一、引言

　　按COSO的定義①，企業(yè)內(nèi)部控制是一種由企業(yè)董事會、管理層和其他員工執(zhí)行，為達到財務(wù)報告的可靠性、經(jīng)營的效果和效率、符合適應(yīng)的法律和法規(guī)的目標而提供合理保證的過程，并由控制環(huán)境、風(fēng)險評估、控制活動、信息和溝通、監(jiān)控五個要素組成。

　　傳統(tǒng)上，企業(yè)大量的經(jīng)營活動和信息處理活動的記錄主要由人工完成，經(jīng)營過程的物流、資金流所形成的數(shù)據(jù)流被記載在紙介質(zhì)上。會計與審計人員在這種應(yīng)用背景下所形成的風(fēng)險認識與控制觀點，一直左右著企業(yè)內(nèi)部控制系統(tǒng)設(shè)計。阿妮塔。s.霍蘭德將其描述為：（1）大量使用硬拷貝文檔記錄、處理和維護交易的信息；（2）重視職責(zé)和責(zé)任分離；（3）會計數(shù)據(jù)重復(fù)記錄和重復(fù)數(shù)據(jù)的大量調(diào)整；（4）會計師的反映性要多于主動性，檢查性要多于預(yù)防性；（5）嚴重依賴年末對財務(wù)報表的檢查；（6）避開信息技術(shù)；（7）控制的結(jié)構(gòu)基于符合性。

　　隨著經(jīng)濟全球化及市場競爭力度的加劇，許多企業(yè)加快了信息化的步伐，以提升企業(yè)競爭力。信息技術(shù)在企業(yè)的廣泛應(yīng)用，不僅改變了傳統(tǒng)手工數(shù)據(jù)處理方式，而且觸發(fā)了企業(yè)管理模式、生產(chǎn)方式、交易方式、作業(yè)流程的變革，人們的行為模式也隨著企業(yè)業(yè)務(wù)流程化、組織扁平化、作業(yè)信息化而發(fā)生變化。雖然信息技術(shù)沒有改變企業(yè)內(nèi)部控制目標，但企業(yè)內(nèi)部所發(fā)生的變革對傳統(tǒng)的內(nèi)部控制觀點、控制方法產(chǎn)生很大的沖擊。因此，如何構(gòu)建基于信息技術(shù)環(huán)境下的企業(yè)內(nèi)部控制系統(tǒng)已成為目前亟待解決的問題。為此，文本試圖從信息技術(shù)對企業(yè)內(nèi)部控制要素的影響著手，分析信息技術(shù)環(huán)境下企業(yè)內(nèi)部控制呈現(xiàn)的新特點，探討內(nèi)部控制系統(tǒng)設(shè)計策略，以期達到充分利用信息技術(shù)來提高內(nèi)部控制質(zhì)量的目的。

　　二、信息技術(shù)對企業(yè)內(nèi)部控制要素的影響分析

　　1.改善企業(yè)控制環(huán)境

　　控制環(huán)境構(gòu)成一個單位的控制氛圍，是所有控制方式和方法賴以存在的運行環(huán)境。它包括員工的誠實度和勝任能力、董事會或?qū)徲嬑瘑T會、管理理念和經(jīng)營方式、組織結(jié)構(gòu)、授予權(quán)利和責(zé)任的方式、人力資源政策和實施。信息技術(shù)使企業(yè)內(nèi)部控制環(huán)境發(fā)生以下的變化。

　　首先，企業(yè)組織結(jié)構(gòu)趨于扁平化。由于計算機信息處理技術(shù)替代大量業(yè)務(wù)層和中間層的人工數(shù)據(jù)處理工作，數(shù)據(jù)以磁介質(zhì)的方式存儲在數(shù)據(jù)庫中，并能通過網(wǎng)絡(luò)迅速傳輸?shù)狡髽I(yè)各個角落。信息技術(shù)減少信息在傳統(tǒng)組織的信道傳輸中延遲、失真以及噪音干擾，降低信息獲取成本，擴大信息發(fā)布范圍，增進組織各層次人員的信息傳遞與交流。原先多人分工協(xié)作的工作被信息技術(shù)重組后只需一個人就可以完成，大量的人工控制被信息系統(tǒng)的自動控制所取代。這種變化導(dǎo)致企業(yè)組織結(jié)構(gòu)趨于扁平化，內(nèi)部控制層次明顯減少，崗位更加精簡，責(zé)任更加明確，效率更加提高。

