基于IT環(huán)境的企業(yè)內(nèi)部控制研究

李永紅+韓笑

【摘要】傳統(tǒng)內(nèi)部控制的重點是人，而IT環(huán)境下內(nèi)部控制的重點逐漸轉變?yōu)閷θ恕⒒ヂ?lián)網(wǎng)和計算機的共同控制。企業(yè)內(nèi)部控制面臨新的挑戰(zhàn)。本文分析了傳統(tǒng)內(nèi)部控制與IT環(huán)境下企業(yè)內(nèi)部控制的差異，并選擇中國鐵建集團為案例，探索IT環(huán)境下信息技術對企業(yè)內(nèi)部控制的影響，以期為構建IT環(huán)境下企業(yè)內(nèi)部控制提供參考。

【關鍵詞】IT環(huán)境企業(yè)信息系統(tǒng)內(nèi)部控制

一、引言

全球化市場經(jīng)濟使得企業(yè)之間的競爭日益加劇，為了應對激烈的競爭要求，企業(yè)應構建科學的信息系統(tǒng)，為企業(yè)在激烈的市場競爭中立于不敗之地提供技術支持。目前建筑業(yè)信息化進程較其他行業(yè)而言相對落后，信息化水平遠低于其他行業(yè)，其傳統(tǒng)的經(jīng)營與管理方法，不能適應現(xiàn)代信息化環(huán)境下經(jīng)營管理的需要，必須構建基于IT環(huán)境下的內(nèi)部控制管理模式，提高企業(yè)在信息化環(huán)境下的管理水平。本文以中國鐵建集團為例對此進行研究。以期為IT環(huán)境下企業(yè)內(nèi)部控制建設提供參考。

二、基于IT環(huán)境的企業(yè)內(nèi)部控制比較分析

（一）IT環(huán)境下企業(yè)內(nèi)部控制概述

1.IT內(nèi)控目標。信息系統(tǒng)內(nèi)部控制（簡稱IT內(nèi)控）是針對IT風險制定一系列制度、程序和方法，實現(xiàn)事前防范、事中控制、事后監(jiān)督和糾正的動態(tài)過程的機制。目標是合理合法地規(guī)劃信息系統(tǒng)，避免造成信息孤島或重復建設。利用信息技術實施有效控制，增強授權管理，減少人為操縱因素，提高企業(yè)現(xiàn)代化管理水平。增強信息系統(tǒng)的安全性、合理性和可靠性及其相關信息的保密性、完整性和可利用性的控制，為建立有效的信息與溝通機制提供技術保障。

2.IT內(nèi)控控制環(huán)境。意識到IT會給企業(yè)帶來新的風險；整合IT組織與企業(yè)組織；注重員工IT特殊能力的培養(yǎng)；IT控制會涉及第三方，特別是在項目外包過程中；可能導致IT控制的責任人不明確。

3.IT內(nèi)控風險評估。企業(yè)層面上由專門組織來定義IT內(nèi)部控制目標及對IT風險進行識別；活動層面上要特別針對IT運營服務、IT資產(chǎn)管理、IT項目，以及在變更管理活動中進行風險評估。

4.IT內(nèi)控控制活動。對IT系統(tǒng)環(huán)境、構成要素及IT基礎設施相關的控制。普遍適用于所有IT系統(tǒng)，為IT系統(tǒng)的正常運行提供安全可靠的環(huán)境。IT應用控制是指與運行業(yè)務流程相關的IT系統(tǒng)的控制活動，應用控制是IT內(nèi)部控制的最關鍵要素。

5.IT內(nèi)控信息與溝通。企業(yè)層面上需要設計和溝通組織機構策略、開發(fā)和溝通報告要求、財務信息的溝通；業(yè)務層面上需要設計和溝通策略目標、實現(xiàn)業(yè)務信息溝通、及時報告安全違例情況。

6.IT內(nèi)控監(jiān)控活動。企業(yè)層面上需監(jiān)控計算機的運行情況、監(jiān)控信息安全情況、IT內(nèi)部審計審核；活動層面上需進行缺陷識別和管理、本地檢測計算機運行或計算機安全、本地IT人員的監(jiān)督管理。

