IT应用对内部控制影响研究.docVIP

IT应用对内部控制影响研究【摘 要】 近年来，信息技术得到了广泛的应用，其在内部控制中的作用不言而喻。然而，我们在认识到其提高了内部控制的效率和效果的同时也不能忽视其带来的风险。文章以IT应用为研究视角，通过从静态和动态两个角度，具体分析IT应用对企业内部控制所造成的影响，并进一步评估IT应用所带来的风险。 【关键词】 IT应用； 内部控制； 风险分析 当前，信息技术（Information Technology，简称IT）已经成为经济发展和社会进步的主导力量；特别是互联网、电子商务的迅猛发展和广泛应用，使得人类步入了一个信息化的时代。石爱中（2006）指出，基于信息结构将是内部控制未来发展的方向。在信息化背景下，IT已经成为企业内部控制过程中一种不可或缺的手段。在这种情况下，一方面信息技术改变了企业内部控制的环境和手段，另一方面因其带来的新风险也成为内控的重要对象。因此，在IT环境对内部控制的实施来说即是机遇也是挑战。 一、IT应用对内部控制五要素框架带来的影响分析 根据《企业内部控制基本规范》，有效的内部控制包含五个要素，即内部环境、风险评估、控制活动、信息与沟通以及内部监督。IT的广泛应用正促使各个要素发生着深刻变化（刘志远、刘洁，2001；骆良彬、张白，2008；王海林，2008）。 （一）内部环境 内部环境是内部控制的基础。按照《企业内部控制应用指引》的内容，内部环境至少涉及企业组织架构、发展战略、人力资源、社会责任与企业文化等方面。伴随着企业对IT应用的重视和对IT投入的加大，内部环境要素发生了很大变化。IT应用首先极大提高了信息传递的效率，促使组织架构向扁平化方向发展；同时，企业日常运作也更加灵活、迅速和开放。这些变化逐步对企业发展战略的制定、员工技能素质及道德水平、企业文化的发展产生影响。 （二）风险评估 风险评估是一个分析和识别企业风险，并制定相应风险应对策略的过程。在IT应用的环境下，风险评估也发生了深刻变化。一方面，IT应用产生了与IT相关的新风险，如网络安全风险、计算机软件风险等。与IT相关的风险具有隐蔽性强、影响力度大、影响范围广、应对难度大等特点，这毫无疑问加大了风险评估的整体难度。另一方面，IT技术手段也可服务于风险评估，大大提高工作效率和效果，比如通过开发会计信息系统的自动对账功能，发现并应对财务报表风险等。 （三）控制活动 骆良彬等（2008）认为企业在信息化的过程中，控制活动更容易出现漏洞。出现这种情况的原因就在于，企业并未认识到信息化过程中控制活动发生的变化。从控制对象方面讲，IT的广泛应用使得IT本身也成为控制的对象之一，也即控制对象由传统的对人的控制转变为对人、机的控制。从控制手段方面讲，传统的手工控制方式转变为手工与自动控制相结合的方式，IT控制手段得到广泛使用。从控制措施方面讲，传统意义的控制措施，比如不相容职务相分离控制、授权审批控制、会计系统控制等，已发生了极大改变。这些控制措施不再简单地体现在部门职责、岗位责任上，而是需要嵌入计算机信息系统。或者很多时候，权限的差异仅仅体现为一个账号密码而已。从具体业务控制方面讲，计算机信息系统使得各种业务活动更加紧密的联系在一起，彼此间影响加大，对控制活动也提出了更高的质量要求。 （四）信息与沟通 企业任何活动都缺少不了信息传递及相应的沟通过程，这也就必然决定了“信息与沟通”成为内部控制的构成要素之一。在传统内控环境下，企业信息传递与沟通多是通过口头、书面的形式进行；可想而知，这种信息传递与沟通方式受限于人的空间与时间位置，缺乏效率。而IT的出现与应用，几乎消除了这种限制，使得“即时沟通”成为现实，并极大地提高了工作效率。从理论上讲，IT的充分应用，将使企业摆脱“信息与沟通”的困扰。然而，实际上，IT应用也存在一定“风险”，如“信息孤岛”问题。“信息孤岛”不是技术本身的问题，而是由技术应用或系统实施所造成。信息系统的实施是一项庞大的工程，不仅投资巨大，而且耗时较长。因此，企业往往分模块、分阶段地实施系统。当各个系统模块出现不兼容时，它们之间就出现了信息传递的障碍，即“信息孤岛”现象。在这种情况发生时，IT非但不能发挥其本来功效，而且还会带来更为严重的“低效率”问题。 （五）内部监督 IT的应用同样也会对传统意义的“监督”产生影响。传统内部控制下，限于对人力、物力的要求，监督往往针对于个别情况。但在IT环境中，借助信息系统进行的持续、动态、全面性地监督成为一种可能。因此，IT应用扩大了内部监督机制的作用。 二、IT应用对内部控制实施的影响分析 从动态角度讲，内部控制是一个设计、执行、评价与整改的循环过程，如图1（池国华，2011）。IT的影响涉及面