李永紅+韓笑

【摘要】傳統(tǒng)內(nèi)部控制的重點(diǎn)是人，而IT環(huán)境下內(nèi)部控制的重點(diǎn)逐漸轉(zhuǎn)變?yōu)閷?duì)人、互聯(lián)網(wǎng)和計(jì)算機(jī)的共同控制。企業(yè)內(nèi)部控制面臨新的挑戰(zhàn)。本文分析了傳統(tǒng)內(nèi)部控制與IT環(huán)境下企業(yè)內(nèi)部控制的差異，并選擇中國鐵建集團(tuán)為案例，探索IT環(huán)境下信息技術(shù)對(duì)企業(yè)內(nèi)部控制的影響，以期為構(gòu)建IT環(huán)境下企業(yè)內(nèi)部控制提供參考。

【關(guān)鍵詞】IT環(huán)境企業(yè)信息系統(tǒng)內(nèi)部控制

一、引言

全球化市場(chǎng)經(jīng)濟(jì)使得企業(yè)之間的競(jìng)爭(zhēng)日益加劇，為了應(yīng)對(duì)激烈的競(jìng)爭(zhēng)要求，企業(yè)應(yīng)構(gòu)建科學(xué)的信息系統(tǒng)，為企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中立于不敗之地提供技術(shù)支持。目前建筑業(yè)信息化進(jìn)程較其他行業(yè)而言相對(duì)落后，信息化水平遠(yuǎn)低于其他行業(yè)，其傳統(tǒng)的經(jīng)營(yíng)與管理方法，不能適應(yīng)現(xiàn)代信息化環(huán)境下經(jīng)營(yíng)管理的需要，必須構(gòu)建基于IT環(huán)境下的內(nèi)部控制管理模式，提高企業(yè)在信息化環(huán)境下的管理水平。本文以中國鐵建集團(tuán)為例對(duì)此進(jìn)行研究。以期為IT環(huán)境下企業(yè)內(nèi)部控制建設(shè)提供參考。

二、基于IT環(huán)境的企業(yè)內(nèi)部控制比較分析

（一）IT環(huán)境下企業(yè)內(nèi)部控制概述

1.IT內(nèi)控目標(biāo)。信息系統(tǒng)內(nèi)部控制（簡(jiǎn)稱IT內(nèi)控）是針對(duì)IT風(fēng)險(xiǎn)制定一系列制度、程序和方法，實(shí)現(xiàn)事前防范、事中控制、事后監(jiān)督和糾正的動(dòng)態(tài)過程的機(jī)制。目標(biāo)是合理合法地規(guī)劃信息系統(tǒng)，避免造成信息孤島或重復(fù)建設(shè)。利用信息技術(shù)實(shí)施有效控制，增強(qiáng)授權(quán)管理，減少人為操縱因素，提高企業(yè)現(xiàn)代化管理水平。增強(qiáng)信息系統(tǒng)的安全性、合理性和可靠性及其相關(guān)信息的保密性、完整性和可利用性的控制，為建立有效的信息與溝通機(jī)制提供技術(shù)保障。

2.IT內(nèi)控控制環(huán)境。意識(shí)到IT會(huì)給企業(yè)帶來新的風(fēng)險(xiǎn)；整合IT組織與企業(yè)組織；注重員工IT特殊能力的培養(yǎng)；IT控制會(huì)涉及第三方，特別是在項(xiàng)目外包過程中；可能導(dǎo)致IT控制的責(zé)任人不明確。

3.IT內(nèi)控風(fēng)險(xiǎn)評(píng)估。企業(yè)層面上由專門組織來定義IT內(nèi)部控制目標(biāo)及對(duì)IT風(fēng)險(xiǎn)進(jìn)行識(shí)別；活動(dòng)層面上要特別針對(duì)IT運(yùn)營(yíng)服務(wù)、IT資產(chǎn)管理、IT項(xiàng)目，以及在變更管理活動(dòng)中進(jìn)行風(fēng)險(xiǎn)評(píng)估。

