（一）国家政策要求

为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，我国财政部会同证监会、审计署、银监会、保监会2008年制定了《企业内部控制基本规范》，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。《企业内部控制基本规范》第四十一条明确规定企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

为了进一步提高行政事业单位内部管理水平，规范内部控制，加强廉政风险防控机制建设，2012年，我国财政部正式发布了《行政事业单位内部控制规范（试行）》，自2014年1月1日起正式施行。《行政事业单位内部控制规范（试行）》中明确规定“单位应当充分运用现代科学技术手段加强内部控制。通过信息系统建设，将经济活动及其内部控制流程嵌入单位信息系统中，减少或消除人为操纵因素，保护信息安全,提升内部控制的科学性、及时性、有效性。”

（二）企事业自身内部控制建设需求

根据调研数据统计分析，内部控制建设采取自建方式的占比73.08%，自建与外包相结合的占比19.23%，其余采取的是外包方式，信息化水平偏低。从内部控制体系开展进度来看，处于建立阶段的为主。通过调查群体所反映的问题、困难也验证了对内控信息化建设的需求，以提高工作效率，减轻重复工作量造成的负担。同时，企事业单位希望通过信息化的建立，打通业务、财务等多个环节的信息壁垒和信息孤岛，以实时实现业务、财务数据一体化。

（1）内控信息化建设意向模块

图1 内控信息化意向类别情况

（2）内部控制建设过程中迫切需要解决的问题

图2 内部控制建设需求类别情况

（三）适应时代发展的需要

内部控制信息化建设在规范中明确规定，是内部控制建设的最高等级，也是适应数字经济发展的必然选择。随着科学技术的进步，网络及信息化的发展，数字经济已成为中国经济的发展趋势，2017年3月5日，十二届全国人大五次会议上，国务院总理李克强在作政府工作报告时表示将促进数字经济加快成长，让企业广泛受益、群众普遍受惠，“数字经济”首次被写入政府工作报告。2017年10月18日，习近平总书记在党的十九大报告中指出：中国经济保持中高速增长，在世界主要国家中名列前茅，对世界经济增长贡献率超过百分之三十，供给侧结构性改革深入推进，经济结构不断优化，数字经济等新兴产业蓬勃发展。党的十九届五中全会更是将加快数字经济发展纳入十四五时期经济社会发展的主要目标，为新阶段加强内控信息化建设提供了根本遵循。

实施内部控制工作的信息化、智能化，利用相关性规则的挖掘算法，提取其反映相关性的规则、规律和模式，并对这些规则、规律和模式进行分析和评价，有效地形成内部控制知识库。这些未来的发展趋势，促进并推动内部控制信息化建设，并且走向人工智能内部控制管理模式。

（四）提供可借鉴的内部控制信息化建设方案

内部控制建设通过建立健全端到端的全业务工作流程、管理制度和内部监督制度，将制度流程化，通过对不相容岗位的分离，明确各岗位的职责，把各项业务按类别制定表单，结合单位议事决策机制形成表单的内部控制流程，通过数据中台或财务机器人与OA管理系统、CRM系统、ERP系统、财务系统的完美结合，让数据互联互通，形成内部控制信息化系统。

OA管理系统完成业务事前审批与执行结果的表单化及表单相关审批流程电子信息化工作，OA管理系统事前审批结果、业务执行结果的确认链接至CRM系统、ERP系统、财务系统，通过CRM系统、ERP系统、财务的报销模块、指标控制模块、总账与报表模块，使单位的业务管理按照内部控制流程进行信息化管理，做到预算执行标准符合性审核，收付款表单的审批，财务系统确认收付款并按财务核算要求进行相应的会计核算与账务处理。实现与未来单位内部控制发展趋势相匹配，与单位内部相关业务相结合的业务管控，真正地实现通过利用信息化这一工具来切实落地与践行业财的有机融合。

（一）信息化使内部控制建设简单明晰

现代组织管理中，信息化已经成为必要，尤其是疫情到来以后，更为迫切。这里所说的组织已经不单指组织，可以是说一切有效运行的机构组织。信息化融入到了组织生产经营的每个环节，在逐步优化和完善管理组织结构，通过自动控制和协同控制已经形成了内部控制的权责分配的基础，使内部控制简单明了。

