信息技術條件下的內部控制方法應用

[摘 要] 在信息化環境下，企業的管理環境與管理理念不斷發生改變，也極大影響了企業內部控制方法和措施。本文從內部控制5大要素入手，分析了信息技術條件下內部控制方法的應用。

[關鍵詞] 信息化環境；內部控制方法

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 14. 017

[中圖分類號] F232 [文獻標識碼] A [文章編號] 1673 - 0194（2013）14-0033-02

在信息化環境下，信息技術的高速發展和普遍應用，企業的管理理念、運營模式和經營效率也隨之不斷發生改變，企業管理的手段不斷變化，管理內容和范圍不斷拓寬，并給企業內部控制帶來了新的問題與挑戰，對企業的內部控制方法和措施產生了新的影響。本文從內部控制的5大要素入手，闡述信息技術條件下的內部控制方法應用。

1 優化內部控制環境，培養企業整體的信息技術能力

在信息技術條件下，企業的內部控制環境不僅包括企業文化、治理結構、管理哲學、勝任能力、權責分配、人力資源政策，還包括信息技術、信息系統等。信息技術的應用不僅擴大了內部控制環境的范圍，還對原有內部控制環境中的要素產生了沖擊，企業應根據內部控制環境的特點來完善內部控制環境的建設。

1.1 培育良好的企業文化

良好的企業文化是信息技術條件下內部控制的第一道屏障。企業文化是企業長期形成的穩定的文化觀念和歷史傳統以及特有的經營理念和風格，是企業內部控制環境的重要內容。企業應當從經營哲學、價值觀念、企業道德、團體意識、企業形象、企業使命等幾個方面著手塑造企業文化，培育企業良好的內部控制環境，樹立企業形象，增強企業活力，使企業管理不斷完善，真正發揮企業文化的導向功能、約束功能、凝聚功能及激勵功能等，為實現企業的戰略目標服務。

1.2 建立健全的組織結構與權責分工體系

企業設置組織結構必須適合企業的實際規模，服務于企業的總體戰略，并且應按責權利相結合的原則對組織機構進行設置，當然還要考慮成本效益原則。為了適應信息系統的要求，企業應對原有的組織機構進行適當的調整，建立扁平化組織結構，使企業能對各種環境做出快速反應和決策，保持企業的競爭力。同時企業應研究和制定具有可操作性的責任分配與授權制度，部門之間責權存在交叉的部分要清晰界定，設立分享與合作的激勵制度，通過激勵，使員工更關注公司長遠的發展，從而消除舞弊的產生動機。

1.3 強調內部控制框架中的“軟控制”，提高管理層和員工的素質

內部控制制度都是有人執行的，因此企業管理層和員工的素質是企業內部控制的實施是否有效的關鍵。在信息技術環境下，企業尤其應該重視提高員工的素質，提高員工的勝任能力。同時注重培養員工的信息觀念，讓他們更好地重視和實現企業信息化建設和內部控制創新。要強調員工對信息技術的應用能力和對信息的獲取及整合能力，培養員工的快速反應和協調能力。另一方面企業應建立各項規章制度，建立企業員工的行為準則、道德規范。

2 評估企業風險，利用信息資源進行風險控制

在信息化環境下，網絡安全環境的不確定性使企業面臨的風險不斷增加，而且不斷出現新的風險，因此，對企業來說，擁有一個科學全面的風險管理體系至關重要。

2.1 強化風險預防功能

有效的企業內部控制制度是預防財務風險和增強預警功能的重要手段。傳統的企業內部控制制度規定，企業員工大多是在年末對已完成的會計信息進行檢查，從而發現企業的財務錯誤和舞弊。在日常工作中，企業大部分內部控制的預防功能被限制，這直接影響了企業經營者及所有者平時對內部控制制度的理解重視程度。在信息技術條件下，企業應設置專門的風險評估部門或崗位，承擔企業各種風險的識別、規避和控制工作。風險評估部門在日常工作中通過風險評估和識別程序，識別、評估與現行的企業業務全過程和信息過程有關的各種風險，并及時利用信息資源進行風險控制和規避。

2.2 建立全新的風險控制體系

在信息化環境下，企業的經營活動運行具有很大的不確定性，給企業帶來更多的風險，因此，企業的內部控制制度也要不斷創新才能保證企業的生產經營活動正常運行。因此企業應建立全新的風險評估制度， 由用戶、內審人員、維護人員、風險分析員等組成的風險評估小組定期對系統環境、功能進行全面的風險評估和弱點分析。在這個模型下，分析人員能夠借助于信息技術，利用企業的信息資源，及時將相關信息進行收集和整理，充分利用計算機的信息分析程序優勢進行敏感度分析，完善企業的投資決策，提高企業的風險管理能力。

2.3 注意識別新環境下的新風險

信息化環境下除了要界定和評估企業的戰略風險、經營風險外，還要界定和評估由于信息技術的應用而產生的新風險，如信息系統規劃建設的治理風險、軟件中內部控制機制漏洞風險、系統運轉的不穩定性風險、操作中的人為風險等。

