IT環境下的企業內部控制探析

摘 要：隨著我國市場經濟的快速發展，現代經濟已經進入了信息化的時代，大量的信息技術手段已經廣泛的被應用到企業生產經營過程中，給企業的經營管理帶來了較大的影響，其中也給企業內部控制工作帶來了較大的變化，因此在IT環境下企業要加強對內部控制工作的研究力度，本文從企業內部控制的基本理論出發，分析了IT環境給企業內部控制帶來的影響，并列舉了H公司的案例對IT環境下的企業內部控制存在問題進行了分析，提出了IT環境下提高企業內部控制的建議，目的在于在IT環境下提高內部控制的水平，促進企業得到健康穩定的發展。

關鍵詞：IT環境下；內部控制；探析

一、企業內部控制概述

（一）內部控制的發展階段

對于內部控制的研究，國內外的研究者普遍認為其發展分為以下幾個階段：

1.內部牽制階段

內部控制的最初形式是內部牽制，以賬目間的相互核對為主要內容，并實施崗位分離，在減少錯誤和舞弊行為上起到了十分重要的作用。

2.內部控制制度階段

1972年，美國審計準則委員會明確的闡述了內部會計控制的定義：內部會計控制包括組織規劃，保護資產安全及財務報表可靠性的有關程序和記錄。內部控制制度階段是以內部會計控制為核心，重點是建立健全制度。

3.內部控制結構階段，強調內控環境、會計制度和控制程序三個方面的內容。重點表現在以下兩個方面：一方面內部控制范疇將環境控制納入到了范圍之內；另一方面對內部控制管理與內部會計控制不做嚴格的區分。

4.內部控制整合框架階段。對內部控制下了一個迄今為止最為權威的定義，明確了內部控制的內容。將內部控制定義為：由一個企業的董事會、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：財務報告的可靠性、經營的效果和效率，以及符合適用的法律、法規。將內部控制劃分為五種要素：控制環境、風險評估、控制活動、信息與溝通、監督。

5.企業風險管理整合框架階段。內部控制的目標、要素與組織層級之間形成了一個相互作用、緊密相連的有機統一體系：同時，對內部控制要素的進一步細分和充實，使內部控制與風險管理日益融合，拓展了內部控制。

（二）內部控制的重要因素

內部控制的重要因素包括了以下幾個方面：

1.內部環境。企業實施內部控制的基礎是內部環境，主要包括了內部審計、企業文化、治理結構、權責分配、人力資源政策等方面。

2.評估風險。在企業的生產經營過程中難免會遇到一定的風險，因此內部控制工作需要對這些風險進行科學合理的評估，通過風險評估可以對經營活動中的各項風險進行識別和分析，然后再制定相關的應對風險策略。

3.控制活動。企業在進行風險評估之后，就要采用相應的措施來對活動進行控制，這樣經營風險才能夠在一個合理的控制范圍之內。

4.信息與溝通。為了保證企業內部控制信息能夠有效的進行溝通，企業要對內部控制的相關信息進行及時、準確的收集和傳遞。

5.內部監督。為了保證內部控制的有效性，企業在建立和實施內部控制的過程中，要進行定期的監督和檢查，這樣才能及時的發現內部控制工作中存在的缺陷，并采用科學合理的措施進行改正。

（三）企業加強內部控制的重要性

首先，有利于建立現代企業制度。企業在市場經濟的環境下，需要按照現代企業制度的要求進行自我發展和經營，因此就必須加強對項目投資、產品成本、分配利潤等環節的控制，企業可以通過建立嚴密、科學的內部控制實現建立現代企業制度的目標。

其次，有利于提高企業會計信息的真實性。在企業經濟發展中，在宏觀調控和微觀管理過程中，會計信息可以起到十分重要的作用，會計信息的真實性與經營決策的正確性有著密切的關系，通過完善的內部控制可以保證會計信息的真實性。

再次，有利于保證企業資金的安全完整性。建立起嚴密、科學、有效的內部控制，可以保證企業資金的安全完整性，通過內部控制可以加強企業各個層次、各個部門、各個環節之間的業務聯系，形成一個相互牽制的機制，保證了企業資金的安全完整性。

