在人類社會跨入21世紀之際，由現(xiàn)代信息技術所引發(fā)的全球信息化浪潮沖擊著傳統(tǒng)社會生活的每一個角落。信息技術的發(fā)展，開創(chuàng)了人類智力解放的新紀元，是現(xiàn)代科技革命的重要標志。信息技術的應用滲透到了國民經濟和社會發(fā)展的各個領域和各個層次，對人類社會的政治、經濟和文化等方面都產生了巨大的沖擊，各行各業(yè)都面臨著信息化的挑戰(zhàn)。在我國，“大力推動全社會的信息化，以信息化帶動工業(yè)化”的戰(zhàn)略已經深入人心。信息技術在企業(yè)中的運用日益廣泛和深入，會計電算化、管理信息系統(tǒng)（MIS）、企業(yè)信息系統(tǒng)（EIS）、企業(yè)資源規(guī)劃（ERP）、客戶關系管理（CRM）、電子商務（EC）、虛擬企業(yè)等概念和應用層出不窮。企業(yè)信息化促使企業(yè)的組織形式、管理體制、控制要點等等發(fā)生重大的變化。企業(yè)組織結構趨向扁平，管理人員越來越依賴于信息系統(tǒng)經營和控制企業(yè)，電子商務將成為新世紀中全球貿易的發(fā)展方向。

　　企業(yè)信息化給企業(yè)的內部控制提出了新的挑戰(zhàn)。信息技術對內部控制產生了哪些影響？內部控制應該如何改變才能適應變化？企業(yè)應該如何加強信息化環(huán)境下的內部控制？這些正是本文擬探討的問題。

　　一、內部控制及其構成要素

　　目前，對內部控制較為權威的定義是美國COSO委員會提出的內部控制整體框架概念。COSO委員會于1992年提出報告《內部控制-整體框架》，并于1994年進行了增補。COSO委員會認為，內部控制是由企業(yè)董事會、經理階層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。其構成要素應該來源于管理階層經營企業(yè)的方式，并與管理的過程相結合。具體包括五要素：（1）控制環(huán)境?？刂骗h(huán)境是指對建立、加強或削弱特定政策、程序及其效率產生影響的各種因素?？刂骗h(huán)境塑造企業(yè)文化，影響企業(yè)內部各成員的控制意識、企業(yè)內部控制的貫徹和執(zhí)行以及企業(yè)經營目標和整體戰(zhàn)略目標的實現(xiàn)?？刂骗h(huán)境的構成因素是多方面的。（2）風險評估。當今世界市場競爭日趨激烈，企業(yè)經營風險不斷增加，企業(yè)的內部控制必須從企業(yè)風險的分析入手，了解自身所面臨的風險，并適時加以處理。（3）控制活動。控制活動是確保管理階層的指令得以實現(xiàn)的政策和程序。傳統(tǒng)的控制活動主要包括：交易授權、職責分離、監(jiān)管、業(yè)務記錄、接觸控制和獨立稽核。（4）信息和溝通。企業(yè)必須保證企業(yè)內部的員工能夠取得他們在執(zhí)行、管理和控制企業(yè)經營過程中所需的信息，使員工順利履行其職責。（5）監(jiān)督。整個內部控制的過程必須施以恰當的監(jiān)督，通過監(jiān)督活動在必要時對其加以修正。內部審計和對控制的自我評估是最重要的兩項監(jiān)督。

　　二、企業(yè)信息化對內部控制的影響

　　（一）企業(yè)信息化如何影響內部控制（how）？

　　為了分析企業(yè)信息化對內部控制造成了什么影響，我們必須先分析企業(yè)信息化改變了企業(yè)哪些方面，從而對內部控制產生影響，即企業(yè)信息化是如何影響內部控制的。

　　1.信息技術在企業(yè)中的應用提高了企業(yè)的業(yè)務流程的自動化程度，業(yè)務流程中的一些環(huán)節(jié)被省略或合并。而且隨著電子商務的發(fā)展，企業(yè)間交易的自動化程度也將得到提高。內部控制的具體實施是根據業(yè)務流程的各個環(huán)節(jié)以及交易方式來進行的，因此，業(yè)務流程的自動化不可避免地對內部控制的各個要素以及控制理念等產生不同程度的影響。

