信息化下內部控制問題研究

陳 斯

一、引言

如今，社會已然步入了信息社會。信息社會的表現就是信息化，企業的成長也離不開信息化，國內外越來越重視信息技術在企業中的運用。中國內控委員會也非常注重企業信息化的內部控制，《企業內部控制基本規范》中強調企業應該充分運用信息技術，力促信息的共享與融合，充分施展信息技術在信息與溝通中的作用。《企業內部控制應用指引第18號——信息系統》強調企業應該重視信息系統在內部控制中的作用，依據內部控制要求，不斷提升企業現代化管理能力。

二、企業信息化過程中采購業務內部控制問題

信息技術的運用在企業的生產和經營中有著巨大的作用，它優化了業務流程、促進了企業管理，然而亦給企業的內部控制管理帶來了相應的問題。內部控制的五大主要內容是內部環境、風險評價、控制行動、信息和溝通、監督。信息化后，信息技術的應用對內部控制的五大要素都會帶來相關問題。本文以采購業務為例，從事物的成長進程的規律來剖析企業信息化進程中的內部控制，闡述企業采購業務的事前計劃、事中控制、事后分析涉及的內部控制問題。采購業務涉及請購、選擇供應商、下單、簽訂合同、入庫等多個環節。信息技術的運用使采購業務流程清晰化，提升了企業的工作效率，然而亦給企業內部控制引來了很多危機。

（一）事前計劃更加復雜

1.內部環境更復雜。內部環境在一定程度上會影響采購業務的發生，企業信息化使得內部環境的龐雜性大大提升。伴同信息技術的進步，信息在企業中演繹著非常重要的角色。由于網絡的無形性，部分管理人員可能獲取回扣，將企業的物資衡量標準泄露給供應商，供應商為銷售商品采取虛假的方式。互聯網環境下，惡意操作者只需要一個賬號和密碼便可以登錄企業的采購業務平臺，他們可以經過侵入網絡系統，盜取企業的重要采購渠道等信息，或許更改企業重要供應商的信息，從而破壞企業的信息系統，惡意打垮競爭對手。這些都使得事前計劃更復雜，使得計劃存在多變性。

2.采購人員對內部控制的認識不夠。盡管國家很早就公布了《企業內部控制基本規范》，規定所有企業都應實行內部控制，但是卻有極大一部分企業沒有重視，致使采購部門也不重視。對內部控制缺乏了解亦是采購部門普遍存在的一個客觀問題。采購人員接受的培訓是熟悉采購流程以及如何選擇供應商，目的是選擇對企業最有利的供應商，即在供貨質量一樣的情況下成本最低。他們對內部控制知之甚少，如今，企業在采取信息化的手段下執行內部控制，使得內部控制的龐雜性大大提升，采購人員很難應用信息化給內部控制帶來的便利，反而會增加工作的復雜性。

3.風險評估的難度加大。企業信息化拓展了采購業務風險評價的范圍，不只囿于傳統的采購業務風險評估。傳統的采購業務風險評估行為重點瞄準采購策略是不是穩當，市場預測是不是精準，選擇供應商是不是合理，材料質量是不是滿足企業要求等進行評估。但是信息化后，企業風險評估增進了企業信息系統評估的問題。企業至少要關注如下幾個地方的風險：(1)缺乏信息系統或布局不合理；（2）系統研發不適合內部控制要求，授權管理不妥；（3）系統運轉保護和安全舉措有紕漏。以上都加強了企業風險評估的難度和龐雜性。

（二）事中控制風險加大

1.采購業務流程易出漏洞。信息技術簡化了企業采購進程，給企業帶來了一定的風險。在信息化背景下，員工只需輸入初始數據，然后財務軟件能夠自動處理企業經營業務的各個環節，包括采購環節。可是，信息技術的運用也給業務處理帶來風險，初始數據輸入錯誤如果是由工作人員粗心大意引起的，則很難找到該錯誤，導致后續業務處理的準確性不高。例如，企業執行采購業務時，經過采購部門的分析確定采購2000噸鋼材，可是員工卻在后面多加了一個“0”，那么這個錯誤在計算機下不容易被發現，便會導致后續操作的錯誤，并導致退貨或存貨積壓的情況，對企業非常不利。信息化下也會使員工養成懶惰的行為習慣，例如，在施行采購業務時，施行的業務流程是請購單——采購訂單——采購入庫單——發票結算，在這個過程中要進行審核，其中有“批審”的功能，采購人員可以應用這一功能將實際上未審核的訂單打上“審核”的標志。這些錯誤不容易發現。

2.部門之間不能有效的溝通。信息化下，“信息孤島”是一個典型的問題。鑒于財務軟件是依照不同的模塊進行開發的，不同部門的人員開啟各個模塊的時間不盡一致，同一數據由不同部門輸入也可以不盡相同，導致信息的錯亂。數據和信息的不同步會影響整個企業的有效溝通，導致信息壁壘，從而會給企業的事中控制帶來相當大的問題。

