内部控制系统信息化建设若干问题研究

应立冬

【摘 要】 借助IT技术来开展内部控制管理，在我国业界已逐步形成共识。然而，面对即将到来的信息化浪潮，许多企业并未准备好。文章基于这种现状，对内部控制信息化优势进行阐述，提出了内部控制系统信息化的实施目标，并分析了实施过程中存在的主要问题。

【关键词】 内部控制； 信息化； 实施目标

一、引言

2008年财政部联合五部委制定发布《企业内部控制基本规范》（以下简称《基本规范》），到2010年的《企业内部控制配套指引》（具体包括《应用指引》18项、《评价指引》、《审计指引》），标志着我国内部控制框架体系已经形成，为摸索前行中的中国企业指明了方向，可以预见内部控制建设在我国将迎来全面提速的时代。据德勤的《中国上市公司内部控制分析报告》统计显示，2009年52.94%及2010年46%的受调查企业表示企业缺乏与内部控制相关的信息系统，企业内部控制信息化建设将成为我国内部控制建设的一项主要课题。

二、内部控制系统信息化的优势

《基本规范》将内部控制定义为：“内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程”。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效益和效果，促进企业实现发展战略。内部控制系统信息化就是：“以信息技术实现内部控制目标的全过程”，与传统内部控制系统相比，内部控制系统信息化具有以下优势：

（一）信息化提升了内部控制环境基础

信息系统信息处理的制度化、规范化、流程化要求企业必须在企业结构、人员配备、作业程序、业务规则等方面做出变革，具备需要共同遵守的作业程序和业务规则，一旦设定，就必须遵照执行。从不规范管理到规范化管理是一场深刻的管理变革，要规范就必须改革。由此可见，内部控制系统信息化不是仅仅代替手工系统，而是要通过实施信息化达到改善内部控制环境现状、提升内控质量和水平的目的。这种通过信息化来实施企业管理变革的模式，已经逐渐得到企业管理者们的认同，并有愈演愈烈之势，“信息化的本质就是一场管理的变革”已深入人心。

（二）信息化丰富了内部控制的手段

“流程可视，过程可控”是内部控制信息系统的又一大优势。在内部控制信息系统中，任何事件的结果都是由一定的流程所产生，结果不理想，可以从产生的结果倒推到作业过程中去找原因。信息化可以把每一项作业经历的步骤都记录下来存储在案，可以追溯检查，做到流程透明或可视化，提高了经济业务的能见度。这种流程可视化，一方面可以丰富审计线索，强化对经济业务事项的事后监督和分析；另一方面，通过计算机及网络技术使经济业务事项全程处于监控之中，有利于及时纠正甚至防范错误的发生。

（三）信息化提高了内部控制信息的质量

与传统内部控制系统相比，依托于IT技术的内部控制信息系统的优势还体现在：一是数据采集的多样性，利用计算机及网络技术，更多的财务或非财务信息被计算机终端接收并加以分类存储，为内部控制提供广而全的信息；二是信息实时共享，信息化管理打破了部门之间的屏障，依托于IT技术，可以实现信息集成与实时共享，来自终端的任何一个变化，相应的所有业务都能实时更新，保证了业务信息的新；三是快速响应，好的信息系统对于环境变化的响应应该是敏锐的，环境的复杂性最多体现在一个“变”字，我们处在一个变动的环境，世上唯一不变的就是变，令手工管理最头疼的就是突发事件和意外事件，计划总是跟不上变化，但是信息化可以通过计算机快速运算、网络通信实时交流，以管理的速变来应对环境的多变，使计划可以跟上变化。

三、内部控制系统信息化的实施目标

内部控制信息系统的构建是一项系统工程，具有内容复杂、涉及面广、层次较多、时间较长等特点，实施过程中必然会经历“化整为零”、“化零为整”的反复过程，为保证系统的有机性，降低实施风险，提高实施效率，就必须对内部控制信息系统的功能有一个准确的认识，确立内部控制系统信息化的实施目标。

