IT環境下企業內部控制實施模型研究

孫蓮香

[摘 要] IT環境對于內部控制來說不僅僅是技術手段的變革，而是理念、思路、過程等整體的革新。本文試圖提出IT環境下企業內部控制實施模型，探討IT環境下企業內部控制實施之道，從規劃、集成、治理的角度構建企業內部控制實施模型。

[關鍵詞] IT環境；內部控制；實施模型

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 10. 016

[中圖分類號] F232；F239.45 [文獻標識碼] A [文章編號] 1673 - 0194（2014）10- 0024- 03

0 引 言

隨著我國信息化水平的加速發展，企業信息化水平的步伐必然加快。根據用友軟件股份有限公司發布的《2010年中國企業信息化指數調研報告》，中國企業信息化指數達到48.06，總體處于由基礎應用和關鍵應用向擴展整合與優化升級過渡階段，中國企業整體信息化成熟度已經基本達到中等水平。在IT基礎設施建設滿足IT基礎應用和IT關鍵應用之后，如何將IT應用于企業內部控制管理越來越受到關注，同時IT應用本身帶來的風險和問題也越來越突出。

伴隨著我國企業信息化的不斷發展，國家相關政策和監管部門早已開始重視這個問題。2006年6月，上海證券交易所發布《上海證券交易所上市公司內部控制指引》指出公司使用計算機信息系統的，應制定信息管理的內控制度；2006年9月，深圳證券交易所發布《深圳證券交易所上市公司內部控制指引》指出公司的內部控制活動應包括信息系統管理，并建立信息系統安全管理制度。2008年5月，財政部會同證監會、審計署、銀監會、保監會發布《企業內部控制基本規范》中要求“企業應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素”。

因此，企業信息化的不斷發展和對內部控制的自身需要以及來自外部的監管要求促使企業必須考慮和重視IT環境下企業內部控制如何實施的問題。雖然目前從理論界和實務界普遍認為信息技術是實施內部控制的重要手段，但是在IT環境下如何應用信息技術實施企業內部控制仍是需要深入研究的問題。

1 IT 環境與企業內部控制的關系

1.1 企業內部控制的IT環境

從哲學上講，環境是一個相對于主體而言的客體，它與其主體相互依存，其內容隨主體的不同而異。按照環境的哲學定義，IT環境是一個相對于主體而言的與信息技術相關的客體，它與其主體相互依存，為主體提供了信息獲取、存儲、傳輸的手段和方式，根據主體需求的不同具有不同的表現方式。隨著全球計算機技術和網絡技術的高速發展，我們學習、工作和生活無時無刻不處在一個IT環境中。在IT環境中我們的語言、文字、行為、圖像、聲音等全部以數字化的方式進行獲取、傳遞、存儲和轉換等。

IT環境下企業通過將信息技術廣泛應用于企業經濟活動中，在生產、經營及其管理各項活動中充分利用現代信息技術和信息設備，輔以網絡技術和網絡設備以及自動控制技術和現代化通訊系統等手段對企業進行全方位、多角度、高效和安全的改造、信息資源的深入開發和廣泛利用，實現企業生產過程的自動化、管理方式的網絡化、決策支持的智能化、商務運營以及現金運轉的電子化，不斷提高生產、經營、管理、決策的效率和水平，進而提高企業經濟效益和競爭力，我們把這個過程稱之為信息化過程。

信息化過程改變了企業數據存取、保存、傳遞的方式和生產經營模式，提高了業務運轉與管理的效率、業務流程的自動化以及信息的價值化。因此，在IT環境下企業的內部控制重點和模式隨之要發生相應的變化，企業內部控制系統的實施、運行、維護、評價和審計也將發生很大的變化，我們將信息技術對企業內部控制系統的實施、運行、維護、評價和審計有影響的關鍵要素的綜合體稱之為企業內部控制的IT環境。

1.2 手工環境下與IT環境下企業內部控制實施的差異分析

從內部控制理論的發展過程可以看出，內部控制研究經歷了從“方法程序觀”到“系統觀”，再到目前的“過程觀”和“風險觀”的發展，內部控制的理論研究與實踐應用與企業所處的社會、經濟、管理、技術環境的變化，“老三論”“新三論”等認識論的產生與發展，企業管理理論的發展密不可分。其中IT的產生與發展使企業所處的內外環境、面臨的風險更為復雜化，進而推動了內部控制理論和實踐的前進。