（1）组织结构扁平化

企业信息化都会将企业组织架构作为实施的基础条件之一， 在内部控制建设过程中无论是OA系统、CRM系统、ERP系统等哪个系统，不管哪个品牌软件，都会通过应用信息化管理模式，使组织中沟通和协调的成本进一步降低，能够使得组织结构得到优化和完善，增加了管理幅度，减少了管理层次，实现组织结构“扁平化”，提高了组织管理的效率和质量。

（2）权责体系明晰化

在信息化中，表单审批流程将权责体系明确化、规范化、制度化，甚至是僵化，通过信息化管理模式使得机构之间、人员之间能够科学的分工，适当的分权、牵制，达到内部控制要求，对组织内部控制起着重要的作用。

（二）信息化使内部控制风险评估范围及方法得到引用与扩展

制度表单化、表单流程化是信息化应用的语言，信息化在内部控制的应用，使得组织内部控制处于一个信息分散、数据共享的内部环境中，大大扩大了内部风险控制范围和内容，同时促进了风险评估方法的革新。

作为一个有效运行的组织必须明确内部控制目标，对组织内部控制风险进行有效的评估和控制。在信息化管理模式下，不是按照传统的特定程度来进行风险评估，而是在特定内部控制环境下进行风险评估。

在组织职责分离控制方面，在信息化管理模式下，信息系统自动根据预先设定的流程分配责权，有效地避免了组织职责风险。

（三）信息化使内部控制活动更加丰富

让数据跑路代替人跑路是信息化提高效率的存在逻辑之一，内部控制的大多数活动必须依赖信息化来实现和完成，信息化使得业务流程更加简单。提高效率是一个组织运营发展的普遍需求，这要求组织对信息系统运行可靠性、安全性进行管理和控制，因此丰富了内部控制活动。

（1） 基础分权

要保证组织内部控制工作人员及数据处理工作人员职责有效分离；所有信息系统处理都要经过授权管理，通过设置信息访问权限，并对为设置访问权限的系统采取必要的安全防范措施；对组织内部控制活动进行信息化管理时，要保证计算机软件和硬件设备处于安全运行状态；通过信息技术对组织重要数据进行备份，以防止系统故障对组织业务造成影响。

（2） 应用分权

“制度表单化、表单流程化”，具体分为三个方面：输入控制，通过用信息系统具有自动检查和平衡的功能，合理保证输入数据的准确性；处理控制，通过信息系统自动运算以及分批汇总的功能合理保证处理结果的正确性；输出控制，通过信息系统设置权限等安全功能合理保证信息传递到有权限的使用者手中。

（3） 监督控制

通过在组织内部控制管理过程中应用监控技术、异常预警技术，能够对工作人员行为进行有效监督和控制，及时发现工作人员存在的舞弊行为，减少组织员工道德风险。同时通过内部控制软件系统，能够对组织重要数据及其传播进行有效的监控，以保证组织重要数据及信息的安全。

（四）信息化使沟通有效性得到提高

信息化在内部控制的运用，促进了信息的沟通与交流，能够为组织的管理者、员工及客商等提供信息沟通平台和交流渠道，实现信息沟通效益最大化。

例如：ERP 管理系统在组织管理中的应用， 能够对资源进行有效的管理和控制，能够帮助领导者掌握工作进展，并为组织的战略发展决策提供重要依据。同时 ERP 管理系统与生产、投入、经营等有着密切的联系，能够及时将生产经营各项活动反馈给财务管理部门，以保证财务信息流通的有效性，使得财务管理和控制模式从事后补救转变为事前、事中控制，降低了组织财务管理风险。

图3 数字化企业类型

（五）信息化让监督在线、决策在线

信息化使得内部监督内容、方式更加丰富。通过信息化能够对组织业务运行整个过程进行实时的监督和控制。

图4 数字化转型

（六）组织内各信息系统之间的有效连通使内部控制精准高效

现代企业往往运行多套系统、面向销售的客户关系管理系统CRM系统、面向行政审批的行政自动化办公系统 OA系统、面向研发的项目全生命周期管理系统PLM系统、面向企业生产制造、物料管理和财务管理的ERP系统、面向生产工序工艺管理的MES系统等等。这些系统往往是独立运行，系统间的数据鸿沟往往是组织内部控制的风险漏洞，打通数据鸿沟成为组建风险隔离墙的关键。2015年开始兴起的数据中台概念，为其带来新的理念和解决方案。

