【企业信息化内部控制问题与建议】内部控制建议

企业信息化内部控制问题与建议

企业信息化内部控制问题与建议 【摘要】随着信息技术的发展,信息对企业的作用越来 越重要,国内外相关机构十分重视企业信息化的发展。企业 信息化能够简化业务流程,提高企业的经营效率和效果,为 企业的发展带来财富。但是,企业信息化的实施也会导致许 多问题,文章以销售业务为例,以事物发展过程的事前控制、 事中控制和事后控制为线索,重点论述企业信息化实施过程 中面临的内部控制问题,进而从内部控制五要素(内部环境、 风险评估、控制活动、信息系统和监督)方面提出加强企业 信息化过程中内部控制的建议。

【关键词】企业信息化;
内部控制;
销售业务 一、引言 未来学家托夫勒在《第三次浪潮》中,曾把人类发展史 化分为“农业文明”“工业文明”“信息社会”。信息社会 的主要财富是信息,具备先进的信息技术,获得更多的信息, 也就能掌握更多的财富[1]。信息对企业的重要作用不言而 喻,企业各个环节都离不开信息的支撑,信息技术的使用推 动了信息在企业中的高速运转,简化了企业经营业务的流程, 提高了企业的经营效率和效果,为企业的发展带来了财富。

虽然信息技术的使用能够为企业的发展添砖加瓦,但是如果 信息技术利用不当也会给企业造成不利的影响:广东标致汽 车公司投入巨资促进企业信息网的发展,但是主系统中的十 几个功能模块中,启用的不到软件内涵的10%,巨资的投入并没有发挥网络效益;
河南许继集团由于企业经营结构的重 大调整未考虑到对ERP项目的调整,使得企业信息化的宏伟 目标夭折。信息技术的不当使用给企业带来上述问题的同时, 也会增加企业的信息风险,以及内部控制负担。企业内部控 制系统与管理信息系统是企业的两个重要子系统,内部控制 系统为信息系统注入理念和内容,信息系统为内部控制系统 提供信息和载体[2]。本文从内部控制角度入手,分析企业 信息化实施过程中面临的内部控制问题,并为此提出相应的 建议。

二、国内外对企业信息化的重视 由于信息化对企业的重要作用,国内外相关机构都给予 了高度的重视。信息及相关技术控制目标(COBIT)是信息 系统审计和控制联合会(ISACA)制定的面向过程的信息系 统审计和评价的标准,为目前国际公认的权威安全与信息技 术管理和控制标准[3]。该标准辅助企业进行IT治理,自1996 年问世以来,不断更新升级,2012年已经发行第五个版本。

COBIT清除了管理层、IT与审计之间的沟通障碍,并且加强 了管理层对控制的认识和支持,依据COBIT出具的审计报告 更容易得到管理层的认可[4]。我国内部控制委员会也十分 重视企业信息化中的内部控制问题,《企业内部控制基本规 范》中强调企业应当充分利用信息技术促进信息的集成与共 享,同时也应当防范风险,保障信息系统的安全稳定运行。

《企业内部控制应用指引》尤其是《企业内部控制应用指引――第18号信息系统》的颁布,强调企业应当重视信息系统 的重要作用。

三、企业信息化过程中内部控制问题分析 信息技术的广泛应用对企业的生产经营产生了重大的 影响,简化流程、方便管理的同时,也给企业的内部控制管 理带来了一定的风险。骆良彬等[4]从内部控制五要素的角 度指出内部控制的问题主要有控制环境更加复杂、风险评估 难度加大、控制活动容易出现漏洞、信息沟通不顺畅以及缺 乏适当的监督。本文以销售业务为例,从事物发展过程的事 前控制、事中控制和事后控制角度对企业信息化过程中的内 部控制问题进行具体分析。销售业务涉及销售、发货、收款 等多个环节,信息技术的使用简化了企业销售业务的流程, 提高了企业的经营效率,但是给企业也带来了内部控制的诸 多风险。

