黃霄龍　潘述田　向　瑛

摘 要：從信息技術對企業(yè)內(nèi)部控制的影響入手，通過研究兗州煤業(yè)股份有限公司在內(nèi)部控制建設中的信息化管理實例，分析如何將信息技術治理貫穿于內(nèi)部控制全程，實現(xiàn)信息技術治理向更深、更廣泛層次的跨越。提出如何通過發(fā)揮信息技術治理的作用，提升企業(yè)內(nèi)部控制水平的建議。

關鍵詞：信息技術治理 內(nèi)部控制 建議 兗州煤業(yè)

內(nèi)部控制是社會經(jīng)濟發(fā)展到一定階段的必然產(chǎn)物，是完善公司法人治理結構的重要措施。近期，源于美國波及全球的金融危機對世界經(jīng)濟體系造成重大沖擊，再次彰顯完善企業(yè)內(nèi)部控制的迫切性。財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等五部門于2008年5月聯(lián)合下發(fā)了《企業(yè)內(nèi)部控制基本規(guī)范》，要求我國上市公司于2009年7月施行，鼓勵非上市的大中型企業(yè)執(zhí)行。全球企業(yè)越來越緊迫地面臨同一個課題：完善內(nèi)部控制制度、防范舞弊，促進和保障企業(yè)健康發(fā)展。

企業(yè)的運營過程，也是信息的流轉過程，信息技術治理在提升公司治理水平、完善企業(yè)內(nèi)部控制中的作用日益增強。信息技術治理是從公司治理的高度，對企業(yè)信息化作出制度安排，制定與企業(yè)發(fā)展戰(zhàn)略相融合的信息技術戰(zhàn)略，建立有效的運行機制，提高信息技術資源的有效性和安全性，促進企業(yè)建立競爭優(yōu)勢。本文從信息技術對企業(yè)內(nèi)部控制的影響入手，通過研究兗州煤業(yè)股份有限公司（“兗州煤業(yè)”）在內(nèi)部控制建設中的信息化管理實例，分析如何發(fā)揮信息技術治理的作用，提升企業(yè)內(nèi)部控制水平。

1. 信息技術對企業(yè)內(nèi)部控制的影響

目前國際上對內(nèi)部控制最為權威的定義是1992年美國反對虛假財務報告委員會發(fā)布的《內(nèi)部控制 — 整體框架報告》，以及1994年補充的《內(nèi)部控制 — 一體化框架》（“《COSO報告》”），將內(nèi)部控制分為五個相互補充的要素：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。我國財政部等五部門制定的《企業(yè)內(nèi)部控制基本規(guī)范》，也基本采納了上述五個要素，并指出：“企業(yè)應當運用信息技術加強內(nèi)部控制，建立與經(jīng)濟管理相適應的信息系統(tǒng)，促進內(nèi)部控制流程與信息系統(tǒng)的有機結合，實現(xiàn)對業(yè)務和事項的自動控制，減少或消除人為操作因素?！?/p>

1.1 信息技術對控制環(huán)境的影響

控制環(huán)境是企業(yè)實施內(nèi)部控制的基礎，包括企業(yè)的治理機制、組織結構、管理層的權責分配、企業(yè)文化、人力資源政策等。由于信息化的高效率，企業(yè)的組織結構趨于扁平化，內(nèi)部控制的組織層次將會減少，要求信息系統(tǒng)下管理層的權責分配更加嚴格。同時，信息技術的應用也使管理者獲取的信息量倍增，完善的信息化系統(tǒng)能夠準確、全面、及時地為企業(yè)管理者及監(jiān)督部門提供信息，為完善企業(yè)的治理機制提供便利條件。

