1、企業(yè)信息化對(duì)內(nèi)部控制提出挑戰(zhàn)

　　內(nèi)部控制是現(xiàn)代企業(yè)管理的重要內(nèi)容，也是國(guó)家五部委對(duì)上市企業(yè)提出規(guī)范管理的明確要求。企業(yè)建立內(nèi)部控制制度的目的在于：1）保障企業(yè)生產(chǎn)經(jīng)營(yíng)的效果與效率；2）保證財(cái)務(wù)報(bào)告的可靠性，以堵塞企業(yè)內(nèi)部管理漏洞，確保企業(yè)生產(chǎn)、業(yè)務(wù)數(shù)據(jù)的真實(shí)性，制定合理的績(jī)效考核指標(biāo)及依據(jù)；3）使企業(yè)自覺遵循國(guó)家、地方相關(guān)法令、法規(guī)，預(yù)防、控制企業(yè)內(nèi)部的舞弊行為。

　　按照國(guó)際權(quán)威美國(guó)COSO 委員會(huì)定義，企業(yè)內(nèi)部控制包括5 個(gè)要素：

　　1）控制環(huán)境。影響企業(yè)員工內(nèi)部控制意識(shí)，使內(nèi)部控制得以貫徹執(zhí)行，確保企業(yè)經(jīng)營(yíng)戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。2）風(fēng)險(xiǎn)評(píng)估。在市場(chǎng)日趨激烈競(jìng)爭(zhēng)中，企業(yè)內(nèi)部控制必須分析、了解自身所面臨的各種風(fēng)險(xiǎn)，并適時(shí)加以處理。3）控制活動(dòng)。確保企業(yè)管理層的指令得以實(shí)現(xiàn)的政策和程序。控制活動(dòng)主要包括：交易授權(quán)、職責(zé)分離、監(jiān)管、業(yè)務(wù)記錄、接觸控制和獨(dú)立稽核。4）信息和溝通。企業(yè)必須保證員工能夠取得他們?cè)趫?zhí)行、管理和控制企業(yè)經(jīng)營(yíng)過程中所需的信息，使員工順利履行其職責(zé)。5）監(jiān)督。整個(gè)內(nèi)部控制的過程必須施以恰當(dāng)?shù)谋O(jiān)督，并在必要時(shí)對(duì)其加以修正。

　　企業(yè)信息化增加了企業(yè)內(nèi)部控制的潛在風(fēng)險(xiǎn)，在企業(yè)由傳統(tǒng)管理向信息化管理轉(zhuǎn)變過程中，構(gòu)建系統(tǒng)、嚴(yán)密、完善的內(nèi)部控制體系，不僅是現(xiàn)代企業(yè)必須遵循的基本管理法則，也是企業(yè)提高防范風(fēng)險(xiǎn)能力和經(jīng)營(yíng)管理水平的內(nèi)在要求。

　　2、企業(yè)信息化對(duì)內(nèi)部控制的影響

　　2.1 主要體現(xiàn)方面

　　1）企業(yè)信息化應(yīng)用增加了企業(yè)決策者的管理幅度，使企業(yè)組織結(jié)構(gòu)扁平化，優(yōu)化、固化了業(yè)務(wù)流程，內(nèi)控制度必須與之相適應(yīng)；2）企業(yè)信息化改變了管理信息的采集、存儲(chǔ)及整理方式，數(shù)據(jù)及時(shí)、準(zhǔn)確、真實(shí)性大大提高，為實(shí)施更有效的內(nèi)部控制打下了基礎(chǔ)；3）企業(yè)信息化改變了管理信息的溝通、處理方式，提高了管理效率和信息的集成性，企業(yè)內(nèi)部控制由傳統(tǒng)控制轉(zhuǎn)向?qū)崟r(shí)控制。

　　實(shí)時(shí)控制主要體現(xiàn)在：1）控制目標(biāo)，由“確保資產(chǎn)安全完整”變?yōu)?ldquo;提高企業(yè)經(jīng)營(yíng)效率和效益，實(shí)現(xiàn)價(jià)值增值”；2）控制內(nèi)容，由“資金或資本會(huì)計(jì)要素的單項(xiàng)變動(dòng)控制”發(fā)展為“企業(yè)價(jià)值鏈系統(tǒng)及網(wǎng)絡(luò)的多維控制”；3）控制方式，由“只限于經(jīng)營(yíng)活動(dòng)過程中的適時(shí)控制”變?yōu)?ldquo;實(shí)時(shí)控制”；4）控制信息，由“以貨幣價(jià)值量的控制”發(fā)展為“利用時(shí)間量、實(shí)物量和貨幣量的信息控制”；5）控制屬性，由靜態(tài)控制拓展為動(dòng)態(tài)控制，由局部控制轉(zhuǎn)向經(jīng)營(yíng)活動(dòng)全過程的控制，以滿足信息使用者任何時(shí)間、地點(diǎn)獲取所需的信息。

