黄霄龙　潘述田　向　瑛

摘 要：从信息技术对企业内部控制的影响入手，通过研究兖州煤业股份有限公司在内部控制建设中的信息化管理实例，分析如何将信息技术治理贯穿于内部控制全程，实现信息技术治理向更深、更广泛层次的跨越。提出如何通过发挥信息技术治理的作用，提升企业内部控制水平的建议。

关键词：信息技术治理 内部控制 建议 兖州煤业

内部控制是社会经济发展到一定阶段的必然产物，是完善公司法人治理结构的重要措施。近期，源于美国波及全球的金融危机对世界经济体系造成重大冲击，再次彰显完善企业内部控制的迫切性。财政部、证监会、审计署、银监会、保监会等五部门于2008年5月联合下发了《企业内部控制基本规范》，要求我国上市公司于2009年7月施行，鼓励非上市的大中型企业执行。全球企业越来越紧迫地面临同一个课题：完善内部控制制度、防范舞弊，促进和保障企业健康发展。

企业的运营过程，也是信息的流转过程，信息技术治理在提升公司治理水平、完善企业内部控制中的作用日益增强。信息技术治理是从公司治理的高度，对企业信息化作出制度安排，制定与企业发展战略相融合的信息技术战略，建立有效的运行机制，提高信息技术资源的有效性和安全性，促进企业建立竞争优势。本文从信息技术对企业内部控制的影响入手，通过研究兖州煤业股份有限公司（“兖州煤业”）在内部控制建设中的信息化管理实例，分析如何发挥信息技术治理的作用，提升企业内部控制水平。

1. 信息技术对企业内部控制的影响

目前国际上对内部控制最为权威的定义是1992年美国反对虚假财务报告委员会发布的《内部控制 — 整体框架报告》，以及1994年补充的《内部控制 — 一体化框架》（“《COSO报告》”），将内部控制分为五个相互补充的要素：控制环境、风险评估、控制活动、信息与沟通、监督。我国财政部等五部门制定的《企业内部控制基本规范》，也基本采纳了上述五个要素，并指出：“企业应当运用信息技术加强内部控制，建立与经济管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操作因素。”

1.1 信息技术对控制环境的影响

控制环境是企业实施内部控制的基础，包括企业的治理机制、组织结构、管理层的权责分配、企业文化、人力资源政策等。由于信息化的高效率，企业的组织结构趋于扁平化，内部控制的组织层次将会减少，要求信息系统下管理层的权责分配更加严格。同时，信息技术的应用也使管理者获取的信息量倍增，完善的信息化系统能够准确、全面、及时地为企业管理者及监督部门提供信息，为完善企业的治理机制提供便利条件。

1.2 信息技术对风险评估的影响

风险评估要求企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。企业利用信息化条件下高速数据处理能力，通过收集和处理涉及企业风险的相关数据、信息，设立风险识别和评估模型，构建自身的数据敏感系统，提高企业对数字类信息的敏感度及对数据异常时的反应速度。信息技术改变了企业传统的营运模式，使企业信息的收集、处理、传递和应用更加依赖信息技术和信息系统的实施效果，扩大了企业风险评估的范围。

1.3 信息技术对控制活动的影响

控制活动是为确保企业管理层指令得到有效执行而制定的政策和流程，它存在于整个组织的所有层次和所有职能部门中，是根据企业业务流程和具体控制点的相关风险而采取的必要措施。信息技术应用使传统人工控制形式演变为人机系统控制，控制重心将集中在作业流程的人机控制与信息系统控制。一些传统的内部控制规则和程序在新的技术环境下发生了实质性变化，新的控制规则和程序应该建立在充分利用信息技术、用最少的资源达到更佳控制目标的基础上。

