企业研究论文-企业信息化与内部控制关系研究.doc

企业研究论文-企业信息化与内部控制关系研究摘要：企业信息化系统（以计算机为核心）与内部控制是现代企业两个主要的子系统。研究信息化与企业内部控制之间的关系问题具有较重要的意义。本文主要对企业信息化与内部控制间的相互关系问题进行分析，认为：企业信息化影响了内部控制各要素，而内部控制亦反作用于企业的信息化进程。在此基础上，笔者在最后提出了加强企业内部控制的几点对策建议。关键词：信息化；内部控制；影响；COSO框架Abstract：Informationsystemandinternalcontrolarethetwomajorsub-systemsforamodernenterpriseasawholesystem.Itwillbeveryimportantforustounderstandtheinter-relationshipbetweeninformationalizationandinternalcontrol.Thearticlemainlyfocusontheanalysisofrelationshipbetweenthetwo:informationalizationaffectsfactorsofinternalcontrol,whileinternalcontrolinteractsontheprocessofinformationalization.Onthebasisoftheirrelationship,weposeoutafewsuggestionsfortheconsolidationofinternalcontrol.KeyWords:Informationalization；InternalControl；Affect；COSOFramework自20世纪90年代以来，随着信息技术的迅速发展和广泛应用，各个领域都掀起了研究信息化的浪潮。在内部控制方面也不例外。虽然国内研究内部控制的文献较为多见，论述信息化、信息技术下的内部控制应用问题的文献也不少，但大部分的文献只局限于探讨会计电算化下的内部控制问题（会计电算化也只是信息化的一部分），或仅涉及信息化条件下内部控制的应用研究等问题。鲜有文章研究信息技术、信息化与内部控制的关系问题。本文即从信息化与企业内部控制的之间的相互关系入手，认为：企业信息化影响了内部控制各因素，内部控制则反作用于企业的信息化进程。分析信息化对内部控制的影响时主要分析信息化对内部控制各要素的影响；内部控制对企业信息化的影响则主要从企业信息化建设的时间维度分析企业内部控制对信息化进程的制约作用。系统分析两者之间的互动关系之后，笔者就此提出了在企业信息化条件下，加强内部控制的几点对策建议。一信息化对企业内部控制各要素的影响迄今为止，关于内部控制最为权威的定义是COSO于1992年提出并于1994年补充的内部控制一体化框架，在这份文件中，COSO将内部控制分为五个要素：控制环境、风险评估、控制活动、信息与沟通、监督，并认为这五要素相互补充，构成一个一体化的整体企业内部控制。在2004年9月COSO再次颁布了关于内部控制方面新的研究报告企业风险管理框架（EnterpriseRiskManagementFramework，简称ERM）。ERM将内部控制的研究重点转向了风险及其管理，认为内部控制整体构架是包含在ERM中的一体化部分。ERM在内部控制整体框架五要素的基础上进行了拓展，增加了三个风险管理要素，形成了八要素，分别是内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、信息与沟通、监督。在信息化条件下，COSO框架中关于内部控制各要素必然会受到影响。就此，本文先结合内部控制整体框架五要素和企业风险管理框架的八要素，依次分析信息化对各要素的影响。（一）对内部控制环境的影响。控制环境是对建立和实施企业内部控制具有重要影响的各种要素的总称。控制环境的构成要素是多方面的，主要包括：企业的治理机制、组织结构和权责分派体系、企业管理者的素质、品行和管理哲学、企业文化、人力资源政策和实务等。