基于電子數據環境的內部控制評價影響探索

■蔡曉麗

（立信會計師事務所（特殊普通合伙））

1 內部控制評價概述

內部控制是企業管控經營活動的重要手段，而內部控制評價則是企業內部特定管理層對當前企業內部控制的有效性進行評價，并相應編制評價報告以供企業優化內部控制的活動。由于不同時期，企業發展階段、所面臨的經營環境都有所不同，所以其內部控制的完善也應是一個實時變動的過程。對于企業而言，內部控制評價為其優化內部控制提供了有效的參考依據，企業可以根據評價結果來分析當前所制定的內部控制是否存在隱患，并根據報告，及時修繕存在的問題，提高企業內部控制水平。

2 電子數據環境給企業內部控制評價工作帶來的影響

科技技術的發展推動企業管理逐漸信息化，各項業務活動逐漸從人工控制轉換為系統操作，而且企業也逐漸建立ERP體系，改變了企業業務流程、組織結構等。在電子數據環境下，企業內部控制評價工作發生了改變：

2.1 內部控制評價目標發生改變

在傳統經營中，企業的內部控制主要以監督企業經營是否合規為主，內部控制評價也是也此為管理核心。而隨著信息化發展，企業的管理活動逐漸在線上進行，企業管理越發復雜，在安全經營的要求下，企業內部控制目標逐漸傾向企業戰略目標，更加關注企業各項業務活動開展的效益性和準確性。而內部控制評價目標也從以往的糾錯轉為如何推動企業內部控制實現進一步優化，更好地發揮內部控制職能作用以及提高整體經營績效。

2.2 內部控制評價內容更加廣泛

數據的電子化和信息化發展，使得企業各地區經營信息可以實現實時共享，財務人員、審計人員等的工作開展不再受到地域的限制，審查范圍大大增加。而且，電子化的記錄方式，也使得業務活動各階段開展數據都儲存在系統中，數據留存率較高，管理人員可以實時進行檢測，審查內容也得到進一步擴充。相比傳統管理，電子數據環境下，企業內部控制評價除了審查各項數據外，還可以對企業的財務系統軟件流程、權限設置、運行安全性等進行判定，其評價內容更加深入、廣泛所得到結果也更加科學、全面。

2.3 內部控制評價手段系統化

相比傳統管理，電子信息化背景下，企業內部控制評價模式從原本的以部門為單位轉換為以企業各業務活動流程為單位。而且，數據記錄也轉變為系統性的、即時性記錄。在此基礎上，內部控制評價的依據更加豐富，原本的內部控制評價手段也從依賴經驗轉換為借助信息化系統功能，并逐漸統一化、標準化。

2.4 內部控制評價時點前移

一方面受傳統管理模式的影響，另一方面受企業系統信息化建設不完善的影響，我國多數企業的內部控制節點主要在經營后期，由此也使得內部控制評價節點也在企業當期經營尾期，評價管控在事后開展，難以有效地對內部控制中存在的問題進行及時的處理，企業內部控制優化較為滯后。而電子數據的出現，為企業帶來了信息實時共享的條件，內控人員可以隨時獲取到企業經營中各業務的實時開展情況以及內部控制執行情況，進而開展內部控制評價工作，及時發現企業內部控制設計或內部控制執行中存在的問題，并督促相關人員及時改進，從而更好地發揮內部控制職能作用。

3 電子數據環境下企業內部控制評價優化策略

3.1 明確內部控制評價目標

明確的目標決定著企業內部控制評價工作的方針。根據《企業內部控制基本規范》等相關政策文件，企業在制定其內部控制評價目標時，應以自身經營情況為核心，圍繞內部控制五大要素，對企業所制定的內部控制機制進行設計合理性分析以及運行有效性分析。對于企業而言，其內部控制評價的總目標是科學掌握自身內部控制的實際情況，明確當前企業內部控制的優劣勢，以及其中存在的問題和風險，將風險管理和內部控制有機結合，協助企業開展內部控制的完善工作。從實踐來講，內部控制評價目標可以濃縮到這幾點：第一，促進企業嚴格遵守行業相關法律法規，合法經營。第二，促進企業提高自身風險管理能力，推動企業戰略目標的實現。第三，進一步保證企業業務數據、財務數據以及管理數據的真實性、全面性和及時性。第四，促進企業管理層做好企業內部控制意識培養工作，強化各人員對內控的重視，加強內部控制執行力，確保各項內部控制措施可以有效落地。第五，促進企業可以及時發現并管控在發生業務拓展、創新等變動中所存在的風險。