1.2 信息技術對風險評估的影響

風險評估要求企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關的風險，合理確定風險應對策略。企業(yè)利用信息化條件下高速數(shù)據(jù)處理能力，通過收集和處理涉及企業(yè)風險的相關數(shù)據(jù)、信息，設立風險識別和評估模型，構建自身的數(shù)據(jù)敏感系統(tǒng)，提高企業(yè)對數(shù)字類信息的敏感度及對數(shù)據(jù)異常時的反應速度。信息技術改變了企業(yè)傳統(tǒng)的營運模式，使企業(yè)信息的收集、處理、傳遞和應用更加依賴信息技術和信息系統(tǒng)的實施效果，擴大了企業(yè)風險評估的范圍。

1.3 信息技術對控制活動的影響

控制活動是為確保企業(yè)管理層指令得到有效執(zhí)行而制定的政策和流程，它存在于整個組織的所有層次和所有職能部門中，是根據(jù)企業(yè)業(yè)務流程和具體控制點的相關風險而采取的必要措施。信息技術應用使傳統(tǒng)人工控制形式演變?yōu)槿藱C系統(tǒng)控制，控制重心將集中在作業(yè)流程的人機控制與信息系統(tǒng)控制。一些傳統(tǒng)的內(nèi)部控制規(guī)則和程序在新的技術環(huán)境下發(fā)生了實質性變化，新的控制規(guī)則和程序應該建立在充分利用信息技術、用最少的資源達到更佳控制目標的基礎上。

1.4 信息技術對信息和溝通的影響

企業(yè)相關的信息必須以一種形式，在某一時段被識別、獲取和溝通，以促使企業(yè)各個層次職責的有效履行。

只有在完善的信息系統(tǒng)支持下，企業(yè)董事會、管理層、職能部門、員工各層次之間才能建立有效的溝通機制，形成預期、指令、傳遞、執(zhí)行、反饋的良性循環(huán)。同時，完善的信息系統(tǒng)還應承擔為客戶、供應商、股東、潛在投資者及監(jiān)管部門等外部群體提供高效溝通渠道的作用。

1.5 信息技術對內(nèi)部監(jiān)督的影響

內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制的建立與實施情況進行監(jiān)督檢查、評價內(nèi)部控制的有效性，發(fā)現(xiàn)缺陷并加以改進的過程。信息化條件下，許多控制程序、控制指標、控制方法被設置在信息系統(tǒng)內(nèi)部，借助信息技術的特點，可使一部分的監(jiān)督過程自動完成，并可以實現(xiàn)日常的、持續(xù)性的實時監(jiān)督。

2. 兗州煤業(yè)信息技術在內(nèi)部控制中的應用

兗州煤業(yè)股份有限公司成立于1997年，主要從事煤炭開采、洗選加工、銷售及煤炭鐵路運輸業(yè)務，于1998年在美國、香港和上海三地上市。兗州煤業(yè)自三地上市以后，設計、開發(fā)、應用了管理信息系統(tǒng)（MIS系統(tǒng)）；2001年3月，獨立設計的ERP/YZC系統(tǒng)（企業(yè)資源計劃）開始實施，并于2003年3月成功實施二期工程，在國內(nèi)率先應用SAP/R3系統(tǒng)礦業(yè)解決方案，建立起覆蓋整個公司業(yè)務范圍的，集成化、流程化、透明化和實時化的信息管理平臺。自2005年開始，兗州煤業(yè)進行了全面內(nèi)控體系建設，目前基本實現(xiàn)了內(nèi)部控制的系統(tǒng)化、程序化和信息化?！?〕

兗州煤業(yè)在信息化管理初具成效的基礎上，全面推進內(nèi)部控制建設，并將信息技術治理貫穿于內(nèi)部控制全程，在實際運行中注重與公司治理、全面風險管理相結合，實現(xiàn)了信息技術治理向更深、更廣泛層次的跨越。

2.1 建立有效的組織機構

內(nèi)部控制是由公司董事會、管理層及全體員工共同參與的一項活動。兗州煤業(yè)確定由董事會負責公司內(nèi)控制度的建立健全、有效實施及其檢查監(jiān)督，經(jīng)理層負責組織企業(yè)內(nèi)部控制的日常運行，并進一步明確由公司總經(jīng)理、財務總監(jiān)具體負責組織內(nèi)部控制的建設。

