信息化環境下中小企業內部控制研究

□盧德湖（副教授）(閩西職業技術學院 福建龍巖 364021)

一、研究背景

企業信息化是指企業以業務流程優化或重組為基礎，利用計算機技術、網絡技術和數據庫技術，控制和集成管理企業生產經營活動中的所有信息，整合企業現有的生產、經營、設計、制造、管理，及時為企業的管理層、決策層、基層執行者提供準確而有效的數據信息，實現企業內外部信息的充分共享和有效利用，提高企業的經濟效益和市場競爭能力。隨著企業信息化的快速發展，我國中小企業的經營環境在不斷改變。信息化與中小企業內控壞境、風險評估、控制活動、信息系統與溝通、內部監督關系密切，在給中小企業內部控制建設帶來機遇的同時，也給中小企業帶來了新的挑戰。加強信息化環境下中小企業內部控制研究具有深刻的現實意義。

當前我國正處于社會經濟轉型時期，中小企業多如繁星。國家統計局網站的統計數字顯示，中小企業占企業法人總數的95%還要多，中小企業的最終產品和服務的價值占全國GDP總量的50%以上，對國民經濟和社會發展做出了巨大的貢獻，中小企業在市場經濟中的地位和作用日益突出，成為最活躍、最具增長潛力的經濟力量。

內部控制是企業管理工作的一項重要組成部分，也是現代中小企業對經濟活動進行管理所普遍采用的一種控制機制。作為企業管理的重要組成部分，內部控制對加強會計監督、提升企業會計信息質量、提升企業管理效率具有重要作用。中小企業內部控制是指為了保證其經營活動合法合規、企業資產安全完整、財務報告的真實可靠、經營的效率和效果，利用企業內部分工相互聯系、相互制約的一種具有控制職能的方式、措施和程序，并且予以規范化及系統化、使之成為一個嚴密的、完整的體系。

我國中小企業數量多、規模小、組織結構相對簡單。在現實中，我國中小企業中有相當一部分內部控制制度不健全，各項制度不夠完善，導致內部控制形同虛設。隨著經濟全球化和科學技術的快速發展，中小企業面臨的經營環境將更加復雜多變，內部控制的重要性日益顯現出來。在信息化日益普及的情況下，如果不能及時把握內部控制的新動向、采取有針對性的對策，勢必對中小企業發展帶來不利影響。

二、國內外研究回顧

發達國家的中小企業信息化建設取得了巨大成就，逐漸成為經濟發展和經濟結構調整的創新點。但是，人們也開始注意到信息化給發展中的中小企業帶來的潛在風險，特別是信息化對中小企業內部控制的影響問題。在中小企業加快發展的信息化進程中，如何促使信息化應用與內部控制建設相結合，很早就引起實務界和理論界的重視，歐美國家的研究可追溯到信息系統的審計。20世紀國際商業機器公司提出了在電子數據處理環境下的內部控制和審計問題。1967年，國際信息系統審計與控制協會成立，在全球100多個國家和地區成立160個分會，致力于制定和頒布一系列內部控制審計準則與實務指南，用來指引信息系統的安全與風險防范工作。1974年，美國注冊會計師協會《內部管理的調查與評價對EDP的影響》確立了電子數據實施審計的標準。1996年，ISACA公布了 《信息系統審計的框架體系標準》，目前已作為全球通用的、具有權威性的信息系統控制和審計標準。21世紀初期，國外對信息系統內部控制的理論與方法問題的研究，取得了相當大的進展，如2006年Hardy等發表了有關COBIT最新標準，在管理控制方面，ITGI和IOFS等提出并研究IT治理問題。人們把這些研究成果不僅在大型企業信息化進程中推廣，而且還把研究成果運用到中小企業內部控制信息化建設進程中。

在我國，中小企業作為市場經濟主體的一部分，已成為國民經濟發展的中間力量。2008年2月，國家發展和改革委員會、國務院信息化工作辦公室、信息產業部三部委發布的《中國中小企業信息化發展報告和調查報告》指出，隨著信息化在中小企業的穩步推進，保證信息系統安全、穩定運行已成為企業內部控制制度建設的重要內容；2008年5月實施的 “中小企業信息化推進工程”，揭開了中小企業信息化發展的研究序幕。

