企業(yè)信息化實(shí)施的內(nèi)部控制問題研究

高曦

【摘 要】 隨著信息技術(shù)的發(fā)展，信息對(duì)企業(yè)的作用越來越重要，國內(nèi)外相關(guān)機(jī)構(gòu)十分重視企業(yè)信息化的發(fā)展。企業(yè)信息化能夠簡化業(yè)務(wù)流程，提高企業(yè)的經(jīng)營效率和效果，為企業(yè)的發(fā)展帶來財(cái)富。但是，企業(yè)信息化的實(shí)施也會(huì)導(dǎo)致許多問題，文章以銷售業(yè)務(wù)為例，以事物發(fā)展過程的事前控制、事中控制和事后控制為線索，重點(diǎn)論述企業(yè)信息化實(shí)施過程中面臨的內(nèi)部控制問題，進(jìn)而從內(nèi)部控制五要素（內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息系統(tǒng)和監(jiān)督）方面提出加強(qiáng)企業(yè)信息化過程中內(nèi)部控制的建議。

【關(guān)鍵詞】 企業(yè)信息化； 內(nèi)部控制； 銷售業(yè)務(wù)

【中圖分類號(hào)】 F272.5 【文獻(xiàn)標(biāo)識(shí)碼】 A 【文章編號(hào)】 1004-5937（2017）12-0043-03

一、引言

未來學(xué)家托夫勒在《第三次浪潮》中，曾把人類發(fā)展史化分為“農(nóng)業(yè)文明”“工業(yè)文明”“信息社會(huì)”。信息社會(huì)的主要財(cái)富是信息，具備先進(jìn)的信息技術(shù)，獲得更多的信息，也就能掌握更多的財(cái)富[1]。信息對(duì)企業(yè)的重要作用不言而喻，企業(yè)各個(gè)環(huán)節(jié)都離不開信息的支撐，信息技術(shù)的使用推動(dòng)了信息在企業(yè)中的高速運(yùn)轉(zhuǎn)，簡化了企業(yè)經(jīng)營業(yè)務(wù)的流程，提高了企業(yè)的經(jīng)營效率和效果，為企業(yè)的發(fā)展帶來了財(cái)富。雖然信息技術(shù)的使用能夠?yàn)槠髽I(yè)的發(fā)展添磚加瓦，但是如果信息技術(shù)利用不當(dāng)也會(huì)給企業(yè)造成不利的影響：廣東標(biāo)致汽車公司投入巨資促進(jìn)企業(yè)信息網(wǎng)的發(fā)展，但是主系統(tǒng)中的十幾個(gè)功能模塊中，啟用的不到軟件內(nèi)涵的10%，巨資的投入并沒有發(fā)揮網(wǎng)絡(luò)效益；河南許繼集團(tuán)由于企業(yè)經(jīng)營結(jié)構(gòu)的重大調(diào)整未考慮到對(duì)ERP項(xiàng)目的調(diào)整，使得企業(yè)信息化的宏偉目標(biāo)夭折。信息技術(shù)的不當(dāng)使用給企業(yè)帶來上述問題的同時(shí)，也會(huì)增加企業(yè)的信息風(fēng)險(xiǎn)，以及內(nèi)部控制負(fù)擔(dān)。企業(yè)內(nèi)部控制系統(tǒng)與管理信息系統(tǒng)是企業(yè)的兩個(gè)重要子系統(tǒng)，內(nèi)部控制系統(tǒng)為信息系統(tǒng)注入理念和內(nèi)容，信息系統(tǒng)為內(nèi)部控制系統(tǒng)提供信息和載體[2]。本文從內(nèi)部控制角度入手，分析企業(yè)信息化實(shí)施過程中面臨的內(nèi)部控制問題，并為此提出相應(yīng)的建議。

