企业信息化进程中的“内部控制”研究

谢志宏

摘要：在企业信息化进程中，信息系统在内部环境、风险评估、内部监督、控制活动以及信息与沟通等方面而对内部控制产生了影响。文章通过分析了“内部控制”在我国的发展，“内部控制”的定义及在企业中建立、实施时的原则，以及企业信息化对内部控制的影响，企业信息化进程中实施内部控制的策略。

关键词：企业信息化；内部控制；研究

中图分类号：F208 文献标识码：A文章编号：1006-8937（2014）17-0032-02

企业信息化当前已经在我国逐步建立起来，在这种环境下实施、加强企业内部控制就显得更为必要。本文就此展开研究和讨论，望对读者有所帮助。

1“内部控制”在我国的发展

“内部控制”的思想由来已久，我国灿烂的古代文明也包含了大量的“内控”思想，其中仍有许多值得当今社会借鉴的文化价值与经验。“得控则强，失控则弱，无控则乱，不控则败”，我们很早就认识到了这一点。然而我国现代意义上的内部控制理论却起步较晚，发展也较慢，是在借鉴西方国家内控理论的基础上逐渐发展起来的。

从20世纪90年代后期开始，我国政府部门及各行业的监管机构开始制定一系列的法律法规，推动了内部控制在我国的发展。1997年1月中国注册会计师协会出台《独立审计具体规则第9号——内部控制与审计风险》，同月国家审计署颁布《中华人民共和国国家审计基本准则》；1999年10月，全国人大制定了《中华人民共和国会计法》；2000年1月证监会出台《公开发行证券公司信息披露编报规则》；2001年6月，财政部颁布《内部会计控制——基本规范》《内部会计控制基本规范——货币资金》；2002年6月，中国注册会计师协会出台《企业内部控制指导意见》，三个月后中国人民银行出台《商业银行内部控制指引》，六个月后中国证监会出台《证券投资基金管理公司企业内部控制指导意见》；2006年6月，国资委出台《中央企业全面风险管理指引》；2006年6月上海证券交易所出台《上海证券交易所上市公司内部控制指引》，三个月后深圳证券交易所出台《深圳证券交易所上市公司内部控制指引》。2008年6月，财政部、证监会、银监会、保监会、审计署联合出台《企业内部控制基本规范》；2010年4月，上述五个机构又共同出台了《企业内部控制应用指引》《企业内部控制审计指引》《企业内部控制评价指引》。

2“内部控制”的定义及在企业中建立、实施的原则

《企业内部控制基本规范》中给“内部控制”下的定义如下：由董事会、监事会、经理层和全体员工实施的旨在实现内部控制目标的过程。内部控制的五个目标如下：企业战略，经营的效率和效果，财务会计报告及管理信息的真实可靠，资产的安全完整，遵循国家法律法规以及监管要求。

企业建立并实施内部控制时应该遵循一定的原则，即：①全面性原则，内部控制应贯穿于决策、执行与监督的全过程，覆盖企业及所属单位的各种业务与事项。②重要性原则，内部控制应在全面控制的基础上，关注重要事项与高风险领域。③制衡性原则，内部控制应在治理结构、结构设置以及债权分配、业务流程等方面形成相互制约、相互监督，同时还应该兼顾运营效率。④适应性原则，内部控制应与企业经营规模、业务范围、竞争状况与风险水平等相适应，并随着其情况的变化不断进行调整以具适应性。⑤成本效益原则，内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

3企业信息化对内部控制的影响

企业信息化的背景下，企业内部控制的基本目标不变，但其他方面都随之发生了或多或少、或大或小的变化。概括起来，主要在以下五个方面对内部控制产生了影响。

3.1对内部环境的影响

企业信息化使得企业的决策、执行与监督的各个利益相关方能够更加及时、准确地了解企业内部的各方面的信息。董事会通过企业信息化系统更全面、更准确、更及时地了解企业的发展现状，从而为决策工作指明了方向；监事会则能够通过信息化系统更好地行使监督权力；经理层在确保企业高效运行的过程中更是要借助信息化系统的有效支撑。如上所述，企业信息化对内部环境产生了很大的影响。企业信息化为企业营建了一个高效、透明、有序的环境，甚至能够使企业形成一种极富特色的企业文化。

