信息化環(huán)境下的企業(yè)內(nèi)部控制

1、1.引言信息化環(huán)境主要是實現(xiàn)了信息化管理的一種環(huán)境，隨著信息時代的到來與發(fā)展，計算機(jī)、網(wǎng)絡(luò)、通訊等信息技術(shù)得到了快速發(fā)展，構(gòu)筑起了數(shù)字化和網(wǎng)絡(luò)化的活動環(huán)境。企業(yè)信息化主要是指信息技術(shù)在企業(yè)經(jīng)濟(jì)活動中被廣泛采用，在技術(shù)層面的高度發(fā)展， 在知識層面資源化。 企業(yè)在生產(chǎn)、 經(jīng)營及其管理各項活動中充分利用現(xiàn)代信息技術(shù)和信息設(shè)備，輔以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備以及自動控制技術(shù)和現(xiàn)代化通訊系統(tǒng)等手段對企業(yè)進(jìn)行全方位、多角度、高效和安全的改造，信息資源的深人開發(fā)和廣泛利用，實現(xiàn)企業(yè)生產(chǎn)過程的自動化、管理方式的網(wǎng)絡(luò)化、決策支持的智能化、商務(wù)運營的電子化，不斷提高生產(chǎn)、經(jīng)營、管理、決策的效率和水平，進(jìn)而提高企業(yè)經(jīng)濟(jì)效益

2、和競爭力的過程。信息化改變了企業(yè)數(shù)據(jù)存取、保存、傳遞的方式和生產(chǎn)經(jīng)營模式，提高了業(yè)務(wù)運轉(zhuǎn)與管理的效率、業(yè)務(wù)流程的自動化以及信息的價值化。 這也給在人類漫長歷史中發(fā)揮巨大作用的內(nèi)部控制帶來了無限的機(jī)遇和巨大的挑戰(zhàn)， 在這樣的環(huán)境下企業(yè)的內(nèi)部控制重點和模式隨之要發(fā)生相應(yīng)的變化， 如何構(gòu)建信息化環(huán)境下的企業(yè)內(nèi)部控制系統(tǒng)已成為目前亟待解決的問題。為此，本文試圖從信息化環(huán)境對企業(yè)內(nèi)部控制的影響著手，分析信息化環(huán)境下企業(yè)內(nèi)部控制面臨的機(jī)遇與挑戰(zhàn)，探討構(gòu)建和實施信息化環(huán)境下的企業(yè)內(nèi)部控制系統(tǒng)。2 .信息化環(huán)境下企業(yè)內(nèi)部控制面臨的機(jī)遇與挑戰(zhàn)2.1 信息技術(shù)的廣泛應(yīng)用提高了內(nèi)部控制效率，增強了內(nèi)部控制效果信息流

3、程和業(yè)務(wù)流程的有效整合，給提高企業(yè)內(nèi)部控制效率，增強內(nèi)部控制效果，帶來了新的機(jī)會。信息系統(tǒng)下的內(nèi)部控制與手工系統(tǒng)下的內(nèi)部控制相比較，是范圍擴(kuò)大、控制程序靈活多樣的綜合性控制；是控制的重點職能部門和計算數(shù)據(jù)處理部門并重的全面控制；是人工控制和計算機(jī)自動控制相結(jié)合的多方位控制。2.1.1 在信息化環(huán)境下，內(nèi)部控制是基于一種人機(jī)結(jié)合的控制模式，許多控制程序，控制指標(biāo)、控制方法被設(shè)置在計算機(jī)信息系統(tǒng)內(nèi)部，大量的人工控制被信息系統(tǒng)的自動控制所取代，原先由多人分工協(xié)作的工作被信息技術(shù)重組后，只需要一個人就可以完成，這種變化導(dǎo)致企業(yè)組織、結(jié)構(gòu)趨于扁平化，內(nèi)部控制層次明顯減少，崗位更加精簡，責(zé)任更加明確，效率

