信息化環境下企業內部控制的推進模式探究：基于《企業內部控制配套用指引》

楊 靜

（河海大學，南京，211100）

1 企業信息化環境和企業內部控制的概述

1.1 企業信息化的含義

企業信息化是指企業基于業務流程的重構和優化，在一定程度上利用信息技術和數據庫技術，集成和控制并形成管理企業生產經營活動中的各種信息，同時實現企業內外部信息的共享和合理利用，以提高企業的市場競爭力，并獲得更高的經濟效益，這是企業自身發展到一定程度的必然需求。

1.2 內部控制含義

內部控制系統對企業經營全過程進行監督，防范風險、堵塞管理漏洞、提高經營效率，為了使內部控制系統發揮最大的作用，并遵循成本效益原則，企業的管理者應利用內部控制系統，查出在信息化環境下無效的模塊或者有漏洞的模塊，以此來不斷完善信息化環境下的內部控制系統。實現強化管理，提高企業的競爭能力和應對風險的能力。通過對在信息化環境下建立的內部控制系統，保證企業提供信息的可信度，為投資者提供真實有效的信息，做出最科學的決策。建立信息化環境下的企業內部控制系統，有助于提高內外部審計工作的效率，保證財務信息的真實性和審計結論的準確性。

2 企業在信息化環境下建立內部控制的意義

從本質上說，在信息化環境下建立內部控制比在傳統條件下建立內部控制系統，是為了防范由于信息技術和信息系統而產生的風險，并進一步樹立投資者的信心。在復雜的市場經濟環境下經營的企業，投資者對企業投資不僅要考慮到企業的財務狀況，同時出于長遠發展的考慮，投資者還需要掌握企業防范風險和抵御風險的能力。所以，只建立傳統意義上的內部控制制度是遠遠不夠的，為完善信息化環境下的內部控制是切實可行的。

內部控制是企業面對風險的“防護林”和“防火墻”。如果沒有健全的內部控制系統，企業將面臨嚴重的系統風險和非系統風險。盡管我國已經出臺了《內部控制基本規范》、《內部控制應用指引》、《內部控制評價指引》等一系列的法律法規，但是內部控制作為巨大的系統工程，內部控制的實施效果遠遠未達到預期的效果。企業又處于一個不斷變化的環境，為了使企業的內部控制能夠適合企業的發展，因此，內部控制的完善是一個動態的循環過程：設計-執行-評價-改進，是一個循序漸進的過程，不存在著一日之功。

3 信息化環境下企業內部控制各要素的新變化

3.1 內部環境

企業內部控制中的一個宏觀因素就是內部環境，內部環境本身雖然不能發現企業的舞弊或者其他重大錯報，但是良好的控制環境有助于企業營造誠實守信和合乎道德的文化。企業內部控制規范中對內部環境中人員的勝任能力、管理層的管理理念和風格、人力資源的政策等都有明確的規定。在信息化環境下的企業內部控制對人員的勝任能力、管理的理念和風格、人力資源等都有了更高的要求，比如，企業財務人員不僅要全面掌握最新的財務知識，還要通曉信息化方面的知識，要要懂得使用會計財務軟件等。

3.3 控制活動

控制活動是企業實施風險控制的主要方法，企業依據風險評估結果，建立控制風險的模塊，如授權控制、業績評價控制、信息處理控制、實務控制和職責分離控制。特別是在信息處理和職責分離這兩個控制是受信息化影響較大。在信息化環境下信息處理的效率雖然大大提高了，但是對于非常規數據，信息技術對數據的處理就容易產生較大的風險。職責分離的控制活動在信息化環境下通過設置邏輯訪問密碼進行控制。

3.4 信息與溝通

信息化環境下信息集成形成共享平臺，通過使用信息技術，擴大了信息溝通的范圍，實現信息完整、迅速的傳遞。而在信息化環境下，經營活動過程中的信息傳遞有了根本性的轉變。不論是信息內部傳達和外部傳達都實現了質的飛越。如信息傳達無需產生紙質文件，不僅節約成本還可以保護環境；傳遞不需要經歷很多層級一級一級下達，信息化環境后可以實現直接傳達，目的更明確、更快捷；同時也實現了信息傳遞的準確性，即不會產生信息冗余和失真。信息化的實現還使企業與外部溝通更迅速快捷，如供應商、分銷商、零售商等，信息溝通更及時，使企業能迅速抓住商業機會。

