企業信息化與內部控制關系研究

企業信息化與內部控制關系研究

摘要：信息化系統（以機為核心）與內部控制是企業兩個主要的子系統。信息化與企業內部控制之間的關系具有較重要的意義。本文主要對企業信息化與內部控制間的相互關系題目進行，以為：企業信息化了內部控制各要素，而內部控制亦反作用于企業的信息化進程。在此基礎上，筆者在最后提出了加強企業內部控制的幾點對策建議。
關鍵詞：信息化；內部控制；影響；COSO框架


Abstract：Information system and internal control are the two major sub-systems for a modern enterprise as a whole system. It will be very important for us to understand the inter-relationship between informationalization and internal control. article mainly focus on the analysis of relationship between the two: informationalization affects factors of internal control, while internal control interacts on the process of informationalization.On the basis of their relationship, we pose out a few suggestions for the consolidation of internal control.
Key Words: Informationalization; Internal Control; Affect; COSO Framework


自20世紀90年代以來，隨著信息技術的迅速和廣泛，各個領域都掀起了研究信息化的浪潮。在內部控制方面也不例外。固然國內研究內部控制的較為多見，論述信息化、信息技術下的內部控制應用題目的文獻也不少，但大部分的文獻只局限于探討電算化下的內部控制題目（會計電算化也只是信息化的一部分），或僅涉及信息化條件下內部控制的應用研究等題目。鮮有文章研究信息技術、信息化與內部控制的關系題目。 [①]
本文即從信息化與企業內部控制的之間的相互關系進手，以為：企業信息化影響了內部控制各因素，內部控制則反作用于企業的信息化進程。分析信息化對內部控制的影響時主要分析信息化對內部控制各要素的影響； [②]內部控制對企業信息化的影響則主要從企業信息化建設的時間維度分析企業內部控制對信息化進程的制約作用。系統分析兩者之間的互動關系之后，筆者就此提出了在企業信息化條件下，加強內部控制的幾點對策建議。