4.IT內(nèi)控控制活動(dòng)。對(duì)IT系統(tǒng)環(huán)境、構(gòu)成要素及IT基礎(chǔ)設(shè)施相關(guān)的控制。普遍適用于所有IT系統(tǒng)，為IT系統(tǒng)的正常運(yùn)行提供安全可靠的環(huán)境。IT應(yīng)用控制是指與運(yùn)行業(yè)務(wù)流程相關(guān)的IT系統(tǒng)的控制活動(dòng)，應(yīng)用控制是IT內(nèi)部控制的最關(guān)鍵要素。

5.IT內(nèi)控信息與溝通。企業(yè)層面上需要設(shè)計(jì)和溝通組織機(jī)構(gòu)策略、開發(fā)和溝通報(bào)告要求、財(cái)務(wù)信息的溝通；業(yè)務(wù)層面上需要設(shè)計(jì)和溝通策略目標(biāo)、實(shí)現(xiàn)業(yè)務(wù)信息溝通、及時(shí)報(bào)告安全違例情況。

6.IT內(nèi)控監(jiān)控活動(dòng)。企業(yè)層面上需監(jiān)控計(jì)算機(jī)的運(yùn)行情況、監(jiān)控信息安全情況、IT內(nèi)部審計(jì)審核；活動(dòng)層面上需進(jìn)行缺陷識(shí)別和管理、本地檢測(cè)計(jì)算機(jī)運(yùn)行或計(jì)算機(jī)安全、本地IT人員的監(jiān)督管理。

（二）傳統(tǒng)內(nèi)部控制與IT環(huán)境下內(nèi)部控制差異分析

1.控制環(huán)境的差異。傳統(tǒng)內(nèi)部控制指的是關(guān)注會(huì)計(jì)信息可靠性的內(nèi)部會(huì)計(jì)控制，很少考慮與業(yè)務(wù)操作和規(guī)則遵守有關(guān)的內(nèi)部控制。使得財(cái)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)相“隔離”，財(cái)務(wù)數(shù)據(jù)只能在業(yè)務(wù)發(fā)生之后采集并經(jīng)過再加工成為可用的數(shù)據(jù)，財(cái)務(wù)信息的嚴(yán)重滯后與業(yè)務(wù)實(shí)時(shí)控制之間存在著不可調(diào)節(jié)的矛盾。IT環(huán)境下企業(yè)信息處理和業(yè)務(wù)活動(dòng)融為一體。在業(yè)務(wù)活動(dòng)發(fā)生、有關(guān)數(shù)據(jù)進(jìn)入數(shù)據(jù)庫之前，就會(huì)對(duì)數(shù)據(jù)的準(zhǔn)確性、完整性和合法性進(jìn)行檢查；其網(wǎng)絡(luò)環(huán)境中的信息可以被有授權(quán)的人員檢查，進(jìn)行實(shí)時(shí)事中控制，原始業(yè)務(wù)的再現(xiàn)也由于環(huán)環(huán)相扣的鏈接關(guān)系變?yōu)榭赡?，這種高度集成整合的信息系統(tǒng)是企業(yè)實(shí)現(xiàn)財(cái)務(wù)與業(yè)務(wù)一體化的有效保障。與傳統(tǒng)內(nèi)部控制相比，IT環(huán)境下企業(yè)內(nèi)部控制存在新的風(fēng)險(xiǎn)，例如信息系統(tǒng)規(guī)劃與建設(shè)的管理風(fēng)險(xiǎn)、信息系統(tǒng)內(nèi)控機(jī)制漏洞風(fēng)險(xiǎn)、信息系統(tǒng)運(yùn)行的不穩(wěn)定性風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等等。例如現(xiàn)金管理軟件如果不受人為約束生成、傳遞與傳統(tǒng)條件下類似的支票、本票等現(xiàn)金收付文件，將會(huì)給企業(yè)帶來災(zāi)難性的影響。

2.風(fēng)險(xiǎn)評(píng)估的差異。與傳統(tǒng)內(nèi)部控制相比，企業(yè)應(yīng)設(shè)立專門機(jī)構(gòu)對(duì)IT環(huán)境下企業(yè)內(nèi)部控制重新定義，并對(duì)IT風(fēng)險(xiǎn)進(jìn)行識(shí)別。其信息一致性風(fēng)險(xiǎn)是指在內(nèi)部信息資源整合或與外部信息資源整合過程中，由于信息或信息系統(tǒng)部匹配導(dǎo)致的系統(tǒng)能力降低等風(fēng)險(xiǎn)。具體還是要根據(jù)企業(yè)的業(yè)務(wù)來特別制定企業(yè)IT風(fēng)險(xiǎn)評(píng)估。