3.2 科學制定內部控制評價規劃

在電子數據環境中，企業在規劃內部控制評價工作時，應充分考慮信息化管理的特點，在了解信息系統、實施情況的基礎上來擬定。按照需求，企業的內部控制評價應全面覆蓋企業的各項業務活動，并重點關照核心業務、重點管理事項等，確定好內部控制評價的范圍、各人員的權責配置、實施進度安排以及投入預算等。在實踐中，企業可以參考以下思路：首先，在考慮相關政策指引的基礎上，參考同業企業經驗，將內部控制評價范圍拓展到企業經營全周期，并以風險為導向，將管理風險點作為內部控制評價的核心要點，明確內部控制評價的重點。其次，在開展內部控制評價時，應先從整體企業層面出發，再從各部門的角度來進行評價、管控。另外，電子數據環境下，企業在分析影響經營的相關風險時，除了考慮整體大經濟市場情況、自身經營情況外，還需考慮到行業因素的影響，不同行業間，風險增加因素差異較大，比如制造業和金融業。最后，企業還需科學選擇評價方法，目前市面上存在的內部控制評價方法較為多元化，包括詳細評價法、穿行測試法、調查問卷法、比較分析法等等，在實際選擇中，企業還需根據定量評價指標和定性評價指標相結合的原則，合理選擇內部控制評價方法，從而得出較為合理的評價結果。

3.3 明確各環節控制評價要點

明確的評價內容是企業有序開展內部控制評價工作的保障。一般地，企業內部控制評價內容可以從以下兩個層面來分析：

（1） 一般控制評價。一般控制評價主要集中于評價企業信息化管理目標、各信息系統的程序功能、系統運行以及數據處理等是否滿足內控要求以及可持續經營需求。評價要點主要集中在系統管理、網絡管理、訪問管理、安全管理等方面。

（2）應用控制評價。應用控制評價則是以企業業務流程特點、類型為依據，通過對信息系統中所涉及的業務流程分析，來評價企業信息系統操作數據的全面性、準確性以及真實性。評價要點主要集中在業務流程風險點、管理流程風險點的分析，明確內部控制的關鍵點，并I比對企業現有管理重點，進行適當優化。同時，也對企業所采取的用于優化內控的措施有效性進行評價，分析其所產生的效果，形成閉環評價、管控。

在明確了內部控制評價要點后，企業還需進一步明確內部控制評價步驟，從事前、事中以及事后全方位開展內控評價工作。一般分為以下幾步：第一，搜集、整合企業信息系統管理的各項制度文件，了解當前企業內部控制體系的實際建設情況，對其合理性和完善性有一個大體的掌握。第二，深入基地一線，實地考察企業信息系統的程序運行、軟件維護等管理情況，并對電子數據記錄情況進行稽查，確保數據的原始性和真實性。第三，明確和分析企業的管理流程和業務流程，找出風險點和相應的管控策略。第四，綜合利用調查問卷法、個別訪問法等對相關人員進行內控問題調查，進一步進行檢測和核實。第五，匯總發現的問題，編制評價報告，交由委員會處理。

3.4 加強對內部控制評價報告的應用

在科學的開展完內部控制評價后，企業還需進一步利用評價結果來采取措施，才能更好地發揮內部控制評價作用。為此，各企業一方面需建立系統的內部控制評價制度，對內部控制評價結束后的評價結果應用采取強制性的管理制度，督促內控評價人員及時將評價報告反饋給管理層。而一旦發現企業內部控制存在設計或運行上的問題，還應根據問題風險威脅性程度，以及企業實際經營情況來制定解決方案，改進企業內部控制體系。在改進措施采取一段時間后，還需及時比對采取改進措施后企業內控水平和之前的內控水平，分析改進措施是否有用，再決定如何采取下一步行動。同時，企業還應將評價結果和人員績效掛鉤，把內部控制評價結果作為人員、部門績效指標的一部分，通過和各人員自身利益掛鉤的方式來提高內控評價的約束力。

此外，電子數據環境下，企業信息化程度也影響著內部控制評價結果的準確性，各企業應加大自身財務管理信息化建設力度，及時引入市場上功能更完善的系統軟件，搭建一個完善的財務共享平臺，將企業各業務活動統一在同一平臺管理，進而實現各數據的實時共享，為內部控制評價人員分析企業內部控制運行情況和效率提供了有利的數據支持。同樣，現代化內部控制評價基于信息化的基礎上對企業經營風險點進行了審查，分析了業務流程管控的關鍵點，其評價結果反過來也給企業優化財務信息化管理提供了借鑒。

4 結 語

從當前的發展趨勢來看，信息化管理是企業管理的必然趨勢，電子數據模式將完全取代傳統的紙質數據模式，企業的組織管理結構也向著扁平化發展。在這樣的背景下，企業必須及時轉變內部控制評價體系，重新調整內控評價目標、范圍以及評價手段，使得其能適應信息化管理模式，全面地分析企業內部控制的實際有效性，從而提高企業內部控制水平和風險管理能力，推動企業實現可持續發展。