企业信息化环境下内部控制问题分析

张建民

摘要：随着社会的进步，信息化进程不断加速，近十年的发展成果已远超之前所有成果之和，在这种趋势下，信息化已渗透至企业生产运营的方方面面，传统的生产和管理模式正在发生着翻天覆地的变化。这种变化一方面提升了企业的核心竞争力，在另一方面也为企业的传统内部控制模式带来了无法逾越的困境。传统的内部控制模式如何转变，以适应当前信息化下对企业的需求，是摆在企业领导层面前必须解决的问题。本文从企业内部控制与信息化理论入手，在对二者关系进行分析的基础上给出解决二者间现存问题的对策。

关键词：内部控制；信息化；问题分析

一、信息化与内部控制理论概述

（一）企业信息化的特征

企业信息化的本质特征就是对企业核心业务、作业流程和人的信息化。虽然企业的存在在组织形式和规模大小上各有差异，但必然都有自身的主要经营范围，也就是一个企业的核心业务；企业是生产、经营和管理的过程是其作业流程，这也是信息化改造的重點；人即是信息化改造的主体也是改造的对象。企业随着信息化的不断深入，企业效益形态较传统技术改造也所转变。传统的技术进步主要是针对生产线产品质量、产量的提高，效益是直观可见的；信息化的进步旨在推进企业整体生产能力经营管理水平的提高，信息化带来的效益是深入到企业各个环节的。

（二）内部控制的含义

内部控制是为了及时规避企业在生产经营过程中存在诸如商业风险和管理风险的隐患应运而生的。我国对内部控制的定义基本借鉴了美国COSO委员会在20世纪90年代对内部控制的定义，即：内部控制是企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。其中控制目标我国在吸取了美国COSO委员会所确定的目标精髓的同时，结合我国经济环境及企业现状，将其确定为：保障企业的经营管理的合法合规，保障企业资产的安全完备，保障企业财务报告的真实准确，保障企业经营管理的有效性最终促进企业战略目标的实现。

（三）企业内部控制与信息化的关系

1.内部控制的范围受企业信息化的影响。在传统环境下，企业的内部控制的对象是对企业的现金、存货、设备及账簿等有形资产实施监督控制，而在信息化环境下由于信息应用系统、数据等已成为企业经营管理的重要组成部分，因此，内部控制的对象也不仅局限于有形资产，同时也包括企业的信息系统这些无形资产。内部控制的时间也有所延伸，传统的内部控制大多是对事后的监督检查，没有起到很好的防范作用。在信息化环境下内部控制是不断向事前和事中延伸，大大提高了内部控制的有效性。

2.信息化环境使企业面临特殊的风险。只有对风险进行及时的识别和防范才能保证企业实现创造价值的目标。而随着信息化进程的不断推进，企业所面临的风险也较以往有了巨大变化，及时识别风险的差异，制定合理的风险防范措施已成为内部控制的首要问题。

二、企业信息化过程中内部控制问题分析

（一）企业信息化环境使内部控制环境更复杂

内部控制环境是指企业生产经营所处的内外部环境，既是企业所处的环境也是企业员工所处的环境，是企业各种要素的基础。在信息化不断深入企业生产经营的过程中，企业的内部组织机构由传统的集权、规范化模式逐渐趋于扁平化的组织机构，这种变化增加了内部控制环境的复杂性。企业内部控制环境的复杂变化，使得管理运营可变环节增加，管理的有效性就会降低。

（二）内部控制的有效实施没有适宜的信息化软件做支持

由于信息化已经贯彻到企业生产经营的各个环节，因此要想使内部控制与现有的环境相匹配内部控制也应有适宜的信息化软件做支持。尤其是大型的集团型企业，如果没有完善的信息管理系统，内部控制就很难实现有效性。但是由于企业间组织模式不同，规模大小不同、所处行业差异，就很难有一款内部控制软件适用于所有企业的不同情况。正是因为缺乏统一的标准，企业在信息化过程中如果没有选择适宜的内部控制软件，各个部门之间不能通过系统实现数据共享、实时对接，那么内部控制非但不能起到监督控制的预期效果，更会成为企业稳定运营的一大隐患。

