人工和自動化并存下的內(nèi)部控制制度設計與風險防范研究

胡亞敏

一、引言

隨著信息技術(shù)及網(wǎng)絡技術(shù)的快速發(fā)展，信息技術(shù)在企業(yè)管理中的應用范圍日益廣泛，從企業(yè)的日常管理到原材料的采購、企業(yè)生產(chǎn)經(jīng)營的決策規(guī)劃，生產(chǎn)過程管理、銷售及售后服務等方面都一定程度上采用了信息技術(shù)服務。信息技術(shù)的廣泛使用，大大提高了企業(yè)的經(jīng)營和管理效率，一定程度上實現(xiàn)了企業(yè)生產(chǎn)流程和經(jīng)營管理活動的再造和流程的自動化控制。然而，在信息技術(shù)廣泛使用過程中，由于日常經(jīng)營活動中偶然性、突發(fā)性事件、及自動化控制內(nèi)在局限性的影響，企業(yè)的經(jīng)營管理活動不能缺少人工控制，所以，多數(shù)企業(yè)的經(jīng)營管理活動中會出現(xiàn)人工控制和自動化控制并存的情況，不同單位因自身經(jīng)營管理特征不同，所采用的控制系統(tǒng)中人工控制和自動化控制比例不同，大型的、生產(chǎn)經(jīng)營比較復雜、管理比較規(guī)范的大規(guī)模生產(chǎn)企業(yè)因為生產(chǎn)過程的標準化采用自動化控制為主，廣泛采用ERP等信息控制系統(tǒng)，目前世界財富前100強中已有超過70%的企業(yè)開始了ERP的實施。一些小型的、生產(chǎn)經(jīng)營比較單一的企業(yè)往往會考慮降低成本的需要，以人工控制為主。但不管哪一種類型的企業(yè)，由于自動化控制與人工控制各自的優(yōu)劣點不同，二者在企業(yè)經(jīng)營管理中經(jīng)常會并存，所以，企業(yè)在同時使用自動化控制與人工控制時，清楚認識兩種情境下的內(nèi)部控制特點、內(nèi)容與風險，并采取必要的兩種情境下的內(nèi)部控制風險防范有著重要的意義。

二、人工和自動化并存下的內(nèi)部控制特征

1.人工控制系統(tǒng)下的內(nèi)部控制特征

人工控制系統(tǒng)下每筆業(yè)務交易的生成、記錄、處理和報告的記錄形式都是以紙質(zhì)文件的形式出現(xiàn)。人工控制下的內(nèi)部控制活動包括：授權(quán)分權(quán)控制、不相容職務相分離控制、業(yè)務程序標準化控制、內(nèi)部核查控制。授權(quán)分權(quán)控制主要是基于各個職位的責權(quán)利進行適當?shù)氖跈?quán)分權(quán)，通過制定相應的授權(quán)分權(quán)制度達到控制活動的設立與執(zhí)行。不相容職務相分離控制主要是通過在設計職位權(quán)限時不相容職務由不同的人執(zhí)行，以達到相互牽制的目的。比如采購環(huán)節(jié)的采購申請、采購審批、采購執(zhí)行、采購貨物的驗收、物資的保管、采購貨物的登記等環(huán)節(jié)由不同人員實施，銷售環(huán)節(jié)的銷售訂單的審批、客戶信用的管理、賒銷的審批、銷售發(fā)票的開具、發(fā)貨、收款、客戶的對賬等工作由不同人員實施，財務部門的審批、復核、記賬、核對等工作由不同人員去實施達到不相容職務相分離的目的。業(yè)務程序標準化控制主要通過制定各類交易和業(yè)務的操作流程制度，達到業(yè)務流程規(guī)范化的目的。內(nèi)部核查控制主要是通過制定相關業(yè)務的內(nèi)部核查制度達到實現(xiàn)內(nèi)部監(jiān)督的目的，但這種內(nèi)部核查也是通過人工操作完成，如銀行存款賬戶期末的核對，通過非銀行存款日記賬的工作人員獲得銀行存款對賬單，再編制銀行存款余額調(diào)節(jié)表，達到核對銀行存款日記賬的目的。通過定期銷售部門與財務部門的核對達到核對銷售業(yè)務真實性、完整性的目的，通過財務部門與倉庫保管部門的核對，達到核對材料賬實是否一致的目的。

