淺談信息系統管理與企業內部控制

【摘 要】信息技術在企業管理中的作用日益凸顯，這就要求企業必須加快信息化建設。企業信息化管理作為控制環境的一部分，深刻影響著會計系統和控制程序等內部控制要素。信息管理系統能帶來諸多效益，但在信息化管理下的內部控制制度也存在一些問題，比如信息錄入的關鍵控制缺失，網絡化深入應用帶來的信息安全風險等。本文旨在分析在信息化管理的新企業環境下，信息管理系統對內部控制的影響以及應有措施。

【關鍵詞】信息化管理 信息管理系統 內部控制 風險 措施

引言

近年來，電子信息技術在企業管理領域的廣泛運用，徹底改變了企業傳統信息的儲存和處理方式，從而適應了現代企業對信息的高標準和高要求。信息化管理是時代發展的需要，對企業的積極作用是毋庸置疑的，但同時它又是一把“雙刃劍”，另一面帶來的風險不可忽視。由于企業內部控制體系的不完善和有效控制手段的缺失，借助企業信息管理系統舞弊的案件屢有發生，而且這種行為具有危害大，隱蔽性強的特點。因此，研究信息化管理環境下企業內控及風險控制具有十分重要的意義。

一、信息化管理及內部控制的關系

信息化管理就是通過對信息數據的合理控制，實現資源高效配置，進而提高企業生產效率和決策水平，為企業獲得持續競爭能力提供了有力保障。而內部控制，是指企業為實現經營目標，確保信息真實可靠，保護資產安全完整，遵循有關法律法規和規章制度，提高企業運營的經濟性、效率性和效果性而制定和實施相關政策、程序和措施予以合理保證的過程。美國會計師協會對內部控制作出的權威性的定義：“內部控制是企業所制定的旨在保護資產、保證會計資料可靠性和準確性、提高效率，推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施。”

在實際運作中，企業內部控制很大程度上依賴其信息化水平，信息化水平越高，內部控制得到的信息資源就越充分，實施效果就越明顯。同時，企業的信息化管理也給企業內部控制帶來新的風險。首先，風險評估范圍拓寬。企業將所有信息高度集中于數據處理系統，一旦有不法分子利用病毒來竊取企業信息，可能使企業蒙受損失。企業通過風險識別、評估與防范新風險，這就拓寬了評估范圍。其次，設備使用風險加大。信息管理系統由硬件和軟件構成。硬件存在許多不可抗因素，如跳電、物理損失、人為誤操作等，這些問題的出現增加了內部控制的難度。而軟件主要指運行風險，如設計缺陷、與企業切合度不高、穩定性不夠等都會帶來新的風險。第三，增加了道德風險。信息化建設需要企業內部系統與外部網絡連接，這會使信息使用者或操作人員通過公用通訊線路干預系統的機會變大，從而可能產生非授權的訪問、篡改等隱蔽性較大的舞弊行為。

由此可見，企業好比是一艘輪船，信息化是推動器，而內部控制是舵輪，只有兩者相互配合才能使行駛暢通無阻。

二、企業信息化環境下內部控制風險問題

（一）信息管理系統的數據來源，對信息質量產生影響

信息管理系統經常直接從其他系統采集數據，不必重新錄入，減少了數據錄入錯誤的機會，也保證了數據的完整性及時性。但是從其他系統直接采集的數據如果本身有錯誤，則該錯誤可能會帶到內部管理系統，管理人員被動地接受其他系統生成的數據進行處理，審核功能被削弱。由于實現了數據的快速傳輸與數據共享，數據生成部門或客戶如果反復更改同一經濟業務的數據，也會給數據處理帶來不便。

（二）信息流與單證傳遞相脫節，原始憑證形態發生變化

當企業的信息系統大規模聯網時，數據可以跨部門、跨地區傳輸，且傳輸的速度極為迅速，而紙質原始憑證卻不可能以同樣的速度在需求部門之間進行傳遞，有些電子交易甚至沒有產生紙質原始憑證。在這種情況下，數據處理時難以取得數據發生時產生的紙質原始憑證，而只能依賴原始數據管理部門的數據處理憑證，如業務部門的數據交換憑證或數據匯總憑證等。

（三）網絡開發環境使內部控制壁壘變得脆弱

信息網絡技術的發展使信息管理系統發生了質的變化，克服了以前單機信息系統的不足，使信息化管理環境下的內部控制更加完善。然而網絡的開放性、共享性、分散性也給信息管理系統的內部控制帶來新的問題，如重要信息通過網絡傳輸可能被截獲，收到病毒和黑客攻擊的機率變大等。從理論上說，置于服務器上的任何信息都是可以被訪問的，除非切斷物理連接才能避免外來非授權訪問者的侵擾。因此，企業必須定期對系統的安全性及內部控制能力進行評估，時時保持系統更新以降低網絡環境帶來的風險。

