企業(yè)信息化已是大勢所趨，如果把信息化環(huán)境比作公路，那么內(nèi)部控制系統(tǒng)就是交通規(guī)則和監(jiān)控系統(tǒng)，企業(yè)經(jīng)營及其業(yè)務(wù)流程就是跑在高速公路上的汽車。如果沒有“交通規(guī)則”和“監(jiān)控系統(tǒng)”的規(guī)范與保障，即使有再好的高速公路，汽車也不能安全、高速地行駛。當(dāng)前，由于信息系統(tǒng)已在我國企業(yè)中逐步普及，而且我國正處在建立內(nèi)部控制標(biāo)準(zhǔn)、完善內(nèi)部控制法規(guī)之際，因此探討信息化環(huán)境下內(nèi)部控制系統(tǒng)的優(yōu)化就具有極其重要的意義。

　　一、信息化環(huán)境下內(nèi)部控制系統(tǒng)優(yōu)化的要點(diǎn)

　　信息化對企業(yè)內(nèi)部控制系統(tǒng)的影響主要體現(xiàn)在：一是企業(yè)的業(yè)務(wù)流程部分甚至全部由信息系統(tǒng)驅(qū)動和承載；二是企業(yè)內(nèi)部控制系統(tǒng)依賴于以信息技術(shù)為基礎(chǔ)的控制；三是企業(yè)內(nèi)部控制的建立依賴于信息系統(tǒng)生成的數(shù)據(jù)。參照COSO委員會的《內(nèi)部控制—整體框架》，特別是《企業(yè)風(fēng)險(xiǎn)管理—整合框架》，筆者認(rèn)為，信息化環(huán)境下的內(nèi)部控制系統(tǒng)優(yōu)化需要明確以下要點(diǎn)：

　　1.人的因素是信息化環(huán)境下內(nèi)部控制系統(tǒng)優(yōu)化的重要環(huán)境基礎(chǔ)。

　　在信息化環(huán)境下，企業(yè)組織結(jié)構(gòu)在一定程度上趨于扁平化，企業(yè)內(nèi)部控制層次有了一定程度的減少，信息的快速傳遞會在企業(yè)內(nèi)部造成一個流動和動態(tài)的工作氛圍，權(quán)限和職責(zé)的分配方式可以通過信息系統(tǒng)硬性設(shè)置為前饋控制，而每個員工作為信息輸入/輸出的主體直接影響到內(nèi)部控制系統(tǒng)的運(yùn)作，因此對于其素質(zhì)、價(jià)值觀、人力資源政策和實(shí)踐等軟環(huán)境因素就會提出更高的要求。由于信息通過系統(tǒng)平臺實(shí)時(shí)傳遞、充分共享，每位員工的輸入、輸出信息都會在第一時(shí)間直接影響到其他相關(guān)職能部門人員的業(yè)務(wù)操作，甚至是管理者的決策，因此，具有恰當(dāng)?shù)膬r(jià)值觀、整體全局觀，明確責(zé)任歸屬，不斷學(xué)習(xí)創(chuàng)新的知識型員工和管理者，會為整個控制系統(tǒng)的良性運(yùn)轉(zhuǎn)、自主優(yōu)化做出貢獻(xiàn)，并決定控制系統(tǒng)的成敗。

　　2.風(fēng)險(xiǎn)管理是信息化環(huán)境下內(nèi)部控制系統(tǒng)優(yōu)化的主要驅(qū)動力。

　　內(nèi)部控制的真正價(jià)值在于能夠幫助組織降低其所承受的風(fēng)險(xiǎn)。在信息化環(huán)境下，業(yè)務(wù)流程的改變、系統(tǒng)的開放性、信息的分散性和數(shù)據(jù)的共享性極大地?cái)U(kuò)展了內(nèi)部控制的內(nèi)容，而新的技術(shù)也帶來了新的風(fēng)險(xiǎn)。優(yōu)化內(nèi)部控制系統(tǒng)，首先要熟悉業(yè)務(wù)并識別隱藏在業(yè)務(wù)之中的風(fēng)險(xiǎn)，然后才能有效利用信息技術(shù)作為控制風(fēng)險(xiǎn)的有效工具，為相應(yīng)的業(yè)務(wù)處理過程以及信息過程制定相對正確有效的規(guī)則。

