企业信息化过程中内部控制问题研究

　　【摘要】信息技术波及各行各业，信息化对企业的影响可谓是颠覆性的，它不仅改变了企业经营管理流程，也改变了企业的经营理念，这给传统内部控制的理念带来了新的挑战。本文通过借鉴国内外内部控制的理论依据和实践经验，分析我国目前内部控制在企业信息化过程中所存在的特有问题，进而提出加强我国上市公司信息化过程中内部控制的建议。

　　【关键词】企业信息化 内部控制 风险管理机制

　　一、内部控制理论的发展历程

　　1．国外内部控制理论的发展历程
　　西方内部控制理论的演进大概经历了五个阶段，其内容由简单到复杂、目标由单元到多元、对象由局部到整体。第一阶段，内部牵制阶段，它是现代内部控制理论中有关组织控制、职务分离控制的雏形。第二阶段，内部控制阶段，此时的控制范围更广，方法更趋科学与完善。第三阶段，内部控制结构阶段，这一阶段发生了两个明显的变化：(1)正式将控制环境纳入内部控制范畴；(2)不再区分会计控制与管理控制，而统一以要素来表述内部控制。第四阶段，内部控制整体框架阶段，这个时期的内部控制将企业看作一个整体，控制的内容更加复杂，方法更加科学。第五阶段，即《企业风险管理——总体框架》(简称ERM)阶段，这一阶段的变化主要体现在：(1)内部控制定义得更加细化；(2)提出了一个新的目标——战略目标；(3)ERM框架对其构成要素作了进一步拓展，将其演变成八个要素；(4)ERM框架使董事会在企业风险管理方面扮演更加重要的角色。
　　20世纪90年代开始，随着信息系统的发展，各种各样的信息系统成为各种业务处理的核心；与此同时，互联网也开始向世界范围扩充。互联网使信息资源的作用得到充分发挥，但也产生了众多不安全因素，给企业带来巨大的风险，人们越来越清楚地意识到有效管理和控制信息及信息相关技术是进入信息化社会的可靠保障，信息技术对内部控制的影响已经得到社会各方的重视。在这个背景下，COBIT也就应运而生了。COBIT，直译为信息及相关技术的控制目标，是IT治理的一个开放性标准，该标准为IT的治理、安全与控制提供了一个一般适用的公认、权威的标准，以辅助管理层进行IT治理。从COBIT的体系框架可以看出，针对内部控制，COBIT的主要优点在于它扫除了管理层、IT与审计之间的沟通障碍。COBIT报告指出，控制是为“实现经营目标以及阻止、发现和纠正无法预测事件提供合理保证而设计的政策、程序、惯例和组织结构”。通过实施COBIT，增加了管理层对控制的认知与支持；使得IT管理工作简易并量化；有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。
　　2．国内内部控制理论回顾
　　我国内部控制理论研究起步较晚，最开始主要是针对证券金融行业做出相应的规定，直到2000年7月实施的《会计法》才第一次明确各单位应当建立、健全本单位内部会计监督制度。2007年3月，财政部内部控制标准委员会颁布了《企业内部控制规范》征求意见稿，使我国企业内部控制规范上了一个台阶。此次的内控措施，增加了基于IT系统的内部控制政策与程序，强调了信息系统安全性。总的来说，我国新的内部控制规范明确且有条理的将内部控制呈现在企业面前，这一标准将为企业内部控制提供一个很好的引导。
　　从以上分析可以看出，我国内部控制理论，尤其是针对企业信息化环境的内部控制，与西方相比，还存在很大差距。随着信息化时代的到来，会计信息系统所包含的东西越来越多，如何将内部控制融人其中将是一个重要的课题。我国对信息化环境下的内部控制研究还是处于起步和借鉴阶段。由于企业制度建设不完善，企业所处的内外部环境较之西方国家企业有很大的区别，因此，我们必须尽快确定信息化环境下的内部控制研究范围，以及明确信息化环境下的内部控制问题，制定出符合我国企业实际情况的实践标准或框架。