4、更加提高。2.1.2 信息技術(shù)的發(fā)展和廣泛應(yīng)用，有關(guān)經(jīng)營決策的信息可以實現(xiàn)對經(jīng)營決策過程及其影響的實時、充分、同步的反映，大大降低企業(yè)信息的不對稱。信息與溝通已不再成為內(nèi)部控制中難以解決的問題，此時,傳統(tǒng)環(huán)境下企業(yè)所面臨的風(fēng)險可能依然存在但有所減少。實施同步的信息反映，決定了信息化環(huán)境下的企業(yè)對經(jīng)營決策過程的控制活動必然是一個實施同步的過程，這種同步控制活動在經(jīng)營決策活動發(fā)生時就能有效地發(fā)現(xiàn)并糾正任何可能存在的問題。 從控制角度看， 事后定期的監(jiān)督過程已經(jīng)與控制活動融為一體，內(nèi)部控制由單一控制變成了多層次、全方位的控制系統(tǒng)，從單純的控制活動到控制的諸多要素（活動、環(huán)境、程序、風(fēng)險、制度）的綜合

5、控制，從控制財務(wù)到企業(yè)整個資源的控制，從單純硬性控制到硬性控制與軟控制相結(jié)合，從控制現(xiàn)在到全過程控制。2.2 信息化環(huán)境下企業(yè)內(nèi)部控制面臨的挑戰(zhàn)信息化環(huán)境下企業(yè)將面臨許多新的特殊風(fēng)險，諸如信息系統(tǒng)規(guī)劃建設(shè)的治理風(fēng)險即中內(nèi)控機(jī)制的漏洞風(fēng)險、系統(tǒng)運轉(zhuǎn)的不穩(wěn)定性風(fēng)險、操作的人為風(fēng)險等。信息化環(huán)境下企業(yè)內(nèi)部控制具有人工控制與程序控制相結(jié)合的特點，這些程序化的內(nèi)部控制的有效性取決于應(yīng)用程序，如果程序發(fā)生差錯或不起作用，由于人們對計算機(jī)信息系統(tǒng)的依賴性、麻痹大意以及程序運行的重復(fù)性，使得失效控制長期不被發(fā)現(xiàn)，從而使系統(tǒng)在特定方面發(fā)生錯誤或違規(guī)行為的可能性較大。另外任何信息系統(tǒng)都存在著由于操作失誤，硬件、軟

6、件、網(wǎng)絡(luò)本身出現(xiàn)故障IT 治理風(fēng)險、軟件導(dǎo)致系統(tǒng)數(shù)據(jù)丟失甚至癱瘓的風(fēng)險。同時應(yīng)該看到，隨著計算機(jī)使用范圍的擴(kuò)大，利用計算機(jī)進(jìn)行的貪污、舞弊、詐騙等犯罪活動有所增加，這也增加了信息化環(huán)境下企業(yè)內(nèi)部控制的難度與復(fù)雜性。3 .建立和實施信息化環(huán)境下的企業(yè)內(nèi)部控制系統(tǒng)針對上述分析，企業(yè)在構(gòu)建信息化環(huán)境下的內(nèi)部控制系統(tǒng)時，應(yīng)綜合考慮各方面的因素。一方面，要利用信息系統(tǒng)進(jìn)行控制，將傳統(tǒng)環(huán)境下成熟的內(nèi)部控制方法、思想融人系統(tǒng)中，并利用信息技術(shù)實施一些在傳統(tǒng)環(huán)境中無法實施的控制手段和方法；另一方面，針對信息化環(huán)境下企業(yè)面臨的新風(fēng)險，實施對信息系統(tǒng)的控制。因此，建立和實施信息化環(huán)境下的企業(yè)內(nèi)部控制系統(tǒng)應(yīng)由三部分

