内部控制的核心要素、固有局限性 及在信息技术中的应用

许力云

摘要：目前，随着我国经济体制改革的进一步深化及现代企业管理的不断完善，各大企业对内控的重视程度不断提升。良好的内部控制系统能够引导企业科学规范地发展，改善经营能力，促进企业健康平稳的运行。为了进一步强化并规范企业的内部控制，提升企业的经营管理水平和防范经营风险能力，文章梳理了内部控制的组成要素与核心，剖析了内控的固有局限性并且阐释了内控过程中信息技术的应用。

关键词：内控视角；风险评估；信息系统

一、引言

内控是内部控制的简称，指一般公司企业内部的控制运作。内部控制是由治理层、管理层和其他人员设计、实施和维护的流程，为企业实现其目标提供了合理的保证。董事会对公司的内控系统承担最终的负责。良好的内控系统能够有效降低商业风险发生的概率，具体表现为以下几个方面：提升财务报告（内部报告：管理决策信息报告、内部预算报告等；外部报告：财务报表，年报等）的可靠性；提高企业经营运作的效率和有效性；使企业的运营符合法律法规的要求。

二、内控系统的组成要素

內控系统主要包含五个要素，分别是控制环境、风险评估、信息系统、控制活动和内控监督。首先，从整体的控制环境看管理层是否重视内控；其次，做风险评估，抓住风险点；再次，根据客观技术，有针对性地制定具体的内控条例；最后，保持持续的评价和监督。

1. 控制环境。管理层对内控的态度、意识、行为和重视程度形成了大的控制环境，并逐渐演变为一种企业文化。如果管理层十分重视内控的制定和贯彻实施，那么在整个公司内就奠定了尊重内控基调。比如：苹果公司的创始人之一乔布斯就十分重视对公司内部创新的控制。公司成立之初就开始了自己的创新，这种创新观念，深入每一位员工的心中，使整个企业拥有良好的创新氛围，创新也逐渐成为苹果公司文化的灵魂。相反，如果公司管理层忽视内控，凌驾于内控之上，主张“人治”。那么即使有完善的内控体系，也是名存实亡。因此，管理层的态度对内控系统的好坏起着至关重要的作用。

2. 风险评估。要想制定好内控系统，公司的管理层首先要明确企业将会面临的风险，做好风险评估工作。风险评估主要分为以下三个步骤：首先，要确定风险点；其次，评估风险发生的概率以及带来的影响；最后，制定相应的应对措施。尤其对于发生概率高、影响低的风险，更需要制定具体的内控措施来有效的管制，降低商业风险。

3. 信息系统。当今社会是一个信息化社会，内控的制定、实施难以避免以信息系统为载体。信息系统包括基本的硬件、软件、人员、程序和数据。只有具备了这些客观条件，内控才能很好地发挥作用。

4. 控制活动。控制活动是指公司内部一些具体的政策、程序，能够帮助管理层执行指令。

5. 内控监督。对内部控制系统持续的监控是常规管理活动的一部分，用来评估内控设计的合理性和操作的有效性。在监察过程中，一旦发现新的问题要及时反馈，以便作进一步改进。

三、内控活动的核心

内控活动是指公司内部一些具体的政策、程序，其核心可以概括为“权责分离、合理授权、定期复核、连续匹配和连续编号”这五个方面。

1. 权责分离

对于内控活动来说，权责分离意味着不能让一个人负责太多的事情，比如说出纳不能记账。如果一个人既当出纳又记账，则很有可能截流现金、挪用公款。因此权责分离能够有效地降低舞弊发生的概率，减少此类事件的发生。

2. 合理授权

企业要做到合理授权。以信用卡的额度为例，在给客户授权信用额度之前，要仔细评估客户的经济背景和收入状况，根据审核评估的结果来确定客户的信用额度。如果公司没有明确的评判标准，给低收入者高额度或高收入者低额度，就会造成贷出去的资金难以得到偿还或损失客户的后果 。

3. 定期复核

企业为了适应多变的环境和各种不确定的因素应该根据自身的情况进行每个月、每个季度或每年的定期复核。比如在给客户授权信用卡额度之后的一段时间内，要根据客户的消费情况，经济收入的增长情况和还款状况定期复核。对于信用评级好的客户要适当提升额度，这样有利于维护公司和客户之间良好的合作关系，有利于公司的长远发展。

4. 连续匹配

在企业运营的过程中从上一环节进入到下一环节的时候，需要信息的连续匹配来避免出错。比如商家在发货前需要认真核对收货人的姓名、收件地址和订单上的商品信息，以确保能够准确地发货。

5. 连续编号

连续编号在保证交易的完整性方面发挥了重要的作用。采购订单、销售订单、销售发票等都需要连续编号。连续编号可以有效防止订单或票据的遗漏和丢失。以销售订单为例，如果销售订单没有连续编号，就可能导致商品漏发的现象，进而引起消费者的不满和投诉，同时也会使企业丧失好的名声。

四、内控的固有局限性

良好的内部控制虽然能够提高经营活动的有效性、资产的安全性、经济信息和财务报告的可靠性，但其本身也存在固有的局限性，所以内部控制不可能完美无缺。内控的局限性主要分为以下几个方面。