二、IT環境給企業內部控制帶來的影響

（一）影響控制環境和對象

控制環境是指影響和作用企業控制的各種因素的總體，構建企業控制體系的基礎是環境，在IT環境下的應用網絡技術，既改變著企業的責任權力分配、組織結構，也促進了其改革開放，提高了運作模式的靈活性和速度，直接影響到了企業管理者的經營風格、理念、文化以及員工的職業素質，由于網絡技術在不同企業的應用程度不同，因此對企業的控制環境影響程度也會有著明顯的差異。

控制對象主要是指內部控制的被控制者，是按照類別和層次的不同進行分類，其中技術資源、應用數據、信息系統已經成為企業內部控制管理中必不可少的部分，因此也就增加了內部控制對象的數量。

（二）影響控制目標和活動

控制目標是指實施內部控制想要實現的目的，IT環境改變了內部控制的對象，因此企業在制定內部控制目標的過程中就需要充分的考慮信息技術，從信息技術資源的處理和利用等方面來制定內部控制目標，同時在制定內部控制目標的時候還要充分考慮信息技術的效益和可靠性等。

（三）影響風險評估

風險評估主要是對影響目標實現風險進行的識別和分析，是提高內部控制效力的關鍵因素，在內部控制中應用信息技術，在提高內部控制工作的效率的同時，也會加大企業內部控制工作的風險，例如當信息技術出現問題的時候就會嚴重影響內部控制工作的順利進行，改變了企業的服務方式、營銷方式。同時網絡技術也會改變企業的風險評估機制和管理層的控制方式，實現了對風險的實時評估，因此可以看出應用信息技術可以對風險評估起到明顯的影響。

（四）影響信息溝通

信息溝通主要是指在一定時間內，企業以一定形式來識別和獲取與企業相關的一切信息，在組織內部部門之間進行的溝通，應用信息技術可以及時的為企業獲取信息，是取得、處理、傳遞、檢索、儲存信息最直接的方式，改變了信息溝通方式和渠道，很大程度上提高了信息溝通的質量。

三、IT環境下的企業內部控制存在的問題—以H公司為例

（一）H公司簡介

H公司是一家注冊資本為50萬人民幣，主要生產經營包裝食品、糕點、糖及其制品、飲料、乳及乳制品，成立以來始終遵循誠信為本、質量第一、顧客至上的經營宗旨，具有多個廠家的代理權，能提供衛生許可證明，質量保證書等，H公司秉承自己的使命，盡力為業內朋友提供質優價廉的產品和服務。

現階段隨著H公司生產規模的不斷擴大，在IT環境下對內部控制工作也提出了較高的要求，然而H公司內部控制工作還停留在手工階段，并沒有充分的利用信息化技術，同時內部控制工作也處在相互獨立的狀態，不利于實現內部控制信息數據的共享。同時H公司內有的成員企業中財務軟件操作員權限設置較為隨意，不存在對財務軟件操作員權限進行設置的相應規章制度，有時會出現已經調離原財務軟件操作員崗位的員工依然擁有訪問原財務軟件的權限，不相容崗位并未得到有效分離，可能存在對賬套進行惡意訪問。

（二）H公司企業內部控制存在的問題

從實際情況來看H公司內部控制工作中存在著一些問題，主要問題體現在以下幾個方面：

1.缺乏良好的內部控制環境

隨著H公司規模的不斷擴大，組織層次也越來越復雜化，因此也就加大了內部控制工作的難度。現階段H公司采用的是開放式的內部控制，但是在內部控制工作中并沒有靈活的應用信息化的手段，內部控制工作還停留在人工上。同時該公司也并沒有建立內部控制信息系統的負責人崗位，這就會降低內部控制工作的執行效力。公司的組織結構圖如下：

2.內部控制監督機制不健全

H公司內部控制的監督工作主要是通過審計部門來實現，但是從實際情況來看，公司的審計部門從屬于財務部門，工作由財務部門統一領導，因此就降低了內部審計工作的獨立性。同時內部審計工作僅僅還停留在對會計賬目的審核上，并沒有向評價內部控制制度、內部稽查方面拓展，不能發揮出內部審計工作的重要性作用。