数据中台强调的是数据及分析技术对于前台业务的复用价值，强调通过数据治理业务，形成使用的数据资产，打通数据间业务间无用的隔阂；数据中台的应用体现在顶层框架与业务逻辑之上，是从整体出发，逐步落实的数据管理、数据资产开发及数据驱动业务三大方面，也是基于单个数据梳理、运营、分析等解决方案演化而来的重要数据管理概念之一，体现了数据结合业务，数据间打通的企业管理新思路，将是组织内部控制的新方法和思路。

图5、6  数据流转过程示意图及产品应用架构

注：目前用友公司、EN+公司都有类似的产品应用。

（七）大数据助力内部控制技术快速发展

利用大数据，尤其是互联网大数据，通过对标数据提高组织内部控制水平。现在互联网、大数据的应用，助力了企业内部控制技术的发展。

例如：新客户风险识别可以连接“企查查”；可以连接税务系统，外国客户可以连接“中信保”，有效降低新客户信用风险。

再例如：企业互联网广告的数据可以清楚的看到哪些人感兴趣，感兴趣的是哪款产品，发给客户广告页客户是不是已经收到，已经观看甚至是观看的次数与时间。数据对于广告费用的支出效力提供数据依据。组织内部数据与外部数据之间的对标为企业内部控制风险提供帮助。

（一）制度流程化、流程表单化、表单体系化和体系电子化

按照“管理制度化、制度流程化、流程表单化、表单体系化和体系循环化”的思路推进信息化建设工作：内部控制信息化建设部门结合单位制度与管理部门、业务部门做好流程与信息化建设整体规划，建议在开展信息化建设之前至少提前一年开展流程建设，将流程与表单进行固化，并在线下进行操作与验证流程的可操作性，业务流程的实际运作是否顺畅、是否存在例外情况。

（二）硬件、软件的选择

单位建设内部控制信息化时，作为信息化的用户有许多具体要求，但要根据自己的财力和现有计算机软硬件配置进行选择。由于计算机硬件设备的更新换代太快，致使许多单位在购置当时配置较高的计算机硬件资源后，在不到两年的时间里，原有配置便不再能够满足一些最新的内部控制系统的硬件需求。软硬件的同时更新必然给企业带来沉重的负担，所以单位选择内部控制信息化软件系统时必须考虑自身财力与现有计算机软硬件的配置。

（三）将管理理念、控制规则、控制活动、控制手段等嵌入软件系统内

分级授权、并行审批、条件分支审批，对预算指标的绝对控制与提醒约束等各种管理模式与方案转移至软件环境中，将线下可操作的管理模式、流程、规则完全通过软件实现。

（四）测试及试运行

自主开发的软件需要进行软件测试，利用测试工具按照测试方案和流程对开发软件进行功能和性能测试，主要由开发设计方进行测试，也可委托有资质第三方进行测试。测试合格的自主开发软件或购置的成熟的软件模块产品，如OA模块、财务报销模块、指标控制模块、工资模块、财务总账与报表模块等，按照单位的实际业务流程、业务表单、控制规则等进行工作场景的搭建与实施后，移交单位试运行。软件试运行是按实际工作场景、业务流程对软件进行使用，一般试用三个月或更长时间没问题后即可正常使用，试运行过程中，一般要进行线上、线下双线运行，即同时按信息化建设上线试运行前的操作和在试运行的软件中操作。

（五）验收及正式运行

按照单位确定的表单、流程、控制规则在软件中的实现性，各流程节点控制有效性，各节点及要素的穿透查询、统计完整准确性等符合要求后通过验收。验收通过的内部控制信息化建设系统，可以正式运行。

（一）制度未形成固化的表单与流程

大部分单位具备一定内控体系，只是有效的应用不多，主要是制度流程化不足，管理流程明确性、细化性不足。这主要是由于制度编写不清晰、对待内控认识与认知不足，以及政策变化、岗位变化人员变化造成的。若想得到真正的应用，必须先要完成制度流程化、流程表单化、表单体系化和体系循环化，在完成这些转化后，再进入内部控制体系信息化建设。

