企業(yè)信息化已是大勢所趨，如果把信息化環(huán)境比作公路，那么內部控制系統(tǒng)就是交通規(guī)則和監(jiān)控系統(tǒng)，企業(yè)經(jīng)營及其業(yè)務流程就是跑在高速公路上的汽車。如果沒有“交通規(guī)則”和“監(jiān)控系統(tǒng)”的規(guī)范與保障，即使有再好的高速公路，汽車也不能安全、高速地行駛。當前，由于信息系統(tǒng)已在我國企業(yè)中逐步普及，而且我國正處在建立內部控制標準、完善內部控制法規(guī)之際，因此探討信息化環(huán)境下內部控制系統(tǒng)的優(yōu)化就具有極其重要的意義。

　　一、信息化環(huán)境下內部控制系統(tǒng)優(yōu)化的要點

　　信息化對企業(yè)內部控制系統(tǒng)的影響主要體現(xiàn)在：一是企業(yè)的業(yè)務流程部分甚至全部由信息系統(tǒng)驅動和承載；二是企業(yè)內部控制系統(tǒng)依賴于以信息技術為基礎的控制；三是企業(yè)內部控制的建立依賴于信息系統(tǒng)生成的數(shù)據(jù)。參照COSO委員會的《內部控制—整體框架》，特別是《企業(yè)風險管理—整合框架》，筆者認為，信息化環(huán)境下的內部控制系統(tǒng)優(yōu)化需要明確以下要點：

　　1．人的因素是信息化環(huán)境下內部控制系統(tǒng)優(yōu)化的重要環(huán)境基礎。在信息化環(huán)境下，企業(yè)組織結構在一定程度上趨于扁平化，企業(yè)內部控制層次有了一定程度的減少，信息的快速傳遞會在企業(yè)內部造成一個流動和動態(tài)的工作氛圍，權限和職責的分配方式可以通過信息系統(tǒng)硬性設置為前饋控制，而每個員工作為信息輸入/輸出的主體直接影響到內部控制系統(tǒng)的運作，因此對于其素質、價值觀、人力資源政策和實踐等軟環(huán)境因素就會提出更高的要求。由于信息通過系統(tǒng)平臺實時傳遞、充分共享，每位員工的輸入、輸出信息都會在第一時間直接影響到其他相關職能部門人員的業(yè)務操作，甚至是管理者的決策，因此，具有恰當?shù)膬r值觀、整體全局觀，明確責任歸屬，不斷學習創(chuàng)新的知識型員工和管理者，會為整個控制系統(tǒng)的良性運轉、自主優(yōu)化做出貢獻，并決定控制系統(tǒng)的成敗。

　　2．風險管理是信息化環(huán)境下內部控制系統(tǒng)優(yōu)化的主要驅動力。內部控制的真正價值在于能夠幫助組織降低其所承受的風險。在信息化環(huán)境下，業(yè)務流程的改變、系統(tǒng)的開放性、信息的分散性和數(shù)據(jù)的共享性極大地擴展了內部控制的內容，而新的技術也帶來了新的風險。優(yōu)化內部控制系統(tǒng)，首先要熟悉業(yè)務并識別隱藏在業(yè)務之中的風險，然后才能有效利用信息技術作為控制風險的有效工具，為相應的業(yè)務處理過程以及信息過程制定相對正確有效的規(guī)則。

　　3．控制活動全方位貫穿于業(yè)務流程優(yōu)化和保障信息系統(tǒng)安全過程中。在信息化環(huán)境下，信息在整個企業(yè)實現(xiàn)了充分共享，員工的業(yè)績也能通過系統(tǒng)得到客觀的計量，故而控制活動會通過控制系統(tǒng)的激勵、引導，逐步實現(xiàn)自我控制。企業(yè)的控制活動客體發(fā)生了改變，主要是放在了更有可能引起風險的業(yè)務流程設計和系統(tǒng)安全控制上，而對下級人員的工作績效的監(jiān)督更多地是通過系統(tǒng)來完成。企業(yè)業(yè)務流程通過信息系統(tǒng)的實施得以再造，可以明確不同的作業(yè)環(huán)節(jié)、不同的個人和部門之間在執(zhí)行作業(yè)過程中的先后順序及其權責分工，從而使不同作業(yè)環(huán)節(jié)、部門和員工之間產(chǎn)生一種既相互協(xié)調又相互制約的關系。任何一個流程系統(tǒng)出現(xiàn)問題，都會從其他流程系統(tǒng)中實時得到反映，從而構成企業(yè)內部控制活動的重要機制。

