何 刚

摘要:企业如果能够利用信息技术来完善内部控制制度,建立起一个信息流和业务流相互协调和相互制约的流程,防范与控制经营风险,也会使信息化环境下的企业内部控制水平提高到一个新的层次。文章通过在企业中的实践经验,就信息技术下企业内部控制作一些初步的探讨。

关键词:信息技术;企业内部控制;经营风险

中图分类号:F270文献标识码:A

文章编号:1674-1145(2009)29-0023-03

随着信息及网络技术的快速发展和广泛应用,企业管理的环境和理念发生了巨大的变化,范围和内容得到了不断拓展,如何在新的环境下做好企业的内部控制工作,成为我们提高管理工作的重要课题。

信息技术的应用增加了企业内部控制潜在的风险,但同时,企业如果能够利用信息技术来完善内部控制制度,建立起一个信息流和业务流相互协调和相互制约的流程,防范与控制经营风险,也会使信息化环境下的企业内部控制水平提高到一个新的层次。笔者试图通过在企业中的实践经验,就信息技术下企业内部控制作一些初步的探讨。

一、信息技术下内部控制风险的评估

信息及网络技术在企业中的广泛应用,突破了空间和时间的限制,克服了远程及分散办公带来的交流障碍,提高了海量数据及信息的处理效率,企业的管理工作可以做得越来越扁平化、精细化。但是信息技术的应用,同时也带来了企业控制环境的变化,系统的复杂性、网络的开放性、信息的分散性、数据的共享性以及存储形式的无纸化,都需要我们在有别于传统运行环境下产生的控制风险进行重新评估。

(一)人员职业素养带来的内部控制风险

现代企业对信息技术的依赖性,不但要求企业员工具备基本的职业道德和良好的专业素质,同时也要求员工能熟练地掌握并操作企业的信息系统。但往往由于企业员工职业素养的差异,技术水平的高低,认知的局限性,对系统运行过程中出现的故障不能及时排除,对舞弊违法行为不能及时发现,从而导致控制风险。

(二)网络的开放性带来的内部控制风险

现代企业的规模越来越大,很多企业的机构设置越来越分散,各机构间的沟通日益频繁。信息系统在这样一个运行环境中,往往需要借助于专门网络甚至于公共网络来传递数据和信息,而网络是最易受外部侵入,再加上信息系统本身在设计上可能也会存在一些漏洞,很容易受到外部的攻击,带来安全控制上的风险。

(三)制度和流程的缺陷带来的内部控制风险

信息技术环境下的企业,需要建立与之相适应的制度和流程,但制度和流程的建设往往落后于企业运营环境的变化,这不但会限制对新技术的使用,同时也带来了内部控制上的风险。企业要及时建立起与之相适应的职责分离、授权批准的内部控制制度,对此加以约束,使企业的管理得到控制。

(四)系统的缺陷带来的内部控制风险

由于事前未进行系统性的调研和准备,或者由于设计者认识上的局限性,经常会产生系统设计上的缺陷和遗漏,导致信息系统生成的报表和结果的错误;或由于新业务的上线暴露出系统原有设计程序的不完善,造成信息和数据的错误,甚至引来外部的攻击,带来质量控制上的风险。

(五)审计不力引起的内部控制风险

企业没能建立起一套信息条件下的审计方式或制度,不能适应新的审计环境的变化,或者对信息系统不熟悉,发现不了问题,使内部控制工作中存在的隐患不能及时提出和解决,小问题积成大麻烦,造成内部控制上的风险。

二、信息技术条件下的内部控制

信息化条件下的内部控制风险虽然有别于传统的控制风险,但是需要实现的目标是一致的,只要有针对性地采取正确的防范措施,建立相应的内部控制制度,把信息流程更好地融合进企业的业务流程中,不但可以起到防患于未然的作用,同时也能提高控制水平和企业效率。

(一)加强信息化素质要求的人才培养

最完善的内部控制制度和流程也要靠人来执行和保障,因此应本着“以人为本”的理念,注重培养具有“专业—信息—管理”知识和职业道德的复合型人才,并进行合理有效的管理,建立良好的绩效评估机制、激励机制以及约束机制,以促进企业信息化的顺利发展。