（二）管理目标、控制规则不清晰

单位在遵守以收入控支出，按预算支出不超总体原则进行控制时，单位不同会造成管理模式存在着差异，如部门管理、横纵向业务分项目管理等，需要按照不同的业务状态，提炼总结有效的管理流程、控制目标与规则，从而满足业务管理、内部控制制度、不相容岗位分离等控制的要求。

（三）扩展空间不足

在实施内部控制信息化过程中，由于单位目标不明确，对实施要求提出的少；或者软件实施人员经验不足，使软件实施结果只按单位现状进行设计实施，在基础设置中扩展结构未保留或者保留不足，使软件实施后，随着外界管理要求及业务的变化，无法添加新的管理要求。因此，需要在软件的工作环境搭建过程中留有充足扩展空间与方式。

（四）无固定的内部控制信息化管理人员

单位由于人员编制配置不足或对信息化认知存在着欠缺，导致对内部控制信息化系统的管理无专人负责，使系统的日常维护与管理缺失，造成整个系统的使用与管理混乱，失去内部控制的效果。

（五）持续改进与完善能力差

由于当前单位的内部控制发展受到传统行政管理制度的影响，并且内部控制的理念也不够完善，加之负责内部控制信息化建设的工作人员素质参差不齐，信息化知识不足，在初使设计阶段存在着先天不足，后续在运行过程中，很少有人积极提出改进的方案，更多依赖于服务外包的方式管理内部控制信息化系统，使得整个系统在运行过程中持续改进与完善能力差。

（一）领导高度重视，“一把手责任制”

《行政事业单位内部控制规范（试行）》第六条明确规定单位负责人对本单位内部控制的建立健全和有效实施负责。因此，内部控制建设是“一把手”主责的工作，内部控制信息化的建设更需要领导的高度重视与支持，建立相应的领导机构和实施机构，明确内部控制信息化系统建设的目标、实施计划、年度计划和资金保证计划。

（二）明确职责，协调配合

内部控制信息化建设涉及各项业务流程，审批、执行、监督，各部门均参与使用。因此，单位按照“三定方案”、内部控制制度的管理要求、业务的管理流程、控制规则的要求，进行信息化建设期间的职责分工，相互配合，使各部门的使用简洁流畅，业务流程与各管控节点的衔接有效。

（三）重视基础，强化标准化

重视内部控制信息化的基础工作和标准化工作，重点是基础资料设置中的项目、人员、地区、供应商、客户、预算条目、合同编号等，在编码方面规范，排列整齐，便于检索，在名称方面统一录入标准，避免出现重复。

本课题系统梳理了内部控制、信息化、基于信息化环境下的内部控制相关研究成果及相关理论，并对内部控制信息化建设步骤、流程、共性问题以及问题解决措施进行了研究。相关研究成果在案例A组织内部控制体系建设中成功应用，为相关行业组织借助信息化手段进一步提升内部控制有效性，进而更高效实现内部控制目标提供了指南，具有较强的实践指导意义。尤其近期，国务院就进一步提高上市公司质量提出意见，明确要求规范公司治理与内部控制，要求内控规范体系加快推行，内控有效性要提升，且严格执行内控制度，当前这种背景下，本课题研究意义更显重要。

但本课题未对内部控制信息化建设的实施主体进行详细研究，实施内部控制信息化建设的主体需要具备哪些专业知识、技能等，后续相关研究可以在实施内部控制信息化的人才培养方面进行进一步探讨研究。

随着5G、物联网技术发展，内部控制信息化建设的涉及的载体、平台不仅仅局限互联网络、计算机等软硬件环境，后续相关研究可以在内部控制信息化建设的环境方面进一步探讨研究。

内部控制不是一个独立的系统，而是贯穿于单位所有管理环节中，因此，信息化也不是废除单位已有的信息系统，而是将内部控制嵌入到单位的信息系统中。

随着云计算、大数据、物联网、移动网络的快速发展，信息化的应用场景会变得越来越细小，信息的应用技术、数据链接及数据加工处理方式越来越简单，适用于使用者简易操作、管理个性化等需求的应用平台会快速发展，使内部控制关键风险点及时防控，提高单位风险防控能力和内部管理水平，实现“智慧内控”、“安全财务”。