一 信息化對企業內部控制各要素的影響

迄今為止，關于內部控制最為權威的定義是COSO于1992年提出并于1994年補充的《內部控制——一體化框架》，在這份文件中，COSO將內部控制分為五個要素：控制環境、風險評估、控制活動、信息與溝通、監視，并以為這五要素相互補充，構成一個一體化的整體——企業內部控制。在2004年9月COSO再次頒布了關于內部控制方面新的研究報告《企業風險治理框架》（Enterprise Risk Management Framework，簡稱ERM）。ERM將內部控制的研究重點轉向了風險及其治理，以為內部控制整體構架是包含在ERM中的一體化部分。ERM在內部控制整體框架五要素的基礎上進行了拓展，增加了三個風險治理要素，形成了八要素，分別是內部環境、目標設定、事件識別、風險評估、風險回應、控制活動、信息與溝通、監視。
在信息化條件下，COSO框架中關于內部控制各要素必然會受到影響。就此，本文先結合內部控制整體框架五要素和企業風險治理框架的八要素，依次分析信息化對各要素的影響。 [③]
（一）對內部控制環境的影響。控制環境是對建立和實施企業內部控制具有重要影響的各種要素的總稱�？刂骗h境的構成要素是多方面的，主要包括：企業的治理機制、組織結構和權責分派體系、企業治理者的素質、品行和治理、企業文化、人力資源政策和實務等。ERM中以為的內部環境與內部控制中的控制環境要素大致相同。
信息化將有助于改善企業的治理機制。完善的信息化系統能正確、全面、及時地為董事會和監事會提供履行其監視職能的信息，同時，良好的信息系統能夠使得小股東以較低本錢（方式）參加股東大會維護自己的權益。信息化為內外部治理機制的完善提供了便利，而良好的治理機制將為內部控制提供良好的基礎。
由于信息化的高效率，企業的組織結構將趨于扁平化，內部控制的組織層次將會減少。這對信息系統下權限劃分要求更為嚴格。由于信息化條件下企業生產經營將更為依靠信息系統。而在信息系統下，利用信息從事非法活動等與信息技術相關的風險大大增加，企業潛伏損失風險也相應增加。同時，這也要求企業通過良好的人力資源政策，對員工進行激勵和約束，進步員工的整體素質和道德。信息技術的應用也使得治理者能獲取的信息量倍增，那么如何在紛繁復雜的信息中，捉住重點，及時做出決策，這便對治理者也提出了更高的要求。此外，信息化也必然對企業的治理哲學和企業文化產生一定的影響。因此，如何加強對信息系統的內部控制，利用良好的治理手段和技術方式，往降低信息化所帶來的風險，為內部控制提供一個優良的環境基礎，將是十分重要的。
（二）對目標設定的影響。內部控制是一個人為制造的系統，而設定目標是任何一個人造系統的首要環節。COSO報告提出了內部控制“營運效率與效果、財務報告的可靠性和遵循相關法令”的三大目標。企業信息化雖對企業產生深遠的影響，但并未改變其總體目標，只是在各項內控活動和具體目標范圍上會有所拓展。
在信息化條件下，營運的效率及效果目標則不能僅要求企業以利潤最大化為目標，追求有形價值的增加，信息資源等無形財富也應該成為企業價值的一部分。因此，創造知識、積累商譽、保護環境等也將對企業產生重大影響。在財務報告的可靠性方面，信息化條件下企業提供的信息不能再局限于財務報告，為滿足企業內外各信息使用者的信息需求，在信息表露類型上應該有所擴展。 [④]增加報告的類型這一要求，實質上就是面對信息化條件下各界所做出的回應。信息化條件下，企業內部控制對相關法令的遵循性提供公道保證還是其目標之一。但較之于傳統方式下，國家各項、法規、制度將趨于完善，企業需要遵循的法規也更為廣泛（包括信息技術、信息系統方面的規定等），企業對相關法規的遵循性在信息化條件下將更為重要。
（三）對風險治理諸要素的影響。風險是普遍存在的，企業在日常的生產經營總會面臨著來自內部或外部的風險。特別是信息化條件下，企業間競爭愈演愈烈，企業的經營風險也在不斷增加，內部控制的執行顯得非常必要�？梢�，事件識別、風險評估、風險回應這三個風險治理要素是進步企業內控效率和效果的關鍵。