　　其次，提高員工地位和素質(zhì)要求。隨著組織扁平化和業(yè)務(wù)流程化與信息化，企業(yè)決策層次向下移動，基層員工獲得更多的決策機會，同時對員工素質(zhì)也提出了更高的要求。在新的信息技術(shù)平臺下，員工需要熟悉計算機信息系統(tǒng)，持有實時、積極的控制觀點，認識業(yè)務(wù)發(fā)生時信息技術(shù)所能提供預(yù)防、檢查及糾正錯誤和識別舞弊的機會，充分應(yīng)用信息技術(shù)與自己的專業(yè)知識控制企業(yè)的經(jīng)營活動。企業(yè)人力資源管理將結(jié)合信息技術(shù)特點制定員工雇用、培訓(xùn)、提升和獎勵政策。內(nèi)部控制設(shè)計更強調(diào)以人為本、人機結(jié)合的原則，通過增強員工識別風(fēng)險能力、發(fā)現(xiàn)問題與解決問題能力、與其他業(yè)務(wù)人員協(xié)同配合能力，利用信息技術(shù)的控制能力來提高企業(yè)內(nèi)部控制質(zhì)量。

　　再次，改善信息不對稱狀況，提高對“內(nèi)部人” 的監(jiān)控水平?，F(xiàn)代企業(yè)由于所有權(quán)與經(jīng)營權(quán)分離，真實的會計信息披露對公司治理起著重要的作用。信息技術(shù)集成了業(yè)務(wù)信息處理流程與會計信息處理過程，由于數(shù)據(jù)同源并在計算機內(nèi)部連續(xù)處理，有效地提高了會計信息的實時性和準確性。而投資者經(jīng)過合適權(quán)限的授權(quán)，通過計算機網(wǎng)絡(luò)就能隨時訪問企業(yè)數(shù)據(jù)庫的相關(guān)數(shù)據(jù)， 在一定程度上改善了信息不對稱性狀況，增強信息的透明度以及對企業(yè)經(jīng)營者的監(jiān)控能力，促使企業(yè)內(nèi)部人提高誠信度與道德觀，規(guī)范企業(yè)經(jīng)營行為。

　　2.擴大風(fēng)險評估范圍

　　信息技術(shù)應(yīng)用改變企業(yè)傳統(tǒng)營運模式，也帶來業(yè)務(wù)流程和信息系統(tǒng)的新風(fēng)險。例如企業(yè)在信息技術(shù)平臺上運行ERP系統(tǒng)、電子商務(wù)、供應(yīng)鏈管理系統(tǒng)、客戶關(guān)系管理系統(tǒng)，通過企業(yè)之間、企業(yè)內(nèi)部的信息傳遞實現(xiàn)協(xié)同合作、優(yōu)化資源配置。企業(yè)物流和資金流的流量、流速均由計算機精密排程，與聯(lián)盟企業(yè)、市場情況環(huán)環(huán)相扣，以求最低成本、最快速度、最好質(zhì)量組織企業(yè)經(jīng)營活動。因此，供應(yīng)鏈的任何環(huán)節(jié)出現(xiàn)突發(fā)事件都會波及企業(yè)的正常運行，給企業(yè)帶來損失。此外，由于企業(yè)所有數(shù)據(jù)存放在數(shù)據(jù)庫服務(wù)器內(nèi)，網(wǎng)絡(luò)開放性、數(shù)據(jù)共享性必將增加信息系統(tǒng)的風(fēng)險，如數(shù)據(jù)可能被非授權(quán)人員拷貝、刪除、修改，破壞；計算機病毒感染、黑客入侵、使用人員違規(guī)操作也會造成計算機系統(tǒng)故障或信息系統(tǒng)崩潰。企業(yè)風(fēng)險識別、評估與防范，不僅要考慮內(nèi)外部環(huán)境，而且要考慮業(yè)務(wù)流程與信息流程的耦合度、協(xié)作企業(yè)的關(guān)聯(lián)度、信息系統(tǒng)的依賴度等因素，規(guī)避供應(yīng)鏈作業(yè)流程和信息系統(tǒng)的新風(fēng)險給企業(yè)帶來的危害。