1. 人为错误。内控制度制定得再好，都是由人来执行，所以避免不了人为失误。尽管良好的内部控制环境可以在一定程度上减少这种失误的出现，但人为错误依旧可能导致故障的发生。

2. 内控流程被员工或他人故意地规避或绕开。例如：公司为了强化财务纪律、规避财务风险，明确规定单笔报销数额不能超过1万元。部分员工可能会将一笔1.2万元的费用，分两次报销，每次报销0.6万元。因此很难完全控制这样的故意规避，特别是当雇员以特定的理由认为他应该这么做时。比如员工认为他理应获得更多的奖金，为达到这一目的员工就会绕开内控。因此，舞弊的动机通常伴随着“自我行为的合理化”。

3. 管理层凌驾于内控之上。公司内控系统的好坏很大程度上取决于管理层的态度。如果管理层认为部分内控不合适或者不便于实施，进而不使用它们或者主张“人治”粗暴地践越内控。那么即使有完备健全的内控体系，也难以发挥其效用。

4. 发生无法预知的事件。在制定具体内控条例的过程中，管理层通常会先明确企业将会面临哪些风险，然后针对这些风险逐一制定流程去管理。因此先有已知的风险点，才能制定具体的管理条例。一旦无法预知的事件发生，内控就会面临失灵的风险。

5. 决策失误。决策失误可能直接导致内部控制的失败。引起决策失误的主要原因有两点。一是供管理层决策的信息不足或不准确；二是做决策的人缺乏经验，能力不够。因此决策失误也是内控的固有局限性之一。

五、内控过程中信息技术的应用

在当今这个信息化社会中，内控的制定和实施避免不了信息技术的支撑。信息技术控制主要分为两大类：一是总的控制；二是应用性控制。

（一）总的控制

总的控制是与许多应用相关的政策和程序，并通过确保信息系统的持续正常运行来支持应用程序控制的有效性。其对象是整个系统程序，而不是具体的某一个数据。

1. 信息系统的开发

在信息系统的开发阶段，系统的设计、编程和文档的记录要有统一的标准。管理层要合理划分职责，确保权责分离。负责设计信息系统的人不能负责测试，以便开发出更加稳定的系统。另外，为了信息系统能够更好的应用，相关负责人要积极安排员工的培训工作，使员工能够快速地适应新的程序。

2. 防止未经授权更改程序

为了防止重要的信息程序被篡改，要限制对中央服务器的访问，修改程序需要获得授权和批准。通过设置密码保护程序，使访问权限仅限于相应的计算机操作人员。除此以外，还可以使用只读存储器对某些实用性程序进行更加严格的控制，使程序访问人员只有阅读的权限而没有修改的权限。另一方面，针对信息程序被篡改后难以恢复原状的现象，需要设计程序来完整地记录更改的过程。也可以将核心程序拷贝多份，储存在其他地方。工作人员紧急离开时，手头的工作也要及时备份，并使电脑屏幕处于屏保状态，再次进入时需要输入密码。另外，要安装防毒软件防止病毒入侵。

3. 确保电脑持续运行

为了应对突发事件，确保电脑能够持续稳定的运行，要设立好完善的保护体系，避免电脑设备受到火灾或其他灾害的影响。面对突然断电的情况，要事先准备好备用电源。同时做好灾难恢复程序，与相关企业签订信息系统的维护协议并及时购买保险，将灾难发生后的经济、信息损失降到最低。

（二）应用性控制

应用性控制：应用性控制确保所有交易被授权和记录，并被完全、准确和及时地处理。

1. 控制数据输入的完整性

在输入数据的过程中，需要经历“逐一检查、文件计数、总计控制”这三个步骤。首先，将输入到系统中的数据与源文档进行逐一地对比；其次，将需要输入到系统中的文件数量与实际输入的数量做对比；最后，将系统加总的数据总额与手动计算的数据总额做对比，确保输入的完整性和准确性。

2. 控制数据输入的精准性

测试系统中数据精准性的方法大体分为三种，分别是合理性实验、存在性检查和允许范围测试。

合理性试验是指根据正常的思维逻辑对数据的正确性进行评估。比如：在整个行业发展状况不景气的情况下，公司财报上记录的销售额与去年相比有大幅度的提升，这表明今年销售额的记录可能出现了错误。

公司在与客户交易的过程中，通常会为客户建立一个数据库且每一位客户都会有一个单独的编号。将商品卖给客户时需要输入编号，检查系统中是否真的存在这个编号，如果没有此编号销售则无法进行。購买原材料时亦是如此，收到发票时需要在系统中查找对应的供应商名称，如果没有发现相应的供应商名称则拒绝发票。因此，存在性检查有助于确保输入的准确性。

允许范围测试是指预先在系统中设置一个可接受的数据范围，超过这个范围则不被接纳。例如：预先在系统中确定一个最大的采购成本1000万元，如果错误地输入了超过1000万元的金额系统将拒绝采购，进一步确保了输入的准确性。

六、结语

综上所述，面对着越来越激烈的市场竞争，各个企业想要长期平稳地发展，就必须要加强企业内部的管理工作，提高对内控管理制度的认识和重视，特别是要与现代信息技术相结合，为企业的长远发展打下坚实的基础。

（作者单位：安徽大学）