根據財政部等五部門《關于印發〈企業內部控制基本規范〉的通知》(財會【2008】7號)文件的精神，所謂內部控制，就是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。企業建立與實施有效的內部控制，應當包括5項要素:(1)內部環境;(2)風險評估;(3)控制活動;(4)信息與溝通;(5)內部監督。正式與美國COSO《內部控制——一體化框架》提出的內部控制要素接軌，被稱為中國版的薩班斯法案，表明我國內部控制的理論研究和規范制定，逐漸與國際趨同。隨著信息技術的不斷發展，考慮讓內部控制和IT技術有機結合，促進企業內部控制在IT環境下規范實施，有效地解決傳統內部控制機制與手段的不足，提高內部控制的效率，成為當今理論界一項尤為迫切的研究課題。本文擬在IT環境下，就企業內部控制規范實施面臨的問題加以分析，并對如何防范風險、完善內部控制等提出合理化建議。

一、IT環境下內部控制的特點

    (一)IT環境的含義

    IT技術，涵蓋制造、流通、金融、咨詢、醫院、出版、影視、教育，甚至政府管理等幾乎所有的領域。目前，以網絡、通訊、信息處理、人工智能和多媒體為核心的IT技術，已然成為世界經濟與科技發展的引擎。中國也不例外，迅猛發展的IT技術，對我國傳統經營管理模式造成強烈沖擊，并對各企業的外部經濟環境和內部管理控制產生巨大影響。眾所周知，所謂環境，是指周圍的地方及其情況和條件。顧名思義，IT環境就是在IT技術迅猛發展下的現實處境和條件。處于這樣的環境，企業內部控制與傳統的內部控制比較，在實施目標、實施方法、實施條件、實施結果等方面，都有了一些明顯的區別，體現了其獨有的特點。

    (二)IT環境下內部控制規范實施的目標

    實現企業價值最大化，即利潤的最大化，是企業內部控制的目標，更是作為內部控制的一種先進手段或者方式的內部控制規范實施的終極目標。這些目標主要表現在:

    1.確保組織目標的有效實現，及時對那些構成組織的諸如財產、人力、知識、信息等資源進行合理的組織、整合和利用，致使這些資源的運營一直處于控制之下或在一定的控制之中。

    2.服從組織自行制定的和社會通過政府制定的政策、程序、規則和法律法規，以營造公正和諧的生存環境。

    3.經濟有效地利用資源，努力用最低廉的成本取得最想要的結果，防止不必要的浪費。

    4.確保信息的質量，保證信息的合法、真實和完整，利用相關、可靠和及時的信息控制組織的行為。

    5.客觀上，資源的稀缺性要求組織通過有效的內部控制系統保護各種有形與無形的資源，確保其安全和完整，做到:(1)這些資源不被損害和流失;(2)對資產進行合理使用和必要維護，杜絕信息的遺失、損壞和失竊，培養員工對組織的忠誠。

    (三)IT環境下內部控制規范實施的前提條件

    IT環境下內部控制的規范實施，應以人員、流程和信息為中心，利用系統的連結性和創造性，復用現有服務。在實施過程中，做好:

    1.正確理解和分析各個不同層次的管理人員對未來信息系統的需求。

    2.提供最理想的解決方案以配合未來的業務需求。

    3.以是否能滿足企業的業務需求為首要標準進行系統的選擇。

    4.選擇能夠實現企業管理轉變的合適軟件，并非僅指“先進的”軟件。

    5.配置應用系統模塊、確定報表程式及集成接口程式。

    6.系統成功遷移到正式投產的環境。

    7.進行系統支援，包括一系列的微調和性能量度及支援。

    8.不斷完善系統模板方案并驗證系統完善模板的準確性及可行性。

    9.指導軟、硬件的安裝，并提供相應培訓。

    10.進行數據轉移和系統測試，直至系統上線和驗收。

    (四)IT環境下內部控制規范實施的關鍵要素和實施程序

    在IT環境下，內部控制規范實施的關鍵要素和傳統條件下的內部控制規范實施基本吻合，主要包括:(1)企業架構團隊;(2)實施路線圖;(3)架構體系;(4)技能;(5)交付模型;(6)管理;(7)戰略安排;(8)溝通;(9)高級管理層的支持;(10)持續進行重新設計。

    在此基礎上，結合上述內部控制的目標和實施方法，不難發現，內部控制的項目管理可按以下步驟實施:

    1.項目開始，主要是評估項目需求，界定項目，完成可行性分析，作出項目總體安排，并進行項目授權。

    2.項目選型，主要是篩選候選供應商，重點候選供應商的系統演示，決定系統評估和選型。

    3.項目計劃，主要是確定詳細的項目范圍，明確用戶現狀，定義遞交的工作成果，評估實施時的主要風險，制訂項目的時間計劃，制訂成本和預算計劃，制訂人力資源計劃。

    4.項目執行，這是內部控制規范實施歷時最長的一個階段，貫穿于項目的業務模擬測試、系統開發確認和系統轉換運行3個程序之中，包括:按預定的實施計劃開展日常工作，按實施的進度控制項目的時間和成本，對實施過程進行全面的文檔記錄和管理，及時匯報項目的進度，定期召開項目例會，編寫例會的會議紀要。

    5.項目評估及更新，通過實施階段性評估，召開項目里程碑會議，建立質量保證體系等途徑，完成項目評估及更新。

    6.項目完成，實施行政驗收、項目總結、經驗交流等手段，將成熟的內部控制規范系統正式移交給使用單位。

    (五)IT環境下內部控制規范實施的后果

    1.IT環境下的內部控制規范實施，一改傳統方式下原始數據獲取靠員工肉眼觀察、手工計數或使用儀器測量，以及用紙介質存儲等手段，采用電纜、光纜、無線電波等以光速傳遞信息，利用傳感設備全自動獲取所需數據和信息。借助計算機的高速處理能力，使信息處理速度大為加快，效率大為提高，而且傳遞的信息量遠非傳統方式可比，為企業加強內部控制提供了基礎。減少了會計記錄和反映的時滯以及會計核算與會計控制的脫節，將會計流程和業務流程融為一體。但如果信息傳遞過程受到阻礙或破壞，就會給企業帶來更大的損失。存儲介質由紙變為磁盤或光盤，與紙介質存儲相比，磁介質或光介質具有存儲密度大、擦寫沒有痕跡的特點，可以集中保存數據和信息資源，但這種存儲介質容易遭襲，一旦毀損或者被盜，抑或數據被篡改，很難恢復。還有，若不能及時對各期的數據信息進行備份，就極易導致大量數據信息丟失。總之，一方面，信息處理效率的提高有利于企業實施更復雜更有效的控制措施和控制方法，提高內部控制的效果和效率;另一方面，借助高速的信息處理能力，企業員工或管理當局造假的能力也得到提高。同時，過分信賴這種集中存儲方式，使組織內部控制的許多審計線索或審計軌跡消失，呈現信息系統本身的脆弱性，給內部控制增加難題，并使系統在一定程度上喪失了人類所具有的對不合邏輯、不合理以及例外事件的理性判斷和處理能力。如果程序設計不周或在系統的初始設置中設置不當，而在系統處理過程中又不能進行人工干預，就可能導致一些錯誤的、不合理的業務和數據游離于組織內部控制之外，不能被及時發現。2.IT環境下的內部控制規范實施，借助于網絡，人與人之間的直接接觸相應減少，網絡世界的無形性和匿名性直接對人的心理造成一定的影響，使部分人誤以為借助網絡興風作浪不容易被抓住，從而可能降低犯罪的心理閾值。網絡的遠程接入特性也給犯罪分子提供了方便，他們只要獲得一個登錄密碼就可能通過網絡侵入系統，竊取組織重要的信息資產，或使信息系統崩潰。有的組織由于電腦口令設置簡單，“主管授權、審核”這些功能形同虛設，容易被破解，甚至被黑客遠程入侵攻擊。同時，大量會計信息通過網絡傳輸，有可能被非法攔截、竊取、篡改;網絡系統遭受病毒攻擊的可能性也很大，計算機病毒復制和傳播能力很強，破壞性也強，可以破壞計算機內存、硬盤、軟盤上的程序和數據文件，進而影響信息的可靠性。

    3.IT環境下的內部控制規范實施，借助于ERP，全面集成企業的所有資源，并為企業提供決策、計劃、控制與經營業績評價的全面化、整合化和動態化管理平臺。就企業會計核算而言，很多數據的錄入和生成工作已經前移至業務部門，在財務人員對后臺配置相應會計科目后，業務部門的人員只需錄入業務數據，由授權部門進行審核、確認、計量，并登錄系統進行必要操作，系統就自動生成會計憑證，并在操作完成的同時，通過計算機網絡集成到財務模塊，自動完成財務賬簿登記。但是，也正是因為這種會計系統將許多不相容職責相對集中，加大了舞弊風險;系統信息容易被修改、刪除、隱匿或偽造，且不留痕跡。還有，由于系統運用了多項物資編碼，搜集和定義了物料的屬性，形成了較為準確的產品結構資料，提高了財務標準，并通過設置一套名稱準確、內容完整的會計科目，規范了會計核算過程，保證了各類數據、財務信息的真實、完整，有效地杜絕了利用相關政策人為調節會計利潤的現象。但是，鑒于ERP軟件系統功能繁多的特點，就不可避免地存在某些功能不足或潛在缺陷，給組織帶來新的風險。包括:內部職員或信息系統操作員、計算機程序編寫人員、職能部門經理和會計人員、已離職員工，客戶與供應商、市場競爭者、外界犯罪分子，都會成為信息系統正常運轉潛在風險的主體。ERP系統的開放與共享程度越深，上述主體通過公用通訊線路干預系統的概率就越大，系統面臨的安全隱患也就越多。