4 信息化環境下完善內部控制的對策

4.1 完善內部控制規范，建立科學的內部控制制度

完善內部控制，需要嚴格統一的內部控制制度規范。統一、完善的內部控制制度基本規范是推動內部控制建設的法律保障，同時也是加強內部控制建設標準。現行的《內部控制基本規范》存在著很多的不足。如今，信息化環境對企業產生了深遠影響，建立給予業務流程設計的企業內部控制更為科學有效，因此，信息化環境下企業內部控制體系的應用不僅僅是軟件系統及網絡技術的使用，還應用到企業的業務流程、內部控制的管理體系。企業內部控制的設計和實施都應適合環境條件的變化。

4.2 完善信息化環境下的監督機制

完善信息化環境下內部控制監督機制需要隨著信息化環境下的變化內部控制也應進行相應的調整，以制度評價為基礎的現代審計必然會發生較大的變化，出臺信息環境下的審計準則，不僅有利于審計工作的執行，更有利于完善企業的內部控制。我國僅制定《獨立審計具體準則第 20 號——計算機信息系統環境下的審計》規范，CPA在信息化環境下執行審計業務時應采取的措施和程序。但并未明確如何跟蹤信息系統保留的審計軌跡，也未明確有關信息化環境下審計事項的披露情況等，在具體操作方面的規范和指導遠遠不夠。

4.3 公司治理結構和企業管理體系應體現企業內部控制制度

基于《內部控制基本規范》可以發現內部控制與企業經營活動緊密的結合在一起。在生產經營過程中，一方面作為既定的標準，以規范各項日常經營業務活動；另一方面通過嚴格的監督活動在實際行為偏離標準時加以修正。因此，建立企業內部控制制度，不能僅從會計入手，應滲透到企業各個層次的管理組織體系，貫穿于公司治理結構和企業管理體系的始終。因為，建立有效的公司治理結構和企業管理體系的宗旨就是，在股東大會、董事會、監事會和管理層之間合理配置權限和明確各自職責、公平分配利益和建立有效的激勵、監督機制。

4.4 健全信息化環境下會計檔案管理制度

健全信息化環境下會計檔案管理制度一般包括的內容：（1）完善信息化環境下會計檔案管理制度的建立，加強會計信息電子檔案管理，保證會計信息相關的數據資料及時存檔，實施符合本企業信息化檔案管理的具體辦法，對信息化環境下會計檔案的保管方式、以及信息化環境下會計檔案保管人員的職責做出了明確的規定，并形成有效的約束機制。（2）完善硬件設施。選用符合本單位業務的信息化環境下的會計軟件，最好是具有檔案管理輔助功能的信息化環境下的軟件。（3）嚴格控制信息安全和保密制度。會計檔案應實施保密保管，嚴防毀損、丟失和泄密，對于借閱相關文件資料，應該履行相應的借閱審批手續，經手人必須簽字和蓋章，并形成相關的記錄。對信息化環境下的會計檔案管理要做好相應的管理工作。重要會計檔案應備份，存放在兩個或兩個以上不同的地點。

4.5 合理設置人員崗位

合理設置人員崗位，對保證會計信息的及時性、準確性、安全性具有重要作用，這就要企業建立信息化環境下信息系統登記制度，要在計算機里自動生成文件，用來記錄進入系統的相關人員的時間、身份以及操作內容等情況。隨著計算機操作系統不斷更新，技術不斷提高，所以必須增加相應專業人才的隊伍，并明確崗位職責和權力范圍，加強人員隊伍的建設，合理配備相關人員，為提供更為有效的會計信息打下良好基礎。信息化環境下相關信息較傳統相關信息易于修改，因此對于信息管理人員具有良好的職業道德和必要的信息資料管理的知識，還要根據本單位實際情況，科學配備相關人員并且進行合理的人員分工。

[1]Eisenhardt,E.M.Control:Organization and Economic Approaches[J].Management Science,1985.21(2):134-149

[2]Ashbaugh-Skaife,Daniel W.Collins,William R.Kinney Jr.The discovery and reporting of internal control deficiencies prior to SOX-mandated audits.JAE.2007.44

[3]劉靜，李竹梅.內部控制環境的探討[J].會計研究.2005(02)

[4]丁瑞玲，王允平.從典型案例分析看企業內部控制環境建設的必要性[J].審計研究.2005(5)

[5]劉春華.企業內部控制評價體系的構建[J].中國管理信息化,2010.8

[6]李春瑜.PCAOB審計師內部控制測評流程和方法[J].審計與經濟研究.2006,11