一、文獻綜述

    發達國家中小企業信息化建設日漸完善并取得了巨大成就，而且日益成為經濟結構調整和經濟發展的創新點。與此同時，人們開始意識到信息化給中小企業帶來的潛在風險，尤其是信息化應用對企業內部控制的影響問題。隨著中小企業信息化進程的加快，如何制定有效的安全對策，促使信息化應用與內部控制建設相融合，已經引起理論界和實務界的重視。

    信息化的應用對企業內部控制的影響問題，國外的研究最早可追溯到信息系統的審計。20世紀60年代IBM公司首次提出了在電子數據處理環境下的內部控制和審計問題。1967年，國際信息系統審計與控制協會(ISACA)成立，在世界上100多個國家與地區設立了160多個分會，積極致力于制定和頒布內部控制和信息技術(IT)審計準則、實務指南，用于指導各類信息系統的安全與防范工作。1974年，美國注冊會計師協會(AICPA)發表了《內部管理的調查與評價對EDP的影響》，確立了電子數據處理實施審計的標準； 1977年又發表了著名的《系統可審計性及規則的研究》(又稱SAC報告)，提出了信息系統的內部控制和審計方法。1996年， ISACA在綜合多方面研究成果的基礎上，公布了信息系統審計的框架體系標準，即信息及相關技術的控制目標(COBIT)，目前已作為國際通用的、具有權威性的信息技術控制和審計標準。近些年來，國外圍繞信息系統內部控制的理論與方法問題的研究仍不斷取得新的成果，如Hardy(2006)等提出的有關COBIT最新標準；在管理控制方面， ITGI(2006)和IOFS(2008)等提出并研究IT治理問題。這些研究成果不僅在大型企業信息化應用中得到推廣，而且其研究成果業已運用到中小企業信息化建設實踐中。

    在我國，作為市場經濟主體的中小企業已成為國民經濟發展的重要力量。2005年8月，國家發展和改革委員會、信息產業部、國務院信息化工作辦公室三部委共同實施了“中小企業信息化推進工程”，從而掀開了中小企業信息化發展的研究序幕。2008年2月，三部委《中國中小企業信息化發展報告和調查報告》指出，隨著信息化在中小企業的穩步推進，保證信息系統安全穩定運行已成為企業內部控制制度建設的重要內容(國家發展和改革委員會等，2008)。

    然而，關于信息化對企業內部控制的影響研究，胡克瑾等(2002)深入研究了IT審計的實施過程、技術方法和審計標準，提出全面控制信息系統風險的相關對策；劉靜(2005)等結合COSO報告對網絡環境下內部控制的難題進行分析，并提出改善內部控制環境的對策；章鐵生(2007)考察了有關國家企業內部控制規范對IT的考慮情況，提出我國在制定內部控制規范時應考慮對IT的嵌入問題；王海林(2008)通過分析IT對企業內部控制的影響，構建了由內部控制系統、內部控制系統的工程實施體系和內部控制系統的評價體系組成的IT環境下的內部控制模式。近年來，學者們在信息系統內部控制研究的基礎上引入了IT治理的思想，試圖從公司治理的視角來探討信息化進程中企業內部控制的問題，如饒艷超(2003)、周常蘭等(2008)、駱良彬等(2009)，但是，上述諸多研究基本上是針對大型企業，而信息化對中小企業內部控制影響問題的關注則極為少見。

二、信息化對中小企業內部控制影響的機理分析

    對于信息化如何影響中小企業的內部控制，本文認為，盡管中小企業有其獨特性，但在內部控制的構成要素方面，COSO(1992)關于內部控制框架的五個要素(即控制環境、風險評估、控制活動、信息與溝通、監督)理論仍然適用，本文將通過分析信息化對五個要素的影響來闡釋其影響內部控制的機理。

    (一)信息化促進了控制環境的改變

    控制環境是對企業內部控制系統建立和實施有著重大影響的各種要素的總稱，是實施內部控制的基礎，一般包括機構設置及權責分配、內部審計、人力資源政策、企業文化等。信息化一旦應用于中小企業中，必將促使控制環境的改變。首先，信息化必然導致信息技術滲透到企業經營管理活動的每一個環節，企業原來簡單的組織結構，將進一步得到整合，與其對應的機構設置與權責分配隨之而改變；其次，信息化可以很方便地使內部人員之間以及內部人員與外部人員之間平等、動態地進行協作與溝通，企業每個員工不再是被動地接受控制指令，而是成為實行自我控制、協同控制的單元；再次，信息化使企業員工都可以成為企業網絡上的決策點或節點，提高了員工自我決策的意識；最后，信息化使得企業與企業之間、企業與客戶之間以及企業與政府有關部門之間可以共享對方擁有的資源，企業內部控制的范圍不再局限于企業內部，合作與協同控制理念進一步得到強化。可見，信息化必將改變中小企業的管理模式、組織結構、員工的價值觀及其能力等一系列要素，并形成了一種網絡化、開放化、自主化和現代化的企業環境。