　　2.企業(yè)信息化改變了數據和信息的獲取方式。傳統(tǒng)方式下，原始數據的獲取靠的是企業(yè)員工肉眼觀察、手工計數或使用儀器測量。在信息化條件下，可以利用傳感設備全自動地獲取所需的數據或信息。例如：用裝有重量感應裝置的貨架自動測量存貨數量、用自動監(jiān)控裝置代替值班人員等等。利用自動傳感設備具有高度自動化、準確性高、24小時不間斷、數據實時獲取、不受惡劣環(huán)境影響等優(yōu)點，為企業(yè)實施更有效的內部控制提供了基礎。

　　3.企業(yè)信息化改變了信息存儲的方式，存儲介質由紙變?yōu)榇疟P或光盤。與紙介質相比，磁介質或光介質具有存儲密度大、擦寫不留痕跡的特點，對內部控制的影響是雙方面的。存儲密度大使得企業(yè)可以集中保存數據和信息資源，便于對其加以保護，但一旦毀損或被盜將使企業(yè)遭受更大的損失。擦寫不留痕跡使得數據被篡改的可能性增大，需要加強內部控制。

　　4.企業(yè)信息化提高了信息處理的效率。在信息化環(huán)境下，借助計算機的高速處理能力，能夠使得信息處理的速度大為加快，效率大為提高。然而，這對內部控制的影響也是雙方面的。一方面，信息處理效率的提高有利于企業(yè)實施更復雜更有效的控制措施和控制方法，提高內部控制的效果和效率。另一方面，借助高速的信息處理能力，企業(yè)員工或管理當局造假的能力也能得到提高，例如：利用隨機數產生程序偽造應收款項或存貨的金額、利用報表編制程序快速編制多份虛假財務報表等等。這又要求企業(yè)加強內部控制。

　　5.企業(yè)信息化改變了信息的傳遞方式。信息化環(huán)境下的信息傳遞，改變了手工環(huán)境下的傳票、報告、電話等方式，利用電纜、光纜、無線電波等以光速傳遞信息，而且傳遞的信息量遠非傳統(tǒng)方式可比，為企業(yè)加強內部控制提供了基礎。但如果信息傳遞過程中受到了阻礙或破壞，也將給企業(yè)帶來更大的損失。

　　6.企業(yè)信息化提高了信息的集成性。在完善的企業(yè)信息系統(tǒng)的支持下，企業(yè)領導足不出戶，就能夠在電腦屏幕前對遍布世界的跨國公司了如指掌。輕點幾下鼠標就能成交生意、調動資金、指揮員工。企業(yè)信息系統(tǒng)為企業(yè)加強內部控制提供了基礎，同時也對企業(yè)的內部控制提出了更高的要求。

　　7.企業(yè)信息化提高了信息的價值。在信息時代，人們對信息資源的利用能力得到提高。人們已經認識到企業(yè)的數據和信息資源，是企業(yè)最寶貴的資產之一。而信息是無形的，與有形的資產相比，對信息的竊取更隱蔽，更不易被發(fā)現(xiàn)。這要求內部控制不但要保護有形資產，更要對企業(yè)的數據和信息資產加以保護。同時應當針對信息的特點，采用有效的保護措施。

　　8.企業(yè)信息化將對人造成一定的影響。在信息化環(huán)境下，人們可能越來越多地通過計算機網絡進行聯(lián)系和溝通，人與人之間的直接接觸將有所減少。網絡世界的無形性和匿名性將對人的心理造成一定的影響，從而影響控制環(huán)境。

　?。ǘ┢髽I(yè)信息化對內部控制造成了什么影響（what）？

　　1.企業(yè)信息化不影響內部控制的目標

　　設定目標是任何一個人造系統(tǒng)的首要環(huán)節(jié)。內部控制的目標決定了內部控制的要素、手段及其他組成部分。雖然它不是內部控制的組成要素，但卻是內部控制的先決條件，也是促成內部控制的要件。企業(yè)信息化雖然對企業(yè)產生了深遠的影響，但是并沒有改變企業(yè)經營管理的目標。因此，內部控制作為企業(yè)管理的一個組成部分，其總體目標也沒有改變，仍然是達到營運的效率和效果、財務報告的可靠性以及遵循相關法令。當然，各項具體的控制活動和控制措施中的子目標應該根據具體的情況有所變化。