1.4 信息技术对信息和沟通的影响

企业相关的信息必须以一种形式，在某一时段被识别、获取和沟通，以促使企业各个层次职责的有效履行。

只有在完善的信息系统支持下，企业董事会、管理层、职能部门、员工各层次之间才能建立有效的沟通机制，形成预期、指令、传递、执行、反馈的良性循环。同时，完善的信息系统还应承担为客户、供应商、股东、潜在投资者及监管部门等外部群体提供高效沟通渠道的作用。

1.5 信息技术对内部监督的影响

内部监督是企业对内部控制的建立与实施情况进行监督检查、评价内部控制的有效性，发现缺陷并加以改进的过程。信息化条件下，许多控制程序、控制指标、控制方法被设置在信息系统内部，借助信息技术的特点，可使一部分的监督过程自动完成，并可以实现日常的、持续性的实时监督。

2. 兖州煤业信息技术在内部控制中的应用

兖州煤业股份有限公司成立于1997年，主要从事煤炭开采、洗选加工、销售及煤炭铁路运输业务，于1998年在美国、香港和上海三地上市。兖州煤业自三地上市以后，设计、开发、应用了管理信息系统（MIS系统）；2001年3月，独立设计的ERP/YZC系统（企业资源计划）开始实施，并于2003年3月成功实施二期工程，在国内率先应用SAP/R3系统矿业解决方案，建立起覆盖整个公司业务范围的，集成化、流程化、透明化和实时化的信息管理平台。自2005年开始，兖州煤业进行了全面内控体系建设，目前基本实现了内部控制的系统化、程序化和信息化。〔1〕

兖州煤业在信息化管理初具成效的基础上，全面推进内部控制建设，并将信息技术治理贯穿于内部控制全程，在实际运行中注重与公司治理、全面风险管理相结合，实现了信息技术治理向更深、更广泛层次的跨越。

2.1 建立有效的组织机构

内部控制是由公司董事会、管理层及全体员工共同参与的一项活动。兖州煤业确定由董事会负责公司内控制度的建立健全、有效实施及其检查监督，经理层负责组织企业内部控制的日常运行，并进一步明确由公司总经理、财务总监具体负责组织内部控制的建设。

兖州煤业设立信息管理部，专职负责内部控制的日常运行和监督管理，计划财务部、风险管理部和内审部为内部控制主要参与部门。设立该模式组织机构的主要原因是：财务、物资、运销等业务在内部控制中构成重要模块，但有各自的独立性和单一性，而信息化管理贯穿于企业运行的全过程，信息管理部具备总体推动和监督管理的优势。

2.2 制定合理的信息技术治理战略规划

兖州煤业信息管理部依据公司未来五年生产经营发展规划，结合信息技术发展方向，将信息技术治理与公司内部控制、公司治理、风险管理结合起来，每五年进行一次信息化建设长期战略规划。

信息管理部每年年初依据信息技术治理长期战略规划，从公司实际业务出发，结合近期信息技术发展方向，制定本年度的短期规划。公司董事会审计委员会每年评估一次战略规划，对不符合业务发展目标和信息技术发展方向的内容进行修改、补充和完善；公司董事会对评估和完善情况进行审核。

2.3 主要运行流程

2.3.1 信息与沟通

公司管理层在信息技术和管理方面的目标通过信息管理部向下传达，确保对这些目标的正确理解。同时，用户对信息技术目标的理解与执行情况通过信息管理部及时反馈到公司管理层。信息管理部通过公司网站、电子邮件、信息公告板、公文、会议、热线电话等方式，构建起一套多层次、多角度的信息管理平台，及时收集各类反馈意见并汇总上报管理层，对信息政策和信息标准不断更新和完善。

2.3.2 风险评估

风险管理部负责公司信息系统风险评估，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性进行的科学、公正的综合评价并提出应对措施的过程。风险管理部每年末进行一次信息系统风险评估，通过调查问卷、访谈、实地考察以及参考审计部门的审计结果等途径收集评估所需的信息系统风险。采用风险等级矩阵来定义信息系统风险等级，针对不同风险等级提出不同的风险应对建议。（见下表）