（二）傳統(tǒng)內(nèi)部控制與IT環(huán)境下內(nèi)部控制差異分析

1.控制環(huán)境的差異。傳統(tǒng)內(nèi)部控制指的是關注會計信息可靠性的內(nèi)部會計控制，很少考慮與業(yè)務操作和規(guī)則遵守有關的內(nèi)部控制。使得財務系統(tǒng)和業(yè)務系統(tǒng)相“隔離”，財務數(shù)據(jù)只能在業(yè)務發(fā)生之后采集并經(jīng)過再加工成為可用的數(shù)據(jù)，財務信息的嚴重滯后與業(yè)務實時控制之間存在著不可調(diào)節(jié)的矛盾。IT環(huán)境下企業(yè)信息處理和業(yè)務活動融為一體。在業(yè)務活動發(fā)生、有關數(shù)據(jù)進入數(shù)據(jù)庫之前，就會對數(shù)據(jù)的準確性、完整性和合法性進行檢查；其網(wǎng)絡環(huán)境中的信息可以被有授權的人員檢查，進行實時事中控制，原始業(yè)務的再現(xiàn)也由于環(huán)環(huán)相扣的鏈接關系變?yōu)榭赡埽@種高度集成整合的信息系統(tǒng)是企業(yè)實現(xiàn)財務與業(yè)務一體化的有效保障。與傳統(tǒng)內(nèi)部控制相比，IT環(huán)境下企業(yè)內(nèi)部控制存在新的風險，例如信息系統(tǒng)規(guī)劃與建設的管理風險、信息系統(tǒng)內(nèi)控機制漏洞風險、信息系統(tǒng)運行的不穩(wěn)定性風險、網(wǎng)絡安全風險等等。例如現(xiàn)金管理軟件如果不受人為約束生成、傳遞與傳統(tǒng)條件下類似的支票、本票等現(xiàn)金收付文件，將會給企業(yè)帶來災難性的影響。

2.風險評估的差異。與傳統(tǒng)內(nèi)部控制相比，企業(yè)應設立專門機構對IT環(huán)境下企業(yè)內(nèi)部控制重新定義，并對IT風險進行識別。其信息一致性風險是指在內(nèi)部信息資源整合或與外部信息資源整合過程中，由于信息或信息系統(tǒng)部匹配導致的系統(tǒng)能力降低等風險。具體還是要根據(jù)企業(yè)的業(yè)務來特別制定企業(yè)IT風險評估。

3.控制活動的差異。傳統(tǒng)的控制活動形式一般體現(xiàn)為：業(yè)績評價、信息處理、實物控制、職責分離等。IT環(huán)境下企業(yè)內(nèi)部控制除包含這些外，特別強調(diào)對信息處理這方面的相關審計控制，其應用控制也是IT內(nèi)控的最關鍵要素。

4.信息與溝通的差異。傳統(tǒng)環(huán)境下企業(yè)部門與部門之間往往存在信息溝通不暢的問題，借助手工處理這些問題有時間差異，業(yè)務部門需要的資料要送達財務部門并經(jīng)過相關數(shù)據(jù)處理再傳送給其他部門，大大影響企業(yè)內(nèi)部工作的效率和效果。有效的信息溝通需要企業(yè)信息的實時共享，企業(yè)信息化為其提供了可能，本企業(yè)信息系統(tǒng)與客戶、供應商和商業(yè)伙伴信息系統(tǒng)之間的聯(lián)系日益緊密，其數(shù)據(jù)及時傳遞和處理使企業(yè)管理者能夠掌握企業(yè)內(nèi)部和外部實時情況，及時控制企業(yè)面臨的風險，優(yōu)化企業(yè)內(nèi)部控制。

5.監(jiān)控活動的差異。在IT環(huán)境下，監(jiān)控活動就是評估企業(yè)信息系統(tǒng)內(nèi)部控制系統(tǒng)在一定時期內(nèi)運行質(zhì)量的過程。包括監(jiān)控計算機的運行情況、信息系統(tǒng)安全情況、IT內(nèi)部審計審核情況、進行缺陷識別和管理、本地IT人員的監(jiān)督管理等等，這是傳統(tǒng)內(nèi)部控制不具備的，需要企業(yè)專業(yè)IT管理人才進行企業(yè)內(nèi)部控制監(jiān)控活動的實施。

三、基于IT環(huán)境內(nèi)部控制調(diào)查分析

（一）調(diào)查問卷設計

本文采用調(diào)查法進行數(shù)據(jù)收集，主要分為訪談和問卷調(diào)查兩個階段。為了得到更為有效的數(shù)據(jù)，首先對中國鐵建集團項目部技術人員、財務人員進行實地訪談，初步了解對該問題的看法，根據(jù)訪談結果按照COSO五要素設計了調(diào)查問卷。調(diào)查問卷采用了Likert五分法，分為極不同意、不同意、說不清、同意、極力同意五個級別，問卷調(diào)查采取實地分發(fā)和郵件傳送兩種方式。本次共發(fā)放問卷100份，收回83，其中剔除無效問卷2份，最后得到有效問卷81份，占總問卷數(shù)的81%。問卷中項目的設計均用數(shù)值表示調(diào)查對象對此項目的態(tài)度，設置了0、1、2、3、4五檔數(shù)值。endprint

