企业内部控制信息化系统架构及实现策略

龙源期刊网企业内部控制信息化系统架构及实现策略作者：卢德湖来源：《商业会计》2015年第15期摘要：企业信息化环境下，加强内部控制信息化建设是监管部门的要求和企业自身的需要。本文以企业的信息化建设为立足点，以内部控制系统分析为主线，提出信息化条件下内部控制的主要特点、内部控制的目标、原则、框架和步骤，并进一步对内部控制信息化得出启示。关键词：内部控制信息化系统架构与企业传统的内部控制不同，内部控制信息化是指“人们将用自然语言表达的对企业内部控制系统的需求，用计算机规范的方法和表达工具逐步地转化成用计算机程序实现的过程。”具体来讲就是借助现代信息技术，通过对内部控制系统的设计、开发和应用，实现对信息的实时采集、传输及利用，从而实现对企业的全面控制，降低企业风险，达成企业目标的控制过程。一、企业内部控制信息化的特征《企业内部控制基本规范》第7条和第41条规定：“企业要运用信息技术手段实施内部控制，首先要建立与企业经营管理相适应的信息系统。”《企业内部控制配套指引第18号——信息系统》明确定义：“本指引所称信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。”;（一）以信息技术为手段;信息技术的日新月异和逐步推广应用，不仅改变了传统的手工信息处理方式，而且引发了企业的管理模式、作业流程、生产方式、交易形式的深刻变革。在企业生产和经营管理的过程中，将信息技术广泛应用于设计产品、生产工艺、事务处理、供应链管理与辅助决策等领域，企业信息化表现为设计自动化、生产自动化、办公自动化、决策辅助自动化和电子商务等。企业信息化的推进需要依靠技术创新，以互联网为代表的新技术产生，是信息化建设中技术因素的一项质变。企业信息化的范围由此超越了狭义的ERP，进入全面信息化的时代。互联网、数据库技术、专业软件的出现，使企业能够站在更高更远的角度重新审视和定义自身内部控制的信息化建设，从根本上改变了企业的竞争条件，客观上推动了全球经济一体化进程。（二）内部控制流程的信息化企业的内部控制信息化过程中，需对原有的业务流程进行重新优化和整合，这要求企业在做好总体战略规划的前提下，做好具体的业务流程规划。在信息化环境下，企业要能够设计具体的业务流程，建设良好的外围实施环境，并将信息处理与具体业务进行合理的集成。为龙源期刊网此，企业必须能够将内部控制与信息系统较好的融合，通过设计、开发各种应用信息系统程序模块来支持控制措施，实现控制活动。同时，企业还要对重组后的各项业务流程进行风险分析，根据分析结果设计各个业务流程的控制活动和程序，并重点关注和开发各业务流程的关键控制点。在企业具体的业务流程运行过程中，内部控制信息系统中提前设计并嵌入了控制标准，如果业务流程操作中出现了与标准不相符的情况，系统会接收到指令自动暂停该业务流程，同时将错误信息发送给系统监控人员，真正实现了业务流程的自动化、信息化控制。（三）具备并正确设置了满足企业内部控制需求的控制功能信息化环境下，企业的所有信息集中于一个统一的数据中心，实现了内部信息的充分共享;企业的所有经营流程全部线上完成，没有或者少有手工作业流程;所有业务数据经由信息系统处理，快速达到企业的经营管理需求;企业通过系统接口按规定从外部输入和输出信息。完善的企业内部控制系统架构应该包括以下三点特征：1.符合企业的整体战略规划。企业设计和采用的信息系统，必须符合企业的整体战略规划，与企业的业务目标高度吻合，只有这样才能实现其自身的应用价值。在拟定信息系统项目框架的过程中，企业要依据自身具体情况和各部门的功能需求，目标明确地进行设计、研发，再由企业的信息化领导部门进行开发和仿真测试。2.能识别出企业的关键控制点。