本文認為，IT環境對企業內部控制的影響是毋庸置疑的，相對于以前手工環境下的企業內部控制，在IT環境下企業內部控制重點和模式隨之都發生了重大改變，它們之間的區別如表1所示。

2 IT環境下企業內部控制實施需要解決的幾個問題

我國已于2012年1月1日在A股上市公司全面實施《企業內部控制基本規范》極其配套指引，在IT環境下如何融合信息技術推進和實施企業內部控制規范，是擺在各企業管理者前面的一道難題。根據德勤2010年中國上市公司內部控制調查分析報告顯示，約46%的企業認為缺乏與內部控制相關的信息化手段是內部控制效果不佳的重要原因。隨著信息技術的不斷發展，內部控制與信息化的不斷融合已經成為一種必然趨勢，但是信息化具有的內生風險對內部控制有效性的影響，需要特別關注。

我國內部控制基本規范及配套指引發布后的2～3年是上市公司或大中型企業推進和實施內部控制規范的關鍵時間。根據國外的經驗來看，大型企業實施內部控制規范的準備時間一般都在兩年或兩年以上，實施內部控制規范需要大量的準備工作；另一方面，實施內部控制規范的成本也相當高，實施內部控制規范實際上是對企業業務流程的再造，需要增設專門的崗位、專門的人員，制定相應的流程，還包括聘請專業的咨詢公司和開發內部控制系統等。因此，實施內部控制規范必然會面對諸如轉化內部控制規范為實際工作的具體指導、通過業務流程再造將內部控制要求與公司業務流程相結合、規劃設計管理信息系統嵌入內部控制規則、建立有效的內部控制監督機制以及控制內部控制實施的高昂成本等眾多問題。

IT環境作為實施內部控制所依賴的信息條件和技術條件的綜合體，主要包括網絡平臺、數據庫平臺、管理軟件平臺等關鍵要素。其中網絡是信息傳輸和交換的平臺，數據庫是信息存儲的平臺，管理軟件是信息利用的平臺。在IT環境下，信息資源是內部控制系統使用的最重要的資源，信息技術則成為內部控制系統實現的載體。

本文認為，在IT環境下實施內部控制系統需要解決以下3個問題：

2.1 信息資源規劃

信息資源規劃是對企業內部控制所需要的信息，從產生、獲取，到處理、存儲、傳輸及利用進行全面規劃的過程。內部控制的基礎是信息，準確的信息是有效內部控制的前提條件，內部控制系統的運行也依賴于信息。而信息反饋對內部控制來說非常重要，信息反饋是系統進行任何環節調整的前提，沒有信息反饋也就很難達到系統的穩定狀態。

因此信息是內部控制系統的中心，而且相對穩定，控制點經常是多變的，而信息是較少變化的。在IT環境下信息來源于數據，數據存儲于數據庫系統。內部控制工程要解決的第一個問題是通過信息資源規劃，建立信息資源標準，實現企業主題數據庫和數據倉庫。

按照控制環境、風險評估、控制活動、信息溝通和內部監督分類進行控制信息資源規劃，建立五大信息資源。

2.2 系統整合與集成

從系統論的觀點，系統是由相互聯系和相互作用的若干要素有機地結合成特定結構，從而具有不同于各個要素的新功能的整體。內部控制系統的構成要素由一系列的控制點、控制線、控制面和控制體組成。

系統整合與集成，就是基于整體論將內部控制各控制點內置于信息系統中，通過信息溝通維持各控制點的關系，信息的流動就形成了控制線，控制點與控制線的有機結合，構成控制面，而控制點、線、面的有機結合又形成了一個內部控制系統整體。

2.3 系統運行風險治理

在IT環境下，內部控制完全依賴于信息系統，信息系統中軟件、硬件、組織、安全、人員、制度等任何一個環節的不穩定都會影響到系統的正常運行。因此，需要建立系統運行風險治理機制，保證系統安全、正常的運轉和執行。

3 IT環境下企業內部控制實施模型

IT環境下企業內部控制實施模型是指在IT環境下內部控制實施的思路、方法、步驟和過程按照一定的秩序和聯系組合形成的整體，以指導企業內部控制高質量的設計、應用和有效的維護。

