企業信息化實施的內部控制問題研究

高曦

【摘 要】 隨著信息技術的發展，信息對企業的作用越來越重要，國內外相關機構十分重視企業信息化的發展。企業信息化能夠簡化業務流程，提高企業的經營效率和效果，為企業的發展帶來財富。但是，企業信息化的實施也會導致許多問題，文章以銷售業務為例，以事物發展過程的事前控制、事中控制和事后控制為線索，重點論述企業信息化實施過程中面臨的內部控制問題，進而從內部控制五要素（內部環境、風險評估、控制活動、信息系統和監督）方面提出加強企業信息化過程中內部控制的建議。

【關鍵詞】 企業信息化； 內部控制； 銷售業務

【中圖分類號】 F272.5 【文獻標識碼】 A 【文章編號】 1004-5937（2017）12-0043-03

一、引言

未來學家托夫勒在《第三次浪潮》中，曾把人類發展史化分為“農業文明”“工業文明”“信息社會”。信息社會的主要財富是信息，具備先進的信息技術，獲得更多的信息，也就能掌握更多的財富[1]。信息對企業的重要作用不言而喻，企業各個環節都離不開信息的支撐，信息技術的使用推動了信息在企業中的高速運轉，簡化了企業經營業務的流程，提高了企業的經營效率和效果，為企業的發展帶來了財富。雖然信息技術的使用能夠為企業的發展添磚加瓦，但是如果信息技術利用不當也會給企業造成不利的影響：廣東標致汽車公司投入巨資促進企業信息網的發展，但是主系統中的十幾個功能模塊中，啟用的不到軟件內涵的10%，巨資的投入并沒有發揮網絡效益；河南許繼集團由于企業經營結構的重大調整未考慮到對ERP項目的調整，使得企業信息化的宏偉目標夭折。信息技術的不當使用給企業帶來上述問題的同時，也會增加企業的信息風險，以及內部控制負擔。企業內部控制系統與管理信息系統是企業的兩個重要子系統，內部控制系統為信息系統注入理念和內容，信息系統為內部控制系統提供信息和載體[2]。本文從內部控制角度入手，分析企業信息化實施過程中面臨的內部控制問題，并為此提出相應的建議。

二、國內外對企業信息化的重視

由于信息化對企業的重要作用，國內外相關機構都給予了高度的重視。信息及相關技術控制目標（COBIT）是信息系統審計和控制聯合會（ISACA）制定的面向過程的信息系統審計和評價的標準，為目前國際公認的權威安全與信息技術管理和控制標準[3]。該標準輔助企業進行IT治理，自1996年問世以來，不斷更新升級，2012年已經發行第五個版本。COBIT清除了管理層、IT與審計之間的溝通障礙，并且加強了管理層對控制的認識和支持，依據COBIT出具的審計報告更容易得到管理層的認可[4]。我國內部控制委員會也十分重視企業信息化中的內部控制問題，《企業內部控制基本規范》中強調企業應當充分利用信息技術促進信息的集成與共享，同時也應當防范風險，保障信息系統的安全穩定運行。《企業內部控制應用指引》尤其是《企業內部控制應用指引——第18號信息系統》的頒布，強調企業應當重視信息系統的重要作用。

三、企業信息化過程中內部控制問題分析

信息技術的廣泛應用對企業的生產經營產生了重大的影響，簡化流程、方便管理的同時，也給企業的內部控制管理帶來了一定的風險。駱良彬等[4]從內部控制五要素的角度指出內部控制的問題主要有控制環境更加復雜、風險評估難度加大、控制活動容易出現漏洞、信息溝通不順暢以及缺乏適當的監督。本文以銷售業務為例，從事物發展過程的事前控制、事中控制和事后控制角度對企業信息化過程中的內部控制問題進行具體分析。銷售業務涉及銷售、發貨、收款等多個環節，信息技術的使用簡化了企業銷售業務的流程，提高了企業的經營效率，但是給企業也帶來了內部控制的諸多風險。