二、國內(nèi)外對(duì)企業(yè)信息化的重視

由于信息化對(duì)企業(yè)的重要作用，國內(nèi)外相關(guān)機(jī)構(gòu)都給予了高度的重視。信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）是信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)（ISACA）制定的面向過程的信息系統(tǒng)審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)，為目前國際公認(rèn)的權(quán)威安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)[3]。該標(biāo)準(zhǔn)輔助企業(yè)進(jìn)行IT治理，自1996年問世以來，不斷更新升級(jí)，2012年已經(jīng)發(fā)行第五個(gè)版本。COBIT清除了管理層、IT與審計(jì)之間的溝通障礙，并且加強(qiáng)了管理層對(duì)控制的認(rèn)識(shí)和支持，依據(jù)COBIT出具的審計(jì)報(bào)告更容易得到管理層的認(rèn)可[4]。我國內(nèi)部控制委員會(huì)也十分重視企業(yè)信息化中的內(nèi)部控制問題，《企業(yè)內(nèi)部控制基本規(guī)范》中強(qiáng)調(diào)企業(yè)應(yīng)當(dāng)充分利用信息技術(shù)促進(jìn)信息的集成與共享，同時(shí)也應(yīng)當(dāng)防范風(fēng)險(xiǎn)，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行。《企業(yè)內(nèi)部控制應(yīng)用指引》尤其是《企業(yè)內(nèi)部控制應(yīng)用指引——第18號(hào)信息系統(tǒng)》的頒布，強(qiáng)調(diào)企業(yè)應(yīng)當(dāng)重視信息系統(tǒng)的重要作用。

三、企業(yè)信息化過程中內(nèi)部控制問題分析

信息技術(shù)的廣泛應(yīng)用對(duì)企業(yè)的生產(chǎn)經(jīng)營產(chǎn)生了重大的影響，簡化流程、方便管理的同時(shí)，也給企業(yè)的內(nèi)部控制管理帶來了一定的風(fēng)險(xiǎn)。駱良彬等[4]從內(nèi)部控制五要素的角度指出內(nèi)部控制的問題主要有控制環(huán)境更加復(fù)雜、風(fēng)險(xiǎn)評(píng)估難度加大、控制活動(dòng)容易出現(xiàn)漏洞、信息溝通不順暢以及缺乏適當(dāng)?shù)谋O(jiān)督。本文以銷售業(yè)務(wù)為例，從事物發(fā)展過程的事前控制、事中控制和事后控制角度對(duì)企業(yè)信息化過程中的內(nèi)部控制問題進(jìn)行具體分析。銷售業(yè)務(wù)涉及銷售、發(fā)貨、收款等多個(gè)環(huán)節(jié)，信息技術(shù)的使用簡化了企業(yè)銷售業(yè)務(wù)的流程，提高了企業(yè)的經(jīng)營效率，但是給企業(yè)也帶來了內(nèi)部控制的諸多風(fēng)險(xiǎn)。

（一）事前控制更加復(fù)雜

1.內(nèi)部環(huán)境的復(fù)雜多變

銷售業(yè)務(wù)的發(fā)生需要良好的內(nèi)部環(huán)境，企業(yè)信息化增加了企業(yè)內(nèi)部銷售環(huán)境的復(fù)雜性，企業(yè)內(nèi)部銷售環(huán)境存在安全隱患。隨著信息技術(shù)的發(fā)展，信息對(duì)于企業(yè)的價(jià)值越來越大，由于網(wǎng)絡(luò)的無形性以及匿名性，滋生了內(nèi)部管理人員可能將企業(yè)的重要銷售政策、策略以及對(duì)市場(chǎng)的預(yù)測(cè)情況等重要銷售信息變賣給競(jìng)爭對(duì)手的不正當(dāng)行為，也可能促使企業(yè)信息管理人員收受賄賂，發(fā)生篡改客戶信息等行為，給企業(yè)造成財(cái)產(chǎn)損失。由于互聯(lián)網(wǎng)的大眾化以及網(wǎng)絡(luò)風(fēng)險(xiǎn)的存在，登錄者只需一個(gè)登錄的密碼就可以進(jìn)入企業(yè)的信息系統(tǒng)，信息技術(shù)的易操作性和不留痕跡的特點(diǎn)，為惡意訪問者提供了方便，他們可能通過入侵網(wǎng)絡(luò)系統(tǒng)，竊取企業(yè)的重要銷售渠道等信息，或者是對(duì)企業(yè)重要的客戶信息等進(jìn)行修改，干擾企業(yè)的信息系統(tǒng)。

