信息化背景下企業內部控制存在的問題與對策

鄭秀春

摘 要：當前信息化數字化技術廣泛應用于企業運營管理的各個方面，必將影響著企業管理環境及管理能力隨之變化。為了更好發揮信息化技術在企業內部控制中的作用，提升企業內部控制管理水平，本文就信息化背景下企業內部控制存在的主要問題及相關對策進行探討。

關鍵詞：信息化;企業內部控制;內部控制環境

一、引言

目前學術界對企業內部控制歸納總結了五目標、五原則和五要素，并以此作為各企業開展內部控制實務管理的根本遵循。在將信息技術應用于企業內部控制工作過程中，部分企業及學者將信息化對企業內部控制的影響分析及問題探討局限于環境、風險和控制三要素，一定程度上收窄了內部控制要素。本文以五要素為著眼點探討信息化背景下企業內部控制存在的問題與對策，將信息化影響與內部控制要素緊密結合，有助于企業內部控制工作有效性的全面提升。

二、企業內部控制概述

（一）內部控制基本涵義

“內部控制”一詞最早于1936年作為審計術語在相關審計文獻中出現，經過半個多世紀的發展，其內容逐漸完善，并被眾多學者及企業家應用于企業運營研究與實踐，形成管理學領域的分支之一。企業的內部控制是指企業內部管理控制系統，具體指由企業的董事會、監事會、經理層和全體員工為了各項經營目標的達成，需要在經營過程中盡量規避各種風險事件的發生，進而共同營造的具備風險規避能力的控制環境。

（二）內部控制基本要素

在我國，企業內部控制工作的組織與開展主要遵循2009年7月1日起開始實施的《企業內部控制基本規范》和相關的配套指引。該規范中明確了國內注冊的大中型企業建立與實施有效的內部控制應包括內部環境、風險評估、控制活動、信息溝通和內部監督共五要素。基于此，企業內部控制工作的重點應集中并覆蓋在這五個方面。

三、信息化在企業運營中的應用現狀

我國的信息化建設雖然起步較晚，但至今也有著將近40年歷史。這期間經歷了企業試點、行業試點、領域試點等過程，最終發展成信息化手段逐漸應用于企業運行的各個方面的趨勢。目前各企業信息化應用主要涉及辦公、核算、計量、倉儲、生產、傳輸、管控等各個領域。國內大部分企業信息化已經不再是信息技術在某些業務板塊的各自運行，而是將其與企業的戰略規劃、經營目標、管理思路等方面做有效融合，通過對組織結構、業務流程、內部控制的影響與完善來發揮信息化技術在企業運營中的作用。

四、信息化背景下企業內部控制存在的問題

（一）內部控制環境不健全

企業的內部控制環境包括企業文化、機構設置、職責分配以及審計機制等方面。企業開展信息化建設，使得信息傳遞高速化、工作方式多樣化、工作節點自動化，因此，對環境標準提出更高的要求。部分企業無法實現管理標準的同步提升，最終導致內部控制效果大打折扣，甚至限制了企業未來的發展。企業決策層及經營層普遍認知欠缺，影響企業各級員工都無法把握信息化內部控制的內涵，故而錯誤的將信息化背景下的內部控制工作推向了信息部門和內審部門。

（二）風險評估難度被提高

風險評估主要是對企業的風險要素及其組合進行評估。信息化背景下，在企業本就復雜的原有風險要素中又增加了信息化元素，為保持風險評估的全面性，企業要增加對信息化系統的風險評估，而信息化技術的快速發展往往導致企業對其風險評估能力存在不足。另外，實施信息化之后的內部控制，企業原有的業務流程和控制體系被重新改造，對人力資源、經營戰略、管理方針和資金財務等方面的風險評估難度較傳統內控工作也有所提高。

（三）控制活動層級不統一

目前受信息化在企業的應用現狀影響，內部控制活動的方式將面臨新的調整。例如，大部分企業的信息化在其經營管理中的應用不是同一階段實施，導致不同信息系統的實施環境和數據基礎不同，使數據共享與傳輸存在錯配的風險，與傳統內部控制活動相比，信息化背景下需要額外增加這一環節的控制;另外，大部分企業自動化數據傳輸技術不完善，基礎數據的錄入需要仍然主要依賴人工完成，為了避免數據錄入錯誤的風險，需要企業在數據錄入這一最基礎、最簡單的活動環節實施控制。企業本應該發揮信息化優勢，遵循成本效益原則，集中精力控制主要風險活動，全面升級信息化背景下的內部控制水平與能力，但卻被上述不同層級的控制活動羈絆。

（四）信息溝通機制不完善

信息的價值必須通過傳遞與使用才能體現。在信息化背景下，企業利用技術手段快速實現了信息的收集，但受信息溝通機制的限制，在信息傳遞與使用方面較傳統內部控制水平有所降低，主要體現在經營層及管理者對企業現已應用的信息化技術不夠了解，可借助信息化手段實現的管理功能不能掌握，使信息化技術實現的信息集成與分析淪為信息棄兒，無法對內部控制提供高效支持。另外，由于企業部分員工信息化技術的基礎能力不足，對系統數據的信任度存疑，故而不愿放棄傳統的人工信息獲取與傳遞方式，導致信息化背景下企業內部控制形成了諸多的信息孤島。

