企業(yè)研究論文-企業(yè)信息化與內(nèi)部控制關系研究.doc

企業(yè)研究論文-企業(yè)信息化與內(nèi)部控制關系研究摘要：企業(yè)信息化系統(tǒng)（以計算機為核心）與內(nèi)部控制是現(xiàn)代企業(yè)兩個主要的子系統(tǒng)。研究信息化與企業(yè)內(nèi)部控制之間的關系問題具有較重要的意義。本文主要對企業(yè)信息化與內(nèi)部控制間的相互關系問題進行分析，認為：企業(yè)信息化影響了內(nèi)部控制各要素，而內(nèi)部控制亦反作用于企業(yè)的信息化進程。在此基礎上，筆者在最后提出了加強企業(yè)內(nèi)部控制的幾點對策建議。關鍵詞：信息化；內(nèi)部控制；影響；COSO框架Abstract：Informationsystemandinternalcontrolarethetwomajorsub-systemsforamodernenterpriseasawholesystem.Itwillbeveryimportantforustounderstandtheinter-relationshipbetweeninformationalizationandinternalcontrol.Thearticlemainlyfocusontheanalysisofrelationshipbetweenthetwo:informationalizationaffectsfactorsofinternalcontrol,whileinternalcontrolinteractsontheprocessofinformationalization.Onthebasisoftheirrelationship,weposeoutafewsuggestionsfortheconsolidationofinternalcontrol.KeyWords:Informationalization；InternalControl；Affect；COSOFramework自20世紀90年代以來，隨著信息技術的迅速發(fā)展和廣泛應用，各個領域都掀起了研究信息化的浪潮。在內(nèi)部控制方面也不例外。雖然國內(nèi)研究內(nèi)部控制的文獻較為多見，論述信息化、信息技術下的內(nèi)部控制應用問題的文獻也不少，但大部分的文獻只局限于探討會計電算化下的內(nèi)部控制問題（會計電算化也只是信息化的一部分），或僅涉及信息化條件下內(nèi)部控制的應用研究等問題。鮮有文章研究信息技術、信息化與內(nèi)部控制的關系問題。本文即從信息化與企業(yè)內(nèi)部控制的之間的相互關系入手，認為：企業(yè)信息化影響了內(nèi)部控制各因素，內(nèi)部控制則反作用于企業(yè)的信息化進程。分析信息化對內(nèi)部控制的影響時主要分析信息化對內(nèi)部控制各要素的影響；內(nèi)部控制對企業(yè)信息化的影響則主要從企業(yè)信息化建設的時間維度分析企業(yè)內(nèi)部控制對信息化進程的制約作用。系統(tǒng)分析兩者之間的互動關系之后，筆者就此提出了在企業(yè)信息化條件下，加強內(nèi)部控制的幾點對策建議。一信息化對企業(yè)內(nèi)部控制各要素的影響迄今為止，關于內(nèi)部控制最為權威的定義是COSO于1992年提出并于1994年補充的內(nèi)部控制一體化框架，在這份文件中，COSO將內(nèi)部控制分為五個要素：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督，并認為這五要素相互補充，構(gòu)成一個一體化的整體企業(yè)內(nèi)部控制。在2004年9月COSO再次頒布了關于內(nèi)部控制方面新的研究報告企業(yè)風險管理框架（EnterpriseRiskManagementFramework，簡稱ERM）。ERM將內(nèi)部控制的研究重點轉(zhuǎn)向了風險及其管理，認為內(nèi)部控制整體構(gòu)架是包含在ERM中的一體化部分。ERM在內(nèi)部控制整體框架五要素的基礎上進行了拓展，增加了三個風險管理要素，形成了八要素，分別是內(nèi)部環(huán)境、目標設定、事件識別、風險評估、風險回應、控制活動、信息與溝通、監(jiān)督。在信息化條件下，COSO框架中關于內(nèi)部控制各要素必然會受到影響。就此，本文先結(jié)合內(nèi)部控制整體框架五要素和企業(yè)風險管理框架的八要素，依次分析信息化對各要素的影響。（一）對內(nèi)部控制環(huán)境的影響?？刂骗h(huán)境是對建立和實施企業(yè)內(nèi)部控制具有重要影響的各種要素的總稱?？刂骗h(huán)境的構(gòu)成要素是多方面的，主要包括：企業(yè)的治理機制、組織結(jié)構(gòu)和權責分派體系、企業(yè)管理者的素質(zhì)、品行和管理哲學、企業(yè)文化、人力資源政策和實務等。ERM中認為的內(nèi)部環(huán)境與內(nèi)部控制中的控制環(huán)境要素大致相同。信息化將有助于改善企業(yè)的治理機制。