[摘要] 信息技術(shù)的廣泛應(yīng)用增加了企業(yè)內(nèi)部控制的潛在風(fēng)險(xiǎn)，但信息流程和業(yè)務(wù)流程的有效整合也給提高企業(yè)內(nèi)部控制效率、增強(qiáng)內(nèi)部控制效果帶來(lái)了前所未有的機(jī)遇。本文主張企業(yè)在進(jìn)行內(nèi)部控制系統(tǒng)設(shè)計(jì)時(shí)，需要考慮信息技術(shù)條件下企業(yè)內(nèi)部控制的新特點(diǎn)與新問(wèn)題，從組織控制、流程控制、信息系統(tǒng)控制三方面制定對(duì)應(yīng)的設(shè)計(jì)策略。

[關(guān)鍵詞] 信息系統(tǒng) 內(nèi)部控制 風(fēng)險(xiǎn)控制 設(shè)計(jì)策略

一、引言

近些年來(lái)我國(guó)企業(yè)的信息化建設(shè)取得了很大成就，信息技術(shù)在企業(yè)得到了廣泛應(yīng)用。 在信息技術(shù)條件下，企業(yè)已經(jīng)實(shí)現(xiàn)了業(yè)務(wù)和財(cái)務(wù)的一體化，資源得到了高度的共享。為了有效地保護(hù)資產(chǎn)的安全與完整，保證會(huì)計(jì)信息的真實(shí)、可靠，提高經(jīng)營(yíng)效益，企業(yè)迫切需要對(duì)傳統(tǒng)內(nèi)部控制進(jìn)行整合和優(yōu)化，以提高管理者經(jīng)營(yíng)決策的效率和效果。為此，文本將從信息技術(shù)對(duì)企業(yè)內(nèi)部控制要素的影響著手，分析信息技術(shù)條件下企業(yè)內(nèi)部控制特點(diǎn)，探討內(nèi)部控制體系設(shè)計(jì)策略，以期達(dá)到充分利用信息技術(shù)來(lái)提高內(nèi)部控制質(zhì)量的目的。

二、信息技術(shù)對(duì)企業(yè)內(nèi)部控制的影響分析

1992年美國(guó) COSO報(bào)告中對(duì)內(nèi)部控制做了如下定義：“內(nèi)部控制是由企業(yè)董事會(huì)、經(jīng)理階層和其他員工實(shí)施的，為營(yíng)運(yùn)的效率效果、財(cái)務(wù)報(bào)告的可靠性、相關(guān)法令的遵循性等目標(biāo)的實(shí)現(xiàn)而提供合理保證的過(guò)程?！逼錁?gòu)成要素包括：控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)控。該報(bào)告是迄今為止對(duì)內(nèi)部控制最全面、最權(quán)威的描述。在信息技術(shù)條件下，企業(yè)內(nèi)部控制系統(tǒng)仍是由上述五個(gè)基本要素構(gòu)成，框架體系并未發(fā)生實(shí)質(zhì)性的改變。但是正所謂“水能載舟，亦能覆舟”，信息技術(shù)對(duì)于企業(yè)內(nèi)部控制的發(fā)展帶來(lái)了新的挑戰(zhàn)，也帶來(lái)了新的機(jī)遇。

1.信息技術(shù)對(duì)企業(yè)內(nèi)部控制提出了新的挑戰(zhàn)

信息技術(shù)的廣泛應(yīng)用，為企業(yè)帶來(lái)了新的風(fēng)險(xiǎn)，也對(duì)內(nèi)部控制發(fā)展提出了新的要求

（1)交易授權(quán)批準(zhǔn)缺乏有效牽制

交易授權(quán)、批準(zhǔn)控制是最基礎(chǔ)的內(nèi)部控制。信息技術(shù)條件下操作權(quán)限的授予與手工環(huán)境完全不同。手工環(huán)境下處理一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)時(shí)，在該項(xiàng)業(yè)務(wù)的各個(gè)環(huán)節(jié)都需要由擁有相應(yīng)權(quán)限的人員簽章，這自然形成了層層復(fù)核、道道把關(guān)的嚴(yán)格審核機(jī)制。而在信息技術(shù)條件下，操作人員利用特殊的授權(quán)文件或口令獲取某項(xiàng)權(quán)利或進(jìn)行特定操作。用口令方式授權(quán)是信息技術(shù)條件下常見的和基本的內(nèi)部控制，但口令一旦失控將會(huì)對(duì)企業(yè)造成重大損失。