（三）事后分析應落到實處

完成采購業務后，相關的事后分析和處理還需進行，主要是對相關數據和信息進行歸類和整理。當采購業務完成后，我們應該對相關的數據進行分析，首先應當分析成本的差異是采購單價、采購數量中的哪個指標影響的。如果是采購單價導致成本超支，那么我們就應當分析采購人員是不是為了自己的私利采購單價過高的產品，從而確定采購人員是不是有不可推卸的責任。如果是采購數量過多導致的成本超支，那么我們應當分析是采購人員的責任還是生產人員在生產過程中浪費材料導致的，并對相關人員進行責任追究。這樣，可以在采購業務中充分施展監督作用。

三、完善企業信息化過程中采購業務內部控制的建議

（一）改善內部環境

良好的內部環境對于企業信息化不可或缺，企業應當營造誠信的企業文化氛圍，制定適宜的獎懲政策，提高企業員工的職業道德水平，從而在企業信息化過程中，使得內部環境對內部控制缺陷的負面影響得到緩解。為了創造良好的內部環境，內部控制的理念應該在企業的上下兩層進行，這樣整個企業就有了進行內部控制的氛圍和土壤。對那些制度建設為企業內部控制提出切實有效的措施以及舉報企業欺詐行為的人員提供獎勵，對于運用信息技術漏洞謀取私利人員進行嚴懲，給予法律制裁。

（二）提高采購人員對內部控制的意識

進一步加強采購人員的內部控制意識,采取一定的措施使內部控制深入每個采購人員心中。例如，經過宣傳和培訓,使他們熟練運用內部控制的常識，切身體會內部控制的重要性。在完善采購部門內部控制缺乏的事實之后，企業還需要合理配置采購部門的人員。明確采購職位劃分，每個采購流程應由專職人員負責,有固定人員負責授權和批準采購，并落實每個人的責任。

（三）完善風險評估機制

企業信息化加大了內部控制的風險評估困難，不僅要評估傳統采購業務的風險，而且要評估信息系統的風險，乃至采購業務與信息系統彼此結合的風險。信息化環境下，既要建立信息系統安全管理體系,又要按期評估企業信息系統的操作環境以及信息系統和業務系統的結合,完善問責制度，強化對計算機軟硬件的管理，評估企業面臨的采購業務風險。

（四）明確采購業務流程

作為一個企業，必須具有良好的內部控制制度,良好的制度可以讓企業工作事半功倍，唯有此，越發規范的流程才能使企業采購工作更少地受到主觀因素的影響，才可以起到客觀公正的效果。在開展內部控制制度設計時，企業除了按照《企業內部控制基本規范》設計與采購相關的工作流程外，企業還應當結合自身的實際情況，查漏補缺，防治舞弊現象的發生，將一切隱患遏制在源頭，使內部控制發揮最大的效用。企業相關部門的員工還應當加入到軟件的研發過程中，設計后臺查看工作日志的模式，防止信息化下電腦操作不留操作痕跡，從而為舞弊埋下隱患。

（五）建立有效的信息溝通系統

“信息壁壘”是信息化下一個常見的問題，如何解決這個問題呢？這就須要在企業中創立有效的信息溝通系統，使企業每個部門相互聯系，使每個部門的發展目標與企業整體戰略目標相互一致，防止各個部門各自為政的現象發生。企業采購部門應當根據業務需求確定各部門所需要的信息，例如生產部需要了解材料的結余情況，車間需要確定生產一種產品的單位成本。而后組織信息并實時將數據傳遞給其余部門，以便其余部門的信息用戶實時運用該信息，防止信息輸入不一致。

（六）落實監督機制

企業應開展內部監督，設立專門的內部控制部門具體負責內部控制的開展及日常工作，檢查企業設計的內控制度是否能夠起到相互牽制、相互監督的作用。內部控制部門應該獨立存在，徑直歸屬于董事會，不受其他部門的管理，加強它的權威性和公正性，唯有此，才能夠施展內控部門的監督作用。此外，企業在評價企業采購活動時，也要完善采購績效評價體系，不僅要考核材料的質量、成本，還要考評采購流程是否符合內部控制的相關指標，使內部控制發揮實質作用。考評之后，對存在徇私舞弊的地方要進行責任追究。

四、結語

信息技術不僅促進了企業的發展，而且給企業內部控制帶來了風險。企業采購的內部控制問題一直困擾著每個企業，因為稍有漏洞，采購人員就可以牟利，從而給企業帶來巨大損失。對于采購的內部控制問題，我們應當根據《企業內部控制基本規范》的要求，有針對性的強化內部控制，使內控不再流于形式，使內控系統和信息系統彼此聯合，助推企業的發展。