内部控制工程是采用工程的概念、原理、技术和方法来建设内部控制系统，用规范化的方法和技术进行复杂内部控制系统的建设，以便经济地设计和实施高质量的内部控制系统并有效地维护（杨周南、吴鑫，2007）。内部控制工程在内部控制系统建设中的应用主要集中在内部控制系统建模、内部控制系统实施和内部控制系统评价等三个方面。由于信息技术在企业管理系统中的深入应用，充分利用信息技术实施内部控制已成为一种必然趋势。本文通过对信息化环境下内部控制工程的深入研究，以期进一步推动内部控制工程理论与方法的创新与发展。

一、信息化环境下内部控制系统的概念推演

内部控制工程的对象是内部控制系统。研究信息化环境下内部控制工程需要对信息化环境下内部控制系统的概念进行分析与界定。从系统论的视角，内部控制系统是一个由一系列控制点、控制线、控制面和控制体组成的整体，并与外部环境不断进行物质、能量、信息的交换，其本质是企业系统的一个子系统。控制点是内部控制系统中最基本的要素，表现为一个业务处理流程中的控制环节，例如，销售控制流程中的控制点包括销售价格、销售折扣、客户信用等。控制线是内部控制系统中控制点之间的信息流动与沟通，表现为内部控制的控制流程。控制面是控制点与控制线的有机结合，表现为内部控制的控制层面，如战略控制层面、管理控制层面和业务控制层面。控制体是控制点、线、面的有机集成，表现为内部控制的控制子集，如财务报告内部控制（ICFR）、全面预算内部控制等。内部控制系统的控制主体是董事会和各级管理人员，控制客体是各级工作人员的行为，控制手段是企业内部的各项规章制度等。

在信息化环境下内部控制系统的内涵并未发生本质的变化，在信息资源利用和信息技术工具上反而具有更大的优势，可以实现传统环境下无法实现的一些控制模式，实现内部控制的转化、集成和提升。具体而言，信息化环境下内部控制系统是以信息资源和信息技术为主要工具，由董事会、管理层和其他人员共同实施的，基于企业的风险管理与内部控制运动，由人、信息设备和控制制度组成的人机一体化监控系统。在信息化环境下内部控制系统是由人工系统、制度系统、信息系统等多个子系统协作组成。因此内部控制系统在逻辑上是独立的，而在物理上未必是独立的，需要人、信息设备和控制制度的共同支撑，是对人工控制、制度控制、信息系统控制的集成和整合（为了前后论述一致，如无特别说明，在本文中内部控制系统特指信息化环境下内部控制系统）。

二、传统环境与信息化环境下内部控制工程的区别

在传统环境下，内部控制的实施主要依靠控制制度的制定和执行，控制信息处理与传递主要通过纸和笔来完成。在信息化环境下，企业在生产、经营及其各项管理活动中广泛采用信息技术和信息设备，辅以网络技术和网络设备以及自动控制技术和现代化通讯系统等手段对企业进行全方位、多角度、高效和安全的改造，通过信息资源的深入开发和广泛利用，以实现企业生产过程的自动化、管理方式的网络化、决策支持的智能化、商务运营以及资金运转的电子化，不断提高生产、经营、管理、决策的效率和水平，进而提高企业经济效益和竞争力。两者具体区别见表1。

三、信息化环境下内部控制工程的内涵与特征

（一）信息化环境下内部控制工程的内涵

信息化环境下内部控制工程是围绕内部控制目标而实施的动态管理机制，指企业应用信息化工程的概念、原理、技术和方法建设内部控制系统，以信息技术为依托，通过信息资源开发与利用，实现集成化的实时控制，形成人工控制和自动控制高度集成的一体化人机系统，从而能够有效地落实内部控制各项规范和标准，实现企业的发展战略。信息化环境下的内部控制工程借鉴系统工程、软件工程、信息工程相关工程学科的研究与发展经验，将信息化工程方法引入到内部控制的实践中，重点关注内部控制理论与实践的转换过程。