　　3.控制活動全方位貫穿于業(yè)務(wù)流程優(yōu)化和保障信息系統(tǒng)安全過程中。

　　在信息化環(huán)境下，信息在整個企業(yè)實(shí)現(xiàn)了充分共享，員工的業(yè)績也能通過系統(tǒng)得到客觀的計(jì)量，故而控制活動會通過控制系統(tǒng)的激勵、引導(dǎo)，逐步實(shí)現(xiàn)自我控制。企業(yè)的控制活動客體發(fā)生了改變，主要是放在了更有可能引起風(fēng)險(xiǎn)的業(yè)務(wù)流程設(shè)計(jì)和系統(tǒng)安全控制上，而對下級人員的工作績效的監(jiān)督更多地是通過系統(tǒng)來完成。企業(yè)業(yè)務(wù)流程通過信息系統(tǒng)的實(shí)施得以再造，可以明確不同的作業(yè)環(huán)節(jié)、不同的個人和部門之間在執(zhí)行作業(yè)過程中的先后順序及其權(quán)責(zé)分工，從而使不同作業(yè)環(huán)節(jié)、部門和員工之間產(chǎn)生一種既相互協(xié)調(diào)又相互制約的關(guān)系。任何一個流程系統(tǒng)出現(xiàn)問題，都會從其他流程系統(tǒng)中實(shí)時(shí)得到反映，從而構(gòu)成企業(yè)內(nèi)部控制活動的重要機(jī)制。

　　4.信息與溝通是內(nèi)部控制系統(tǒng)優(yōu)化的重要保障。

　　隨著信息技術(shù)在企業(yè)的深入應(yīng)用，信息與溝通會貫穿內(nèi)部控制的所有環(huán)節(jié)、要素，并逐漸從內(nèi)部控制內(nèi)在的構(gòu)成要素中凸現(xiàn)出來，成為內(nèi)部控制系統(tǒng)構(gòu)建的前提條件。而現(xiàn)代化管理要求管理過程化，因此，控制和信息是不可分的，任何信息的傳遞和處理都是過程控制和信息管理的兩位一體。信息和溝通是內(nèi)部控制的重要資源，是組織和控制過程的依據(jù)和手段，是各管理層次和工作環(huán)節(jié)互相溝通的神經(jīng)和紐帶，是決策的基礎(chǔ)。信息是控制的依據(jù)和基礎(chǔ)，控制離不開信息的交換和反饋，沒有信息，控制也就失去了依據(jù)。

　　5.監(jiān)控的內(nèi)容和方式發(fā)生變化。

　　信息化環(huán)境使內(nèi)部控制系統(tǒng)具有了人工控制與程序控制相結(jié)合的特點(diǎn)。企業(yè)內(nèi)部控制體系的程序化使內(nèi)部控制在一定程度上具有了對信息系統(tǒng)的依賴性，同時(shí)還增加了由于差錯得不到及時(shí)有效控制而反復(fù)發(fā)生的可能性。程序化內(nèi)部控制系統(tǒng)的有效性取決于應(yīng)用程序設(shè)計(jì)的質(zhì)量，由于用計(jì)算機(jī)程序來進(jìn)行的內(nèi)部控制措施體系是需要被反復(fù)評估和優(yōu)化的，若程序發(fā)生差錯或不起作用，那么控制失效就有可能長期不被發(fā)現(xiàn)，從而使系統(tǒng)由于程序運(yùn)行的重復(fù)性而反復(fù)發(fā)生相同的紕漏。所以，信息化環(huán)境下的內(nèi)控系統(tǒng)更需要監(jiān)督，且更多地側(cè)重于人工和程序方面。伴隨著信息技術(shù)與企業(yè)管理的結(jié)合，管理系統(tǒng)能夠越來越低成本地產(chǎn)生信息，而監(jiān)控不僅可以依靠會計(jì)信息展開，還可以根據(jù)諸多管理系統(tǒng)生成的業(yè)務(wù)信息展開。監(jiān)控的范圍也從最初的財(cái)務(wù)會計(jì)轉(zhuǎn)變到了企業(yè)整體風(fēng)險(xiǎn)管理運(yùn)作上，時(shí)效性有所提高，已從事后控制轉(zhuǎn)變?yōu)槭虑翱刂坪蛯?shí)時(shí)監(jiān)督。

