信息技术对企业内部控制影响分析

信息系统是一个利用信息技术（IT）对内部控制进行集成、转化和提升所形成的信息化管理平台。由于IT与手工会计处理技术方面的显著差异，IT在会计信息系统中的应用带来了一系列新的风险， 相应的对内部控制也提出了新的要求，由此导致了IT环境下的内部控制的方式和内容已显著区别于手工会计环境下的内部控制。

一、IT应用带来的IT风险

IT应用带来的风险称为IT风险。在企业中，IT是为业务运行提供支持，所以，IT风险属于业务风险，具体是指在企业中使用、拥有、运行、介入、影响和采用IT相关的业务风险，可以潜在地影响业务运行。IT风险并非独立于企业其他风险类别，而是与其他风险交织在一起的，成为企业整体风险体系的有机组成部分。一个企业面临的其他风险包括战略风险、环境风险、市场风险、信用风险、经营风险和合规风险。由于IT应用涵盖了企业经营管理的各层级、各方面和各业务环节，这就导致了IT风险在企业中的普遍性。具体来说，IT风险可分为三类：

（一）IT收益或价值实现风险 这是与错失使用IT来改进业务流程效率和效果的机会，或没能将IT作为新的业务活动手段的风险。

（二）IT计划与项目交付风险 这种风险源于企业采用项目和计划的形式，在IT方面的投资组合不能贡献新的或者经改进的业务方案的风险。

（三）IT运行与服务交付风险 这类风险与IT系统和服务的绩效的所有方面相关，并且可能会进一步地破坏或者降低企业的价值。

二、针对IT风险的企业内部控制

IT风险在企业中的普遍存在性，直接影响着企业内部控制目标的实现。为了应对可能的IT风险，就必须对IT进行控制，这就产生了信息系统内部控制的概念，在国外的相关内部控制规范中，信息系统内部控制常被称为IT控制。IT风险的普遍性决定了IT控制必须成为企业内部控制系统的有机组成部分，具体包括三个层面：

（一）执行管理层 执行管理层需要制定IT相关的制度和其他在企业范围内应用的指南，并在整个企业内部进行传达。该层面的IT控制属于组织层面的控制，主要目的是建立企业的基调和文化，这些内容属于企业内部环境的组成部分，典型的控制包括：战略和计划，制度和程序，风险评估活动，培训和教育，质量鉴证，内部审计。

（二）业务流程层 业务流程层的IT控制是内嵌在业务流程之中的应用控制，对会计信息系统而言，目的在于为财务报告内部控制目标的实现提供支持，控制目标包括会计信息的完整性、准确性、存在或授权、表达与披露等几个方面。

（三）IT服务层 IT服务层的IT控制是内嵌在IT流程中的控制，目的在于为信息系统提供一个可靠的运行环境，也为业务流程层的应用控制的有效运行提供支持，具体包括程序开发、程序变更、程序和数据访问、计算机运行等方面的控制。这三个层面的控制又可从如下几个维度进行区分。

（1）从控制范围维度分。具体有：一般控制是对信息系统的开发、实施、维护和运行所进行的控制，其目的是确保应用系统得到恰当开发与实施、程序和数据文件完整、信息系统良好运作；应用控制是为确保数据处理完整、正确而实施的控制。应用系统对数据的处理一般都要经过输入、处理和输出三个环节，从这一共性出发可将应用控制分为输入控制、处理控制和输出控制。这些控制帮助确保交易能够发生、经过授权，并且能够完整和准确地进行记录和处理。

（2）从控制时间维度分。具体有：预防性控制，是用来预防错误，遗漏，或者安全事故的发生；检测性控制，是用来检测那些逃避预防性控制的错误或者事件；纠正性控制，是用来在错误、遗漏或者事故被检测出来的时候，就对其进行纠正。

（3）从控制目标维度分。主要有：治理控制。是由全体董事会成员或者董事会与企业的执行管理层一并委托或者控制的。这些控制与公司治理概念相关联，由企业目标、战略和外部利益相关者共同推动；管理控制。由于管理层必须确保信息系统内部控制能够得到执行，并且要确保这些控制的可靠性和持续有效性，所以这些控制的部署是作为管理层深思熟虑后所采取的行动的结果，目的在于识别与企业及其流程和资产相关的风险，据此制定相应的机制和流程来减缓并管理这些风险。治理控制和管理控制之间的一个重要的显著区别在于，前者重在方向引导和监督管理，后者的主要工作是设计并实施实际控制活动；技术控制。具体针对的是IT基础设施中所使用的技术。 在信息系统中，实施那些基于信息的制度的自动化技术控制能力， 是企业的一项重要的资源。技术控制所获取的证据最直接、最及时，它是企业内部其他所有控制可靠性的基础。

（4）从控制手段维度分。具体有：手工控制此类控制不需要应用系统或者其他任何技术系统的帮助就可以执行，不过，手工控制易于受人类的错误的潜在风险的影响，因此，通常被认为不太可靠；自动化控制是由计算机来执行的，它们通常是根据设计类运行，而且不会受到间歇性的错误的影响；混合控制又称基于IT的手工控制，它是由手工的和自动化的流程的组合而成的。信息系统所生成的报告是最为常见的混合控制的形式，因为它们提供了用于管理层复核的数据。