(一)事前控制更加复杂 1.内部环境的复杂多变销售业务的发生需要良好的内 部环境,企业信息化增加了企业内部销售环境的复杂性,企 业内部销售环境存在安全隐患。随着信息技术的发展,信息 对于企业的价值越来越大,由于网络的无形性以及匿名性, 滋生了内部管理人员可能将企业的重要销售政策、策略以及 对市场的预测情况等重要销售信息变卖给竞争对手的不正 当行为,也可能促使企业信息管理人员收受贿赂,发生篡改 客户信息等行为,给企业造成财产损失。由于互联网的大众化以及网络风险的存在,登录者只需一个登录的密码就可以 进入企业的信息系统,信息技术的易操作性和不留痕迹的特 点,为恶意访问者提供了方便,他们可能通过入侵网络系统, 窃取企业的重要销售渠道等信息,或者是对企业重要的客户 信息等进行修改,干扰企业的信息系统。2.风险评估的难度 加大企业信息化拓宽了销售业务风险评估范围,不仅仅局限 于传统的销售风险评估。风险评估是对企业实现内部控制目 标时可能产生的不利影响进行分析和辨认,传统销售业务的 风险评估行为主要针对企业的销售政策和策略是否恰当,市 场预测是否准确,销售渠道的管理以及客户信用档案的管理 等风险进行评估。但是信息技术与企业的生产经营进行结合 之后,企业风险评估增加了对企业信息系统进行评估的问题。

从企业信息的初始化问题,信息安全访问的控制等环节,信 息系统的安全性和可靠性,信息系统对企业资源的协调分配、 整理能力等都要进行评估分析,而这些风险评估过程是需要 不同专业背景的人员才能完成的,这无疑加大了企业风险评 估的难度和复杂性。

(二)事中控制风险加大 1.具体业务流程易出漏洞信息技术在简化企业业务处 理流程,方便员工进行数据操作时,也给企业带来了相应的 风险。在信息化的环境下,除了初始信息需要员工进行录入 之外,计算机信息系统可以自行处理财务报表的生成等多个 环节,简化了财务处理流程。然而信息技术的使用也加大了业务处理的风险,如果信息的初始输入存在错误,错误将很 难被发现,并且会影响后续业务处理环节的正确性,影响企 业的收入及利润,严重情况下可能导致虚假财务报表的产生。

信息技术的使用也会增加员工的惰性,比如在记账凭证审核 时,存在“批审核”功能,这一功能虽然会提高工作人员的 效率,但是也可能诱导员工在并未审核凭证的情况下,完成 这一功能。由于在信息化环境下,并不能够反映出员工的操 作痕迹,因此诸如此类的错误并不能够被发现。2.信息沟通 的不顺畅企业信息化存在比较大的一个问题是“信息孤岛” 的问题。由于ERP系统是采用几个模块进行设计的,各个模 块启用时间不同、使用人员不同,同一数据由不同部门录入 也可能各不相同,造成信息的混乱。不同部门之间各自为政, 相关部门人员在进行数据处理时工作量比较大,影响了工作 效率和质量。数据的不统一、信息的不一致会影响整个企业 的有效沟通,造成信息沟通不顺畅。

(三)事后控制需要加强 销售业务完成后,还要进行相应的事后完善和处理,这 主要指的是相关数据信息的整理和保存。数据是企业的重要 资源,数据的备份和保存应作为内部控制的重要环节。企业 的数据信息特别繁杂,备份企业数据需要大量的存储空间。

与纸质信息有所不同,由于电子信息的存储介质不稳定,一 旦操作失误就会丧失企业的重要商业信息,比如在导出企业 销售业务信息时,可能由于错点“删除”等按钮,导致企业流失客户档案、应收账款等重要资源。同时由于存储介质比 较小巧,特别容易被复制或者窃取,因此容易引起商业机密 的泄露,对企业造成不可估量的损失。

四、完善企业信息化过程中内部控制的建议 如前所述,企业信息化会产生许多不同于传统经营环境 的内部控制问题,本部分将针对前一部分所提出的内部控制 问题提出相应的完善建议,从内部控制五要素的角度加强企 业信息化过程中的内部控制。

(一)营造良好的内部环境 企业信息化需要良好的内部环境作为支撑,企业应该建 立诚信的企业文化氛围、恰当可行的奖惩政策。加强企业成 员的价值观念、诚信水平和职业道德水平的建设,缓解企业 信息化过程中由于内部环境造成内控缺陷的负面影响。以经 典“胡萝卜加大棒”的措施对企业员工进行鼓励和约束,确 保企业内部控制建设的顺利进行。对于精简企业流程、为企 业信息化建设做出突出贡献的技术或财务人员以及举报企 业舞弊人员等进行相应的激励,对于利用信息技术的漏洞牟 取私利损害企业经济利益的人员进行严惩,并且要求承担相 应的法律责任。