在信息化的條件下，信息技術的應用，改變了企業的業務流程，降低了傳統方式下人工錯弊的風險。但是，與此同時，信息系統的應用，將使得企業信息的采集、處理和運用更加依靠信息技術和信息系統的實施效果。而信息系統條件下，信息在天生和傳輸的過程中又產生了新的風險， [⑤]這些都增加了信息化條件下內部控制執行的難度。因此，在信息化條件下，企業應該特別關注與信息、信息系統方面的事件識別、風險評估和風險回應。由于在信息化條件下，信息系統失靈導致重要信息的遺失或泄漏，都將給企業造成不可估量的損失。這就要求企業建立起良好的信息技術治理機制，減少引起帶來損失或災難的可能性。
從另外一個角度來說，企業也應該積極利用信息技術，作為事件識別、風險評估和風險回應的有效工具。利用信息化條件下的高數據處理能力，企業可以搜集和處理大量涉及企業風險方面的有關數據、信息，設立風險識別和評估模型系統，為企業風險的識別和評估提供基礎。而且，企業可以利用信息系統強大的數據處理功能支持，構建起自身的數字神經系統，進步企業對數字等相關數據的敏感度，對相關數據的異常變動可能存在的題目做出一個積極、有效、及時的風險回應。
（四）對控制活動的影響�？刂苹顒邮瞧髽I為了保證治理指令能夠得到有效執行而制定實施的控制政策與程序。由于控制活動必須根據企業的業務流程情況和具體的控制點進行設置，而企業信息化極大影響了企業的業務流程和具體控制點，因此，控制活動必然受到企業信息化的直接影響。信息化環境下的控制活動分為兩部分：自動化業務控制和信息系統控制。 [⑥]自動化業務控制是指以計算機程序為主要方式的信息系統中，業務的經營控制都是由計算機程序自動完成的。自動化業務控制的對象仍然是企業的生產經營過程，但其形式和手段均發生了較大變化。信息系統控制是企業對信息系統作為一個整體而為保證其系統正確性、完整性和安全性而采取的控制措施，其對象是企業的信息系統，包括計算機軟硬件資源、應用系統、數據和相關職員等信息系統的組成要素。自動化業務控制和信息系統控制對控制活動有著不同的要求，使得對傳統的控制活動均產生了變化。 [⑦]
（五）對信息和溝通的影響。為識別、評估和回應風險而有效地治理組織并實現其目標，組織的各個層次都需要信息。治理層建立信息系統來獲取、捕捉、處理、分析和報告有關的信息，將他們轉變為行動的指南。信息是溝通的基礎，溝通須滿足各個團體和個人的預期，使他們能有效地執行其職責。
企業信息化對內部控制的信息與溝通這一要素產生了有利的影響。在一個完善的企業信息系統支持下，董事會能夠與治理層進行良好的溝通，更為有效地履行其監視職責。治理層亦能夠就企業治理哲學和及授權等內容與全體員工進行具體和有效的溝通，使員工明確其預期和責任，更好的履行其職責。同時，信息系統還能提供外部的事項、活動及環境有關的信息，為客戶、供給商、債權人、股東、潛伏投資者、監管部分等外部群體提供一個高效的溝通渠道。因此，一個良好的信息系統將有助于進步風險治理的（包含內控）的效率和效果。當然，這其中也需要警惕信息技術可能帶來的信息過量和憑借高速信息處理能力造假的題目發生。
（六）對監視的影響。監視是對企業風險治理要素的存在、運行和結果進行適時評估的過程。在這個過程中，內部控制要適應變化的環境，在企業得到貫徹落實，就需要對內部控制的監視。
在信息化條件下，借助于信息技術自身的特點，可使一部分的監視過程自動完成，并且可能實現實時監視，從而進步監視的效果和效率。且信息化環境下監視的重點應該放在信息系統的開發、實施、維護和操縱過程中，其具體實施可考慮由內部審計部分負責執行。
在信息化環境下，監視可以通過日常的、持續的監視活動來完成（持續性監視），也可以通過個別、單獨的評估來實現（特殊性監視）。持續性監視存在于不斷循環的經營活動中，特殊性監視一般存在于時候活動中，為使得監視能應用于企業的各個層次中，二者的有機結合能確保內部控制的高度有效性。