總之，人工控制下的內(nèi)部控制活動通過明確制定各類規(guī)章、制度、程序達到控制各類交易生成、記錄、處理和報告的過程，其各類控制過程都有手工和人工控制的軌跡，有據(jù)可查。

2.自動化控制下的內(nèi)部控制特征

信息技術(shù)系統(tǒng)的控制一般情況下可能既包含由嵌入計算機內(nèi)部運行程序的自動化控制，也包括人工控制，二者相互配合實現(xiàn)信息技術(shù)系統(tǒng)下的內(nèi)部控制。信息系統(tǒng)自動控制用于處理大量常規(guī)交易的運行，但授權(quán)的設定、授權(quán)口令的執(zhí)行以及非常規(guī)業(yè)務和交易的處理需要人工控制的參與，人工控制可能獨立于信息技術(shù)系統(tǒng)，也可能是基于監(jiān)督信息技術(shù)系統(tǒng)的考慮或者處理例外事項。信息技術(shù)系統(tǒng)下的內(nèi)部控制包括信息技術(shù)的一般控制和應用控制。信息技術(shù)的一般控制是指未來保證信息系統(tǒng)的有序運行，保證信息處理過程的完整性與信息數(shù)據(jù)的安全性而采用的多個與信息應用系統(tǒng)有關的政策與程序。這類政策和程序通常包括數(shù)據(jù)中心和信息網(wǎng)絡運行過程控制，應用系統(tǒng)軟件的購置、開發(fā)、修改及維護控制，系統(tǒng)的接觸程序和數(shù)據(jù)訪問權(quán)限控制等。信息技術(shù)系統(tǒng)的應用控制是指為了保證業(yè)務流程層次的正常運行而涉及的自動化檢查程序，該程序與已設定的生成、記錄、處理、報告交易的財務數(shù)據(jù)程序有內(nèi)在的關聯(lián)。這類應用控制程序通常包括了設置對輸入數(shù)據(jù)、數(shù)據(jù)計算、賬戶審核和賬戶之間試算平衡的自動檢查。

信息技術(shù)系統(tǒng)的一般控制和應用控制從內(nèi)容上分也包含信息技術(shù)系統(tǒng)下的授權(quán)分權(quán)控制、不相容職務相分離控制、業(yè)務程序標準化控制、內(nèi)部核查控制，只不過這類控制與人工控制下的體現(xiàn)方式有明顯的差別。信息技術(shù)系統(tǒng)下的授權(quán)分權(quán)控制通過在系統(tǒng)中設置不同人員的工作權(quán)限進行適當授權(quán)，不相容職務相分離控制體現(xiàn)在數(shù)據(jù)的輸入、審核、檢查等不同權(quán)限的設定實施控制，業(yè)務程序標準化控制也是通過程序的設定，電子票據(jù)的內(nèi)部傳送實現(xiàn)，內(nèi)部核查根據(jù)賬戶的內(nèi)在關聯(lián)及加強管理制度的需要設置自動檢查程序，所以，信息技術(shù)系統(tǒng)下的控制對信息系統(tǒng)的安全性、程序設計的科學合理性有較高的要求，一旦信息技術(shù)系統(tǒng)的程序設計不合理，因控制漏洞導致的舞弊后果將會比人工控制制度漏洞形成的舞弊后果更為嚴重。

3.人工控制與自動化控制的內(nèi)在關聯(lián)

信息系統(tǒng)控制通過設計相關的程序保證控制制度的有序運行，但由于信息系統(tǒng)控制的內(nèi)在局限性及大量非常規(guī)、偶發(fā)性等現(xiàn)實業(yè)務的復雜性，使得信息技術(shù)下的自動控制并不能脫離人工控制。所以，如果企業(yè)同時存在人工控制和信息系統(tǒng)控制兩種控制方式，需要明確信息技術(shù)控制與人工控制的適用范圍。

三、人工控制和自動化控制并存下的內(nèi)部控制制度設計及考慮的風險因素

由于企業(yè)內(nèi)部控制下的人工控制與自動化控制具有各自的特點與適用范圍，因此，在對企業(yè)錯綜復雜的經(jīng)營管理活動設計內(nèi)部控制程序時，應綜合考慮，針對不同的業(yè)務活動設計不同的制度控制方式。對于異常、大額、偶發(fā)交易采用人工控制方式，對日常重復性業(yè)務加強自動化控制。