其中：内部评估：风险管理部门每年年未进行一次信息系统风险评估

审批：总经理召集财务总监、计财部、信息管理部和风险管理部研究。

信息系统在不断扩展和更新，网络的架构也在不断变化，新的风险会可能会出现、以前被减缓的风险可能重新成为问题。风险管理部根据实际情况，结合信息系统风险识别、风险评估的原则，对信息系统进行再评估。根据风险管理部对信息系统的风险评估结论和建议，信息管理部负责组织实施完善和改进。

2.3.3 监督

兖州煤业通过内部持续监督活动和外部独立评估来实现对内部控制系统中信息系统的监督过程。公司审计部每年年末对公司信息系统进行一次总体审计，包括合规性审计和特殊性审计。审计部出具审计报告并提出整改意见，经公司管理层审核后，由信息管理部进行整改，并将整改结果报送审计部，审计部对整改情况进行跟踪和再评估；公司信息管理部及审计部每年定期与外部的独立审计师、公司法律顾问进行有效沟通，确保他们对内部控制系统的建议和评估结果得到有效应对。

3. 强化企业信息技术治理的建议

信息化管理已从生产与管理的辅助手段、解决生产与管理问题的工具逐步上升到影响企业发展全局的地位。如何充分发挥信息技术治理的作用，切实提升企业的内部控制水平，笔者认为在实际运行中应注意以下问题：

3.1 信息技术治理与企业发展的一致性

归根结底，信息技术治理是为实现企业发展目标提供支持和服务，必须站在企业发展战略的高度、从企业业务整体发展的角度制定信息技术治理的目标和规划。信息技术治理对企业发展的支持，就是对具体业务开展的支持，必须结合企业发展状况，分析企业业务行为和特征，进行信息化建设和管理的优先级分析，确定信息技术治理的具体措施，实现信息技术治理的整体性、前瞻性和可扩展性。

3.2 支持信息技术治理关键资源的最优化管理

有效的信息技术治理是技术与制度相结合的体系，决不仅仅是一个技术问题，不能仅由技术人员负责，而应当受到企业最高管理层的高度重视。最高层领导的重视与支持，将形成良好的控制环境，保证企业信息化的顺利实施，包括在政策上的支持和设置专门机构负责信息化项目并直接向董事会负责。

3.3 确保信息风险评估的有效性

信息化环境下的风险评估重点应该包括信息系统的开发、实施、维护和操作全过程。这就要求及时了解原来设置在信息系统内的控制程序、控制参数是否过时，并针对企业经营环境变化情况，及时评估业务流程控制点的运行状态，重新调整或更改设置在信息系统的控制参数或程序。

3.4 重视发挥内审和外审监督的作用

内部审计是企业内部控制措施的再控制，企业内部审计机构是信息技术治理最重要的监督者。内部审计机构在信息系统的开发、实施、维护和操作每一过程中都应当进行严格的独立审查，并定期对信息系统加以检查，以保证信息系统的正确性、完整性和安全性，并将发现的问题及时提交企业管理层，帮助企业弥补信息系统控制中的缺陷。

在条件允许的情况下，企业还应实施独立信息系统审计，即由独立第三方信息系统审计师对信息系统进行综合的检测和评价，来进一步加强对信息系统的控制。

3.5 强化人力资源控制

任何企业的核心均是企业中的人及其活动。信息技术治理对员工素质提出了更高要求，员工不但要熟悉更多的业务流程，还要熟悉信息系统的运行。企业应该在信息技术人员的招聘、培训、考核过程中，通过完善的人力资源管理来保证信息技术人员的素质和品行，建立良好的招聘、培训、绩效评价、激励约束机制。确保企业拥有一批既懂信息管理，又懂技术管理的高素质信息化人才，加强完善信息技术治理。◆

参考文献：

〔1〕吴玉祥、赵青春. 公司内控体系设计与应用[M]. 北京：中国财政经济出版社，2007