企業(yè)信息化實施的內部控制問題研究

企業(yè)信息化實施的內部控制問題研究企業(yè)信息化實施的內部控制問題研究

【中圖分類號】F272.5【文獻標識碼】A【文章編號】1004-5937〔2022〕12-0043-03

一、引言

未來學家托夫勒在?第三次浪潮》中，曾把人類開展史化分為“農業(yè)文明〞“工業(yè)文明〞“信息社會〞。信息社會的主要財富是信息，具備先進的信息技術，獲得更多的信息，也就能掌握更多的財富[1]。信息對企業(yè)的重要作用不言而喻，企業(yè)各個環(huán)節(jié)都離不開信息的撐持，信息技術的使用推動了信息在企業(yè)中的高速運轉，簡化了企業(yè)經營業(yè)務的流程，提高了企業(yè)的經營效率和效果，為企業(yè)的開展帶來了財富。雖然信息技術的使用能夠為企業(yè)的開展添磚加瓦，但是如果信息技術利用不當也會給企業(yè)造成不利的影響：廣東標致汽車公司投入巨資促進企業(yè)信息網的開展，但是主系統中的十幾個功能模塊中，啟用的不到軟件內涵的10%，巨資的投入并沒有發(fā)揮網絡效益；河南許繼集團由于企業(yè)經營結構的重大調整未考慮到對ERP工程的調整，使得企業(yè)信息化的宏偉目標夭折。信息技術的不當使用給企業(yè)帶來上述問題的同時，也會增加企業(yè)的信息風險，以及內部控制負擔。企業(yè)內部控制系統與管理信息系統是企業(yè)的兩個重要子系統，內部控制系統為信息系統注入理念和內容，信息系統為內部控制系統提供信息和載體[2]。本文從內部控制角度入手，分析企業(yè)信息化實施過程中面臨的內部控制問題，并為此提出相應的倡議。

二、國內外對企業(yè)信息化的重視

由于信息化對企業(yè)的重要作用，國內外相關機構都給予了高度的重視。信息及相關技術控制目標〔COBIT〕是信息系統審計和控制聯合會〔ISACA〕制定的面向過程的信息系統審計和評價的規(guī)范，為目前國際公認的權威平安與信息技術管理和控制規(guī)范[3]。該規(guī)范輔助企業(yè)進行IT治理，自1996年問世以來，不斷更新升級，2022年已經發(fā)行第五個版本。COBIT去除了管理層、IT與審計之間的溝通障礙，并且加強了管理層對控制的認識和支持，依據COBIT出具的審計報告更容易得到管理層的認可[4]。我國內部控制委員會也十分重視企業(yè)信息化中的內部控制問題，?企業(yè)內部控制根本標準》中強調企業(yè)應當充沛利用信息技術促進信息的集成與共享，同時也應當防備風險，保障信息系統的平安穩(wěn)定運行。?企業(yè)內部控制應用指引》尤其是?企業(yè)內部控制應用指引――第18號信息系統》的公布，強調企業(yè)應當重視信息系統的重要作用。

三、企業(yè)信息化過程中內部控制問題分析

信息技術的廣泛應用對企業(yè)的生產經營產生了重大的影響，簡化流程、方便管理的同時，也給企業(yè)的內部控制管理帶來了一定的風險。駱良彬等[4]從內部控制五要素的角度指出內部控制的問題主要有控制環(huán)境更加復雜、風險評估難度加大、控制活動容易出現漏洞、信息溝通不順暢以及不足適當的監(jiān)督。本文以銷售業(yè)務為例，從事物開展過程的事前控制、事中控制和事后控制角度對企業(yè)信息化過程中的內部控制問題進行具體分析。銷售業(yè)務波及銷售、發(fā)貨、收款等多個環(huán)節(jié)，信息技術的使用簡化了企業(yè)銷售業(yè)務的流程，提高了企業(yè)的經營效率，但是給企業(yè)也帶來了內部控制的諸多風險。