（一）服务于企业总体目标

任何企业都有其特定的目标，要有效实现企业的总体目标，就必须及时对构成企业的各项资源进行合理的组织、整合和利用，也就意味着各项资源必须处于控制之下或在一定的控制之中运营。如果一个企业最终未能实现其总体目标，那就说明该企业在从事自身活动时，必然是忽视了资源整合的重要作用，忽视了经济性和效率性的重要性。内部控制系统的目标是要直接促进企业目标的实现。因此，企业的内部控制必须以促进实现企业的最高目标为依据。内部控制信息系统的主要目标必然是帮助企业实现自身的战略、市场、企业等方面的资源整合，最终达到企业价值最大化的总体目标。

（二）服从政策、程序、规则和法律法规

一方面，为实现企业的总体目标，管理者会制定出一系列政策、程序、计划来协调企业的各种资源和行为，并以此作为监督企业运行并适时做出调整的依据；另一方面，企业还必须服从政府制定的法律法规、职业道德规则以及利益集团之间的竞争因素等所施加的外部控制。倘若内部控制不能充分考虑种种外部限制因素，势必最终威胁企业的生存。因此，内部控制系统必须在遵循各相关法律法规和规则的前提下运行。特别是随着近年来我国内部控制制度的不断完善，关于企业内部控制的要求在不断加快、更加严谨，使得企业面临严峻考验。

（三）提高资源利用效率

所有的企业都是在一个资源有限的环境中发展运行，一个企业实现其目标的能力大小关键取决于能否充分利用现有资源，因此，制定和设计内部控制必须充分考虑经济性和效率性，将能否保证以最低廉成本取得高质量的资源、能否有效防止不必要的工作浪费作为其根据。管理者必须建立政策和程序来提高运作过程中的这种经济性和效率性，并形成运作标准来对行动进行监督。信息系统的主要功能是整合资源，这些资源不仅包括企业的硬资源，更多的表现为软资源。

（四）确保信息的质量

在内部控制系统中，除了建立企业的目标并制定政策、计划和方法外，管理者往往还需利用可靠、相关和及时的信息来控制企业的行为。实际上，控制和信息本身就是密不可分的，决策导向性的信息会同时受制于内部控制，完备的内部控制是信息质量的重要保证。也就是说，一方面，管理者需要利用信息来监督和控制企业的行为，同时，决策信息系统特别是跨级信息系统也会依赖于内部控制系统来确保提供可靠、相关和及时的信息。否则，管理者的决策就有可能给企业造成不可挽回的损失。因此，内部控制系统必须要与确保数据收集、处理和报告的正确性的控制环节相联系。

（五）保全企业的各项资源

资源的稀缺性客观上要求企业通过有效的内部控制系统确保其安全和完整。对于资源的保护，主要有两个维度。一是数量上，保护其完整不被丢失；二是质量上，保护其被有效利用不被损害。近年来，各种无形的资源已经越来越成为企业竞争中的决定因素，它们利用得好，会给企业带来巨大的利益，但同时，由于其不具有实物形态，难以以常规的方法对其进行控制。例如现代企业竞争中，信息的有效使用往往会决定企业的成败，由于使用了信息技术，更多的信息以电子的形式存储在服务器中，这就使得这些数据时刻面临着来自网络各终端的影响，保护这些信息的完整和不被损害，就需要建立严格的数据访问制度，通过操作授权使重要的信息不能轻易地被接触和使用。内部控制信息系统的建设目标，必须充分考虑到这些因素，确保不论是有形或是无形的资源都能在系统的监督下得到有效保护并被合理利用。

