信息化環境下企業內部控制的影響路徑及風險對策研究

顧力為

【摘要】 ?隨著計算機、網絡技術的迅速發展和普遍應用，企業的信息化程度越來越高，在我國企業同步推進內部控制和信息化建設的背景下，探索兩者的有機結合有著重要的意義。文章認為，加強信息化環境下的內部控制，提升企業利用信息技術管理的能力和水平，其關鍵是將管理的重心從“流程或程序”層面提升到“戰略和文化”層面，結合戰略目標進行風險管理，構建與“互聯網+”時代相適應的內部控制體系，從而實現為企業創造價值的目標。

【關鍵詞】 ??信息化;內部控制;風險管理

【中圖分類號】 ?F239 ?【文獻標識碼】 ?A ?【文章編號】 ?1002-5812（2019）14-0047-04

一、研究背景

信息技術已經成為現代社會進步、經濟發展的主導力量，特別是21世紀以來，隨著互聯網、大數據、物聯網、云計算、人工智能技術的飛速發展和廣泛應用，人類正式跨入信息化的新時代。信息技術的蓬勃發展給企業帶來新的動力，互聯網將人與服務、設備與內容源進行連接，跨越時間和距離的限制實現互聯互通，促進其優化業務流程。

近幾年頻發的用戶信息泄露引發信任危機事件表明，目前企業的內部控制還不規范，內部控制環境不足以支撐和保障信息系統安全。在企業大力推行信息化建設和完善內部控制體系的同時，如何將兩者有機結合，形成相互支持、相互促進的新局面，是當前管理者們面臨的重要議題。《企業內部控制基本規范》《企業內部控制應用指引》等明確要求按照內部控制要求對信息系統建設進行總體規劃、運營，充分利用信息技術，強化內部報告的集成和共享，更好地促成企業整合、傳遞和共享各類信息。但現實的情況是企業內控管理和信息化建設相互割裂，管理層沒有充分考慮信息化環境的復雜程度，尚未充分利用現代信息技術將關鍵經濟活動的控制環節嵌入信息系統，無法有效消除或減少控制風險。

二、信息化環境下企業內部控制面臨的風險

（一）沒有正確認識信息化環境對內部控制的影響

新的管理思想如戰略規劃、業務流程重組、供應鏈管理等理念興起，為企業提供了新的管理方法和模式，企業管理逐漸向集成化模式轉變和發展，而互聯網將計算機互相聯接在一起，實現不受空間、時間限制進行視頻、圖片、文字等信息的交換。很多企業認識到這種信息交換模式的成本更低、效率更高，能夠獲取更大的經濟效益，開始投入大量資源用于信息化建設。但是，如何運用信息技術完善內部治理的理論正處于完善過程中，只有少數管理層認識到信息化環境對內部控制的影響，多數企業缺少基于互聯網等信息技術的內部控制管理人才，無法開展互聯網和信息系統環境下的內控改革工作。

（二）未建立起適應信息時代發展的內控體系

我國企業內部控制的研究和應用起步較晚，雖在實踐中摸索學習，但是實際上內控體系尚不完善，缺少制衡和監督，內部管理存在“盲區”或“短板”，而且以事后控制為主。企業高級管理層的風險控制意識有待提高，主要精力放在業務擴張和技術升級層面，未將完善內部控制體系作為戰略目標，導致系統開發不符合內部控制要求，無法利用信息技術實行有效控制。只有將信息化建設與完善內部控制體系有機融合、相互推動，才能全面提升運營和風險管理水平，消除“木桶效應”。

（三）忽略互聯網的風險放大效應

許多企業通過互聯網平臺從事經濟活動，呈現出交易主體多、法律關系復雜、監管難度大等特點。互聯網具有風險放大效應，它會將因內部控制缺陷導致的危機事件無限擴大，如滴滴對司機身份審核不嚴導致數件悲劇事件、共享單車企業無序投放自行車造成資源浪費等，造成了廣泛的社會負面影響。高級管理層往往忽略了互聯網的風險放大效應，未對內部控制缺陷足夠重視，直至缺陷對企業造成重大影響。

