全面提速的時代。據德勤的《中國上市公司內部控制分析報告》統計顯示，2009年52.94%及2010年46%的受調查企業表示企業缺乏與內部控制相關的信息系統，企業內部控制信息化建設將成為我國內部控制建設的一項主要課題。

二、內部控制系統信息化的優勢

《基本規范》將內部控制定義為：“內部控制是由企業董事會、監事會、經理層和全體員工實施的，旨在實現控制目標的過程”。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效益和效果，促進企業實現發展戰略。內部控制系統信息化就是：“以信息技術實現內部控制目標的全過程”，與傳統內部控制系統相比，內部控制系統信息化具有以下優勢：

（一）信息化提升了內部控制環境基礎

信息系統信息處理的制度化、規范化、流程化要求企業必須在企業結構、人員配備、作業程序、業務規則等方面做出變革，具備需要共同遵守的作業程序和業務規則，一旦設定，就必須遵照執行。從不規范管理到規范化管理是一場深刻的管理變革，要規范就必須改革。由此可見，內部控制系統信息化不是僅僅代替手工系統，而是要通過實施信息化達到改善內部控制環境現狀、提升內控質量和水平的目的。這種通過信息化來實施企業管理變革的模式，已經逐漸得到企業管理者們的認同，并有愈演愈烈之勢，“信息化的本質就是一場管理的變革”已深入人心。

（二）信息化豐富了內部控制的手段

“流程可視，過程可控”是內部控制信息系統的又一大優勢。在內部控制信息系統中，任何事件的結果都是由一定的流程所產生，結果不理想，可以從產生的結果倒推到作業過程中去找原因。信息化可以把每一項作業經歷的步驟都記錄下來存儲在案，可以追溯檢查，做到流程透明或可視化，提高了經濟業務的能見度。這種流程可視化，一方面可以豐富審計線索，強化對經濟業務事項的事后監督和分析；另一方面，通過計算機及網絡技術使經濟業務事項全程處于監控之中，有利于及時糾正甚至防范錯誤的發生。

（三）信息化提高了內部控制信息的質量

與傳統內部控制系統相比，依托于IT技術的內部控制信息系統的優勢還體現在：一是數據采集的多樣性，利用計算機及網絡技術，更多的財務或非財務信息被計算機終端接收并加以分類存儲，為內部控制提供廣而全的信息；二是信息實時共享，信息化管理打破了部門之間的屏障，依托于IT技術，可以實現信息集成與實時共享，來自終端的任何一個變化，相應的所有業務都能實時更新，保證了業務信息的新；三是快速響應，好的信息系統對于環境變化的響應應該是敏銳的，環境的復雜性最多體現在一個“變”字，我們處在一個變動的環境，世上唯一不變的就是變，令手工管理最頭疼的就是突發事件和意外事件，計劃總是跟不上變化，但是信息化可以通過計算機快速運算、網絡通信實時交流，以管理的速變來應對環境的多變，使計劃可以跟上變化。

三、內部控制系統信息化的實施目標

內部控制信息系統的構建是一項系統工程，具有內容復雜、涉及面廣、層次較多、時間較長等特點，實施過程中必然會經歷“化整為零”、“化零為整”的反復過程，為保證系統的有機性，降低實施風險，提高實施效率，就必須對內部控制信息系統的功能有一個準確的認識，確立內部控制系統信息化的實施目標。

（一）服務于企業總體目標

任何企業都有其特定的目標，要有效實現企業的總體目標，就必須及時對構成企業的各項資源進行合理的組織、整合和利用，也就意味著各項資源必須處于控制之下或在一定的控制之中運營。如果一個企業最終未能實現其總體目標，那就說明該企業在從事自身活動時，必然是忽視了資源整合的重要作用，忽視了經濟性和效率性的重要性。內部控制系統的目標是要直接促進企業目標的實現。因此，企業的內部控制必須以促進實現企業的最高目標為依據。內部控制信息系統的主要目標必然是幫助企業實現自身的戰略、市場、企業等方面的資源整合，最終達到企業價值最大化的總體目標。