3.控制活動(dòng)的差異。傳統(tǒng)的控制活動(dòng)形式一般體現(xiàn)為：業(yè)績(jī)?cè)u(píng)價(jià)、信息處理、實(shí)物控制、職責(zé)分離等。IT環(huán)境下企業(yè)內(nèi)部控制除包含這些外，特別強(qiáng)調(diào)對(duì)信息處理這方面的相關(guān)審計(jì)控制，其應(yīng)用控制也是IT內(nèi)控的最關(guān)鍵要素。

4.信息與溝通的差異。傳統(tǒng)環(huán)境下企業(yè)部門與部門之間往往存在信息溝通不暢的問題，借助手工處理這些問題有時(shí)間差異，業(yè)務(wù)部門需要的資料要送達(dá)財(cái)務(wù)部門并經(jīng)過相關(guān)數(shù)據(jù)處理再傳送給其他部門，大大影響企業(yè)內(nèi)部工作的效率和效果。有效的信息溝通需要企業(yè)信息的實(shí)時(shí)共享，企業(yè)信息化為其提供了可能，本企業(yè)信息系統(tǒng)與客戶、供應(yīng)商和商業(yè)伙伴信息系統(tǒng)之間的聯(lián)系日益緊密，其數(shù)據(jù)及時(shí)傳遞和處理使企業(yè)管理者能夠掌握企業(yè)內(nèi)部和外部實(shí)時(shí)情況，及時(shí)控制企業(yè)面臨的風(fēng)險(xiǎn)，優(yōu)化企業(yè)內(nèi)部控制。

5.監(jiān)控活動(dòng)的差異。在IT環(huán)境下，監(jiān)控活動(dòng)就是評(píng)估企業(yè)信息系統(tǒng)內(nèi)部控制系統(tǒng)在一定時(shí)期內(nèi)運(yùn)行質(zhì)量的過程。包括監(jiān)控計(jì)算機(jī)的運(yùn)行情況、信息系統(tǒng)安全情況、IT內(nèi)部審計(jì)審核情況、進(jìn)行缺陷識(shí)別和管理、本地IT人員的監(jiān)督管理等等，這是傳統(tǒng)內(nèi)部控制不具備的，需要企業(yè)專業(yè)IT管理人才進(jìn)行企業(yè)內(nèi)部控制監(jiān)控活動(dòng)的實(shí)施。

三、基于IT環(huán)境內(nèi)部控制調(diào)查分析

（一）調(diào)查問卷設(shè)計(jì)

本文采用調(diào)查法進(jìn)行數(shù)據(jù)收集，主要分為訪談和問卷調(diào)查兩個(gè)階段。為了得到更為有效的數(shù)據(jù)，首先對(duì)中國鐵建集團(tuán)項(xiàng)目部技術(shù)人員、財(cái)務(wù)人員進(jìn)行實(shí)地訪談，初步了解對(duì)該問題的看法，根據(jù)訪談結(jié)果按照COSO五要素設(shè)計(jì)了調(diào)查問卷。調(diào)查問卷采用了Likert五分法，分為極不同意、不同意、說不清、同意、極力同意五個(gè)級(jí)別，問卷調(diào)查采取實(shí)地分發(fā)和郵件傳送兩種方式。本次共發(fā)放問卷100份，收回83，其中剔除無效問卷2份，最后得到有效問卷81份，占總問卷數(shù)的81%。問卷中項(xiàng)目的設(shè)計(jì)均用數(shù)值表示調(diào)查對(duì)象對(duì)此項(xiàng)目的態(tài)度，設(shè)置了0、1、2、3、4五檔數(shù)值。endprint