三、信息技術對企業內部控制的影響及作用路徑

（一）信息化對內部環境的影響

1.組織結構漸趨扁平化、網絡化。信息化環境下企業的內部控制是基于網絡化組織結構，建立內部信息資源共享共治的風險管理機制。隨著“知識經濟”時代的來臨，全球信息化加速發展、經濟環境瞬息萬變，推動各行各業從要素驅動向創新驅動發展，對信息、科技、人才的爭奪更為激烈。錢德勒在《戰略與結構》中認為，外部環境改變企業戰略，從而影響企業結構。為了適應環境變化和提升自身競爭能力，企業調整組織結構、業務流程、管理模式，以適應外部環境的轉變。ERP系統等信息技術的運用使得信息的傳遞更加便捷、快速，組織內層級減少、管理幅度增大、生產成本降低、反應鏈條縮短，互聯網環境對企業結構的變化、融合的產生、創新的發生提供機會和支持，促使越來越多的組織朝著扁平化、網狀化的節能管理模式發展。企業由高度集中的決策領導中心變為分散的多中心決策領導組織，新型的網絡化組織成為趨勢，網絡化組織形式也被視為最佳學習型組織結構，更重視信息資源在組織內的有序流動和傳遞。

2.人力資源政策偏向人性化、柔性化。企業環境的變化引發組織架構的變革，組織架構的變動又推動人力資源管理改革，對人力資源的內部控制方式向人性化、柔性化方式轉化。人力資源的規劃、引進、培養需要與企業信息化戰略規劃和信息化水平相適應，相比傳統企業，信息化企業對人才的依賴性更強，特別是以專利、技術為核心競爭力的高新技術企業，更注重建立開放的人力資源政策，對員工進行適當的激勵和約束，幫助專業技術人員提升專業能力，實現人才自由、有序流動。在復雜的信息化環境下，人性化的內部控制方式授予員工適當的自主權，使得員工可以在一定授權范圍內迅速解決遇到的問題。但是如果內部控制存在缺陷，且人力資源約束政策失效，管理或技術人員可能利用系統漏洞從事非法活動;如果人力資源缺乏規劃、開發機制不健全，可能導致企業信息化戰略無法有效實現，人力資源激勵制度不合理，可能導致人才嚴重流失、企業經營不善。在信息化環境下，如何基于員工行為動機保證人力資源政策的人性化，又能運用信息系統控制風險，是內部控制設計者需要充分考慮的問題。

3.企業文化朝著合作、共享的方向發展。信息化環境實現了對信息資源的大融合，資源、信息與內部控制相互交叉、融合，互聯網突破了傳統行業或產業邊界，帶來“互聯網思維”和多元文化，善于學習的年輕人用互聯網思維創新生活和工作方式。哈拉爾（1999）認為未來企業的發展將遵循共享資源、共同協調解決問題的規則。汪飛（2017）通過實證分析發現，信息化程度高的企業普遍更具有創新精神和活力，注重“團隊文化”建設，在團隊工作中注重合作意識和集體觀念，強化員工對客戶的服務意識。在該模式作用下，培育了以人為本、尊重人性、以用戶為中心、注重共享合作精神的企業文化，這種變化有利于創新培育與國家“一帶一路”以及“粵港澳大灣區”建設相適應的互融互通的經濟新模式。

（二）信息化對風險評估的影響

計算機、通信、微電子和軟件工程等現代信息技術在現代企業內部控制、經營管理等方面發揮重要作用，為企業開拓新領域的業務和市場創造條件，但信息技術的復雜性、信息平臺的開放性、信息的易復制性給企業的經營管理帶來新的挑戰和更高要求。企業除了面臨外部環境的政治、市場、政策等風險，也要面對戰略、經營風險等內部風險，同時還要承擔信息科技在應用過程中因自然因素、技術漏洞或管理缺陷而產生的法律和聲譽等所有風險。信息系統承載企業所有電子數據和信息，互聯網使得信息系統由封閉轉向開放，將企業內部控制缺陷造成的負面影響放大，由此帶來的損失更加巨大。信息化環境下，把握好風險評估這一關鍵環節顯得尤其重要，如對企業當前面臨或未來潛在的風險加以判斷、分析和識別，根據自身風險承受能力，制定風險管理策略，并采取合理措施規避、降低、分擔或承受風險。

（三）信息化對控制活動的影響

信息系統廣泛運用為不相容職務分離、交易授權、業務記錄、持續監督等控制活動嵌入到業務系統程序提供了契機，信息傳遞、數據分析、風險管理等業務活動均可依靠信息系統完成。內部控制對象由對人、物的控制轉變為對人、物、信息系統共同控制，由手工控制為主變為以系統自動控制為主，由發現性控制為主轉變為以預防性控制為主。交易授權等傳統的控制活動發生變革，口令授權代替手工環節的印章，業務控制的有效性依賴于信息系統的完整性、安全性、有效性。存貨管理、采購管理、銷售管理等業務循環在信息系統中按照既定流程自動流轉，電子化的業務記錄有助于執行內部控制活動。在互聯網環境下，信息系統的安全問題可能同時暴露在企業內部和外部環境中，若出現交易授權不合理、不相容崗位未分離等重大風險，會導致控制失效，作業通過IT整合完成，越權操作不容易被察覺，一旦網絡遭到攻擊，口令泄露或被破解，系統內的數據、信息都有可能被惡意更改或盜取，可能會對企業帶來難以估量的損失。

