IT環(huán)境下企業(yè)內(nèi)部控制實施模型研究

孫蓮香

[摘 要] IT環(huán)境對于內(nèi)部控制來說不僅僅是技術(shù)手段的變革，而是理念、思路、過程等整體的革新。本文試圖提出IT環(huán)境下企業(yè)內(nèi)部控制實施模型，探討IT環(huán)境下企業(yè)內(nèi)部控制實施之道，從規(guī)劃、集成、治理的角度構(gòu)建企業(yè)內(nèi)部控制實施模型。

[關(guān)鍵詞] IT環(huán)境；內(nèi)部控制；實施模型

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 10. 016

[中圖分類號] F232；F239.45 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2014）10- 0024- 03

0 引 言

隨著我國信息化水平的加速發(fā)展，企業(yè)信息化水平的步伐必然加快。根據(jù)用友軟件股份有限公司發(fā)布的《2010年中國企業(yè)信息化指數(shù)調(diào)研報告》，中國企業(yè)信息化指數(shù)達(dá)到48.06，總體處于由基礎(chǔ)應(yīng)用和關(guān)鍵應(yīng)用向擴展整合與優(yōu)化升級過渡階段，中國企業(yè)整體信息化成熟度已經(jīng)基本達(dá)到中等水平。在IT基礎(chǔ)設(shè)施建設(shè)滿足IT基礎(chǔ)應(yīng)用和IT關(guān)鍵應(yīng)用之后，如何將IT應(yīng)用于企業(yè)內(nèi)部控制管理越來越受到關(guān)注，同時IT應(yīng)用本身帶來的風(fēng)險和問題也越來越突出。

伴隨著我國企業(yè)信息化的不斷發(fā)展，國家相關(guān)政策和監(jiān)管部門早已開始重視這個問題。2006年6月，上海證券交易所發(fā)布《上海證券交易所上市公司內(nèi)部控制指引》指出公司使用計算機信息系統(tǒng)的，應(yīng)制定信息管理的內(nèi)控制度；2006年9月，深圳證券交易所發(fā)布《深圳證券交易所上市公司內(nèi)部控制指引》指出公司的內(nèi)部控制活動應(yīng)包括信息系統(tǒng)管理，并建立信息系統(tǒng)安全管理制度。2008年5月，財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》中要求“企業(yè)應(yīng)當(dāng)運用信息技術(shù)加強內(nèi)部控制，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機結(jié)合，實現(xiàn)對業(yè)務(wù)和事項的自動控制，減少或消除人為操縱因素”。

因此，企業(yè)信息化的不斷發(fā)展和對內(nèi)部控制的自身需要以及來自外部的監(jiān)管要求促使企業(yè)必須考慮和重視IT環(huán)境下企業(yè)內(nèi)部控制如何實施的問題。雖然目前從理論界和實務(wù)界普遍認(rèn)為信息技術(shù)是實施內(nèi)部控制的重要手段，但是在IT環(huán)境下如何應(yīng)用信息技術(shù)實施企業(yè)內(nèi)部控制仍是需要深入研究的問題。

1 IT 環(huán)境與企業(yè)內(nèi)部控制的關(guān)系

1.1 企業(yè)內(nèi)部控制的IT環(huán)境

從哲學(xué)上講，環(huán)境是一個相對于主體而言的客體，它與其主體相互依存，其內(nèi)容隨主體的不同而異。按照環(huán)境的哲學(xué)定義，IT環(huán)境是一個相對于主體而言的與信息技術(shù)相關(guān)的客體，它與其主體相互依存，為主體提供了信息獲取、存儲、傳輸?shù)氖侄魏头绞?，根?jù)主體需求的不同具有不同的表現(xiàn)方式。隨著全球計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，我們學(xué)習(xí)、工作和生活無時無刻不處在一個IT環(huán)境中。在IT環(huán)境中我們的語言、文字、行為、圖像、聲音等全部以數(shù)字化的方式進(jìn)行獲取、傳遞、存儲和轉(zhuǎn)換等。

