信息環境下企業內部控制問題研究

董小婉

【摘要】信息技術的飛速發展影響著企業內部的控制環境，并對風險評估、控制活動、信息與溝通以及監督等內容產生了深遠的影響。在信息化環境下，企業內部控制還面臨著人員素質低下、管理觀念落后、信息系統控制不完善、控制監督難度增大等新問題。有效加強企業內部控制，應加快健全網絡安全管理，加強內部審計制度，完善組織和管理機制，提高工作人員素質，塑造企業文化，并進行全面的風險評估和處理，以遏制潛在風險的發生。

【關鍵詞】信息環境；企業內部控制；問題與對策

【中圖分類號】F830 【文獻標識碼】B

一、信息環境對企業內部控制的影響

（一）控制目標

企業內部控制目標，是內部控制運行方式和方向的指南，也是認識內部控制理論體系的出發點和落腳點。在信息化環境下，企業內部控制的目標仍然是戰略目標，運營的成效和效率，經濟有效的利用保護組織資源，以及報告的可靠性，遵守相應的法律法規。企業在設立控制目標時，要充分考慮組織的內部環境和外部環境，以實現控制目標設立的最優化。企業運營的的成效應該在原有目標基礎上適當的擴大，也應該把精力放在技術革新，商譽，文化等無形資產上；因為所有的組織都是在一個有限的環境中運行，能否充分地利用現有的資源，是實現控制目標的關鍵因素，設立內部控制必須根據能否保證以最少的成本取得最優資源并且防止在生產中產生不必要的浪費。企業需建立有效的政策和程序來提高運行的經濟性和效率，并建立嚴格的標準來對運行過程進行監督。報告的可靠性十分重要，但還應當保證信息的質量和時效等因素，還有非報告形式的披露也應該適當關注。信息環境下的法律法規更加完善，所以企業監督的方式和手段要同步，更要遵守法律法規。

（二）內部控制要素

1.控制環境

控制環境是組織結構的基礎，決定了組織的發展。控制環境是企業內各種因素綜合作用的結果，并且在不同程度的影響內部控制措施的實施效果。信息環境下的控制環境改變了企業原有的組織結構，讓企業從封閉向開放轉變，使企業的運營模式發生很大變化。與此同時，信息技術也深深地影響著企業文化，經營目標，管理者的管理方法和經營風格，企業實施的權責制方法和相關的人事政策，以及員工的道德價值觀念和個人能力等。

2.風險評估

任何組織都會面臨來自內部和外部的風險，所以各個組織都要進行風險評估，用來辨別、分析、處理風險，為達到各個組織風險最小化的目標。信息技術的不斷深入，不但增加了信息系統方面的風險，而且也增加了企業管理中的風險。如企業運營操作對信息系統依賴程度的不斷加深，一旦信息系統出現了運行故障，則會導致企業的經營不能連續有效的運行，因此產生不利后果。這就要求企業建立一套有效健全的機制來應對這些由經營環境變化，改造和更換新的信息系統，新的員工，新技術應用等發生的風險。

3.控制活動

控制活動是為了確保管理者的指令能夠得到有效執行的程序。而控制活動需要根據該企業業務運行的過程和情況，以及各組織具體的控制點進行設置。在信息技術條件下，企業的核準，授權，驗證，調節和復核營業績效等控制活動，都必然會受到信息技術的影響。

4.信息與溝通

信息與溝通系統是指員工從管理層取得他們在企業經營過程中所需要的有效的信息，并且準確及時地傳達這些信息。而信息技術的應用最顯著的改變是信息的獲取、交換、儲存的方式。在擁有健全的信息系統下，企業能夠準確及時的獲取，傳遞，加工等需要的信息，有明確有序的從管理層到執行層信息溝通的方法，有與客戶，供貨商，有關政府部門以及董事會主要股東的溝通途徑和方式。健全完善的信息系統改變了企業信息溝通方式，提高了信息溝通速度和質量，加大了信息數量，對企業的內部控制目標實現提供了有利保障。但是由于信息化的廣泛應用，也會相繼發生信息失真，數據錯誤，系統癱瘓等問題，對內部控制造成不利影響。

