內部控制的核心要素、固有局限性 及在信息技術中的應用

許力云

摘要：目前，隨著我國經濟體制改革的進一步深化及現代企業管理的不斷完善，各大企業對內控的重視程度不斷提升。良好的內部控制系統能夠引導企業科學規范地發展，改善經營能力，促進企業健康平穩的運行。為了進一步強化并規范企業的內部控制，提升企業的經營管理水平和防范經營風險能力，文章梳理了內部控制的組成要素與核心，剖析了內控的固有局限性并且闡釋了內控過程中信息技術的應用。

關鍵詞：內控視角；風險評估；信息系統

一、引言

內控是內部控制的簡稱，指一般公司企業內部的控制運作。內部控制是由治理層、管理層和其他人員設計、實施和維護的流程，為企業實現其目標提供了合理的保證。董事會對公司的內控系統承擔最終的負責。良好的內控系統能夠有效降低商業風險發生的概率，具體表現為以下幾個方面：提升財務報告（內部報告：管理決策信息報告、內部預算報告等；外部報告：財務報表，年報等）的可靠性；提高企業經營運作的效率和有效性；使企業的運營符合法律法規的要求。

二、內控系統的組成要素

內控系統主要包含五個要素，分別是控制環境、風險評估、信息系統、控制活動和內控監督。首先，從整體的控制環境看管理層是否重視內控；其次，做風險評估，抓住風險點；再次，根據客觀技術，有針對性地制定具體的內控條例；最后，保持持續的評價和監督。

1. 控制環境。管理層對內控的態度、意識、行為和重視程度形成了大的控制環境，并逐漸演變為一種企業文化。如果管理層十分重視內控的制定和貫徹實施，那么在整個公司內就奠定了尊重內控基調。比如：蘋果公司的創始人之一喬布斯就十分重視對公司內部創新的控制。公司成立之初就開始了自己的創新，這種創新觀念，深入每一位員工的心中，使整個企業擁有良好的創新氛圍，創新也逐漸成為蘋果公司文化的靈魂。相反，如果公司管理層忽視內控，凌駕于內控之上，主張“人治”。那么即使有完善的內控體系，也是名存實亡。因此，管理層的態度對內控系統的好壞起著至關重要的作用。

2. 風險評估。要想制定好內控系統，公司的管理層首先要明確企業將會面臨的風險，做好風險評估工作。風險評估主要分為以下三個步驟：首先，要確定風險點；其次，評估風險發生的概率以及帶來的影響；最后，制定相應的應對措施。尤其對于發生概率高、影響低的風險，更需要制定具體的內控措施來有效的管制，降低商業風險。

3. 信息系統。當今社會是一個信息化社會，內控的制定、實施難以避免以信息系統為載體。信息系統包括基本的硬件、軟件、人員、程序和數據。只有具備了這些客觀條件，內控才能很好地發揮作用。

4. 控制活動。控制活動是指公司內部一些具體的政策、程序，能夠幫助管理層執行指令。

5. 內控監督。對內部控制系統持續的監控是常規管理活動的一部分，用來評估內控設計的合理性和操作的有效性。在監察過程中，一旦發現新的問題要及時反饋，以便作進一步改進。

三、內控活動的核心

內控活動是指公司內部一些具體的政策、程序，其核心可以概括為“權責分離、合理授權、定期復核、連續匹配和連續編號”這五個方面。

1. 權責分離

對于內控活動來說，權責分離意味著不能讓一個人負責太多的事情，比如說出納不能記賬。如果一個人既當出納又記賬，則很有可能截流現金、挪用公款。因此權責分離能夠有效地降低舞弊發生的概率，減少此類事件的發生。

2. 合理授權

企業要做到合理授權。以信用卡的額度為例，在給客戶授權信用額度之前，要仔細評估客戶的經濟背景和收入狀況，根據審核評估的結果來確定客戶的信用額度。如果公司沒有明確的評判標準，給低收入者高額度或高收入者低額度，就會造成貸出去的資金難以得到償還或損失客戶的后果 。

3. 定期復核

企業為了適應多變的環境和各種不確定的因素應該根據自身的情況進行每個月、每個季度或每年的定期復核。比如在給客戶授權信用卡額度之后的一段時間內，要根據客戶的消費情況，經濟收入的增長情況和還款狀況定期復核。對于信用評級好的客戶要適當提升額度，這樣有利于維護公司和客戶之間良好的合作關系，有利于公司的長遠發展。

4. 連續匹配

在企業運營的過程中從上一環節進入到下一環節的時候，需要信息的連續匹配來避免出錯。比如商家在發貨前需要認真核對收貨人的姓名、收件地址和訂單上的商品信息，以確保能夠準確地發貨。

5. 連續編號

連續編號在保證交易的完整性方面發揮了重要的作用。采購訂單、銷售訂單、銷售發票等都需要連續編號。連續編號可以有效防止訂單或票據的遺漏和丟失。以銷售訂單為例，如果銷售訂單沒有連續編號，就可能導致商品漏發的現象，進而引起消費者的不滿和投訴，同時也會使企業喪失好的名聲。

四、內控的固有局限性

良好的內部控制雖然能夠提高經營活動的有效性、資產的安全性、經濟信息和財務報告的可靠性，但其本身也存在固有的局限性，所以內部控制不可能完美無缺。內控的局限性主要分為以下幾個方面。

