強(qiáng)化信息技術(shù)治理　提升企業(yè)內(nèi)部控制

黃霄龍　潘述田　向　瑛

摘 要：從信息技術(shù)對企業(yè)內(nèi)部控制的影響入手，通過研究兗州煤業(yè)股份有限公司在內(nèi)部控制建設(shè)中的信息化管理實(shí)例，分析如何將信息技術(shù)治理貫穿于內(nèi)部控制全程，實(shí)現(xiàn)信息技術(shù)治理向更深、更廣泛層次的跨越。提出如何通過發(fā)揮信息技術(shù)治理的作用，提升企業(yè)內(nèi)部控制水平的建議。

關(guān)鍵詞：信息技術(shù)治理 內(nèi)部控制 建議 兗州煤業(yè)

內(nèi)部控制是社會(huì)經(jīng)濟(jì)發(fā)展到一定階段的必然產(chǎn)物，是完善公司法人治理結(jié)構(gòu)的重要措施。近期，源于美國波及全球的金融危機(jī)對世界經(jīng)濟(jì)體系造成重大沖擊，再次彰顯完善企業(yè)內(nèi)部控制的迫切性。財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)等五部門于2008年5月聯(lián)合下發(fā)了《企業(yè)內(nèi)部控制基本規(guī)范》，要求我國上市公司于2009年7月施行，鼓勵(lì)非上市的大中型企業(yè)執(zhí)行。全球企業(yè)越來越緊迫地面臨同一個(gè)課題：完善內(nèi)部控制制度、防范舞弊，促進(jìn)和保障企業(yè)健康發(fā)展。

企業(yè)的運(yùn)營過程，也是信息的流轉(zhuǎn)過程，信息技術(shù)治理在提升公司治理水平、完善企業(yè)內(nèi)部控制中的作用日益增強(qiáng)。信息技術(shù)治理是從公司治理的高度，對企業(yè)信息化作出制度安排，制定與企業(yè)發(fā)展戰(zhàn)略相融合的信息技術(shù)戰(zhàn)略，建立有效的運(yùn)行機(jī)制，提高信息技術(shù)資源的有效性和安全性，促進(jìn)企業(yè)建立競爭優(yōu)勢。本文從信息技術(shù)對企業(yè)內(nèi)部控制的影響入手，通過研究兗州煤業(yè)股份有限公司（“兗州煤業(yè)”）在內(nèi)部控制建設(shè)中的信息化管理實(shí)例，分析如何發(fā)揮信息技術(shù)治理的作用，提升企業(yè)內(nèi)部控制水平。

1. 信息技術(shù)對企業(yè)內(nèi)部控制的影響

目前國際上對內(nèi)部控制最為權(quán)威的定義是1992年美國反對虛假財(cái)務(wù)報(bào)告委員會(huì)發(fā)布的《內(nèi)部控制 — 整體框架報(bào)告》，以及1994年補(bǔ)充的《內(nèi)部控制 — 一體化框架》（“《COSO報(bào)告》”），將內(nèi)部控制分為五個(gè)相互補(bǔ)充的要素：控制環(huán)境、風(fēng)險(xiǎn)評估、控制活動(dòng)、信息與溝通、監(jiān)督。我國財(cái)政部等五部門制定的《企業(yè)內(nèi)部控制基本規(guī)范》，也基本采納了上述五個(gè)要素，并指出：“企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制，建立與經(jīng)濟(jì)管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)對業(yè)務(wù)和事項(xiàng)的自動(dòng)控制，減少或消除人為操作因素?！?/p>

1.1 信息技術(shù)對控制環(huán)境的影響

控制環(huán)境是企業(yè)實(shí)施內(nèi)部控制的基礎(chǔ)，包括企業(yè)的治理機(jī)制、組織結(jié)構(gòu)、管理層的權(quán)責(zé)分配、企業(yè)文化、人力資源政策等。由于信息化的高效率，企業(yè)的組織結(jié)構(gòu)趨于扁平化，內(nèi)部控制的組織層次將會(huì)減少，要求信息系統(tǒng)下管理層的權(quán)責(zé)分配更加嚴(yán)格。同時(shí)，信息技術(shù)的應(yīng)用也使管理者獲取的信息量倍增，完善的信息化系統(tǒng)能夠準(zhǔn)確、全面、及時(shí)地為企業(yè)管理者及監(jiān)督部門提供信息，為完善企業(yè)的治理機(jī)制提供便利條件。

