基于信息系统的企业内部控制模式和方法有效性及影响因素分析

1.基于信息系统的企业内部控制模式和方法有效性概述
随着信息技术在企业的广泛应用，使企业的内部控制措施和方法不断发生变革。COSO报告（1992）提出，如果企业管理层能够合理保证经济实体的经营目标得到实现、财务报表可靠、遵守法律和规章制度，则内部控制系统是有效的。另外，我国《企业内部控制基本规范》中明确提出，“企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。”因此，有效的内控措施和方法是实现企业经营目标必不可少的保障。
信息系统条件下的内部控制措施和方法的有效性主要是指企业运用信息技术为内部控制目标实现提供的保证程度。对于不同的内部控制模式下的内部控制目标而言，不同目标的影响因素不同，因此内部控制的有效性含义也是不同的。有效的内部控制措施和方法可以合理保证财务报告的可靠性和遵循相关的法律法规等控制目标的实现，但是内部控制有效性只能在企业可以掌控的范围内实现其目标，考虑到企业经营过程中还要受到许多外部不可控因素的影响，因此其效果还要依赖于客观环境对于内部控制的影响。因此，企业内部控制措施和方法的有效性只能够合理地保证管理层使企业向着实现内控目标的方向前进的程度，增强管理层做出更好决策的可能性，但不能保证这些内控目标的百分百实现。所以，有效的内部控制措施和方法，是能够使内部控制体制无限接近内控目标，并且能够在某个区间范围内证明内控体制是有效的。如果保证程度在有效内部控制的区间内，那么它就是有效的；如果提供的保证程度低于合理保证的水平，那么，它就是无效的。
2.基于信息系统的企业内部控制模式和方法有效性的影响因素分析
信息系统条件下企业内部控制措施和方法有效性的影响因素，根据我国《内部控制基本规范》及其应用指引的要求，应从信息技术对控制环境、风险评价、控制活动、信息与沟通和内部监督等要素的影响入手，探讨每个要素和环节对于内部控制的影响程度。
2.1信息系统内控措施和方法对内部控制环境的影响
信息系统内部环境是对信息系统条件下对企业内控系统的建立和实施有重大影响的各种因素的总称，包括组织机构设置及权责分配、信息化内部审计、人力资源政策、企业文化等，是企业构建控制系统的基础。信息技术的广泛应用，使得企业组织结构趋向扁平化成为可能：内部控制层次明显减少，岗位更加精简、责任更加明确、效率更加高速。同时，信息技术的应用增强了企业的灵活性，使得企业整体运作和经营都具备了较高的效率。
2.2信息系统内控措施和方法对风险评估的影响
信息系统条件下的有效的风险评估控制要求企业能够运用ERP软件及时识别和分析经营活动中与实现内部控制目标相关的风险，合理制订风险应对策略。信息系统对风险评估控制措施和方法有效性的影响主要表现在：
第一，风险控制范围不断扩大，新型风险不断出现。在信息技术条件下，企业的整体目标没有改变，但其外部环境与内部因素都发生了变化，同时，信息技术的应用不断改变传统的业务流程，系统的开放性、信息的分散性和数据的共享性，使得企业风险评估由传统的内部风险控制转变为信息化风险控制。
第二，利用信息技术控制风险。网络环境的开放性加剧了会计信息失真的风险，企业必须树立现代信息风险意识，更新内部控制观念，掌握信息技术为内部控制目标服务。把信息技术作为防范风险的有效工具，结合企业业务流程，一个控制良好的信息处理系统能够能加高效地减少错误和舞弊的发生，保证企业内部控制目标的实现。
2.3信息系统内控措施和方法对内部控制活动的影响
信息系统条件下的控制活动是在控制环境和风险评估的基础上，为保证控制目标有效落实，利用现代信息技术，由人、机共同实施的控制风险的各种方法、程序和措施。信息系统对内部控制活动的影响主要表现为：
第一，信息技术的引入增强了控制手段的多样性、灵活性、高效性，加强了内部控制的预防、检查与纠正的功能。控制的重点由对人的控制为主转变为对人、机共同控制为主，控制程序也应当与计算机处理相适应。
第二，信息技术的恰当应用，能够使企业摆脱人员和资源的限制，经济有效的实现内部控制的目标。在信息系统的新环境下应形成新的控制理念：好的内部控制不应仅依赖过多的审核人员或复杂的控制程序，而应该依赖信息时代的控制哲学和恰当适用的信息技术。
第三，随着计算机使用范围的扩大，利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加。因此，也增加了信息系统环境下内部控制的难度与复杂性。
2.4信息系统内控措施和方法对信息与沟通的影响
信息技术的应用使得企业大量的内外部环境信息、政策信息、经营状况、财务会计信息、作业信息集中在企业数据库系统内，并保持实时更新。基于互联网、企业网、数据库技术的网络平台为企业内部控制提供了良好和快捷的沟通条件，员工可以十分便捷地查阅有关的政策和法规，获取与其职责相关的控制信息，明确各自的权利与责任。另外，企业可以通过网络构建联系利益相关者的渠道，使利益各方可以实时获取经营信息与财务会计信息，及时协商，达到最佳协同合作和利益共享。但与此同时，信息条件的发达也使信息被滥用、盗取、拦截等非法获取行为造成的控制风险增大，因此，需要通过强大而有效的授权监督、明确职责分工、记录操作规程等措施增强信息的可靠性和安全性。
2.5信息系统内控措施和方法对内部控制监督的影响
内部控制监督是企业对内部控制体系的建立和实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷并及时加以改进。信息化内部监督具有人工监督与程序控制相结合的特点。对于后者来说，其有效性取决于应用程序，如果程序运转异常，则企业会由于过分依赖计算机程序使得控制失效不被发现，从而使系统在特定方面发生错误或违规的行为。所以，在信息技术环境下，内部监督更应受到重视，企业需定期安排专业人员对控制程序进行评价与改进。
由此可见，信息系统的发展和应用使得内部控制框架的构成有了新的内容，在提高企业内部控制效率、增强内部控制效果的同时，也增加了潜在的风险。企业需要通过不断加强系统的完善性和授权的严密性等措施，不断增强企业对抗信息系统风险的能力，实现企业内控目标和经营战略。