1.人工控制的適用范圍

內(nèi)部控制的人工控制通常在需要主觀判斷或根據(jù)情況變化酌情處理的情形時使用更為恰當。具體體現(xiàn)為：存在大額、異?；蚺及l(fā)性交易時；存在難以準確定義、防范或無法事先預見的錯誤時；針對交易情境和客觀情況的轉(zhuǎn)變，需要對現(xiàn)有信息系統(tǒng)控制系統(tǒng)進行適當調(diào)整時等，對信息系統(tǒng)控制的有效性進行監(jiān)控。

由于信息系統(tǒng)設計的程序都是針對日常交易業(yè)務設計，對于異常和偶發(fā)性交易無法預先設定程序，所以，當出現(xiàn)異常、偶發(fā)性交易時，需要人工根據(jù)實際情況進行決策。對于大額交易行為，根據(jù)會計核算的重要性原則，為了保證會計核算的質(zhì)量，對于重要事項需要重點處理。對于大量或重復發(fā)生的交易行為，往往不需要人工控制。信息系統(tǒng)具有生成、處理和報告的自動化程序，但有些事項難以實現(xiàn)準確定義，有些錯誤無法事先預見，所以，在信息系統(tǒng)自動化程序運行時，對于事先可預見的錯誤可以設定自動化控制程序進行防范，對事先難以準確定義的突發(fā)事項進行人工控制。此外，信息系統(tǒng)的維護與監(jiān)督也離不開人工的參與。

人工控制在人工執(zhí)行過程中由于受人為因素的影響，也會產(chǎn)生特定的人工控制風險。人工控制產(chǎn)生的控制風險主要體現(xiàn)在以下幾個方面：一是人工控制可能會由于人員之間的相互串通導致人工控制失效。二是人工控制下由于人工權(quán)利的濫用可能會導致人工意志凌駕于制度之上，導致制度失效。三是人工控制可能由于人為有意或無意失誤導致控制失敗，從而降低人工控制的可靠性。四是人工控制可能缺乏一貫性，人工控制具有一定的主觀性，缺乏系統(tǒng)與標準，所以可能會導致控制結(jié)果前后不一致的情況。

2.信息系統(tǒng)自動化控制的適用范圍

信息技術(shù)系統(tǒng)由于可以大規(guī)模處理同類交易，因此，信息技術(shù)系統(tǒng)的使用大大提高了企業(yè)處理日?；顒拥男剩玫搅藦V泛的使用。信息技術(shù)系統(tǒng)的適用范圍包括：在處理大量的日常交易或數(shù)據(jù)時，根據(jù)事先設定的業(yè)務規(guī)則，進行復雜運算達到控制的目的。二是信息技術(shù)系統(tǒng)可以及時、快速、準確地處理大量日常業(yè)務，對于大量重復性業(yè)務可以提高控制效率。三是信息技術(shù)系統(tǒng)可以避免人為因素的局限性，減少人員之間相互串通發(fā)生舞弊的可能，提高了業(yè)務處理的標準化和規(guī)范化。四是信息技術(shù)系統(tǒng)可以通過對數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)應用系統(tǒng)進行安全控制，并通過機械化的操作提高了不相容職務相分離的有效性。

信息技術(shù)系統(tǒng)下的內(nèi)部控制風險主要表現(xiàn)為，一是信息技術(shù)系統(tǒng)依靠程序設計與程序控制發(fā)揮作用，如果其所依賴的程序由于程序設計有誤可能無法正確處理數(shù)據(jù)，或者無法鑒別數(shù)據(jù)的準確性，從而處理了不正確的數(shù)據(jù)，導致信息技術(shù)系統(tǒng)數(shù)據(jù)處理結(jié)果的錯誤。二是如果在未得到授權(quán)的情況下系統(tǒng)數(shù)據(jù)被入侵或訪問，可能會導致信息系統(tǒng)數(shù)據(jù)被損毀或不恰當?shù)男薷?，會給整個系統(tǒng)數(shù)據(jù)的處理結(jié)果帶來較大的風險。三是可能信息技術(shù)人員在未經(jīng)授權(quán)情況下突破系統(tǒng)的安全防線，訪問數(shù)據(jù)、修改系統(tǒng)或程序，修改數(shù)據(jù)，而且不留痕跡，將使整個系統(tǒng)面臨癱瘓性的風險。四是信息技術(shù)系統(tǒng)下由于技術(shù)故障等原因可能會使企業(yè)面臨無法訪問電子數(shù)據(jù)或電子數(shù)據(jù)丟失的風險。