　　二、企业信息化过程与企业组织演进

　　企业信息化过程就是信息技术与企业组织结构、业务流程、人力资源政策、管理控制相互冲突和融合的过程，随着信息资源的深度开发和广泛利用，这个过程在以几何级数从低级到高级加速演进。为了应对信息化的变革，许多学者从不同角度对企业信息化发展阶段进行了描述。诺兰教授(1979)提出6阶段模型，即初始引入计算机、普及、控制、整合、数据管理、成熟6阶段，这种模型受时间与地域的局限，与今天的信息技术环境相差甚远。刘英姿等(2004)提出了5阶段模式：引人阶段、扩散阶段、集成阶段、流程变革阶段和战略变革阶段。朱立新等(2005)提出了3阶段模型：以企业级信息共享为核心的内部资源整合——初级信息化阶段、以供应链为核心的企业问资源整合——中级信息化段、以无障碍电子商务活动为核心的社会资源整合——高级信息化阶段。企业信息化过程引发了整个经济、文化体系的重大变化，形成了信息经济、信息文化和信息论理，彻底改变了企业经营环境、市场结构、组织结构、价值体系、人力资源政策、竞争战略、交易方式以及运作方式。在信息化的浪潮推动下，传统的金字塔式的功能式层级结构组织因不能适应这种新的环境，纷纷进行组织转型，具有信息时代特征的组织构成单元纷纷出现，如网络式(networked)、流程导向(process—oriented)、学习型(1earning)、团队式(team-based)、虚拟组织(virtual organization)、快速周期(fast—cycle)，它们或自成新组织，或有机地嵌入原组织中，从而引发基于信息技术的组织创新。这些创新后组织，即信息时代组织，显著特点就是扁平化，有更大的管辖幅度与灵活性；作业与管理流程跨部门跨组织整合、流线化程度日益加深；信息孤岛不断被打破，需要更畅通的信息沟通与严密的控制；更加、强调战略与风险管理；人力资源政策与价值体系需重新界定。