ERM中认为的内部环境与内部控制中的控制环境要素大致相同。信息化将有助于改善企业的治理机制。完善的信息化系统能准确、全面、及时地为董事会和监事会提供履行其监督职能的信息，同时，良好的信息系统能够使得小股东以较低成本（网络方式）参加股东大会维护自己的权益。信息化为内外部治理机制的完善提供了便利，而良好的治理机制将为内部控制提供良好的基础。由于信息化的高效率，企业的组织结构将趋于扁平化，内部控制的组织层次将会减少。这对信息系统下权限划分要求更为严格。因为信息化条件下企业生产经营将更为依赖信息系统。而在信息系统下，利用信息从事非法活动等与信息技术相关的风险大大增加，企业潜在损失风险也相应增加。同时，这也要求企业通过良好的人力资源政策，对员工进行激励和约束，提高员工的整体素质和道德。信息技术的应用也使得管理者能获取的信息量倍增，那么如何在纷繁复杂的信息中，抓住重点，及时做出决策，这便对管理者也提出了更高的要求。此外，信息化也必然对企业的管理哲学和企业文化产生一定的影响。因此，如何加强对信息系统的内部控制，利用良好的管理手段和技术方式，去降低信息化所带来的风险，为内部控制提供一个优良的环境基础，将是十分重要的。（二）对目标设定的影响。内部控制是一个人为制造的系统，而设定目标是任何一个人造系统的首要环节。COSO报告提出了内部控制“营运效率与效果、财务报告的可靠性和遵循相关法令”的三大目标。企业信息化虽对企业产生深远的影响，但并未改变其总体目标，只是在各项内控活动内容和具体目标范围上会有所拓展。在信息化条件下，营运的效率及效果目标则不能仅要求企业以利润最大化为目标，追求有形价值的增加，信息资源等无形财富也应该成为企业价值的一部分。因此，创造知识、积累商誉、保护环境等也将对企业产生重大影响。在财务报告的可靠性方面，信息化条件下企业提供的信息不能再局限于财务报告，为满足企业内外各信息使用者的信息需求，在信息披露类型上应该有所扩展。增加报告的类型这一要求，实质上就是面对信息化条件下各界所做出的回应。信息化条件下，企业内部控制对相关法令的遵循性提供合理保证仍是其目标之一。但较之于传统方式下，国家各项法律、法规、制度将趋于完善，企业需要遵循的法规也更为广泛（包括信息技术、信息系统方面的规定等），企业对相关法规的遵循性在信息化条件下将更为重要。（三）对风险管理诸要素的影响。风险是普遍存在的，企业在日常的生产经营总会面临着来自内部或外部的风险。特别是信息化条件下，企业间竞争愈演愈烈，企业的经营风险也在不断增加，内部控制的执行显得非常必要。可见，事件识别、风险评估、风险回应这三个风险管理要素是提高企业内控效率和效果的关键。在信息化的条件下，信息技术的应用，改变了企业的业务流程，降低了传统方式下人工错弊的风险。但是，与此同时，信息系统的应用，将使得企业信息的采集、处理和运用更加依赖信息技术和信息系统的实施效果。而信息系统条件下，信息在生成和传输的过程中又产生了新的风险，这些都增加了信息化条件下内部控制执行的难度。因此，在信息化条件下，企业应该特别关注与信息、信息系统方面的事件识别、风险评估和风险回应。因为在信息化条件下，信息系统失灵导致重要信息的遗失或泄漏，都将给企业造成不可估量的损失。这就要求企业建立起良好的信息技术治理机制，减少引起带来损失或灾难的可能性。从另外一个角度来说，企业也应该积极利用信息技术，作为事件识别、风险评估和风险回应的有效工具。利用信息化条件下的高数据处理能力，企业可以搜集和处理大量涉及企业风险方面的有关数据、信息，设立风险识别和评估模型系统，为企业风险的识别和评估提供基础。而且，企业可以利用信息系统强大的数据处理功能支持，构建起自身的数字神经系统，提高企业对数字等相关数据的敏感度，对相关数据的异常变动可能存在的问题做出一个积极、有效、及时的风险回应。（四）对控制活动的影响。控制活动是企业为了保证管理指令能够得到有效执行而制定实施的控制政策与程序。由于控制活动必须根据企业的业务流程情况和具体的控制点进行设置，而企业信息化极大影响了企业的业务流程和具体控制点，因此，控制活动必然受到企业信息化的直接影响。信息化环境