IT企业内部控制实施路径探讨

首都经济贸易大学 王海林

企业内部控制是通过一定的技术与方法实现的，这些方法构成了企业内部控制的方法体系。在I T条件下企业内部控制的实施方法既有组织机构设置、职责划分和授权控制，内部牵制等手段，也可以利用预算控制，成本控制等财务控制方法，还可以利用规范业务流程、操作规程及业务记录，实施内控审计，建设企业文化，建立奖惩制度及激励机制、实施绩效评价等管理方法达到控制的目的。综合考虑可以将这些方法归为七类。在I T环境下企业落实内部控制方法，建立内部控制体系可以遵循一定的路径，做好以下几方面工作。

一、梳理与设计业务流程

流程控制是把业务流程作为控制对象和手段实施的控制。通过业务流程优化、并将必要的控制流程嵌入到业务流程中，成为业务流程的一部分，达到控制的目的，因此企业设计的业务流程必须既满足业务处理的需要，也要满足控制的需求。基于此，企业应该首先对现有流程进行梳理、分析，本着面向服务、能够快速响应、处理高效的原则优化现有流程、构建新流程。此过程大致经过前期规划、诊断、设计和评价四个环节。

前期规划。分析企业的各项业务流程，确定流程控制目标，并分析和确定各流程存在的风险。

诊断。寻找各个流程目前存在的控制弱点，确定下一步进行流程控制的关键点。

设计。按照前期规划中设定的流程控制目标，根据诊断环节确定的流程控制关键点，设计出流程控制方案，方案应该包括业务控制的标准、控制过程、采用的控制手段与方法、控制的措施和内容等。

评价。首先确定评价方案，对设计环节确定的控制方案进行评价，并将评价结果反馈给流程设计部门和人员，最后形成实际要执行的流程方案；然后根据流程执行中反馈的业务处理结果，进行控制效果评价和分析，并将评价信息反馈给管理层。管理层可以据此改进相关工作。

二、设置组织结构与流程

组织控制是将组织作为控制的对象和手段，使各级组织及组织中的成员在完成各项任务的同时实现企业的战略目标。

构建具有控制能力的组织结构。本着能够快速响应、兼顾整体目标与分工协作相结合、处理好“集权”和“分权”关系、确保各级组织及其各个职能部门之间信息通道畅通几项原则，建立起具有控制能力的组织结构。包括：一是建立和完善企业法人治理结构。建立和完善企业法人治理结构是现代企业制度的基本要求，也是企业规范化运做的基本要求。作为企业组织机构的组成部分，董事会、监事会、经理层应该职责划分明确，形成较有效的企业治理、监督和制约机制。二是设置控制机构。根据需要和企业情况设置专门的控制机构。如审计委员会、内部审计机构等，对企业各级部门和组织实施监督和控制。三是各级部门和组织自身要有控制能力。各级部门和组织划分工作岗位、确定岗位职责时除了满足完成任务目标外，还应该考虑控制的需要。四是设置组织的控制层次。应该建立一种与组织结构相适应的控制层次和控制机制，通过设置不同岗位（或角色）的控制层次和不同层次间的授权落实控制，保证既具有效率优势，又具有一定的灵活性。

设置满足控制要求的组织流程。组织流程是实现组织目标而采取行动的过程，其本身也是一种控制手段。组织中每一项核心工作都应该有明确规定的流程，而且流程设计时要把明确的业务记录、岗位之间的牵制、上下级之间的签核等方式作为流程的一部分，达到控制的目的。

三、建立风险评估机制

风险是控制的“因”。每个企业都随时面临着来自内外部的风险，管理者无论做出什么决策，风险都存在。因此，企业必须建立风险评估机制，管理风险。管理风险是一个在明确企业风险容忍程度基础上，利用一定的管理工具对各种风险采取不同策略和措施，从而消除或降低风险损失，确保企业经营目标实现的过程。它包括风险识别、风险评估、风险控制和风险监督几个环节，每个环节都有具体任务和完成措施。

风险管理的各个环节中，都要考虑成本和效益原则。每一项风险都会有多种控制措施和方式可供选择，各种控制措施的效果和成本存在差异。通常，企业不可能也不必要控制所有的风险，因此风险控制中可以忽略一些影响小、发生概率低的风险，而是将控制重点放在影响大、发生概率高的风险上，即遵循重要性原则。

四、利用信息技术、控制信息系统

在I T环境下，信息技术不仅是控制的手段和工具，利用信息技术构建的信息系统也是控制的重要对象。

业务处理和管理中利用信息技术进行控制。对于采用信息技术的企业，在业务流程梳理的基础上，应该重新审视自身的信息系统，尽可能将业务的控制措施嵌入到信息系统中，变过去人的控制为机器的自动控制，提高业务控制的刚性程度和标准化、规范化水平。