    (二)信息化拓展了風險評估的范圍和方法

    風險評估是企業及時、系統分析經營活動與實現內部控制目標相關的風險，合理確定風險應對策略的過程。信息化無疑提高了中小企業經營管理的效率，但同時也產生了新的企業風險。一方面，信息化必然要求企業業務流程與之相適應，使得企業經營管理活動處在一種開放性、信息分散和數據共享的環境之中，這極大地改變了以往封閉集中狀態下的運行模式，從而擴大了風險控制內容，并且需要新的風險評估方法與之適應。如管理數據處理趨于集中化、適時化、自動化以及數據存儲電子化，而且容易被無痕跡地改寫和刪除等，這些新的風險點構成了風險評估的新內容，并需要企業運用新的風險評估方法。另一方面，企業內聯網的建立是信息化應用的必然要求，也是企業經營管理活動的硬件平臺。運行在該平臺上的企業內部各部門、員工之間的聯系將更加密切。同時，做大、做強的動機加劇了企業與客戶間的合作與交流，企業內聯網必然向外聯網拓展，使得企業的經營管理信息流動在互聯網之中。這樣，傳統的、局部的差錯與舞弊不再表現為企業內部控制的主要風險，而員工的自我保護的責任意識、正確行使其決策權以及不斷提高自身知識和風險識別能力的風險大大增加了，從而使風險評估方法也由傳統向現代拓展。

    (三)信息化增加了控制活動的內容

    控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。隨著信息化的應用，中小企業風險評估結果將以新的形式出現，原有的控制措施及可承受度必然隨之變化，控制活動的內容亦將隨之增加。

    第一，由于信息化改變了中小企業傳統的業務流程，如傳統的產、供、銷活動可以通過企業內聯網絡和外聯網進行，因此，對各個過程的控制活動必須結合信息化應用的特點和要求來完成；

    第二，信息化的深度和廣度是隨著信息技術的發展而不斷變化的，中小企業信息化建設本身就是一個不斷完善的過程，基于信息化的業務流程也處在一個不斷更替的過程中，要實現控制活動的目標，企業必須不斷地更新控制點以獲取信息系統中的數據和信息，從而改變控制活動的方式或進程；

    第三，信息處理過程自身也需要控制，如確保企業管理信息系統能正常、持續運行的一般控制(包括對網絡黑客的非法入侵)，以及針對某項特殊活動進行特別處理的應用控制等。顯然，信息化改變了中小企業的業務流程，帶來了新的風險，也必然增加了中小企業控制活動的內容。

    (四)信息化提高了信息與溝通的有效性。

    信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、外部之間進行有效溝通。信息化應用彌補了中小企業在信息與溝通方面存在的缺陷，提高了它的有效性。首先，信息化應用能有效地將企業各部門和員工連接起來，實現業務和財務的一體化處理，將員工身兼多職的特征進一步發揮出來；其次，信息化必然要求建立一個中心數據庫，儲存企業活動中各個環節的數據和信息，并實現數據共享，以發揮企業經營管理的效率；再次，網絡平臺為管理者、員工以及外部的顧客、供應商、有關團體提供了開放的信息交流渠道，不僅員工能清楚理解現行的政策和程序及相應的責任，管理者適時掌握業務的發生、發展與結果以及信息的相互傳遞，而且更便利了企業內部與外部的信息溝通。因此，信息化改善了中小企業信息與溝通的滯后狀況，促進其向可靠性、及時性和開放性方面轉變，提高了信息與溝通的有效性。

    (五)信息化豐富了監督的方式和內容。

    監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。信息化應用加快了中小企業業務與財務處理的一體化，完全依靠人工的監督模式難以適應這一變化。一方面，信息化可以將監督功能程序化，即要求在經濟業務發生、發展及結果處理的過程中，運行監督程序，以達到實時、全過程的監督效果；另一方面，信息化大大提高了信息處理的速度，在實施程序化監督的同時，可以將監督的結果與預期的目標進行比較，適時評價內部控制的有效性，及時發現缺陷并加以改進，達到自我監督、自我評價的效果。當然，信息化應用過程自身也需要監督和評價，因此，傳統方式下的人工監督仍必不可少，但這種監督主要體現為定期、及時地檢查和了解計算機控制程序、指標以及控制參數是否發揮作用或過時，并針對企業經營環境變化情況，及時評估業務流程控制點的運行狀態，重新調整或更改內部控制程序、控制方法、控制指標等。由此，必然要求更新傳統的監督方式和內容。