（2)電子信息處理缺乏可視痕跡

手工環(huán)境下，企業(yè)的經(jīng)濟(jì)業(yè)務(wù)處理均記錄于紙張之上，這些紙質(zhì)原件的數(shù)據(jù)若被修改，則很容易辨別出修改的線索和痕跡，這也是傳統(tǒng)紙質(zhì)原件的一個(gè)基本特征。但是，信息系統(tǒng)環(huán)境下原來(lái)紙質(zhì)的數(shù)據(jù)被直接記錄在磁盤或光盤上，很容易被刪除或篡改，并且在技術(shù)上對(duì)電子數(shù)據(jù)的非法修改可以做到不留痕跡，這樣就很難辨別哪一個(gè)是業(yè)務(wù)記錄的“原件”。另外電磁介質(zhì)容易受到損壞，這使得企業(yè)信息很大程度上存在丟失或毀壞的危險(xiǎn)。

（3)系統(tǒng)整合集成加大信息風(fēng)險(xiǎn)

傳統(tǒng)的內(nèi)部控制主要針對(duì)單獨(dú)的交易處理，而在信息技術(shù)條件下，整合集成系統(tǒng)要求集中存儲(chǔ)數(shù)據(jù)和程序，則在很大程度上帶來(lái)了信息安全隱患，容易出現(xiàn)一損俱損、全軍覆滅的危險(xiǎn)。而且，對(duì)于日益復(fù)雜的信息系統(tǒng)，其內(nèi)部稽核難度加大、成本增加。如由外部監(jiān)理機(jī)構(gòu)完成，則可能泄露商業(yè)機(jī)密，影響其競(jìng)爭(zhēng)力;如由企業(yè)內(nèi)部自行解決，則必須配備具有復(fù)合知識(shí)結(jié)構(gòu)的管理人員才能勝任。

（4)網(wǎng)絡(luò)的開放性危及信息安全

網(wǎng)絡(luò)技術(shù)的發(fā)展日新月異，在這個(gè)環(huán)境中一切信息理論上都是可以被訪問(wèn)到的。因此，網(wǎng)絡(luò)下的信息系統(tǒng)很難避免非法侵襲，即有可能遭到非法訪問(wèn)甚至黑客或病毒的侵?jǐn)_。這種攻擊可能來(lái)自于系統(tǒng)外部，也可能來(lái)自于系統(tǒng)內(nèi)部，而且一旦發(fā)生將造成巨大的損失。

2.信息技術(shù)為內(nèi)部控制提供了新的機(jī)遇

信息技術(shù)是一把雙刃劍，在為企業(yè)內(nèi)部控制帶來(lái)全新風(fēng)險(xiǎn)的同時(shí)，也為其控制風(fēng)險(xiǎn)提供了嶄新的工具。

(1)事前檢查提高信息質(zhì)量

企業(yè)開發(fā)信息系統(tǒng)時(shí)，要針對(duì)性的設(shè)計(jì)事前控制程序，即在業(yè)務(wù)活動(dòng)發(fā)生、有關(guān)數(shù)據(jù)入數(shù)據(jù)庫(kù)之前，檢查這些數(shù)據(jù)的準(zhǔn)確性、完整性和合法性。此外，如果輸入數(shù)據(jù)不符合既定邏輯和控制標(biāo)準(zhǔn)，處理則被中斷，同時(shí)通知負(fù)責(zé)控制的管理人員。這樣一來(lái)，只有數(shù)據(jù)準(zhǔn)確、完整、合法，繼續(xù)處理也符合流程，相關(guān)數(shù)據(jù)才能被加入到數(shù)據(jù)庫(kù)中。

（2)事中網(wǎng)上公證形成三方牽制

由于信息技術(shù)環(huán)境下原始憑證以數(shù)字方式存儲(chǔ)，不能像手工系統(tǒng)那樣對(duì)每一張憑證作痕跡檢驗(yàn)?？墒?，利用網(wǎng)絡(luò)技術(shù)所特有的實(shí)時(shí)傳輸功能和日益豐富的互聯(lián)網(wǎng)服務(wù)項(xiàng)目，則可以實(shí)現(xiàn)原始交易憑證的第三方監(jiān)控，即網(wǎng)上公證。這樣一來(lái)，信息技術(shù)條件下的內(nèi)部控制的職責(zé)分離原則，通過(guò)人機(jī)分離甚至機(jī)機(jī)分離依然得以實(shí)現(xiàn)。

