胡亚敏

一、引言

随着信息技术及网络技术的快速发展，信息技术在企业管理中的应用范围日益广泛，从企业的日常管理到原材料的采购、企业生产经营的决策规划，生产过程管理、销售及售后服务等方面都一定程度上采用了信息技术服务。信息技术的广泛使用，大大提高了企业的经营和管理效率，一定程度上实现了企业生产流程和经营管理活动的再造和流程的自动化控制。然而，在信息技术广泛使用过程中，由于日常经营活动中偶然性、突发性事件、及自动化控制内在局限性的影响，企业的经营管理活动不能缺少人工控制，所以，多数企业的经营管理活动中会出现人工控制和自动化控制并存的情况，不同单位因自身经营管理特征不同，所采用的控制系统中人工控制和自动化控制比例不同，大型的、生产经营比较复杂、管理比较规范的大规模生产企业因为生产过程的标准化采用自动化控制为主，广泛采用ERP等信息控制系统，目前世界财富前100强中已有超过70%的企业开始了ERP的实施。一些小型的、生产经营比较单一的企业往往会考虑降低成本的需要，以人工控制为主。但不管哪一种类型的企业，由于自动化控制与人工控制各自的优劣点不同，二者在企业经营管理中经常会并存，所以，企业在同时使用自动化控制与人工控制时，清楚认识两种情境下的内部控制特点、内容与风险，并采取必要的两种情境下的内部控制风险防范有着重要的意义。

二、人工和自动化并存下的内部控制特征

1.人工控制系统下的内部控制特征

人工控制系统下每笔业务交易的生成、记录、处理和报告的记录形式都是以纸质文件的形式出现。人工控制下的内部控制活动包括：授权分权控制、不相容职务相分离控制、业务程序标准化控制、内部核查控制。授权分权控制主要是基于各个职位的责权利进行适当的授权分权，通过制定相应的授权分权制度达到控制活动的设立与执行。不相容职务相分离控制主要是通过在设计职位权限时不相容职务由不同的人执行，以达到相互牵制的目的。比如采购环节的采购申请、采购审批、采购执行、采购货物的验收、物资的保管、采购货物的登记等环节由不同人员实施，销售环节的销售订单的审批、客户信用的管理、赊销的审批、销售发票的开具、发货、收款、客户的对账等工作由不同人员实施，财务部门的审批、复核、记账、核对等工作由不同人员去实施达到不相容职务相分离的目的。业务程序标准化控制主要通过制定各类交易和业务的操作流程制度，达到业务流程规范化的目的。内部核查控制主要是通过制定相关业务的内部核查制度达到实现内部监督的目的，但这种内部核查也是通过人工操作完成，如银行存款账户期末的核对，通过非银行存款日记账的工作人员获得银行存款对账单，再编制银行存款余额调节表，达到核对银行存款日记账的目的。通过定期销售部门与财务部门的核对达到核对销售业务真实性、完整性的目的，通过财务部门与仓库保管部门的核对，达到核对材料账实是否一致的目的。

总之，人工控制下的内部控制活动通过明确制定各类规章、制度、程序达到控制各类交易生成、记录、处理和报告的过程，其各类控制过程都有手工和人工控制的轨迹，有据可查。

2.自动化控制下的内部控制特征

信息技术系统的控制一般情况下可能既包含由嵌入计算机内部运行程序的自动化控制，也包括人工控制，二者相互配合实现信息技术系统下的内部控制。信息系统自动控制用于处理大量常规交易的运行，但授权的设定、授权口令的执行以及非常规业务和交易的处理需要人工控制的参与，人工控制可能独立于信息技术系统，也可能是基于监督信息技术系统的考虑或者处理例外事项。信息技术系统下的内部控制包括信息技术的一般控制和应用控制。信息技术的一般控制是指未来保证信息系统的有序运行，保证信息处理过程的完整性与信息数据的安全性而采用的多个与信息应用系统有关的政策与程序。这类政策和程序通常包括数据中心和信息网络运行过程控制，应用系统软件的购置、开发、修改及维护控制，系统的接触程序和数据访问权限控制等。信息技术系统的应用控制是指为了保证业务流程层次的正常运行而涉及的自动化检查程序，该程序与已设定的生成、记录、处理、报告交易的财务数据程序有内在的关联。这类应用控制程序通常包括了设置对输入数据、数据计算、账户审核和账户之间试算平衡的自动检查。