IT環(huán)境下企業(yè)通過將信息技術(shù)廣泛應(yīng)用于企業(yè)經(jīng)濟活動中，在生產(chǎn)、經(jīng)營及其管理各項活動中充分利用現(xiàn)代信息技術(shù)和信息設(shè)備，輔以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備以及自動控制技術(shù)和現(xiàn)代化通訊系統(tǒng)等手段對企業(yè)進(jìn)行全方位、多角度、高效和安全的改造、信息資源的深入開發(fā)和廣泛利用，實現(xiàn)企業(yè)生產(chǎn)過程的自動化、管理方式的網(wǎng)絡(luò)化、決策支持的智能化、商務(wù)運營以及現(xiàn)金運轉(zhuǎn)的電子化，不斷提高生產(chǎn)、經(jīng)營、管理、決策的效率和水平，進(jìn)而提高企業(yè)經(jīng)濟效益和競爭力，我們把這個過程稱之為信息化過程。

信息化過程改變了企業(yè)數(shù)據(jù)存取、保存、傳遞的方式和生產(chǎn)經(jīng)營模式，提高了業(yè)務(wù)運轉(zhuǎn)與管理的效率、業(yè)務(wù)流程的自動化以及信息的價值化。因此，在IT環(huán)境下企業(yè)的內(nèi)部控制重點和模式隨之要發(fā)生相應(yīng)的變化，企業(yè)內(nèi)部控制系統(tǒng)的實施、運行、維護(hù)、評價和審計也將發(fā)生很大的變化，我們將信息技術(shù)對企業(yè)內(nèi)部控制系統(tǒng)的實施、運行、維護(hù)、評價和審計有影響的關(guān)鍵要素的綜合體稱之為企業(yè)內(nèi)部控制的IT環(huán)境。

1.2 手工環(huán)境下與IT環(huán)境下企業(yè)內(nèi)部控制實施的差異分析

從內(nèi)部控制理論的發(fā)展過程可以看出，內(nèi)部控制研究經(jīng)歷了從“方法程序觀”到“系統(tǒng)觀”，再到目前的“過程觀”和“風(fēng)險觀”的發(fā)展，內(nèi)部控制的理論研究與實踐應(yīng)用與企業(yè)所處的社會、經(jīng)濟、管理、技術(shù)環(huán)境的變化，“老三論”“新三論”等認(rèn)識論的產(chǎn)生與發(fā)展，企業(yè)管理理論的發(fā)展密不可分。其中IT的產(chǎn)生與發(fā)展使企業(yè)所處的內(nèi)外環(huán)境、面臨的風(fēng)險更為復(fù)雜化，進(jìn)而推動了內(nèi)部控制理論和實踐的前進(jìn)。

本文認(rèn)為，IT環(huán)境對企業(yè)內(nèi)部控制的影響是毋庸置疑的，相對于以前手工環(huán)境下的企業(yè)內(nèi)部控制，在IT環(huán)境下企業(yè)內(nèi)部控制重點和模式隨之都發(fā)生了重大改變，它們之間的區(qū)別如表1所示。

2 IT環(huán)境下企業(yè)內(nèi)部控制實施需要解決的幾個問題

我國已于2012年1月1日在A股上市公司全面實施《企業(yè)內(nèi)部控制基本規(guī)范》極其配套指引，在IT環(huán)境下如何融合信息技術(shù)推進(jìn)和實施企業(yè)內(nèi)部控制規(guī)范，是擺在各企業(yè)管理者前面的一道難題。根據(jù)德勤2010年中國上市公司內(nèi)部控制調(diào)查分析報告顯示，約46%的企業(yè)認(rèn)為缺乏與內(nèi)部控制相關(guān)的信息化手段是內(nèi)部控制效果不佳的重要原因。隨著信息技術(shù)的不斷發(fā)展，內(nèi)部控制與信息化的不斷融合已經(jīng)成為一種必然趨勢，但是信息化具有的內(nèi)生風(fēng)險對內(nèi)部控制有效性的影響，需要特別關(guān)注。