　　3.業(yè)務(wù)流程控制與信息系統(tǒng)控制成為控制活動的一項重要內(nèi)容

　　在信息技術(shù)平臺上，企業(yè)運行的ERP系統(tǒng)實行流程化管理。企業(yè)戰(zhàn)略遠景的實現(xiàn)、信息系統(tǒng)的導(dǎo)入、企業(yè)文化價值觀的具體呈現(xiàn)，最終落實到企業(yè)的業(yè)務(wù)作業(yè)流程。

　　信息技術(shù)應(yīng)用使傳統(tǒng)人工控制形式演變?yōu)槿藱C系統(tǒng)控制，控制重心將集中在作業(yè)流程的人機控制與信息系統(tǒng)控制。一些傳統(tǒng)的內(nèi)部控制規(guī)則和程序在新的技術(shù)環(huán)境下失去存在的意義，新的控制規(guī)則和程序建立在充分利用信息技術(shù)、用最少的資源達到更佳控制目標的基礎(chǔ)上。

　　圍繞業(yè)務(wù)流程，企業(yè)會計、審計人員與業(yè)務(wù)人員將密切協(xié)作，共同分析信息技術(shù)環(huán)境下的企業(yè)訂單、采購、庫存、計劃、生產(chǎn)制造、質(zhì)量控制、運輸、分銷、財務(wù)會計、人事管理等環(huán)節(jié)的作業(yè)過程、管理過程和信息過程的新特點，制定對應(yīng)控制規(guī)則，設(shè)計企業(yè)預(yù)算控制、成本費用控制、資金控制、投資控制、信息記錄控制、計算機信息系統(tǒng)控制、業(yè)績評價等控制制度和控制程序，并將這些控制程序和控制參數(shù)輸入到計算機信息系統(tǒng)內(nèi)部，形成完整、嚴密的面向流程的人機內(nèi)部控制系統(tǒng)。這樣，企業(yè)員工可以根據(jù)信息系統(tǒng)反映的信息流及時監(jiān)控業(yè)務(wù)過程的物流、資金流、作業(yè)流，通過反饋信息與控制參數(shù)的比較，制定決策、預(yù)防風(fēng)險、修正作業(yè)錯誤，防范業(yè)務(wù)舞弊。另外，在計算機信息系統(tǒng)內(nèi)部建立嚴格的人員訪問授權(quán)、數(shù)據(jù)接觸控制、操作流程規(guī)則和職責(zé)體系，以避免信息系統(tǒng)故障，保留IT審計線索，杜絕利用信息技術(shù)進行貪污、舞弊的行為。

　　4.組織成員之間信息交流和溝通更加便利

　　信息與溝通是指企業(yè)在其經(jīng)營過程中識別企業(yè)內(nèi)、外部信息，并在組織內(nèi)溝通，以便員工了解、執(zhí)行其職責(zé)。

　　信息技術(shù)應(yīng)用改變企業(yè)信息孤島的狀況，大量的企業(yè)環(huán)境信息、政策信息、經(jīng)營信息、財務(wù)會計信息、作業(yè)信息集中存儲在企業(yè)數(shù)據(jù)庫系統(tǒng)內(nèi)，并不斷被實時更新?；诨ヂ?lián)網(wǎng)、企業(yè)網(wǎng)、數(shù)據(jù)庫技術(shù)的客戶/服務(wù)器（C/S）和瀏覽器/WEB服務(wù)器（B/S）混合結(jié)構(gòu)的網(wǎng)絡(luò)平臺為企業(yè)成員提供了很好的溝通條件。在這個平臺上，員工可以十分便捷地從計算機數(shù)據(jù)庫中查閱有關(guān)的政策和法規(guī)，獲取與其職責(zé)相關(guān)的控制信息，明確各自的權(quán)利與責(zé)任，了解自己的活動如何與他人的工作相關(guān)以及例外情況如何報告或處理的途徑。另外，企業(yè)在網(wǎng)絡(luò)平臺上構(gòu)建與利益相關(guān)者聯(lián)系的機制，使組織的相關(guān)成員可以實時獲取經(jīng)營信息與財務(wù)會計信息，及時進行溝通，達到最佳協(xié)同合作和利益共享。

