論企業內控信息化建設

摘要：企業信息化促使企業的組織形式、管理體制、控制要點等發生了重大的變化，這就要求企業內部要建立適應這種新形勢的內部控制制度。本文分析了信息化對企業內部控制制度的影響，指出企業內部控制制度本身存在的問題，提出了信息化環境下企業內部控制制度完善的途徑。

關鍵詞：企業；內部控制；信息化建設

內部控制是組織為了使其資產安全能夠得到保證，并且確保信息的完整與正確，同時促進組織的經營管理政策能夠得到有效的實施，提高組織的經營效率，控制組織的經營風險，防止舞弊行為發生，從而實現組織目標的一種非常重要的管理制度或管理方法。

在當今企業的實際運作中，內部控制作用的發揮較多地依賴于企業信息化作用的發揮，靈活應用企業信息化，發揮其優越性，對內部控制起到積極作用。然而，信息技術在企業的應用和發展中也增加了企業內部控制的發展與完善，為企業內部控制帶來了一系列新的問題和挑戰，使得企業中現有的內部控制制度或體系不能滿足企業信息化的需要。內部控制制度是社會經濟發展到一定階段的產物，企業內部控制制度的完善與否，直接關系到企業的成敗。因此，建立一整套適合信息化條件下企業信息系統的內部控制制度顯得尤為重要。

一、信息化與內部控制的關系

（一）企業信息化一般是指利用先進的計算機網絡技術，通過對原始信息數據的深入開發與使用，將企業的生產流程、物料清單、資源配置、資金處理、信息共享等業務活動過程化信息化，再通過計算機網絡技術加工成新的可利用的信息資源，以不斷提高企業的生產效率與決策水平，進而提高企業的綜合競爭能力，求得最大的經濟效益。實質上，企業信息化就是通過對信息數據的合理控制，實現資源合理配置，為企業的生存與發展提供強有力的保障。

迄今為止，關于內部控制比較權威的概念則來源于COSO（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting，簡稱COSO）于1994年的修改的一份名為《內部控制一體化框架》的文件，里面指出，內部控制是由五個相互補充的要素構成，包括控制環境、風險評估、控制活動、信息與溝通、監控，這五大要素構成了一個相互聯系、相互依存的整體。在2004年9月，COSO又發表了一份名為《企業風險管理框架》的研究報告，從企業風險管理的角度考慮，在原先五大要素框架的基礎上又增加了三個風險管理要素，分別為目標設定、事件識別、風險回應。由此一般認為，企業風險管理框架的具體內容是由這相互聯系的八大要素構成。

在當今企業的實際運作中，內部控制作用的發揮較多地依賴于企業信息化作用的發揮，靈活應用企業信息化，發揮其優越性，對內部控制起到積極作用。與此同時，內部控制也通過對信息資源進行有效利用，使企業信息數據更加凸顯了自己的價值。企業就好比是行駛在高速公路上的汽車，信息化給企業加速，使企業高速行駛，內部控制則指引著企業行駛的方向，二者雖然目標不同，但彼此相互依存，互相依賴，不可分割，只有充分協調好這二者的關系，才能使企業在發展的道路上暢通無阻。

（二）信息化與內部控制相輔相承。企業信息化就是通過對信息數據的合理控制，實現資源高效配置，進而提高企業生產效率和決策水平，為企業獲得持續競爭能力提供了有力保障。在實際運作中，企業內部控制在很大程度上依賴于其信息化水平，信息化水平越高，內部控制得到的信息資源就越充分，實施效果就越明顯。企業好比是一艘輪船，信息化是推進器，而內部控制則是舵輪，只有兩者相互配合才能使行駛暢通無阻。

信息化有助于企業內部結構扁平化。傳統企業財務管理是建立在管理層級制度基礎之上的金字塔式結構，會計信息傳遞受到中層財務經理的影響較多。財務管理信息化實現了會計信息的實時采集與更新，企業高層可隨時了解基層業務情況，從而避免中層財務經理干預，實現了組織結構的扁平化。

企業信息化給企業經營帶來新的風險。首先，風險評估范圍拓寬。企業將所有會計信息高度集中于數據處理系統，一旦有不法分子利用病毒等竊取企業信息，可能使企業蒙受損失。企業通過風險識別、評估與防范新風險，這就拓寬了評估范圍。其次，設備使用風險加大。會計信息管理系統由硬件和軟件構成。硬件存在許多不可抗因素，如跳電、物理損傷、人為誤操作等，這些問題的出現增加了內部控制的難度。軟件主要指運行風險，如設計缺陷、與企業切合度不高、穩定性不夠等都會帶來新的潛在風險。第三，增加了道德風險。信息化建設需要企業內部系統與外部網絡連接，這會使信息使用者或操作人員通過公用通訊線路干預系統的機會變大，此時如果企業內部人員與黑客合作，很可能產生非授權的訪問、篡改等風險。

二、企業信息化對內部控制制度的影響

信息化環境下，各類現代化技術的設計水平與應用實踐效能實現了快速的提升，在給各類企業的發展實踐帶來較大優勢便利的同時，也給企業內部控制制度的高效運行及科學設置營造了更具挑戰性且復雜的發展環境。長期以來，企業內部控制的控制范圍比較狹窄，許多企業的內部控制制度僅針對會計部門，現有的內部控制對企業的信息化建設而言無多少參考價值；另一方面，在信息化建設過程中，企業中各具優勢的信息化技術的科學運用使得企業內部的控制制度涵蓋的內容更廣泛，但企業在進行信息化建設內部控制時，往往會全盤套用傳統的企業內部控制制度，未就企業信息系統建設的內部控制環境做深入的全面調研，不能對內部控制任務與崗位職責進行有針對性的分離或隨環境的變化而進行及時調整，最終使得內部控制措施得不到切實有效的落實，導致現有的內部控制制度失效，同時也必然會令信息化下企業承擔與面臨的風險因素越來越多。