我國內(nèi)部控制基本規(guī)范及配套指引發(fā)布后的2～3年是上市公司或大中型企業(yè)推進(jìn)和實施內(nèi)部控制規(guī)范的關(guān)鍵時間。根據(jù)國外的經(jīng)驗來看，大型企業(yè)實施內(nèi)部控制規(guī)范的準(zhǔn)備時間一般都在兩年或兩年以上，實施內(nèi)部控制規(guī)范需要大量的準(zhǔn)備工作；另一方面，實施內(nèi)部控制規(guī)范的成本也相當(dāng)高，實施內(nèi)部控制規(guī)范實際上是對企業(yè)業(yè)務(wù)流程的再造，需要增設(shè)專門的崗位、專門的人員，制定相應(yīng)的流程，還包括聘請專業(yè)的咨詢公司和開發(fā)內(nèi)部控制系統(tǒng)等。因此，實施內(nèi)部控制規(guī)范必然會面對諸如轉(zhuǎn)化內(nèi)部控制規(guī)范為實際工作的具體指導(dǎo)、通過業(yè)務(wù)流程再造將內(nèi)部控制要求與公司業(yè)務(wù)流程相結(jié)合、規(guī)劃設(shè)計管理信息系統(tǒng)嵌入內(nèi)部控制規(guī)則、建立有效的內(nèi)部控制監(jiān)督機制以及控制內(nèi)部控制實施的高昂成本等眾多問題。

IT環(huán)境作為實施內(nèi)部控制所依賴的信息條件和技術(shù)條件的綜合體，主要包括網(wǎng)絡(luò)平臺、數(shù)據(jù)庫平臺、管理軟件平臺等關(guān)鍵要素。其中網(wǎng)絡(luò)是信息傳輸和交換的平臺，數(shù)據(jù)庫是信息存儲的平臺，管理軟件是信息利用的平臺。在IT環(huán)境下，信息資源是內(nèi)部控制系統(tǒng)使用的最重要的資源，信息技術(shù)則成為內(nèi)部控制系統(tǒng)實現(xiàn)的載體。

本文認(rèn)為，在IT環(huán)境下實施內(nèi)部控制系統(tǒng)需要解決以下3個問題：

2.1 信息資源規(guī)劃

信息資源規(guī)劃是對企業(yè)內(nèi)部控制所需要的信息，從產(chǎn)生、獲取，到處理、存儲、傳輸及利用進(jìn)行全面規(guī)劃的過程。內(nèi)部控制的基礎(chǔ)是信息，準(zhǔn)確的信息是有效內(nèi)部控制的前提條件，內(nèi)部控制系統(tǒng)的運行也依賴于信息。而信息反饋對內(nèi)部控制來說非常重要，信息反饋是系統(tǒng)進(jìn)行任何環(huán)節(jié)調(diào)整的前提，沒有信息反饋也就很難達(dá)到系統(tǒng)的穩(wěn)定狀態(tài)。

因此信息是內(nèi)部控制系統(tǒng)的中心，而且相對穩(wěn)定，控制點經(jīng)常是多變的，而信息是較少變化的。在IT環(huán)境下信息來源于數(shù)據(jù)，數(shù)據(jù)存儲于數(shù)據(jù)庫系統(tǒng)。內(nèi)部控制工程要解決的第一個問題是通過信息資源規(guī)劃，建立信息資源標(biāo)準(zhǔn)，實現(xiàn)企業(yè)主題數(shù)據(jù)庫和數(shù)據(jù)倉庫。

按照控制環(huán)境、風(fēng)險評估、控制活動、信息溝通和內(nèi)部監(jiān)督分類進(jìn)行控制信息資源規(guī)劃，建立五大信息資源。

2.2 系統(tǒng)整合與集成

從系統(tǒng)論的觀點，系統(tǒng)是由相互聯(lián)系和相互作用的若干要素有機地結(jié)合成特定結(jié)構(gòu)，從而具有不同于各個要素的新功能的整體。內(nèi)部控制系統(tǒng)的構(gòu)成要素由一系列的控制點、控制線、控制面和控制體組成。

