企業信息系統內部控制存在的問題與對策研究

陳瑞燕

企業信息系統內部控制存在的問題與對策研究

陳瑞燕

信息系統作為企業管理的重要實施方式為管理層提供了更便捷有效的途徑，但同時也為企業內部控制的有效性帶來了新問題。本文在分析加強企業信息系統內部控制重要性的基礎上，深入探討了當前企業信息系統內部控制存在的問題及其成因，并針對性地提出了加強信息系統內部控制的對策和措施。

企業信息系統 風險控制 內部控制

隨著電子信息技術的飛速發展，信息系統已經普遍成為企業運行和管理的基本工具。信息系統幫助我們處理大量繁雜的數據，提高了工作效率，降低了人為操作的錯誤發生率，使遠程管理更為方便快捷。但信息系統給企業管理帶來方便的同時，也給管理層帶來了不可忽視的風險。例如，信息系統的開發和控制措施是否合理、信息系統提供的數據及解決方案是否完整有效、信息系統之間是否相互兼容等。所以，管理層應對信息系統的內部控制引起重視，這樣才能使其更有效地為企業處理事務，幫助企業作出決策，從而為實現企業戰略目標奠定堅實的基礎。

一、當前企業信息系統內部控制存在的問題與成因分析

信息技術高速發展，企業的信息系統也隨之不斷更新，以適應社會不斷發展的需要，這對企業內部控制提出了更大的挑戰。

（一）企業信息系統的適用性問題

一種情況是企業在建立信息系統時根據用戶部門的要求借鑒國外或國內成功企業的經驗。但是不同企業有不同的經營管理模式和信息技術管理要求，這可能導致引進的信息系統無法真正適應企業管理的要求，需要企業不斷完善甚至重新建立新的信息系統以彌補舊系統的不足，避免發生重復控制、浪費資源的情況。

另外一種情況是企業聘請外部專門從事信息系統開發的機構或公司為企業量身定做企業需要的信息系統。這種情況也會由于外部人員沒有真正理解企業的需求，造成信息系統資源的重復建設、系統運行效率低和無法達到預期目標的后果，而且往往長期需要依賴系統開發機構解決使用過程中出現的各種問題，系統才能正常運轉。

（二）不同系統對數據的關注點不同有可能導致系統流轉數據不準確

信息技術的使用涉及企業的各個領域，信息系統的建立是為各類業務服務的。例如，為生產經營需要而產生的生產管理系統；為服務及物資采辦而產生的采辦管理系統；為物資倉儲而產生的庫存管理系統；為預算管理、成本核算、費用分析和財務報告而產生的會計信息系統；為資金收集和支付而產生的資金管理系統。這些信息系統之間一定是相互聯系的。

采辦管理系統簽訂服務合同和貨物購買合同購買服務和貨物，這些貨物通過庫存管理系統領出后用于生產，通過生產經營系統得出企業的生產商品的數據，而各個系統的數據最終都會轉入會計信息系統由財務人員進行成本核算和費用分析，分析的結果又服務于生產管理。每一個流轉環節都需要相應的知識背景，但系統和系統之間的“溝通”往往沒有想象中那么順暢。實際操作中會有這樣的例子，生產領料人員需要相應的原材料，經過一定領料審批后由庫房的管理人員對材料進行出庫，系統自動將領出材料計入成本費進行會計核算，之后轉入會計信息系統。這種情況下，由于領料人員和庫房保管人員不具備專業的財務知識，所以不能判斷材料的成本費用科目是否正確，而財務人員沒有及時得到相應的領料依據，因此無法對其進行相應的復核。尤其是大型企業，每天的生產領料數據非常巨大，財務核算人員無法及時獲取相關復核資料，一旦出現錯誤，直接影響最終的財務報表數據。

（三）企業信息系統在操作過程中存在安全性問題

信息系統一定是由人來操作，那就會有相應的人員操作風險。例如，有不法分子利用非法手段強行進入企業信息系統竊取機密信息；企業內部人員為了達到某種目的濫用權限進行非法操作和舞弊，篡改系統信息。當然也存在由于系統權限配置不當，致使企業員工誤操作而導致的數據錯誤或系統功能失效等。

信息系統本身的固有局限性也可能導致信息泄露的風險。信息系統的安全措施不當，可能導致系統信息的泄露、毀損、丟失等。

（四）信息系統數據的丟失

信息系統正常運行過程中，各種信息在系統內正常流轉，一旦發生事故或非正常事件，系統中斷運行，信息毀損、丟失，會給企業正常運行管理造成非常重大的損失。例如，庫存管理系統的各個遠程終端由于不可抗力發生事故，導致庫存信息毀損，給生產帶來不便，同時傳入會計核算系統的數據失真，最終導致企業財務報表數據失真，給企業帶來嚴重的負面影響。

