浅谈信息技术条件下企业内部控制

[摘要] 信息技术的广泛应用增加了企业内部控制的潜在风险，但信息流程和业务流程的有效整合也给提高企业内部控制效率、增强内部控制效果带来了前所未有的机遇。本文主张企业在进行内部控制系统设计时,需要考虑信息技术条件下企业内部控制的新特点与新问题,从组织控制、流程控制、信息系统控制三方面制定对应的设计策略。

[关键词] 信息系统 内部控制 风险控制 设计策略

一、引言

近些年来我国企业的信息化建设取得了很大成就，信息技术在企业得到了广泛应用。 在信息技术条件下，企业已经实现了业务和财务的一体化，资源得到了高度的共享。为了有效地保护资产的安全与完整，保证会计信息的真实、可靠，提高经营效益，企业迫切需要对传统内部控制进行整合和优化，以提高管理者经营决策的效率和效果。为此,文本将从信息技术对企业内部控制要素的影响着手,分析信息技术条件下企业内部控制特点,探讨内部控制体系设计策略,以期达到充分利用信息技术来提高内部控制质量的目的。

二、信息技术对企业内部控制的影响分析

1992年美国 COSO报告中对内部控制做了如下定义：“内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程。”其构成要素包括：控制环境、风险评估、控制活动、信息和沟通、监控。该报告是迄今为止对内部控制最全面、最权威的描述。在信息技术条件下，企业内部控制系统仍是由上述五个基本要素构成，框架体系并未发生实质性的改变。但是正所谓“水能载舟，亦能覆舟”，信息技术对于企业内部控制的发展带来了新的挑战，也带来了新的机遇。

1.信息技术对企业内部控制提出了新的挑战

信息技术的广泛应用，为企业带来了新的风险，也对内部控制发展提出了新的要求

（1)交易授权批准缺乏有效牵制

交易授权、批准控制是最基础的内部控制。信息技术条件下操作权限的授予与手工环境完全不同。手工环境下处理一项经济业务时，在该项业务的各个环节都需要由拥有相应权限的人员签章，这自然形成了层层复核、道道把关的严格审核机制。而在信息技术条件下，操作人员利用特殊的授权文件或口令获取某项权利或进行特定操作。用口令方式授权是信息技术条件下常见的和基本的内部控制，但口令一旦失控将会对企业造成重大损失。

（2)电子信息处理缺乏可视痕迹

手工环境下，企业的经济业务处理均记录于纸张之上，这些纸质原件的数据若被修改，则很容易辨别出修改的线索和痕迹，这也是传统纸质原件的一个基本特征。但是，信息系统环境下原来纸质的数据被直接记录在磁盘或光盘上，很容易被删除或篡改，并且在技术上对电子数据的非法修改可以做到不留痕迹，这样就很难辨别哪一个是业务记录的“原件”。另外电磁介质容易受到损坏，这使得企业信息很大程度上存在丢失或毁坏的危险。

（3)系统整合集成加大信息风险

传统的内部控制主要针对单独的交易处理，而在信息技术条件下,整合集成系统要求集中存储数据和程序,则在很大程度上带来了信息安全隐患,容易出现一损俱损、全军覆灭的危险。而且,对于日益复杂的信息系统,其内部稽核难度加大、成本增加。如由外部监理机构完成,则可能泄露商业机密，影响其竞争力;如由企业内部自行解决，则必须配备具有复合知识结构的管理人员才能胜任。

（4)网络的开放性危及信息安全

网络技术的发展日新月异，在这个环境中一切信息理论上都是可以被访问到的。因此，网络下的信息系统很难避免非法侵袭，即有可能遭到非法访问甚至黑客或病毒的侵扰。这种攻击可能来自于系统外部，也可能来自于系统内部，而且一旦发生将造成巨大的损失。

2.信息技术为内部控制提供了新的机遇

信息技术是一把双刃剑，在为企业内部控制带来全新风险的同时，也为其控制风险提供了崭新的工具。

(1)事前检查提高信息质量

企业开发信息系统时，要针对性的设计事前控制程序，即在业务活动发生、有关数据入数据库之前，检查这些数据的准确性、完整性和合法性。此外，如果输入数据不符合既定逻辑和控制标准，处理则被中断，同时通知负责控制的管理人员。这样一来，只有数据准确、完整、合法，继续处理也符合流程，相关数据才能被加入到数据库中。