（3)事后追溯利用電子審計(jì)線索

在手工系統(tǒng)中，憑證、賬簿和報(bào)表嚴(yán)格按照一定標(biāo)準(zhǔn)和程序填寫登記，所形成的紙質(zhì)審計(jì)線索高度可視，比較有效。在信息技術(shù)條件下，數(shù)據(jù)的生成、存儲(chǔ)和傳遞方式都發(fā)生了巨大變化，紙質(zhì)文檔大量減少甚至消失，審計(jì)線索不再可視。然而，利用信息技術(shù)記載和再現(xiàn)原始業(yè)務(wù)依然可行，利用電子審計(jì)線索追溯業(yè)務(wù)的來(lái)龍去脈甚至變得更為便利高效。高度集成整合的信息系統(tǒng)，為每一筆交易建立了單獨(dú)的審計(jì)線索，環(huán)環(huán)相扣的連接關(guān)系使原始業(yè)務(wù)的再現(xiàn)更為方便易行。

由此可見，信息技術(shù)的應(yīng)用使得內(nèi)部控制挑戰(zhàn)與機(jī)遇并存，風(fēng)險(xiǎn)與收益同增。有效的內(nèi)部控制應(yīng)該是范圍擴(kuò)大、控制程序靈活多樣的綜合性控制;是人工控制和信息系統(tǒng)自動(dòng)控制相結(jié)合的全面控制。

三、信息技術(shù)條件下內(nèi)部控制體系的設(shè)計(jì)策略

針對(duì)上述分析，企業(yè)在進(jìn)行內(nèi)部控制體系設(shè)計(jì)時(shí)，應(yīng)綜合考慮信息技術(shù)條件下內(nèi)部控制的特點(diǎn)，從組織控制、流程控制、信息系統(tǒng)控制三方面制定對(duì)應(yīng)設(shè)計(jì)策略。

1.組織控制設(shè)計(jì)策略

組織控制設(shè)計(jì)主要任務(wù)是權(quán)責(zé)分派與不相容職務(wù)分離。在信息技術(shù)應(yīng)用條件下，企業(yè)組織的權(quán)責(zé)范圍遵循以流程為核心的原則。首先將企業(yè)主要業(yè)務(wù)分解為產(chǎn)品流程、質(zhì)量流程、服務(wù)流程、物流流程等，并在這些流程層面上重新定義企業(yè)各部門在業(yè)務(wù)流程中的職責(zé)以及它們之間的協(xié)調(diào)關(guān)系。然后再進(jìn)一步將這些流程分解為一系列相關(guān)作業(yè)集合，并結(jié)合業(yè)務(wù)的信息化程度來(lái)定義企業(yè)作業(yè)崗位以及對(duì)應(yīng)的崗位責(zé)任制度。作業(yè)崗位權(quán)責(zé)分派應(yīng)能最大限度地發(fā)揮每個(gè)員工的主觀能動(dòng)性和潛能。不相容職務(wù)分離設(shè)計(jì)應(yīng)結(jié)合重組后的業(yè)務(wù)特點(diǎn)和人機(jī)系統(tǒng)的控制功能，通過(guò)信息系統(tǒng)使用權(quán)限設(shè)置、應(yīng)用軟件的作業(yè)流程邏輯順序的設(shè)置、業(yè)務(wù)控制參數(shù)的設(shè)置，充分發(fā)揮信息系統(tǒng)內(nèi)部監(jiān)控能力，實(shí)現(xiàn)信息化環(huán)境下業(yè)務(wù)流程不相容職務(wù)分離的制度安排。

