刘智勋 杨晓兰

一、引言

财政部等五部委联合出台的《企业内部控制基本规范》对企业内部控制与信息系统的结合提出了要求：“企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素”。内部控制流程与信息系统的结合，首先需要企业建立统一的信息平台，使收支、采购、资金、资产、合同、风险管理等综合在统一平台之上，其次需要将内部控制的各个环节嵌入到信息系统的相应流程中，实现内部控制的程序化和固态化，确保企业各项管理信息系统的安全、及时、可靠、完整。

二、企业信息化应用对内部控制体系的影响

随着大数据、云服务、互联网+、人工智能等信息技术的飞速发展，企业统一的信息平台已经成熟，企业的内部控制的环境、方法、监督与评价、风险评估等方面都发生的较大变化，主要表现在以下几个方面：

（一）内部控制环节发生变化

信息化环境下，信息系统通过数据“联动”保证了各系统数据的一致性；通过既定的运算规则，由计算机自动运算、汇总，保证了数据的准确性。从内控执行的角度看，这些环节已排除了人为因素，不再具有传统控制方式下通过计算调整形成虚报、错报、漏报、舞弊的特征，也就不再成为内部控制重点关注的环节。信息系统设计的可靠性、运行的稳定性、操作的安全性成为内部控制应关注的重点环节。

（二）内部控制方式发生变化

信息化环境下，信息技术为内部控制提供了多个应用方案，使得内部控制方式更灵敏、高效，控制对象从主要对人的控制转变为对人和信息系统的控制，控制方式从单方面控制转变为多方互动式控制，控制范围从事中事后控制转变为全面实时控制。控制方式的变化对内控人员的专业胜任能力有更高的要求，包括丰富的业务经验，较强的分析能力等。

（三）监督和评价发生变化

信息化环境下，监督过程可以借助信息系统自动完成，并且能够实现实时和全流程监督，从而提高了监督的效率和效果。以往内部控制监督注重的是被监督对象的本身，信息化环境下还应当注重对信息系统的开发、实施和维护过程所的监督。同时，企业还应当坚持做好“控制自我评估（CSA，Control Self Appraisal）”，CSA对于企业加强管理、改进业务经营流程和内控程序、防范风险等都有着积极的作用。

（四）信息技术潜在风险增加

信息化环境下，数据的“联动”和既定的运算规则，使得信息系统具有校验和防范风险的能力，降低了人为的错误和舞弊的风险，内控人员能够及时了解信息系统运行各环节存在的问题，能够对设定的控制点进行实时监控。但是信息系统和数据的集中储存，本身就存在一定的风险，如：数据被非法篡改、删除、非法授权、系统故障、网络瘫痪等，同时内控人员会逐渐依赖和习惯于通过信息平台经营和控制企业，如果外界环境、商业模式发生变化，内部控制系统不及时调整，可能增加潜在风险。

三、信息化环境下的企业内部控制体系建设策略

当前，通过企业信息化实现内部控制的主要做法是通过专门的治理、风险管理及合规控制系统（GRC），实现对企业管理系统（ERP、CRM）业务执行过程的风险控制。信息化环境下，企业内部控制体系建设主要有以下策略：

（一）建立与信息化建设相适应的内部控制体系

1.建立相应内部控制制度

制度建设是做好内控工作的基础，企业应当结合自身实际情况，全面梳理现有管理制度和工作流程，按照内部控制的要求，着眼于信息技术变革、着重于有效控制，明确部门分工和人员职责、权限，制订相互牵制、相互制约、行之有效的内控制度。

2.建设相应的内部控制流程

企业应当先梳理业务流程，建立管控类和专业类活动的业务流程体系，然后将制度相关条款（或规则）关联到流程及其相应的节点上，形成企业的内部控制流程，再将内部控制流程嵌入到信息系统，经过反复测试，发现不足、分析原因并及时调整，然后进行优化，最终形成信息化的内部控制流程。

（二）积极推进标准化工作

信息化环境下的内部控制建设，标准化是一项极为重要的工作，制订符合法律法规要求，满足企业发展的各项工作标准和业务流程，可以达到风险防范的目标。企业要从实际业务调研入手，做好业务流程和工作标准信息的收集、测试和评价，针对执行情况制订相应的规范和标准。在具体操作中，需要做到信息系统、组织架构、业务流程、风险标识、内控体系的统一和标准化。

（三）建立内部控制评价体系，不断调整优化

随着控制环境的变化，企业应当对内部控制进行适当调整和优化。信息化环境下，企业新建的信息化内部控制体系是否有效，需要在对信息化的内控流程进行反复测试后，才能做出全面客观的评价。对于测试识别出来的薄弱环节应当，内控风险，企业应当深入研究、分析，提出完善和改进建议，及时调整或优化内部控制评价体系。

（四）加强培训，提高人员素质

信息化对内控人员的素质提出了更高的要求，内控人员不但要熟悉业务，还要掌握信息系统的操作。企业一方面要从业务一线挖掘既熟悉业务流程又具备一定管理能力的优秀员工，对其进行有针对性的培训，聘请专业人士讲授信息化、网络及内部控制方面的知识，使其的具备内控和信息化思维，让其充实到企业内控人员退伍；另一方面企业要引入信息化方面的技术人才，作为内部控制信息化建设的人才储备，通过内控知识和业务培训，使其具备管控思维和风险意识。其次，企业应当注重内控人员的自身素养的引导，包括人生观、价值观、世界观等。此外，企业还应当制定良好的绩效考评、激励和约束机制，在保证内控的人员勤恳敬业同时激发他们的学习和创新能力。

四、结束语

信息化是企业管理提升的重要抓手，内部控制体系在信息化环境下面临着新的挑战，企业内部控制体系的信息化建设应从管理和业务流程的标准化，内控制度完善、内控流程信息化、内控人员培养、风险防控着手，完善企业内部控制体系建设，评估新技术、新商业模式、新业态对内部控制体系产生的影响，不断调整和优化内部控制流程和方法，在企业管理信息系统中独立开发或嵌入内部控制模块，同时关注信息系统的可靠性和适用性，保证内部控制体系的前瞻性和有效性，提升企业管理水平。