企业应把职业培训和道德教育与员工绩效考核结合起来,定期进行考评,并将评估结果与员工激励机制挂钩,使员工能自觉提高职业素养和道德水平,约束自己的行为。

(二)加强网络安全控制管理

现代企业使用软件系统时大多都会用到网络,如何保障网络抵御外部的恶意攻击,是保证系统安全运行的关键。在制定安全控制策略时,应根据系统的重要性、经济性及使用范围等条件进行综合考虑,可以选择专网、虚拟专网、公网进行网络规划。其中专网最安全,但成本也最高;公网最容易受攻击,但成本相对较低。企业应评估实际需要,选择适宜的网络方案,并建立相应的防火墙系统和登录认证系统,以保障网络使用安全。

(三)建立和完善内部控制流程和制度

建立内部控制制度,完善内部控制流程,是内部控制的基础和核心。在信息技术条件下,把信息流和业务流有机地结合起来,既互相协调配合,又相互制约印证,不但能提高企业的运行效率,同时也能提高企业的内部控制水平。

1.建立并完善岗位设置、职责分离、授权批准等制度

加强系统安全控制,除保证网络安全外,还应从防止未经授权的人员擅自动用系统本身及各种资源入手,保护系统和数据的安全,减少因外界因素导致信息系统的故障和舞弊。建议从以下几方面建立起相应的控制制度:

(1)合理的分工及内部牵制制度,系统维护人员、操作人员、稽核人员在工作中互相牵制、相互督促,从而防止工作差错或舞弊等现象的发生。

(2)订立系统操作制度,禁止非相关人员操作系统。

(3)建立操作权限及人员登录制度,规定相关岗位的登录权限。

(4)建立操作人员个人的身份账户,规定交接班手续和登记运行日志。

(5)严格控制系统软件的安装与修改,定期进行巡检,系统一旦被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复的功能。

(6)系统信息和数据的恢复,应规定只有专业的系统管理员才能进行操作,操作前经授权审批。

2.建立和完善相互协调的信息流程和业务流程体系

(1)建立与业务流程相适应的信息流,通过信息流来控制业务流,通过业务流来保障信息流,促进企业经营活动的高效、有序进行。以笔者所在公司的BOSS系统为例,通过对业务流和信息流的控制,建立起新用户的业务开通流程:客户到营业厅开通新业务,营业员接受申请并收妥款项、开具发票后在BOSS系统中录入相关信息和数据,工程部门便能收到BOSS系统生成的一张工单,工程管理人员据此安排人员上门安装,完工时经客户签字后由安装人员带回工程部,再由管理人员录入系统后开通业务,系统开始自动管理用户。信息流带动了业务流程,业务流程又保证了信息流程,促进了企业经营活动的高效有序进行。

(2)通过业务流和信息流的相互印证来保证业务信息和系统信息的正确、完整。数据库的高度共享性,使任何一个数据错误都会被放大,被反复使用。因此在业务活动发生时,在有关数据进入数据库前后,检查这些数据的正确性、完整性和合法性是系统质量控制的核心,企业应建立起手工资料和信息资料的相互稽核流程,保证信息数据的正确、完整。仍以客户开通新业务为例,录入系统的信息都需经过稽核流程。营业厅办理客户开户手续后,应把业务联、银行进账单和开具后的发票存根都移交给稽核部门,由稽核人员根据这些书面资料核对系统录入的信息,如有问题及时反馈更正,以保证录入的数据和信息的完整、正确,防止舞弊。

(3)利用信息流提高对业务流的内部控制水平。信息系统具有数据传递快、共享高、信息实时等特点,如果使用得当,能把企业内部控制的水平提高到一个新的层次。再以笔者所在企业为例,公司有许多光缆施工工程需外包给施工队,施工队接受工程后,填制领料单,经公司工程管理部门审核并授权后,便可向仓库领取材料。由于领料单是手工填制,办公地点相距较远,一方面存在着舞弊的风险;另一方面由于信息不对称,工程部门不知道具体的库存情况,领料频繁时,往往会出现一次性领不齐料的情况,给施工和存货控制都带来了不少的麻烦。为了解决这一问题,公司在工程管理部门安装了财务软件中的存货管理模块,经审核后的领料单需先录入存货管理模块,系统会自动出现存量警告,存量充足则打印领料单,并授权签字,再向仓库领取材料,库管员在发料前,可先与系统里的领料单核对,然后再发料。通过信息系统和业务系统的配合,不但消除了领料过程中的舞弊风险,效率也明显提高。