　　2.企業(yè)信息化對內部控制五要素的影響

　?。?）對控制環(huán)境的影響

　　控制環(huán)境的構成因素是多方面的，主要包括：企業(yè)的治理機制、組織結構與權責分派體系、企業(yè)管理者的素質、品行與管理哲學、企業(yè)文化、信息系統(tǒng)、人力資源政策及實務等等。企業(yè)信息化將影響企業(yè)的治理機制。通過完善的企業(yè)信息系統(tǒng)，董事會、監(jiān)事會可以更及時更全面的了解企業(yè)的全面信息，因而可以更好地進行戰(zhàn)略制定、經理人員選擇和績效評價、企業(yè)運營情況監(jiān)控等等，對企業(yè)進行更好的治理。小股東可以以較低的成本通過網絡在線參加股東大會，而不必因為路途遙遠等原因放棄自己的權利，可以更好地維護自身的利益。信息化將使企業(yè)組織結構趨向扁平化，管理層次減少。

　　信息化對企業(yè)管理者的素質提出了更高的要求。企業(yè)所面臨的商務環(huán)境競爭加劇、變化加速，管理者所能獲得的信息量倍增，信息技術和信息系統(tǒng)在企業(yè)中的作用日益重要，這些都要求管理者不但要有更強的把握信息、利用信息的能力，在運營管理企業(yè)中利用好信息資源，而且要有對信息、信息技術和信息系統(tǒng)重要性和風險的認識和理解，制定良好的IT戰(zhàn)略和IT規(guī)劃。

　　在網絡環(huán)境下，人與人之間的直接接觸將有所減少。網絡世界的無形性和匿名性將對人的心理造成一定的影響，使部分人誤以為借助網絡為非作歹不容易被抓住，從而可能降低犯罪的心理閥值。信息資產價值的提高可能誘使掌握它的管理人員將其買給競爭對手的犯罪行為，而由于信息的無形性、可拷貝性，信息的泄密不易被發(fā)現(xiàn)。再者網絡的遠程接入性也給犯罪分子提供了方便，他們只要獲得一個登錄密碼就可能通過網絡侵入系統(tǒng)，竊取企業(yè)重要的信息資產，或是使信息系統(tǒng)崩潰，而不必像盜竊有形資產那樣需要翻墻入室、避開警衛(wèi)等麻煩之舉。這些均對管理人員的品行和道德水平提出了更高的要求。同時也需要企業(yè)加強對信息資產、信息技術和信息系統(tǒng)的內部控制，通過良好的管理手段和技術手段降低風險。

　?。?）對風險評估的影響

　　在企業(yè)信息化環(huán)境下，業(yè)務流程的自動化降低了業(yè)務處理過程中源于人員疏漏或舞弊的風險。但另一方面，企業(yè)的運營管理越來越依賴于信息系統(tǒng)，信息在企業(yè)中的作用日趨重要，信息化環(huán)境促使信息存儲高度集中、單位時間傳遞的信息量大為提高，這些都增加了與信息資產和信息系統(tǒng)相關的風險。信息化環(huán)境下，如果信息系統(tǒng)失靈或崩潰，重要信息被竊，都將給企業(yè)帶來不可估量的損失。因此，企業(yè)應當作好有關信息資產和信息系統(tǒng)方面的風險評估，建立良好的IT治理機制，減少災難的發(fā)生以及災難發(fā)生時的損失。

　?。?）對控制活動的影響

　　控制活動必須根據企業(yè)業(yè)務流程的情況和具體的控制點進行設置，因此，控制活動受到企業(yè)信息化的直接影響。信息化環(huán)境下的控制活動分為兩部分：自動化業(yè)務控制和信息系統(tǒng)控制。自動化業(yè)務控制的控制對象仍然是企業(yè)的生產經營過程，但其形式和控制手段發(fā)生了很大變化。它以計算機程序的形式嵌入于企業(yè)信息系統(tǒng)之中，對業(yè)務的控制由計算機自動完成。信息系統(tǒng)控制是企業(yè)為了保證信息系統(tǒng)正確性、完整性和安全性而采取的控制措施，其控制對象是企業(yè)信息系統(tǒng)，包括計算機軟硬件資源、應用系統(tǒng)、數據和相關人員等等信息系統(tǒng)的所有組成要素。隨著網絡技術和電子商務的發(fā)展，信息系統(tǒng)控制還必須考慮網絡安全和電子商務控制的問題。自動化業(yè)務控制和信息系統(tǒng)控制對控制活動有著不同要求，使得傳統(tǒng)的六類控制活動都有一定的變化。

