孙莲香

[摘 要] IT环境对于内部控制来说不仅仅是技术手段的变革，而是理念、思路、过程等整体的革新。本文试图提出IT环境下企业内部控制实施模型，探讨IT环境下企业内部控制实施之道，从规划、集成、治理的角度构建企业内部控制实施模型。

[关键词] IT环境；内部控制；实施模型

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 10. 016

[中图分类号] F232；F239.45 [文献标识码] A [文章编号] 1673 - 0194（2014）10- 0024- 03

0 引 言

随着我国信息化水平的加速发展，企业信息化水平的步伐必然加快。根据用友软件股份有限公司发布的《2010年中国企业信息化指数调研报告》，中国企业信息化指数达到48.06，总体处于由基础应用和关键应用向扩展整合与优化升级过渡阶段，中国企业整体信息化成熟度已经基本达到中等水平。在IT基础设施建设满足IT基础应用和IT关键应用之后，如何将IT应用于企业内部控制管理越来越受到关注，同时IT应用本身带来的风险和问题也越来越突出。

伴随着我国企业信息化的不断发展，国家相关政策和监管部门早已开始重视这个问题。2006年6月，上海证券交易所发布《上海证券交易所上市公司内部控制指引》指出公司使用计算机信息系统的，应制定信息管理的内控制度；2006年9月，深圳证券交易所发布《深圳证券交易所上市公司内部控制指引》指出公司的内部控制活动应包括信息系统管理，并建立信息系统安全管理制度。2008年5月，财政部会同证监会、审计署、银监会、保监会发布《企业内部控制基本规范》中要求“企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素”。

因此，企业信息化的不断发展和对内部控制的自身需要以及来自外部的监管要求促使企业必须考虑和重视IT环境下企业内部控制如何实施的问题。虽然目前从理论界和实务界普遍认为信息技术是实施内部控制的重要手段，但是在IT环境下如何应用信息技术实施企业内部控制仍是需要深入研究的问题。

1 IT 环境与企业内部控制的关系

1.1 企业内部控制的IT环境

从哲学上讲，环境是一个相对于主体而言的客体，它与其主体相互依存，其内容随主体的不同而异。按照环境的哲学定义，IT环境是一个相对于主体而言的与信息技术相关的客体，它与其主体相互依存，为主体提供了信息获取、存储、传输的手段和方式，根据主体需求的不同具有不同的表现方式。随着全球计算机技术和网络技术的高速发展，我们学习、工作和生活无时无刻不处在一个IT环境中。在IT环境中我们的语言、文字、行为、图像、声音等全部以数字化的方式进行获取、传递、存储和转换等。

IT环境下企业通过将信息技术广泛应用于企业经济活动中，在生产、经营及其管理各项活动中充分利用现代信息技术和信息设备，辅以网络技术和网络设备以及自动控制技术和现代化通讯系统等手段对企业进行全方位、多角度、高效和安全的改造、信息资源的深入开发和广泛利用，实现企业生产过程的自动化、管理方式的网络化、决策支持的智能化、商务运营以及现金运转的电子化，不断提高生产、经营、管理、决策的效率和水平，进而提高企业经济效益和竞争力，我们把这个过程称之为信息化过程。

信息化过程改变了企业数据存取、保存、传递的方式和生产经营模式，提高了业务运转与管理的效率、业务流程的自动化以及信息的价值化。因此，在IT环境下企业的内部控制重点和模式随之要发生相应的变化，企业内部控制系统的实施、运行、维护、评价和审计也将发生很大的变化，我们将信息技术对企业内部控制系统的实施、运行、维护、评价和审计有影响的关键要素的综合体称之为企业内部控制的IT环境。

1.2 手工环境下与IT环境下企业内部控制实施的差异分析

从内部控制理论的发展过程可以看出，内部控制研究经历了从“方法程序观”到“系统观”，再到目前的“过程观”和“风险观”的发展，内部控制的理论研究与实践应用与企业所处的社会、经济、管理、技术环境的变化，“老三论”“新三论”等认识论的产生与发展，企业管理理论的发展密不可分。其中IT的产生与发展使企业所处的内外环境、面临的风险更为复杂化，进而推动了内部控制理论和实践的前进。