3.信息溝通不通暢

內部控制工作需要信息系統來完善，信息系統可以通過反饋和溝通功能來及時的了解企業的經營管理情況，這樣可以使得管理層對企業的經營情況進行明晰、準確的了解。然而從實際情況來看，H公司由于受到主客觀因素的影響，并沒有在內部建立起完善的內部控制信息系統，這就不能對內部控制信息進行真實客觀的公開，導致信息孤島的存在，降低了企業內部控制工作的效率。

4.缺乏充足的風險評估，業務流程的控制力不足

一般來說企業的風險主要來自內部風險和外部風險，其中H公司的主要風險是來源于內部風險，主要風險表現在組織機構方面，家族式企業特征比較明顯，例如組織機構中的重要崗位由家族的主要成員來擔任，內部控制工作流程較為簡單，特別是在IT環境下并沒有全面的將信息化系統應用到內部控制工作當中去。

四、IT環境下提高企業內部控制的建議

（一）利用ERP信息系統優化內部控制環境

首先，建立扁平化的組織結構。引入ERP信息系統可以加快企業部門之間的往來，企業的管理層可以對生產的每一個細節進行深入的了解，實現實時的控制，可以構建出一個扁平化的組織結構，企業管理者可以實時的進入每一個業務流程當中去，并不需要經過層級來下達指示，可以提高企業的生產經營效率。

其次，營造良好的信息化的工作氣氛。良好的內部控制文化對于提高內部控制環境可以起到重要性的作用，因此企業應當對職工定期的開展內部控制的業務培訓，提高員工內部控制思想意識，只有內部控制得到廣泛的宣傳，才能夠為內部控制工作營造出一個良好的環境。企業應該將新的工作守則錄入到ERP信息系統中去，細化ERP信息系統的具體操作流程，制定出與ERP環境相適應的企業制度，主要包括：交易操作流程、授權審核制度等，這樣能夠規范企業員工的內部控制行為。

再次，提高內部控制人員的素質水平。內部控制工作水平的高低與內部控制工作人員的素質有著直接的關系，特別是在ERP信息系統下企業要從實際情況出發提高內部控制人員的信息化水平，定期的對內部控制人員進行信息系統培訓，保證內部控制人員能夠及時掌握先進的信息技術，這樣內部控制人員才能夠靈活的應用ERP信息系統進行工作，提高內部控制工作的效率。

（二）建立健全監督機制，加強監督

健全的監督機制是保證內部控制工作順利進行的重要保障，因此企業就要通過建立完善監督機制來提高內部控制的工作水平：

一方面，要對ERP信息系統的使用權限進行控制，主要目的在于防止由于內部控制人員工作超出自己的權限，在初始設計內部控制信息系統的過程中要設立基本的工作權限，具體包括設置工作人員的工作范圍和操作密碼口令，保證內部控制人員能夠在系統的權限范圍內進行工作。

另一方面，在IT環境下企業進行內部控制信息傳遞有著較多的渠道，企業的各個層次的員工也可以參與到內部控制工作當中去，因此要建立起一個自上而下的內部控制監督機制，自上而下的監督機制可以實現內部控制工作的相互監督，這樣就會減少給企業內部控制帶來的不利影響。

同時，及時的完善和修正不合理的內部控制程序。企業在對內部控制程序進行設計的時候，應該嚴格的遵循內部控制規范性的要求，與企業的經營方向相一致，對一些不符合實際情況的內部控制程序要進行及時的完善和修正。

另一方面企業審計部根據企業《內部審計制度》相關規定，以風險為導向，采用必審和抽審，事前、事中控制和事后審計相結合的方式對公司生產經營管理活動進行監督檢查。通過不定期的財務審計、內部控制審計和其他專項審計，對企業經營活動的合規性及其內控的健全性、有效性做出客觀評價，并提出完善建議。另外，企業聘請外部會計師事務所對財務報表進行審計，同時對公司內控進行審查，企業在所有重大風險方面保持了有效的內部控制。

