信息化内部控制的发展-

企业内部控制的信息化发展

21世纪是信息大爆炸的时代，伴随着计算机、网络通信以及“云技术”的不断发展和应用, 企业内部控制的信息化发展已经成为大势所趋，是企业提升自身竞争力，加强可持续发展的重要保障。而信息化也在很大程度上改变着内部控制的传统职能、范围以及方法，甚至重新定义了内部控制。我国颁布的《企业内部控制基本规范》中的《企业内部控制应用指引》第18号——信息系统，指出企业应当利用信息系统实施内部控制，应当重视信息系统在内部控制中的作用，这无疑对我国内部控制的信息化发展又注入了一针强心剂。

然而，现有对内部控制的研究，大多从属于会计审计的理论范畴；而且实务中对于内部控制的信息化的发展也较多停留在从“会计电算化”到“会计信息化”的浅层次的发展中。因此，我们还没有真正的站在整个企业组织管理的角度去看待内部控制，也没有真正走出“信息化就是用计算机代替手工以及纸张”的理论误区。

本文旨在总结我国企业内部控制的信息化理论研究成果，探讨现有研究存在的缺憾之处，分析内控信息化目前存在的问题。并提出在信息化条件下，内部控制的构建应当着眼于组织整体治理，从宏观理论的角度逐渐转变到重视具体的控制点上。

一、信息化进程对企业内部控制的影响

信息化的全面性、多元性、开放性对企业内部控制的影响已经深入到内部控制的方方面面；并且在企业信息化平台下，企业内部控制层次明显的减少、管理方式趋于扁平化（许永斌、俞淑仙，2004；刘志远、刘洁，2001；骆良彬、张白，2008），这些都对企业内部控制带来了较大影响。

对此前人也已做出了较为深刻、全面的研究，总结起来主要有对内部控制环境、形式、范围、内容、风险等方面的影响。

1、控制环境动态化、集中化、复杂化。在信息化条件下，无论是企业内部的人员都可以容易的获得想要的信息，并且信息还处在不停的更新中。企业内部各个部门可以及时的整合信息并将优化过的信息反馈，因此企业内部的交流沟通处于动态的变化之中（许永斌、俞淑仙，2004）；由于计算机、网络技术的普及，企业可以将大量的信息进行集中化处理（赵青华，2007）；信息化背景下，各个部门不再是单独的个体，而是高度沟通的复杂的整体，“信息孤岛”现象逐渐减少，内部控制因此需要满足日益复杂的环境。

2、控制形式多元化。传统的内部控制主要针对员工和职务的牵制；在信息化条件下，事件的处理都是通过计算机软件来实现。因此，内部控制形式开始转变为计算机程序控制和

人工控制相互结合（艾文国、王亚鸣，2008）。

3、控制范围和内容的扩大化。信息化条件下的企业内部控制在查错防弊以外，还涉及到企业的各个方面。内部控制的重点也从职位牵制、审核等扩大到网络安全、原数据输入、会计信息的输出控制、人机交互处理的控制、计算机系统之间的连接控制等多个方面（赵青华，2007；王棣华、杜晋贤，2008）。

4、控制风险的升级化。信息化条件下，信息资源的获取不再是难事，开放式的信息管理使得企业外部的人也可以较为便捷的得到想要的信息。同时，企业的核心信息由传统的手工、纸质转变为电子介质，因此信息的安全问题使得内部控制风险升级（赵青华，2007；杨周南，2003）。

二、内部控制在信息化条件下存在的问题

企业的信息化进程对内部控制产生了根本性的影响，因此现有内部控制要不断适应信息化发展的需要，但是在实践的过程中无论是从宏观还是微观的角度去看，都依然存在着一些问题亟待解决。

（一）宏观角度：企业将信息化进程片面化

1、信息化已经成为大多数企业的战略之一，但是企业组织在针对信息化制定的战略中却容易产生两个极端的错误：其一，将信息化当成企业唯一的战略目标；其二，将信息化系统的建设独立于企业战略之外（申林，2003）。