3 改變信息溝通方式，建立信息系統控制機制

在信息化環境下，企業能夠實現信息處理和傳輸的實時化、動態化，保證具有相應權限的人員能夠順暢、快捷訪問所需要的信息，并實現信息的實時交換，保證信息在組織中的順暢流動。為了滿足業務目標，企業應建立一套信息系統控制的方法和措施。包括制度規范和技術方法2大類。

3.1 制度規范

在信息化環境下，企業應制定相應的制度規范，作為一種預防性措施，約束系統開發、應用、維護過程中相關人員的行為。主要包括對企業信息系統設備、軟件系統、數據資源進行接觸、維護和保管的各種管理制度；系統操作人員的職責分工制度；系統操作人員的權限規定制度；系統開發、使用和維護人員的職責分離制度；信息系統的內部審計制度等。

3.2 技術方法

技術方法是一種預防、檢查、糾正的綜合性控制措施，例如企業可以使用防火墻技術、數據庫自動備份與恢復技術（或異地數據備份與恢復技術）、口令密碼技術、病毒檢測與殺毒技術、數據加密技術以及電子商務安全技術等。

4 增強控制活動，充分引入信息技術

4.1 授權和審批

信息技術條件下，授權和審批的設計和執行應由制度控制和計算機程序控制共同組成。企業的制度控制與傳統環境下內部控制相同，企業應根據常規授權和特別授權的各項規定，明確各崗位的職責權限和審批范圍。而程序控制是指在執行時，要對每一個有權接觸信息系統的人員設定其用戶身份鑒定、口令設置、密碼保護、電子簽章，明確授權批準的業務類型和數量，這樣可以對其所應接觸的數據進行合理限制，對于超級用戶要建立相應的牽制制度，保證內部控制執行的有效性。

4.2 職責分離

在信息化環境下，企業的崗位設置也要充分考慮職責分離，才能保證企業的各項生產經營活動均是由被批準或被授權的職員執行，保證內部控制制度的有效執行。①信息系統硬件與軟件管理應由不同的職員負責，系統程序設計人員、后續維護人員以及系統使用人員之間應做到職責分離；②對于不兼容職務相互分離要進行控制、企業要建立一系列的規章制度，如風險控制、預算控制、財產保全控制、會計控制、內部報告制度控制和職務定期輪換制度。③重大事項的決策和執行很好地分離，業務決策人員與經辦人員權限設置全面分離制約，將業務授權、業務執行、業務記錄、業績檢查很好地進行職責分離等。

4.3 資產接觸與保護

企業應建立有效的資產接觸制度，未經授權的人員不能接觸相應的資產，以確保企業資產的安全完整。比如企業應制定上機授權操作規程，并采取一定的措施加以控制，防止未經授權的人接觸信息系統和重要記錄，例如采用閉路監控、安裝安全報警器、微機終端加鎖等；為保障系統的環境安全，對硬件設備安裝防水防火、抽濕、防塵和防盜裝置，同時，制訂災難應急預案、災難補救計劃和系統恢復計劃；如果企業需要在互聯網環境下運行系統，應設置防火墻、建立周邊監控系統、遠程處理控制、大眾訪問控制、電子商務控制等。

5 強化監控，建立信息化的監控系統

5.1 建立起一個信息化的監控系統

在信息化環境下，企業可以建立起一個信息化的監控系統，借助信息技術可以自動完成企業一部分的監控過程，可以使企業實現實時監控，能夠做到實時了解系統的運行狀態，這樣就能夠根據情況的變化，對信息系統內的控制程序、控制參數，評估業務流程控制點等進行評估，根據企業要求更改系統的控制程序和參數。同時，建立內部控制缺陷報告制度，一旦出現嚴重的問題應及時報告給企業高層管理當局和董事會。

5.2 進行會計信息系統審計與內部控制評估

為了保證信息系統的可靠性、安全性和有效性，企業應定期進行會計信息系統審計和內部控制評估。首先企業應成立專門的信息系統審計小組，小組成員由審計人員和信息技術人員構成，并具有獨立性，保證其客觀公正地進行審計工作。對于內部控制評估，企業應做到內部、外部審計相結合。引進并強化外部監督機制，加強媒體和社會公眾對公司的監督，從而有效地做到實時的監控、約束和引導，確保組織目標的實現。

主要參考文獻

[1]胡興國，王晶.信息化背景下內部控制體系建設研究[J].財會研究，2009（3）.

[2]章鐵生.信息技術條件下的內部控制規范：國際實踐與啟示[J].會計研究，2007（7）.

[3]王海林.信息技術環境下的內部控制建設的思考[J].中國注冊會計師，2011（4）.

[4]梁麗娟，楊曉玲.信息化環境下企業內部控制機制構建[J].財會月刊：綜合版，2010.10.

[5]張先治.企業內部控制系統模式創新與選擇研究[J].東北大學學報，2009（1）.