　　信息化環(huán)境下的交易授權可以由計算機程序自動完成，使得授權過程不明顯，控制的失效往往在發(fā)生損失后才被察覺。因此，管理者對交易授權的關注應該轉移到對相關計算機程序的正確性和完整性的檢查上。

　　在信息化環(huán)境下，計算機能夠避免人類通常會犯的錯誤或舞弊，手工環(huán)境下的一些不相容的職責可以由計算機來執(zhí)行，所以職責分離和員工的相互檢查成為不必要的控制活動。同樣，也沒有必要針對自動業(yè)務流程進行監(jiān)管和獨立稽核。然而，對于信息系統(tǒng)的開發(fā)、實施、維護和操作等活動，職責分離、監(jiān)管以及獨立稽核仍然是重要的控制措施。

　　在信息化環(huán)境下，業(yè)務記錄不再是書面的簽章、編碼、交叉索引等，而是通過登錄密碼、操作日志等技術手段進行業(yè)務記錄，其有效性受信息系統(tǒng)的正確性、完整性和安全性的影響。

　　在信息化環(huán)境下，對計算機硬件設備的接觸控制與傳統(tǒng)方式下并無太大的區(qū)別，主要通過實物防護措施來進行。但對于信息資產的接觸控制，由于網絡的遠程接入性，應當通過防火墻、操作員權限設置、登錄密碼安全策略、信息系統(tǒng)審計等等技術手段和管理措施加以實現(xiàn)。

　?。?）對信息和溝通的影響

　　企業(yè)信息化對內部控制的信息和溝通這一要素產生了有利的影響。在完善的企業(yè)信息系統(tǒng)的支持下，企業(yè)員工能夠更好地取得他們在執(zhí)行、管理和控制企業(yè)經營過程中所需的信息，使員工順利履行其職責。當然，也要警惕信息技術可能帶來的信息過量的問題，以及借助高速信息處理能力造假的問題。

　　（5）對監(jiān)督的影響

　　借助信息技術，可以使一部分的監(jiān)督過程自動完成，并且可能實現(xiàn)實時監(jiān)督，從而提高監(jiān)督的效果和效率。應當注意的是，對信息系統(tǒng)的開發(fā)、實施和維護過程所進行的監(jiān)督應當成為監(jiān)督的重點。同時，“控制自我評估（CSA，Control Self Appraisal）”仍然是很有益的作法。CSA是企業(yè)不定期或定期地對自己的內部控制系統(tǒng)進行評估，評估內部控制的有效性及其實施的效率效果，以期能更好地達成內部控制的目標。CSA有助于提高組織內部控制的自我意識，幫助人們了解哪里存有缺陷以及可能引至的后果，然后采取行動改進這種狀況，對于一個企業(yè)加強管理、提高勞動生產率、改進內部審計程序和業(yè)務經營程序以及控制風險等都有著積極的作用。

　　三、企業(yè)信息化環(huán)境下加強內部控制的對策

　　（一）實施IT治理，從公司治理的高度對企業(yè)信息化作出制度安排

　　IT治理是一個相當新的概念，是從公司治理的高度，對企業(yè)信息化作出制度安排，制定與企業(yè)戰(zhàn)略相融合的IT戰(zhàn)略，并從戰(zhàn)略投資、企業(yè)管理變革的角度，降低IT風險。IT治理的目標是幫助管理層建立以企業(yè)戰(zhàn)略為導向，以外界環(huán)境為依據，以業(yè)務和IT相整合為中心的觀念，正確定位IT部門在整個組織中的作用。最終能夠針對不同業(yè)務發(fā)展要求，整合信息資源，制定并執(zhí)行推動企業(yè)發(fā)展的IT戰(zhàn)略。IT治理的主要任務是：保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，適當管理IT相關風險。

　?。ǘ┘訌娦畔⑾到y(tǒng)控制，實施信息系統(tǒng)審計

　　在企業(yè)信息化環(huán)境下，對信息系統(tǒng)的有效控制是企業(yè)開展正常的生產經營活動的前提和保障。有效的信息系統(tǒng)控制是技術與制度相結合的體系，決不僅僅是一個技術問題，不能僅由技術人員負責，而應當受到企業(yè)最高管理層的高度重視。