1.2 信息技術(shù)對風(fēng)險(xiǎn)評估的影響

風(fēng)險(xiǎn)評估要求企業(yè)及時(shí)識別、系統(tǒng)分析經(jīng)營活動(dòng)中與實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn)，合理確定風(fēng)險(xiǎn)應(yīng)對策略。企業(yè)利用信息化條件下高速數(shù)據(jù)處理能力，通過收集和處理涉及企業(yè)風(fēng)險(xiǎn)的相關(guān)數(shù)據(jù)、信息，設(shè)立風(fēng)險(xiǎn)識別和評估模型，構(gòu)建自身的數(shù)據(jù)敏感系統(tǒng)，提高企業(yè)對數(shù)字類信息的敏感度及對數(shù)據(jù)異常時(shí)的反應(yīng)速度。信息技術(shù)改變了企業(yè)傳統(tǒng)的營運(yùn)模式，使企業(yè)信息的收集、處理、傳遞和應(yīng)用更加依賴信息技術(shù)和信息系統(tǒng)的實(shí)施效果，擴(kuò)大了企業(yè)風(fēng)險(xiǎn)評估的范圍。

1.3 信息技術(shù)對控制活動(dòng)的影響

控制活動(dòng)是為確保企業(yè)管理層指令得到有效執(zhí)行而制定的政策和流程，它存在于整個(gè)組織的所有層次和所有職能部門中，是根據(jù)企業(yè)業(yè)務(wù)流程和具體控制點(diǎn)的相關(guān)風(fēng)險(xiǎn)而采取的必要措施。信息技術(shù)應(yīng)用使傳統(tǒng)人工控制形式演變?yōu)槿藱C(jī)系統(tǒng)控制，控制重心將集中在作業(yè)流程的人機(jī)控制與信息系統(tǒng)控制。一些傳統(tǒng)的內(nèi)部控制規(guī)則和程序在新的技術(shù)環(huán)境下發(fā)生了實(shí)質(zhì)性變化，新的控制規(guī)則和程序應(yīng)該建立在充分利用信息技術(shù)、用最少的資源達(dá)到更佳控制目標(biāo)的基礎(chǔ)上。

1.4 信息技術(shù)對信息和溝通的影響

企業(yè)相關(guān)的信息必須以一種形式，在某一時(shí)段被識別、獲取和溝通，以促使企業(yè)各個(gè)層次職責(zé)的有效履行。

只有在完善的信息系統(tǒng)支持下，企業(yè)董事會(huì)、管理層、職能部門、員工各層次之間才能建立有效的溝通機(jī)制，形成預(yù)期、指令、傳遞、執(zhí)行、反饋的良性循環(huán)。同時(shí)，完善的信息系統(tǒng)還應(yīng)承擔(dān)為客戶、供應(yīng)商、股東、潛在投資者及監(jiān)管部門等外部群體提供高效溝通渠道的作用。

1.5 信息技術(shù)對內(nèi)部監(jiān)督的影響

內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制的建立與實(shí)施情況進(jìn)行監(jiān)督檢查、評價(jià)內(nèi)部控制的有效性，發(fā)現(xiàn)缺陷并加以改進(jìn)的過程。信息化條件下，許多控制程序、控制指標(biāo)、控制方法被設(shè)置在信息系統(tǒng)內(nèi)部，借助信息技術(shù)的特點(diǎn)，可使一部分的監(jiān)督過程自動(dòng)完成，并可以實(shí)現(xiàn)日常的、持續(xù)性的實(shí)時(shí)監(jiān)督。