　　三、企业信息化过程中内部控制问题分析

　　信息技术波及各行各业，以信息技术的广泛应用为代表的信息化过程对企业的影响极其巨大，它革命性地改变了企业经营管理战略、组织结构、作业与管理流程、人力资源政策以及企业的核心价值体系，从而对企业内部控制带来了新的挑战。本文仍沿用COSO报告对内部控制的五要素界定，就五要素具体分析在企业信息化过程下内部控制所存在的问题。
　　(一)控制环境更加复杂
　　1．组织控制的复杂化
　　鉴于信息时代组织结构能较好地解决等级式结构的层次重叠、冗员多、组织机构运转效率低下等弊端，可以精炼管理层次、加快信息传递、提升企业竞争优势及与环境适配的能力，信息时代组织模式成为时下众多组织创新与转型的趋势。但是，不容忽视的是，组织结构扁平化也存在缺陷。扁平化使企业的集权性和规范性降低，也使企业丧失了传统组织结构下集权性和规范性高、组织稳定性强的优势，不可避免地带来一些弊端：一是组织不稳定，管理容易失控。在信息时代组织下，由于人员变动频繁，人事关系、报告路线不稳定，会削弱组织的稳定性，很多越权操作行为不易被发现，容易造成管理失控，给组织带来不容小觑的破坏力。二是容易造成权利与义务边界模糊、管理责任难以界定、各部门相互推诿现象。三是信息时代组织集权性和规范性低，组织内成员专业背景、价值观相差较大，容易在组织内部产生各种矛盾与冲突。因此，各部分之间协调机制的建立直接依赖于企业整体管理水平的提高，增加了企业管理的复杂性。
　　2．道德准则控制的复杂化
　　在信息化过程中，企业处于躁动不安的变革中，互联网的影响也扑面而来，由此滋生的各种道德观念层出不穷，道德规范的约束力下降，企业不得不通过强化人机整合的强度来加强对企业业务流程、管理与决策的控制。但是，网络世界的无形性和匿名性可能使行为人产生侥幸的心理，从而可能降低犯罪的心理阀值。信息资产价值的提高可能诱使掌握它的管理人员将其卖给竞争对手的犯罪行为，同时，由于信息技术易于操作，不留痕迹，网络的远程接人也给恶意访问者提供了方便，他们只要获得一个登录密码就可能通过网络侵入系统，窃取企业重要的信息资源，或是严重干扰信息系统，导致信息系统瘫痪。这些都可能助长员工利用信息系统舞弊的行为，企业管理层应对员工道德进行正面引导，强化员工的道德准则控制。
　　(二)风险评估的难度加大
　　风险评估就是分析和辨认对实现内部控制目标可能产生负面影响的不确定性因素。在传统型企业，各层员工岗位明确，职责清楚，工作过程按照既定的标准和制度进行监督和控制，就能达到预期目标。在企业信息化过程中，企业原有的业务流程被彻底再造，信息系统在组织内的范围和重要性增加，知识和信息成为企业创造价值的重要资源，企业的运营管理、战略制定、授权与控制越来越依赖于信息系统，这些都增加了与信息资产和信息系统相关的风险。例如，资料窜改、网络攻击使信息的安全性受到威胁；对信息依赖性越强，信息不对称性产生的“道德风险”或“逆向选择风险”越大。风险评估除了包括传统的评估对象外，还要对信息系统对企业资源的整合与协调能力、信息系统的可靠性和安全性进行评估，毫无疑问，这些工作还需要不同专业背景的人员协作才能完成。所有这些能够进行定量或是概率分析的很少，大大增加了风险评估的难度和复杂度。
　　(三)控制活动容易出现漏洞
　　1．业务流程
　　很多企业引入信息技术后，没有对其旧流程进行更新，也没有深入研究如何进行流程重构，这就造成了信息系统与业务流程之间存在许多冲突，形成内部控制的盲点。通过手工会计和信息化会计的比较，来说明信息化过程中如果企业没有改变相应的控制程序和业务流程，将更容易发生舞弊行为。
　　2．信息化初始化问题
