信息化下的內部控制

張夢瑤

摘 要： 信息化是由工業社會向信息社會前進的動態過程，以信息技術的廣泛應用為核心。信息技術對會計工作的影響從IBM最早使用的工資管理模塊到通用電器的電子數據處理系統（EDPS），再到目前會計電算化、會計信息系統的應用，特別對內部控制的影響有了質的飛越，控制重點由對人的控制轉變為人機的二重控制。

關鍵詞： 信息化 內部控制 風險 對策

一、信息化對內部控制的影響

信息技術誕生于20世紀40年代，各類企業管理軟件的技術平臺經歷了DOS、Windows平臺、Web平臺的轉變，軟件應用架構也經歷了單機應用（F/S）、聯網應用（C/S）、互聯網應用（B/S）架構的發展，這些技術方面的進步和發展，為財務管理提供了很好的平臺，先后出現了人工智能（AI）、專家系統（ES）、商業智能（BI）、智能化管理技術（AM）等，給企業帶來諸多益處。

1.信息化使企業的管理更加精細化。如華為公司在信息化下的“精細化”運營，針對不同用戶群的個性化業務需求細分市場，實行差異化戰略，從而占有更多的市場份額，明顯領先于同類公司。

2.信息化讓監督和反饋更加便利與快速，通過遠程控制、實時控制技術的運用，使企業能及時發現問題、解決問題。如公司通過系統查看每天的經營情況、財務狀況，可以按周、旬、月編制報表，及時掌控信息，極大地增強實時性與精確性。

3.信息化擴大了控制范圍，不僅關注會計和財務部門的控制，還延伸到企業的風險控制，預算控制、成本控制、組織管理、業績管理等，很大程度上實現了統籌管理，便于公司重大戰略的實施與調整。

二、信息化對內部控制提出的新的要求

1.電子信息技術的發展要求我們在常規內控基礎上延伸，減少和消除人為操作因素的不利影響，特別加強系統開發與維護、數據輸入與輸出、文件保管、網絡安全等方面的控制。

2.信息化要求我們需要從傳統管理思維方式和工作方式轉變出來，做好信息化知識儲備，提升相關人員業務素質，將信息化在整個企業的管理中推廣開來，提高企業管理效率。

三、信息化下的內部控制的相關風險與措施

信息化下，數據的不可見性、高度集中性、開放性使信息系統在現實環境中，總要面臨各種人為的與自然的威脅，如自然災害、誤操作、安全生產事故、病毒蠕蟲、網絡攻擊、通過信息化手段進行欺詐、信息數據的修改和丟失、內部泄密、采用安全防范措施尚不到位的高端技術。

這些信息威脅對內部控制的影響不可想象，雅虎日本就曾遭受信息泄密的危機，有人試圖非法訪問“雅虎日本”的管理系統，致使2200萬用戶的身份信息可能遭竊取。所以公司需要評估信息系統面臨的安全風險，通過恰當的安全措施控制風險，使風險降至最低。

1.在宏觀層面，我們需要健全信息安全法律法規。盡管國家頒布了一系列相關法規，如《中華人民共和國計算機信息系統安全保護條例》、《商用密碼管理條例》、《互聯網信息服務管理辦法》等，但信息技術在發展，安全風險層出不窮，各種法規需要與時俱進進行完善和修改。

2.在個體層面，我們需要從管理控制、技術控制和物理控制三方面降低系統安全風險。

（1）管理控制通常是管理人員的職責，如編制安全策略、流程和標準。管理控制包括篩選人員、執行安全意識培訓、編制業務連續性和災難計劃、確保規則執行，以及建立變更控制。

（2）技術控制是保護資源和信息的邏輯機制，采用數據加密技術、防火墻、入侵檢測系統等。這些技術控制使用并限制主體對客體（資源）訪問的軟件和硬件機制。

（3）物理控制用于保護計算機系統、部門、人員和設施。物理控制包括安全保安、邊界柵欄、鎖，以及從計算機中拆除軟驅和光驅及動感檢測器。

管理控制措施、技術控制措施和物理控制措施可以提供檢測性的、預防性的、糾正性的、恢復性的、阻止性的和補償性的保護功能。此外，我們還需完善責任認定與追究的機制，明確責任，承擔后果，這樣可以把風險降到最低。

四、信息化與內部控制結合的經典案例

信息化最典型的代表是ERP系統，即“企業資源計劃”，ERP為了實現企業經營效率，將資源在購、存、產、銷、人、財、物等各個方面合理配置與利用。在這方面具有代表性的是格力的ERP、BBP系統（原材料網上采購系統）的實施，通過對企業進行流程改造，極大地推動了格力的發展。

我們從控制環境、一般控制與應用控制的角度來看ERP對內部控制的影響。

1.控制環境是一種軟控制，是內部控制其他組成要素的基礎，反映管理層對態度，企業的氛圍。控制環境對格力的成敗有重要作用，管理層對信息化建設非常重視，采用自上而下的權威式管理方式，而且一直是部門一把手親自抓的工作，親臨現場，分責到人，管理層的大力支持，保證了信息化實施效果。此外，格力轉變了對系統的認識，將過去人們對ERP的實施看做一種項目型管理活動，指望一次投資長期見效，系統安裝成功就算項目完成了的認識，轉化為在日常生產和經營中不斷學習和掌握應用ERP的知識和經驗，在ERP應用上投入大量人力和物力，保證了ERP系統的效益。

2.一般控制包括五個方面，而格力在崗位分工控制、計算機操作控制、備份與恢復控制三個方面做得尤為突出。

（1）崗位分工控制：不相容的崗位職責互相分離，降低錯誤或舞弊的風險。從原有的審批、記錄、驗證、保管相分離，延伸至信息化下系統開發編程、計算機操作與數據控制相分離，格力的分工明確，崗位與崗位之間的職責明確，相關系統開發、操作、數據控制都有獨立的部門負責，避免一崗多責現象發生。

（2）計算機操作控制：對計算機信息系統的操作進行規范與控制，從而保證信息系統僅被用于經授權的用途，保證及時發現數據處理過程中可能發生的差錯。格力通過設置每個員工對系統的操作權限及對信息的查詢范圍，從源頭上保證了企業的業務活動是由被授權的員工執行的。由此看來，信息化使控制更加客觀，克服控制過程中的人情障礙，保證相關政策得到嚴格地執行。

（3）備份與恢復控制：提供一種預防措施，以便需要時可以恢復計算機中丟失、損壞或刪除的數據。運用祖—父—子技術，將文件存放于至少兩個不同的地點。

應用控制包括三個方面：數據輸入控制、數據處理控制和數據輸出控制。當格力實施ERP系統后，許多數據不再由會計人員最后統一輸入，而是在生產經營過程中分散輸入，會計信息會在交易完成后自動入賬，產出報表，不再需要像以前一樣過多關注憑證數據和賬簿之間的一致性與計算的準確性。系統還可以設計風險模型，自動依據相關數據，生成風險評估報告，及時反映風險狀況，減少人為評估的主觀性。

參考文獻：

[1]黃津孚，張小紅，何輝.信息化 數字化 智能化——管理的視角.經濟科學出版社.

[2]林國恩，李建彬.信息系統安全.電子工業出版社.

[3]《內部會計控制概論》編寫組.內部會計控制概論.立信會計出版社.