2. 兗州煤業(yè)信息技術(shù)在內(nèi)部控制中的應(yīng)用

兗州煤業(yè)股份有限公司成立于1997年，主要從事煤炭開采、洗選加工、銷售及煤炭鐵路運(yùn)輸業(yè)務(wù)，于1998年在美國、香港和上海三地上市。兗州煤業(yè)自三地上市以后，設(shè)計(jì)、開發(fā)、應(yīng)用了管理信息系統(tǒng)（MIS系統(tǒng)）；2001年3月，獨(dú)立設(shè)計(jì)的ERP/YZC系統(tǒng)（企業(yè)資源計(jì)劃）開始實(shí)施，并于2003年3月成功實(shí)施二期工程，在國內(nèi)率先應(yīng)用SAP/R3系統(tǒng)礦業(yè)解決方案，建立起覆蓋整個(gè)公司業(yè)務(wù)范圍的，集成化、流程化、透明化和實(shí)時(shí)化的信息管理平臺。自2005年開始，兗州煤業(yè)進(jìn)行了全面內(nèi)控體系建設(shè)，目前基本實(shí)現(xiàn)了內(nèi)部控制的系統(tǒng)化、程序化和信息化。〔1〕

兗州煤業(yè)在信息化管理初具成效的基礎(chǔ)上，全面推進(jìn)內(nèi)部控制建設(shè)，并將信息技術(shù)治理貫穿于內(nèi)部控制全程，在實(shí)際運(yùn)行中注重與公司治理、全面風(fēng)險(xiǎn)管理相結(jié)合，實(shí)現(xiàn)了信息技術(shù)治理向更深、更廣泛層次的跨越。

2.1 建立有效的組織機(jī)構(gòu)

內(nèi)部控制是由公司董事會(huì)、管理層及全體員工共同參與的一項(xiàng)活動(dòng)。兗州煤業(yè)確定由董事會(huì)負(fù)責(zé)公司內(nèi)控制度的建立健全、有效實(shí)施及其檢查監(jiān)督，經(jīng)理層負(fù)責(zé)組織企業(yè)內(nèi)部控制的日常運(yùn)行，并進(jìn)一步明確由公司總經(jīng)理、財(cái)務(wù)總監(jiān)具體負(fù)責(zé)組織內(nèi)部控制的建設(shè)。

兗州煤業(yè)設(shè)立信息管理部，專職負(fù)責(zé)內(nèi)部控制的日常運(yùn)行和監(jiān)督管理，計(jì)劃財(cái)務(wù)部、風(fēng)險(xiǎn)管理部和內(nèi)審部為內(nèi)部控制主要參與部門。設(shè)立該模式組織機(jī)構(gòu)的主要原因是：財(cái)務(wù)、物資、運(yùn)銷等業(yè)務(wù)在內(nèi)部控制中構(gòu)成重要模塊，但有各自的獨(dú)立性和單一性，而信息化管理貫穿于企業(yè)運(yùn)行的全過程，信息管理部具備總體推動(dòng)和監(jiān)督管理的優(yōu)勢。

2.2 制定合理的信息技術(shù)治理戰(zhàn)略規(guī)劃

兗州煤業(yè)信息管理部依據(jù)公司未來五年生產(chǎn)經(jīng)營發(fā)展規(guī)劃，結(jié)合信息技術(shù)發(fā)展方向，將信息技術(shù)治理與公司內(nèi)部控制、公司治理、風(fēng)險(xiǎn)管理結(jié)合起來，每五年進(jìn)行一次信息化建設(shè)長期戰(zhàn)略規(guī)劃。

信息管理部每年年初依據(jù)信息技術(shù)治理長期戰(zhàn)略規(guī)劃，從公司實(shí)際業(yè)務(wù)出發(fā)，結(jié)合近期信息技術(shù)發(fā)展方向，制定本年度的短期規(guī)劃。公司董事會(huì)審計(jì)委員會(huì)每年評估一次戰(zhàn)略規(guī)劃，對不符合業(yè)務(wù)發(fā)展目標(biāo)和信息技術(shù)發(fā)展方向的內(nèi)容進(jìn)行修改、補(bǔ)充和完善；公司董事會(huì)對評估和完善情況進(jìn)行審核。

2.3 主要運(yùn)行流程

2.3.1 信息與溝通

公司管理層在信息技術(shù)和管理方面的目標(biāo)通過信息管理部向下傳達(dá)，確保對這些目標(biāo)的正確理解。同時(shí)，用戶對信息技術(shù)目標(biāo)的理解與執(zhí)行情況通過信息管理部及時(shí)反饋到公司管理層。信息管理部通過公司網(wǎng)站、電子郵件、信息公告板、公文、會(huì)議、熱線電話等方式，構(gòu)建起一套多層次、多角度的信息管理平臺，及時(shí)收集各類反饋意見并匯總上報(bào)管理層，對信息政策和信息標(biāo)準(zhǔn)不斷更新和完善。