（一）事前控制更加復雜

1.內部環境的復雜多變

銷售業務的發生需要良好的內部環境，企業信息化增加了企業內部銷售環境的復雜性，企業內部銷售環境存在安全隱患。隨著信息技術的發展，信息對于企業的價值越來越大，由于網絡的無形性以及匿名性，滋生了內部管理人員可能將企業的重要銷售政策、策略以及對市場的預測情況等重要銷售信息變賣給競爭對手的不正當行為，也可能促使企業信息管理人員收受賄賂，發生篡改客戶信息等行為，給企業造成財產損失。由于互聯網的大眾化以及網絡風險的存在，登錄者只需一個登錄的密碼就可以進入企業的信息系統，信息技術的易操作性和不留痕跡的特點，為惡意訪問者提供了方便，他們可能通過入侵網絡系統，竊取企業的重要銷售渠道等信息，或者是對企業重要的客戶信息等進行修改，干擾企業的信息系統。

2.風險評估的難度加大

企業信息化拓寬了銷售業務風險評估范圍，不僅僅局限于傳統的銷售風險評估。風險評估是對企業實現內部控制目標時可能產生的不利影響進行分析和辨認，傳統銷售業務的風險評估行為主要針對企業的銷售政策和策略是否恰當，市場預測是否準確，銷售渠道的管理以及客戶信用檔案的管理等風險進行評估。但是信息技術與企業的生產經營進行結合之后，企業風險評估增加了對企業信息系統進行評估的問題。從企業信息的初始化問題，信息安全訪問的控制等環節，信息系統的安全性和可靠性，信息系統對企業資源的協調分配、整理能力等都要進行評估分析，而這些風險評估過程是需要不同專業背景的人員才能完成的，這無疑加大了企業風險評估的難度和復雜性。

（二）事中控制風險加大

1.具體業務流程易出漏洞

信息技術在簡化企業業務處理流程，方便員工進行數據操作時，也給企業帶來了相應的風險。在信息化的環境下，除了初始信息需要員工進行錄入之外，計算機信息系統可以自行處理財務報表的生成等多個環節，簡化了財務處理流程。然而信息技術的使用也加大了業務處理的風險，如果信息的初始輸入存在錯誤，錯誤將很難被發現，并且會影響后續業務處理環節的正確性，影響企業的收入及利潤，嚴重情況下可能導致虛假財務報表的產生。信息技術的使用也會增加員工的惰性，比如在記賬憑證審核時，存在“批審核”功能，這一功能雖然會提高工作人員的效率，但是也可能誘導員工在并未審核憑證的情況下，完成這一功能。由于在信息化環境下，并不能夠反映出員工的操作痕跡，因此諸如此類的錯誤并不能夠被發現。

2.信息溝通的不順暢

企業信息化存在比較大的一個問題是“信息孤島”的問題。由于ERP系統是采用幾個模塊進行設計的，各個模塊啟用時間不同、使用人員不同，同一數據由不同部門錄入也可能各不相同，造成信息的混亂。不同部門之間各自為政，相關部門人員在進行數據處理時工作量比較大，影響了工作效率和質量。數據的不統一、信息的不一致會影響整個企業的有效溝通，造成信息溝通不順暢。

（三）事后控制需要加強

銷售業務完成后，還要進行相應的事后完善和處理，這主要指的是相關數據信息的整理和保存。數據是企業的重要資源，數據的備份和保存應作為內部控制的重要環節。企業的數據信息特別繁雜，備份企業數據需要大量的存儲空間。與紙質信息有所不同，由于電子信息的存儲介質不穩定，一旦操作失誤就會喪失企業的重要商業信息，比如在導出企業銷售業務信息時，可能由于錯點“刪除”等按鈕，導致企業流失客戶檔案、應收賬款等重要資源。同時由于存儲介質比較小巧，特別容易被復制或者竊取，因此容易引起商業機密的泄露，對企業造成不可估量的損失。

四、完善企業信息化過程中內部控制的建議

如前所述，企業信息化會產生許多不同于傳統經營環境的內部控制問題，本部分將針對前一部分所提出的內部控制問題提出相應的完善建議，從內部控制五要素的角度加強企業信息化過程中的內部控制。

（一）營造良好的內部環境

企業信息化需要良好的內部環境作為支撐，企業應該建立誠信的企業文化氛圍、恰當可行的獎懲政策。加強企業成員的價值觀念、誠信水平和職業道德水平的建設，緩解企業信息化過程中由于內部環境造成內控缺陷的負面影響。以經典“胡蘿卜加大棒”的措施對企業員工進行鼓勵和約束，確保企業內部控制建設的順利進行。對于精簡企業流程、為企業信息化建設做出突出貢獻的技術或財務人員以及舉報企業舞弊人員等進行相應的激勵，對于利用信息技術的漏洞牟取私利損害企業經濟利益的人員進行嚴懲，并且要求承擔相應的法律責任。

