新形势信息技术下的财内部控制.doc

信息化环境下的财内务部控制传统上，企业大量的经营活动和信息处理活动的记录主要由人工完成，经营过程的物流、资金流所形成的数据流被记载在纸介质上。会计与审计人员在这种应用背景下所形成的风险熟悉与控制观点，一直左右着企业内部控制系统设计。阿妮塔。s.霍兰德将其描述为：大量使用硬拷贝文档记录、处理和维护交易的信息；重视职责和责任分离；会计数据重复记录和重复数据的大量调整；会计师的反映性要多于主动性，检查性要多于预防性；严重依靠年末对财务表的检查；避开信息技术；控制的结构基于符合性。随着经济全球化及市场竞争力度的加剧，许多企业加快了信息化的步伐，以提升企业竞争力。信息技术在企业的广泛应用，不仅改变了传统手工数据处理方式，而且触发了企业治理模式、生产方式、交易方式、作业流程的变革，人们的行为模式也随着企业业务流程化、组织扁平化、作业信息化而发生变化。虽然信息技术没有改变企业内部控制目标，但企业内部所发生的变革对传统的内部控制观点、控制方法产生很大的冲击。因此，如何构建基于信息技术环境下的企业内部控制系统已成为目前亟待解决的问题。为此，本文从信息技术对企业内部控制要素的影响着手，分析信息技术环境下企业内部控制呈现的新特点，探讨内部控制系统设计策略，以期达到充分利用信息技术来提高内部控制质量的目的。一、内部控制简介 1.内部控制的概念 控制可以分成内部控制和外部控制，外部控制是指通过企业所处的外部环境（比如影响企业外部活动的法律、法规、历史文化和社会意识形态等企业自身功能不能左右的因素）对企业经营活动的约束和规范；而内部控制则是指企业为了实现自己的既定目标而进行的自身内部的自我组织、自我调节和自我修正。对内部控制的认识是随着时间和环境的变化而逐步成熟完善起来的。企业内外部环境的不同，也对内部控制的理解有差异。我国的独立审计具体准则第9号内控制度与审计风险中对内控制度的定义表述是“本准则所称内部控制，是指被审计单位为了保证业务活动的有效进行，保证资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序”。 美国会计师协会对内部控制作出的权威性的定义是“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”。COSO委员会把这个定义进行进一步描述为：内部控制是一个过程，它受董事会、管理者当局和企业内部其他员工的影响，其目的是为了下列目标的实现提供合理的保证。这些目标包括：经营的有效性和效率性；财务报告的可靠性；法律法规的遵从性。内部控制要素有五个方面：控制环境、风险评估、控制活动、信息与沟通和监控。2.两个定义的异同 虽然国内的定义基本上沿用了美国的定义，但是从两个定义来看美国定义内涵和外延比国内定义的范围要大一些，国内定义继承和包涵了美国定义的强调部分和精髓，但对除财务信息、资产安全外的企业内部管理控制内容基本没有涉及。国内企业在建立自己的内部控制体系的实际操作中更多的是参照了美国的内部控制定义和COSO委员会提出的五个内部控制要素。 3.内部控制概念的内涵 美国内部控制的定义给内部控制确定了四个目标：资产的安全性、财务信息的可靠性和准确性、经营成果的效率性、法律法规的遵从性。从这四个目标我们可以看出两点：首先是内部控制不直接产生经济效益，而是通过控制风险、规避风险、提高运行效率为提高经济效益作保障；其次是从注册会计师的法律责任来考虑，内部控制已经超出了注册会计师的法律范围了。 美国会计师协会对内部控制还作了如下划分：“广义地说，内部控制按其特点可以划分为会计控制和管理控制。”其实，这个划分就是把内部控制的四个目标按照控制责任主体进行了归类：前两个目标的控制基本归为内部会计控制，后两个目标的控制基本归为内部管理控制。 根据这个分类，我们可以通过分别理解内部会计控制和内部管理控制来理解和诠释内部控制的定义。 内部会计控制：内部会计控制是由保护资产安全和保证财务信息真实可靠的相关工作流程和工作记录构成的控制体系。内部会计控制的控制范围是能够用货币计量的经济活动，其实现的基本手段是财务工作流程和财务控制标准，主要目的是保护企业资产的安全和财务信息的准确可靠。 内部管理控制：内部管理控制是为提高企业经营效率，促使遵行各项管理政策，以便达到既定目标的控制体系。