5.監督

監督是指長期評價企業內部控制質量，必要時還需要采取有效措施的一個連續的過程。信息環境下，企業監督方式發生了改變，監督的范圍變得更廣泛，監督方法更加多樣化，實現了實時連續的監督。企業可以通過日常有效的監督活動，執行內部審計和外部審計相結合的方法進行有效的監督。但有時因為信息環境下監督經驗有限，使監督的準確性，連續性受到影響。

二、信息環境下內部控制面臨的新問題

信息技術在企業中的應用在改變著企業傳統運營模式的同時也給企業帶來業務流程和信息系統的風險。況且我國企業信息化的起步較晚，許多大中型企業信息化程度不高，內部控制制度不夠完善，控制環境薄弱，以及控制經驗不足，風險意識淡薄。內部控制不僅要關注企業有形資產的安全準確，更加要關注企業信息資源的安全。

（一）人員素質及管理觀念的滯后性

信息系統的應用，不僅要求員工掌握專業的技能，還要熟練掌握信息系統的操作流程。因此企業的員工面臨著信息系統知識的欠缺，傳統手工處理下流程簡單，直觀性強，掌握要求有限。而在信息系統運行下，操作流程半自動化，需要員工對信息系統有宏觀的把握，明確每個業務流程環節和控制點，才能實現員工的操作技能，以適應企業信息化的發展。目前，雖然很多會計軟件和ERP系統已經進入企業的運營中，但是很多企業的管理觀念仍然很滯后。很多管理者的管理方法還是來源于傳統的處理模式。缺乏與信息化相接軌的先進的管理理念。還有一些企業的組織機構仍然還是分工不明確，很多制度沒有實際的約束力。在信息化環境下，更要明確崗位分工，確保每個流程環節沒有漏洞。因此，制度應該起到應有的效力，并與信息環境相適應。

（二）風險增加，信息系統控制不完善

信息系統在企業中不斷深入發展，風險發生的概率和未知性也不斷增加，既包括了信息系統本身的風險，也包括外部因素導致信息系統發生風險。企業的大部分重要信息資源都經過信息系統的存儲，處理，一旦系統受到破壞，給企業帶來致命的打擊。新風險主要包括在生成，傳遞，存儲，輸出這幾個關鍵環節發生。還有在信息環境下，系統操作人員，信息管理人員，系統維護人員，都有可能獲得其權限以外的數據權限，可以擅自篡改程序，會造成程序異常甚至系統崩潰的危險。所以，信息技術人員的權限控制問題十分重要。除此之外，會計人員，管理人員也可能在沒喲授權的情況下修改數據，或者憑空交易，這些企業人員都會給企業信息系統的安全帶來潛在風險。

現行市場上的信息軟件并不是都很安全完善，如果企業信息系統安裝了不正規的軟件，很可能會遭受木馬和黑客的襲擊，給企業帶來巨大的損失。由于我國企業的信息化起步較晚，針對一些惡意破壞或者系統損壞等故障，缺乏有效的解決措施。

（三）企業工作量加大，控制監督難度增大

信息化在中小企業的應用，使企業生成了更多的信息資源，信息的真偽及其重要相關性需要管理者去辨別，而且維護信息也是大量的工作。信息化后，很多企業業務都是通過計算機完成，很難被完整的保留。這給審計工作帶來了很大的難度。而且審計工作隨著企業信息化，其本身也發生了漏洞風險，不利于審計人員發揮其監督職能。

三、加強內部控制的對策

（一）提高工作人員素質和塑造企業文化

內部控制系統正常有序的運行，不僅要保證系統本身的安全性，還應考慮到操作人員的工作能力和整體素質。能夠勝任該項工作是操作人員的基本工作能力，而操作人員的素質是保證系統運行符合規定的必要條件。企業應該加強對員工素質和技能的培訓，保證員工的工作態度端正可靠，使員工都是可以信賴的。而企業的管理層在信息化條件下依然起著重要作用。結合本企業的實際情況，深度剖析本企業內部控制的優勢和缺陷，并不斷吸取其他企業內部控制的先進理念，以建立適應企業健康發展的內部控制制度。充分肯定內部控制的重要作用，積極促成員工完成內部控制工作。