2.風(fēng)險(xiǎn)評(píng)估的難度加大

企業(yè)信息化拓寬了銷售業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估范圍，不僅僅局限于傳統(tǒng)的銷售風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是對(duì)企業(yè)實(shí)現(xiàn)內(nèi)部控制目標(biāo)時(shí)可能產(chǎn)生的不利影響進(jìn)行分析和辨認(rèn)，傳統(tǒng)銷售業(yè)務(wù)的風(fēng)險(xiǎn)評(píng)估行為主要針對(duì)企業(yè)的銷售政策和策略是否恰當(dāng)，市場(chǎng)預(yù)測(cè)是否準(zhǔn)確，銷售渠道的管理以及客戶信用檔案的管理等風(fēng)險(xiǎn)進(jìn)行評(píng)估。但是信息技術(shù)與企業(yè)的生產(chǎn)經(jīng)營進(jìn)行結(jié)合之后，企業(yè)風(fēng)險(xiǎn)評(píng)估增加了對(duì)企業(yè)信息系統(tǒng)進(jìn)行評(píng)估的問題。從企業(yè)信息的初始化問題，信息安全訪問的控制等環(huán)節(jié)，信息系統(tǒng)的安全性和可靠性，信息系統(tǒng)對(duì)企業(yè)資源的協(xié)調(diào)分配、整理能力等都要進(jìn)行評(píng)估分析，而這些風(fēng)險(xiǎn)評(píng)估過程是需要不同專業(yè)背景的人員才能完成的，這無疑加大了企業(yè)風(fēng)險(xiǎn)評(píng)估的難度和復(fù)雜性。

（二）事中控制風(fēng)險(xiǎn)加大

1.具體業(yè)務(wù)流程易出漏洞

信息技術(shù)在簡化企業(yè)業(yè)務(wù)處理流程，方便員工進(jìn)行數(shù)據(jù)操作時(shí)，也給企業(yè)帶來了相應(yīng)的風(fēng)險(xiǎn)。在信息化的環(huán)境下，除了初始信息需要員工進(jìn)行錄入之外，計(jì)算機(jī)信息系統(tǒng)可以自行處理財(cái)務(wù)報(bào)表的生成等多個(gè)環(huán)節(jié)，簡化了財(cái)務(wù)處理流程。然而信息技術(shù)的使用也加大了業(yè)務(wù)處理的風(fēng)險(xiǎn)，如果信息的初始輸入存在錯(cuò)誤，錯(cuò)誤將很難被發(fā)現(xiàn)，并且會(huì)影響后續(xù)業(yè)務(wù)處理環(huán)節(jié)的正確性，影響企業(yè)的收入及利潤，嚴(yán)重情況下可能導(dǎo)致虛假財(cái)務(wù)報(bào)表的產(chǎn)生。信息技術(shù)的使用也會(huì)增加員工的惰性，比如在記賬憑證審核時(shí)，存在“批審核”功能，這一功能雖然會(huì)提高工作人員的效率，但是也可能誘導(dǎo)員工在并未審核憑證的情況下，完成這一功能。由于在信息化環(huán)境下，并不能夠反映出員工的操作痕跡，因此諸如此類的錯(cuò)誤并不能夠被發(fā)現(xiàn)。