　　二、兼顧技術(shù)和管理的內(nèi)部控制系統(tǒng)優(yōu)化策略

　　1. 利用系統(tǒng)集成化優(yōu)化內(nèi)部控制系統(tǒng)。

　　在信息化初始階段，企業(yè)通常借助計(jì)算機(jī)去滿足手工狀態(tài)下內(nèi)部控制和信息處理的要求，很少甚至基本沒有顧及信息技術(shù)本身的特性，由此產(chǎn)生諸多“信息孤島”，而某一控制所需要的信息可能部分來自于會計(jì)信息系統(tǒng)，也可能部分來自于其他不同的信息系統(tǒng)。這使得很多企業(yè)在管理現(xiàn)代化后并沒有贏得任何控制的優(yōu)勢。而新系統(tǒng)的集成化是優(yōu)化內(nèi)部控制的必由之路。系統(tǒng)集成化是把企業(yè)的所有業(yè)務(wù)實(shí)現(xiàn)信息集成，通過物流、資金流和信息流的協(xié)同進(jìn)行，從而實(shí)現(xiàn)對業(yè)務(wù)流程的控制。

　　一是整合事前預(yù)防、事中檢查和事后糾正三種控制機(jī)制。

　　在集成化的系統(tǒng)中，業(yè)務(wù)活動和信息處理相結(jié)合，以事前預(yù)防和事中檢查為主、事后糾正為輔來控制業(yè)務(wù)流程和結(jié)果的風(fēng)險(xiǎn)。比如，企業(yè)通過預(yù)算管理體系，使得費(fèi)用使用部門、審批、執(zhí)行與預(yù)算等各相關(guān)部門的職責(zé)權(quán)限與流程在集成化的系統(tǒng)中得到統(tǒng)一的規(guī)范，任何超越權(quán)限、突破流程的作業(yè)都不可能發(fā)生，任何部門或個人的失職在系統(tǒng)中都被實(shí)時(shí)地記錄和反映。這種事前預(yù)防和事中檢查功能可對差錯和舞弊進(jìn)行及時(shí)有效的控制。

　　二是實(shí)現(xiàn)由會計(jì)控制向全面控制、自主控制轉(zhuǎn)變。

　　系統(tǒng)的集成化使得企業(yè)中的任何一員都可以在其授權(quán)的范圍內(nèi)進(jìn)行控制，只要利用信息技術(shù)設(shè)計(jì)好嚴(yán)格的控制機(jī)制，就可以方便地實(shí)現(xiàn)從以會計(jì)控制為主向全面的內(nèi)部控制轉(zhuǎn)變，并由內(nèi)部控制進(jìn)一步朝自主控制的方向發(fā)展。

　　2. 創(chuàng)建良好的信息和溝通機(jī)制，優(yōu)化內(nèi)部控制系統(tǒng)。

　　在信息化環(huán)境下，信息和溝通機(jī)制包括企業(yè)內(nèi)部IT部門核心成員與相關(guān)業(yè)務(wù)人員的溝通以及與外部審計(jì)師之間的溝通。

　　系統(tǒng)的集成性為構(gòu)建良好的內(nèi)部信息和溝通機(jī)制創(chuàng)造了條件。由于在業(yè)務(wù)發(fā)生時(shí)及時(shí)收集的業(yè)務(wù)信息可實(shí)時(shí)傳遞到財(cái)務(wù)系統(tǒng)，因而實(shí)現(xiàn)了對物流、資金流、信息流的全面控制，企業(yè)中的任何經(jīng)營決策過程及其影響的信息已經(jīng)不再是實(shí)際掌握或執(zhí)行該項(xiàng)經(jīng)營決策的個人或部門的壟斷信息，而是成為整個企業(yè)的共享信息。