　　在开始实施信息系统前必须进行可行性分析和需求分析，然而很多企业在授权实施时忽视相应的控制，没有从企业自身实际情况出发，导致上马的信息系统不仅消耗大量的财力，而且也破坏了原来系统的稳定性。此外，系统的开发和变更还要注意程序编码的控制，这点往往被忽略。在程序测试中，往往只能测试有限的程序，无法发现“潜伏”其中的危险程序。曾有程序设计员在设计系统程序时加了一条“当他工资为0或工资单上他的名单被注销时，就删除所有的系统数据”的语段，几年后当该程序员被解雇离开时，系统遭到了致命的摧毁。当信息化达到一定程度，企业必须专门设置信息资源管理中心，增设信息主管职务。中心人员必须精通企业的整个业务流程，然而实务中信息管理部门人员多是来自纯计算机领域的人士，忽略了业务流程的理解。
　　3．信息安全访问控制
　　信息系统往往对登录进行严格控制，只有正确的用户名和密码才能进行相应权限的操作，但往往忽略了退出控制。当系统没有设置“限时无操作锁屏或自动退出”的程序，导致已登录的用户在离开后被他人盗用的情况。某些企业出于省钱或其他考虑，有意或无意使用盗版软件。盗版软件经常包含了病毒、木马或恶意代码，它会记录系统登录信息，将用户名和密码传输给网络黑客，这将给信息系统安全带来巨大的安全隐患。此外，很多企业忽视数据划分密级，由于没有对数据权限进行划分，黑客只要盗取一个普通账号，就可以对所有数据进行盗取、修改、删除等破坏。
　　4．软硬件资源控制
　　很多情况下数据本身比信息设备更值钱，因此，备份存储控制异常重要，应作为日常控制进行。然而对于备份周期，很多企业无法根据实际情况进行选择。备份周期太短，不仅要占用大量的存储空间，而且需要花费不必要的时间，多数人会因为怕麻烦而抱有侥幸心理，不在规定时期内进行备份；周期太长，则大大降低了备份文件的实时性，也会影响还原备份的使用效率。且由于存储介质十分小巧，容易被复制或偷偷带出企业，导致商业机密的泄漏，因此数据存储与处理资源的接近控制也需被慎重考虑。
　　5．具体业务控制
　　在具体业务控制方面，由于使用了信息技术，可能在以下几个方面有不良影响：第一，信息化增长了员工惰性，不利于有效执行内部控制。举个例子来说，记账凭证的审核工作，现在很多会计软件普遍都给软件增加了“批审核”的功能。这一功能虽然很大程度提高了审核的效率，但很多审核人员没有真正行使审核业务，只要“一键”就可以完成成批的审核工作。第二，信息化环境下，无法完全反映业务痕迹，难以留下必要的审计线索。第三，很多核对工作由计算机自动完成，一旦在输入阶段输入错误，结果会导致形成的数据没有意义。第四，信息化控制过于机械，控制效果不佳。以员工打卡考勤为例，单单安装一部打卡机无法控制员工出勤，代打卡、先打卡再缺勤等情况在这类企业普遍存在。
　　(四)信息沟通不顺畅
　　根据统计，信息系统应用中存在的最大问题就是“信息孤岛”问题。由于现有的ERP系统多是采用分功能模块进行设计的。企业上ERP系统也通常是先上几个功能模块，再接着慢慢补充其他模块。同一数据多次重复录入，部门间相互分割，各自为政，“数出多门”，加大了财务部门的工作量与出错率。同时，信息传递设备大部分是很多用户一起使用的，也就存在着传递的信息被窃取、篡改的风险。这些容易导致员工无法及时获取信息，或获取的是不一致信息，从而不能实现整个企业的有效沟通。
　　(五)缺乏适当的监督
　　借助信息技术，可以使一部分的监督过程自动完成，并且可能实现实时监督，从而提高监督的效果和效率。但是，组织结构的变化以及企业信息化也带来了新的挑战。首先，由于基于信息系统的矩阵型组织不利于准确区分权责利，这给监督带来困难。其次，部分企业学习国外，实行内部审计外包，这些内部审计外包局限于内部控制的核查监督上忽视了信息系统作用与信息资源的安全性评估，没有真正做到控制自我评估(CSA，Control Self Appraisal)，缺乏从企业信息化的视角提高组织内部控制的自我意识。再次，信息化的实施导致企业业务流程发生重大变化。信息化下的内部控制监督经验不足，再加上缺少完整的内部审计线索，加大了内部控制监督的难度。同时，在企业信息化下，权方式不再是单纯的签字、盖章，很多授权控制是“嵌入”在管理信息系统之中的，交易授权可以由计算机程序自动完成，这使得授权过程不明显，控制的失效往往在发生损失后才被察觉。因此，在企业信息化过程中，从信息系统的分析设计、开发、实施到维护都应该进行重点监督。