如今，企業越來越重視軟文化的作用，一個企業擁有良好的企業文化，不僅能增強員工的職業道德和自律能力，還會提高企業的知名度。良好的文化氛圍引導員工和企業緊緊聯系在一起，讓員工有強烈的使命感和歸屬感，對強化員工的道德，行為有積極作用，從而減少了一些信息失真，泄露等負面影響。

（二）完善組織和管理機制

在信息環境下，保證信息系統的安全可靠與暢通是企業內部控制的首要任務。因此，企業需要對整個信息系統的各個層次制定切實可行的安全防范措施。對系統操作的用戶身份和權限、操作時間、系統參數和系統敏感資源等要進行實時監控和記錄。其次，要保證計算機系統能夠準確，安全運行，有防止各種意外的有力措施。查詢計算機重要資源時應明確每個用戶的安全級別和身份，并分別把訪問對象進行具體定義，來保證系統內部的有力牽制。在信息化環境下，人是操作的主體，對操作人員應該實施嚴格的權限作業，不得在沒有授權情況下接觸其他系統。企業還應在各個重要控制點上設置安全預警系統，實時保護信息系統，以免受到惡意破壞和不安全的數據流進入。實現漏洞檢測和實時監測相結合的安全有效模式。

（三）建立健全網絡安全管理

首先是系統軟件的安全。主要的控制點應在系統軟件的安裝和修改方面，另外對系統軟件進行定期檢查，如果發生意外情況時，系統軟件可以自動緊急響應、迅速備份，并且能夠盡快恢復。其次，是硬件設備。主要包括計算機系統環境和設備的技術。企業需對設備制定一套嚴格周密的管理制度，崗位責任和規范操作流程，禁止無關人員接觸系統，還應在計算機系統房間準備防潮，防火，防水等技術配備，以防止突發事件。還有對企業重要信息資源的嚴密保護。非對稱密碼體制對于信息安全管理使用廣泛。在企業中對通信線路的數據流加密，數據庫中的數據流加密，還有訪問者的身份認證也應設置限制，除了輸入密碼外進行身份認證，還可以采用指紋識別和面容識別。最后，企業應高度重視計算機病毒的防范，針對每—種病毒都有相應的技術手段預防和消滅，實時監督，追蹤病毒。

（四）進行全面的風險評估和處理

風險根據形成原因可以分為財務風險和經營風險。風險控制的目標是盡可能的防止和避免出現不利的結果，建立風險控制機制。還應建立風險評估的信號和指標體系，主要是針對設備的技術風險和一些管理風險等。風險防范機制可以迅速發現并對風險做出反應。設置信息系統的防火墻，健全風險控制運行體系，在接收到信號時，可以及時自動的采取措施，防止風險擴大。企業應重視風險發生頻率和不利后果專門設置處理風險的部門，可以幫助企業對風險故障迅速的做出方案，把不利后果降到最小。并且，根絕已發生的事件進行分析總結，達到進一步加強防范的作用。企業基于信息化環境下，建立一套信息系統風險管理機制也是很有必要的。健全責任控制，強化信息化下的風險意識。

（五）加強和完善內部審計制度

企業內部審計機構是強化內部控制的一項基本措施。在信息化下，數據處理是人與計算機的特殊形式，因而對內部審計人員提出的更高的要求。內部審計人員要對信息化后的企業進行深入的研究，準確掌握現有信息運營模式與傳統模式的不同之處，并熟練在操作現有模式的基礎上，能夠檢測出現有模式的不足和欠缺。做到有計劃，有步驟，實現連續全面，高效率的審計工作。同時，為了應對不斷變化的企業內部和外部的審計環境，企業要經常組織內審人員學習審計法規。組織審計人員定期培訓，提高審計人員的素質和操作技能確保內部控制監督是真實的，并且準確有效的。如果企業的財務狀況允許，企業可以不定期的請社會審計機構對企業的運營進行監督，同時也是對內審的考核，督促內審更好的起到監督作用。