（四）信息化對信息溝通的影響

在COSO內部控制框架下，信息與溝通是內部控制的重要組成部分。傳統的控制環境下，信息傳遞的時間長、成本高，信息傳播范圍狹窄，口頭形式的信息傳播過程容易出現信息失真的情況，無法有效通過控制措施解決信息安全問題;信息模式只能單向傳遞，無法實現信息交互和共享，溝通的效率和效果具有局限性。互聯網環境下，信息傳遞依靠通訊軟件、電子郵件、網絡平臺等媒介，將文字、數據、圖像、音頻、視頻等信息進行實時傳輸和交換，提高了溝通的準確性、及時性和效率性。企業需要及時整合數以億計的零散信息、處理分析提取其中的有效信息、準確傳達有價值的信息，而運載大量信息的傳遞過程容易受到噪音的影響，導致信息失真或無效。信息逐漸取代資本成為企業最核心的資源，主導著企業的發展狀況，特別是對于掌握眾多用戶和交易信息的企業，信息資源成為內部控制的主要對象。

（五）信息化對內部監督的影響

互聯網環境下，企業的業務系統會在較短時間內產生和歸集海量的數據和信息，單純的人工手段難以對數據和程序進行實時分析和監控。信息化的發展使得監督活動的方式發生了改變，企業可以通過兩種方式對風險進行監控：持續監控和個別評估，控制活動和內部監督活動可以同步進行、實現融合。監督活動的重點也發生了改變，首要的目標是構建一個與網絡化環境相適應的適時監控機制。信息系統的監控程序可以在一種程度上代替人工監督，實現對業務體系內重點領域、關鍵環節的風險控制點進行實時、動態、持續的監控，提高監管的效率和質量。但是內部監督離不開人，技術只是手段，它以內部環境為基礎，是形成內部控制網絡體系閉環的關鍵部分，與內部控制其他要素相互聯系、相互補充，公司治理結構確定了內部監督的地位和獨立性，對內部控制措施能否在組織中發揮效果起決定作用。

四、“互聯網+”背景下企業內部控制優化策略

以COSO內部控制的視角來看，組織應該擁有足夠的靈活度才能適應外部環境的變化，要順利應對不確定、復雜多變的外部環境，就要確定符合互聯網時代的企業戰略目標、內部規則，要應對企業運營結果的不確定性，就要建立與新時代相契合的企業文化和社會責任感，重構風險評估和信息溝通機制，實施多元的安全控制活動，探索應用互聯網和信息技術的監督方式，詳見下圖。

（一）營造與“互聯網+”時代相融合的內部控制環境

1.樹立戰略觀。《企業內部控制應當指引第18號——信息系統》強調“企業負責人對信息化建設工作負責”，表達了組織內從上至下完善內部控制的戰略理念。著眼于“互聯網+”時代的全球環境，樹立戰略觀、大局觀、科學發展觀對企業未來發展至關重要。有遠見的管理者主動把握經濟新常態，根據業務需求、流程變化，建立與“互聯網+”相適應的內部控制體系，并將之上升到企業的戰略高度，成立有IT專家一席之地的戰略決策和管理委員會，制定明確、可行的IT發展戰略，防止因發展戰略不明確喪失發展機遇或盲目發展浪費資源導致經營失敗。

2.塑造企業軟實力。良好的企業文化為員工提供精神支柱，是完善內部控制的有效保障，也是企業的核心競爭力。互聯網時代，應主動適應環境變化，創新運用互聯網思維，創建培育既契合互聯網環境、又傳遞時代感和正能量的企業軟文化，培養員工的職業道德和操守，增強員工的凝聚力和對企業的認同感。注重利用互聯網平臺的開放性、共享性和互動性，發揮新媒體自發、快速的傳播特點，促進企業文化和價值理念的廣泛宣傳，實現良性的自我營銷。

3.加強社會責任感。企業發展趨勢是否健康、良性，與企業的管理層和員工是否具備社會責任感息息相關。企業不能為了經濟利益，放棄承擔社會責任，應當注重從個體發展轉向群體協同發展，從聚焦短期利益轉向關注長遠利益，將企業經濟效益的目標轉向經濟、社會、環境效益協調發展的目標上來。把握各利益相關方的需求，積極履行社會職責和義務，主動遵守社會道德相關的法律法規，將社會責任思維貫穿在企業發展規劃、戰略決策、生產經營和管理過程中，同時利用好互聯網的技術和手段，促進完善安全生產、產品質量、環境保護等內部控制，才能實現企業可持續健康發展。