    4.IT環境下的內部控制規范實施，在信息化條件下，數據處理的準確性、完全性依賴于原始數據輸入的準確性，但是，由于系統一體化、數據邏輯化、信息生成自動化的特點，致使疏忽差錯、故意性差錯、非故意資產損毀、資產的失竊、防護程序失控、暴力或自然災害，以及計算機硬件和與之相關的網絡通信、電源等設備引起的外部諸如火災、停電等不可抗拒的因素和操作失誤等人為因素引起系統故障，導致數據丟失甚至系統癱瘓。特別地，信息資產的稀缺性，可能誘使掌握它的管理人員不惜犯罪將其賣給競爭對手，加上信息的無形性、可拷貝性，致使信息的泄密不易被發現，畢竟用不著像盜竊有形資產那樣撬門開鎖、翻墻入室、避開警衛等大動干戈。

    5.IT環境下的內部控制規范實施，必然存在軟件開發人員對內部控制理解不深，IT技術不熟練，或者考慮問題不周，導致IT產品與實際需求不相吻合。而操作人員只是應用軟件的使用者，對軟件編程等計算機專業知識掌握有限，很難及時發現設計錯誤，在專業人員查出漏洞前，內部控制信息系統只能按原設計多次重復同一錯誤，造成損失擴大。這種風險在傳統內部控制中恰恰是最少出現的。同時，由于信息化與電子商務的法律環境滯后，包括我國在內的很多國家，目前還缺少有關電子商務交易責任與可靠性方面的法律規定，法律保護有限。

二、IT環境下內部控制規范實施應采取的措施

    良好的信息技術治理有助于公司治理機制的完善，而公司治理機制的完善將為企業內部控制的完善提供良好的基礎。面對IT環境下內部控制規范實施的特點，企業應制定與企業戰略相融合的信息技術戰略，并從戰略投資、企業管理變革的角度，降低其信息技術風險，站在公司治理角度實施信息技術治理。

    (一)以人為本，提高全員素質

    IT環境下，對組織的每一個人都提出了很高的要求。內部控制規范實施信息系統本身就是人機共存的系統，也就是說僅有計算機和內部控制基礎軟件或應用軟件是遠遠不夠的，還要有能夠熟練操作計算機并使用內部控制軟件的人。內部控制的規范實施，對不同階層的職員有不同的要求。包括:

    1.對高層領導的要求。(1)在項目各個階段，與組織成員就信息技術整體應用在企業中的角色和定位進行溝通;(2)評估組織信息系統應用狀況、進展情況和整體信息技術應用的領先性;(3)確定組織未來信息技術應用的整體規劃。

    2.要求管理人員對信息技術知識的了解掌握。必須經過認識、認同和視為己任3個階段，從接受培訓、掌握基礎知識到參與操作和了解系統，最后變為信息技術的帶頭人并培訓他人。

    3.對一般人員的要求。(1)在項目初期，積極了解項目信息，參加項目相關培訓;(2)在方案設計階段，提供業務現狀及現存問題的信息，并提供改進建議，為設計工作獻計獻策;(3)在實施階段，根據要求進行數據準備和整理，為系統上線做準備，盡量熟悉系統，多進行系統操作，協助進行最終用戶培訓;(4)在系統上線后，繼續使用系統進行日常工作，及時發現系統存在的問題，并提出改進建議。所有這些要求的達成，都要做到以人為本，提高全員信息技術水平，大力培養優秀復合型人才。