2.流程控制設(shè)計(jì)策略

流程控制主要是對(duì)企業(yè)的業(yè)務(wù)流程和信息流程進(jìn)行有效的控制。由于信息技術(shù)使企業(yè)業(yè)務(wù)流程與信息流程融合在一起，業(yè)務(wù)流程控制與信息流程控制成為企業(yè)內(nèi)部控制體系設(shè)計(jì)的重要內(nèi)容，控制重心也從適時(shí)控制向事前控制、實(shí)時(shí)控制轉(zhuǎn)移。因此，在企業(yè)流程控制的設(shè)計(jì)中，專業(yè)人員的首要任務(wù)是熟悉企業(yè)業(yè)務(wù)流程和信息流程以及它們之間的聯(lián)系，對(duì)業(yè)務(wù)流程和信息流程的各類風(fēng)險(xiǎn)進(jìn)行評(píng)估，確定風(fēng)險(xiǎn)重要程度。其次依據(jù)風(fēng)險(xiǎn)的重要程度確定業(yè)務(wù)流程與信息流程的關(guān)鍵控制點(diǎn)、建立控制模型，設(shè)定控制參數(shù)與控制程序，并將其嵌入到信息系統(tǒng)中，形成人機(jī)結(jié)合、業(yè)務(wù)活動(dòng)與信息處理集合的內(nèi)部控制體系。這樣，在企業(yè)經(jīng)營(yíng)過(guò)程中，信息系統(tǒng)就能動(dòng)態(tài)跟蹤業(yè)務(wù)活動(dòng)的信息，自動(dòng)監(jiān)控這些活動(dòng)所產(chǎn)生的數(shù)據(jù)是否在控制范圍內(nèi)，預(yù)測(cè)發(fā)展趨勢(shì)，實(shí)時(shí)輸出預(yù)警信號(hào)，從而有效控制企業(yè)的經(jīng)營(yíng)活動(dòng)過(guò)程。

3.信息系統(tǒng)控制設(shè)計(jì)策略

信息系統(tǒng)控制是指信息系統(tǒng)建設(shè)和應(yīng)用控制，具體包括信息系統(tǒng)的設(shè)計(jì)、開發(fā)、測(cè)試、驗(yàn)收、運(yùn)行、維護(hù)等生命周期活動(dòng)的所有環(huán)節(jié)。信息系統(tǒng)建設(shè)控制的設(shè)計(jì)策略是認(rèn)真進(jìn)行系統(tǒng)開發(fā)前期的可行性研究;加強(qiáng)對(duì)開發(fā)商的資質(zhì)驗(yàn)證;通過(guò)公開招標(biāo)的方式選擇適合企業(yè)營(yíng)運(yùn)環(huán)境的計(jì)算機(jī)信息系統(tǒng)軟、硬件與開發(fā)商。在項(xiàng)目實(shí)施過(guò)程中，應(yīng)加強(qiáng)對(duì)IT項(xiàng)目管理，建立嚴(yán)密進(jìn)度控制和質(zhì)量控制機(jī)制、驗(yàn)收程序及第三方監(jiān)理和審計(jì)的控制，保障信息系統(tǒng)質(zhì)量。

信息系統(tǒng)應(yīng)用控制的設(shè)計(jì)包括操作權(quán)限與操作規(guī)程控制設(shè)計(jì)、信息安全與數(shù)據(jù)處理流程控制設(shè)計(jì)。操作權(quán)限控制設(shè)計(jì)策略是通過(guò)對(duì)系統(tǒng)資源進(jìn)行分類管理、員工作業(yè)權(quán)限程序化方式，限制超越權(quán)限的非法接觸和訪問(wèn)。操作規(guī)程控制設(shè)計(jì)策略是通過(guò)制定軟硬件操作規(guī)程、作業(yè)運(yùn)行規(guī)程，規(guī)范計(jì)算機(jī)用戶的操作行為。

信息安全控制包括數(shù)據(jù)和程序安全控制、網(wǎng)絡(luò)安全控制，通過(guò)數(shù)據(jù)保密、訪問(wèn)控制、身份識(shí)別、數(shù)據(jù)備份等措施保障信息系統(tǒng)資源的安全。數(shù)據(jù)處理流程控制設(shè)計(jì)包括數(shù)據(jù)輸入、處理、輸出的控制。例如在信息系統(tǒng)的數(shù)據(jù)輸入窗口設(shè)置各類有效的檢測(cè)方法，最大限度地減少操作人員在數(shù)據(jù)輸入過(guò)程中出錯(cuò)的可能性，保障未經(jīng)批準(zhǔn)的業(yè)務(wù)不能輸入信息系統(tǒng)內(nèi)，從而以提高信息系統(tǒng)數(shù)據(jù)處理質(zhì)量。

參考文獻(xiàn):

[美]詹姆斯·霍爾:《信息系統(tǒng)審計(jì)與鑒證》.中信出版社，2003