完善的信息化系統(tǒng)能準確、全面、及時地為董事會和監(jiān)事會提供履行其監(jiān)督職能的信息，同時，良好的信息系統(tǒng)能夠使得小股東以較低成本（網(wǎng)絡方式）參加股東大會維護自己的權益。信息化為內(nèi)外部治理機制的完善提供了便利，而良好的治理機制將為內(nèi)部控制提供良好的基礎。由于信息化的高效率，企業(yè)的組織結(jié)構(gòu)將趨于扁平化，內(nèi)部控制的組織層次將會減少。這對信息系統(tǒng)下權限劃分要求更為嚴格。因為信息化條件下企業(yè)生產(chǎn)經(jīng)營將更為依賴信息系統(tǒng)。而在信息系統(tǒng)下，利用信息從事非法活動等與信息技術相關的風險大大增加，企業(yè)潛在損失風險也相應增加。同時，這也要求企業(yè)通過良好的人力資源政策，對員工進行激勵和約束，提高員工的整體素質(zhì)和道德。信息技術的應用也使得管理者能獲取的信息量倍增，那么如何在紛繁復雜的信息中，抓住重點，及時做出決策，這便對管理者也提出了更高的要求。此外，信息化也必然對企業(yè)的管理哲學和企業(yè)文化產(chǎn)生一定的影響。因此，如何加強對信息系統(tǒng)的內(nèi)部控制，利用良好的管理手段和技術方式，去降低信息化所帶來的風險，為內(nèi)部控制提供一個優(yōu)良的環(huán)境基礎，將是十分重要的。（二）對目標設定的影響。內(nèi)部控制是一個人為制造的系統(tǒng)，而設定目標是任何一個人造系統(tǒng)的首要環(huán)節(jié)。COSO報告提出了內(nèi)部控制“營運效率與效果、財務報告的可靠性和遵循相關法令”的三大目標。企業(yè)信息化雖對企業(yè)產(chǎn)生深遠的影響，但并未改變其總體目標，只是在各項內(nèi)控活動內(nèi)容和具體目標范圍上會有所拓展。在信息化條件下，營運的效率及效果目標則不能僅要求企業(yè)以利潤最大化為目標，追求有形價值的增加，信息資源等無形財富也應該成為企業(yè)價值的一部分。因此，創(chuàng)造知識、積累商譽、保護環(huán)境等也將對企業(yè)產(chǎn)生重大影響。在財務報告的可靠性方面，信息化條件下企業(yè)提供的信息不能再局限于財務報告，為滿足企業(yè)內(nèi)外各信息使用者的信息需求，在信息披露類型上應該有所擴展。增加報告的類型這一要求，實質(zhì)上就是面對信息化條件下各界所做出的回應。信息化條件下，企業(yè)內(nèi)部控制對相關法令的遵循性提供合理保證仍是其目標之一。但較之于傳統(tǒng)方式下，國家各項法律、法規(guī)、制度將趨于完善，企業(yè)需要遵循的法規(guī)也更為廣泛（包括信息技術、信息系統(tǒng)方面的規(guī)定等），企業(yè)對相關法規(guī)的遵循性在信息化條件下將更為重要。（三）對風險管理諸要素的影響。風險是普遍存在的，企業(yè)在日常的生產(chǎn)經(jīng)營總會面臨著來自內(nèi)部或外部的風險。特別是信息化條件下，企業(yè)間競爭愈演愈烈，企業(yè)的經(jīng)營風險也在不斷增加，內(nèi)部控制的執(zhí)行顯得非常必要?？梢?，事件識別、風險評估、風險回應這三個風險管理要素是提高企業(yè)內(nèi)控效率和效果的關鍵。在信息化的條件下，信息技術的應用，改變了企業(yè)的業(yè)務流程，降低了傳統(tǒng)方式下人工錯弊的風險。但是，與此同時，信息系統(tǒng)的應用，將使得企業(yè)信息的采集、處理和運用更加依賴信息技術和信息系統(tǒng)的實施效果。而信息系統(tǒng)條件下，信息在生成和傳輸?shù)倪^程中又產(chǎn)生了新的風險，這些都增加了信息化條件下內(nèi)部控制執(zhí)行的難度。因此，在信息化條件下，企業(yè)應該特別關注與信息、信息系統(tǒng)方面的事件識別、風險評估和風險回應。因為在信息化條件下，信息系統(tǒng)失靈導致重要信息的遺失或泄漏，都將給企業(yè)造成不可估量的損失。這就要求企業(yè)建立起良好的信息技術治理機制，減少引起帶來損失或災難的可能性。從另外一個角度來說，企業(yè)也應該積極利用信息技術，作為事件識別、風險評估和風險回應的有效工具。利用信息化條件下的高數(shù)據(jù)處理能力，企業(yè)可以搜集和處理大量涉及企業(yè)風險方面的有關數(shù)據(jù)、信息，設立風險識別和評估模型系統(tǒng)，為企業(yè)風險的識別和評估提供基礎。而且，企業(yè)可以利用信息系統(tǒng)強大的數(shù)據(jù)處理功能支持，構(gòu)建起自身的數(shù)字神經(jīng)系統(tǒng)，提高企業(yè)對數(shù)字等相關數(shù)據(jù)的敏感度，對相關數(shù)據(jù)的異常變動可能存在的問題做出一個積極、有效、及時的風險回應。（四）對控制活動的影響?？刂苹顒邮瞧髽I(yè)為了保證管理指令能夠得到有效執(zhí)行而制定實施的控制政策與程序。由于控制活動必須根據(jù)企業(yè)的業(yè)務流程情況和具體的控制點進行設置，而企業(yè)信息化極大影響了企業(yè)的業(yè)務流程和具體控制點，因此，控制活動必然受到企業(yè)信息化的直接影響。信息化環(huán)境