　　2.2 對(duì)內(nèi)部控制五要素的影響

　　1）對(duì)控制環(huán)境的影響。企業(yè)信息化使企業(yè)組織結(jié)構(gòu)趨向扁平化，管理層次減少，對(duì)企業(yè)管理者的素質(zhì)提出了更高的要求，有利于決策者全面、及時(shí)地掌握企業(yè)運(yùn)營(yíng)情況，為正確制定戰(zhàn)略、資源分配和績(jī)效評(píng)價(jià)等企業(yè)決策提供依據(jù)。

　　2）對(duì)風(fēng)險(xiǎn)評(píng)估的影響。企業(yè)信息化規(guī)范、固化了業(yè)務(wù)流程，系統(tǒng)控制降低了人員疏漏或舞弊的風(fēng)險(xiǎn)；同時(shí)信息存儲(chǔ)高度集中,系統(tǒng)失靈、崩潰和數(shù)據(jù)竊取等風(fēng)險(xiǎn)增加，需建立良好的IT 治理機(jī)制，防范災(zāi)難和減少災(zāi)難發(fā)生時(shí)的損失。

　　3）對(duì)控制活動(dòng)的影響。①控制活動(dòng)是根據(jù)企業(yè)業(yè)務(wù)流程的節(jié)點(diǎn)控制進(jìn)行設(shè)置，業(yè)務(wù)控制對(duì)象是企業(yè)生產(chǎn)經(jīng)營(yíng)過程，對(duì)業(yè)務(wù)控制由信息系統(tǒng)自動(dòng)完成；②業(yè)務(wù)授權(quán)由信息系統(tǒng)完成，但授權(quán)過程不明顯，控制的失效往往在發(fā)生損失后才被察覺。應(yīng)關(guān)注、檢查系統(tǒng)授權(quán)的正確性和完整性；③業(yè)務(wù)職責(zé)分離、監(jiān)管及獨(dú)立稽核仍是重要的控制措施，信息系統(tǒng)應(yīng)建立規(guī)范的審批工作流程；④信息化環(huán)境下，業(yè)務(wù)記錄不再是書面的簽章、編碼、交叉索引等，而是通過登錄密碼、操作日志等技術(shù)手段進(jìn)行業(yè)務(wù)記錄，其有效性受信息系統(tǒng)的正確性、完整性和安全性的影響；⑤信息化環(huán)境下，對(duì)于信息資產(chǎn)的接觸控制，由于網(wǎng)絡(luò)的遠(yuǎn)程接入性，應(yīng)當(dāng)通過防火墻、操作員權(quán)限設(shè)置、登錄密碼安全策略、信息系統(tǒng)審計(jì)等技術(shù)手段和管理措施加以實(shí)現(xiàn)。

　　4）對(duì)信息和溝通的影響。企業(yè)信息化有利于內(nèi)部控制的信息和溝通，利用完善的企業(yè)信息系統(tǒng)，企業(yè)員工能夠更好地取得他們?cè)趫?zhí)行、管理和控制企業(yè)經(jīng)營(yíng)過程中所需的信息，順利履行其職責(zé)。當(dāng)然，也要警惕信息過量及借助高速信息處理能力造假的問題。

　　5）對(duì)監(jiān)督的影響。借助信息系統(tǒng)，可以實(shí)現(xiàn)實(shí)時(shí)監(jiān)督，從而提高監(jiān)督效果和效率，對(duì)信息系統(tǒng)的開發(fā)、實(shí)施和維護(hù)過程所進(jìn)行的監(jiān)督，應(yīng)當(dāng)成為監(jiān)督的重點(diǎn)。企業(yè)應(yīng)運(yùn)用CSA 做法，定期或不定期地對(duì)內(nèi)部控制系統(tǒng)進(jìn)行評(píng)估，評(píng)估其有效性及實(shí)施的效率效果，以期能更好地達(dá)到內(nèi)部控制的目標(biāo)。

　　3、加強(qiáng)內(nèi)部控制的對(duì)策

　　3.1 建立與信息化建設(shè)相適應(yīng)的內(nèi)部控制制度

　　企業(yè)信息化應(yīng)服從企業(yè)整體發(fā)展戰(zhàn)略，要站在企業(yè)治理的高度，制定與企業(yè)發(fā)展戰(zhàn)略相融合的信息化戰(zhàn)略，從戰(zhàn)略投資、企業(yè)管理變革的角度，降低企業(yè)信息化風(fēng)險(xiǎn)。幫助企業(yè)管理層建立以企業(yè)戰(zhàn)略為導(dǎo)向，以外界環(huán)境為依據(jù)，以業(yè)務(wù)和信息化整合為中心，針對(duì)不同業(yè)務(wù)發(fā)展要求，整合信息資源，制定并執(zhí)行推動(dòng)企業(yè)發(fā)展的信息化戰(zhàn)略。