（二）調(diào)查結(jié)果分析

1.控制環(huán)境。由表（2）可以看出，按公司隸屬關(guān)系由高到低其評(píng)分整體趨勢(shì)也是由高到低，即二級(jí)子公司總體和各項(xiàng)評(píng)分都最高，項(xiàng)目部則略低尤其是（1）、（4）、（5）這三項(xiàng)，項(xiàng)目部評(píng)分介于不同意和說不清之間，說明其整合IT組織與企業(yè)組織效率低、第三方業(yè)務(wù)中應(yīng)用信息系統(tǒng)處理業(yè)務(wù)量少，同時(shí)若信息系統(tǒng)發(fā)生與業(yè)務(wù)流程相關(guān)問題時(shí)，不能及時(shí)明確責(zé)任人。在對(duì)員工進(jìn)行IT業(yè)務(wù)培訓(xùn)方面，各級(jí)子公司差距不大，都做得令人滿意。見表（2）。

2.風(fēng)險(xiǎn)評(píng)估。由表（3）可以看出，各子公司都明確制定了信息系統(tǒng)內(nèi)部控制目標(biāo)，甚至是出現(xiàn)了項(xiàng)目部得分大于二級(jí)子公司的情況，集團(tuán)公司會(huì)下發(fā)相關(guān)文件為各級(jí)子公司指引，項(xiàng)目部IT內(nèi)控目標(biāo)制定實(shí)施良好。各級(jí)子公司都明確了信息系統(tǒng)的經(jīng)營(yíng)風(fēng)險(xiǎn)，在系統(tǒng)維護(hù)和安全措施方面投入量很大，而在信息系統(tǒng)合規(guī)風(fēng)險(xiǎn)這一塊，主要是項(xiàng)目部評(píng)分在不同意以下。見表（3）。

3.控制活動(dòng)。由表（4）可以看出，各項(xiàng)評(píng)分介于2.5-3.2之間，其信息系統(tǒng)控制活動(dòng)整體接近同意這一評(píng)價(jià)標(biāo)準(zhǔn)。但評(píng)分隨公司隸屬關(guān)系由高到低分布，在實(shí)行全面控制方面二級(jí)子公司做的最好，接近于滿點(diǎn)，可想而知安全控制影響之大使其資金投入量也加大；在職責(zé)分離、領(lǐng)導(dǎo)監(jiān)督及數(shù)據(jù)有效輸入控制方面項(xiàng)目部實(shí)施良好，與上級(jí)公司基本持平。見表（4）。

4.信息與溝通。表（5）顯示，各級(jí)子公司在企業(yè)各部門信息有效溝通共享和及時(shí)報(bào)告企業(yè)安全及違例情況上差距較大，尤其是項(xiàng)目部，其后兩項(xiàng)的評(píng)分低于1分，處于極不同意和不同意之間，應(yīng)加強(qiáng)管理建設(shè)。而在財(cái)務(wù)報(bào)告和財(cái)務(wù)信息溝通方面公司格外注重，如2014年初，根據(jù)集團(tuán)公司的統(tǒng)一部署，中國鐵建十五局二公司滬昆項(xiàng)目部停止使用浪潮財(cái)務(wù)管理系統(tǒng)，中國鐵建財(cái)務(wù)共享服務(wù)平臺(tái)取而代之，形成以協(xié)同辦公、綜合項(xiàng)目管理、企業(yè)郵件、財(cái)務(wù)共享服務(wù)為主，QQ交流群、項(xiàng)目微信群為輔的“4+2”項(xiàng)目信息化綜合管理體系，為改善企業(yè)的經(jīng)營(yíng)管理做出巨大貢獻(xiàn)。見表（5）。

5.監(jiān)控活動(dòng)。表（6）顯示，各級(jí)子公司在實(shí)時(shí)監(jiān)控計(jì)算機(jī)運(yùn)行情況和進(jìn)行信息系統(tǒng)內(nèi)部審計(jì)方面實(shí)施情況比較好，評(píng)分近于同意。而在進(jìn)行有效缺陷識(shí)別管理和實(shí)時(shí)有效的對(duì)IT人員監(jiān)督管理上明顯三級(jí)子公司和項(xiàng)目部實(shí)施效果不好，這與項(xiàng)目部長(zhǎng)期以來的工作環(huán)境和施工條件密切相關(guān)，同時(shí)信息化管理人才缺乏也是造成這一現(xiàn)狀的重要原因。見表（6）。