　　四、加强我国上市公司信息化过程中内部控制的对策

　　(一)优化控制环境
　　COSO报告中指出控制环境居于内部控制中最重要的位置，是其他控制要素的基础，完善的控制环境才能使控制制度得以贯彻实施。结合我国上市公司的实际，笔者认为应从以下几个方面对内部控制环境加以改进和完善。
　　1．重塑企业文化氛围
　　在企业信息化过程中，企业成员的道德论理、价值观念、工作态度都会发生变化，尤其是企业员工的诚信程度和职业道德水平，是影响企业内部控制环境的一个非常重要因素。良好的企业文化可以对企业员工形成一种无形的约束力，减少或避免组织结构“扁平化”下下属部门为追求小团体利益而牺牲公司整体利益行为的发生。建立基于企业信息化的道德价值观、规章制度、基本信念，从而有效解决信息时代组织结构所产生的负面影响。
　　2．完善公司组织控制结构
　　为了规避矩阵型组织带来的权责不清、多头领导的问题，公司可考虑采取更为中立的组织结构，跨越功能的团体是个可参考的选择。与矩阵式组织相似，也是从功能部门中借调其成员组成团队，不同的是它的领导者具有完整的权力指挥其成员。跨越功能组织的生命周期短暂，任务一旦完成，团队随即解散。这种弹性化的人力资源管理方式，可随时根据问题成立弹性化的组合，避免专业分工带来的僵化与协调问题。同时还可以激发组织成员的成就感和责任心。但是，它也可能导致跨单位事务的协调与沟通成本，引发单位间的冲突，因而团队成立之初，就必须向组织成员灌输合作的信念，培养其自我管理的能力。
　　3．建立切实可行的激励政策
　　在信息时代组织，作业与管理由IT整合及推动，与传统层级结构相比晋升机会减少，平行调动增加，良好的人力资源政策、激励约束机制、管理哲学与经营风格，成为企业有效运营的关键。因此，从信息时代组织特点出发，研究和制定具有可操作性的责任分配与授权制度，设立分享与合作的激励制度，才能达到优化内部控制环境的目的。
　　(二)完善风险管理机制
　　企业信息化意味着企业各部门、各作业单位之间，以及企业与外部，如供应商、客户、合作伙伴等通过实时互联的网络实现信息、作业高度共享，网络的开放性把企业暴露于各种风险之中。企业除了要建立传统的风险管理机制之外，还要结合信息化的特点，建立基于信息化的风险管理机制：一是建立一套信息网络系统安全政策和制度；二是定期对系统安全政策与制度的实施效果进行评价；三是通过企业内部会计控制框架的构建，建立健全预算及责任控制，强化信息化的风险意识。必要时企业可设置风险评估部门或岗位，专门负责有关风险的识别、规避和控制。
　　(三)建立良好的控制活动
　　1．实现业务流程与系统的整合
　　所谓的业务流程是指组织或部门为了实现特定结果所执行的相关任务集合。实现财务业务流程与系统的整合就是利用信息技术去再造工作流程，在流程再造的基础上建立企业财务信息系统，实现系统的高度整合，而不是让旧的流程自动化。现行企业财务信息系统是在传统的财务工作程序的基础上建立的，忽略信息技术的能力影响到流程的设计。由于信息技术对组织结构、管理模式、工作方式都产生巨大的影响，应该在业务流程再造的开始阶段就加以考虑信息技术的功效，详细检查目前财务活动流程以确定需要做哪些根本性的改变，针对企业内部控制的关键环节和薄弱环节，建立一套完整的、标准的、规范的企业财务管理制度和财务流程，以适应信息技术对企业财务工作的影响。因此，企业信息化过程中实施业务流程与系统整合显得尤其重要。
　　2．加强计算机硬件与网络系统安全的控制
　　加强计算机硬件与网络系统安全的控制，是为了保证计算机系统的运行安全，避免由于外部环境因素导致系统运行错误的不安全隐患。它主要包括：接触控制和环境保护、安全控制。接触控制是防止未经授权的人擅自动用系统的各种资源，以保证各项资源的正确性。网络安全指包括数据保密、访问控制、身份识别等。
　　3．加强软件管理，重视技术控制
　　在软件开发过程中，必须引入安全稽核机制，对重要的操作日志进行记录，并进行必要的权限设置，以便能够对各种不同的权限进行用户识别和远程请求识别。为了能够实现实时安全监控，必须建立网络安全“防火墙”，按照系统管理员的权限，用预先定义好的规则控制会计账套数据的进出，通过对数据进行重新组合和对会计账套数据库进行加密，使业务数据只有在解密的条件下才能使用，同时必须进行必要的身份认证和内容检查，控制一些软件的安装，尤其是数据库系统软件，以防止利用数据库系统打开账套数据库进行非法篡改。
　　4．制定财务软件的业界协议
　　协议规定了财务软件的不同部分是如何交互的，从而保证不同品牌的财务软件彼此间能够实现数据传递或交换。作为会计电算化宏观管理的主管部门，应当从技术的角度就财务软件的数据平台、数据结构、各功能模块、数据传递模式、数据安全与保密等做出统一规定。这样使各种不同品牌的财务软件之间才能实现数据共享，为企业会计电算化内部数据安全的进一步完善提供良好的外部环境。
　　(四)建立良好的信息沟通系统
　　一个良好的信息系统有助于提高企业运行的效率和效果，使企业当局及时掌握营运状况，提供全面、及时、正确的信息，并在有关部门和人员之间进行沟通。首先，信息化战略性计划应当与公司的整体战略紧密相关。管理当局应对信息系统的开发工作高度重视，并给予支持，确保各职能部门信息系统高度耦合。其次，各部门应按控制系统的需要识别使用者需要的信息，在此基础上收集、加工和处理信息，并将这些信息及时、准确和经济地传递给企业内的相关人员，使他们能够顺利履行其职责。第三，通过内部控制框架的构建，完善公司的法人治理结构，建立健全会计及相关信息的报告负责制度，使企业内部的员工能够清楚地了解企业的内部控制制度，知道其所承担的责任，并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。
　　(五)完善监督管理机制
　　1．开展网站审计及社会审计
　　1997年12月，美国AICPA及CICA共同发布了网站审计所遵循的规范：[WebTrust Principle and Criteria for Business-to-Consumer Electronic Commerce]，从三个方面(商业实务揭露、信息保护和交易完整)确保审计师能够发表正确的审计意见。目前我国的网站审计相对落后，如何建立切实可行的网站审计规范，是完善信息化环境下监督管理机制的一项亟待解决的重要课题。在进行社会审计时，可以借鉴美国等西方国家对内部控制审计的一些做法，要求企业对外界公众出具内部控制报告，并要求注册会计师对其进行审计，出具审计报告。这就加强了企业管理当局和注册会计师的责任，既可以降低企业的营运风险，提高企业经营效益进而保护投资者的权益，同时又提高了企业对外出具的财务报告及其他披露信息的可靠性。
　　2．完善审计法规，提高审计技术
　　在企业信息化过程中，现有的法律法规呈现滞后性。同时，审计技术相对落后，审计人员知识结构不完整，导致审计人员在进行审计时，常常面对信息化下的业务流程、电子凭证，无法可依，无技可施。审计部门的独立性受到威胁，审计结果的公正性受到质疑。因此，不仅要完善原有的技术规范，统一网络技术管理规范，同时还应建立相配套的法律法规，升级计算机辅助审计技术与系统软件，针对企业信息化环境，加强审计专业人才的培养。