　　5.監(jiān)控更注意更新信息系統(tǒng)內(nèi)部設(shè)置的控制參數(shù)與控制程序

　　監(jiān)控是評價一段時間的內(nèi)部控制質(zhì)量過程，包括及時評估控制制度的設(shè)計和運行，以及在必要的時候采取的行動。在信息技術(shù)環(huán)境下，內(nèi)部控制是基于一種人機結(jié)合的控制模式，許多控制程序、控制指標、控制方法被設(shè)置在計算機信息系統(tǒng)內(nèi)部，。因此監(jiān)控的一項重要內(nèi)容就是要及時了解原來設(shè)置在信息系統(tǒng)內(nèi)的控制程序、控制參數(shù)是否過時，并針對企業(yè)經(jīng)營環(huán)境變化情況，及時評估業(yè)務(wù)流程控制點的運行狀態(tài)，重新調(diào)整或更改設(shè)置在信息系統(tǒng)的控制參數(shù)或程序。

　　三、基于信息技術(shù)的企業(yè)內(nèi)部控制系統(tǒng)設(shè)計策略

　　針對上述分析，企業(yè)在進行內(nèi)部控制系統(tǒng)設(shè)計時，應(yīng)綜合考慮內(nèi)部控制要素的新特點，從組織控制、流程控制、信息系統(tǒng)控制三方面制定對應(yīng)設(shè)計策略。

　　1.組織控制設(shè)計策略

　　組織控制是為實現(xiàn)組織的目標而進行的組織結(jié)構(gòu)設(shè)計、權(quán)責(zé)安排和制度設(shè)計。在信息技術(shù)環(huán)境下，流程決定企業(yè)組織結(jié)構(gòu)。因此，組織結(jié)構(gòu)設(shè)計應(yīng)以產(chǎn)出為中心，結(jié)合企業(yè)流程特點、信息化程度、人員素質(zhì)、風(fēng)險類型與大小進行全盤考慮；圍繞產(chǎn)出目標，重新審視原先組織的職能界限與任務(wù)劃分，盡可能將跨越不同職能部門并由不同專業(yè)人員完成的工作環(huán)節(jié)集合起來，形成適應(yīng)流程管理與控制的企業(yè)組織結(jié)構(gòu)，使企業(yè)組織設(shè)計能保障決策點、控制點位于工作執(zhí)行地方，能將信息處理工作納入產(chǎn)生這些信息的實際工作中，并與員工信息的使用權(quán)、決策權(quán)相匹配，與切合流程職位的控制信息需求和成功運用這些信息相匹配。