四、IT環(huán)境下企業(yè)內(nèi)部控制建設(shè)對(duì)策

（一）設(shè)定相關(guān)人員權(quán)限控制

在信息系統(tǒng)控制環(huán)境部分，由調(diào)查數(shù)據(jù)可知若企業(yè)信息系統(tǒng)發(fā)生與業(yè)務(wù)流程相關(guān)的問題（如相關(guān)業(yè)務(wù)權(quán)限控制），能明確責(zé)任人這一項(xiàng)評(píng)分較低，尤其是項(xiàng)目部。在出現(xiàn)問題及時(shí)明確相關(guān)責(zé)任人，才能最大程度發(fā)揮信息系統(tǒng)在企業(yè)經(jīng)營(yíng)管理中的積極作用，這就使得相關(guān)人員權(quán)限控制顯得尤為重要。

（二）明確信息系統(tǒng)合規(guī)風(fēng)險(xiǎn)

通過風(fēng)險(xiǎn)評(píng)估評(píng)分表可知，信息系統(tǒng)合規(guī)風(fēng)險(xiǎn)相對(duì)目標(biāo)設(shè)定和經(jīng)營(yíng)風(fēng)險(xiǎn)來說評(píng)分比較低。說明企業(yè)對(duì)風(fēng)險(xiǎn)評(píng)估中合規(guī)風(fēng)險(xiǎn)控制不到位，尤其是底層項(xiàng)目部。中國有句古話說“沒有規(guī)矩，不成方圓?！币馑际侨鄙倭酥贫鹊募s束，人的行為就會(huì)進(jìn)入混亂。信息系統(tǒng)代替手工，使得審批流程簡(jiǎn)介方便，但是在這過程中也有合規(guī)風(fēng)險(xiǎn)出現(xiàn)，例如發(fā)票報(bào)銷，不必像以前一樣拿著發(fā)票找經(jīng)理主管簽字，有的甚至根本沒有簽字就可生成賬單，如果對(duì)信息系統(tǒng)合規(guī)風(fēng)險(xiǎn)控制不當(dāng)，則很容易給企業(yè)帶來巨大損失。

（三）加強(qiáng)對(duì)軟、硬件系統(tǒng)控制

硬件是實(shí)時(shí)信息系統(tǒng)的先決條件，而軟件則是決定信息系統(tǒng)命脈的決定因素。在信息化時(shí)代，軟硬件更新速度日新月異，只有緊跟時(shí)代潮流才能在信息化進(jìn)程中找到適合企業(yè)發(fā)展和生存的契機(jī)，有效利用信息化改善企業(yè)經(jīng)營(yíng)管理。在中國鐵建集團(tuán)官網(wǎng)上查詢可了解其財(cái)務(wù)軟件更新過程，1992年，初始實(shí)現(xiàn)電算化，還是當(dāng)時(shí)還是賬務(wù)單板機(jī)，不聯(lián)網(wǎng)；2002年，開始使用U8系統(tǒng)做賬；2005年NC的使用，才使得基層項(xiàng)目實(shí)現(xiàn)了網(wǎng)上做賬；到2007年，更新為浪潮GS3.5，并在其基礎(chǔ)上進(jìn)行二次開發(fā)，使其更加適合單位生產(chǎn)經(jīng)營(yíng)需要；2013年底，又更換成中國鐵建財(cái)務(wù)共享服務(wù)平臺(tái)，真正實(shí)現(xiàn)了財(cái)務(wù)交流無障礙。

（四）增強(qiáng)信息溝通與共享

中國鐵建集團(tuán)子公司眾多，遍布海內(nèi)外，如果不能及時(shí)信息溝通有效共享，可能會(huì)錯(cuò)失很多項(xiàng)目，同時(shí)也會(huì)給公司預(yù)算、采購、人工上浪費(fèi)很多資源。以尼泊爾馬蘭奇引水項(xiàng)目為例，在尼泊爾信息很落后，其網(wǎng)絡(luò)很不穩(wěn)定，通信也極不發(fā)達(dá)，公司安排專人定期和網(wǎng)絡(luò)公司聯(lián)系，督促檢查網(wǎng)絡(luò)信號(hào)，同時(shí)搭建內(nèi)部信息平臺(tái)，為每位員工配備了一張G網(wǎng)和一張C網(wǎng)手機(jī)卡，雙卡互補(bǔ)，確保信息交流基本暢通。