文章来自中国管理论文网，本论文中心专业从事发表管理学论文等业务，如需转载请注明出处，谢谢！

　　参考文献

　　1.高一斌，王宏．2005．对加快推进内部会计控制建设若干问题的思考．会计研究。2：3—10
　　2.朱荣恩．2001．建立和完善内部控制的思考．会计研究，1：24—31
　　3.李明辉．2001．浅谈上市公司内部控制报告．审计研究，3：42—46
　　4.陈关亭，张少华．2003．论上市公司内部控制的披露及其审核．审计研究，6：34～38
　　5.郑海英．2004．上市公司内部控制环境研究．会计研究，12：62～65
　　6.刘英姿，胡青松．2004．基于人工神经网络的企业信息化阶段识别方法．科技进步与对策，7：156—158
　　7.朱立新，陈显中．2005．对企业信息化发展阶段的重新划分．企业经济，6：75～78
　　8.杨雄胜．2006．内部控制理论面临的困境及其出路．会计研究，2：53—59
　　9.陈志斌．2005．内控规范的嵌入与超越．会计研究，11：56—60
　　10.李若山，徐明磊等．2005．COSO报告下的内部控制新发展．会计研究，2：32—38
　　11.薛祖云．2004．会计信息系统．厦门：厦门大学出版社，137