2.3.2 風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)管理部負(fù)責(zé)公司信息系統(tǒng)風(fēng)險(xiǎn)評估，對信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性進(jìn)行的科學(xué)、公正的綜合評價(jià)并提出應(yīng)對措施的過程。風(fēng)險(xiǎn)管理部每年末進(jìn)行一次信息系統(tǒng)風(fēng)險(xiǎn)評估，通過調(diào)查問卷、訪談、實(shí)地考察以及參考審計(jì)部門的審計(jì)結(jié)果等途徑收集評估所需的信息系統(tǒng)風(fēng)險(xiǎn)。采用風(fēng)險(xiǎn)等級矩陣來定義信息系統(tǒng)風(fēng)險(xiǎn)等級，針對不同風(fēng)險(xiǎn)等級提出不同的風(fēng)險(xiǎn)應(yīng)對建議。（見下表）

其中：內(nèi)部評估：風(fēng)險(xiǎn)管理部門每年年未進(jìn)行一次信息系統(tǒng)風(fēng)險(xiǎn)評估

審批：總經(jīng)理召集財(cái)務(wù)總監(jiān)、計(jì)財(cái)部、信息管理部和風(fēng)險(xiǎn)管理部研究。

信息系統(tǒng)在不斷擴(kuò)展和更新，網(wǎng)絡(luò)的架構(gòu)也在不斷變化，新的風(fēng)險(xiǎn)會(huì)可能會(huì)出現(xiàn)、以前被減緩的風(fēng)險(xiǎn)可能重新成為問題。風(fēng)險(xiǎn)管理部根據(jù)實(shí)際情況，結(jié)合信息系統(tǒng)風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估的原則，對信息系統(tǒng)進(jìn)行再評估。根據(jù)風(fēng)險(xiǎn)管理部對信息系統(tǒng)的風(fēng)險(xiǎn)評估結(jié)論和建議，信息管理部負(fù)責(zé)組織實(shí)施完善和改進(jìn)。

2.3.3 監(jiān)督

兗州煤業(yè)通過內(nèi)部持續(xù)監(jiān)督活動(dòng)和外部獨(dú)立評估來實(shí)現(xiàn)對內(nèi)部控制系統(tǒng)中信息系統(tǒng)的監(jiān)督過程。公司審計(jì)部每年年末對公司信息系統(tǒng)進(jìn)行一次總體審計(jì)，包括合規(guī)性審計(jì)和特殊性審計(jì)。審計(jì)部出具審計(jì)報(bào)告并提出整改意見，經(jīng)公司管理層審核后，由信息管理部進(jìn)行整改，并將整改結(jié)果報(bào)送審計(jì)部，審計(jì)部對整改情況進(jìn)行跟蹤和再評估；公司信息管理部及審計(jì)部每年定期與外部的獨(dú)立審計(jì)師、公司法律顧問進(jìn)行有效溝通，確保他們對內(nèi)部控制系統(tǒng)的建議和評估結(jié)果得到有效應(yīng)對。

3. 強(qiáng)化企業(yè)信息技術(shù)治理的建議

信息化管理已從生產(chǎn)與管理的輔助手段、解決生產(chǎn)與管理問題的工具逐步上升到影響企業(yè)發(fā)展全局的地位。如何充分發(fā)揮信息技術(shù)治理的作用，切實(shí)提升企業(yè)的內(nèi)部控制水平，筆者認(rèn)為在實(shí)際運(yùn)行中應(yīng)注意以下問題：

