加強行業信息化建設 提高企業內部控制水平

[摘要] 本文從管理、內部控制和信息化的原理出發，對信息化建設下企業經營管理和內部控制面臨的風險做了多層面的理解；在列舉了由此而帶來的問題之后，提出了通過信息化完善內部控制的途徑，即公司領導層將信息化建設作為企業戰略的前提下，在建立真正行之有效的公司管理和治理結構的基礎上，借助于先進實用的信息系統，建立與信息系統相適應的控制活動，加強信息流動與溝通，努力擴大信息溝通范圍，以此進一步提高企業管理和和內部控制水平。

[關鍵詞] 內部控制 信息化

管理是企業永恒的主題，內部控制是企業現代化管理的必然產物。本文著重通過對信息化下的業務風險，以及其內部控制可能出現的問題分析，對兩者的結合和完善完善發展做一簡單論述。

一、信息化下內部控制出現的問題

1.信息化創新中的問題。科技的迅猛發展，給企業帶來了巨大的機會和經濟效益，也給企業管理方法的創新提出了新課題。隨著電算化的普及和電子商務的出現，新情況層出不窮，如何將科技控制轉化成內部控制的有效管理手段就成為信息部門的任務。在此進程中，可能會出現信息化發展與流程和控制的同步問題。就是科技手段在實現對企業各流程的監督，控制重大的企業事項的過程中，如何使內部控制真正落到實處，以及在管理方式的科技實現上，變粗放型管理模式為集約型管理模式，實現集成化、價值化、智能化和網絡化的管理，實現有效的供應鏈管理中，兩者的結合點出現的問題。

2.內部控制和業務流程中的標準化問題。近幾年來的信息化發展的經驗教訓告訴我們，信息化與標準化息息相關，甚至從某種意義上講是相輔相成的統一體，只有標準化的信息化才是有發展前途的，只有標準化的內部控制才是有效的。信息化的基礎是標準化，逐步建立信息資源管理基礎標準，對企業信息化的發展和企業管理、內部控制至關重要，是企業信息化建設成功的前提和基本保證。但目前由于有的企業標準化體系建設不健全，管理流程有待進一步規范化，有的規范執行不力，因此在信息化建設中，針對流程和內部控制，很多是“先做了看”，沒有一個統一標準，有的有了標準，也只是一紙空文，沒有能夠認真執行。這樣的造成的后果一是摸著石頭過河，流程再造中隨意性很大，形成拍腦袋工程；二是造成信息化建設的被動或浪費，讓信息部門先做，做完了使用部門再提意見，再改流程，顯而易見，流程的不確定給信息化建設造成了難度。

3.控制信息失真。控制是一個信息系統，它將針對企業所有經營管理活動的控制信息傳遞給管理者，但是目前有的內部控制所反饋的信息，有的似是而非，由于信息的處理或傳遞中的失真，也是目前企業信息化建設中出現的問題。我們今天提出信息化下的內部控制問題，有的是技術原因造成的如系統設計的漏洞等等，但更多的不是技術因素而是人為因素，有的甚至是打著信息化的幌子來談所謂的內部控制，而這些問題是因為企業經營管理以及與之協調的信息化建設有風險才會產生。

二、信息化下的企業風險

對一個企業而言，如何進行環境控制和風險評估，是提高企業內部控制效率和效果的關鍵。信息化下的企業風險主要存在以下幾個方面：

1.信息化本身的風險主要是技術風險。信息化是企業管理的一部分，也是企業管理和業務的技術手段和實現方法。對內部控制而言，信息化本身也具有一定的風險。

首先，無形磨損，這是指企業所采用的技術能否跟上企業業務流程的發展。其次，技術成熟度問題。一般而言，信息化投資較大。企業管理和信息化注重創新，但對于新技術的應用，應該看此技術是否成熟，是否具有遠大的發展前途，集成商是否有較強的售后服務能力等等。一般而言，較成熟的技術，更有利于內部控制。因此，企業就應該對在使用系統后可能帶來的風險進行評估，并且謹慎的推行系統的應用范圍，循序漸進，逐漸推廣。

2.業務流程帶來的風險。隨著信息化的建設的深入，為業務流程重組帶來了可能性。這樣的結合，在這樣的結合過程中，創新與風險并存。如果利用風險評估手段來確定企業中關鍵的業務流程，從中可知業務流程風險的大小。

信息化建設發展下的企業的整個流程和控制的設計，是否很好地滿足和支持最終業務目標的實現；流程中崗位的設置和職責的分離，在整個流程中是否存在正確的稽核點和平衡點，對各級不同的業務交易有沒有足夠的訪問控制等等，都是企業業務流程發展中產生的風險。

3.有關控制信息失真帶來的風險。信息的失真，特別是控制信息的失真，是企業經營管理中的致命傷，為企業內部控制也帶來了風險。企業控制過程本身中的信息失真，一是可能帶來對問題流程的無動于衷或矯枉過正等，二是帶來決策失誤，使企業誤入歧途。

4.評估控制方式帶來的風險。信息化建設，人們津津樂道的是信息化、新技術帶來的效率和控制，一般人們會認為，那是電腦控制的，操作者無能為力，因此有了高度的信任感，但是，這樣的控制方式是合理的嗎？應該這樣操作按這樣的方式控制嗎？基于手工流程的控制和基于系統的自動控制的搭配合理嗎？這些也是信息化下企業內部控制的風險。

三、通過信息化完善內部控制的途徑

內部控制是企業管理的重要組成部分，企業的內部控制要依靠信息化，在科學管理、民主管理、依法管理的前提下，在建立健全有關經營管理和內部控制的制度規定的同時來規范管理和生產經營行為，主要是將信息系統的建設作為整個企業的戰略組成部分，建立真正行之有效的公司管理和治理結構，評估信息化風險并針對信息系統設置相應的控制環節和程序，并建立與信息系統相適應的控制活動，同時加強信息流動與溝通，努力擴大信息溝通范圍，最后還要加強內部監督、引進信息化監理。