（二）完善企業風險評估機制

企業信息化增加了內部控制的風險評估難度，既要評估傳統經營業務的風險，還要評估信息系統的風險，以及信息系統與業務系統整合風險。信息化環境下，企業的風險評估需要不同專業背景的人員配合，因此企業應組建風險評估部門，完善部門人員知識構成，進行企業的風險評估工作，建立企業信息化基礎上的風險評估機制。不僅要建立信息系統安全管理的制度和政策，而且要定期對企業信息系統的運行情況以及信息系統與業務系統的結合情況進行評價，建立健全問責制度，加強對計算機軟硬件的管理和控制，評估企業面臨的整體風險。

（三）完善控制活動的環節控制

建立良好的控制系統，確保數據的初始輸入準確無誤；重視信息技術的控制，加強軟件的應用管理。企業應該參與到軟件的開發階段，將信息系統與企業總體戰略，信息系統與企業的業務處理過程緊密地結合起來。在軟件開發之初，引入稽核監督機制，對于員工的數據操作記錄和痕跡進行后臺的記錄與備份，防止員工利用信息化環境下無法反映業務痕跡這一特點簡化必要的業務流程。同時應在軟件開發階段，進行不同員工的權限設置，建立雙重身份審核制度，防止私自利用信息系統的漏洞進行會計處理，篡改財務數據的行為。

（四）建立有效的信息溝通系統

建立有效的信息溝通系統，促使企業信息化戰略與總戰略協調一致，推進各部門的交流與合作。很多企業僅把信息化作為一種數據處理的工具，追求如何通過技術更快捷地處理業務，忽略了企業的管理思想，使得企業的信息化與管理脫節。信息化應該與企業的管理協調發展，企業各部門的工作都服從和服務于企業的整體戰略，因此企業的信息化戰略應該和企業的整體戰略一致。企業各部門應該按照業務需要識別信息使用者所需要的信息，對信息進行收集、加工和處理，進行數據共享，使得其他部門信息使用者能夠及時使用信息，避免重復錄入信息，或者錄入信息口徑不一致。

（五）規范監督管理機制

信息化建設的實施和發展離不開監督管理機制的約束，規范監督管理機制不僅需要企業的配合，也需要政府部門及專業審計機構的支持。企業內部應該設有針對企業信息化的監督部門，制定企業信息化發展的規章制度，定期檢查企業信息化進程，監督檢查企業信息化的成果。政府部門需要完善相關審計法規，在原有審計規范的基礎上，出臺企業信息技術管理相關規范。目前我國的網站審計比較落后，應該建立切實可行的網站審計規范，促進網站審計的發展。注冊會計師等審計人員應該完善自己的知識結構，學習對信息化環境下的電子憑證等會計信息的審計。

五、總結

信息技術在促進企業發展的同時，也給企業的內部控制帶來了風險。本文以銷售業務為例，從事前控制、事中控制和事后控制的角度對企業信息化過程中的內部控制問題進行分析，發現企業信息化使企業的事前控制更加復雜，事中控制風險加大，事后控制需要更加完善。企業信息化雖然給企業帶來了一定的內部控制風險，但是并不能舍棄信息化，舍棄信息技術在企業中的運用。應該針對企業信息化過程中存在的問題，加強和完善企業內部控制，使企業內部控制系統和管理信息系統完美結合，促進企業的發展。因此，本文針對前文提出的問題，從內部控制五要素的角度提出完善建議：企業應當營造良好的內部控制環境；完善風險評估機制和控制活動的環節控制；建立有效的信息溝通系統；規范監督管理機制。

【參考文獻】

[1] 劉新華.關于加快我國信息化建設的探討[J].管理世界，1997（2）：113-118，125.

[2] 韓曉梅.朱國泓，徐相偉，內控信息化的動態演進——蘇州高新1994—2011年縱向案例研究[J].會計研究，2015（1）：76-81，97.

[3] 陳婉玲，袁若賓.COBIT及其在信息系統控制與審計中的應用[J].審計研究，2006（S1）：93-96，104.

[4] 駱良彬，張白.企業信息化過程中內部控制問題研究[J].會計研究，2008（5）：69-75.

[5] 唐文.制造業企業信息化實施路徑的有效選擇[J].會計之友，2014（9）：100-102.