系統(tǒng)整合與集成，就是基于整體論將內(nèi)部控制各控制點內(nèi)置于信息系統(tǒng)中，通過信息溝通維持各控制點的關(guān)系，信息的流動就形成了控制線，控制點與控制線的有機結(jié)合，構(gòu)成控制面，而控制點、線、面的有機結(jié)合又形成了一個內(nèi)部控制系統(tǒng)整體。

2.3 系統(tǒng)運行風(fēng)險治理

在IT環(huán)境下，內(nèi)部控制完全依賴于信息系統(tǒng)，信息系統(tǒng)中軟件、硬件、組織、安全、人員、制度等任何一個環(huán)節(jié)的不穩(wěn)定都會影響到系統(tǒng)的正常運行。因此，需要建立系統(tǒng)運行風(fēng)險治理機制，保證系統(tǒng)安全、正常的運轉(zhuǎn)和執(zhí)行。

3 IT環(huán)境下企業(yè)內(nèi)部控制實施模型

IT環(huán)境下企業(yè)內(nèi)部控制實施模型是指在IT環(huán)境下內(nèi)部控制實施的思路、方法、步驟和過程按照一定的秩序和聯(lián)系組合形成的整體，以指導(dǎo)企業(yè)內(nèi)部控制高質(zhì)量的設(shè)計、應(yīng)用和有效的維護(hù)。

本文提出IT環(huán)境下企業(yè)內(nèi)部控制實施模型如圖1所示。

首先是進(jìn)行內(nèi)部控制信息資源規(guī)劃，主要包括基礎(chǔ)設(shè)施規(guī)劃、信息資源規(guī)劃、控制職能域規(guī)劃等?；A(chǔ)設(shè)施是指根據(jù)企業(yè)當(dāng)前業(yè)務(wù)和可預(yù)見的發(fā)展對信息采集、處理、傳輸和利用的要求，構(gòu)筑由信息設(shè)備、通信網(wǎng)絡(luò)、數(shù)據(jù)庫和支持軟件等組成的基礎(chǔ)環(huán)境。內(nèi)部控制系統(tǒng)的基礎(chǔ)設(shè)施規(guī)劃作為企業(yè)信息化基礎(chǔ)設(shè)施規(guī)劃的一部分，要符合企業(yè)信息化基礎(chǔ)設(shè)施規(guī)劃的目標(biāo)和框架。信息資源規(guī)劃是建立信息資源管理基礎(chǔ)標(biāo)準(zhǔn)，建立和維護(hù)為內(nèi)部控制服務(wù)的各種主體數(shù)據(jù)庫和數(shù)據(jù)倉庫?？刂坡毮苡蛞?guī)劃是根據(jù)企業(yè)業(yè)務(wù)流程現(xiàn)狀并按照《企業(yè)內(nèi)部控制應(yīng)用指引》的應(yīng)用范圍進(jìn)行控制職能劃分，重構(gòu)和再造企業(yè)的業(yè)務(wù)流程。

其次要實現(xiàn)內(nèi)部控制系統(tǒng)集成，通過分析控制職能域內(nèi)和控制職能域之間的信息流動，對控制點、線、面進(jìn)行有機集成，形成企業(yè)整體的內(nèi)部控制體。在內(nèi)部控制系統(tǒng)內(nèi)確保各控制點、線、面之間的數(shù)據(jù)共享和一致，通過集成盡量減少內(nèi)部控制的人為操縱，提升內(nèi)部控制系統(tǒng)的效果。內(nèi)部控制系統(tǒng)集成主要實現(xiàn)兩類集成。第一類集成是內(nèi)部控制系統(tǒng)內(nèi)部各控制模塊、控制關(guān)鍵點之間需要實現(xiàn)信息溝通，形成內(nèi)部控制的合力，例如預(yù)算控制模塊需要與資金控制模塊、銷售控制模塊、采購控制模塊等集成，才能達(dá)到全面預(yù)算管理的目標(biāo)；第二類集成是內(nèi)部控制系統(tǒng)與企業(yè)系統(tǒng)的集成，將內(nèi)部控制融合于企業(yè)內(nèi)部管理之中，使企業(yè)在日常經(jīng)營管理過程中自然地實現(xiàn)了內(nèi)部控制，這是內(nèi)部控制工程應(yīng)用的理想狀態(tài)。