（二）調(diào)查結果分析

1.控制環(huán)境。由表（2）可以看出，按公司隸屬關系由高到低其評分整體趨勢也是由高到低，即二級子公司總體和各項評分都最高，項目部則略低尤其是（1）、（4）、（5）這三項，項目部評分介于不同意和說不清之間，說明其整合IT組織與企業(yè)組織效率低、第三方業(yè)務中應用信息系統(tǒng)處理業(yè)務量少，同時若信息系統(tǒng)發(fā)生與業(yè)務流程相關問題時，不能及時明確責任人。在對員工進行IT業(yè)務培訓方面，各級子公司差距不大，都做得令人滿意。見表（2）。

2.風險評估。由表（3）可以看出，各子公司都明確制定了信息系統(tǒng)內(nèi)部控制目標，甚至是出現(xiàn)了項目部得分大于二級子公司的情況，集團公司會下發(fā)相關文件為各級子公司指引，項目部IT內(nèi)控目標制定實施良好。各級子公司都明確了信息系統(tǒng)的經(jīng)營風險，在系統(tǒng)維護和安全措施方面投入量很大，而在信息系統(tǒng)合規(guī)風險這一塊，主要是項目部評分在不同意以下。見表（3）。

3.控制活動。由表（4）可以看出，各項評分介于2.5-3.2之間，其信息系統(tǒng)控制活動整體接近同意這一評價標準。但評分隨公司隸屬關系由高到低分布，在實行全面控制方面二級子公司做的最好，接近于滿點，可想而知安全控制影響之大使其資金投入量也加大；在職責分離、領導監(jiān)督及數(shù)據(jù)有效輸入控制方面項目部實施良好，與上級公司基本持平。見表（4）。

4.信息與溝通。表（5）顯示，各級子公司在企業(yè)各部門信息有效溝通共享和及時報告企業(yè)安全及違例情況上差距較大，尤其是項目部，其后兩項的評分低于1分，處于極不同意和不同意之間，應加強管理建設。而在財務報告和財務信息溝通方面公司格外注重，如2014年初，根據(jù)集團公司的統(tǒng)一部署，中國鐵建十五局二公司滬昆項目部停止使用浪潮財務管理系統(tǒng)，中國鐵建財務共享服務平臺取而代之，形成以協(xié)同辦公、綜合項目管理、企業(yè)郵件、財務共享服務為主，QQ交流群、項目微信群為輔的“4+2”項目信息化綜合管理體系，為改善企業(yè)的經(jīng)營管理做出巨大貢獻。見表（5）。

5.監(jiān)控活動。表（6）顯示，各級子公司在實時監(jiān)控計算機運行情況和進行信息系統(tǒng)內(nèi)部審計方面實施情況比較好，評分近于同意。而在進行有效缺陷識別管理和實時有效的對IT人員監(jiān)督管理上明顯三級子公司和項目部實施效果不好，這與項目部長期以來的工作環(huán)境和施工條件密切相關，同時信息化管理人才缺乏也是造成這一現(xiàn)狀的重要原因。見表（6）。

四、IT環(huán)境下企業(yè)內(nèi)部控制建設對策

（一）設定相關人員權限控制

在信息系統(tǒng)控制環(huán)境部分，由調(diào)查數(shù)據(jù)可知若企業(yè)信息系統(tǒng)發(fā)生與業(yè)務流程相關的問題（如相關業(yè)務權限控制），能明確責任人這一項評分較低，尤其是項目部。在出現(xiàn)問題及時明確相關責任人，才能最大程度發(fā)揮信息系統(tǒng)在企業(yè)經(jīng)營管理中的積極作用，這就使得相關人員權限控制顯得尤為重要。

（二）明確信息系統(tǒng)合規(guī)風險

通過風險評估評分表可知，信息系統(tǒng)合規(guī)風險相對目標設定和經(jīng)營風險來說評分比較低。說明企業(yè)對風險評估中合規(guī)風險控制不到位，尤其是底層項目部。中國有句古話說“沒有規(guī)矩，不成方圓?！币馑际侨鄙倭酥贫鹊募s束，人的行為就會進入混亂。信息系統(tǒng)代替手工，使得審批流程簡介方便，但是在這過程中也有合規(guī)風險出現(xiàn)，例如發(fā)票報銷，不必像以前一樣拿著發(fā)票找經(jīng)理主管簽字，有的甚至根本沒有簽字就可生成賬單，如果對信息系統(tǒng)合規(guī)風險控制不當，則很容易給企業(yè)帶來巨大損失。