根据内部控制工程的内涵，本文认为将内部控制和工程学结合是全新的想法和思路，对信息化环境下内部控制工程的概念做如下扩展和延伸：

1.内部控制工程实践论。内部控制工程实践论是指从实践的角度认为内部控制工程是以建造内部控制系统为核心的实践活动。从实践的角度，内部控制工程是以建造为核心的实践活动，其对象就是内部控制系统。如何经济有效地建立内部控制系统并维护其运转是内部控制工程的主要目标。内部控制工程是在内部控制理论与内部控制系统之间建立一个桥梁，以保证内部控制理论更好地贯彻到内部控制系统中，充分有效地与企业管理实践相融合，并最终实现内部控制的目标。

2.内部控制工程知识论。内部控制工程知识论是指从知识的角度认为内部控制工程是一个由许多知识集合而成的完整知识体系，内部控制工程包含许多知识集合而成的知识体系，而且大部分知识由经验和实践而来。内部控制工程需要应用系统工程、信息工程、软件工程等相关工程领域的技术、方法和经验，包含了规划、建模、设计、运行、维护、评价、运筹、管理等大量的知识，以及在实践中不断增加的创新理念和认识。

3.内部控制工程职业论。内部控制工程职业论是从职业的角度认为内部控制工程可以成为生活中满足社会需要的一种工作。内部控制工程需要建立和推动“内部控制工程师”的职业概念，逐步建立专业技术职称评定、专业资格认证和注册、专业团体构建等专业化职业管理体系。“内部控制工程师”职业的建立是内部控制长期发展的人力资源保证。只有解决了“人”的问题，内部控制才有了实践的主体。

（二）信息化环境下内部控制工程的特征

内部控制工程是关于如何设计、建设、维护内部控制系统的综合学科。与已有的内部控制组织、形态、管理或建设的理论和方法相比，具有以下特征：

1.具有工程学的全部特征，包括实验与测量手段、精确的设计语言和新的结构原理等。

2.从内部控制整体出发，集成内部控制各要素之间的联系，而不只是关注诸如资金控制、预算控制、账务控制等局部功能。

3.以信息技术为基础，不仅提供了构造内部控制系统的基本手段和方法，还提供了逻辑的、精确描绘内部控制系统模型的方法和工具。

4.从人的共性出发考虑人的因素，但不涉及到任何一个参与其中的具体的人。

5.不以静态的构造为目标，按照内部控制实施的要求，旨在建立具有高度目标与环境适应性的自组织系统。

四、信息化环境下内部控制工程的基本原则

（一）战略导向原则

战略导向是指在内部控制实践过程中要以实现企业发展战略为目标，而不是局限于防错纠弊。《内部控制——整体框架》（COSO报告）提出，企业实施内部控制的首要任务是实现战略目标，企业管理当局制定战略目标和选择战略，并在此基础上从上而下设定具体的目标，包括经营效率目标、财务报告可靠目标、经营合法目标等。我国发布的内控基本规范也将企业实现发展战略作为内部控制的最终目标予以明确。因此，内部控制的发展已经从以纠错防弊为导向向以实现企业发展战略为导向转变，内部控制不再仅仅是为了满足外部监管的要求而是要满足企业发展战略，最终融入到企业经营决策和运营管理中。

信息化环境下内部控制工程的应用还需要符合企业的信息化战略或IT战略，而信息化战略服务于企业发展战略，因此无论是从信息化战略角度还是从内部控制建设角度，信息化环境下内部控制工程必须以企业战略为导向作为基本原则。另外，以战略为导向有利于内部控制适应动态调整，一旦企业根据环境变化实时调整战略目标和相关指标，内部控制也可以随之调整，保证内部控制适应企业的管理要求。

（二）系统集成原则

系统集成是指在内部控制系统实施过程中，要从整体出发，不能只局限于内控模块和控制点的实现，在构建内部控制系统之前要研究系统整体而不是研究系统局部。这一点与传统内部控制纠错防弊、查缺补漏的实施思路是完全不同的。

内部控制工程以系统集成为原则，主要实现两类集成：一是内部控制系统内部各控制模块、控制关键点之间需要实现信息沟通，形成内部控制的合力，例如，预算控制模块需要与资金控制模块、销售控制模块、采购控制模块等集成，才能达到全面预算管理的目标；二是内部控制系统与企业系统的集成，将内部控制融合于企业内部管理之中，使企业在日常经营管理过程中自然地实现了内部控制，这是内部控制工程应用的理想状态。此外，信息化环境下内部控制系统在设计和实施上需要具备系统集成的技术和方法，从内部控制系统的本体研究、系统建模、系统实现到系统实施必须以系统集成为基本原则，既要实现人工控制和自动控制的集成，也要实现内部控制系统与企业系统的集成。