3.2对风险评估的影响

风险无处不在，从企业诞生那一天起风险就从来不会离开企业左右，除非企业倒闭破产。这里的风险评估是广义上的概念，包括：风险识别、风险评估与风险应对三个方面。企业信息化可以更好地为企业搜集、分析相关的风险数据与信息，企业信息系统在对这些风险数据、信息分析的基础上能够建立起一种风险识别与评估模型，对风险予以全方位的展示并对重大风险进行预测、预警。然而，另一方面需要注意的是，企业信息化也给企业也增加了一种新的风险成分——信息化风险，如果搜集的信息失真或信息系统失控，这将会大大增加企业的风险程度，因此企业必须完善信息系统，建立信息系统建设、实施和应用等内控管理机制以减少由于信息化给企业所带来的风险。

3.3对内部监督的影响

企业的内部控制是一个动态的而且是闭环的系统，包括内部控制的设计、执行、评价与改进四个部分。企业的内部监督则是企业对内部基于实际情况所实施的检查和改进的一种机制。所以内部控制需由内部监督来评价并敦促前者对不足之处进行改进。完善的信息系统能够为内部监督提供更直接、及时和高效的监督和检查手段。

3.4对控制活动的影响

控制活動是企业在对风险进行评估的基础之上，针对评估结果所采取的一系列措施并将风险控制在可承受的范围之内。企业信息化环境下，企业的组织结构进行了调整，业务流程也进行了重组，这也就导致了内部控制活动也发生一定的变化。信息化系统使得控制活动逐渐由传统的手工型控制向自动化控制转变，自动化控制越是发展，人为的干预度也就越小，人为的一些错误甚至舞弊行为就难于发生，因此大大提高了控制活动的效率。

3.5对信息与沟通的影响

企业信息化有利于内部控制信息与沟通的发展，在信息化环境下信息能够在企业内部以一种方便的快捷的方式于各个层级间流通，极大地提高了信息的利用效率。董事会、监事会、管理层以及全体员工在自己的工作范围内能够及时、便捷地获取信息，从而促进了工作效率的提高。此外，企业信息化系统还为企业的外部利益相关者（例如供应商、客户等）提高了便捷、高效的沟通平台，从而使得企业能够更加健康、持续地发展。

4企业信息化进程中实施内部控制的策略

4.1构建并完善企业的信息化环境

构建、完善信息化环境，应该从以下几个方面着手，例如企业信息化基础设施的建设，信息系统的建设，企业业务流程的重组与优化，内部控制人才的引进等。

4.2建立完善的企业内部控制体系

建立企业内部控制体系，首先应当梳理、优化企业内部控制管理流程，建立《企业内部控制手册》、《企业内部评价手册》、《企业内部管理手册》等制度和规范；其次，应当注重识别企业重要业务与高风险领域并重视其风险识别与评估；最后，形成对核心业务及其信息系统的内控核查与整改机制。

4.3实现企业内部控制的信息化

在思路上，应当细化目标、分解责权、规范流程、管控执行；在需求分析上，应当分析企业各利益相关方（包括监管方、管理层等）对内部控制信息化的要求，分析内控管理系统应遵循的政策规范与技术标准，分析内部控制信息系统的三个层次（即合法合规、融入管理、风险管理），分析内部控制系统对信息技术的要求，选择比较先进、适用的技术平台实现企业内部控制信息化。

参考文献：

[1] 晏丰.浅析企业信息化进程中内部控制存在的问题[J].经营管理者,2013,(22).

[2] 翟月春.企业信息化过程中内部控制问题研究[J].黑龙江对外经贸,2010,(6).

[3]程昔武,纪纲.信息化对中小企业内部控制的影响与对策研究——基于COSO内部控制整体框架的视角[A].中国会计学会会计信息化专业委员会第九届全国会计信息化年会论文集（下）[C].2010.