三、中小企業信息化進程中內部控制的構建

    由前文分析可知，信息化通過作用于中小企業內部控制的五個要素而影響其內部控制，實施或管理不當，其后果將適得其反。可見，當前的首要問題是如何促使信息化與內部控制有機融合。本文認為，解決這一問題的關鍵在于如何將中小企業內部控制框架的構建與信息化結合起來，以適應信息化進程的推進。

    (一)內部控制框架構建的思路

    顯然，中小企業內部控制系統的完善，關鍵之處是如何辨識并控制企業經營管理中的風險。信息化應用一方面給中小企業內部控制帶來了便利，提高了控制的效率和效果，另一方面也影響了其內部控制五要素，而這些影響必然給中小企業經營管理活動帶來新的現象、新的問題，從而帶來新的風險。因此，對中小企業業主及其員工來說，需要轉變內部控制思想，掌握新的控制方法，以加強對風險的有效控制。為了防止中小企業在信息化進程中出現內部控制的弱化，避免出現“頭痛醫頭、腳痛醫腳”問題，本文認為，在信息化應用的初始階段，就應該從整體上來規劃和加強內部控制框架的建設，以適應信息化的發展進程。

    中小企業內部控制框架構建的具體思路為：首先，以COSO內部控制整體框架理論為指導，分析內部控制五個要素的現狀及運行情況；其次，結合信息化應用對五個要素作用機理的分析和企業不同時期經營管理活動的特點，發掘企業內部控制中存在的薄弱環節，分析和判斷新風險產生的根源和節點；第三，引入IT治理思想，并將其融入到企業經營目標的制定和風險管理的要求之中，自上而下并自下而上地灌輸和反饋信息化應用戰略及其收益與風險的理念，使信息化應用與內部控制的關系深得人心；最后，對企業經營管理活動中信息化應用的范圍和深度進行細化，分析并設定風險控制目標，制定并完善相應的內部控制制度，實施有效的控制措施，建立內部控制執行效果的反饋和改進機制。

    (二)中小企業內部控制框架的構建與分析

    基于上述思路，本文試圖構建出中小企業信息化進程中的內部控制框架。如圖1所示。

圖1 中小企業信息化進程中的內部控制框架

    該內部控制框架是以COSO內部控制五個要素的分析框架為基礎，結合中小企業經營管理活動各個環節和信息化應用(表現為信息系統)的程度，來辨識和分析企業經營管理活動在信息化應用中以及信息系統自身所面臨的風險(這種辨識和分析功能，除了運用人工手段之外，信息系統本身也提供了自動處理功能)，并通過反饋通道傳遞到企業決策層(或企業業主)。企業決策層根據企業經營目標和風險管理要求，在IT治理思想的指導下，不斷地完善內部控制制度和改進信息系統，使人工控制與程序化控制有機地結合起來，一方面對企業經營管理活動實施有效控制，另一方面確保企業經營管理活動有序進行，同時進一步辨識和分析新的風險。

    可見，該內部控制框架是一個開放式閉環系統，即隨著信息化應用進程的深入，信息化對內部控制五要素產生新的影響，形成新的風險，同時，由于風險辨識與分析以及反饋通道的作用，企業決策層及時識別風險并通過完善內部控制制度和控制手段，規避和控制風險，從而實現不斷改進企業內部控制以適應信息化進程的目的，避免內部控制的滯后而產生風險問題。

四、結束語

    當前，我國中小企業信息化水平相對較低，且應用層次差異比較大，信息化建設總體仍然處于初級階段。發揮中小企業在經濟發展中的作用，大力推進企業信息化勢在必行。由于中小企業在人才、資金和技術方面存在先天的不足，必然導致其管理水平不高、內部控制不健全，而信息化應用又加劇了這一缺陷。因此，強化內部控制建設、完善內部控制制度是信息化進程中必不可少的環節。雖然要求中小企業從COSO內部控制五個要素方面來構建內部控制系統有一定的難度，但是，借鑒信息化應用對內部控制五要素作用的機理，并在此基礎上構建信息化應用中的內部控制框架是必要的，它必將從整體上降低信息化應用中的風險，為進一步推動其信息化進程提供保障，從而實現中小企業健康可持續發展。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：信息化對中小企業的內部控制的影響研究

本文網址：http://www.guhuozai8.cn/html/support/1112154049.html