二 內部控制對信息化的反作用

在文章開頭部分，我們就已經講到，國內的較少系統分析信息化與內部控制的影響，而內部控制對信息化的反作用則更少。而實際上，二者的關系影響是互動的：信息化影響了內部控制，內部控制反過來影響信息化的進程。前面我們已經分析了信息化對內部控制的影響，下面我們就分析一下內部控制對信息化又會有怎樣的影響。
按照企業從設計、建立到實施信息系統這個時間順序，我們可以得出在時間維度下，企業內部控制對企業信息化進程的反作用影響。在企業信息化的不同階段，內部控制對企業信息化的影響也不同�？梢詮娜�點進行分析：企業原有的內部控制基礎將影響企業信息化進程、信息化進程中企業內部控制將影響信息化的質量和效率、信息化后企業內部控制將影響信息系統的安全性和可用性。

（一）企業原有的內部控制基礎將影響企業信息化進程
企業是否應該實施企業信息化？是企業決定信息化首要的。而這一切又取決于企業治理層所制定的信息化規劃、戰略。治理層制定的信息化戰略，又來源于其對信息化的熟悉，對企業整體行業狀況及自身經營狀況的宏觀把握和其對信息化有利于企業改進完善內部控制和其他治理的熟悉程度，而這些治理層對信息化熟悉及其所制定的信息化戰略規劃是企業內部控制的重要組成部分。因此，治理層的支持與否，成為企業信息化的首要決定因素。
同時，原有的內部控制將影響到企業各類數據的正確性和完整性。對建立一個新的信息系統來說，原始數據的規范與否，能否提供一個有效的數據基礎將對企業信息化具有十分重要的作用。假如企業最初的內部控制無效或者低效，那么建立在其基礎上的提供信息的系統的有效性也值得懷疑。內部控制的薄弱，信息的有效性也便大打折扣。在一大堆存在差錯、漏弊的數據基礎上往實施企業信息化，將無法發揮信息化所應該有的功效，甚至可能由于數據信息錯弊誤導了決策，導致更大的損失。當然，企業原有內控基礎薄弱并不能成為企業拒盡信息化的理由。相反，企業信息化倒是一個借助信息技術手段有效地改進和完善內部控制的契機。只不過在這樣的情況下，要求我們在信息化的前期預備階段，要對原有的內部控制、數據基礎進行改進和完善。
（二）信息化進程中企業內部控制將影響信息化的質量和效率
在企業信息化的過程中，企業的內部控制，特別是針對信息化項目的內部控制將在很大程度上影響企業信息化的質量和效率。實際上，信息化的過程并不簡單地只是一個技術題目，它是一個企業通過機手段改變其信息的收集、傳送、處理、存儲和輸出的過程，而在這個過程中，信息化過程必然受到來自人力、物力、資金等各方面資源因素的影響。這主要體現在以下方面：
第一，最高治理層的支持與否，是企業信息化成敗的決定性因素。最高領導的支持構成企業內部控制環境的第一層次，它對信息化的實際有效執行具有重要影響。最高層領導的重視與支持，將形成良好的控制環境，保證企業信息化的順利完成。最高層領導層對信息化工作的作用主要有兩方面：一是給與政策上的支持，二是設置機構專門負責信息化項目的建設。
第二，組織和人才上的保障。企業信息化是一項系統工程，其涉及面廣，對相關的信息化系統實施職員也要求較高。為保證信息化建設的成功，有必要從組織和人才上給與保障。建立起一個專門的信息技術結構，獨立負責開展企業的信息化工作。該機構必須能全面負責、協調整個企業的信息化工作并擁有既懂信息治理，又懂技術治理的人才。
第三，資金控制機制保障。企業信息化是一個耗資巨大的系統工程，硬件設備、軟件系統、設備、人才引進等，都會耗費大量資金。因此，為保證良好的預算控制，須在信息化過程中構建有效的資金控制機制，一方面保證項目進展過程中資金流量的充分、及時；另一方面也可防范利用信息化項目挪用資金的行為。
第四，項目治理控制。將企業信息化進程作為一個項目來進行單獨治理，項目運行的優良與否將極大影響企業信息化的效率和質量。我們不僅要關注信息化項目的短期效果，更應關注長期影響，因此在項目開發建設過程中，必須有效地做好職責分工和監視，除保質保量地完成項目基礎工作外，還要關注整個項目的后期維護及升級因素，真正做到良好的項目進程治理和質量治理。
（三）信息化后企業內部控制將影響信息系統的安全性和可用性。一旦企業實施了信息化系統，那么企業日常的經營運轉將更多地依靠于信息系統所提供的信息。信息系統自身的安全性和可用性將直接影響信息的質量，再影響到治理層對企業經營治理效任性和有效性。由于信息系統的失效和崩潰、貿易秘密等重要數據的丟失、泄露都將給企業帶來巨大的損失。因而保障信息系統的安全性和可用性將成為信息化后企業的重要任務。而這一任務的完成，將不僅僅是一個技術題目，更需要相應的制度安排和治理措施。對信息系統的內部控制則是重要措施之一。加強和完善信息化下的內部控制，將能保障信息系統的安全性、可靠性和可用性，使企業利用其數字神經系統，保持信息化的上風。