信息技术系统的一般控制和应用控制从内容上分也包含信息技术系统下的授权分权控制、不相容职务相分离控制、业务程序标准化控制、内部核查控制，只不过这类控制与人工控制下的体现方式有明显的差别。信息技术系统下的授权分权控制通过在系统中设置不同人员的工作权限进行适当授权，不相容职务相分离控制体现在数据的输入、审核、检查等不同权限的设定实施控制，业务程序标准化控制也是通过程序的设定，电子票据的内部传送实现，内部核查根据账户的内在关联及加强管理制度的需要设置自动检查程序，所以，信息技术系统下的控制对信息系统的安全性、程序设计的科学合理性有较高的要求，一旦信息技术系统的程序设计不合理，因控制漏洞导致的舞弊后果将会比人工控制制度漏洞形成的舞弊后果更为严重。

3.人工控制与自动化控制的内在关联

信息系统控制通过设计相关的程序保证控制制度的有序运行，但由于信息系统控制的内在局限性及大量非常规、偶发性等现实业务的复杂性，使得信息技术下的自动控制并不能脱离人工控制。所以，如果企业同时存在人工控制和信息系统控制两种控制方式，需要明确信息技术控制与人工控制的适用范围。

三、人工控制和自动化控制并存下的内部控制制度设计及考虑的风险因素

由于企业内部控制下的人工控制与自动化控制具有各自的特点与适用范围，因此，在对企业错综复杂的经营管理活动设计内部控制程序时，应综合考虑，针对不同的业务活动设计不同的制度控制方式。对于异常、大额、偶发交易采用人工控制方式，对日常重复性业务加强自动化控制。

1.人工控制的适用范围

内部控制的人工控制通常在需要主观判断或根据情况变化酌情处理的情形时使用更为恰当。具体体现为：存在大额、异常或偶发性交易时；存在难以准确定义、防范或无法事先预见的错误时；针对交易情境和客观情况的转变，需要对现有信息系统控制系统进行适当调整时等，对信息系统控制的有效性进行监控。

由于信息系统设计的程序都是针对日常交易业务设计，对于异常和偶发性交易无法预先设定程序，所以，当出现异常、偶发性交易时，需要人工根据实际情况进行决策。对于大额交易行为，根据会计核算的重要性原则，为了保证会计核算的质量，对于重要事项需要重点处理。对于大量或重复发生的交易行为，往往不需要人工控制。信息系统具有生成、处理和报告的自动化程序，但有些事项难以实现准确定义，有些错误无法事先预见，所以，在信息系统自动化程序运行时，对于事先可预见的错误可以设定自动化控制程序进行防范，对事先难以准确定义的突发事项进行人工控制。此外，信息系统的维护与监督也离不开人工的参与。

人工控制在人工执行过程中由于受人为因素的影响，也会产生特定的人工控制风险。人工控制产生的控制风险主要体现在以下几个方面：一是人工控制可能会由于人员之间的相互串通导致人工控制失效。二是人工控制下由于人工权利的滥用可能会导致人工意志凌驾于制度之上，导致制度失效。三是人工控制可能由于人为有意或无意失误导致控制失败，从而降低人工控制的可靠性。四是人工控制可能缺乏一贯性，人工控制具有一定的主观性，缺乏系统与标准，所以可能会导致控制结果前后不一致的情况。

2.信息系统自动化控制的适用范围

信息技术系统由于可以大规模处理同类交易，因此，信息技术系统的使用大大提高了企业处理日常活动的效率，得到了广泛的使用。信息技术系统的适用范围包括：在处理大量的日常交易或数据时，根据事先设定的业务规则，进行复杂运算达到控制的目的。二是信息技术系统可以及时、快速、准确地处理大量日常业务，对于大量重复性业务可以提高控制效率。三是信息技术系统可以避免人为因素的局限性，减少人员之间相互串通发生舞弊的可能，提高了业务处理的标准化和规范化。四是信息技术系统可以通过对数据库系统、操作系统和数据应用系统进行安全控制，并通过机械化的操作提高了不相容职务相分离的有效性。