(二)完善企业风险评估机制 企业信息化增加了内部控制的风险评估难度,既要评估 传统经营业务的风险,还要评估信息系统的风险,以及信息 系统与业务系统整合风险。信息化环境下,企业的风险评估需要不同专业背景的人员配合,因此企业应组建风险评估部 门,完善部门人员知识构成,进行企业的风险评估工作,建 立企业信息化基础上的风险评估机制。不仅要建立信息系统 安全管理的制度和政策,而且要定期对企业信息系统的运行 情况以及信息系统与业务系统的结合情况进行评价,建立健 全问责制度,加强对计算机软硬件的管理和控制,评估企业 面临的整体风险。

(三)完善控制活动的环节控制 建立良好的控制系统,确保数据的初始输入准确无误;

重视信息技术的控制,加强软件的应用管理。企业应该参与 到软件的开发阶段,将信息系统与企业总体战略,信息系统 与企业的业务处理过程紧密地结合起来。在软件开发之初, 引入稽核监督机制,对于员工的数据操作记录和痕迹进行后 台的记录与备份,防止员工利用信息化环境下无法反映业务 痕迹这一特点简化必要的业务流程。同时应在软件开发阶段, 进行不同员工的权限设置,建立双重身份审核制度,防止私 自利用信息系统的漏洞进行会计处理,篡改财务数据的行为。

(四)建立有效的信息沟通系统 建立有效的信息沟通系统,促使企业信息化战略与总战 略协调一致,推进各部门的交流与合作。很多企业仅把信息 化作为一种数据处理的工具,追求如何通过技术更快捷地处 理业务,忽略了企业的管理思想,使得企业的信息化与管理 脱节。信息化应该与企业的管理协调发展,企业各部门的工作都服从和服务于企业的整体战略,因此企业的信息化战略 应该和企业的整体战略一致。企业各部门应该按照业务需要 识别信息使用者所需要的信息,对信息进行收集、加工和处 理,进行数据共享,使得其他部门信息使用者能够及时使用 信息,避免重复录入信息,或者录入信息口径不一致。

(五)规范监督管理机制 信息化建设的实施和发展离不开监督管理机制的约束, 规范监督管理机制不仅需要企业的配合,也需要政府部门及 专业审计机构的支持。企业内部应该设有针对企业信息化的 监督部门,制定企业信息化发展的规章制度,定期检查企业 信息化进程,监督检查企业信息化的成果。政府部门需要完 善相关审计法规,在原有审计规范的基础上,出台企业信息 技术管理相关规范。目前我国的网站审计比较落后,应该建 立切实可行的网站审计规范,促进网站审计的发展。注册会 计师等审计人员应该完善自己的知识结构,学习对信息化环 境下的电子凭证等会计信息的审计。

五、总结 信息技术在促进企业发展的同时,也给企业的内部控制 带来了风险。本文以销售业务为例,从事前控制、事中控制 和事后控制的角度对企业信息化过程中的内部控制问题进 行分析,发现企业信息化使企业的事前控制更加复杂,事中 控制风险加大,事后控制需要更加完善。企业信息化虽然给 企业带来了一定的内部控制风险,但是并不能舍弃信息化,舍弃信息技术在企业中的运用。应该针对企业信息化过程中 存在的问题,加强和完善企业内部控制,使企业内部控制系 统和管理信息系统完美结合,促进企业的发展。因此,本文 针对前文提出的问题,从内部控制五要素的角度提出完善建 议:企业应当营造良好的内部控制环境;
完善风险评估机制 和控制活动的环节控制;
建立有效的信息沟通系统;
规范监 督管理机制。

【参考文献】 [1]刘新华.关于加快我国信息化建设的探讨[J].管 理世界,1997(2):113-118,125. [2]韩晓梅.朱国泓,徐相伟,内控信息化的动态演进 ――苏州高新1994―2011年纵向案例研究[J].会计研究, 2015(1):76-81,97. [3]陈婉玲,袁若宾.COBIT及其在信息系统控制与审 计中的应用[J].审计研究,2006(S1):93-96,104. [4]骆良彬,张白.企业信息化过程中内部控制问题研 究[J].会计研究,2008(5):69-75. [5]唐文.制造业企业信息化实施路径的有效选择[J]. 会计之友,2014(9):100-102.