　　組織控制設(shè)計的一項重要任務(wù)是權(quán)責(zé)分派與不相容職務(wù)分離。傳統(tǒng)設(shè)計方法建立在執(zhí)行者、監(jiān)控者、決策者分離的基礎(chǔ)上，并通過層層授權(quán)與審批手續(xù)來監(jiān)督員工作業(yè)。在信息技術(shù)應(yīng)用條件下，企業(yè)組織的權(quán)責(zé)范圍遵循以流程為核心的原則。首先將企業(yè)主要業(yè)務(wù)分解為產(chǎn)品流程、質(zhì)量流程、服務(wù)流程、物流流程等，并在這些流程層面上重新定義企業(yè)各部門在業(yè)務(wù)流程中的職責(zé)以及它們之間的協(xié)調(diào)關(guān)系。然后再進一步將這些流程分解為一系列相關(guān)作業(yè)集合，并結(jié)合業(yè)務(wù)的信息化程度來定義企業(yè)作業(yè)崗位以及對應(yīng)的崗位責(zé)任制度。作業(yè)崗位權(quán)責(zé)分派應(yīng)體現(xiàn)以人為本，崗位職責(zé)的授權(quán)、績效評估考核等控制設(shè)計應(yīng)能最大限度地發(fā)揮每個員工的主觀能動性和潛能。不相容職務(wù)分離設(shè)計應(yīng)結(jié)合重組后的業(yè)務(wù)特點和人機系統(tǒng)的控制功能，通過計算機應(yīng)用軟件功能使用權(quán)限設(shè)置、應(yīng)用軟件的作業(yè)流程邏輯順序的設(shè)置、業(yè)務(wù)控制參數(shù)的設(shè)置，充分發(fā)揮計算機系統(tǒng)內(nèi)部監(jiān)控能力，實現(xiàn)信息化環(huán)境下業(yè)務(wù)流程不相容職務(wù)分離的制度安排。

　　組織控制的制度設(shè)計要充分考慮信息技術(shù)在公司治理中的作用。對內(nèi)，信息系統(tǒng)應(yīng)與企業(yè)的崗位職責(zé)、內(nèi)部牽制以及責(zé)任中心控制、預(yù)算控制、企業(yè)財產(chǎn)管理控制、業(yè)績評價等控制制度融合為一體，保障資產(chǎn)安全、會計信息真實及效益提高。對外，建立企業(yè)門戶，采取推拉式服務(wù)來加強與外部利益相關(guān)者的聯(lián)系。通過信息在組織內(nèi)外的傳遞，改善企業(yè)監(jiān)督體系與公司治理結(jié)構(gòu)。

　　2.流程控制設(shè)計策略

　　以往企業(yè)內(nèi)部控制主要側(cè)重于事后控制，即通過期末會計資料的檢查或?qū)徲媮碜R別業(yè)務(wù)錯誤或舞弊。由于信息技術(shù)使企業(yè)業(yè)務(wù)流程與信息流程融合在一起，并與企業(yè)上下游建立了密切聯(lián)系，業(yè)務(wù)流程控制與信息流程控制成為企業(yè)內(nèi)部控制系統(tǒng)設(shè)計的重要內(nèi)容，控制重心也從適時控制向事前控制、實時控制轉(zhuǎn)移，控制的順序先是以預(yù)防為主，然后是檢查、糾正錯誤和舞弊。因此，在企業(yè)流程控制的設(shè)計中，專業(yè)人員的首要任務(wù)是熟悉企業(yè)業(yè)務(wù)過程和信息過程以及它們之間的聯(lián)系，并針對組織內(nèi)部控制目標的要求，對業(yè)務(wù)流程和信息流程的各類風(fēng)險進行評估，確定風(fēng)險重要程度。其次為業(yè)務(wù)過程和信息過程制定規(guī)則和程序，作為控制策略的一部分。具體的規(guī)則依賴于企業(yè)的各種因素，如環(huán)境、組織規(guī)模、使用技術(shù)、員工素質(zhì)等，并在此基礎(chǔ)上建立企業(yè)作業(yè)的預(yù)算制度、作業(yè)操作制度、業(yè)績評價制度、供應(yīng)鏈績效評價制度。最后依據(jù)風(fēng)險的重要程度確定業(yè)務(wù)流程與信息流程的關(guān)鍵控制點、建立控制模型，設(shè)定控制參數(shù)與控制程序，并將其嵌入到信息系統(tǒng)中， 形成人機結(jié)合、業(yè)務(wù)活動與信息處理集合的內(nèi)部控制系統(tǒng)。這樣，在企業(yè)經(jīng)營過程中，信息系統(tǒng)就能動態(tài)跟蹤業(yè)務(wù)活動的信息，自動監(jiān)控這些活動所產(chǎn)生的數(shù)據(jù)是否在控制范圍內(nèi)，預(yù)測發(fā)展趨勢，實時輸出預(yù)警信號。組織成員也能依據(jù)這些作業(yè)點的反饋信號及時制定正確決策，有效控制企業(yè)的經(jīng)營活動過程。