关键控制点是指在企业业务中发挥作用大，影响范围广，甚至决定全局的控制点。内部控制系统应对容易发生偏差的业务环节进行重点控制，做好完善详细的关键业务规划。3.根据企业需求进行自主研发。企业对生产、销售、仓储、财务等信息系统使用部门做出需求分析。在需求分析的基础上编制系统的开发任务书和具体方案，并对相关部门的使用权限进行合理分配和设置。内部控制系统架构的设计一般分为五个阶段：（1）准备阶段：主要是根据企业的整体战略规划，识别出企业的关键控制点，确定内部控制系统实施方案的内容、标准、实施范围。据此制定控制措施，编写开发方案。（2）建设阶段：主要是识别风险，梳理流程，编写流程内控手册。（3）自评阶段：主要是内控测试，重点是解决如何管控测试过程，并准确确定测试结果。（4）整改阶段：主要是内控整改，重点是根据测试结果制定整改方案，完善控制流程。（5）报告阶段：主要是监控内部控制流程执行情况，编写自评报告，逐步更新并完善内部控制系统。信息化环境下，企业不断开展流程梳理工作，实现有效控制，管控企业经营管理风险，大力推进内控成果的落实。具体参照下图：二、信息化环境下我国企业内部控制活动存在的漏洞龙源期刊网（一）企业的业务流程更新迟缓业务流程是为达成企业的经营目标而由企业各部门和员工分工合作完成的一系列生产活动。我国很多企业引入内部控制信息系统后，仍然继续沿用其原来的业务流程，没有对其进行及时的更新和重构。于是在具体的业务操作中，信息系统不可避免地出现了很多冲突与矛盾，暴露出了现阶段我国企业内部控制中的诸多问题和盲点。（二）内部控制系统针对性不强目前，我国企业为了快速提高自身的信息化水平，争先上马信息系统。但企业在采用系统之前，未对本企业的具体业务、经营特点、部门设置等进行专门、细致的调查研究，没有进行有针对性的设计、开发，导致企业的内部控制信息系统千篇一律，不能满足全部的业务需求，影响了企业的整体工作效率，同时产生了很多内部控制的漏洞。（三）具体业务控制存在混乱现象目前的内部控制信息系统仅仅能够避免数据的重复处理，无法对所发生具体业务的真实性、合法性进行判断，不能完全取代人在企业具体业务中的作用。信息化在提高工作的效率的同时使得员工有漏洞可钻，不利于有效执行内部控制，产生了很多控制过程不严、控制效果不佳、控制失效的案例。（四）信息安全性与保密性差在企业内部控制信息化进程当中，企业经常遇到数据泄露、无法保密等问题，这也是企业内部控制工作中的薄弱一环。第一，在信息化的环境下，所有企业数据的存储介质、生成及传递方式都发生着深刻变化。无纸化的信息处理使得数据信息更易被篡改、损失和泄露，并且不留任何痕迹，大大降低了数据信息的可靠性与安全性。第二，某些企业出于节约成本的考虑，有意或无意使用盗版软件，加大了遭受木马、病毒或恶意代码袭击的可能性，造成企业信息更易被盗取、修改、删除等，给内部控制系统安全带来了巨大的安全隐患。第三，信息化环境下，大量工作由计算机自动完成，无纸化作业无法完整、全面地反映业务痕迹，经常难以追溯必要的审计线索，从而对企业信息数据的质量产生了不利影响。（五）监督机制不健全监督机制是企业内部控制的重要组成部分，也是内部控制的一个薄弱点和关键点。在信息化环境下，企业借助信息技术和系统，可以不断提高监督的效率和效果，但同时也给企业的信息化进程带来了新挑战。目前，我国企业普遍建立了相应的内部控制监督机制和制度，但监督制度的执行和落实情况还不尽如人意。首先，基于信息系统的内部控制组织和机制不利于准确区分权利和义务，这给准确监督带来了一定困难;其次，有一部分企业实行内部审计外包，提供审计外包服务的单位仅仅从被审计内容的准确性角度出发，缺乏从企业整体大局出发的视角，难以从企业的角度提出一套改进企业内部控制的方案;再次，信息化的实施导致企业业务龙源期刊网流程发生了重大变化，没有相应的经验和案例可供企业借鉴，信息化下的内部控制监督经验不足，也加大了内部控制监督的难度。