本文认为，IT环境对企业内部控制的影响是毋庸置疑的，相对于以前手工环境下的企业内部控制，在IT环境下企业内部控制重点和模式随之都发生了重大改变，它们之间的区别如表1所示。

2 IT环境下企业内部控制实施需要解决的几个问题

我国已于2012年1月1日在A股上市公司全面实施《企业内部控制基本规范》极其配套指引，在IT环境下如何融合信息技术推进和实施企业内部控制规范，是摆在各企业管理者前面的一道难题。根据德勤2010年中国上市公司内部控制调查分析报告显示，约46%的企业认为缺乏与内部控制相关的信息化手段是内部控制效果不佳的重要原因。随着信息技术的不断发展，内部控制与信息化的不断融合已经成为一种必然趋势，但是信息化具有的内生风险对内部控制有效性的影响，需要特别关注。

我国内部控制基本规范及配套指引发布后的2～3年是上市公司或大中型企业推进和实施内部控制规范的关键时间。根据国外的经验来看，大型企业实施内部控制规范的准备时间一般都在两年或两年以上，实施内部控制规范需要大量的准备工作；另一方面，实施内部控制规范的成本也相当高，实施内部控制规范实际上是对企业业务流程的再造，需要增设专门的岗位、专门的人员，制定相应的流程，还包括聘请专业的咨询公司和开发内部控制系统等。因此，实施内部控制规范必然会面对诸如转化内部控制规范为实际工作的具体指导、通过业务流程再造将内部控制要求与公司业务流程相结合、规划设计管理信息系统嵌入内部控制规则、建立有效的内部控制监督机制以及控制内部控制实施的高昂成本等众多问题。

IT环境作为实施内部控制所依赖的信息条件和技术条件的综合体，主要包括网络平台、数据库平台、管理软件平台等关键要素。其中网络是信息传输和交换的平台，数据库是信息存储的平台，管理软件是信息利用的平台。在IT环境下，信息资源是内部控制系统使用的最重要的资源，信息技术则成为内部控制系统实现的载体。

本文认为，在IT环境下实施内部控制系统需要解决以下3个问题：

2.1 信息资源规划

信息资源规划是对企业内部控制所需要的信息，从产生、获取，到处理、存储、传输及利用进行全面规划的过程。内部控制的基础是信息，准确的信息是有效内部控制的前提条件，内部控制系统的运行也依赖于信息。而信息反馈对内部控制来说非常重要，信息反馈是系统进行任何环节调整的前提，没有信息反馈也就很难达到系统的稳定状态。

因此信息是内部控制系统的中心，而且相对稳定，控制点经常是多变的，而信息是较少变化的。在IT环境下信息来源于数据，数据存储于数据库系统。内部控制工程要解决的第一个问题是通过信息资源规划，建立信息资源标准，实现企业主题数据库和数据仓库。

按照控制环境、风险评估、控制活动、信息沟通和内部监督分类进行控制信息资源规划，建立五大信息资源。

2.2 系统整合与集成

从系统论的观点，系统是由相互联系和相互作用的若干要素有机地结合成特定结构，从而具有不同于各个要素的新功能的整体。内部控制系统的构成要素由一系列的控制点、控制线、控制面和控制体组成。

系统整合与集成，就是基于整体论将内部控制各控制点内置于信息系统中，通过信息沟通维持各控制点的关系，信息的流动就形成了控制线，控制点与控制线的有机结合，构成控制面，而控制点、线、面的有机结合又形成了一个内部控制系统整体。

2.3 系统运行风险治理

在IT环境下，内部控制完全依赖于信息系统，信息系统中软件、硬件、组织、安全、人员、制度等任何一个环节的不稳定都会影响到系统的正常运行。因此，需要建立系统运行风险治理机制，保证系统安全、正常的运转和执行。

3 IT环境下企业内部控制实施模型

IT环境下企业内部控制实施模型是指在IT环境下内部控制实施的思路、方法、步骤和过程按照一定的秩序和联系组合形成的整体，以指导企业内部控制高质量的设计、应用和有效的维护。