内部管理控制的控制范围是企业所有的内部管理活动和管理职责，是对各项经济业务进行内部会计控制的起点，其实现的手段是制度和工作流程的控制，主要目的就是提高企业的经营效率，保证各项规章制度的顺利执行。因此我们首先信息化环境下内部控制的五要素：控制环境、风险评估、控制活动、信息与沟通、监控五个方面的变化简述信息化环境对企业内部控制的影响。二、信息技术对企业内部控制要素的影响分析1.控制环境：改善了企业的控制环境控制环境是对企业财务内控系统的建立和实施有重大影响的各种因素的总称，是控制环境是其他内部控制要素的基础。在信息化环境下，由于计算机信息处理技术替代大量业务层和中间层的人工数据处理工作，数据以磁介质的方式存储在数据库中，并能通过网络迅速传输到企业各个角落。信息技术减少了信息在传统组织的信道传输中延迟、失真以及噪音干扰，降低了信息获取的成本，扩大了信息发布范围，增进了组织各层次人员的信息传递与交流。这种变化导致企业内部控制层次明显减少，岗位更加精简，责任更加明确，效率更高。原先多人分工协作的工作被信息技术重组后只需一个人就可以完成，大量的人工控制被信息系统的自动控制所取代。企业内部控制环境呈现为企业治理结构扁平化，决策者和执行者沟通更直接。 其次，扁平式的组织结构将使内部控制方式和治理观念发生改变。随着组织扁平化和业务流程化与信息化，企业决策层次向下移动，基层员工获得更多的决策机会。内部控制设计更强调以人为本、人机结合的原则， 再次，信息不对称状况得以改善，对“内部人”的监控水平得以提高。现代企业由于所有权与经营权分离，真实的会计信息披露对公司治理起着重要的作用。信息技术集成了业务信息处理流程与会计信息处理过程，由于数据同源并在计算机内部连续处理，有效地提高了会计信息的实时性和准确性。而投资者经过合适权限的授权，通过计算机网络就能随时访问企业数据库的相关数据，在一定程度上改善了信息不对称性状况，增强信息的透明度以及对企业经营者的监控能力，促使企业内部人提高诚信度与道德观，规范企业经营行为。最后通过完善的企业信息系统，董事会、监事会可以更及时更全面的了解企业的全面信息，因而可以更好地进行战略制定、经理人员选择和绩效评价、企业运营情况监控等等，对企业进行更好的治理。同时，信息化对企业管理者和员工的素质提出了更高的要求。企业所面临的商务环境竞争加剧、变化加速，管理者所能获得的信息量倍增，信息技术和信息系统在企业中的作用日益重要，这些都要求管理者不但要有更强的把握信息、利用信息的能力，在运营管理企业中利用好信息资源，而且要有对信息、信息技术和信息系统重要性和风险的认识和理解，制定良好的信息技术战略和信息技术规划。同时，由于管理结构的扁平化，基层员工也获得的更多的决策机会，在新的信息技术平台下，员工需要熟悉计算机信息系统，持有实时、积极的控制观点，熟悉业务发生时信息技术所能提供预防、检查及纠正错误和识别舞弊的机会，充分应用信息技术与自己的专业知识控制企业的经营活动。企业人力资源治理将结合信息技术特点制定员工雇用、培训、提升和奖励政策。通过增强员工识别风险能力、发现问题与解决问题能力、与其他业务人员协同配合能力，利用信息技术的控制能力来提高企业内部控制质量。2.风险评估：扩大了风险评估范围在信息化环境下，企业的外部环境与内部因素都发生了变化，伴随业务流程的改变，系统的开放性、信息的分散性、数据的共享性，极大的改变了以往封闭集中状态下的运行环境，从而改变了传统的风险控制内容和方法，扩大了风险评估范围。首先信息技术的应用改变了企业传统营运模式，带来了业务流程和信息系统的新风险。在企业信息化环境下，业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险。但另一方面，企业的运营管理越来越依赖于信息系统，信息在企业中的作用日趋重要，信息化环境促使信息存储高度集中，单位时间传递的信息量大为提高，这些都增加了与信息资产和信息系统相关的风险。信息化环境下，如果信息系统失灵或崩溃，重要信息被窃，都将给企业带来不可估量的损失。例如，企业在信息技术平台上运行ERP系统、电子商务、供给链治理系统、客户关系治理系统，通过企业之间、企业内部的信息传递实现协同合作、优化资源配置。企业物流和资金流的流量、流速均由计算机精密排程，与联盟企业、市场情况环环相扣，以求最低成本、最快速度、最好质量组织企业经营活动。