從另一層面來看，信息化技術作為一種基于信息化環境下產生的具有強大功能的工具，不僅為企業在內部控制制度的實踐中提供了合理的引導，也極大地提升了企業內部各項管理工作的效率及內部控制制度的規范化水平。

三、企業內部控制信息化環節存在的問題

（一）對信息系統作用的認知力不足

企業不能夠正確認識信息系統的作用，其主要體現在兩個方面：管理層方面。受信息化的自動化效應的影響，企業管理層只關注信息化建設，忽略了實現信息系統與管理思想相融合的重要性與迫切性；操作層方面，企業相關部門不能夠及時將業務信息錄入系統，以致大量的信息失真，從而給企業核算、決策等工作帶來極大的困擾。因此，上述兩方面均在不同程度上影響著內部控制信息化效果，使得企業資源流失、浪費等現象日益突出。

（二）授權方式的改變使內部控制風險加大

在傳統會計模式下，經濟業務形成會計信息需要專門工作人員操作及蓋章才可有效。這種方式雖然效率較低，但其它人參與的機會較少，安全性很高。在會計信息模式下，業務權限通過角色授權來完成，授權角色口令雖然由角色人物自行維護，但被竊取或泄露的機會很大，便會給企業帶來了巨大的安全隱患。另外，業務人員獲得授權后，尤其是信息維護專職人員獲得授權后，企業網絡數庫內其它財務秘密也盡收眼底。

（三）會計信息便于偽造

在過去單機電算化環境下，所有會計數據是以單、證、賬、表的形式出現，其作為核對憑證，修改困難，修改后留有明顯痕跡，所以不便于偽造。網絡會計則完全不同，磁介質代替紙張作業，對會計信息篡改后可以輕意抹去任何痕跡。另外，電磁介質易受損壞，所以會計信息也存在丟失或毀壞的危險。因此，如何使磁性介質上的數據安全可靠、防止數據被非法修改是一個非常重要的問題。

四、加強企業內部控制信息化管理的策略

（一）營造和諧穩定的信息化環境

良好的信息化環境既有助于企業實現內部控制信息化，又有利于加強企業內部控制信息化管理。其中營造和諧穩定的信息化環境應從下述三方面做起：第一，推進管理思想與信息化相機融合，促使管理要求與信息系統管理思想一致性，依托于先進的信息技術，盡可能規避人為因素造成的負面影響；第二，結合企業發展需求與特點，借鑒國外的優秀經驗推進內部控制信息化管理變革；第三，企業管理者應嚴格按照相關要求對信息系統予以操作，嚴禁無規則操作。

（二）創新風險管理措施，推行風險在線監控

依托財務信息平臺，建立“業務有流程、流程有標準、風險有控制”的內部控制操作體系，開展在線稽核，增強風險管理的針對性和時效性。結合全面風險管理，開展財務風險梳理，建立統一的財務稽核規則庫和財務風險預警指標體系，運用不同的業務稽核規則、稽核方案、稽核專題，通過系統的智能運算，尋找各類數據疑點，形成稽核結論，實施風險全過程監控，從而實現財務風險可控在控。

（三）完善風險管理機制

首先，企業應當借助信息化平臺，從控制風險出發，針對信息化環境下內部控制風險的新特點，權衡風險與收益，制定出相應的風險防范策略，以保障信息系統數據和信息安全可靠，從而更好地實現內部控制目標。其次，加強會計系統開發、運行和維護的控制。開發前應進行可行性研究和需求分析；開發中要對現有系統設計分析，對企業發展需求評估，更新方案要有可行性研究；后期要對系統的軟件及硬件進行完善性維護，維護要做到會計數據的連續和安全，并由有關人員進行監督。第三，加強網絡安全控制。重點發展第三方認證機構，企業之間發生業務來往時必須由第三方公證確認才可交易；在會計信息系統中分離出操作與監控兩個崗位，通過經濟業務多方備份的方式實現崗位間的有效牽制。

（四）建立內控制度管理平臺

內控制度管理包括根據內外部環境（市場、法律等）變化及時調整制度，與分（子）公司之間資料（包括國家有關法律法規、內控通知、內控考核信息、企業內控報告）和信息（包括企業實際執行中存在問題建議）的傳遞，相關業務流程和理論的探討交流等具體內容，通過利用信息系統建立制度管理平臺，可以極大提高辦公效率，促進上下一體、公開公平、共同提高的良好制度環境的形成。

五、總結

信息化環境是知識經濟社會企業所共處的環境，完善的信息化內部控制有助于企業科學決策、加強管理、堵塞漏洞、降低風險、降低成本和提高效益，而內部控制制度是落實內部控制各項控制措施的主要方式。因此，企業在充分利用信息技術的同時，要與時俱進，充分認識信息化條件下內部控制環境的改變，在了解自身管理水平、管理基礎、所處行業特點等基礎上，結合自身狀況及法規要求，不斷調整和完善內部控制制度，以保證企業持續、穩定、健康的發展。

參考文獻：

[1]李海蓉.以財務信息化實現企業內控淺談[J].山西財稅，2013，2

[2]劉湘華.淺談企業信息化在促進內控建設中的作用[J].當代經濟，2012，8

[3]張愛成.基于內控視角的中小企業會計信息化構建[J].產業與科技論壇，2013，9（06）