〔一〕事前控制更加復雜

1.內部環(huán)境的復雜多變

銷售業(yè)務的發(fā)生需要良好的內部環(huán)境，企業(yè)信息化增加了企業(yè)內部銷售環(huán)境的復雜性，企業(yè)內部銷售環(huán)境存在平安隱患。隨著信息技術的開展，信息對于企業(yè)的價值越來越大，由于網絡的無形性以及匿名性，滋生了內部管理人員可能將企業(yè)的重要銷售政策、策略以及對市場的預測情況等重要銷售信息變賣給競爭對手的不正當行為，也可能促使企業(yè)信息管理人員收受賄賂，發(fā)生篡改客戶信息等行為，給企業(yè)造成財產損失。由于互聯網的群眾化以及網絡風險的存在，登錄者只需一個登錄的密碼就可以進入企業(yè)的信息系統，信息技術的易操作性和不留痕跡的特點，為歹意訪問者提供了方便，他們可能通過入侵網絡系統，竊取企業(yè)的重要銷售渠道等信息，或者是對企業(yè)重要的客戶信息等進行修改，干擾企業(yè)的信息系統。

2.風險評估的難度加大

企業(yè)信息化拓寬了銷售業(yè)務風險評估范圍，不僅僅局限于傳統的銷售風險評估。風險評估是對企業(yè)實現內部控制目標時可能產生的不利影響進行分析和識別，傳統銷售業(yè)務的風險評估行為主要針對企業(yè)的銷售政策和策略是否恰當，市場預測是否準確，銷售渠道的管理以及客戶信用檔案的管理等風險進行評估。但是信息技術與企業(yè)的生產經營進行結合之后，企業(yè)風險評估增加了對企業(yè)信息系統進行評估的問題。從企業(yè)信息的初始化問題，信息平安訪問的控制等環(huán)節(jié)，信息系統的平安性和可靠性，信息系統對企業(yè)資源的協調分配、整理能力等都要進行評估分析，而這些風險評估過程是需要不同專業(yè)背景的人員才能完成的，這無疑加大了企業(yè)風險評估的難度和復雜性。

〔二〕事中控制風險加大

1.具體業(yè)務流程易出漏洞

信息技術在簡化企業(yè)業(yè)務處理流程，方便員工進行數據操作時，也給企業(yè)帶來了相應的風險。在信息化的環(huán)境下，除了初始信息需要員工進行錄入之外，計算機信息系統可以自行處理財務報表的生成等多個環(huán)節(jié)，簡化了財務處理流程。然而信息技術的使用也加大了《I務處理的風險，如果信息的初始輸入存在錯誤，錯誤將很難被發(fā)現，并且會影響后續(xù)業(yè)務處理環(huán)節(jié)的正確性，影響企業(yè)的收入及利潤，嚴重情況下可能導致虛假財務報表的產生。信息技術的使用也會增加員工的惰性，比方在記賬憑證審核時，存在“批審核〞功能，這一功能雖然會提高工作人員的效率，但是也可能誘導員工在并未審核憑證的情況下，完成這一功能。由于在信息化環(huán)境下，并不能夠反映出員工的操作痕跡，因此諸如此類的錯誤并不能夠被發(fā)現。2.信息溝通的不順暢

企業(yè)信息化存在比擬大的一個問題是“信息孤島〞的問題。由于ERP系統是采用幾個模塊進行設計的，各個模塊啟用時間不同、使用人員不同，同一數據由不同部門錄入也可能各不相同，造成信息的混亂。不同部門之間各自為政，相關部門人員在進行數據處理時工作量比擬大，影響了工作效率和質量。數據的不統一、信息的不一致會影響整個企業(yè)的有效溝通，造成信息溝通不順暢。

〔三〕事后控制需要加強

銷售業(yè)務完成后，還要進行相應的事后完善和處理，這主要指的是相關數據信息的整理和保留。數據是企業(yè)的重要資源，數據的備份和保留應作為內部控制的重要環(huán)節(jié)。企業(yè)的數據信息特別繁雜，備份企業(yè)數據需要大量的存儲空間。與紙質信息有所不同，由于電子信息的存儲介質不穩(wěn)定，一旦操作失誤就會丟失企業(yè)的重要商業(yè)信息，比方在導出企業(yè)銷售業(yè)務信息時，可能由于錯點“刪除〞等按鈕，導致企業(yè)流失客戶檔案、應收賬款等重要資源。同時由于存儲介質比擬小巧，特別容易被復制或者竊取，因此容易引起商業(yè)機密的泄露，對企業(yè)造成不可估量的損失。

四、完善企業(yè)信息化過程中內部控制的倡議

如前所述，企業(yè)信息化會產生許多不同于傳統經營環(huán)境的內部控制問題，本局部將針對前一局部所提出的內部控制問題提出相應的完善倡議，從內部控制五要素的角度加強企業(yè)信息化過程中的內部控制。

