信息技术环境下企业内部控制探究

一、信息技术对企业内部控制要素的影响分析

1、对企业控制环境的改善

控制环境构成一个单位的控制氛围，是所有控制方式和方法赖以存在的运行环境。它包括员工的诚实度和胜任能力、董事会或审计委员会、管理理念和经营方式、组织结构、授予权利和责任的方式、人力资源政策。实施信息技术使企业内部控制环境发生以下的变化。首先，企业组织结构趋于扁平化。由于计算机信息处理技术替代大量业务层和中间层的数据处理上作数据以磁介质的方式存储在数据库中，并能通过网络迅速传输到企业各个角落，信息技术减少信息在传统组织的信道传输中延迟、失真以及噪音丁扰，降低信息获取成本，扩大信息发布范围，增进组织各层次人员的信息传递与交流原先多人分工协作的工作信息重组后只需一个人就可以完成，大量的人工控制被信息系统的自动控制所取代，这种变化导致企业组织结构趋于扁平化，内部控制层次明显减少，岗位更加精简，责任更加明确，效率更加提高。其次，提高员工地位和素质要求。随着组织扁平化和业务流程化与信息化，企业决策层次向下移动，基层员工获得更多的决策机会同时对员工素质也提出了更高的要求。

2、扩大企业风险评估范围

信息技术应用改变企业传统营运模式，也带来业务流程和信息系统的新风险。例如企业在信息技术平台上运行ERP系统、电子商务、供应链管理系统、客户关系管理系统，通过企业之间、企业内部的信息传递实现协同合作、优化资源配置。企业物流和资金流的流量、流速均由计算机精密排程，与联盟企业、市场情况环环相扣，以求最低成本、最快速度、最好质量组织企业经营活动。因此，供应链的任何环节出现突发事件都会波及企业的正常运行，给企业带来损失。企业风险识别、评估与防范，不仅要考虑内外部环境，而且要考虑业务流程与信息流程的耦合度、协作企业的关联度、信息系统的依赖度等因素，规避供应链作业流程和信息系统的新风险给企业带来的危害

3、业务流程控制与信息系统控制成为控制活动的一项重要内容

在信息技术平台下，企业战略远景的实现、信息系统的导入、企业文化价值观的具体呈现，最终落实到企业的业务作业流程。信息技术应用使传统人工控制形式演变为人机系统控制，控制重心将集中在作业流程的人机控制与信息系统控制。因此传统的内部控制规则和程序在新的技术环境下失去存在的意义，新的控制规则和程序建立在充分利用信息技术、用最少的资源达到更佳控制目标的基础上。企业员工可以根据信息系统反映的信息流及时监控业务过程的物流、资金流、作业流，通过反馈信息与控制参数的比较，制定决策、预防风险、修正作业错误，防范业务舞弊。

4、组织成员之间信息交流和沟通更加便利

信息与沟通是指企业在其经营过程中识别企业内、外部信息，并在组织内沟通，以便员工了解、执行其职责。信息技术应用改变企业信息孤岛的状况，大量的企业环境信息、政策信息、经营信息、财务会计信息、作业信息集存储在企业数据库系统内，并不断被实时更新。互联网、企业网、数据库技术为企业成员提供了很好的沟通条件。在这个平台上、员工可以十分便捷地从计算机数据库中查阅有关的政策和法规，获取与其职责相关的控制信息，明确各自的权利与责任，了解自己的活动如何与他人的工作相关，以及例外情况如何报告或处理的途径。另外，企业在网络平台上构建与利益相关者联系的机制，使组织的相关成员，可以实时获取经营信息与财务会计信息，及时进行沟通，达到最佳协同合作和利益共享。

5、监控过程更注意信息系统内部控制参数与控制程序

监控是评价一段时间的内部控制质量过程，包括及时评估控制制度的设计和运行，以及在必要的时候采取的行动。在信息技术环境下，内部控制是基于一种人机结合的控制模式，许多控制程序、控制指标、控制方法被设置在计算机信息系统内部，因此监控的一项重要内容就是要及时了解原来设置在信息系统内部，的控制程序、控制参数是否过时，并针对企业经营环境变化情况，及时评估业务流程控制点的运行状态，重新调整或更改设置在信息系统的控制参数或程序

二、信息技术环境企业内部控制面临的风险

信息技术如同双刃剑，一方面给企业的内部控制提供支持和保证，同时也给企业内部控制带来更大的风险。

1、信息化扩大了风险的控制范围

手工环境下，内部控制侧重于企业内部的控制管理，内部控制的目的主要是查找错误，防止舞弊。信息化环境下，企业的营运模式和业务流程发生改变，电子商务、ERP系统、供应链管理系统、客户关系管理系统的应用，使得企业内部各部门之间、企业与企业之间共享信息、协同合作、最优化的配置资源，但如果供应链内的任何企业发生突发事件，都会给其它企业带来难以估计的损失。所以信息技术使得企业的信息系统发生新的风险。信息系统的开放性、数据的分散性和共享性改变了传统封闭状态的运行环境。网络黑客和病毒的肆虐使计算机网络变得脆弱。数据无痕迹的修改和删除增加了数据的不安全性。信息化环境下企业数据的存贮方式和内容也发生了很大的变化，增加了会计档案的保管保密的难度。因此，信息化条件下内部控制的范围从内部扩大到外部，信息化扩大了企业风险控制的范围。