　　與外部審計(jì)師的溝通則要抱著積極開放的態(tài)度，及時(shí)跟蹤業(yè)內(nèi)動態(tài)并與審計(jì)師一起討論分析，增加相互信任，爭取與外部審計(jì)師交換意見的機(jī)會，尊重審計(jì)師的建議和觀點(diǎn)，及時(shí)糾正審計(jì)師發(fā)現(xiàn)的問題，爭取盡早在有爭議的問題上達(dá)成一致。

　　3. 重組業(yè)務(wù)流程，優(yōu)化內(nèi)部控制系統(tǒng)。

　　通過有效執(zhí)行設(shè)計(jì)合理的業(yè)務(wù)流程，能規(guī)范業(yè)務(wù)操作，變“人為控制”為“自動控制”，同時(shí)提高處理速度，變“滯后控制”為“實(shí)時(shí)控制”。內(nèi)部控制以貫穿企業(yè)全部業(yè)務(wù)流程為主線覆蓋整個企業(yè)，優(yōu)化內(nèi)部控制系統(tǒng)就要通過對業(yè)務(wù)流程進(jìn)行優(yōu)化和重組完善原有的內(nèi)部控制。首先，由于業(yè)務(wù)流程重組涉及組織結(jié)構(gòu)調(diào)整和人員、崗位、職能調(diào)整以及控制點(diǎn)的變化。因此，內(nèi)部控制要結(jié)合新控制點(diǎn)制定控制措施。其次，要面向客戶和供應(yīng)商整合整個供應(yīng)鏈業(yè)務(wù)流程，并盡可能實(shí)現(xiàn)企業(yè)與外部只有一個接觸點(diǎn)，變局部控制為全程控制。再次，盡可能將控制點(diǎn)設(shè)在工作執(zhí)行的地方，使組織結(jié)構(gòu)扁平化，降低內(nèi)部控制的成本。最后，針對企業(yè)的各種業(yè)務(wù)從政策法規(guī)、權(quán)限金額、標(biāo)準(zhǔn)流程、部門職責(zé)等方面進(jìn)行規(guī)范，并將這些規(guī)定固化在軟件程序中，迫使企業(yè)人員按照這種既定的規(guī)則進(jìn)行操作，以提高內(nèi)部控制的執(zhí)行力度。

　　4. 利用信息技術(shù)優(yōu)化內(nèi)部控制系統(tǒng)。

　　信息技術(shù)的確會給組織帶來新的風(fēng)險(xiǎn)，但伴隨新風(fēng)險(xiǎn)的產(chǎn)生，新的工具也產(chǎn)生了。只要使用得當(dāng)，就能非常有效地降低這種風(fēng)險(xiǎn)對組織可能造成的損害直至最終合理保證內(nèi)部控制的目標(biāo)。另外，信息技術(shù)還提供了有效的電子審計(jì)線索，數(shù)據(jù)收集的觸角可以延伸到原始業(yè)務(wù)發(fā)生的所有場所，我們可以從報(bào)表追查到相應(yīng)的賬簿，再從賬簿追查到會計(jì)分錄，然后從分錄到原始憑證的路徑追溯審計(jì)線索。

　　利用信息技術(shù)優(yōu)化內(nèi)部控制系統(tǒng)，需要實(shí)施以下七個步驟：一是項(xiàng)目組織和計(jì)劃；二是內(nèi)控業(yè)務(wù)流程分析；三是識別和設(shè)計(jì)IT 控制點(diǎn)；四是評估IT 內(nèi)控設(shè)計(jì)的有效性；五是評估IT 內(nèi)控執(zhí)行的有效性；六是缺陷識別和改進(jìn)建議；七是持續(xù)改進(jìn)。其中，步驟二和步驟三是實(shí)施內(nèi)部控制優(yōu)化的重要環(huán)節(jié)。通過這兩個步驟的分析設(shè)計(jì)過程，可以確定企業(yè)內(nèi)部控制的范圍，依據(jù)該范圍再去評估整個內(nèi)部控制的設(shè)計(jì)有效性和執(zhí)行有效性。