兗州煤業(yè)設立信息管理部，專職負責內(nèi)部控制的日常運行和監(jiān)督管理，計劃財務部、風險管理部和內(nèi)審部為內(nèi)部控制主要參與部門。設立該模式組織機構的主要原因是：財務、物資、運銷等業(yè)務在內(nèi)部控制中構成重要模塊，但有各自的獨立性和單一性，而信息化管理貫穿于企業(yè)運行的全過程，信息管理部具備總體推動和監(jiān)督管理的優(yōu)勢。

2.2 制定合理的信息技術治理戰(zhàn)略規(guī)劃

兗州煤業(yè)信息管理部依據(jù)公司未來五年生產(chǎn)經(jīng)營發(fā)展規(guī)劃，結合信息技術發(fā)展方向，將信息技術治理與公司內(nèi)部控制、公司治理、風險管理結合起來，每五年進行一次信息化建設長期戰(zhàn)略規(guī)劃。

信息管理部每年年初依據(jù)信息技術治理長期戰(zhàn)略規(guī)劃，從公司實際業(yè)務出發(fā)，結合近期信息技術發(fā)展方向，制定本年度的短期規(guī)劃。公司董事會審計委員會每年評估一次戰(zhàn)略規(guī)劃，對不符合業(yè)務發(fā)展目標和信息技術發(fā)展方向的內(nèi)容進行修改、補充和完善；公司董事會對評估和完善情況進行審核。

2.3 主要運行流程

2.3.1 信息與溝通

公司管理層在信息技術和管理方面的目標通過信息管理部向下傳達，確保對這些目標的正確理解。同時，用戶對信息技術目標的理解與執(zhí)行情況通過信息管理部及時反饋到公司管理層。信息管理部通過公司網(wǎng)站、電子郵件、信息公告板、公文、會議、熱線電話等方式，構建起一套多層次、多角度的信息管理平臺，及時收集各類反饋意見并匯總上報管理層，對信息政策和信息標準不斷更新和完善。

2.3.2 風險評估

風險管理部負責公司信息系統(tǒng)風險評估，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性進行的科學、公正的綜合評價并提出應對措施的過程。風險管理部每年末進行一次信息系統(tǒng)風險評估，通過調(diào)查問卷、訪談、實地考察以及參考審計部門的審計結果等途徑收集評估所需的信息系統(tǒng)風險。采用風險等級矩陣來定義信息系統(tǒng)風險等級，針對不同風險等級提出不同的風險應對建議。（見下表）

其中：內(nèi)部評估：風險管理部門每年年未進行一次信息系統(tǒng)風險評估

審批：總經(jīng)理召集財務總監(jiān)、計財部、信息管理部和風險管理部研究。

信息系統(tǒng)在不斷擴展和更新，網(wǎng)絡的架構也在不斷變化，新的風險會可能會出現(xiàn)、以前被減緩的風險可能重新成為問題。風險管理部根據(jù)實際情況，結合信息系統(tǒng)風險識別、風險評估的原則，對信息系統(tǒng)進行再評估。根據(jù)風險管理部對信息系統(tǒng)的風險評估結論和建議，信息管理部負責組織實施完善和改進。

2.3.3 監(jiān)督

兗州煤業(yè)通過內(nèi)部持續(xù)監(jiān)督活動和外部獨立評估來實現(xiàn)對內(nèi)部控制系統(tǒng)中信息系統(tǒng)的監(jiān)督過程。公司審計部每年年末對公司信息系統(tǒng)進行一次總體審計，包括合規(guī)性審計和特殊性審計。審計部出具審計報告并提出整改意見，經(jīng)公司管理層審核后，由信息管理部進行整改，并將整改結果報送審計部，審計部對整改情況進行跟蹤和再評估；公司信息管理部及審計部每年定期與外部的獨立審計師、公司法律顧問進行有效溝通，確保他們對內(nèi)部控制系統(tǒng)的建議和評估結果得到有效應對。