本文提出IT環境下企業內部控制實施模型如圖1所示。

首先是進行內部控制信息資源規劃，主要包括基礎設施規劃、信息資源規劃、控制職能域規劃等。基礎設施是指根據企業當前業務和可預見的發展對信息采集、處理、傳輸和利用的要求，構筑由信息設備、通信網絡、數據庫和支持軟件等組成的基礎環境。內部控制系統的基礎設施規劃作為企業信息化基礎設施規劃的一部分，要符合企業信息化基礎設施規劃的目標和框架。信息資源規劃是建立信息資源管理基礎標準，建立和維護為內部控制服務的各種主體數據庫和數據倉庫。控制職能域規劃是根據企業業務流程現狀并按照《企業內部控制應用指引》的應用范圍進行控制職能劃分，重構和再造企業的業務流程。

其次要實現內部控制系統集成，通過分析控制職能域內和控制職能域之間的信息流動，對控制點、線、面進行有機集成，形成企業整體的內部控制體。在內部控制系統內確保各控制點、線、面之間的數據共享和一致，通過集成盡量減少內部控制的人為操縱，提升內部控制系統的效果。內部控制系統集成主要實現兩類集成。第一類集成是內部控制系統內部各控制模塊、控制關鍵點之間需要實現信息溝通，形成內部控制的合力，例如預算控制模塊需要與資金控制模塊、銷售控制模塊、采購控制模塊等集成，才能達到全面預算管理的目標；第二類集成是內部控制系統與企業系統的集成，將內部控制融合于企業內部管理之中，使企業在日常經營管理過程中自然地實現了內部控制，這是內部控制工程應用的理想狀態。

最后對IT環境下內部控制實施的風險通過治理來保證內部控制系統的順利實施和運轉，以減少內部控制系統運行的風險。決策、激勵和控制是治理的三大支柱。決策包括IT戰略與架構、IT需求管理等，激勵包括IT人員的管理、激勵、績效等，控制包括IT項目控制、IT運維控制、信息安全控制、信息系統審計等。此外，企業信息化一直都被認為是“一把手工程”，在IT環境下內部控制實施也強調需要董事長或總經理作為內控實施責任人。因此無論是從信息系統建設的角度還是內部控制實施的角度，在IT環境下內部控制系統實施必然要作為一把手工程來部署和安排。IT環境下內部控制系統不是一蹴而就的，需要不斷進行持續改進，定期對內部控制系統運行的各個環節進行分析、診斷，不斷發現和改進制約內部控制系統的各種因素，通過決策、激勵和控制的持續改進活動，提高內部控制系統的靈活性和應變性。

4 結 語

IT環境下內部控制實施應從系統論視角出發，按照規劃、集成、治理循序漸進的構建內部控制系統，實現將信息資源、信息技術與內部控制有效銜接。本文提出IT環境下企業內部控制實施模型，旨在為企業在IT環境下實施企業內部控制提供借鑒和參考。下一步該模型將應用于企業內部控制實踐中予以豐富和檢驗。

主要參考文獻

[1]池國華. 企業內部控制規范實施機制構建： 戰略導向與系統整合[J]. 會計研究，2009（9）： 66-71.

[2]陳志斌. 信息化生態環境下企業內部控制框架研究[J]. 會計研究， 2007（1）：30-37.

[3]陳麗蓉，周曙光. 內部控制系統論[J]. 財會月刊，2010（2）：9-10.

[4]楊周南，吳鑫. 內部控制工程學研究[J]. 會計研究，2007（3）：64-70.

[5]王海林. IT環境下企業內部控制模式探討[J]. 會計研究，2008（11）： 63-68.

[6]財政部會計司. 企業內部控制規范講解[M]. 北京： 經濟科學出版社， 2010：21-40.

[7]高復先. 信息資源規劃——信息化建設基礎工程[M]. 北京： 清華大學出版社，2002：5-23.

[8]用友軟件股份有限公司.2010年中國企業信息化指數調研報告[EB/OL].http：//www.ufida.com.cn/news/110125/20115725105738.shtml.

[9]德勤. 2010年中國上市公司內部控制調查分析報告[EB/OL].http：//www.deloitte.com/assets/Dcom-China/Local%20Assets/Documents/Services/Enterprise%20risk%20services/cn（zh-cn）_ers_2010intctrlsurveyrep_070411.pdf.