　　內部審計機構是信息系統(tǒng)控制最重要的執(zhí)行者之一。內部審計機構在信息系統(tǒng)的開發(fā)、實施、維護和操作過程中應當進行嚴格的獨立審查，并定期對信息系統(tǒng)加以檢查，以保證信息系統(tǒng)的正確性、完整性和安全性。內部審計機構應當將發(fā)現(xiàn)的問題及時報告給企業(yè)管理當局，提高管理當局對信息系統(tǒng)控制的重視程度，幫助管理當局彌補信息系統(tǒng)控制中的缺陷。

　　有條件的企業(yè)還應當實施信息系統(tǒng)審計。信息系統(tǒng)審計是獨立信息系統(tǒng)審計師，為了信息系統(tǒng)的安全、可靠與有效，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向被審計單位的最高管理當局，提出問題與建議的一系列活動。信息系統(tǒng)審計綜合運用IT技術與審計理論和方法為信息系統(tǒng)的使用者提供合理的保證。

　　信息系統(tǒng)審計主要包括以下幾個方面：（1）評價信息系統(tǒng)的管理、規(guī)劃與組織方面的策略、政策、標準、程序和相關實務。（2）評價企業(yè)在信息系統(tǒng)技術基礎設施與操作實務的管理和實施方面的有效性及效率，以確保其充分支持企業(yè)的商業(yè)目標。（3）對邏輯、環(huán)境與信息技術基礎設施的安全性進行評價，確保其能支持企業(yè)保護信息資產的需要，防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。（4）評價災難恢復與業(yè)務持續(xù)計劃，這些計劃保證在發(fā)生災難時，能夠使企業(yè)持續(xù)處理業(yè)務。（5）對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足企業(yè)的業(yè)務目標。（6）評估業(yè)務系統(tǒng)與處理流程，確保根據企業(yè)的業(yè)務目標對相應風險實施管理。

　　（三）實施業(yè)務流程重組

　　如果企業(yè)進行了一定程度的信息化，實施了蘊含先進管理思想的企業(yè)信息系統(tǒng)，但其業(yè)務流程仍然保持手工環(huán)境下的狀態(tài)，必然造成信息系統(tǒng)與業(yè)務流程之間存在許多沖突，從而使企業(yè)生產經營管理出現(xiàn)低效率，而且會形成內部控制的弱點和許多問題。因此，企業(yè)信息化過程中實施業(yè)務流程重組具有十分重要的意義。業(yè)務流程重組（BPR，Business Process Reengineering）的概念最早由著名管理學家Michael Hammer提出。他認為，“業(yè)務流程重組是從根本上重新考慮并徹底重建企業(yè)的業(yè)務流程，其目的是在成本、質量、服務和速度等方面取得顯著的改善，使企業(yè)能最大限度地適應以顧客、競爭、變化為特征的現(xiàn)代企業(yè)經營環(huán)境”。

　　（四）加強人力資源管理

　　任何企業(yè)的核心均是企業(yè)中的人及其活動。人力資源管理是合理配置和開發(fā)企業(yè)的人力資源，以實現(xiàn)企業(yè)目標的管理活動。在信息化環(huán)境下，企業(yè)加強內部控制的一個重要方面就是加強對人力資源的管理。對于內部控制而言，人力資源管理的目標主要是保證和提高員工的素質和品行。信息化環(huán)境對員工的素質提出了更高的要求，員工不但要熟悉更多的業(yè)務流程，而且還要熟悉信息系統(tǒng)的操作方法。另一方面，由于信息系統(tǒng)的程序設計員、系統(tǒng)管理員等人員對信息系統(tǒng)具有巨大潛在破壞力，要求這些人員具有更高的道德品質。企業(yè)應該通過完善的人力資源管理來保證員工尤其是與信息技術相關的人員的素質和品行，對他們進行合理且有效地管理，建立良好的績效評價機制、激勵機制以及約束機制，使擁有知識的人獲得合理的報酬，實現(xiàn)知識創(chuàng)造財富，留住了解重要信息資源的人才，防止人才流失以及相應的信息資源損失。