本文提出IT环境下企业内部控制实施模型如图1所示。

首先是进行内部控制信息资源规划，主要包括基础设施规划、信息资源规划、控制职能域规划等。基础设施是指根据企业当前业务和可预见的发展对信息采集、处理、传输和利用的要求，构筑由信息设备、通信网络、数据库和支持软件等组成的基础环境。内部控制系统的基础设施规划作为企业信息化基础设施规划的一部分，要符合企业信息化基础设施规划的目标和框架。信息资源规划是建立信息资源管理基础标准，建立和维护为内部控制服务的各种主体数据库和数据仓库。控制职能域规划是根据企业业务流程现状并按照《企业内部控制应用指引》的应用范围进行控制职能划分，重构和再造企业的业务流程。

其次要实现内部控制系统集成，通过分析控制职能域内和控制职能域之间的信息流动，对控制点、线、面进行有机集成，形成企业整体的内部控制体。在内部控制系统内确保各控制点、线、面之间的数据共享和一致，通过集成尽量减少内部控制的人为操纵，提升内部控制系统的效果。内部控制系统集成主要实现两类集成。第一类集成是内部控制系统内部各控制模块、控制关键点之间需要实现信息沟通，形成内部控制的合力，例如预算控制模块需要与资金控制模块、销售控制模块、采购控制模块等集成，才能达到全面预算管理的目标；第二类集成是内部控制系统与企业系统的集成，将内部控制融合于企业内部管理之中，使企业在日常经营管理过程中自然地实现了内部控制，这是内部控制工程应用的理想状态。

最后对IT环境下内部控制实施的风险通过治理来保证内部控制系统的顺利实施和运转，以减少内部控制系统运行的风险。决策、激励和控制是治理的三大支柱。决策包括IT战略与架构、IT需求管理等，激励包括IT人员的管理、激励、绩效等，控制包括IT项目控制、IT运维控制、信息安全控制、信息系统审计等。此外，企业信息化一直都被认为是“一把手工程”，在IT环境下内部控制实施也强调需要董事长或总经理作为内控实施责任人。因此无论是从信息系统建设的角度还是内部控制实施的角度，在IT环境下内部控制系统实施必然要作为一把手工程来部署和安排。IT环境下内部控制系统不是一蹴而就的，需要不断进行持续改进，定期对内部控制系统运行的各个环节进行分析、诊断，不断发现和改进制约内部控制系统的各种因素，通过决策、激励和控制的持续改进活动，提高内部控制系统的灵活性和应变性。

4 结 语

IT环境下内部控制实施应从系统论视角出发，按照规划、集成、治理循序渐进的构建内部控制系统，实现将信息资源、信息技术与内部控制有效衔接。本文提出IT环境下企业内部控制实施模型，旨在为企业在IT环境下实施企业内部控制提供借鉴和参考。下一步该模型将应用于企业内部控制实践中予以丰富和检验。

主要参考文献

[1]池国华. 企业内部控制规范实施机制构建： 战略导向与系统整合[J]. 会计研究，2009（9）： 66-71.

[2]陈志斌. 信息化生态环境下企业内部控制框架研究[J]. 会计研究， 2007（1）：30-37.

[3]陈丽蓉，周曙光. 内部控制系统论[J]. 财会月刊，2010（2）：9-10.

[4]杨周南，吴鑫. 内部控制工程学研究[J]. 会计研究，2007（3）：64-70.

[5]王海林. IT环境下企业内部控制模式探讨[J]. 会计研究，2008（11）： 63-68.

[6]财政部会计司. 企业内部控制规范讲解[M]. 北京： 经济科学出版社， 2010：21-40.

[7]高复先. 信息资源规划——信息化建设基础工程[M]. 北京： 清华大学出版社，2002：5-23.

[8]用友软件股份有限公司.2010年中国企业信息化指数调研报告[EB/OL].http：//www.ufida.com.cn/news/110125/20115725105738.shtml.

[9]德勤. 2010年中国上市公司内部控制调查分析报告[EB/OL].http：//www.deloitte.com/assets/Dcom-China/Local%20Assets/Documents/Services/Enterprise%20risk%20services/cn（zh-cn）_ers_2010intctrlsurveyrep_070411.pdf.