（三）建立完整的信息溝通渠道

首先，對信息制式規格進行統一。企業與商家共同建立與企業相適應的系統，使用操作簡單、邏輯清晰的模板，并給予內部控制信息系統一定的技術支持。

其次，建立傳遞信息的渠道。在ERP信息系統中企業要對內部控制的各個節點信息的輸入、整理和傳遞過程進行明確，及時的發現內部控制信息系統工作中存在的問題。

再次，企業在建立信息化部門的過程中，在選擇內部控制信息系統的過程中，要充分的考慮到內部控制人員的素質水平，盡可能的選擇一些簡單易懂、操作簡便的信息系統，同時也要選擇一些具備內部控制信息系統經驗的工作人員來完成工作。為了保證信息化的順利進行，企業要建立起信息化的技術部門，技術部門應該可以提供電話服務、現場服務，保證信息溝通渠道的順暢。為了加強公司信息流通的管理，保證信息流通的安全性，規范公司信息的傳遞，公司制定了《IT服務管理規范》、《電腦設備主機命名規范》、《內網使用指南》、《網絡監控管理辦法》、《秘密保護管理執行細則》等規范，對計算機系統的選擇、計算機的維護與保密、計算機病毒的防治及相關軟件的使用等方面作了詳細的規定，對信息管理部門與使用部門權責的區分、程序修改控制、資料存取的權限、數據處理的控制、設備和信息的安全控制進行了明確劃分。

（四）正確的識別風險，規范業務流程

首先，在IT環境下企業要建立起關于內部控制信息體系安全工作小組，認真研究和分析內部控制系統的安全問題。定期進行內部控制信息系統的安全教育和培訓工作，在培訓的過程中要重點學習關于保障信息系統安全的資料，樹立起內部控制人員的信息系統安全意識。

其次，對風險進行準確的評估。主要的風險有市場風險，近幾年來市場經濟在不斷的擴張，很多企業都加入到了市場競爭當中去，強有力的市場競爭必然會降低企業的利潤空間；經濟風險，從實際情況來看我國經濟這幾年的增長速度較為緩慢，因此會對經濟發展起到一定的負面影響；決策風險，一般來說企業管理層有著比較豐富的管理經驗，但是由于一些管理者與員工之間有著私人關系，因此在進行決策過程中就會受到主觀意識的影響，為了提高內部控制水平，企業的管理者就需要對生產經營過程中的風險進行正確性評估，這樣才能降低內部控制的風險。

再次，利用ERP規范業務流程。規范的業務流程有利于提高內部控制水平，因此應該在企業內部控制中的每一個細節中引入ERP信息系統，充分合理的利用ERP信息系統中的功能模塊，還需要充分利用好條碼管理等一些附加功能，將人工操作與系統流程緊密的結合在一起，不能出現人工操作與系統流程相互交替使用，要對ERP信息系統的業務流程進行規范。

最后，建立ERP內部風險預警機制。企業利用ERP信息系統建立數據庫后，要針對企業關鍵經營環節的數據設定一個科學的風險臨界點，利用ERP信息系統后可以當內部控制數據達到這個臨界值的時候，系統就會及時的發出風險警報，提醒企業管理者對可能發生的風險做出科學合理的防范，降低企業應用ERP信息系統進行內部控制工作的風險。

五、總結

綜上所述，在IT環境下給企業內部控制帶來了較大的變化，內部控制對企業的生產經營管理起到了十分重要性的作用，因此在IT環境下企業的管理者認識到給內部控制工作帶來的具體影響，要對自身內部控制工作中的不足進行客觀的分析，充分的利用信息化技術提高內部控制工作水平，這樣內部控制才能夠適應時代發展的需要，充分的發揮出內部控制的重要性的作用，提高企業的綜合競爭實力。

參考文獻：

[1]周國棟.信息化環境下的企業內部控制研究[D].山東大學，2013.

[2]管悅.信息化環境下企業內部控制的改進[D].蘇州大學，2013.

[3]汪清.內部控制信息披露對銀行債務契約的影響[D].西南政法大學，2014.

[4]姚欣.ERP管理系統在房地產企業內部控制中的應用研究[D].吉林大學，2015.

[5]盧昭穎，樸蓮姬.如何加強成本控制提高經濟效益增加值[J].經營管理者，2014，（16）.

作者簡介：

蔡麗玫，北京正元偉業科技發展有限公司。