7、組成：是建立和實施信息化環(huán)境下的企業(yè)信息系統(tǒng)，這必須是一個事件驅(qū)動型的系統(tǒng)，將傳統(tǒng)內(nèi)部控制手段和方法嵌人其中；二是為信息系統(tǒng)安全有效的運作，必須建立健全的信息系統(tǒng)內(nèi)部控制制度；三是為了確保和審查內(nèi)部控制制度的有效執(zhí)行，必須開展對信息系統(tǒng)及其內(nèi)部控制制度的審計，以最終建立和實施安全、可靠、高效的內(nèi)部控制系統(tǒng)。3.1 建立和實施信息化環(huán)境下的企業(yè)信息系統(tǒng)在信息化環(huán)境下，以計算機(jī)、網(wǎng)絡(luò)、通訊等信息技術(shù)為基礎(chǔ)的信息系統(tǒng)已成為企業(yè)不可缺少的基礎(chǔ)設(shè)施。信息系統(tǒng)不僅僅是計算機(jī)、通訊、網(wǎng)絡(luò)及相關(guān)軟件等技術(shù)部件的集成，它是數(shù)據(jù)、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和人員的總和。它涉及到系統(tǒng)工程、信息技術(shù)和管理科學(xué)等多個學(xué)科，信

8、息技術(shù)的日新月異、經(jīng)濟(jì)全球化和社會的復(fù)雜性使信息系統(tǒng)的建設(shè)與應(yīng)用遇到巨大挑戰(zhàn)。對企業(yè)而言，由于信息系統(tǒng)的建設(shè)涉及大量的投資，而且信息系統(tǒng)的質(zhì)量關(guān)系到企業(yè)經(jīng)營活動的效益，信息系統(tǒng)的風(fēng)險控制成為企業(yè)所有者與管理者日益關(guān)注的重要問題。因此，在信息系統(tǒng)建設(shè)過程當(dāng)中，應(yīng)保證信息系統(tǒng)開發(fā)質(zhì)量，避免信息系統(tǒng)建設(shè)風(fēng)險。在信息化環(huán)境下，企業(yè)必須建立一個事件驅(qū)動型的信息系統(tǒng)，并且業(yè)務(wù)控制的內(nèi)嵌是關(guān)鍵和核心，因為信息系統(tǒng)既是內(nèi)部控制的對象更是內(nèi)部控制的重要工具和手段。 由于信息技術(shù)使企業(yè)業(yè)務(wù)流程與信息流程融合在一起， 業(yè)務(wù)流程控制與信息流程控制成為企業(yè)內(nèi)部控制系統(tǒng)設(shè)計的重要內(nèi)容。 在企業(yè)流程控制的設(shè)計中， 專業(yè)人員

9、的首要任務(wù)是熟悉企業(yè)業(yè)務(wù)過程和信息過程以及它們之間的聯(lián)系，并針對組織內(nèi)部控制目標(biāo)的要求，對業(yè)務(wù)流程和信息流程的各類風(fēng)險進(jìn)行評估，確定風(fēng)險重要程度；其次為業(yè)務(wù)過程和信息過程制定規(guī)則和程序，作為控制策略的一部分，具體的規(guī)則依賴于企業(yè)的各種因素，如環(huán)境、組織規(guī)模、使用技術(shù)、員工素質(zhì)等，并在此基礎(chǔ)上建立作業(yè)的預(yù)算制度、作業(yè)操作制度、業(yè)績評價制度、供應(yīng)鏈績效評價制度；最后依據(jù)風(fēng)險的重要程度確定業(yè)務(wù)流程與信息流程的關(guān)鍵控制點、建立控制模型，設(shè)定控制參數(shù)與控制程序，并將其嵌人到信息系統(tǒng)中，形成人機(jī)結(jié)合，業(yè)務(wù)活動與信息處理集合的內(nèi)部控制系統(tǒng)。這樣，在企業(yè)經(jīng)營過程中，信息系統(tǒng)就能動態(tài)跟蹤業(yè)務(wù)活動的信息，自動監(jiān)控