（五）內部監督作用被忽視

信息化背景下的內部控制監督既應包括利用信息化技術手段實現對傳統內部控制工作所涵蓋內容的監督，還應包括對信息化技術的監督。目前，部分企業在信息化建設和使用過程中存在誤區，認為信息化建設的調研中包含了內部控制的需求目標，因此信息化技術的應用便自主實現了控制，忽視了對系統控制有效性的監督檢查。另外，由于企業信息系統維護能力水平參差不齊，導致內部監督在信息技術領域形同虛設，大大弱化了信息化背景下內部監督的作用。

五、信息化背景下企業內部控制問題的解決對策

（一）優化控制環境

控制環境一定程度上扮演了內部控制工作的土壤與養分的角色，優化控制環境是內控工作有效性的重要基礎。首先，應該建立基于信息化條件下的企業文化、價值理念和工作作風，重要的是要提高內部控制的意識，將信息化管理的理念和方式滲透到企業管理控制工作中;其次，要完善內部控制制度建設，以制度建設來落實責任分工和工作標準，為信息化條件下的內部控制工作提供保障;另外，要強化制度執行，可以與內部監督工作相結合，建議至少由一名企業管理者帶頭成立制度執行監督小組，以上率下確保制度執行的嚴肅性，進一步夯實控制環境的基礎。

（二）提高風險評估能力

風險識別與評估是內部控制工作的重點與難點，直接影響控制活動的方向與范圍。首先，應該結合信息化的相關特點重新優化傳統的風險管理機制，建議組建專業化風險管理團隊，負責企業經營風險的總體識別與評估，該團隊可以臨時或長期聘請專業的風險評估機構參與;其次，要加強企業全員的素質建設，特別是加強財務人員，信息技術人員、內控人員的管理與培養，從關鍵崗位人員的從業能力方面下功夫;另外，在工作方法上，建議建立風險管理臺賬，積累企業的風險類型及數據資源，為不同經營模式和不同歷史時期下的企業風險評估提供寶貴經驗，有條件的企業可以將其嵌入信息化控制系統，實現部分風險識別的信息自動化，彌補人員風險識別能力不足的的問題。

（三）提升控制活動的系統性

控制活動的過程要與企業業務流程進行系統性整合，借助信息化技術完成工作流程再造，實現業務流程重組與信息化應用同步推進。首先，應實現企業信息化戰略與整體戰略計劃的有機統一，盡量減少信息化建設分模塊實施現象，規避由此形成的信息錯配;其次，系統性的構建信息化條件下各業務模塊的互相校驗與核準，降低人為出現失誤的風險;另外，要做好控制活動的分步實施計劃與關鍵任務分解，確保控制活動實施過程中始終保持其系統性與統一性，避免層級不清、避重就輕的局面產生。

（四）健全信息溝通機制

信息溝通是內部控制工作的橋梁與紐帶，也是信息化背景下企業內部控制相較于傳統內控工作的優勢所在，故在信息技術廣泛應用的企業中，如何建立健全有效的信息溝通機制對內部控制工作尤為重要。首先，應該提升企業對信息系統應用的重視程度，特別是系統開發階段，盡量融合不同部門對信息系統產出成果的需求，在系統應用之前便開始積累信息用戶;其次，應加強信息系統應用的考核，通過關鍵績效指標（KPI）方式引導企業各部門人員使用系統集成信息的積極性;另外，應明確建立企業內部控制工作信息溝通的流程與標準，使信息溝通有章可循，有據可依。

（五）強化內部監督作用

強化內部監督，最重要的是正確看待內部監督對企業經營管理的促進作用，認知并接受內部監督在實現事前預防、事中控制和事后改進等方面的突出效果。信息化背景下的企業內部控制監督，首先應投入一定精力與資源在以信息系統為對象的管理和監督上，保證信息系統的穩定性與安全性;其次，應建立企業內部監督機制，通過職責劃分、互相評比、定期報告等方式提升內部監督工作的地位，使企業經營管理的全員全業務主動接受內部監督;另外，內部監督不可以固步自封停滯不前，應該與時俱進革新與發展，才能保持其監督作用的始終有效發揮。

六、結語

綜上，信息化背景下企業內部控制是對傳統控制形式的一種創新，其造成的影響既是機遇也是挑戰，更是發展的必然趨勢。企業應該在始終堅持內部控制五目標、五原則的基礎上，有效應對并改進上述五方面問題，使內部控制管理水平不斷提升，為企業發展增強競爭實力。

參考文獻：

[1]高志峰.信息化背景下的企業內部控制問題與探討[J].現代經濟信息，2016（03）：64.

[2]胡紅燕.關于企業信息化過程中內部控制問題研究[J].財會學習，2016（21）：233-234.