3.1 信息技術(shù)治理與企業(yè)發(fā)展的一致性

歸根結(jié)底，信息技術(shù)治理是為實(shí)現(xiàn)企業(yè)發(fā)展目標(biāo)提供支持和服務(wù)，必須站在企業(yè)發(fā)展戰(zhàn)略的高度、從企業(yè)業(yè)務(wù)整體發(fā)展的角度制定信息技術(shù)治理的目標(biāo)和規(guī)劃。信息技術(shù)治理對企業(yè)發(fā)展的支持，就是對具體業(yè)務(wù)開展的支持，必須結(jié)合企業(yè)發(fā)展?fàn)顩r，分析企業(yè)業(yè)務(wù)行為和特征，進(jìn)行信息化建設(shè)和管理的優(yōu)先級分析，確定信息技術(shù)治理的具體措施，實(shí)現(xiàn)信息技術(shù)治理的整體性、前瞻性和可擴(kuò)展性。

3.2 支持信息技術(shù)治理關(guān)鍵資源的最優(yōu)化管理

有效的信息技術(shù)治理是技術(shù)與制度相結(jié)合的體系，決不僅僅是一個(gè)技術(shù)問題，不能僅由技術(shù)人員負(fù)責(zé)，而應(yīng)當(dāng)受到企業(yè)最高管理層的高度重視。最高層領(lǐng)導(dǎo)的重視與支持，將形成良好的控制環(huán)境，保證企業(yè)信息化的順利實(shí)施，包括在政策上的支持和設(shè)置專門機(jī)構(gòu)負(fù)責(zé)信息化項(xiàng)目并直接向董事會(huì)負(fù)責(zé)。

3.3 確保信息風(fēng)險(xiǎn)評估的有效性

信息化環(huán)境下的風(fēng)險(xiǎn)評估重點(diǎn)應(yīng)該包括信息系統(tǒng)的開發(fā)、實(shí)施、維護(hù)和操作全過程。這就要求及時(shí)了解原來設(shè)置在信息系統(tǒng)內(nèi)的控制程序、控制參數(shù)是否過時(shí)，并針對企業(yè)經(jīng)營環(huán)境變化情況，及時(shí)評估業(yè)務(wù)流程控制點(diǎn)的運(yùn)行狀態(tài)，重新調(diào)整或更改設(shè)置在信息系統(tǒng)的控制參數(shù)或程序。

3.4 重視發(fā)揮內(nèi)審和外審監(jiān)督的作用

內(nèi)部審計(jì)是企業(yè)內(nèi)部控制措施的再控制，企業(yè)內(nèi)部審計(jì)機(jī)構(gòu)是信息技術(shù)治理最重要的監(jiān)督者。內(nèi)部審計(jì)機(jī)構(gòu)在信息系統(tǒng)的開發(fā)、實(shí)施、維護(hù)和操作每一過程中都應(yīng)當(dāng)進(jìn)行嚴(yán)格的獨(dú)立審查，并定期對信息系統(tǒng)加以檢查，以保證信息系統(tǒng)的正確性、完整性和安全性，并將發(fā)現(xiàn)的問題及時(shí)提交企業(yè)管理層，幫助企業(yè)彌補(bǔ)信息系統(tǒng)控制中的缺陷。

在條件允許的情況下，企業(yè)還應(yīng)實(shí)施獨(dú)立信息系統(tǒng)審計(jì)，即由獨(dú)立第三方信息系統(tǒng)審計(jì)師對信息系統(tǒng)進(jìn)行綜合的檢測和評價(jià)，來進(jìn)一步加強(qiáng)對信息系統(tǒng)的控制。

3.5 強(qiáng)化人力資源控制

任何企業(yè)的核心均是企業(yè)中的人及其活動(dòng)。信息技術(shù)治理對員工素質(zhì)提出了更高要求，員工不但要熟悉更多的業(yè)務(wù)流程，還要熟悉信息系統(tǒng)的運(yùn)行。企業(yè)應(yīng)該在信息技術(shù)人員的招聘、培訓(xùn)、考核過程中，通過完善的人力資源管理來保證信息技術(shù)人員的素質(zhì)和品行，建立良好的招聘、培訓(xùn)、績效評價(jià)、激勵(lì)約束機(jī)制。確保企業(yè)擁有一批既懂信息管理，又懂技術(shù)管理的高素質(zhì)信息化人才，加強(qiáng)完善信息技術(shù)治理?！?/p>

參考文獻(xiàn)：

〔1〕吳玉祥、趙青春. 公司內(nèi)控體系設(shè)計(jì)與應(yīng)用[M]. 北京：中國財(cái)政經(jīng)濟(jì)出版社，2007