關于企業內部控制信息化研究，劉靜（2005）等結合COSO報告對信息化環境下內部控制的難題進行研究，并提出完善內部控制環境的建議；章鐵生（2007）研究了有關國有大中型企業內部控制規范信息技術狀況，提出我國在制定內部控制規范時應考慮信息技術問題。王海林（2008）通過研究IT對內部控制的影響，構建了由內部控制系統、內部控制系統的工程實施體系和內部控制系統的評價體系組成的IT環境下的內部控制模式。近年來，研究者們在信息系統內部控制研究的過程中，試圖從公司治理的角度來研究企業信息化進程中內部控制的問題，如鐘曉東 （2009）、袁麗杰等（2010）、劉中華等（2012），但是，上述大多數研究基本上都是針對大型的企業，而中小企業內部控制信息化研究則極為少見。

三、信息化對中小企業內部控制的影響

信息化在提高中小企業內部控制效率的同時，對企業的控制環境、風險評估、控制活動、信息系統與溝通、內部監督也產生較大的影響。

(一)信息化對內控環境的影響

內控環境提供企業紀律與架構，塑造企業文化，并影響企業員工的控制意識，是企業建立和實施內部控制的基礎。內控環境的因素具體包括：誠信的原則和道德價值觀、評定員工的能力、董事會和審計委員會、管理哲學和經營風格、組織結構、責任的分配與授權、人力資源政策及實務。信息化為完善和規范公司的治理結構提供了有利條件。伴隨著信息系統在企業的廣泛應用，企業的決策者、執行者和監督者等各利益相關方通過信息系統能更加全面及時地了解企業的信息。信息化的應用使信息在企業傳遞更加快捷，促使企業的組織結構向“扁平化”轉變，組織的層級減少，管理效率提升。在信息化環境下，企業的機構設置和權責分配應該適應信息化的要求，信息系統要滿足各不同部門的需求，要對功能授權和操作權限進行嚴格的設置。信息化為企業創建寬松和諧的環境提供了基礎，促進特色文化的形成。

目前，我國中小企業控制環境主要存在以下問題：（1）內部控制意識不強。我國中小企業管理人員對內部控制重要性的認識不夠，往往錯誤地認為內部控制僅僅是制度約束，僅憑直觀把握企業的管理和運作。中小企業普遍存在內部控制意識不強的問題，管理者和員工偏向依個人喜好、習慣辦事。（2）企業管理體制和機構設置不健全。我國的中小企業大部分帶有家族式管理色彩，相當多中小企業沒有實現所有權和經營權的分離。此外，由于受規模限制和成本約束，中小企業機構設置往往比較簡單，內部人控制比較嚴重。經常出現一個員工身兼數職和一個部門同時承擔多種職能的情況，使得內部控制的執行基礎變得不合理、不牢固。（3）人力資源政策及執行不科學。首先，中小企業人力資源管理具有很強的隨意性。人員招聘和任用方面存在大量 “任人唯親、關系至上”的情況，難以實現最優配置。其次，在員工的教育和培訓方面，中小企業也與大企業存在很大差距。

(二)信息化對風險評估的影響

風險是普遍存在的，公司在日常經營中會面臨各種內外部風險，在信息化環境下，隨著信息化水平的提高、企業之間的競爭加劇，企業面臨的風險也不斷增多，內部控制的實施和執行更加重要。

風險評估作為內部控制要素之一，在企業內部控制中起著非常重要的作用。先進的信息技術為企業進行風險評估提供了有效的工具，利用先進的信息系統，可以幫助企業收集和處理海量的關于企業風險的數據和信息，為企業風險的識別和評估提供依據。在信息系統中形成風險評估和識別模型，實現識別和評估的自動化，對風險信息進行全方位的呈現，對重大風險進行風險預警。企業可以根據評估的結果，制定及時有效的應對方案。而且，信息技術的廣泛應用需要企業組織結構進行調整，對業務流程進行重組，業務流程的自動化減少了人工舞弊的風險。但是，由于對信息系統的依賴性增加，企業的信息化風險也在不斷提高，信息的失真和系統的失靈將給企業帶來巨大的損失。所以，企業要建立完善的IT治理機制，防控企業信息化的風險。