〔一〕營造良好的內部環(huán)境

企業(yè)信息化需要良好的內部環(huán)境作為撐持，企業(yè)應該建立誠信的企業(yè)文化氣氛、恰當可行的獎懲政策。加強企業(yè)成員的價值觀念、誠信水平和職業(yè)道德水平的建設，緩解企業(yè)信息化過程中由于內部環(huán)境造成內控缺陷的負面影響。以經典“胡蘿卜加大棒〞的措施《ζ笠翟憊そ《行激勵和約束，確保企業(yè)內部控制建設的順利進行。對于精簡企業(yè)流程、為企業(yè)信息化建設做出突出奉獻的技術或財務人員以及舉報企業(yè)舞弊人員等進行相應的鼓勵，對于利用信息技術的漏洞牟取私利損害企業(yè)經濟利益的人員進行嚴懲，并且要求承當相應的法律責任。

〔二〕完善企業(yè)風險評估機制

企業(yè)信息化增加了內部控制的風險評估難度，既要評估傳統經營業(yè)務的風險，還要評估信息系統的風險，以及信息系統與業(yè)務系統整合風險。信息化環(huán)境下，企業(yè)的風險評估需要不同專業(yè)背景的人員配合，因此企業(yè)應組建風險評估部門，完善部門人員知識構成，進行企業(yè)的風險評估工作，建立企業(yè)信息化根底上的風險評估機制。不僅要建立信息系統平安管理的制度和政策，而且要定期對企業(yè)信息系統的運行情況以及信息系統與業(yè)務系統的結合情況進行評價，建立健全問責制度，加強對計算機軟硬件的管理和控制，評估企業(yè)面臨的整體風險。

〔三〕完善控制活動的環(huán)節(jié)控制

建立良好的控制系統，確保數據的初始輸入準確無誤；重視信息技術的控制，加強軟件的應用管理。企業(yè)應該參與到軟件的開發(fā)階段，將信息系統與企業(yè)總體戰(zhàn)略，信息系統與企業(yè)的業(yè)務處理過程緊密地結合起來。在軟件開發(fā)之初，引入稽核監(jiān)督機制，對于員工的數據操作記錄和痕跡進行后臺的記錄與備份，避免員工利用信息化環(huán)境下無法反映業(yè)務痕跡這一特點簡化必要的業(yè)務流程。同時應在軟件開發(fā)階段，進行不同員工的權限設置，建立雙重身份審核制度，避免私自利用信息系統的漏洞進行會計處理，篡改財務數據的行為。

〔四〕建立有效的信息溝通系統

建立有效的信息溝通系統，促使企業(yè)信息化戰(zhàn)略與總戰(zhàn)略協調一致，推進各部門的交流與合作。很多企業(yè)僅把信息化作為一種數據處理的工具，追求如何通過技術更快捷地處理業(yè)務，忽略了企業(yè)的管理思想，使得企業(yè)的信息化與管理脫節(jié)。信息化應該與企業(yè)的管理協調開展，企業(yè)各部門的工作都服從和效勞于企業(yè)的整體戰(zhàn)略，因此企業(yè)的信息化戰(zhàn)略應該和企業(yè)的整體戰(zhàn)略一致。企業(yè)各部門應該按照業(yè)務需要辨認信息使用者所需要的信息，對信息進行收集、加工和處理，進行數據共享，使得其他部門信息使用者能夠及時使用信息，防止重復錄入信息，或者錄入信息口徑不一致。

〔五〕標準監(jiān)督管理機制

信息化建設的實施和開展離不開監(jiān)督管理機制的約束，標準監(jiān)督管理機制不僅需要企業(yè)的配合，也需要政府部門及專業(yè)審計機構的支持。企業(yè)內部應該設有針對企業(yè)信息化的監(jiān)督部門，制定企業(yè)信息化開展的規(guī)章制度，定期檢查企業(yè)信息化進程，監(jiān)督檢查企業(yè)信息化的成果。政府部門需要完善相關審計法規(guī)，在原有審計標準的根底上，出臺企業(yè)信息技術管理相關標準。目前我國的網站審計比擬落后，應該建立切實可行的網站審計標準，促進網站審計的開展。注冊會計師等審計人員應該完善自己的知識結構，學習對信息化環(huán)境下的電子憑證等會計信息的審計。

五、總結

信息技術在促進企業(yè)開展的同時，也給企業(yè)的內部控制帶來了風險。本文以銷售業(yè)務為例，從事前控制、事中控制和事后控制的角度對企業(yè)信息化過程中的內部控制問題進行分析，發(fā)現企業(yè)信息化使企業(yè)的事前控