信息技术系统下的内部控制风险主要表现为，一是信息技术系统依靠程序设计与程序控制发挥作用，如果其所依赖的程序由于程序设计有误可能无法正确处理数据，或者无法鉴别数据的准确性，从而处理了不正确的数据，导致信息技术系统数据处理结果的错误。二是如果在未得到授权的情况下系统数据被入侵或访问，可能会导致信息系统数据被损毁或不恰当的修改，会给整个系统数据的处理结果带来较大的风险。三是可能信息技术人员在未经授权情况下突破系统的安全防线，访问数据、修改系统或程序，修改数据，而且不留痕迹，将使整个系统面临瘫痪性的风险。四是信息技术系统下由于技术故障等原因可能会使企业面临无法访问电子数据或电子数据丢失的风险。

四、人工和自动化并存的内部控制风险防范

1.建立系统规范的内部控制制度，完善企业的内部控制环境

对人工控制和信息系统化控制的业务范围进行合理的分工，在此基础上，制定科学合理的内部控制制度。做到日常业务与特殊业务的处理都有章可循，促进业务处理的规范性，减少舞弊发生的概率。

针对大额的、特殊的、偶发性的交易、无法准确定义的、难以预先预见的交易发挥人工控制的优势，对这类交易进行恰当的授权分权，预估这类交易的风险，建立大额交易人工集体决策的制度，特殊、偶发性交易、难以预见的交易的人工特殊处理制度，同时，为了减少这类交易决策的风险，还应当进行业务的审批、执行、监督等不相容职务相分离的制度等，并实施严格的内部审核制度。

对于大量日常需要大规模批量处理的日常业务，建立系统规范科学的自动化内部控制制度。针对信息技术系统特有的风险，制定诸如信息系统建设和系统升级整体规划规定权限和程序审核批准，进行严格的授权批准制度，对重要的数据进行系统备份制度。定期对系统的安全性和可靠性进行检查的制度等，尤其对于系统数据的安全性制定更严格的制度加以保障。

2.保证岗位责权利分明

不相容职务相分离是岗位设置考虑的必要条件，是内部控制的主要内容，是保证责权利分明的基础。人工控制下的不相容职务相分离原则主要体现为业务的审批与执行、审核等职位分离、实物保管中的验收与保管相分离，对于债权债务账户定期与客户对账，银行存款日记账定期与银行对账等分离。信息技术系统下的内部控制主要体现为管理员对不同系统操作人员授权时，按照数据输入人员、数据审核人员、数据分析人员等人员职权分离，系统设计人员与系统操作人员、系统监控人员等职权分离，只有制定明确的岗位职责权限，进行了恰当的不形容职务相分离，才能在源头上减少舞弊发生的概率，确保控制制度有效性的发挥。

3.强化内审职能，发挥内审作用

内部审计部门是企业风险防范的一道重要防线，充分发挥内部审计部门的作用，可以减少防患于未然，减少人工控制与信息系统控制的风险概率。内部审计人员针对人工控制与信息系统控制的不同特点设计不同的风险防范措施。对于人工控制系统，内部审计部门着重针对人工控制的交易和业务是否有违法违规行为，对于人员之间的串通导致的控制失效加强日常的经济责任审计，以便及时发现问题，对于人工权利滥用导致的制度失效加强岗位责任审计，并保证内部审计人员的独立性，对于人为失误导致的控制失效通过加强日常的财务审计或特定项目审计及时发现问题。对于信息技术系统的审计，着重于审计信息技术系统程序设计的合理性，系统的安全性等。系统程序的合理化审计需要专业技术人员对程序设计的合理性进行鉴别和判断。系统的安全性审计考虑系统防火墙安全设置的合理性，不同人员访问及处理权限设置的合理性，数据保存记录的安全性等。