1. 人為錯誤。內控制度制定得再好，都是由人來執行，所以避免不了人為失誤。盡管良好的內部控制環境可以在一定程度上減少這種失誤的出現，但人為錯誤依舊可能導致故障的發生。

2. 內控流程被員工或他人故意地規避或繞開。例如：公司為了強化財務紀律、規避財務風險，明確規定單筆報銷數額不能超過1萬元。部分員工可能會將一筆1.2萬元的費用，分兩次報銷，每次報銷0.6萬元。因此很難完全控制這樣的故意規避，特別是當雇員以特定的理由認為他應該這么做時。比如員工認為他理應獲得更多的獎金，為達到這一目的員工就會繞開內控。因此，舞弊的動機通常伴隨著“自我行為的合理化”。

3. 管理層凌駕于內控之上。公司內控系統的好壞很大程度上取決于管理層的態度。如果管理層認為部分內控不合適或者不便于實施，進而不使用它們或者主張“人治”粗暴地踐越內控。那么即使有完備健全的內控體系，也難以發揮其效用。

4. 發生無法預知的事件。在制定具體內控條例的過程中，管理層通常會先明確企業將會面臨哪些風險，然后針對這些風險逐一制定流程去管理。因此先有已知的風險點，才能制定具體的管理條例。一旦無法預知的事件發生，內控就會面臨失靈的風險。

5. 決策失誤。決策失誤可能直接導致內部控制的失敗。引起決策失誤的主要原因有兩點。一是供管理層決策的信息不足或不準確；二是做決策的人缺乏經驗，能力不夠。因此決策失誤也是內控的固有局限性之一。

五、內控過程中信息技術的應用

在當今這個信息化社會中，內控的制定和實施避免不了信息技術的支撐。信息技術控制主要分為兩大類：一是總的控制；二是應用性控制。

（一）總的控制

總的控制是與許多應用相關的政策和程序，并通過確保信息系統的持續正常運行來支持應用程序控制的有效性。其對象是整個系統程序，而不是具體的某一個數據。

1. 信息系統的開發

在信息系統的開發階段，系統的設計、編程和文檔的記錄要有統一的標準。管理層要合理劃分職責，確保權責分離。負責設計信息系統的人不能負責測試，以便開發出更加穩定的系統。另外，為了信息系統能夠更好的應用，相關負責人要積極安排員工的培訓工作，使員工能夠快速地適應新的程序。

2. 防止未經授權更改程序

為了防止重要的信息程序被篡改，要限制對中央服務器的訪問，修改程序需要獲得授權和批準。通過設置密碼保護程序，使訪問權限僅限于相應的計算機操作人員。除此以外，還可以使用只讀存儲器對某些實用性程序進行更加嚴格的控制，使程序訪問人員只有閱讀的權限而沒有修改的權限。另一方面，針對信息程序被篡改后難以恢復原狀的現象，需要設計程序來完整地記錄更改的過程。也可以將核心程序拷貝多份，儲存在其他地方。工作人員緊急離開時，手頭的工作也要及時備份，并使電腦屏幕處于屏保狀態，再次進入時需要輸入密碼。另外，要安裝防毒軟件防止病毒入侵。

3. 確保電腦持續運行

為了應對突發事件，確保電腦能夠持續穩定的運行，要設立好完善的保護體系，避免電腦設備受到火災或其他災害的影響。面對突然斷電的情況，要事先準備好備用電源。同時做好災難恢復程序，與相關企業簽訂信息系統的維護協議并及時購買保險，將災難發生后的經濟、信息損失降到最低。

（二）應用性控制

應用性控制：應用性控制確保所有交易被授權和記錄，并被完全、準確和及時地處理。

1. 控制數據輸入的完整性

在輸入數據的過程中，需要經歷“逐一檢查、文件計數、總計控制”這三個步驟。首先，將輸入到系統中的數據與源文檔進行逐一地對比；其次，將需要輸入到系統中的文件數量與實際輸入的數量做對比；最后，將系統加總的數據總額與手動計算的數據總額做對比，確保輸入的完整性和準確性。

2. 控制數據輸入的精準性

測試系統中數據精準性的方法大體分為三種，分別是合理性實驗、存在性檢查和允許范圍測試。

合理性試驗是指根據正常的思維邏輯對數據的正確性進行評估。比如：在整個行業發展狀況不景氣的情況下，公司財報上記錄的銷售額與去年相比有大幅度的提升，這表明今年銷售額的記錄可能出現了錯誤。

公司在與客戶交易的過程中，通常會為客戶建立一個數據庫且每一位客戶都會有一個單獨的編號。將商品賣給客戶時需要輸入編號，檢查系統中是否真的存在這個編號，如果沒有此編號銷售則無法進行。購買原材料時亦是如此，收到發票時需要在系統中查找對應的供應商名稱，如果沒有發現相應的供應商名稱則拒絕發票。因此，存在性檢查有助于確保輸入的準確性。

允許范圍測試是指預先在系統中設置一個可接受的數據范圍，超過這個范圍則不被接納。例如：預先在系統中確定一個最大的采購成本1000萬元，如果錯誤地輸入了超過1000萬元的金額系統將拒絕采購，進一步確保了輸入的準確性。

六、結語

綜上所述，面對著越來越激烈的市場競爭，各個企業想要長期平穩地發展，就必須要加強企業內部的管理工作，提高對內控管理制度的認識和重視，特別是要與現代信息技術相結合，為企業的長遠發展打下堅實的基礎。

（作者單位：安徽大學）