2.信息溝通的不順暢

企業(yè)信息化存在比較大的一個(gè)問題是“信息孤島”的問題。由于ERP系統(tǒng)是采用幾個(gè)模塊進(jìn)行設(shè)計(jì)的，各個(gè)模塊啟用時(shí)間不同、使用人員不同，同一數(shù)據(jù)由不同部門錄入也可能各不相同，造成信息的混亂。不同部門之間各自為政，相關(guān)部門人員在進(jìn)行數(shù)據(jù)處理時(shí)工作量比較大，影響了工作效率和質(zhì)量。數(shù)據(jù)的不統(tǒng)一、信息的不一致會(huì)影響整個(gè)企業(yè)的有效溝通，造成信息溝通不順暢。

（三）事后控制需要加強(qiáng)

銷售業(yè)務(wù)完成后，還要進(jìn)行相應(yīng)的事后完善和處理，這主要指的是相關(guān)數(shù)據(jù)信息的整理和保存。數(shù)據(jù)是企業(yè)的重要資源，數(shù)據(jù)的備份和保存應(yīng)作為內(nèi)部控制的重要環(huán)節(jié)。企業(yè)的數(shù)據(jù)信息特別繁雜，備份企業(yè)數(shù)據(jù)需要大量的存儲(chǔ)空間。與紙質(zhì)信息有所不同，由于電子信息的存儲(chǔ)介質(zhì)不穩(wěn)定，一旦操作失誤就會(huì)喪失企業(yè)的重要商業(yè)信息，比如在導(dǎo)出企業(yè)銷售業(yè)務(wù)信息時(shí)，可能由于錯(cuò)點(diǎn)“刪除”等按鈕，導(dǎo)致企業(yè)流失客戶檔案、應(yīng)收賬款等重要資源。同時(shí)由于存儲(chǔ)介質(zhì)比較小巧，特別容易被復(fù)制或者竊取，因此容易引起商業(yè)機(jī)密的泄露，對(duì)企業(yè)造成不可估量的損失。

四、完善企業(yè)信息化過程中內(nèi)部控制的建議

如前所述，企業(yè)信息化會(huì)產(chǎn)生許多不同于傳統(tǒng)經(jīng)營環(huán)境的內(nèi)部控制問題，本部分將針對(duì)前一部分所提出的內(nèi)部控制問題提出相應(yīng)的完善建議，從內(nèi)部控制五要素的角度加強(qiáng)企業(yè)信息化過程中的內(nèi)部控制。

（一）營造良好的內(nèi)部環(huán)境

企業(yè)信息化需要良好的內(nèi)部環(huán)境作為支撐，企業(yè)應(yīng)該建立誠信的企業(yè)文化氛圍、恰當(dāng)可行的獎(jiǎng)懲政策。加強(qiáng)企業(yè)成員的價(jià)值觀念、誠信水平和職業(yè)道德水平的建設(shè)，緩解企業(yè)信息化過程中由于內(nèi)部環(huán)境造成內(nèi)控缺陷的負(fù)面影響。以經(jīng)典“胡蘿卜加大棒”的措施對(duì)企業(yè)員工進(jìn)行鼓勵(lì)和約束，確保企業(yè)內(nèi)部控制建設(shè)的順利進(jìn)行。對(duì)于精簡企業(yè)流程、為企業(yè)信息化建設(shè)做出突出貢獻(xiàn)的技術(shù)或財(cái)務(wù)人員以及舉報(bào)企業(yè)舞弊人員等進(jìn)行相應(yīng)的激勵(lì)，對(duì)于利用信息技術(shù)的漏洞牟取私利損害企業(yè)經(jīng)濟(jì)利益的人員進(jìn)行嚴(yán)懲，并且要求承擔(dān)相應(yīng)的法律責(zé)任。