（三）授权方式的变化给内部控制带来更大挑战

传统的授权方式是逐级审批领导签字，这种授权方式虽然具有成本高，信息滞后等缺点。但由于每个人手签不易模仿，减低了舞弊的风险。而信息化环境下，各个软件系统基本以口令授权的方式，虽然加快了信息传递速度，也同时带来了舞弊的风险。口令一旦泄露，就会给企业带来不可预估的损失。

（四）缺乏长效的监管机制

企业内部控制系统作用的充分发挥，需要有长效的监管机制作为保障。在信息化环境下，企业日常面临的风险骤增，而控制环境则日趋复杂，企业内部审计部门应主动发挥其审核、监督职能，通过对企业日常经济活动的监管，查找并敦促相关部门解决问题，实现企业结构优化，整体效能提升。但是在信息化环境下，内部审计监督的重要性往往被公司管理层所忽视，内部控制的有效执行不能得到保障。

（五）对于内部控制国家没有建立统一的标准体系

虽然我国企业信息化进程不断深入，但是国家还没有建立可供企业参考的基础标准体系。在这种无标准状态下，各个行业都处于各自为政的状态。由于数据标准的不统一，归集口径的差异，各个企业间就失去了横向可比性。

三、加强企业信息化过程中内部控制的对策

（一）树立适应信息化环境的内部控制理念

随着信息化在企业各个生产经营环节的深入，企业内部控制的理念也应作出同步的调整。企业应将提高内部控制信息化水平作为制度，执行安排到企业的各个层面。对企业内部控制人员进行相应的信息化操作培训。加快企业员工树立新的内部控制理念，充分认识到企业信息化对传统内部控制机制的影响。

（二）建立合理的风险控制系统

企业应根据自身的内部控制目标及企业所面临的各种可预见风险建立适用于自身的风险管理机制，对可能发生的风险进行跟踪控制。企业可以用化整为零的方式将风险防御系统划分为不同模块，从事前、事中到事后对风险进行全程跟踪识别，通过各个不同的分析模块对企业内外部信息进行整合，为企业的风险管理提供有力的数据支持，达到防患于未然大效果，同时降低企业的内部控制成本。

（三）对信息系统加强控制，实施有效的信息系统审计

在信息化环境下，对企业的信息系统实施必要的控制是企业平稳运营的重要保障。内部审计是对传统内部控制的再控制，内部信息系统审计可以提高企业内部控制的有效性。内部审计可以在企业信息管理软件的开发、操作、维护等各个环节进行检查，及时发现问题并协调解决，在一定程度上保证企业信息系统的安全、有效。

（四）促进企业内部控制体系与其他管理体系的协调统一

企业的信息化进程的推进一般都是从财务信息化开始，逐渐向其他管理体系延伸，最终实现各个管理体系的顺利对接。在这种信息化环境下，内部控制管理体系在建立过程中应充分考虑其业务流程的建立、岗位权限的设立、人员配置等方面与其他管理体系的协调性问题，将可能的矛盾消化于框架的建立阶段。

（五）加强内部控制体系在信息传递与沟通方面的作用

企业应当指派专人从事信息的收集整理工作，以便能够及时的通过信息系统获取与企业日常运营相关的内、外部信息，并充分的利用信息系统对获取的信息进行分析、甄别，进而将初期整理结果通过信息沟通系统传递至各相关相关层级，让企业各层级、各部门可以及时有效的进行沟通，并对信息进一步的进行综合完善，以实现提高企业整体运行效率，确保内部控制顺利实施。

参考文献：

[1]罗小琴.浅谈会计电算化与内部控制[J]，财会研究，2006（12）：31-32.

[2]唐佳听.华菱湘钢内部审计信息化建设中的风险控制研究[D].湘潭大学，2015.

[3]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究，2007（01）：30-37.

[4]刘天雄，杨凤凤.信息化环境下中小企业内部控制的问题研究[J].商业会计，2013，04：81-82.

[5]张继德.企业内部控制基本规范实施与操作[M].经济科学出版社，2009：15-16.

[6]郭冰.全面信息化环境下内部控制构建研究[D].长沙理工大学硕士学位论文，2008：21-22.

（作者单位：中国新闻出版传媒集团有限公司）