四、内部控制系统信息化实施的关键问题

内部控制系统信息化的实施本身是具有很大风险的，风险不可避免，却可以预期和控制，重点是明确可能会导致实施工作陷入困境的关键问题。

（一）人才缺失的问题

目前，我国对于内部控制方面人才的培养明显滞后于企业的实际需求。造成这种现象的主要原因在于：尚未形成内部控制学科体系，内部控制的教学往往是夹杂在其他专业领域中，难以形成正确的内部控制职业观，不利于内部控制人才的培养；同时，从社会的认知来讲，特别是近年来，我国理论界对于内部控制的研究，更多的是从公司治理、风险管理层面展开，内部控制的相关培训也往往针对公司高管，造成内部控制建设不能深入人心。从短期解决内部控制人才缺失来看，较为可行的方法是进行员工培训，并将其始终贯穿于内部控制的信息化建设过程中，自顶向下落实内部控制的思想理念，从而增强员工的主动参与意识，提高其积极性，保障内部控制建设信息化的顺利进行。

（二）认识不清的问题

内部控制的本质和范畴也是困扰内部控制信息系统实施者的一个问题，造成这一认识上的混乱是有其社会背景的。内部控制的概念最先是在审计领域提出的，主要是用于会计监督和资产保全，这是最早人们对于内部控制的认识，这种观点就是在现今，也依然被很多人坚持，内部控制就是会计控制。随着现代企业管理思想引入我国，并对企业的变革产生影响，内部控制的内涵越来越广，开始回归其企业管理的本质，内部控制的研究也从审计视角拓展到经济学、管理学、组织学、社会学等诸多领域。一时间，我们看到了很多名字相同却存在诸多差异的内部控制概念，众多学者从自身的专业来阐述对内部控制的认识理解，众说纷纭的同时，不但没有深化和统一我们对内部控制的认识，反而使内部控制的基本轮廓越发模糊，这种认识上的混乱对于构建内部控制信息系统来讲非常不利。

（三）投资效益分析片面的问题

内部控制信息系统的建设实施，需要企业付出很大的代价，有必要对项目的投资效益做出分析。其主要意义在于：进行投资效益分析会涉及多个部门，从而使更多员工和部门明白内部控制信息系统的经济效益，加深对实施内部控制系统信息化必要性的理解，扩大群众基础；另外，投资效益良好同时也会极大地鼓励管理层的热情，进一步关注内部控制系统信息化进程，体现一把手工程；最后，投资效益分析也有利于企业对于内部控制信息系统建设的资金计划和控制。投资效益分析的关键是对效益及成本的准确评估，但是需要认识到的是，效益或成本中，有些因素是可以量化的，有些却是不可以的，比如对市场的快速响应、人力资源等，对于这些定性部分的内容，要尽可能地细化，能定量最好定量，不可忽略。

（四）架构技术选择的问题

内部控制系统信息化建设时往往会面临巨大的风险，这种风险主要表现为：软件不断发展，企业需求不断增加，软件功能模块在不断地扩充，成本问题将会日益凸显；软件对于运行环境的依赖性使得软件的扩充只能是在现有的软件、数据、平台基础上进行。因此，企业必须对现今的信息技术水平以及未来的发展趋势有一个深入的了解。SOA（Service—Oriented Architecture）是面向服务的体系结构，主要解决软件对于运行环境的依赖，提高业务流程灵活性。这种灵活性可以使企业加快发展速度，降低总体拥有成本，改善对及时、准确信息的访问。SOA有助于实现更多的资产重用、更轻松地管理和更快地开发与部署。

【参考文献】

[1] 德勤.中国上市公司内部控制调查报告2009[R].http：//bbs.pinggu.org

/t—hread—803972—1—1.html，2012

—05—25/2012—06—04.

[2] 德勤.内控建设继续前行——2010年中国上市公司内部控制调查分析报告[R].http：//bbs.pinggu.org/

th—read—1012174—1—1.html，2012—

05—25/2012—06—04.

[3] 王立彦.企业内部控制（第1版）[M].北京：机械工业出版社，2007：110—112.

[4] 陈启申.成功实施ERP的规范流程（第1版）[M].北京：电子工业出版社，2009：11—14.

[5] 财政部会计司.企业内部控制规范讲解（2010）[R].http：//bbs.pinggu.org/t—hread—1447294—1—1.html，2012—05—25/2012—06—04.

[6] 南京大学会计与财务研究院内部控制课题组.内部控制：融入现代企业制度引发的思考[J].会计研究， 2011（11）：47—51.