    (二)合理的職責分工

    出于網絡技術需要極強的邏輯判斷和邏輯分析能力的考慮，并且通過網絡信息的傳輸可以實現各種內部控制數據的共享，所以應盡量根據組織結構及職員的崗位責任，很細致地設置每個職員對系統的操作權限以及對信息的查詢范圍，以保證組織的各項經濟活動均是由被批準或被授權的職員執行。信息系統硬件與軟件管理由不同的職員負責，編程人員、維護人員以及系統操作人員之間分工協作，系統維護人員權責分離，建立不兼容職務相互分離控制、會計系統控制、預算控制、財產保全控制、風險控制、內部報告控制和職務輪換制度。同時，由于系統維護人員和熟悉信息系統技術的相關人員能直接接觸各種數據庫、各種軟件，他們的有意作案或無意的錯誤操作所造成的影響很難估量，所以必須制定嚴格的制度予以約束。做到業務決策人員與經辦人員權限設置全面分離制約，將業務授權(管理職能)、業務執行(保管職能)、業務記錄(會計職能)、業績檢查(監督職能)很好地分離;重大事項的決策和執行很好地分離等。

    (三)強化信息系統設施的維護和保養

    合理控制信息系統的硬件設施，這個程序通常已由計算機硬件制造商設計并安裝在計算機硬件設備上，如邊界保護、雙電路、奇偶校驗、溢出校驗及程序固化等;目的是為了使計算機有更高的可靠性，在環境出現一些細微干擾的時候不至于影響計算機的運行。強化訪問控制、隔離控制、加密變換和口令控制等，能有效防止未經授權的人擅自動用系統的各種資源，包括硬件設備、軟件程序、數據文件以及相關的檔案資料。采用多層式(客戶機/服務器)模式組建企業內部網，即利用中間代理服務器隔離客戶與數據庫服務器的聯系，實現數據的一致性;采用較為成熟的大型網絡數據庫產品并合理定義應用子模式，子模式是全部數據資料中面向某一特定用戶或應用項目的一個數據處理集，通過它可以分別定義面向用戶操作的用戶界面，做到特定數據面向特定用戶開放，建立信息資源授權制度;采取定期的網絡基礎數據備份，制訂緊急恢復及災難補救計劃。系統維護，包括軟件修改、代碼結構修改和計算機硬件與通訊設備的維修等，涉及系統功能的調整、擴充和完善，必須經過周密計劃和嚴格記錄，維護過程的每一環節都應設置必要的控制，維護的原因和性質必須有書面形式的報告，經批準后才能實施修改;特別是軟件修改，網絡系統操作員絕對不能參與，所有與系統維護有關的記錄都應打印后存檔。在病毒處理上，對不需要本地硬盤和軟盤的工作站，盡量采用無盤工作站;采用基于服務器的網絡殺毒軟件進行實時監控、追蹤病毒;在網絡服務上采用防病毒卡或芯片等硬件，以有效防治病毒;財務軟件可掛接或捆綁第三方反病毒軟件，加強軟件自身的防病毒能力;對外來軟件和傳輸的數據必須經過病毒檢查，在業務系統中嚴禁使用游戲軟件;及時升級本系統的防病毒產品。

    (四)不斷提高組織文化建設的力度

    組織文化是組織高層為保證組織的生存發展，根據組織內環境設計提出的，并為組織普遍接受的有關組織經營管理活動和員工行為的一整套價值體系。組織文化滲透到各個分支機構和經營部門的經營、管理中，貫穿于組織管理、質量、檢測、銷售、服務、資產重組、體制轉換、跨國經營、科研、教育培訓等領域之中，具體體現在組織經營策略和各種規范、規章制度的實踐中。IT環境下，組織應當從物質文化、行為文化、精神文化、制度文化幾個方面著手塑造組織文化，在繼承和發揚本國優秀文化、教育傳統，借鑒國外優秀文化的基礎上，努力改造組織環境，優化組織素質，樹立組織形象，增強組織活力，完善組織管理，促進文化與經濟的有機結合，使組織文化真正發揮出整合功能、規范功能、導向功能、凝聚功能及激勵功能等，為組織的繁榮昌盛服務。唯如此，組織才能在新經濟時代立于不敗之地，使組織文化和組織的內部控制在IT環境下得到很好的耦合。

三、結論

    世界經濟從工業時代，狂飆般進入文化創新時代。現代企業的經營環境復雜、經營內容廣泛、地理分布遼闊、信息處理工作量非常大，也給傳統的內部控制規范實施帶來了前所未有的挑戰。所以，嫁接IT技術，促進內部控制規范實施，是大勢所趨，也是社會現實的需要。實施企業內部控制規范，可確保內部控制的恰當有效，保護資產和資源的安全，保證信息系統輸出的信息準確、完整、及時，提高經營的效率和效果，促進企業對法律法規的遵守。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：IT環境下內部控制規范實施研究

本文網址：http://www.guhuozai8.cn/html/support/1112184271.html