　　4．信息與溝通是內部控制系統(tǒng)優(yōu)化的重要保障。隨著信息技術在企業(yè)的深入應用，信息與溝通會貫穿內部控制的所有環(huán)節(jié)、要素，并逐漸從內部控制內在的構成要素中凸現(xiàn)出來，成為內部控制系統(tǒng)構建的前提條件。而現(xiàn)代化管理要求管理過程化，因此，控制和信息是不可分的，任何信息的傳遞和處理都是過程控制和信息管理的兩位一體。信息和溝通是內部控制的重要資源，是組織和控制過程的依據(jù)和手段，是各管理層次和工作環(huán)節(jié)互相溝通的神經(jīng)和紐帶，是決策的基礎。信息是控制的依據(jù)和基礎，控制離不開信息的交換和反饋，沒有信息，控制也就失去了依據(jù)。

　　5．監(jiān)控的內容和方式發(fā)生變化。信息化環(huán)境使內部控制系統(tǒng)具有了人工控制與程序控制相結合的特點。企業(yè)內部控制體系的程序化使內部控制在一定程度上具有了對信息系統(tǒng)的依賴性，同時還增加了由于差錯得不到及時有效控制而反復發(fā)生的可能性。程序化內部控制系統(tǒng)的有效性取決于應用程序設計的質量，由于用計算機程序來進行的內部控制措施體系是需要被反復評估和優(yōu)化的，若程序發(fā)生差錯或不起作用，那么控制失效就有可能長期不被發(fā)現(xiàn)，從而使系統(tǒng)由于程序運行的重復性而反復發(fā)生相同的紕漏。所以，信息化環(huán)境下的內控系統(tǒng)更需要監(jiān)督，且更多地側重于人工和程序方面。伴隨著信息技術與企業(yè)管理的結合，管理系統(tǒng)能夠越來越低成本地產(chǎn)生信息，而監(jiān)控不僅可以依靠會計信息展開，還可以根據(jù)諸多管理系統(tǒng)生成的業(yè)務信息展開。監(jiān)控的范圍也從最初的財務會計轉變到了企業(yè)整體風險管理運作上，時效性有所提高，已從事后控制轉變?yōu)槭虑翱刂坪蛯崟r監(jiān)督。

　　二、兼顧技術和管理的內部控制系統(tǒng)優(yōu)化策略

　　1. 利用系統(tǒng)集成化優(yōu)化內部控制系統(tǒng)。在信息化初始階段，企業(yè)通常借助計算機去滿足手工狀態(tài)下內部控制和信息處理的要求，很少甚至基本沒有顧及信息技術本身的特性，由此產(chǎn)生諸多“信息孤島”，而某一控制所需要的信息可能部分來自于會計信息系統(tǒng)，也可能部分來自于其他不同的信息系統(tǒng)。這使得很多企業(yè)在管理現(xiàn)代化后并沒有贏得任何控制的優(yōu)勢。而新系統(tǒng)的集成化是優(yōu)化內部控制的必由之路。系統(tǒng)集成化是把企業(yè)的所有業(yè)務實現(xiàn)信息集成，通過物流、資金流和信息流的協(xié)同進行，從而實現(xiàn)對業(yè)務流程的控制。

　　一是整合事前預防、事中檢查和事后糾正三種控制機制。在集成化的系統(tǒng)中，業(yè)務活動和信息處理相結合，以事前預防和事中檢查為主、事后糾正為輔來控制業(yè)務流程和結果的風險。比如，企業(yè)通過預算管理體系，使得費用使用部門、審批、執(zhí)行與預算等各相關部門的職責權限與流程在集成化的系統(tǒng)中得到統(tǒng)一的規(guī)范，任何超越權限、突破流程的作業(yè)都不可能發(fā)生，任何部門或個人的失職在系統(tǒng)中都被實時地記錄和反映。這種事前預防和事中檢查功能可對差錯和舞弊進行及時有效的控制。