3. 強化企業(yè)信息技術治理的建議

信息化管理已從生產(chǎn)與管理的輔助手段、解決生產(chǎn)與管理問題的工具逐步上升到影響企業(yè)發(fā)展全局的地位。如何充分發(fā)揮信息技術治理的作用，切實提升企業(yè)的內(nèi)部控制水平，筆者認為在實際運行中應注意以下問題：

3.1 信息技術治理與企業(yè)發(fā)展的一致性

歸根結底，信息技術治理是為實現(xiàn)企業(yè)發(fā)展目標提供支持和服務，必須站在企業(yè)發(fā)展戰(zhàn)略的高度、從企業(yè)業(yè)務整體發(fā)展的角度制定信息技術治理的目標和規(guī)劃。信息技術治理對企業(yè)發(fā)展的支持，就是對具體業(yè)務開展的支持，必須結合企業(yè)發(fā)展狀況，分析企業(yè)業(yè)務行為和特征，進行信息化建設和管理的優(yōu)先級分析，確定信息技術治理的具體措施，實現(xiàn)信息技術治理的整體性、前瞻性和可擴展性。

3.2 支持信息技術治理關鍵資源的最優(yōu)化管理

有效的信息技術治理是技術與制度相結合的體系，決不僅僅是一個技術問題，不能僅由技術人員負責，而應當受到企業(yè)最高管理層的高度重視。最高層領導的重視與支持，將形成良好的控制環(huán)境，保證企業(yè)信息化的順利實施，包括在政策上的支持和設置專門機構負責信息化項目并直接向董事會負責。

3.3 確保信息風險評估的有效性

信息化環(huán)境下的風險評估重點應該包括信息系統(tǒng)的開發(fā)、實施、維護和操作全過程。這就要求及時了解原來設置在信息系統(tǒng)內(nèi)的控制程序、控制參數(shù)是否過時，并針對企業(yè)經(jīng)營環(huán)境變化情況，及時評估業(yè)務流程控制點的運行狀態(tài)，重新調(diào)整或更改設置在信息系統(tǒng)的控制參數(shù)或程序。

3.4 重視發(fā)揮內(nèi)審和外審監(jiān)督的作用

內(nèi)部審計是企業(yè)內(nèi)部控制措施的再控制，企業(yè)內(nèi)部審計機構是信息技術治理最重要的監(jiān)督者。內(nèi)部審計機構在信息系統(tǒng)的開發(fā)、實施、維護和操作每一過程中都應當進行嚴格的獨立審查，并定期對信息系統(tǒng)加以檢查，以保證信息系統(tǒng)的正確性、完整性和安全性，并將發(fā)現(xiàn)的問題及時提交企業(yè)管理層，幫助企業(yè)彌補信息系統(tǒng)控制中的缺陷。

在條件允許的情況下，企業(yè)還應實施獨立信息系統(tǒng)審計，即由獨立第三方信息系統(tǒng)審計師對信息系統(tǒng)進行綜合的檢測和評價，來進一步加強對信息系統(tǒng)的控制。

3.5 強化人力資源控制

任何企業(yè)的核心均是企業(yè)中的人及其活動。信息技術治理對員工素質提出了更高要求，員工不但要熟悉更多的業(yè)務流程，還要熟悉信息系統(tǒng)的運行。企業(yè)應該在信息技術人員的招聘、培訓、考核過程中，通過完善的人力資源管理來保證信息技術人員的素質和品行，建立良好的招聘、培訓、績效評價、激勵約束機制。確保企業(yè)擁有一批既懂信息管理，又懂技術管理的高素質信息化人才，加強完善信息技術治理?！?/p>

參考文獻：

〔1〕吳玉祥、趙青春. 公司內(nèi)控體系設計與應用[M]. 北京：中國財政經(jīng)濟出版社，2007