一方面，将信息化当成企业唯一的战略目标会让企业的运营方向产生重大偏差，同时也会片面的追求信息化速度与规模；另一方面，企业容易将信息化建设看成是发展的标志性项目，但是却没有充分的将信息化建设与组织内部的管理、决策以及组织职能结构有机的结合，会导致信息化与组织的管理之间相互独立、不相往来。

2、正是由于企业在制定信息化战略时存在的问题，才会导致信息化与企业组织管理之间存在较大问题，主要集中与两个方面：其一，信息化建设超然独立，与企业组织文化不相融合；其二，组织片面的追求信息化，乃至将管理信息化看成是片面的技术过程，在实际应用中重技术轻管理、重开发轻维护（申林，2003）。

正是由于企业将信息化进程片面化，才会在宏观层面导致内部控制无所适从，无法和信息化的发展协调进行，从而产生较多的问题。

（二）微观角度：信息化条件下的内部控制问题

1、内部控制缺乏针对企业信息化的可行性研究。内部控制应当对企业信息化建设进行

可行性研究，包括企业组织投入到信息技术上的各项资源如资金、技术、人员等，并对其做出详细的投资预算，监督各项资源落实到位，才能保障信息化建设顺利进行（游文丽、王形，2003）。

2、内部控制过程尚未合理的嵌入企业业务流和信息流。信息化的成果之一就是信息流广泛的应用于企业的各个部门沟通、各项事项处理之间，以及业务以业务流的形式进行处理。但是由于内部控制还未摆脱传统的会计审计的束缚，尚未上升到整个组织的控制，因此还未合理的嵌入到企业业务流和信息流，在许多的关键控制点都存在欠缺（申林，2003）。

3、现有内部控制类型不适合处理功能集中、职责集中的企业信息化。企业的管理、会计等系统信息化之后，大量的业务依靠信息系统完成，导致功能集中，部分人员职责集中。而传统的内部控制还过多集中在证实相符以及岗位之间的牵制等方面，所以现有的内部控制类型无法适应功能、职责集中的企业信息化发展。

4、信息系统无法判断经济业务、运营事项的发生是否合理、是否合法以及是否真实。信息系统可以直接处理大量的经济业务，而且处理的过程中人为无法参与进去，如果信息处理过程中产生错误，会直接影响信息的质量和管理决策。所以这就给内部控制对企业经营活动的监督产生较大挑战。虽然现在的信息系统软件带有一定的智能性，可以帮助企业做出部分管理和决策，但是始终无法代替人在企业活动中所起到的作用（王棣华、杜晋贤，2008）。

5、企业内部控制的部门缺乏高素质的信息技术队伍。一般来说，企业现有的信息技术方面的人才会集中在信息系统开发的岗位上，相应的内部控制岗位上却鲜有懂得信息化技术的人员，由于牵扯到不相容职务分离等原因，所以在企业信息化的背景下，内部控制部门继续补充信息化方面的人才。

6、企业内部控制在维护信息系统的安全性方面有待加强。传统的企业信息、记录全部是纸质材料。而信息化条件下，企业的信息全部保存在磁质媒介上，而且还是集中存储在计算机系统中，因此内部控制要保护信息系统安全性，以确保交易信息的安全、防止系统故障、计算机病毒的攻击等。此外，由于信息的集中存储，所以一旦系统被攻击或遭到破坏，其所造成的损失不可估量，所以在信息化背景下，内部控制除了确保信息系统安全外还应增加灾难恢复的职能。

三、企业内部控制在信息化条件下的完善

上文在前人的基础上，总结分析了信息化进程对企业内部控制的影响，以及内控在应对信息化时所存在的问题。那么，内部控制应该如何进行自我完善，以适应信息化的发展呢？