在全面風險管理的風險識別和評估階段，可以通過信息化系統提供一些工具和量化一些標準，而我國大部分中小企業因為信息化水平受限，其投資決策、經營決定、銷售策略、財務決策等都帶有很強的主觀臆斷和盲目性，沒有建立起規范的風險分析和風險管理機制，對風險的管理往往是流于事后，做不到事前防范、提前管理，這給中小企業經營和發展帶來很大的風險，往往需要付出高昂代價來度過危機，甚至因此倒閉。此外，中小企業通常以管理者的風險偏好和風險承受度為準則進行風險管理，缺乏科學依據，一旦管理者判斷失誤則容易將企業置于險境。

(三)信息化對控制活動的影響

控制活動，是確保管理層指令得以執行的政策及程序，如核準、授權、驗證、調節、復核營業績效、保障資產安全及職務分工等。在信息化環境下，企業要對組織結構進行調整，對業務流程進行重組，必然會對內部控制活動產生影響，控制活動的對象不僅包含企業的生產、管理和經營，還包含各類信息系統。通過對信息系統進行控制，確保信息系統的正常運行，防止信息系統風險。控制活動是內部控制中關鍵的一環，其設計與執行情況都在很大程度上決定著內部控制的有效性。控制活動主要應包括不相容職責分離、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。

目前我國中小企業的內部控制活動的設計不全面且細化程度不高，控制活動各環節間缺乏連貫性和銜接性。此外，控制活動的執行也有所欠缺，如一人同時負責支票和印章保管，授權審批簡化、口頭化，審批流程執行不嚴等，與內部控制原則明顯背離的行為還廣泛存在于中小企業中，嚴重影響企業資產和生產經營的安全性。

(四)信息化對信息與溝通的影響

企業在其經營過程中，需按某種形式辨識、取得確切的信息，并進行溝通，以使員工能夠履行其責任。信息系統不僅處理企業內部所產生的信息，同時也處理與外部的事項、活動及環境等有關的信息。企業所有員工需要從最高管理層清楚地獲取承擔控制責任的信息，而且必須有向上級部門溝通重要信息的方法和途徑，并與外界顧客、供應商、政府主管機關和股東等進行有效的溝通。

信息化為企業內部控制的信息與溝通提供了有利條件。在信息化環境下，信息可以方便、快捷地在各層級之間進行傳遞，大大提升信息傳遞的效率。憑借信息系統，董事會、監事會、管理層和全體員工在自己的權限范圍內，可以及時、準確獲得相關信息，他們之間可以方便溝通，提升了信息傳遞的效率，減少了信息失真的情況。通過有效地溝通，員工更加明確目標和責任，更好地履行自己的職責。

目前我國中小企業內部信息溝通主要存在以下問題：（1）對外對內信息溝通不暢。要有效實施內部控制，暢通的信息溝通渠道不可缺少。一個良好的信息系統能確保組織中每個人均清楚地知道其所承擔的特定職務。而很多單位正是由于缺乏一個有效的信息反饋機制，內部控制制度在實際中沒得到遵循的情況不能有效反饋至領導層，違規行為得不到及時糾正，從而導致內部控制制度形同虛設。由于我國政策制度并未硬性要求非上市中小企業披露公司年報，因此絕大多數中小企業對外公布信息的動力不足，對外信息溝通不暢的問題普遍存在。（2）指令式、片面單向信息傳遞模式占主導。中小企業的管理模式大多是片面的指令下達，管理者忽略了信息的反饋，對溝通的雙向性認識不足，難以實現上下級以及各部門間的有效溝通和信息共享。（3）信息溝通渠道不足。首先，很多中小企業管理者未能做到有意識地通過協商會議、報告制度等方式來建設和完善企業的信息溝通渠道和交流方式；其次，受自身規模和成本限制，許多中小企業沒能建立起信息管理系統，難以通過現代科技手段實現快速信息管理，容易造成信息反饋滯后、信息交流不足。

(五)信息化對內部監督的影響

內部監督是企業對內部控制的健全性、合理性和有效性進行監督檢查與評估，形成書面報告并做出相應處理的過程，是實施內部控制的重要保證。企業的內部控制是一個動態循環過程，包括設計、執行、評價和改進。這就需要內部監督對內部控制的效果進行評價，將其與內部控制目標進行對比，反饋兩者的差距，然后進行相應的改進。在信息化環境下，企業利用專門的信息系統，將一部分內部監督實現自動化，提高監督的效果和效率。其中控制自我評估作為測試和評價內部控制效果的關鍵方法，應該集成到信息系統中。