三、IT对企业内部控制各要素内涵的影响

《企业内部控制基本规范》指出，健全的内部控制系统至少应该具备以下五个要素：内部环境、风险评估、控制措施、信息与沟通、监督检查。这五要素是相互联系、相互制约、相辅相成的要素，按照一定的结构组成的完整的、能对变化的环境作出动态反映的一个系统。IT控制是企业内部控制系统的有机组成部分，它既可以是对过去手工会计环境下的内部控制方法和内容的改造和提升，也可以是一种全新的控制手段和方法。无论IT控制采用何种形式，它依然还是服从于整个企业的内部控制目标，也不会改变企业内部控制的要素，不过，IT的应用给内部控制带来了新的方法和内容，表现出了新的特征，也随之带来了内部控制要素内涵新的变化。

（一）内部环境 内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源制度、内部审计机构设置、反舞弊机制等。内部环境是一个有效内部控制的基础，建立起了“高层基调”，代表了企业治理结构的最高点。但是，IT通常要求对业务协同、角色和责任、制度和程序，以及技术胜任能力要求等方面有一些新的变化，主要表现在：

由于IT已经渗透到了整个企业内部环境之中，并非企业的一个单独部分，故不是一个单独的内部环境；IT不仅在技术方面是复杂的，而且要实现这些IT要素与整个企业内部控制系统相融合，难度更大；IT可以导致新的风险，这需要更新的或更高级别的控制措施，以成功减缓这些风险；IT应用需要专门的技能；在重要流程或者重要IT要素被外包的时候，可能需要依赖第三方；IT控制的权责分配可能比较模糊。

（二）风险评估 风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的流程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。内部控制风险在应用IT的企业中，相比于企业的其他领域而言，可能会更加普遍。针对IT的风险评估需要在组织层面和活动层面进行。在组织层面，内部控制建设流程中，企业需要成立一个IT控制指导委员会，该委员会可下辖一个IT规划分会，其职责可能包括：监督IT控制战略规划的制定及其有效性与合规性，战略规划的及时执行或实施；评估IT风险，例如，IT管理，数据安全性，程序变更和开发。在活动层面，可能需要针对信息系统开发方法、基础设施的运行和变更流程、程序变更流程分别嵌入相应的风险评估流程。

（三）控制措施 控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、IT控制等。IT的引入增强了控制措施的多样性、灵活性、高效性，加强了内部控制的预防、检查与纠正的功能。控制的重点由对人的控制为主转变为对人和IT共同控制为主，控制程序也应当与IT应用相适应。IT的恰当应用，可以使企业摆脱人员与资源的限制，经济有效地实现内部控制目标。此外，在IT环境下应形成新的控制理念：好的内部控制不应仅依赖过多的人员或复杂的控制程序，而应该依赖信息时代的控制理念，特别是要充分利用IT来实现自动控制。

（四）信息与沟通 信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的流程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。一个良好的信息与沟通系统有助于提高内部控制的效率和效果。建立在IT基础之上的信息系统具有开放化、实时化、电子化的技术特点，在内部控制系统中呈现出新的特点并发挥出新的作用。信息系统不仅处理内部资料，而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。在企业的各个层面，通过信息系统可以进行广泛的交流，企业所有人员都能够从董事会和管理层那里获得清楚无误的指令信息，他们必须了解各自在内部控制制度中的作用，理清个人行为如何与他人的工作相联系。同时，董事会和管理层也能获得内部控制各个环节执行中所获取的反馈信息。网络化的信息系统，建立起了企业与顾客、供应商、监管者和股东这样的外界之间的有效沟通机制。不过，识别、管理和沟通相关的信息，是IT应用所带来的一项挑战，企业管理层需要决定哪些信息对于实现控制目标是必须的，以及采用某种形式和时间框架来沟通这种能够让人们执行他们的职责、支持企业内部控制其他四要素所需的信息，还要确保这些信息的恰当性、及时性、现时性、准确性和可访问性。

（五）监督检查 监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的流程，是内部控制实施的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性的监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。由于信息系统自动执行的特点，只有对其运行进行监督检查，及时发现相关内部控制设计和运行方面的缺陷，保证它们能够根据企业经营环境的变化进行适时调整，才能保障其持续有效性。同时，信息系统自动执行的特点，给在一个较高的频率上来执行持续性监督检查提供了可能，具体来说，对IT控制绩效和有效性的持续性监督检查主要包括两个方面的内容：一是内部控制缺陷的识别和管理。通过建立衡量内部控制缺陷的相关指标，并以这些指标为标准，来分析趋势的实际结果，这可以提供一个用于理解当前处理失效的潜在的原因；通过对这些原因进行分析并进行纠正，还可以增进系统处理的准确性、完整性和系统的可用性。二是安全监控。通过建立一个有效的IT安全基础设施，可以减少未经授权访问的风险。安全方面的改善，还可以减少处理未经授权的交易、生成不准确的报告的风险，系统不可用的风险，以及应用系统和IT基础设施组件遭受损害的风险。

参考文献：

[1]IIA. Global Technology Audit Guide （GTAG） 1： Information Technology Controls[M]. Maitland Ave： Altamonte Springs，2005.

[2]ITGI. IT Control Objectives for Sarbanes-Oxley， 2nd Edition [M]. Rolling Meadows， IL： Information Systems Assurance and Control Association（ISACA），2006.

[本文系温州大学2012年度校级教改项目“以信息增值利用为导向的《会计电算化》课程教学改革研究”和福建省教育厅社科研究项目“信息技术引发的企业重大错报风险研究”（编号：JA11051S）的阶段性成果]