二、加強企業信息系統內部控制的對策措施

面對上述問題，企業可以從內部控制的角度考慮各個風險的大小，采取降低、轉移或規避風險的方式來化解相應的風險，實現信息系統的有效內部控制。

（一）加強企業在信息系統開發階段的內部控制建設

企業在進行信息系統開發時應該充分考慮自身的管理模式和業務類型，以及企業文化、技術能力、組織架構、地域特點等因素，選擇建立適應企業要求的信息系統。企業內部應該建立健全相應的信息系統內部控制制度體系，對信息系統的引進、開發和維護均制定相應的管理制度。

企業應該首先制定信息系統開發的戰略目標，在系統引進和上線前進行可行性研究，充分收集用戶部門相關的系統需求，并評估可能發生的風險，梳理信息系統開發和應用等各個環節的關鍵控制點，設計適當的控制措施對其進行控制。

企業應該建立信息系統上線審批制度，對于系統上線運行和升級替換，應當由歸口部門和用戶部門批準后實施，主要的信息系統開發和重大的信息系統實施方案，必須由董事會或類似機構審核批準后才能實施。

（二）加強企業信息系統的應用控制及人工控制

企業內部的各種業務類型都是為企業服務的，所以各個業務系統之間應該相互聯系，形成一個閉環。對于企業各個信息系統之間傳遞的數據，企業應當根據實際情況，對不同的控制環節采取不同的系統應用控制，如手工控制或兩者相結合的控制。企業可以設置系統控制參數，建立規范的流程。

例如，上述第二個問題，在生產領料系統中可以增設領料環節的系統應用控制，將領料人員按其業務性質分成不同的類別，設置不同性質的領料崗位對應的財務科目或財務科目細類。財務人員將傳入會計核算系統的領料數據按預先分好的核算類別匯總，與拿到的領料單據核對。系統應用控制和人工控制相結合，有效降低了錯誤數據發生的概率。

企業的內部審計部門也可以不定期地對信息系統的應用控制和人工控制進行檢查和評價，確定其是否真正起到了控制作用。

另外，對于手工錄入、批量導入、接收其他系統數據等不同的數據輸入方式，可以分別考慮對進入系統數據的檢查和校驗功能，確保數據的準確性、有效性和完整性。

企業應該設置信息系統操作日志，詳細記錄系統當日的操作內容、流量和系統之間的接口設置，并配備專門的人員對系統之前的接口設置進行定期檢查，如存在異常的交易或者數據，應盡快處理并以報告的形式記錄下來，為將來維護和評價系統功能儲備資料。

（三）加強企業信息系統的安全控制

企業應當根據不同信息系統的不同特性設置不同的安全參數，使用技術手段加強系統的訪問安全。例如，采用設置防火墻、漏洞掃描、入侵檢測、遠程訪問安全策略等手段加強風險防控，阻止來自網絡的攻擊和非法侵入，也可以采取安裝安全軟件的措施來防范信息系統受到病毒等惡意軟件的感染和破壞。考慮到內部控制的成本效益原則，企業應當根據信息系統的業務性質和重要程度設置不同的安全標準，針對不同的信息系統采用不同的控制技術。

對于信息系統權限的管理，企業應該建立用戶權限管理制度，設置專門的信息系統權限管理崗位管理權限，禁止不相容職務用戶的權限交叉。對于崗位發生變動或離職的人員，應在管理制度中規定員工所在部門或人力資源部及時將員工變動信息通知系統權限管理員，以便系統管理人員及時變更或撤銷其權限，防止不必要的信息系統數據錯誤或數據泄露風險。企業應該制定系統權限手冊，明確每個崗位應該擁有哪些權限，明確不相容崗位不應該擁有哪些權限，系統權限管理人員據以定期檢查系統權限，發現并清除不符合規定的權限，形成檢查記錄存檔。

企業的管理層應對信息系統的安全性加強關注，從自我做起，不定期地對員工進行系統操作及安全知識培訓，豐富員工的信息系統運用知識，增強員工安全意識。對于重要崗位員工，企業可以與其簽署信息安全保密協議。

（四）建立企業信息系統風險評估機制

面對復雜的信息系統數據丟失可能帶來的威脅，企業應該提前做好相應的風險防范工作。首先，企業應該對信息系統進行全面的風險評估，充分考慮每一項風險發生的可能性和帶來的后果，均衡成本效益后，采取相應的控制措施。其次，企業應當建立并執行系統數據定期備份制度，明確備份的范圍、備份頻率、備份方法、備份責任人、備份存放地點、備份有效性檢查等內容。同時，企業應當根據業務性質和風險程度，制定信息系統業務持續和災難恢復計劃。再次，企業應當采用日常檢測、設立容錯冗余、編制應急預案等預防措施，確保信息系統的持續運行。對于信息系統中異常的或者違背內部控制要求的交易或數據，企業應當考慮在系統中設置自動報告功能。

綜上所述，增強信息系統內部控制是當務之急，只有內部控制良好的信息系統才能為企業的運行提供有效的數據，為企業管理打下堅實的基礎，為管理層作出正確的決策提供合理的理論依據，保證企業持續、健康發展，實現企業戰略目標。

（作者單位為中海石油〈中國〉有限公司天津分公司）

[1] 王民治，趙學進. ERP環境下財務會計信息系統內部控制與風險管理研究［J］.會計之友，2013（09）.