（二）構建與“互聯網+”時代相匹配的風險評估機制

建立與信息化水平相適應的風險識別和評估機制是在新時代背景下完善企業內部控制、提升治理水平的重要手段之一，尤其是在金融、銀行領域。風險評估小組應當充分考慮外部政治經濟環境的變化及影響，至少每年進行一次風險評估，重點關注企業的戰略規劃、管理層的管理要求，識別在哪些節點應該重點控制。應遵循重要性、科學性、可比性、全面性、適用性原則，采用定性指標與定量指標相結合，根據行業特定風險選取合適的險評估指標，重點關注安全風險、操作風險、信用風險、業務風險等一級風險指標，細化二級風險指標。充分利用信息系統構建風險預警機制，根據設定標準對記錄的原始數據自動分析，如盈利能力分析、庫存管理分析、供應商信用級別評價等，及時對風險進行預判和提示。

（三）實施與“互聯網+”時代相適應的控制活動

參照ISO 27000信息安全管理體系和相關法規，建立控制活動，構建多道防線，打造信息安全體系，旨在為系統的正常運行提供良好的基礎。首先，加強組織控制，即按照不相容崗位相分離的原則，合理分工，使得參與信息系統生命周期立項、開發、運營等環節的各個部門和崗位之間相互協調、相互制約。其次，加強系統文件控制，即在建立系統的各個階段形成完整的系統文件和日志記錄，并保證其安全性。以預防性控制為主，按層級建立預警系統，保證系統硬件、軟件和數據文件的安全，及時覺察網絡入侵情況，并盡早修正漏洞避免系統遭到破壞。再次，加強應用控制。為了保證原始數據和信息能準確、完整地在信息系統中傳遞，加強對數據的輸入進行審核、合理性檢查、錯誤更正控制、代碼有效性檢查、處理總數控制、對輸出結果進行分析與檢查等控制。

（四）創建與“互聯網+”時代相連接的信息與溝通機制

信息化環境下，企業從內部和外部可以收集到大量計算機系統日志、數據，只有將原始數據轉換為可作為管理層決策的信息才有價值，建議從三方面著手：一是提升提取、轉換有價值數據的能力。需要從多渠道整合信息，分析、識別、提取有價值的信息，提高信息共享水平、網絡安全預警和防范水平。二是加強數據治理，控制信息質量。在大數據時代的背景下，形成高質量的信息取決于數據治理，即對數據資產管理行使管理和控制的活動，保證信息質量和安全，避免未經授權訪問和修改數據庫。三是打破各部門信息不連接造成的“信息孤島”壁壘。建立標準統一的數據接口，以大數據、云計算等現代信息技術為支撐，打造互聯互通、信息共享的系統平臺。

（五）加強與“互聯網+”時代相關聯的內部監督

在新時代背景下，要達到完善內部管理、控制風險的目標，不能僅依賴內部控制制度對員工的行為加以約束，更應該依靠信息技術將內部控制的“五大要素”加以聯系、貫通，進一步探索互聯網和信息系統進行實時監督的方式和方法，將內部控制活動和監督活動融合在一起，提高內部控制的效率和效果。對管理層而言，要關注高風險領域，將信息安全和網絡安全納入審計重點，組織開展信息系統審計，并加強對提供服務的第三方公司的監督力度。對內部審計和監督機構而言，建立與董事會、管理層順暢的溝通機制是重要的起點，要及時獲取高級管理層關注的風險領域范圍，熟悉企業的戰略目標，并對內部審計和監督計劃做出相應的調整。信息化環境下應實施信息安全全面溝通計劃，通過舉行會議或培訓活動、發送安全提示郵件、制定信息安全手冊等方式，提升每位員工的風險防控意識和應對能力。Z

【主要參考文獻】

[1] 張貴芹.信息化環境下企業內部控制框架設計[J].財會通訊，2015，（01）.

[2] 李彥銳.基于信息化的企業內部控制構建研究[D].東北林業大學，2012.

[3] 李云龍.信息技術能力對企業內部控制的影響及作用路徑研究[D].安徽工業大學，2015.

[4] 楊全文.信息化環境下內部控制理論結構——基于信息觀視角[D].南京大學，2010.

[5] 汪飛.企業信息化管理對企業文化建設的影響與對策[D].對外經濟貿易大學，2017.

補充

本刊2018年第16期《風險共擔視角下我國農民專業合作社盈余分配研究》一文（作者：李祎）的基金項目為：安徽省教育廳重點課題“風險共擔視角下我國農民專業合作社盈余分配研究”（項目編號：SK2018A0459）階段性研究成果。