（二）服從政策、程序、規則和法律法規

一方面，為實現企業的總體目標，管理者會制定出一系列政策、程序、計劃來協調企業的各種資源和行為，并以此作為監督企業運行并適時做出調整的依據；另一方面，企業還必須服從政府制定的法律法規、職業道德規則以及利益集團之間的競爭因素等所施加的外部控制。倘若內部控制不能充分考慮種種外部限制因素，勢必最終威脅企業的生存。因此，內部控制系統必須在遵循各相關法律法規和規則的前提下運行。特別是隨著近年來我國內部控制制度的不斷完善，關于企業內部控制的要求在不斷加快、更加嚴謹，使得企業面臨嚴峻考驗。

（三）提高資源利用效率

所有的企業都是在一個資源有限的環境中發展運行，一個企業實現其目標的能力大小關鍵取決于能否充分利用現有資源，因此，制定和設計內部控制必須充分考慮經濟性和效率性，將能否保證以最低廉成本取得高質量的資源、能否有效防止不必要的工作浪費作為其根據。管理者必須建立政策和程序來提高運作過程中的這種經濟性和效率性，并形成運作標準來對行動進行監督。信息系統的主要功能是整合資源，這些資源不僅包括企業的硬資源，更多的表現為軟資源。

（四）確保信息的質量

在內部控制系統中，除了建立企業的目標并制定政策、計劃和方法外，管理者往往還需利用可靠、相關和及時的信息來控制企業的行為。實際上，控制和信息本身就是密不可分的，決策導向性的信息會同時受制于內部控制，完備的內部控制是信息質量的重要保證。也就是說，一方面，管理者需要利用信息來監督和控制企業的行為，同時，決策信息系統特別是跨級信息系統也會依賴于內部控制系統來確保提供可靠、相關和及時的信息。否則，管理者的決策就有可能給企業造成不可挽回的損失。因此，內部控制系統必須要與確保數據收集、處理和報告的正確性的控制環節相聯系。

（五）保全企業的各項資源

資源的稀缺性客觀上要求企業通過有效的內部控制系統確保其安全和完整。對于資源的保護，主要有兩個維度。一是數量上，保護其完整不被丟失；二是質量上，保護其被有效利用不被損害。近年來，各種無形的資源已經越來越成為企業競爭中的決定因素，它們利用得好，會給企業帶來巨大的利益，但同時，由于其不具有實物形態，難以以常規的方法對其進行控制。例如現代企業競爭中，信息的有效使用往往會決定企業的成敗，由于使用了信息技術，更多的信息以電子的形式存儲在服務器中，這就使得這些數據時刻面臨著來自網絡各終端的影響，保護這些信息的完整和不被損害，就需要建立嚴格的數據訪問制度，通過操作授權使重要的信息不能輕易地被接觸和使用。內部控制信息系統的建設目標，必須充分考慮到這些因素，確保不論是有形或是無形的資源都能在系統的監督下得到有效保護并被合理利用。

四、內部控制系統信息化實施的關鍵問題

內部控制系統信息化的實施本身是具有很大風險的，風險不可避免，卻可以預期和控制，重點是明確可能會導致實施工作陷入困境的關鍵問題。

（一）人才缺失的問題

目前，我國對于內部控制方面人才的培養明顯滯后于企業的實際需求。造成這種現象的主要原因在于：尚未形成內部控制學科體系，內部控制的教學往往是夾雜在其他專業領域中，難以形成正確的內部控制職業觀，不利于內部控制人才的培養；同時，從社會的認知來講，特別是近年來，我國理論界對于內部控制的研究，更多的是從公司治理、風險管理層面展開，內部控制的相關培訓也往往針對公司高管，造成內部控制建設不能深入人心。從短期解決內部控制人才缺失來看，較為可行的方法是進行員工培訓，并將其始終貫穿于內部控制的信息化建設過程中，自頂向下落實內部控制的思想理念，從而增強員工的主動參與意識，提高其積極性，保障內部控制建設信息化的順利進行。