2、信息化给会计信息系统控制带来新的风险。

现行的通用会计软件为了满足用户的个性化要求，允许用户根据业务类型不同可以建立多个套账。个别企业利用此功能另外建立账套，按自己特殊的目标对原始数据进行特殊的加工处理，存贮到另外的数据库内，提供虚假的会计信息。用户利用会计软件的自定义转账凭证功能，修改自动转账定义公式的参数，多提费用，达到偷税的目的。由于计算机软件自动生成记账凭证，这样的漏洞很难被发现。会计软件中的成批出纳签字和成批复核签字功能，虽然提高了会计工作效率，但同时也掩盖了错误，使内部复核工作走马观花、形同虚设。 3、信息化环境下数据差错的重复性和传染性风险

信息化环境下，由于软件开发人员的知识结构和掌握技术的局限性或者使用的开发技术不够先进，开发的软件做不到完美，不能完全满足用户的需求，软件往往存在瑕疵。如果应用程序设计不当，或者开发人员有意将错误的程序植入程序之中，所设计的软件也就难以正确处理数据。

三、基于信息化环境的企业内部控制策略

1、树立信息化环境下风险控制理念

（1）建立新型的风险控制体系，加强内部控制创新。新经济是在高科技不断创新的基础上建立起来的，企业在新经济环境下运行具有很大风险、企业的生产经营活动需要相应的内部控制制度创新做保证因此借助于信息技术，利用信息资源，及时的将资本市场、产品市场、供求状况、顾客信息、政策法规的信息进行收集和整理，通过计算机的多模型模拟，进行敏感度分析，及时调控经营风险，完善投资决策.是一个越来越被重视的领域。

（2）注意识别新环境下的新风险，制定相应的控制程序有效降低风险。对于内部控制的研究不可能脱离其赖以存在的环境及企业内外部各种风险因素。在IT技术高速发展的今天，信息的传播、处理和反馈的速度都大大加快了，由此导致企业会常常同时改变业务和信息过程在这个改变过程中，不能再盲目地采用传统的控制政策和程序，而必须重新评价它，以适应新业务发展的需要我们应把注意力集中在评估特定业务环境下的风险，并制定相应的控制程序，而不能拘泥于特定的控制程序，并进而限制了对技术的使用。

2、积极推进信息技术与内部控制的结合，进一步完善内部控制制度

（1）增强内部控制系统的预防性功能。在信息技术环境下，广泛地使用信息技术为支持决策和改善业务与信息过程提供了战略机会，也提供了预防、检查和纠正错误或舞弊的机会。因此，会计与审计人员在建立内部控制制度时，应充分考虑技术的能力，打破传统上独立的、反映的和检查性的模式，而具备“实时”的控制思想：即利用信息技术将控制嵌人到会计信息系统中，在更广泛的仃环境中来看待企业内部控制，针对关键控制点制定相应的控制手段，强调预防、业务操作和对规章制度的遵守情况，从传统的发现问题、事后补救的做法，发展为做到事前预防和事中控制。

（2）利用信息技术，实现企业的一体化集成管理。企业应在新环境下，通过信息化的手段完成产、供、销业务的连贯，实现财务处理与业务处理的一体化，建立一个实时有效的计划和预算系统。在流程信息化的过程中，改革传统的业务结构，提高运营效率，降低成本，加强企业内部基础管理的规范性。信息技术为达到记录、维护和产生精确、完整和及时的信息这一目标带来了机遇。但是，当企业在系统的开发与应用时，应更加强调，在业务活动发生时，在有关数据进人企业数据库之前，检查这些数据的精确性、完整性和合法性。如果不恰当的数据出现在记录和维护过程中，将会对公司造成某种程度的伤害。

四、结论

信息化环境下，企业的内部控制环境、业务流程、内部控制的范围、内容和手段等发生了很大变化。信息化对企业内部控制的许多方面都会产生正面和负面的影响。企业在构建信息化环境下内部控制时既要考虑信息化给企业带来的益处，又要充分考虑信息技术给企业带来的风险，转变理念，提高风险意识，未雨绸缪。信息技术是内部控制的重要手段，要发挥应有的作用，必须有适当的管理程序的支持。企业在充分利用信息技术的同时，要与时俱进，根据环境的变化不断调整、完善内部控制制度，以保证企业财产的安全、完整，保证企业提供信息的真实、可靠。

[1]谭完维.主动性的信息安全风险管理[J]. 金融电子化.2010(3).