目前我國中小企業內部監督主要存在以下問題：（1）內部審計等監督部門缺失。根據統計顯示，我國大多數中小企業并未設立對企業提高效率、改善管理有著重要意義的獨立內部審計部門，或是雖然設立了內部審計部門，但也只是流于形式，有的企業負責內部審計工作的人員由財會人員兼任，自己監督自己；有的企業內部審計只是走過場，內部審計部門形同虛設，不能發揮其應有的監督效用。（2）內部審計獨立性不強。獨立性是內部審計的重要特征，其大小決定了內部審計職能的發揮。很多中小企業甚至不設審計機構和人員，只是由會計兼任。再加上中小企業一向以親情和朋友關系來管理、控制公司，內部審計級別不高，人際關系又復雜，內部審計根本無法展開，獨立性也就無從談起。這種內審組織體制往往因利益關系的制約和人際關系的影響，使內審機構及其人員工作的獨立性不強，不能客觀、真實、公正、深入地開展工作，做出的審計處理決定也因管理體制上的制約而得不到有效的貫徹、執行。（3）內部審計范圍狹窄。不管從時間范圍還是空間范圍來看，我國現行的內部審計范圍非常狹窄。從時間上來看，我國中小企業是事后審計。另外部分企業的內部審計僅限于企業財務會計審計方面，而內部審計的主要職能就是“查錯防弊”。

四、推進信息化環境下中小企業內部控制策略

完善的內部控制會極大地提升企業的競爭力。中小企業管理層要加強對內部控制的重視，引進復合型人才，完善內部控制體系，更好地實現信息化。

(一)引進復合型人才，定期進行培訓

強有力的內部控制必須和人融合在一起，信息化給企業的會計人員提出了更高的要求。對中小企業來說，一是應該引進高素質復合型人才。二是應該對現有員工進行專業的培訓，以適應信息化環境下崗位的新要求。而且由于信息化更新的速度相當快，對員工的培訓應該是企業長期工作的一部分。中小企業應該根據自身的條件，制定一套切實可行的培訓制度，對不同崗位的員工進行不同的培訓，而且要對員工進行定期考核，同時加強員工的職業道德教育，防止員工舞弊現象的發生。

(二)完善企業內部控制體系，更好地實現信息化

中小企業要提高認識，建立一個完善的適合本單位的內部控制體系。而且，為了保證數據的安全性，要定期對數據進行備份并檢查，對特別重要的數據要進行多級備份。對儲存設備要做好保管、防潮、防火，防止損壞丟失重要信息資料。另外，對系統進行維護，必須要做到嚴格審批，防止程序被非法篡改。

(三)管理層要重視建立有效的內部控制

一個企業內部控制環境的好壞主要取決于企業的管理層。企業的內部控制是否有效與企業高層是否重視，是否帶頭執行有很大的關系。中小企業的管理層應該充分認識建立一套完整有效內部控制體系的重要性及必要性，要不斷提高自己的文化素質和管理能力，更新管理理念，實行科學管理，這是中小企業內部控制體系能否很好地發揮作用的關鍵一點。

(四)監控與操作分離，強化系統內部的相互制約，降低風險

職責分離作為內部控制的一個重要組成部分。為了強化系統的內部控制，可以在系統內分設操作和監控兩個崗位，對同一筆業務進行多方備份。一旦主管人員或審計人員對一些數據產生懷疑時，就可以利用監控人員備份的原始數據進行分析調查、查明真偽。系統分析、計算機操作、程序設計、數據輸入等職務應當分離，系統操作、管理和維護人員這三種不相容職務應當分離，互不兼任。信息系統各個工作人員要明確職責分工，要制定崗位責任制度，每個崗位都要得到一定的授權，并用密碼進行控制。對操作密碼要加強管理，指定專人負責定期更換操作密碼。通過設立一種相互制約和相互監督的機制來保障信息的真實可靠，減少舞弊的可能性。

五、結語

當前，我國中小企業內部控制信息化水平相對較低，而且應用層次差異比較大，內部控制信息化建設總體仍然處于初級階段。發揮中小企業在經濟發展中的巨大作用，大力推進企業信息化勢在必行。但是由于中小企業在人才、資金和技術各個方面有著先天的不足，加上中小企業管理層對內部控制不夠重視，內部控制信息化建設嚴重滯后。因此，中小企業要從各個方面努力，構建以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證，相互聯系、相互促進的五要素內部控制框架和完整的內部控制信息化體系，從而實現中小企業健康、可持續發展。