（二）認識不清的問題

內部控制的本質和范疇也是困擾內部控制信息系統實施者的一個問題，造成這一認識上的混亂是有其社會背景的。內部控制的概念最先是在審計領域提出的，主要是用于會計監督和資產保全，這是最早人們對于內部控制的認識，這種觀點就是在現今，也依然被很多人堅持，內部控制就是會計控制。隨著現代企業管理思想引入我國，并對企業的變革產生影響，內部控制的內涵越來越廣，開始回歸其企業管理的本質，內部控制的研究也從審計視角拓展到經濟學、管理學、組織學、社會學等諸多領域。一時間，我們看到了很多名字相同卻存在諸多差異的內部控制概念，眾多學者從自身的專業來闡述對內部控制的認識理解，眾說紛紜的同時，不但沒有深化和統一我們對內部控制的認識，反而使內部控制的基本輪廓越發模糊，這種認識上的混亂對于構建內部控制信息系統來講非常不利。

（三）投資效益分析片面的問題

內部控制信息系統的建設實施，需要企業付出很大的代價，有必要對項目的投資效益做出分析。其主要意義在于：進行投資效益分析會涉及多個部門，從而使更多員工和部門明白內部控制信息系統的經濟效益，加深對實施內部控制系統信息化必要性的理解，擴大群眾基礎；另外，投資效益良好同時也會極大地鼓勵管理層的熱情，進一步關注內部控制系統信息化進程，體現一把手工程；最后，投資效益分析也有利于企業對于內部控制信息系統建設的資金計劃和控制。投資效益分析的關鍵是對效益及成本的準確評估，但是需要認識到的是，效益或成本中，有些因素是可以量化的，有些卻是不可以的，比如對市場的快速響應、人力資源等，對于這些定性部分的內容，要盡可能地細化，能定量最好定量，不可忽略。

（四）架構技術選擇的問題

內部控制系統信息化建設時往往會面臨巨大的風險，這種風險主要表現為：軟件不斷發展，企業需求不斷增加，軟件功能模塊在不斷地擴充，成本問題將會日益凸顯；軟件對于運行環境的依賴性使得軟件的擴充只能是在現有的軟件、數據、平臺基礎上進行。因此，企業必須對現今的信息技術水平以及未來的發展趨勢有一個深入的了解。SOA（Service—Oriented Architecture）是面向服務的體系結構，主要解決軟件對于運行環境的依賴，提高業務流程靈活性。這種靈活性可以使企業加快發展速度，降低總體擁有成本，改善對及時、準確信息的訪問。SOA有助于實現更多的資產重用、更輕松地管理和更快地開發與部署。

【參考文獻】

[1] 德勤.中國上市公司內部控制調查報告2009[R].http：//bbs.pinggu.org

/t—hread—803972—1—1.html，2012

—05—25/2012—06—04.

[2] 德勤.內控建設繼續前行——2010年中國上市公司內部控制調查分析報告[R].http：//bbs.pinggu.org/

th—read—1012174—1—1.html，2012—

05—25/2012—06—04.

[3] 王立彥.企業內部控制（第1版）[M].北京：機械工業出版社，2007：110—112.

[4] 陳啟申.成功實施ERP的規范流程（第1版）[M].北京：電子工業出版社，2009：11—14.

[5] 財政部會計司.企業內部控制規范講解（2010）[R].http：//bbs.pinggu.org/t—hread—1447294—1—1.html，2012—05—25/2012—06—04.

[6] 南京大學會計與財務研究院內部控制課題組.內部控制：融入現代企業制度引發的思考[J].會計研究， 2011（11）：47—51.