　　二是實現(xiàn)由會計控制向全面控制、自主控制轉變。系統(tǒng)的集成化使得企業(yè)中的任何一員都可以在其授權的范圍內進行控制，只要利用信息技術設計好嚴格的控制機制，就可以方便地實現(xiàn)從以會計控制為主向全面的內部控制轉變，并由內部控制進一步朝自主控制的方向發(fā)展。

　　2. 創(chuàng)建良好的信息和溝通機制，優(yōu)化內部控制系統(tǒng)。在信息化環(huán)境下，信息和溝通機制包括企業(yè)內部IT部門核心成員與相關業(yè)務人員的溝通以及與外部審計師之間的溝通。

　　系統(tǒng)的集成性為構建良好的內部信息和溝通機制創(chuàng)造了條件。由于在業(yè)務發(fā)生時及時收集的業(yè)務信息可實時傳遞到財務系統(tǒng)，因而實現(xiàn)了對物流、資金流、信息流的全面控制，企業(yè)中的任何經(jīng)營決策過程及其影響的信息已經(jīng)不再是實際掌握或執(zhí)行該項經(jīng)營決策的個人或部門的壟斷信息，而是成為整個企業(yè)的共享信息。

　　與外部審計師的溝通則要抱著積極開放的態(tài)度，及時跟蹤業(yè)內動態(tài)并與審計師一起討論分析，增加相互信任，爭取與外部審計師交換意見的機會，尊重審計師的建議和觀點，及時糾正審計師發(fā)現(xiàn)的問題，爭取盡早在有爭議的問題上達成一致。

　　3. 重組業(yè)務流程，優(yōu)化內部控制系統(tǒng)。通過有效執(zhí)行設計合理的業(yè)務流程，能規(guī)范業(yè)務操作，變“人為控制”為“自動控制”，同時提高處理速度，變“滯后控制”為“實時控制”。內部控制以貫穿企業(yè)全部業(yè)務流程為主線覆蓋整個企業(yè)，優(yōu)化內部控制系統(tǒng)就要通過對業(yè)務流程進行優(yōu)化和重組完善原有的內部控制。首先，由于業(yè)務流程重組涉及組織結構調整和人員、崗位、職能調整以及控制點的變化。因此，內部控制要結合新控制點制定控制措施。其次，要面向客戶和供應商整合整個供應鏈業(yè)務流程，并盡可能實現(xiàn)企業(yè)與外部只有一個接觸點，變局部控制為全程控制。再次，盡可能將控制點設在工作執(zhí)行的地方，使組織結構扁平化，降低內部控制的成本。最后，針對企業(yè)的各種業(yè)務從政策法規(guī)、權限金額、標準流程、部門職責等方面進行規(guī)范，并將這些規(guī)定固化在軟件程序中，迫使企業(yè)人員按照這種既定的規(guī)則進行操作，以提高內部控制的執(zhí)行力度。

　　4. 利用信息技術優(yōu)化內部控制系統(tǒng)。信息技術的確會給組織帶來新的風險，但伴隨新風險的產(chǎn)生，新的工具也產(chǎn)生了。只要使用得當，就能非常有效地降低這種風險對組織可能造成的損害直至最終合理保證內部控制的目標。另外，信息技術還提供了有效的電子審計線索，數(shù)據(jù)收集的觸角可以延伸到原始業(yè)務發(fā)生的所有場所，我們可以從報表追查到相應的賬簿，再從賬簿追查到會計分錄，然后從分錄到原始憑證的路徑追溯審計線索。

　　利用信息技術優(yōu)化內部控制系統(tǒng)，需要實施以下七個步驟：一是項目組織和計劃；二是內控業(yè)務流程分析；三是識別和設計IT 控制點；四是評估IT 內控設計的有效性；五是評估IT 內控執(zhí)行的有效性；六是缺陷識別和改進建議；七是持續(xù)改進。其中，步驟二和步驟三是實施內部控制優(yōu)化的重要環(huán)節(jié)。通過這兩個步驟的分析設計過程，可以確定企業(yè)內部控制的范圍，依據(jù)該范圍再去評估整個內部控制的設計有效性和執(zhí)行有效性。