（2)事中网上公证形成三方牵制

由于信息技术环境下原始凭证以数字方式存储，不能像手工系统那样对每一张凭证作痕迹检验。可是,利用网络技术所特有的实时传输功能和日益丰富的互联网服务项目，则可以实现原始交易凭证的第三方监控,即网上公证。这样一来,信息技术条件下的内部控制的职责分离原则,通过人机分离甚至机机分离依然得以实现。

（3)事后追溯利用电子审计线索

在手工系统中，凭证、账簿和报表严格按照一定标准和程序填写登记，所形成的纸质审计线索高度可视，比较有效。在信息技术条件下，数据的生成、存储和传递方式都发生了巨大变化，纸质文档大量减少甚至消失，审计线索不再可视。然而，利用信息技术记载和再现原始业务依然可行，利用电子审计线索追溯业务的来龙去脉甚至变得更为便利高效。高度集成整合的信息系统，为每一笔交易建立了单独的审计线索，环环相扣的连接关系使原始业务的再现更为方便易行。

由此可见，信息技术的应用使得内部控制挑战与机遇并存，风险与收益同增。有效的内部控制应该是范围扩大、控制程序灵活多样的综合性控制;是人工控制和信息系统自动控制相结合的全面控制。

三、信息技术条件下内部控制体系的设计策略

针对上述分析,企业在进行内部控制体系设计时,应综合考虑信息技术条件下内部控制的特点,从组织控制、流程控制、信息系统控制三方面制定对应设计策略。

1.组织控制设计策略

组织控制设计主要任务是权责分派与不相容职务分离。在信息技术应用条件下,企业组织的权责范围遵循以流程为核心的原则。首先将企业主要业务分解为产品流程、质量流程、服务流程、物流流程等,并在这些流程层面上重新定义企业各部门在业务流程中的职责以及它们之间的协调关系。然后再进一步将这些流程分解为一系列相关作业集合,并结合业务的信息化程度来定义企业作业岗位以及对应的岗位责任制度。作业岗位权责分派应能最大限度地发挥每个员工的主观能动性和潜能。不相容职务分离设计应结合重组后的业务特点和人机系统的控制功能,通过信息系统使用权限设置、应用软件的作业流程逻辑顺序的设置、业务控制参数的设置,充分发挥信息系统内部监控能力,实现信息化环境下业务流程不相容职务分离的制度安排。

2.流程控制设计策略

流程控制主要是对企业的业务流程和信息流程进行有效的控制。由于信息技术使企业业务流程与信息流程融合在一起,业务流程控制与信息流程控制成为企业内部控制体系设计的重要内容,控制重心也从适时控制向事前控制、实时控制转移。因此,在企业流程控制的设计中,专业人员的首要任务是熟悉企业业务流程和信息流程以及它们之间的联系,对业务流程和信息流程的各类风险进行评估,确定风险重要程度。其次依据风险的重要程度确定业务流程与信息流程的关键控制点、建立控制模型,设定控制参数与控制程序,并将其嵌入到信息系统中,形成人机结合、业务活动与信息处理集合的内部控制体系。这样,在企业经营过程中,信息系统就能动态跟踪业务活动的信息,自动监控这些活动所产生的数据是否在控制范围内,预测发展趋势,实时输出预警信号，从而有效控制企业的经营活动过程。

3.信息系统控制设计策略

信息系统控制是指信息系统建设和应用控制，具体包括信息系统的设计、开发、测试、验收、运行、维护等生命周期活动的所有环节。信息系统建设控制的设计策略是认真进行系统开发前期的可行性研究;加强对开发商的资质验证;通过公开招标的方式选择适合企业营运环境的计算机信息系统软、硬件与开发商。在项目实施过程中,应加强对IT项目管理，建立严密进度控制和质量控制机制、验收程序及第三方监理和审计的控制,保障信息系统质量。

信息系统应用控制的设计包括操作权限与操作规程控制设计、信息安全与数据处理流程控制设计。操作权限控制设计策略是通过对系统资源进行分类管理、员工作业权限程序化方式,限制超越权限的非法接触和访问。操作规程控制设计策略是通过制定软硬件操作规程、作业运行规程,规范计算机用户的操作行为。

信息安全控制包括数据和程序安全控制、网络安全控制,通过数据保密、访问控制、身份识别、数据备份等措施保障信息系统资源的安全。数据处理流程控制设计包括数据输入、处理、输出的控制。例如在信息系统的数据输入窗口设置各类有效的检测方法,最大限度地减少操作人员在数据输入过程中出错的可能性,保障未经批准的业务不能输入信息系统内，从而以提高信息系统数据处理质量。

参考文献:

[美]詹姆斯・霍尔:《信息系统审计与鉴证》.中信出版社,2003