10、這些活動所產(chǎn)生的數(shù)據(jù)是否在控制范圍內(nèi)，預(yù)測發(fā)展趨勢，實施輸出預(yù)警信號。3.2 建立有效、健全的信息系統(tǒng)內(nèi)部控制制度信息化環(huán)境下企業(yè)內(nèi)部控制與企業(yè)信息系統(tǒng)的內(nèi)部控制是共生和融合的，信息化環(huán)境下企業(yè)內(nèi)部控制的有效性很大程度_1 有賴于信息系統(tǒng)的可靠性和有效性，所以研究企業(yè)內(nèi)部控制體系的重心應(yīng)是關(guān)注信息系統(tǒng)的內(nèi)控機(jī)制的建設(shè)。3.2.1 借鑒歐美發(fā)達(dá)國家已有信息系統(tǒng)管理控制標(biāo)準(zhǔn)與規(guī)范，建立信息系統(tǒng)內(nèi)部控制制度歐美發(fā)達(dá)國家對信息系統(tǒng)控制研究與實踐起步較早，這些國家從 20 世紀(jì) 80 年代中期到現(xiàn)在，走過了“技術(shù)管理時期”、“多樣化管理時期”和“專業(yè)管理時期”，所謂專業(yè)管理，即使除技術(shù)管理外，信息系統(tǒng)的

11、功能管理和應(yīng)用管理要以按照符合要求的標(biāo)準(zhǔn)或規(guī)范運行， 這些標(biāo)準(zhǔn)與規(guī)范包括COBIT,ISO9000,CMM,ISO/IECI779和ITIL等。COBIT(ControlObjectivesForInformationandRelatedTechnology),譯為“信息及相關(guān)技術(shù)的控制目標(biāo)”，是由國際信息系統(tǒng)審計與控制協(xié)會(ISACA 出版，最早在 19%年發(fā)布，現(xiàn)已發(fā)布第 3 版，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的信息技術(shù)控制標(biāo)準(zhǔn)。COBIT 將 IT 過程、IT 資源及信息與組織的策略與目標(biāo)聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。其中，IT 準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本

12、、時間、資源利用率、系統(tǒng)效率、保密性、有效性、可用性等方面來保證信息的安全性、可靠性、有效性；IT 資源維主要包括人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源；IT 過程維則在 IT 準(zhǔn)則的指導(dǎo)下，對信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面確定了 34 個信息技術(shù)處理過程。COBIT 覆蓋整個信息系統(tǒng)的全部生命周期，涵蓋了戰(zhàn)略、戰(zhàn)術(shù)與操作的所有層次，處于各個階段的信息系統(tǒng)都可以參照應(yīng)用，它所帶來的益處是十分明顯的，它使 IT 戰(zhàn)略與組織戰(zhàn)略緊密聯(lián)系，在事業(yè)目標(biāo)、信息系統(tǒng)、業(yè)務(wù)績效目標(biāo)之間維持平衡。它為 IT 過程提供管理控制結(jié)構(gòu)化、模式

13、化，為信息系統(tǒng)的安全、可靠、效用與效率達(dá)到預(yù)定目標(biāo)提供了保障，并為信息系統(tǒng)的審計提供了指導(dǎo)和基礎(chǔ)，使審計工作切實可行，審計結(jié)論更有說服力和影響力。實踐證明，企業(yè)應(yīng)用這些標(biāo)準(zhǔn)與規(guī)范能極大地提高信息系統(tǒng)建設(shè)與應(yīng)用水平，在我國尚未出臺相應(yīng)的信息系統(tǒng)控制標(biāo)準(zhǔn)與規(guī)范之前，COBIT 對于我們建設(shè)信息系統(tǒng)的內(nèi)部控制制度具有極大的指導(dǎo)作用。3.2.2 加強管理層對建立有效的信息系統(tǒng)控制制度的重視信息系統(tǒng)控制的有效性取決于管理層的重視程度，許多人認(rèn)為信息系統(tǒng)控制是一個技術(shù)問題，應(yīng)該由技術(shù)人員負(fù)責(zé)。事實上，信息系統(tǒng)控制以手工控制為主，需要企業(yè)的上下各級組織機(jī)構(gòu)和各類員工的參與，需要制定并實施嚴(yán)格的規(guī)章制度。 如