四、人工和自動化并存的內(nèi)部控制風險防范

1.建立系統(tǒng)規(guī)范的內(nèi)部控制制度，完善企業(yè)的內(nèi)部控制環(huán)境

對人工控制和信息系統(tǒng)化控制的業(yè)務范圍進行合理的分工，在此基礎上，制定科學合理的內(nèi)部控制制度。做到日常業(yè)務與特殊業(yè)務的處理都有章可循，促進業(yè)務處理的規(guī)范性，減少舞弊發(fā)生的概率。

針對大額的、特殊的、偶發(fā)性的交易、無法準確定義的、難以預先預見的交易發(fā)揮人工控制的優(yōu)勢，對這類交易進行恰當?shù)氖跈?quán)分權(quán)，預估這類交易的風險，建立大額交易人工集體決策的制度，特殊、偶發(fā)性交易、難以預見的交易的人工特殊處理制度，同時，為了減少這類交易決策的風險，還應當進行業(yè)務的審批、執(zhí)行、監(jiān)督等不相容職務相分離的制度等，并實施嚴格的內(nèi)部審核制度。

對于大量日常需要大規(guī)模批量處理的日常業(yè)務，建立系統(tǒng)規(guī)范科學的自動化內(nèi)部控制制度。針對信息技術(shù)系統(tǒng)特有的風險，制定諸如信息系統(tǒng)建設和系統(tǒng)升級整體規(guī)劃規(guī)定權(quán)限和程序?qū)徍伺鷾剩M行嚴格的授權(quán)批準制度，對重要的數(shù)據(jù)進行系統(tǒng)備份制度。定期對系統(tǒng)的安全性和可靠性進行檢查的制度等，尤其對于系統(tǒng)數(shù)據(jù)的安全性制定更嚴格的制度加以保障。

2.保證崗位責權(quán)利分明

不相容職務相分離是崗位設置考慮的必要條件，是內(nèi)部控制的主要內(nèi)容，是保證責權(quán)利分明的基礎。人工控制下的不相容職務相分離原則主要體現(xiàn)為業(yè)務的審批與執(zhí)行、審核等職位分離、實物保管中的驗收與保管相分離，對于債權(quán)債務賬戶定期與客戶對賬，銀行存款日記賬定期與銀行對賬等分離。信息技術(shù)系統(tǒng)下的內(nèi)部控制主要體現(xiàn)為管理員對不同系統(tǒng)操作人員授權(quán)時，按照數(shù)據(jù)輸入人員、數(shù)據(jù)審核人員、數(shù)據(jù)分析人員等人員職權(quán)分離，系統(tǒng)設計人員與系統(tǒng)操作人員、系統(tǒng)監(jiān)控人員等職權(quán)分離，只有制定明確的崗位職責權(quán)限，進行了恰當?shù)牟恍稳萋殑障喾蛛x，才能在源頭上減少舞弊發(fā)生的概率，確?？刂浦贫扔行缘陌l(fā)揮。

3.強化內(nèi)審職能，發(fā)揮內(nèi)審作用

內(nèi)部審計部門是企業(yè)風險防范的一道重要防線，充分發(fā)揮內(nèi)部審計部門的作用，可以減少防患于未然，減少人工控制與信息系統(tǒng)控制的風險概率。內(nèi)部審計人員針對人工控制與信息系統(tǒng)控制的不同特點設計不同的風險防范措施。對于人工控制系統(tǒng)，內(nèi)部審計部門著重針對人工控制的交易和業(yè)務是否有違法違規(guī)行為，對于人員之間的串通導致的控制失效加強日常的經(jīng)濟責任審計，以便及時發(fā)現(xiàn)問題，對于人工權(quán)利濫用導致的制度失效加強崗位責任審計，并保證內(nèi)部審計人員的獨立性，對于人為失誤導致的控制失效通過加強日常的財務審計或特定項目審計及時發(fā)現(xiàn)問題。對于信息技術(shù)系統(tǒng)的審計，著重于審計信息技術(shù)系統(tǒng)程序設計的合理性，系統(tǒng)的安全性等。系統(tǒng)程序的合理化審計需要專業(yè)技術(shù)人員對程序設計的合理性進行鑒別和判斷。系統(tǒng)的安全性審計考慮系統(tǒng)防火墻安全設置的合理性，不同人員訪問及處理權(quán)限設置的合理性，數(shù)據(jù)保存記錄的安全性等。