（五）加強(qiáng)缺陷識(shí)別與管理endprint

信息系統(tǒng)一直在更新?lián)Q代，以不斷適應(yīng)企業(yè)業(yè)務(wù)需求和管理需要，在信息系統(tǒng)有缺陷時(shí)能及時(shí)識(shí)別和管理，會(huì)使企業(yè)信息系統(tǒng)實(shí)時(shí)修善，為企業(yè)經(jīng)營(yíng)管理提供更好的服務(wù)，提高公司運(yùn)行效益和市場(chǎng)競(jìng)爭(zhēng)力。

參考文獻(xiàn)：

[1] 梁晟耀.企業(yè)內(nèi)部控制基本規(guī)范（第2版）[M].北京：電子工業(yè)出版社，2013.

[2] 財(cái)政部.企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)——信息系統(tǒng)[D].2010.

[3] 楊青峰.業(yè)務(wù)高管信息化領(lǐng)導(dǎo)力的16項(xiàng)修煉[M].北京：電子工業(yè)出版社，2010.

[4] 李曉慧，何玉潤(rùn).內(nèi)部控制與風(fēng)險(xiǎn)管理[M].北京：中國人民大學(xué)出版社，2012.

[5] 柯新生.企業(yè)信息資源規(guī)劃理論與方法研究[M].北京：電子工業(yè)出版社，2013.

[6] 戴欣.企業(yè)信息化水平的系統(tǒng)動(dòng)力理論[M].北京：電子工業(yè)出版社，2010.

[7] 嚴(yán)小麗，吳清.施工企業(yè)信息化績(jī)效評(píng)價(jià)[M]. 北京：中國建筑工業(yè)出版社，2013.

[8] 陳建斌.IT能力與企業(yè)信息化[M].北京：電子工業(yè)出版社，2010.

[9] 王宏，蔣占華，等.中國上市公司內(nèi)部控制指數(shù)研究[M].北京：人民出版社，2011.

[10] 周常發(fā).企業(yè)內(nèi)部控制實(shí)施細(xì)則手冊(cè) [M]. 2版.人民郵電出版社，2012.

[11] 梁晟耀.企業(yè)內(nèi)部控制基本規(guī)范——合規(guī)職務(wù)指南[M].北京：電子工業(yè)出版社，2010.

[12] 張文賢，孫琳.內(nèi)部控制會(huì)計(jì)制度設(shè)計(jì)[M].上海：立信會(huì)計(jì)出版社，2004.

[13] 孫永堯.內(nèi)部控制案例分析[M].北京：中國時(shí)代經(jīng)濟(jì)出版社，2007.

[14] 艾文國，唐思思.信息化環(huán)境下基于風(fēng)險(xiǎn)管理的內(nèi)部控制研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2009（1）.

[15] 張小穎，馬廣奇.基于COSO報(bào)告的企業(yè)內(nèi)部控制體系評(píng)述[J].陜西科技大學(xué)學(xué)報(bào)，2008（6）.

[16] 譚志剛.企業(yè)信息化環(huán)境下內(nèi)部控制的思考[J].財(cái)會(huì)通訊，2004（1）.

[17] 李忠輝，石雙元.企業(yè)信息系統(tǒng)中的內(nèi)部控制模型及其應(yīng)用[J].武漢理工大學(xué)學(xué)報(bào)，2004（10）.

[18] 趙代強(qiáng)，錢振地.鐵路施工企業(yè)科研項(xiàng)目管理信息系統(tǒng)方案設(shè)計(jì)[J].鐵道工程學(xué)報(bào)，2007（3）.

[19] DaVI W S， YEN D C. The information system consultants handbook[M]. CRC Press， 1999.

[20] LaNE R，BRENDaN T.OConnell. The changing face of regulators investigations into financial statement fraud[J]. 2009（2）.

編輯：曉斌秦思慧endprint