1、企業(yè)信息化對內部控制提出挑戰(zhàn)

　　內部控制是現(xiàn)代企業(yè)管理的重要內容，也是國家五部委對上市企業(yè)提出規(guī)范管理的明確要求。企業(yè)建立內部控制制度的目的在于：1）保障企業(yè)生產(chǎn)經(jīng)營的效果與效率；2）保證財務報告的可靠性，以堵塞企業(yè)內部管理漏洞，確保企業(yè)生產(chǎn)、業(yè)務數(shù)據(jù)的真實性，制定合理的績效考核指標及依據(jù)；3）使企業(yè)自覺遵循國家、地方相關法令、法規(guī)，預防、控制企業(yè)內部的舞弊行為。

　　按照國際權威美國COSO 委員會定義，企業(yè)內部控制包括5 個要素：

　　1）控制環(huán)境。影響企業(yè)員工內部控制意識，使內部控制得以貫徹執(zhí)行，確保企業(yè)經(jīng)營戰(zhàn)略目標的實現(xiàn)。2）風險評估。在市場日趨激烈競爭中，企業(yè)內部控制必須分析、了解自身所面臨的各種風險，并適時加以處理。3）控制活動。確保企業(yè)管理層的指令得以實現(xiàn)的政策和程序。控制活動主要包括：交易授權、職責分離、監(jiān)管、業(yè)務記錄、接觸控制和獨立稽核。4）信息和溝通。企業(yè)必須保證員工能夠取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息，使員工順利履行其職責。5）監(jiān)督。整個內部控制的過程必須施以恰當?shù)谋O(jiān)督，并在必要時對其加以修正。

　　企業(yè)信息化增加了企業(yè)內部控制的潛在風險，在企業(yè)由傳統(tǒng)管理向信息化管理轉變過程中，構建系統(tǒng)、嚴密、完善的內部控制體系，不僅是現(xiàn)代企業(yè)必須遵循的基本管理法則，也是企業(yè)提高防范風險能力和經(jīng)營管理水平的內在要求。

　　2、企業(yè)信息化對內部控制的影響

　　2.1 主要體現(xiàn)方面

　　1）企業(yè)信息化應用增加了企業(yè)決策者的管理幅度，使企業(yè)組織結構扁平化，優(yōu)化、固化了業(yè)務流程，內控制度必須與之相適應；2）企業(yè)信息化改變了管理信息的采集、存儲及整理方式，數(shù)據(jù)及時、準確、真實性大大提高，為實施更有效的內部控制打下了基礎；3）企業(yè)信息化改變了管理信息的溝通、處理方式，提高了管理效率和信息的集成性，企業(yè)內部控制由傳統(tǒng)控制轉向實時控制。

　　實時控制主要體現(xiàn)在：1）控制目標，由“確保資產(chǎn)安全完整”變?yōu)?ldquo;提高企業(yè)經(jīng)營效率和效益，實現(xiàn)價值增值”；2）控制內容，由“資金或資本會計要素的單項變動控制”發(fā)展為“企業(yè)價值鏈系統(tǒng)及網(wǎng)絡的多維控制”；3）控制方式，由“只限于經(jīng)營活動過程中的適時控制”變?yōu)?ldquo;實時控制”；4）控制信息，由“以貨幣價值量的控制”發(fā)展為“利用時間量、實物量和貨幣量的信息控制”；5）控制屬性，由靜態(tài)控制拓展為動態(tài)控制，由局部控制轉向經(jīng)營活動全過程的控制，以滿足信息使用者任何時間、地點獲取所需的信息。

　　2.2 對內部控制五要素的影響

　　1）對控制環(huán)境的影響。企業(yè)信息化使企業(yè)組織結構趨向扁平化，管理層次減少，對企業(yè)管理者的素質提出了更高的要求，有利于決策者全面、及時地掌握企業(yè)運營情況，為正確制定戰(zhàn)略、資源分配和績效評價等企業(yè)決策提供依據(jù)。

　　2）對風險評估的影響。企業(yè)信息化規(guī)范、固化了業(yè)務流程，系統(tǒng)控制降低了人員疏漏或舞弊的風險；同時信息存儲高度集中,系統(tǒng)失靈、崩潰和數(shù)據(jù)竊取等風險增加，需建立良好的IT 治理機制，防范災難和減少災難發(fā)生時的損失。

　　3）對控制活動的影響。①控制活動是根據(jù)企業(yè)業(yè)務流程的節(jié)點控制進行設置，業(yè)務控制對象是企業(yè)生產(chǎn)經(jīng)營過程，對業(yè)務控制由信息系統(tǒng)自動完成；②業(yè)務授權由信息系統(tǒng)完成，但授權過程不明顯，控制的失效往往在發(fā)生損失后才被察覺。應關注、檢查系統(tǒng)授權的正確性和完整性；③業(yè)務職責分離、監(jiān)管及獨立稽核仍是重要的控制措施，信息系統(tǒng)應建立規(guī)范的審批工作流程；④信息化環(huán)境下，業(yè)務記錄不再是書面的簽章、編碼、交叉索引等，而是通過登錄密碼、操作日志等技術手段進行業(yè)務記錄，其有效性受信息系統(tǒng)的正確性、完整性和安全性的影響；⑤信息化環(huán)境下，對于信息資產(chǎn)的接觸控制，由于網(wǎng)絡的遠程接入性，應當通過防火墻、操作員權限設置、登錄密碼安全策略、信息系統(tǒng)審計等技術手段和管理措施加以實現(xiàn)。