由此，供给链的任何环节出现突发事件都会波及企业的正常运行，给企业带来损失。此外，由于企业所有数据存放在数据库服务器内，网络开放性、数据共享性必将增加信息系统的风险，如数据可能被非授权人员拷贝、删除、修改，破坏；计算机病毒感染、黑客入侵、使用人员违规操作也会造成计算机系统故障或信息系统崩溃。总体而言，信息系统为内部控制风险评估带来了新的挑战，企业风险识别、评估与防范，不仅要考虑内外部环境，而且要考虑业务流程与信息流程的耦合度、协作企业的关联度、信息系统的依靠度等因素，内部控制须规避供给链作业流程和信息系统的新风险给企业带来的危害。3.控制活动：业务流程控制与信息系统控制成为控制活动的一项重要内容控制活动是企业为了保证指令得到实施而制定并执行的控制政策和程序，是针对实现组织目标所涉及的风险而采取的必要防范或减少损失的措施。而信息技术的引用增强了控制手段的多样性、灵活性、高效性，加强了内部控制的预防、检查与纠正的功能。信息化环境下，控制活动的重点由对人的控制为主转变为对人机共同控制为主，控制程序也相应的与计算机处理相适应。业务流程控制与信息系统控制成为控制活动的一项重要内容。在信息技术平台上，企业运行的ERP系统实行流程化治理。企业战略远景的实现、信息系统的导入、企业文化价值观的具体呈现，最终落实到企业的业务作业流程。信息技术应用使控制重心将集中在作业流程的人机控制与信息系统控制。一些传统的内部控制规则和程序在新的技术环境下失去存在的意义，新的控制规则和程序建立在充分利用信息技术、用最少的资源达到更佳控制目标的基础上。围绕业务流程，企业会计、审计人员与业务人员将密切协作，共同分析信息技术环境下的企业订单、采购、库存、计划、生产制造、质量控制、运输、分销、财务会计、人事治理等环节的作业过程、治理过程和信息过程的新特点，制定对应控制规则，设计企业预算控制、成本费用控制、资金控制、投资控制、信息记录控制、计算机信息系统控制、业绩评价等控制制度和控制程序，并将这些控制程序和控制参数输入到计算机信息系统内部，形成完整、严密的面向流程的人机内部控制系统。这样，企业员工可以根据信息系统反映的信息流及时监控业务过程的物流、资金流、作业流，通过反馈信息与控制参数的比较，制定决策、预防风险、修正作业错误，防范业务舞弊。另外，在计算机信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系，以避免信息系统故障，保留IT审计线索，杜绝利用信息技术进行贪污、舞弊的行为。4. 信息与沟通：组织成员之间信息交流和沟通更加便利信息与沟通是指企业在其经营过程中识别企业内、外部信息，并在组织内沟通，以便员工了解、执行其职责。信息技术应用改变企业信息孤岛的状况，组织成员之间信息交流和沟通更加便利。大量的企业环境信息、政策信息、经营信息、财务会计信息、作业信息集中存储在企业数据库系统内，并不断被实时更新。基于互联网、企业网、数据库技术的客户/服务器和浏览器/WEB服务器混合结构的网络平台为企业成员提供了很好的沟通条件。在这个平台上，员工可以十分便捷地从计算机数据库中查阅有关的政策和法规，获取与其职责相关的控制信息，明确各自的权利与责任，了解自己的活动如何与他人的工作相关以及例外情况如何告或处理的途径。另外，企业在网络平台上构建与利益相关者联系的机制，使组织的相关成员可以实时获取经营信息与财务会计信息，及时进行沟通，达到最佳协同合作和利益共享。5.监控监控是评价一段时间的内部控制质量过程，包括及时评估控制制度的设计和运行，以及在必要的时候采取的行动。在信息技术环境下，内部控制的程序化使得内部控制具有一定的依赖性并增加了差错反复发生的可能性。信息技术的应用，使得财务内部控制具有人工控制和程序控制相结合的特点，更应注意内部控制的监督，由适当的人员，在适当的时候，及时评估控制的设计和运作情况。内部控制是基于一种人机结合的控制模式，许多控制程序、控制指标、控制方法被设置在计算机信息系统内部，更注重更新信息系统内部设置的控制参数与控制程序。因此监控的一项重要内容就是要及时了解原来设置在信息系统内的控制程序、控制参数是否过时，并针对企业经营环境变化情况，及时评估业务流程控制点的运行状态，重新调整或更改设置在信息系统的控制参数或程序。