　　3.2 加強(qiáng)信息系統(tǒng)控制及審計(jì)

　　在企業(yè)信息化環(huán)境下，對(duì)信息系統(tǒng)的有效控制是企業(yè)開展正常生產(chǎn)經(jīng)營(yíng)活動(dòng)的前提和保障。內(nèi)部審計(jì)機(jī)構(gòu)是信息系統(tǒng)控制最重要的執(zhí)行者之一，在信息系統(tǒng)的開發(fā)、實(shí)施、維護(hù)和操作過程中應(yīng)當(dāng)進(jìn)行嚴(yán)格的獨(dú)立審查和監(jiān)督，保證信息系統(tǒng)的正確性、完整性和安全性。

　　信息系統(tǒng)審計(jì)主要包括以下方面：1）評(píng)價(jià)信息系統(tǒng)的管理、規(guī)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。2）評(píng)價(jià)企業(yè)在信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的管理和實(shí)施方面的有效性及效率，以確保其充分支持企業(yè)的運(yùn)營(yíng)目標(biāo)。3）對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)，確保其能支持企業(yè)保護(hù)信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。4）評(píng)價(jià)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃，這些計(jì)劃保證在發(fā)生災(zāi)難時(shí)，能夠使企業(yè)持續(xù)處理業(yè)務(wù)。

　　5）對(duì)應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià)，以確保其滿足企業(yè)的業(yè)務(wù)目標(biāo)。6）評(píng)估業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)企業(yè)的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。

　　3.3 實(shí)施業(yè)務(wù)流程優(yōu)化和固化

　　企業(yè)信息化系統(tǒng)，蘊(yùn)含了先進(jìn)管理思想，但其業(yè)務(wù)流程仍然保持手工環(huán)境下的狀態(tài)，必然造成信息系統(tǒng)與業(yè)務(wù)流程之間的沖突，從而使企業(yè)生產(chǎn)經(jīng)營(yíng)管理出現(xiàn)低效率，而且會(huì)形成內(nèi)部控制的弱點(diǎn)和許多問題。因此，企業(yè)信息化過程中實(shí)施業(yè)務(wù)流程優(yōu)化、固化，具有十分重要的意義。

　　3.4 加強(qiáng)企業(yè)人力資源管理

　　企業(yè)管理要以人為本，人力資源管理是合理配置和開發(fā)企業(yè)的人力資源，以實(shí)現(xiàn)企業(yè)目標(biāo)的管理活動(dòng)。在信息化環(huán)境下，企業(yè)加強(qiáng)內(nèi)部控制的一個(gè)重要方面就是加強(qiáng)對(duì)人力資源的管理。

　　對(duì)于內(nèi)部控制而言，人力資源管理的目標(biāo)主要是保證和提高員工的素質(zhì)和品行。信息化環(huán)境對(duì)員工的素質(zhì)提出了更高的要求，員工不但要熟悉業(yè)務(wù)，還要掌握軟件系統(tǒng)的操作。企業(yè)應(yīng)該通過完善的內(nèi)控制度來(lái)約束企業(yè)員工行為，建立良好的績(jī)效評(píng)價(jià)、激勵(lì)機(jī)制，防止掌握企業(yè)重要信息資源的人才流失以及相應(yīng)的信息資源損失。

　　3.5 重在執(zhí)行

　　企業(yè)管理效率取決于管理流程的規(guī)范、業(yè)務(wù)流程的暢通以及信息上傳下達(dá)的及時(shí)準(zhǔn)確，企業(yè)內(nèi)部控制、ISO9001、TQM 等管理體系，無(wú)不強(qiáng)調(diào)的是過程控制，一切由數(shù)據(jù)說(shuō)話。企業(yè)信息化建設(shè)目標(biāo)之一就是為管理者提供及時(shí)、準(zhǔn)確、全面的管理數(shù)據(jù)。企業(yè)建立內(nèi)部控制制度是規(guī)范管理、保證企業(yè)信息化系統(tǒng)有效運(yùn)行的基礎(chǔ)，而信息化系統(tǒng)是提高工作效率，保證管理信息及時(shí)、準(zhǔn)確，量化考核做到公正、客觀，制度得以真正落實(shí)下去的關(guān)鍵。因此，無(wú)論是內(nèi)部控制，還是企業(yè)信息化應(yīng)用，有效執(zhí)行是關(guān)鍵。