（三）加強對軟、硬件系統(tǒng)控制

硬件是實時信息系統(tǒng)的先決條件，而軟件則是決定信息系統(tǒng)命脈的決定因素。在信息化時代，軟硬件更新速度日新月異，只有緊跟時代潮流才能在信息化進程中找到適合企業(yè)發(fā)展和生存的契機，有效利用信息化改善企業(yè)經(jīng)營管理。在中國鐵建集團官網(wǎng)上查詢可了解其財務軟件更新過程，1992年，初始實現(xiàn)電算化，還是當時還是賬務單板機，不聯(lián)網(wǎng)；2002年，開始使用U8系統(tǒng)做賬；2005年NC的使用，才使得基層項目實現(xiàn)了網(wǎng)上做賬；到2007年，更新為浪潮GS3.5，并在其基礎上進行二次開發(fā)，使其更加適合單位生產(chǎn)經(jīng)營需要；2013年底，又更換成中國鐵建財務共享服務平臺，真正實現(xiàn)了財務交流無障礙。

（四）增強信息溝通與共享

中國鐵建集團子公司眾多，遍布海內(nèi)外，如果不能及時信息溝通有效共享，可能會錯失很多項目，同時也會給公司預算、采購、人工上浪費很多資源。以尼泊爾馬蘭奇引水項目為例，在尼泊爾信息很落后，其網(wǎng)絡很不穩(wěn)定，通信也極不發(fā)達，公司安排專人定期和網(wǎng)絡公司聯(lián)系，督促檢查網(wǎng)絡信號，同時搭建內(nèi)部信息平臺，為每位員工配備了一張G網(wǎng)和一張C網(wǎng)手機卡，雙卡互補，確保信息交流基本暢通。

（五）加強缺陷識別與管理endprint

信息系統(tǒng)一直在更新?lián)Q代，以不斷適應企業(yè)業(yè)務需求和管理需要，在信息系統(tǒng)有缺陷時能及時識別和管理，會使企業(yè)信息系統(tǒng)實時修善，為企業(yè)經(jīng)營管理提供更好的服務，提高公司運行效益和市場競爭力。

參考文獻：

[1] 梁晟耀.企業(yè)內(nèi)部控制基本規(guī)范（第2版）[M].北京：電子工業(yè)出版社，2013.

[2] 財政部.企業(yè)內(nèi)部控制應用指引第18號——信息系統(tǒng)[D].2010.

[3] 楊青峰.業(yè)務高管信息化領導力的16項修煉[M].北京：電子工業(yè)出版社，2010.

[4] 李曉慧，何玉潤.內(nèi)部控制與風險管理[M].北京：中國人民大學出版社，2012.

[5] 柯新生.企業(yè)信息資源規(guī)劃理論與方法研究[M].北京：電子工業(yè)出版社，2013.

[6] 戴欣.企業(yè)信息化水平的系統(tǒng)動力理論[M].北京：電子工業(yè)出版社，2010.

[7] 嚴小麗，吳清.施工企業(yè)信息化績效評價[M]. 北京：中國建筑工業(yè)出版社，2013.

[8] 陳建斌.IT能力與企業(yè)信息化[M].北京：電子工業(yè)出版社，2010.

[9] 王宏，蔣占華，等.中國上市公司內(nèi)部控制指數(shù)研究[M].北京：人民出版社，2011.

[10] 周常發(fā).企業(yè)內(nèi)部控制實施細則手冊 [M]. 2版.人民郵電出版社，2012.

[11] 梁晟耀.企業(yè)內(nèi)部控制基本規(guī)范——合規(guī)職務指南[M].北京：電子工業(yè)出版社，2010.

[12] 張文賢，孫琳.內(nèi)部控制會計制度設計[M].上海：立信會計出版社，2004.

[13] 孫永堯.內(nèi)部控制案例分析[M].北京：中國時代經(jīng)濟出版社，2007.

[14] 艾文國，唐思思.信息化環(huán)境下基于風險管理的內(nèi)部控制研究[J].哈爾濱商業(yè)大學學報（社會科學版），2009（1）.

[15] 張小穎，馬廣奇.基于COSO報告的企業(yè)內(nèi)部控制體系評述[J].陜西科技大學學報，2008（6）.

[16] 譚志剛.企業(yè)信息化環(huán)境下內(nèi)部控制的思考[J].財會通訊，2004（1）.

[17] 李忠輝，石雙元.企業(yè)信息系統(tǒng)中的內(nèi)部控制模型及其應用[J].武漢理工大學學報，2004（10）.

[18] 趙代強，錢振地.鐵路施工企業(yè)科研項目管理信息系統(tǒng)方案設計[J].鐵道工程學報，2007（3）.

[19] DaVI W S， YEN D C. The information system consultants handbook[M]. CRC Press， 1999.

[20] LaNE R，BRENDaN T.OConnell. The changing face of regulators investigations into financial statement fraud[J]. 2009（2）.

編輯：曉斌秦思慧endprint