（四）信息和數據便于偽造，舞弊行為具有較大隱蔽性

在傳統管理模式下，所有數據都是以單、證、帳、表的形式出現，其作為核對憑證，修改困難，修改后有明顯痕跡，所以不便于偽造。而信息管理系統則完全不同，磁介質代替紙張作業，對信息和數據篡改后可以輕易抹去任何痕跡。而且篡改和偽造的操作具有很強的隱蔽性，很難被發現。另外電磁介質容易受損，所以系統上的信息和數據也存在丟失和毀壞的危險。因此信息化管理環境下的內部控制不僅難度大、復雜，而且對計算機安全技術也有較高的要求。

三、內部控制在信息化管理環境下應有的措施

（一）建立完整全面的內控記錄文檔，制定內部控制目標

企業應采用流程圖或文字描述的方式建立全面的控制文檔記錄，并對現有文檔記錄進行持續的維護和更新。公司管理層要制定內部控制目標，并根據文檔記錄的控制點和風險點每年至少進行一次正式的風險評估。信息管理系統實施之后，內部控制評估的目標通常包括下面這些內容：

①對整個流程和控制的設計進行評估，確定這些控制是否很好地滿足和支持最終業務目標的實現。

②對崗位職責分離的評估，確保在整個流程中存在正確的稽核點和平衡點，對敏感業務交易給出足夠的訪問限制。

③評估控制方式是否合理，比如基于手工流程的控制和基于系統的自動控制是否搭配合理。

（二）堅持不相容職務分離原則

企業在信息化管理環境下更要堅持不相容職務分離原則，也就是要進行職務分隔。內部控制制度能夠保證企業內部關鍵機構、崗位的合理設置及其職責、權限的合理劃分。堅持不相容職務互相分離，確保不同的機構和崗位之間權責分明，互相制約，相互監督。調整不適應信息管理系統環境的崗位設置，完善各崗位職責，特別是管理崗位和稽核崗位，在不同崗位上加強預測、分析等職責，加強稽核對業務的指導、監督、檢查等職責。

（三）前期，中期和后期控制相結合

在信息化管理環境下，企業內部控制可簡單劃分為前期，中期和后期控制三個階段。前期控制包括預算控制和權限控制兩個方面，屬于預防性控制類型。預算控制使得在發生經濟業務時，系統能自動將實際情況與預算目標進行比較，對不符合目標的業務操作進行否決或提請授權機構決策；權限控制則能根據企業的組織結構及員工的崗位職責，設置每個員工對系統的操作權限以及對信息的查詢范圍，系統將保證企業的各項業務活動均是由被批準或被授權的員工執行。中期控制主要是對操作程序進行控制，主要包括業務操作控制和會計系統控制。而后期控制則可以確保檢查報告的客觀性、可靠性，提高檢查效率、降低檢查成本，有利于企業及時發現在目標實現及制度執行過程中的各項偏差，屬于發現型控制類型。

（四）信息管理系統與其他接口數據的控制

企業在實際應用中會遇到信息管理系統與其他系統數據接口問題，如在開發票時與稅務系統的接口，產品出入庫時與檢斤計量系統的接口等，企業信息管理系統和其他系統之間的接口是實現不同系統間數據和信息互聯互通的必需。由于不同系統的數據格式可能完全不同，為了實現數據的傳遞，就需要進行一系列的轉換，因此這些位于不同系統之間的接口是一個重要的風險區域，內控流程應在系統接口點設置控制點，如設置訪問權限，加強稽核等方式，防范控制風險發生。

（五）創新風險管理措施，推行風險在線監控

依托信息管理系統平臺，從控制風險出發，針對信息化環境下內部控制風險的新特點，權衡風險與收益，制定相應的風險防范策略，建立“業務有流程，流程有標準，風險有控制”的內部控制操作體系，以保障信息系統數據和信息安全可靠，從而更好地實現內部控制目標。企業應同時開展在線稽核，增強風險管理的針對性和時效性，應結合全面風險管理，開展信息系統風險梳理，建立統一的信息管理系統規則庫和風險預警指標體系，運用不同的業務稽核規則，稽核方案，稽核專題，通過系統的智能運算，尋找各類數據疑點，形成稽核結論，實施風險全過程監控，從而達到風險可控在控的目的。

結言

信息管理系統作為企業管理信息化進程中一項重要的內容，正逐步在企業中得到廣泛應用。但是，當我們關注其為企業帶來巨大的管理提升和經濟效益的同時，也必須充分認識到由于信息管理系統自身的特點所帶來的風險。針對這些風險，研究和制定信息化管理環境下企業的內部控制策略，是信息管理系統應用中不容忽視的新課題。