三、信息化环境中内部控制系统的构建 由于信息技术的更多应用，赋予了内部控制新的内涵，发展成为以系统安全保障与稽核牵制相结合的控制体系。内部控制系统可分为系统控制与治理控制两大部分。 1.系统控制。系统控制是指与信息系统程序设计、运行维护、数据处理过程、网络维护与治理等相关的可靠性控制制度。在系统控制中将企业治理信息化与内部控制相结合，主要涉及到系统安全和系统运行两方面内容。系统运行控制包括信息系统建设的过程和使用过程的控制。对企业而言，由于信息系统的建设涉及大量的投资，而且信息系统的质量关系到企业经营活动的效益，信息系统的风险控制成为企业所有者与治理者日益关注的重要问题。因此，在信息系统建设过程中，为保证信息系统开发质量、规避信息系统建设风险，具体的控制设计策略应包括认真进行系统开发前期的可行性研究；加强对开发商的资质验证；对其已开发的项目进行调查分析；通过公开招标、答辩等方式选择适合企业营运环境的计算机信息系统软、硬件与开发商。在项目实施过程中，应加强对IT项目治理，完善信息系统实施的组织工作，明确人员分工安排以及在项目实施各阶段所承担的责任，建立严密进度控制和质量控制机制、验收程序及第三方监理和审计的控制，保障信息系统质量。信息系统使用过程控制设计包括操作权限与操作规程控制设计、信息安全与数据处理流程控制设计。操作权限控制是指作业岗位的人员只能按照所授予的权限进行计算机作业。设计策略主要包括通过对系统资源进行分类治理、员工作业权限程序化方式，在计算机系统定义用户具体访问对象，限制超越权限的非法接触和访问。操作规程控制是指系统操作必须遵循一定的标准操作 规程进行。主要通过制定软硬件操作规程、作业运行规程，规范计算机用户的操作行为。系统安全控制包括数据和程序安全控制、网络安全控制，通过数据保密、访问控制、身份识别、数据备份等措施保障计算机信息资源的安全。数据处理流程控制设计包括数据输入、处理、输出的控制。例如在计算机系统的数据输入窗口设置各类有效的检测方法，最大限度地减少操作人员在数据输入过程中出错的可能性，保障未经批准的业务不能输入计算机内；进行严格的系统测试，纠正隐含在软件内的程序处理逻辑错误与计算错误；检测计算机系统输出的数据是否合理，能否符合勾稽关系等，以提高计算机数据处理质量。2.治理控制。治理控制是运用现代治理学的组织规划、资源使用限制等原理，制定诸如业务流程、工作程序、岗位设置、职责分工、授权批准等一系列内部治理制度。治理信息化要重新优化配置资源，企业内部控制也要进行相应的改变和调整。 （1）完善内部控制环境，培养企业整体的信息技术能力 企业为了适应控制环境的变化，就需要完善内部控制环境，培养企业整体的信息技术能力。（2）控制手段中应充分引进信息技术，增强内部控制 传统设计方法建立在执行者、监控者、决策者分离的基础上，并通过层层授权与审批手续来监督员工作业。在信息技术应用条件下，企业组织的权责范围遵循以流程为核心的原则。首先将企业主要业务分解为各种流程，并在这些流程层面上重新定义企业各部门在业务流程中的职责以及它们之间的协调关系。然后再进一步将这些流程分解为一系列相关作业集合，并结合业务的信息化程度来定义企业作业岗位以及对应的岗位责任制度。作业岗位权责分派应体现以人为本，岗位职责的授权、绩效评估考核等控制设计应能最大限度地发挥每个员工的主观能动性和潜能。不相容职务分离设计应结合重组后的业务特点和人机系统的控制功能，通过计算机应用软件功能使用权限设置、应用软件的作业流程逻辑顺序的设置、业务控制参数的设置，充分发挥计算机系统内部监控能力，实现信息化环境下业务流程不相容职务分离的制度安排。应用信息系统与企业的岗位职责、内部牵制以及责任中心控制、预算控制、企业财产治理控制、业绩评价等控制制度融合为一体，采用流程控制的方法，保障资产安全、会计信息真实及效益提高。 以往企业内部控制主要侧重于事后控制，即通过期末会计资料的检查或审计来识别业务错误或舞弊。由于信息技术使企业业务流程与信息流程融合在一起，并与企业上下游建立了密切联系，业务流程控制与信息流程控制成为企业内部控制系统设计的重要内容，控制重心也从适时控制向事前控制、实时控制转移，控制的顺序先是以预防为主，然后是检查、纠正错误和舞弊。 一个有效的财务内部控制制度需要预防性的、检查性的和纠正性的控制。在信息技术环境下，广泛地使用信息技术为支持决策和改善业务与信息过程提供了战略机会，也提供了预防、检查和纠正错