　　4）對信息和溝通的影響。企業(yè)信息化有利于內部控制的信息和溝通，利用完善的企業(yè)信息系統(tǒng)，企業(yè)員工能夠更好地取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息，順利履行其職責。當然，也要警惕信息過量及借助高速信息處理能力造假的問題。

　　5）對監(jiān)督的影響。借助信息系統(tǒng)，可以實現(xiàn)實時監(jiān)督，從而提高監(jiān)督效果和效率，對信息系統(tǒng)的開發(fā)、實施和維護過程所進行的監(jiān)督，應當成為監(jiān)督的重點。企業(yè)應運用CSA 做法，定期或不定期地對內部控制系統(tǒng)進行評估，評估其有效性及實施的效率效果，以期能更好地達到內部控制的目標。

　　3、加強內部控制的對策

　　3.1 建立與信息化建設相適應的內部控制制度

　　企業(yè)信息化應服從企業(yè)整體發(fā)展戰(zhàn)略，要站在企業(yè)治理的高度，制定與企業(yè)發(fā)展戰(zhàn)略相融合的信息化戰(zhàn)略，從戰(zhàn)略投資、企業(yè)管理變革的角度，降低企業(yè)信息化風險。幫助企業(yè)管理層建立以企業(yè)戰(zhàn)略為導向，以外界環(huán)境為依據(jù)，以業(yè)務和信息化整合為中心，針對不同業(yè)務發(fā)展要求，整合信息資源，制定并執(zhí)行推動企業(yè)發(fā)展的信息化戰(zhàn)略。

　　3.2 加強信息系統(tǒng)控制及審計

　　在企業(yè)信息化環(huán)境下，對信息系統(tǒng)的有效控制是企業(yè)開展正常生產(chǎn)經(jīng)營活動的前提和保障。內部審計機構是信息系統(tǒng)控制最重要的執(zhí)行者之一，在信息系統(tǒng)的開發(fā)、實施、維護和操作過程中應當進行嚴格的獨立審查和監(jiān)督，保證信息系統(tǒng)的正確性、完整性和安全性。

　　信息系統(tǒng)審計主要包括以下方面：1）評價信息系統(tǒng)的管理、規(guī)劃與組織方面的策略、政策、標準、程序和相關實務。2）評價企業(yè)在信息系統(tǒng)技術基礎設施與操作實務的管理和實施方面的有效性及效率，以確保其充分支持企業(yè)的運營目標。3）對邏輯、環(huán)境與信息技術基礎設施的安全性進行評價，確保其能支持企業(yè)保護信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權的情況下被使用、披露、修改、損壞或丟失。4）評價災難恢復與業(yè)務持續(xù)計劃，這些計劃保證在發(fā)生災難時，能夠使企業(yè)持續(xù)處理業(yè)務。

　　5）對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足企業(yè)的業(yè)務目標。6）評估業(yè)務系統(tǒng)與處理流程，確保根據(jù)企業(yè)的業(yè)務目標對相應風險實施管理。

　　3.3 實施業(yè)務流程優(yōu)化和固化

　　企業(yè)信息化系統(tǒng)，蘊含了先進管理思想，但其業(yè)務流程仍然保持手工環(huán)境下的狀態(tài)，必然造成信息系統(tǒng)與業(yè)務流程之間的沖突，從而使企業(yè)生產(chǎn)經(jīng)營管理出現(xiàn)低效率，而且會形成內部控制的弱點和許多問題。因此，企業(yè)信息化過程中實施業(yè)務流程優(yōu)化、固化，具有十分重要的意義。

　　3.4 加強企業(yè)人力資源管理

　　企業(yè)管理要以人為本，人力資源管理是合理配置和開發(fā)企業(yè)的人力資源，以實現(xiàn)企業(yè)目標的管理活動。在信息化環(huán)境下，企業(yè)加強內部控制的一個重要方面就是加強對人力資源的管理。

　　對于內部控制而言，人力資源管理的目標主要是保證和提高員工的素質和品行。信息化環(huán)境對員工的素質提出了更高的要求，員工不但要熟悉業(yè)務，還要掌握軟件系統(tǒng)的操作。企業(yè)應該通過完善的內控制度來約束企業(yè)員工行為，建立良好的績效評價、激勵機制，防止掌握企業(yè)重要信息資源的人才流失以及相應的信息資源損失。

　　3.5 重在執(zhí)行

　　企業(yè)管理效率取決于管理流程的規(guī)范、業(yè)務流程的暢通以及信息上傳下達的及時準確，企業(yè)內部控制、ISO9001、TQM 等管理體系，無不強調的是過程控制，一切由數(shù)據(jù)說話。企業(yè)信息化建設目標之一就是為管理者提供及時、準確、全面的管理數(shù)據(jù)。企業(yè)建立內部控制制度是規(guī)范管理、保證企業(yè)信息化系統(tǒng)有效運行的基礎，而信息化系統(tǒng)是提高工作效率，保證管理信息及時、準確，量化考核做到公正、客觀，制度得以真正落實下去的關鍵。因此，無論是內部控制，還是企業(yè)信息化應用，有效執(zhí)行是關鍵。