对信息系统实施控制。管理中，由信息技术基础设施、应用系统、数据和人员等所有信息技术资源构成的系统统称为信息技术系统，简称信息系统。企业应该充分利用手工的或信息技术的方法、技术和程序对信息系统实施控制。一是实施信息系统控制的第一步是进行信息系统风险分析。即明确信息系统规划、设计、实施、运行、维护直到寿命期结束报废的全过程中由于人为的或非人为的因素导致系统运行正确性、可靠性、安全性以及运行效率等方面面临的风险。二是了解必须遵守和可供借鉴的信息系统控制规范。除了《会计核算软件管理的几项规定》、《企业内部控制基本规范》有关信息系统部分的条款和《信息系统控制应用指引》等我国企业信息系统控制需要遵守的规范外，目前国际上还有COSO《内部控制整合框架》与ERM框架、国际信息系统审计与控制基金会的COBIT、国际标准化组织的ISO 17799/27002、英国计算机和电信中心CCTA提出的ITIL等较为成熟并被较多使用的控制规范。它们中有的是直接对企业信息系统、信息技术服务与管理提出的标准与规范，有的是作为内部控制框架中信息技术部分的规范。这些框架或规范为企业构建自身的信息系统控制体系提供了借鉴和参考标准。三是建立信息系统控制体系。从内容上，企业信息系统控制体系即包括法律法规体系、制度建设、安全机制的构建、信息系统相关机构和职责设置，也包括信息系统风险分析与评价、安全保障技术、安全控制措施，还包括经过认证的安全产品的选择等。基于对I T全面治理考虑，企业信息系统控制体系应该从技术、管理、组织等几方面构建。技术体系是信息系统安全的技术保障系统，由安全保障技术选择和使用、技术安全控制措施等构成；管理体系是由与信息系统规划、开发、实施、运行维护、报废整个生命期相关的管理活动构成的系统；组织体系是保证信息系统正常运转的组织保障系统，由组织机构和岗位设置和人员管理等几部分构成。

五、建立规章制度

规章制度等规范体系是重要的内部控制形式和手段，通过规章制度的制定和落实可以使被控制者有章可循，使控制者有据可依。企业建立规章制度时，应该首先明确企业必须遵守的国家的相关法律法规、行业规章，将其融入企业制定的规章制度中，同时根据企业的控制目标、业务流程、组织设置、岗位和权限划分等要求，明确哪些控制需要用规章的形式实施，建立起具有良好操作性和可执行性的相应的制度规范。

六、完善预算管理和内控审计机制

预算管理。预算管理是一种全方位、全过程、全员的管理。它涉及企业生产经营的产、供、销全过程和人、财、物各方面。在I T环境下，通过预算数据可以实现对组织、人员、作业环节等的实时控制，因此预算控制是I T环境下企业内部控制的重要手段和方法。

内控审计。内控审计是对企业内部控制实施过程和实施效果的再控制，是企业内部控制体系中不可缺少的一环。内控审计既包括委托专职机构和人员，依照企业事先确定的经营管理活动应该遵循的控制标准对企业在经营管理活动中执行控制标准的情况进行的审查、评价、鉴证，也包括企业内部稽核或审计人员进行的核查、自我评价。前者可以检查和确认企业内部控制的真实性、合规性、有效性、充分性及适当性，确认和评价企业控制设计和控制运行缺陷和缺陷等级，分析缺陷形成原因，提出改进内部控制建议；后者可以帮助企业及时掌握自身执行控制的情况，发现执行中存在的问题等，从而达到自我监督、及时管理的目的。

七、重视企业文化建设

企业内部控制从本质上看是对人的控制，而人又是千差万别的，这就要求控制一定要以人为本，不仅要有制度约束、流程规范，也要有价值引导、文化培养、风俗熏陶和思想教育，即“导之以德，齐之以礼，有耻且格。”在控制中更多地重视和运用企业文化的力量是重视人，以人为本的体现。

企业文化是一个企业的灵魂。它不仅极大地决定着员工的价值取向、工作动力和行为方式，也是企业行为规范的内在约束。从企业整体利益的需要出发，制定一套行为准则来统一企业全体人员的信念、规范他们的行为、协调企业成员之间的关系，使之共同自觉地维护企业利益，是实现企业控制目标的重要保证。在越来越重视“软实力”、“软管理”、“软控制”的今天，企业文化应该受到越来越多的关注和重视。

［1］［美］S c ott G reen著，张翼、林小驰译：《萨班斯法案内控指南》，经济科学出版社2007年版.