三 信息化條件下加強企業內部控制的對策

（一）實施信息技術治理，從公司治理的高度，對企業信息化作出制度安排
信息技術治理是指，從公司治理的高度，對企業信息化做出制度安排，制定與企業戰略相融合的信息技術戰略，并從戰略投資、企業治理變革的角度，降低其信息技術風險。站在公司治理角度實施信息技術治理，將使得良好的信息技術治理有助于公司治理機制的完善，而公司治理機制的完善將為企業內部控制的完善提供良好的基礎。
（二）加強信息系統控制，實施信息系統審計
在信息化條件下，對信息系統的有效控制是企業開展正常的生產經營活動的條件和保障。企業最高領導者對信息系統控制的重視，將有助于控制行為的有效進行。
內部審計是其他內部控制措施的再控制，內部審計作用的有效發揮對于進步公司內部控制的效率有著舉足輕重的作用。在信息化條件下，內部審計機構將是信息系統控制最重要的執行者之一。內部審計機構通過對信息系統在開發、實施、維護和操縱過程中進行檢查，將發現的題目及時報告給治理當局，這在一定程度上能彌補信息系統控制中的缺陷，保證信息系統的正確性、完整性和安全性。
在條件答應的情況下，還應實施信息系統審計。信息系統審計是獨立信息系統審計師，為了信息系統的安全、可靠與有效，以第三方的客觀態度對以計算機為核心的信息系統進行綜合的檢查與評價，向被審計單位的最高治理當局，提出題目與建議的一系列活動。信息系統審計綜合運用信息技術和審計與為信息系統的使用者提供公道保證。
（三）加強人力資源治理，完善內部控制的基礎環境
不管是COSO報告《內部控制——一體化框架》，還是《企業風險治理框架》，都突出了“人”的因素。任何企業的核心都是企業中的人及其活動。在信息化條件下，加強人力資源的治理，是企業加強內部控制的一個重要方面。企業實施信息化后，對員工素質提出了更高的要求，因而人力資源治理的目標主要是通過相應的人事政策激勵員工和制定良好的培訓政策等進步員工的素質。同時，由于信息化條件下與信息資源相關的風險的存在，要求企業制定良好的績效考評、激勵和約束機制，以期保證與信息化相關的職員的道德品行。因此，加強人力資源治理，做到人盡其用，留住重要的信息化方面人才，是加強完善內部控制的重要措施之一。

文獻：

[1] 吳水澎. 公司董事會、監事會效率與內控機制研究[M]. 北京：財政出版社，2005.
[2] 唐予華，李明輝. 內部控制與會計信息質量研究[M]. ，北京：中國財政經濟出版社，2003.
[3] 陳朝輝 王. 會計信息化對內部控制的要求[J]. 財務與會計，2001，（9）.
[4] 劉志遠 劉潔. 信息技術條件下的企業內部控制[J]. 會計研究，2001，（12）：32-36.
[5] 胡奕明. 內部控制的制度化與程序化——一種電算化系統構建內部控制的方法[J].審計研究，1997，（4）：36-39.
[6] 胡奕明 胡箭深. 會計電算化內部控制初探[J]. 會計研究，1996，（10）：30-32.
[7] 黃正端. 計算機會計系統內部控制的研究[J]. 會計研究，1996，（11）：40-42.

【企業信息化與內部控制關系研究】相關文章：

公司治理與內部控制關系研究03-25

淺論內部審計與內部控制的關系03-02

對內部控制與內部審計關系的探討03-21

淺議內部控制和內部審計的關系03-23

內部控制環境的研究03-21

論公司治理與內部控制的關系07-04

略論公司治理與內部控制的關系03-24

內部控制與盈余管理的關系論文11-18

基于內部審計的內部控制監督研究03-23