在企业内部控制信息化的过程中，无论从信息系统的设计、开发、实施及维护等方面，因为监督机制不完善，经常导致控制失效。三、内部控制信息化对我国企业的启示（一）信息化环境下内控系统的建立原则1.以风险为导向。风险是指企业在特定的内外部环境下遭遇危险情况的可能性和后果的组合。企业在经营发展中无时不刻不会遭遇风险，致使企业无法实现预定目标或价值。在内部控制系统的设计、开发等环节中都要以风险识别和风险评估为基础，以实现企业内部控制目标。2.与企业治理条件相适应。健全的公司治理结构、科学的内部机构设置和明确的权责分配是建立并实施内部控制的基本前提。公司治理应与内部控制之间形成良好的相互促进关系，健全的内部控制系统需要有一个完善的公司治理结构，而内部控制系统的创新和发展，也将进一步促进公司治理机制的完善。3.实现资金流、产品流、信息流合一。信息化的快速发展将会改变传统的企业依靠采购人员、销售人员和财务人员等专业人员手工记录信息的方式，使得信息可以根据业务开展随时录入到系统中，做到了信息的实时传递和共享，数据更可靠。因此，我国企业建设和发展信息化条件下的内部控制信息系统，要充分利用现代数据集成和共享技术，系统地整合企业全部业务，实现企业的资金流、产品流和信息流的合一。4.实现上下游企业之间的信息共享与监督。随着信息技术的发展，各企业最终将置身于整个经济社会的信息平台之上，与股东、供应商、客户、银行及监管部门等利益相关者形成相互衔接的网络信息系统，业务数据、财务数据等一手信息可以通过网络信息同时在不同主体之间传递和复核，实现上下游企业之间的信息交流和共享。同时，各企业在交流、共享的同时实现数据信息的相互稽核，提高管理效率和内部控制水平。（二）信息化环境下内控系统建立要实现的目标1.实现企业价值最大化。企业价值是指企业未来现金流量的净现值，反映了企业创造财富的能力，体现了企业的市场经济地位。上市公司的企业价值可以通过其股票价格来估算，非上市公司价值可以通过未来现金流折现或通过类比相似企业法进行估算。企业价值是股东、债权人、管理层及员工等利益相关者的利益来源，只有实现企业价值最大化，才能够创造出足够的财富供企业进行价值分配，抵御风险，获得持续发展。内部控制存在于企业经营管理的方方面面，是企业进行价值管理的具体形式。在信息化环境下，内部控制需要利用信息系统来收集、整理及分析各种信息，指导和监督企业开展各项业务，促使各级员工各司其职，达成管理层和作业层的价值增值目标。企业只有具备健全完善的内部控制，才能保证企业价值的实现，实现企业价值的最大化。龙源期刊网实现系统、全面的风险管理。企业风险可以分为战略风险、制度风险及财务风险等。系统、全面风险管理是从企业战略制定贯穿到企业的各项活动中，识别出可能影响企业的潜在风险，使之低于企业的风险偏好。内部控制即通过控制措施对企业经营过程中所面临的各种风险实施防范，以减少因内部控制失效所造成的损失，保证企业在较为稳定的内外部条件中持续发展。内部控制应使风险管理的目标和要求渗透到企业的各项业务过程中。在全面信息化条件下，信息系统能够实现动态的、全程的风险控制，对企业过去和未来的潜在事项及趋势进行计量。内部控制的功能相当于一个企业的免疫系统，帮助企业降低风险，使企业在瞬息万变、日益复杂的市场条件下，不断保持生存与持续发展的能力。Z参考文献：1.白鹰，乔文盛，赵洪明，刘谦.对企业内部控制评价体系构建的探讨[J].辽宁行政学院学报，2011，（7）.2.南京大学会计与财务研究院课题组.论中国企业内部控制评价制度的现实模式[J].会计研究，2010，（6）.