（三）实时控制原则

实时控制是指企业管理当局根据实时反馈的控制信息进行事中动态控制，是在信息技术条件下提出的全新控制观。在信息化环境下，企业管理当局利用信息技术手段对企业经营控制活动进行实时对比和分析，通过指导、调节、约束、促进等环节干预企业的经营业务，实现内部控制的目标。另外，当企业战略发生调整后，企业管理当局也可以使用内部控制系统的配置和管理功能，实时动态调整内部控制策略，以保证内部控制与企业战略一致。

（四）持续改进原则

信息技术的高速发展，使得内部控制模式和手段不断进步的同时也容易出现新的风险，如黑客的破坏、木马病毒的侵入等。持续改进就是针对内部控制系统运行的各个环节定期进行分析和诊断，不断发现和改进制约内部控制系统的各种因素，通过企业全员参与内部控制管理各环节的日常化、制度化的改进活动，提高内部控制系统的灵活性和应变性。

如果内部控制系统不能得到持续改进，可能刚开始能够达到应有的效果，但是一旦出现新的风险，内部控制系统容易出现设计失效和功能失效，无法长期保证内部控制的目标实现。

五、信息化环境下内部控制工程的实施框架

在内部控制工程的理论指导下，本文把信息化环境下内部控制工程的实施框架分为基础层、架构层、实施层和评价层四个层次，将作为内部控制“软”环境的组织和文化开发和作为“硬”环境的信息技术开发贯穿于这四个基本层次中（如图1所示）。

（一）基础层

基础层包括内部控制整合框架、内部控制基本规范及配套指引、内部控制相关标准等。虽然内部控制在各行各业中表现的重点和范围不尽相同，但是其设计和实施必须依据和遵守上述框架、标准和规范。它们构成了信息化环境下内部控制工程的基础和依据，确保内部控制系统符合内部控制的目标和要求。同时，与信息化相关的框架、标准和规范也应纳入到基础层中，如信息系统审计与控制协会（ISACA）发布的信息及相关技术的控制目标（COBIT）框架、英国政府发布的IT基础架构库（ITIL）、国际标准化组织（ISO）发布的信息安全管理国际标准ISO17799和ISO27001、卡内基梅隆大学软件工程研究院发布的IT项目过程控制框架软件能力成熟度（CMMI）模型等。

（二）架构层

架构层是信息化环境下内部控制工程的核心层，旨在解决内部控制系统的规划、设计和架构问题，构建内部控制系统的蓝图。从信息化环境的视角，通过架构设计可以将内部控制的目标有效地落实到企业内部控制的各个层面，从而实现企业内部控制的总体战略目标。内部控制系统架构是信息化环境下内部控制工程的核心内容，在内部控制系统建设中起到承上启下的作用，不仅是连接内部控制规范和内部控制系统的桥梁，也是组织控制、流程控制、信息控制的基础。

（三）实施层

实施层是信息化环境下内部控制工程的实践层，旨在解决企业实施内部控制系统的生命周期管理，结合软件工程的瀑布模型、迭代模型、过程改进模型等工程模型，可以构建信息化环境下内部控制工程的实施模型。信息化环境下内部控制工程的实施层包括了内部控制系统实施的方法、工具和模型等各种要素，是从工程学的角度对内部控制实践的具体研究。

（四）评价层

评价层包括评价指标、评价方法以及评价步骤等，是信息化环境下内部控制工程的最高层，旨在解决企业实施内部控制系统后的效果评价，是对内部控制过程的再控制，确保内部控制实施达到预期的目标和效果。内部控制工程的评价包括两部分，一是对内部控制实施过程的评价，二是对内部控制实施结果的评价。■

责任编辑 李卓

1.财政部会计司.2010.企业内部控制规范讲解.第1版.北京:经济科学出版社

2.陈志斌.2007.信息化生态环境下企业内部控制框架研究.会计研究，1

3.杨周南，吴鑫.2007.内部控制工程学研究.会计研究，3