14、果企業(yè)管理層不能夠充分地認(rèn)識信息技術(shù)的風(fēng)險， 不能給信息系統(tǒng)控制以足夠的重視，那企業(yè)對信息系統(tǒng)控制的投資可能不足，而且不能動員所有員工來重視和參與信息系統(tǒng)控制，各種關(guān)于信息系統(tǒng)控制的規(guī)章制度的實行將會遇到極大的困難，進(jìn)而影響信息系統(tǒng)控制的有效性。所以，進(jìn)行有效的信息系統(tǒng)控制的首要前提是企業(yè)管理層的重視。3.3 對信息系統(tǒng)及其內(nèi)部控制制度的審計在企業(yè)對業(yè)務(wù)的傳統(tǒng)控制活動逐漸被嵌人到信息系統(tǒng)后，業(yè)務(wù)控制的有效性依賴于信息系統(tǒng)的安全性、可靠性和有效性，而信息系統(tǒng)的安全性、可靠性和有效性取決于信息系統(tǒng)的控制及其執(zhí)行是否健全有效。另外，在信息化環(huán)境下，許多控制程序、控制指標(biāo)被設(shè)置在計算機(jī)信息系統(tǒng)內(nèi)部，這

15、就要求及時了解原來設(shè)置在信息系統(tǒng)內(nèi)部的控制程序、控制參數(shù)是否過時，并針對企業(yè)經(jīng)營環(huán)境變化情況，及時評估業(yè)務(wù)流程控制點的運行狀態(tài)，重新調(diào)整或更改設(shè)置在信息系統(tǒng)的控制參數(shù)或程序。因此，信息化環(huán)境下企業(yè)除了需要建立健全信息系統(tǒng)控制之外，通過審計活動審查與評價信息系統(tǒng)的內(nèi)部控制建設(shè)及其執(zhí)行情況并提出審計建議也是確保信息系統(tǒng)安全、可靠、高效運行的重要措施。根據(jù)審計主體的不同，信息系統(tǒng)審計可以分為內(nèi)部審計和外部審計兩類。內(nèi)部審計是企業(yè)信息系統(tǒng)控制的重要組成部分，是指由企業(yè)內(nèi)部審計機(jī)構(gòu)執(zhí)行的信息系統(tǒng)審計，是確保信息系統(tǒng)安全、可靠、有效的基本保證。外部審計是由獨立的外部信息系統(tǒng)審計人員執(zhí)行的信息系統(tǒng)審計。在企

16、業(yè)建設(shè)信息系統(tǒng)的初期,外部審計可以幫助企業(yè)迅速提高信息系統(tǒng)的安全性， 而在企業(yè)信息系統(tǒng)的穩(wěn)定運行期， 外部審計也可以及時發(fā)現(xiàn)一些看起來十分普通但實際上非常危險的問題。在實施內(nèi)部審計時，有必要引入在西方發(fā)達(dá)國家企業(yè)內(nèi)部控制管理領(lǐng)域被廣泛運用的內(nèi)部控制自我評價這一新興的審計技術(shù)和方法。內(nèi)部控制自我評價，簡單來說就是公司不定期或定期地對自己內(nèi)部控制系統(tǒng)進(jìn)行評價，評價內(nèi)部控制的有效性及其實施的效率效果，以期能更好地實現(xiàn)內(nèi)部控制的目標(biāo)。它是一種自發(fā)的自我評估運營程序，把傳統(tǒng)的只由內(nèi)部審計人員從事的內(nèi)控評價轉(zhuǎn)移由公司各部門參與作業(yè)的人員親自評估， 幫助他們認(rèn)識到內(nèi)部控制不只是內(nèi)部審計工作的責(zé)任，也不僅是高級管理層應(yīng)關(guān)心的問題，相反，應(yīng)該把它看做是組織所有成員的事。研究表明，實施內(nèi)部控制自我評價的方法對于一個企業(yè)改進(jìn)內(nèi)部控制程序、業(yè)務(wù)經(jīng)營程序以及控制風(fēng)險等都有著積極的作用。4