（二）完善企業(yè)風(fēng)險(xiǎn)評(píng)估機(jī)制

企業(yè)信息化增加了內(nèi)部控制的風(fēng)險(xiǎn)評(píng)估難度，既要評(píng)估傳統(tǒng)經(jīng)營業(yè)務(wù)的風(fēng)險(xiǎn)，還要評(píng)估信息系統(tǒng)的風(fēng)險(xiǎn)，以及信息系統(tǒng)與業(yè)務(wù)系統(tǒng)整合風(fēng)險(xiǎn)。信息化環(huán)境下，企業(yè)的風(fēng)險(xiǎn)評(píng)估需要不同專業(yè)背景的人員配合，因此企業(yè)應(yīng)組建風(fēng)險(xiǎn)評(píng)估部門，完善部門人員知識(shí)構(gòu)成，進(jìn)行企業(yè)的風(fēng)險(xiǎn)評(píng)估工作，建立企業(yè)信息化基礎(chǔ)上的風(fēng)險(xiǎn)評(píng)估機(jī)制。不僅要建立信息系統(tǒng)安全管理的制度和政策，而且要定期對(duì)企業(yè)信息系統(tǒng)的運(yùn)行情況以及信息系統(tǒng)與業(yè)務(wù)系統(tǒng)的結(jié)合情況進(jìn)行評(píng)價(jià)，建立健全問責(zé)制度，加強(qiáng)對(duì)計(jì)算機(jī)軟硬件的管理和控制，評(píng)估企業(yè)面臨的整體風(fēng)險(xiǎn)。

（三）完善控制活動(dòng)的環(huán)節(jié)控制

建立良好的控制系統(tǒng)，確保數(shù)據(jù)的初始輸入準(zhǔn)確無誤；重視信息技術(shù)的控制，加強(qiáng)軟件的應(yīng)用管理。企業(yè)應(yīng)該參與到軟件的開發(fā)階段，將信息系統(tǒng)與企業(yè)總體戰(zhàn)略，信息系統(tǒng)與企業(yè)的業(yè)務(wù)處理過程緊密地結(jié)合起來。在軟件開發(fā)之初，引入稽核監(jiān)督機(jī)制，對(duì)于員工的數(shù)據(jù)操作記錄和痕跡進(jìn)行后臺(tái)的記錄與備份，防止員工利用信息化環(huán)境下無法反映業(yè)務(wù)痕跡這一特點(diǎn)簡化必要的業(yè)務(wù)流程。同時(shí)應(yīng)在軟件開發(fā)階段，進(jìn)行不同員工的權(quán)限設(shè)置，建立雙重身份審核制度，防止私自利用信息系統(tǒng)的漏洞進(jìn)行會(huì)計(jì)處理，篡改財(cái)務(wù)數(shù)據(jù)的行為。

（四）建立有效的信息溝通系統(tǒng)

建立有效的信息溝通系統(tǒng)，促使企業(yè)信息化戰(zhàn)略與總戰(zhàn)略協(xié)調(diào)一致，推進(jìn)各部門的交流與合作。很多企業(yè)僅把信息化作為一種數(shù)據(jù)處理的工具，追求如何通過技術(shù)更快捷地處理業(yè)務(wù)，忽略了企業(yè)的管理思想，使得企業(yè)的信息化與管理脫節(jié)。信息化應(yīng)該與企業(yè)的管理協(xié)調(diào)發(fā)展，企業(yè)各部門的工作都服從和服務(wù)于企業(yè)的整體戰(zhàn)略，因此企業(yè)的信息化戰(zhàn)略應(yīng)該和企業(yè)的整體戰(zhàn)略一致。企業(yè)各部門應(yīng)該按照業(yè)務(wù)需要識(shí)別信息使用者所需要的信息，對(duì)信息進(jìn)行收集、加工和處理，進(jìn)行數(shù)據(jù)共享，使得其他部門信息使用者能夠及時(shí)使用信息，避免重復(fù)錄入信息，或者錄入信息口徑不一致。