　　3.信息系統(tǒng)控制設(shè)計策略

　　信息系統(tǒng)控制包括信息系統(tǒng)建設(shè)的過程和使用過程的控制。對企業(yè)而言，由于信息系統(tǒng)的建設(shè)涉及大量的投資，而且信息系統(tǒng)的質(zhì)量關(guān)系到企業(yè)經(jīng)營活動的效益，信息系統(tǒng)的風(fēng)險控制成為企業(yè)所有者與管理者日益關(guān)注的重要問題。因此，在信息系統(tǒng)建設(shè)過程中，為保證信息系統(tǒng)開發(fā)質(zhì)量、規(guī)避信息系統(tǒng)建設(shè)風(fēng)險，具體的控制設(shè)計策略應(yīng)包括認真進行系統(tǒng)開發(fā)前期的可行性研究；加強對開發(fā)商的資質(zhì)驗證；對其已開發(fā)的項目進行調(diào)查分析；通過公開招標、答辯等方式選擇適合企業(yè)營運環(huán)境的計算機信息系統(tǒng)軟、硬件與開發(fā)商。在項目實施過程中，應(yīng)加強對IT項目管理，完善信息系統(tǒng)實施的組織工作，明確人員分工安排以及在項目實施各階段所承擔(dān)的責(zé)任，建立嚴密進度控制和質(zhì)量控制機制、驗收程序及第三方監(jiān)理和審計的控制，保障信息系統(tǒng)質(zhì)量。

　　信息系統(tǒng)使用過程控制設(shè)計包括操作權(quán)限與操作規(guī)程控制設(shè)計、信息安全與數(shù)據(jù)處理流程控制設(shè)計。操作權(quán)限控制是指作業(yè)崗位的人員只能按照所授予的權(quán)限進行計算機作業(yè)。設(shè)計策略主要包括通過對系統(tǒng)資源進行分類管理、員工作業(yè)權(quán)限程序化方式，在計算機系統(tǒng)定義用戶具體訪問對象，限制超越權(quán)限的非法接觸和訪問。

　　操作規(guī)程控制是指系統(tǒng)操作必須遵循一定的標準操作規(guī)程進行。主要通過制定軟硬件操作規(guī)程、作業(yè)運行規(guī)程，規(guī)范計算機用戶的操作行為。信息安全控制包括數(shù)據(jù)和程序安全控制、網(wǎng)絡(luò)安全控制，通過數(shù)據(jù)保密、訪問控制、身份識別、數(shù)據(jù)備份等措施保障計算機信息資源的安全。

　　數(shù)據(jù)處理流程控制設(shè)計包括數(shù)據(jù)輸入、處理、輸出的控制。例如在計算機系統(tǒng)的數(shù)據(jù)輸入窗口設(shè)置各類有效的檢測方法，最大限度地減少操作人員在數(shù)據(jù)輸入過程中出錯的可能性，保障未經(jīng)批準的業(yè)務(wù)不能輸入計算機內(nèi)；進行嚴格的系統(tǒng)測試，糾正隱含在軟件內(nèi)的程序處理邏輯錯誤與計算錯誤；檢測計算機系統(tǒng)輸出的數(shù)據(jù)是否合理，能否符合勾稽關(guān)系等，以提高計算機數(shù)據(jù)處理質(zhì)量。

　　注釋：

　?、賲⒁奀OSO委員會1992年、1994年修訂的《內(nèi)部控制一整體框架》（COSO）報告。

　　[參考文獻]

　　[1]朱榮恩。內(nèi)部控制評價[M].北京：中國時代出版社，2002.

　　[2]閻達五，宋建波。雙元控制主體框架下現(xiàn)代企業(yè)會計控制新思考[J].會計研究，2002.

　　[3]王田英?；趦r值鏈的企業(yè)流程再造與信息集成[M].北京：清華大學(xué)出版社，2002.

　　[4]阿妮塔。S.霍蘭德?，F(xiàn)代會計信息系統(tǒng)[M].北京：經(jīng)濟科學(xué)出版社，1999.