最后對IT環(huán)境下內(nèi)部控制實施的風(fēng)險通過治理來保證內(nèi)部控制系統(tǒng)的順利實施和運轉(zhuǎn)，以減少內(nèi)部控制系統(tǒng)運行的風(fēng)險。決策、激勵和控制是治理的三大支柱。決策包括IT戰(zhàn)略與架構(gòu)、IT需求管理等，激勵包括IT人員的管理、激勵、績效等，控制包括IT項目控制、IT運維控制、信息安全控制、信息系統(tǒng)審計等。此外，企業(yè)信息化一直都被認(rèn)為是“一把手工程”，在IT環(huán)境下內(nèi)部控制實施也強調(diào)需要董事長或總經(jīng)理作為內(nèi)控實施責(zé)任人。因此無論是從信息系統(tǒng)建設(shè)的角度還是內(nèi)部控制實施的角度，在IT環(huán)境下內(nèi)部控制系統(tǒng)實施必然要作為一把手工程來部署和安排。IT環(huán)境下內(nèi)部控制系統(tǒng)不是一蹴而就的，需要不斷進(jìn)行持續(xù)改進(jìn)，定期對內(nèi)部控制系統(tǒng)運行的各個環(huán)節(jié)進(jìn)行分析、診斷，不斷發(fā)現(xiàn)和改進(jìn)制約內(nèi)部控制系統(tǒng)的各種因素，通過決策、激勵和控制的持續(xù)改進(jìn)活動，提高內(nèi)部控制系統(tǒng)的靈活性和應(yīng)變性。

4 結(jié) 語

IT環(huán)境下內(nèi)部控制實施應(yīng)從系統(tǒng)論視角出發(fā)，按照規(guī)劃、集成、治理循序漸進(jìn)的構(gòu)建內(nèi)部控制系統(tǒng)，實現(xiàn)將信息資源、信息技術(shù)與內(nèi)部控制有效銜接。本文提出IT環(huán)境下企業(yè)內(nèi)部控制實施模型，旨在為企業(yè)在IT環(huán)境下實施企業(yè)內(nèi)部控制提供借鑒和參考。下一步該模型將應(yīng)用于企業(yè)內(nèi)部控制實踐中予以豐富和檢驗。

主要參考文獻(xiàn)

[1]池國華. 企業(yè)內(nèi)部控制規(guī)范實施機制構(gòu)建： 戰(zhàn)略導(dǎo)向與系統(tǒng)整合[J]. 會計研究，2009（9）： 66-71.

[2]陳志斌. 信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J]. 會計研究， 2007（1）：30-37.

[3]陳麗蓉，周曙光. 內(nèi)部控制系統(tǒng)論[J]. 財會月刊，2010（2）：9-10.

[4]楊周南，吳鑫. 內(nèi)部控制工程學(xué)研究[J]. 會計研究，2007（3）：64-70.

[5]王海林. IT環(huán)境下企業(yè)內(nèi)部控制模式探討[J]. 會計研究，2008（11）： 63-68.

[6]財政部會計司. 企業(yè)內(nèi)部控制規(guī)范講解[M]. 北京： 經(jīng)濟科學(xué)出版社， 2010：21-40.

[7]高復(fù)先. 信息資源規(guī)劃——信息化建設(shè)基礎(chǔ)工程[M]. 北京： 清華大學(xué)出版社，2002：5-23.

[8]用友軟件股份有限公司.2010年中國企業(yè)信息化指數(shù)調(diào)研報告[EB/OL].http：//www.ufida.com.cn/news/110125/20115725105738.shtml.

[9]德勤. 2010年中國上市公司內(nèi)部控制調(diào)查分析報告[EB/OL].http：//www.deloitte.com/assets/Dcom-China/Local%20Assets/Documents/Services/Enterprise%20risk%20services/cn（zh-cn）_ers_2010intctrlsurveyrep_070411.pdf.