（五）規(guī)范監(jiān)督管理機(jī)制

信息化建設(shè)的實(shí)施和發(fā)展離不開監(jiān)督管理機(jī)制的約束，規(guī)范監(jiān)督管理機(jī)制不僅需要企業(yè)的配合，也需要政府部門及專業(yè)審計(jì)機(jī)構(gòu)的支持。企業(yè)內(nèi)部應(yīng)該設(shè)有針對(duì)企業(yè)信息化的監(jiān)督部門，制定企業(yè)信息化發(fā)展的規(guī)章制度，定期檢查企業(yè)信息化進(jìn)程，監(jiān)督檢查企業(yè)信息化的成果。政府部門需要完善相關(guān)審計(jì)法規(guī)，在原有審計(jì)規(guī)范的基礎(chǔ)上，出臺(tái)企業(yè)信息技術(shù)管理相關(guān)規(guī)范。目前我國的網(wǎng)站審計(jì)比較落后，應(yīng)該建立切實(shí)可行的網(wǎng)站審計(jì)規(guī)范，促進(jìn)網(wǎng)站審計(jì)的發(fā)展。注冊(cè)會(huì)計(jì)師等審計(jì)人員應(yīng)該完善自己的知識(shí)結(jié)構(gòu)，學(xué)習(xí)對(duì)信息化環(huán)境下的電子憑證等會(huì)計(jì)信息的審計(jì)。

五、總結(jié)

信息技術(shù)在促進(jìn)企業(yè)發(fā)展的同時(shí)，也給企業(yè)的內(nèi)部控制帶來了風(fēng)險(xiǎn)。本文以銷售業(yè)務(wù)為例，從事前控制、事中控制和事后控制的角度對(duì)企業(yè)信息化過程中的內(nèi)部控制問題進(jìn)行分析，發(fā)現(xiàn)企業(yè)信息化使企業(yè)的事前控制更加復(fù)雜，事中控制風(fēng)險(xiǎn)加大，事后控制需要更加完善。企業(yè)信息化雖然給企業(yè)帶來了一定的內(nèi)部控制風(fēng)險(xiǎn)，但是并不能舍棄信息化，舍棄信息技術(shù)在企業(yè)中的運(yùn)用。應(yīng)該針對(duì)企業(yè)信息化過程中存在的問題，加強(qiáng)和完善企業(yè)內(nèi)部控制，使企業(yè)內(nèi)部控制系統(tǒng)和管理信息系統(tǒng)完美結(jié)合，促進(jìn)企業(yè)的發(fā)展。因此，本文針對(duì)前文提出的問題，從內(nèi)部控制五要素的角度提出完善建議：企業(yè)應(yīng)當(dāng)營造良好的內(nèi)部控制環(huán)境；完善風(fēng)險(xiǎn)評(píng)估機(jī)制和控制活動(dòng)的環(huán)節(jié)控制；建立有效的信息溝通系統(tǒng)；規(guī)范監(jiān)督管理機(jī)制。

【參考文獻(xiàn)】

[1] 劉新華.關(guān)于加快我國信息化建設(shè)的探討[J].管理世界，1997（2）：113-118，125.

[2] 韓曉梅.朱國泓，徐相偉，內(nèi)控信息化的動(dòng)態(tài)演進(jìn)——蘇州高新1994—2011年縱向案例研究[J].會(huì)計(jì)研究，2015（1）：76-81，97.

[3] 陳婉玲，袁若賓.COBIT及其在信息系統(tǒng)控制與審計(jì)中的應(yīng)用[J].審計(jì)研究，2006（S1）：93-96，104.

[4] 駱良彬，張白.企業(yè)信息化過程中內(nèi)部控制問題研究[J].會(huì)計(jì)研究，2008（5）：69-75.

[5] 唐文.制造業(yè)企業(yè)信息化實(shí)施路徑的有效選擇[J].會(huì)計(jì)之友，2014（9）：100-102.