3.加强信息资料的管理

信息资料管理是在信息化条件下工作连续进行的保障,是保证系统内信息和数据安全与完整的关键环节,也是信息得以充分利用的保证。因此,应重点建立起以下保管流程:

(1)企业应根据自己的实际情况,建立定时进行手工或自动备份的流程,及时做好数据备份工作,从而保证信息和数据的安全性和可恢复性。

(2)做好异地备份工作,定期使用硬盘和光盘做好备份工作并单独存放,以保证信息和数据的安全。

(3)重要资料应定期打印,并作为档案资料妥善保管。

(四)加强信息系统的开发和完善

系统软件的取得主要有三种途径:一是通过市场购买成熟产品,比如财务管理软件;二是市场上购买后再根据企业的实际需要进行二次开发,比如OA系统;三是根据企业的需要量身定做,比如BOSS系统。相对于市场上比较成熟的软件,自主开发的系统运营风险会高得多,往往在运营过程中的一个小漏洞,或者因新业务上线暴露出来的系统设计缺陷,都会给系统运行带来质量控制风险,而这些问题很多都需要通过实际应用才能逐步发现。因此,在正式使用系统过程中,应控制好三个步骤:系统开发设计前,应做好调研工作,尽量把问题想得全面一点,周到一点;在设计过程中,应多征求操作及维护人员的意见,保证在系统开发过程中就能防止风险。系统使用前,应先搭建与实际运营环境相似的虚拟环境进行试用,在试用过程中发现问题并及时进行调整;在实际应用过程中,建立起反馈机制,使系统管理和维护人员能尽快地了解并掌握使用过程中反映出来的系统缺陷,进行系统的二次完善。

(五)加强内部控制评估及审计监督

信息化条件下的内部控制系统,应定期做出评估,适时进行调整。没有哪一套规则在环境发生变化时还能很好地适应,所以,对专业人员来说,评估内部控制的有效性是非常重要的,根据评估结果及时调整内部控制体系,加强内部控制是最有效、最经济的办法。

建立符合信息化条件的内部审计机构,做好内部审计监督工作。内部审计是保障内部控制的重要手段,这就要求企业内部必须建立一个不依附任何职能部门的,受公司最高层直接领导的符合信息化条件的内部审计机构,进行定期的专项审计监督。重点要做的是:一是建立内部审计机构,加强对专业审计人员的培养,内部审计人员应定期进行专业素质和信息化知识的培训,了解企业使用的信息系统,加快知识更新,加强对舞弊手法的甄别能力,以适应信息化条件下审计的要求;二是建立健全内部审计制度,明确信息化环境下审计监督的目标,制定完成审计职能的权力、范围和职责,完善反馈和汇报机制;三是定期进行信息化条件下内控制度和流程的专项审计工作,包括对系统本身功能的审计评估,是否建立起了恰当的信息流和业务流程,及时发现内部控制上的缺陷,完善内部控制制度;四是要加快对审计软件的开发和应用,以适应信息化条件下的审计要求。

内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。

三、结语

信息技术使企业的运行环境发生了根本性的变化,它给企业带来风险的同时也带来了控制风险的机会与手段,在实际工作中我们应把信息作为加强控制的资源,充分利用信息技术进行内部控制。同时我们也应清醒地认识到任何先进手段都是由人来操作和管理的,通过信息技术进行内部控制时,要结合传统有效的内部控制方式,构建与完善内部控制系统。

由财政部、证监会、审计署、银监会和保监会等五部委联合发布的中国首部《企业内部控制基本规范》将于2010年初在上市公司和其他大中型企业执行,这也对现代企业健全内部控制体系,提高经营效益提出了明确的要求。企业更应借着这一契机,充分利用现代信息技术和传统有效的控制方式,开展内部控制的创新工作,建立与时代相适应的内部控制制度,满足企业管理的需要,实现企业更大的战略发展目标。

作者简介:何刚(1968- ),男,浙江诸暨人,华夏视联控股有限公司(华数集团)财务经理,会计师,研究方向:会计。